Modelo de Madurez Uta

UNIVERSIDAD TÉCNICA DE AMBATO
FACULTAD DE INGENIERÍA EN SISTEMAS, ELECTRÓNICA E

INDUSTRIAL
CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES E

INFORMÁTICOS
TEMA:
_________________________________________________________________
AUDITORIA INFORMÁTICA MEDIANTE LA APLICACIÓN DE LA
METODOLOGÍA COBIT (CONTROL OBJECTIVES FOR INFORMATION AND
RELATED TECHNOLOGY) EN LA COMPAÑÍA I COACH SERVICIOS
CONSULTING & TRAINING CIA. LTDA.
______________________________________________________________________
Trabajo de Graduación. Modalidad: TEMI. Trabajo Estructurado de Manera

Independiente, presentado previo a la obtención del título de Ingeniería en Sistemas
Computacionales e Informáticos.
SUBLÍNEA DE INVESTIGACION: Auditoría Informática

AUTOR: Yajaira Patricia Carcelén Ayala
Tutor: Ing. Msc. Galo Mauricio López Sevilla
Ambato – Ecuador
Abril – 2015
i
APROBACIÓN DEL TUTOR
En mi calidad de Tutor del trabajo de investigación sobre el tema: “Auditoria

Informática mediante la aplicación de la Metodología COBIT (Control Objectives for
Information and Related Technology) en la compañía I COACH SERVICIOS
Consulting & Training Cia. Ltda.”, de la señorita Yajaira Patricia Carcelén Ayala,
estudiante de la Carrera de Ingeniería en Sistemas Computacionales e Informáticos de la
Facultad de Ingeniería en Sistemas, Electrónica e Industrial, de la Universidad Técnica
de Ambato, considero que el informe investigativo reúne los requisitos suficientes para
que continúe con los trámites y consiguiente aprobación de conformidad con el Art. 16
del Capítulo II, del Reglamento de Graduación para obtener el título terminal de tercer
nivel de la Universidad Técnica de Ambato.
Ambato abril, 2015
EL TUTOR
-------------------------------------------
Ing. Msc. Galo Mauricio López Sevilla
ii
AUTORÍA
El presente trabajo de investigación titulado: “Auditoria Informática mediante la

aplicación de la Metodología COBIT (Control Objectives for Information and Related
Technology) en la compañía I COACH SERVICIOS Consulting & Training Cia.
Ltda.”, es absolutamente original, auténtico y personal, en tal virtud, el contenido,
efectos legales y académicos que se desprenden del mismo son de exclusiva
responsabilidad del autor.
Ambato abril, 2015
-------------------------------------------
Yajaira Patricia Carcelén Ayala
CC: 1804280145
iii
DEDICATORIA
Dedico el presente trabajo que representa la culminación de mi carrera universitaria y el

inicio de mi vida profesional a DIOS por ser la luz de mi vida mis padres Edgar
Carcelén y Marcia Ayala, quienes forjaron mi futuro, a mis hermanas Mayra y Michelle
Carcelén que siempre estuvieron a mi lado en mis triunfos y fracasos, impulsándome a
seguir adelante en todos los retos que me he propuesto y con todo mi amor a mi esposo
Paul Salinas que jugó un papel importante para que este sueño se haga realidad, a mi
hijo Joseph Salinas que fue mi motivo para poder alcanzar este anhelo.
iv
AGRADECIMEINTO
Dejo constancia de mi agradecimiento a todos los docentes de la Facultad de Ingeniería

en Sistemas Electrónica e Industrial, carrera de Ingeniería en Sistemas, de la
Universidad Técnica de Ambato, por sus valiosos conocimientos impartidos en mi
formación profesional.
De manera especial mi profundo agradecimiento al Ing. Msc Galo Mauricio López

Sevilla, Director de Tesis, por su orientación y dedicación para culminar con el presente
trabajo investigativo.
v
APROBACIÓN DE LA COMISIÓN CALIFICADORA
La Comisión Calificadora del presente trabajo conformada por los señores docentes Ing.
Franklin Oswaldo Mayorga, e Ing. Renato Klever Urvina , revisó y aprobó el Informe
Final del trabajo de graduación titulado “AUDITORIA INFORMÁTICA MEDIANTE
LA APLICACIÓN DE LA METODOLOGÍA COBIT (CONTROL OBJECTIVES FOR
INFORMATION AND RELATED TECHNOLOGY) EN LA COMPAÑÍA I COACH
SERVICIOS CONSULTING & TRAINING CIA. LTDA.”, presentado por la señorita
Yajaira Patricia Carcelén Ayala de acuerdo al Art. 18 del Reglamento de Graduación
para Obtener el Título Terminal de Tercer Nivel de la Universidad Técnica de Ambato.
Ambato, Abril 2015
………………….………………………..
Ing. José Vicente Morales Lozada Mg.
PRESIDENTE DEL TRIBUNAL
………………………………..……….. …..…………………..……………
Ing. Franklin Oswaldo Mayorga Ing. Renato Klever Urvina
DOCENTE CALIFICADOR DOCENTE CALIFICADOR
vi
RESUMEN
El presente trabajo denominado “Auditoria Informática mediante la aplicación de la

Metodología COBIT (Control Objectives for Information and Related Technology) en
la compañía I COACH SERVICIOS Consulting & Training Cia. Ltda.”, tiene por
objetivo una Auditoría Informática para ayudar a la Compañía en la búsqueda de
problemas o falencias que puede tener en los diversos procesos de la misma como los
elementos que complementan su funcionamiento así como también los recursos tanto
humanos como materiales que se utilizan en cada uno de los departamentos, con el fin
de mejorar la calidad de servicio de la misma. La aplicación de la metodología COBIT
4.1 fue de gran ayuda para la Auditoría Informática realizada en la Compañía I
COACH SERVICIOS, ya que abarca técnicas, actividades y procedimientos destinados
a la evaluación de sistemas de información, Seguridad de la Información y Control
interno detallado de la Compañía. Gracias a los resultados obtenidos con el marco de
trabajo COBIT 4.1, notamos que los procesos que se desarrollan en la Compañía no son
estructurados, y se llevan de forma empírica, no existe políticas o procedimientos
registrados en la misma, debido a esto, los procesos tardan mucho más tiempo en
desarrollarse y se ocupa más recurso humano, es por esto que para obtener una mejora
notable en la agilidad en las actividades y procesos diarios que realiza la Compañía I
COACH se ha propuesto un plan de acción para cada proceso de la Compañía, el cuál se
deberá ejecutar a la brevedad posible para obtener mejoras en el servicio que brinda la
compañía a sus usuarios, optimizar recurso, tener un control interno y detallado de las
actividades y procesos desarrollados y poder cumplir a cabalidad los objetivos de la
Compañía.
vii
SUMMARY
This work called “Auditoria Informática mediante la aplicación de la Metodología

COBIT (Control Objectives for Information and Related Technology) en la compañía I
COACH SERVICIOS Consulting & Training Cia. Ltda.”, Is targeting a Computer
Audit to assist the Company in finding problems or shortcomings that may have on the
various processes the same as the elements that complement its operation as well as
human and material resources used in each of the departments, in order to improve the
quality of the same service. The implementation of the COBIT 4.1 methodology was
helpful for Computing audit performed in the Company I COACH SERVICIOS,
covering techniques, activities and procedures for the evaluation of information
systems, information security and internal controls detailed company. Thanks to the
results obtained with the COBIT framework 4.1, we note that the processes taking place
in the Company are unstructured, and carried empirically, there are no policies or
procedures registered to the same, because of this, the processes take much longer to
develop and looks more human resource, which is why for a noticeable improvement in
agility in daily activities and processes carried out by the Company I COACH have
proposed a plan of action for each process of the Company the what should be executed
as soon as possible to obtain improvements in the service provided by the company to
its users, optimize resource, have a detailed internal control activities and processes
developed and to comply fully with the objectives of the Company.
viii
ÍNDICE DE CONTENIDOS
CAPÍTULO I
1. EL PROBLEMA DE INVESTIGACIÓN ………………………………………1

1.1 TEMA ……………………………………………………………………….1
1.2 PLANTEAMIENTO DEL PROBLEMA …………………………………...1
1.2.1 CONTEXTUALIZACIÓN ……………………………………...2
1.3 DELIMITACIÓN DEL PROBLEMA ………………………………….......3
1.3.1 DELIMITACIÓN DE CONTENIDO……………………...........3
1.3.2 DELIMITACIÓN ESPACIAL …………………………………3
1.3.3 DELIMITACIÓN TEMPORAL …………………………..........3
1.4 JUSTIFICACIÓN …………………………………………………………..3
1.5 OBJETIVOS ………………………………………………………………..4
1.5.1 OBJETIVO GENERAL ……………………………………......4
1.5.2 OBJETIVOS ESPECÍFICOS …………………………………..4
CAPÍTULO II
2. MARCO TEÓRICO
2.1 ANTECEDENTES INVESTIGATIVOS…………………………………...5
2.2 FUNDAMENTACIÓN TEÓRICA………………………………………….6
2.2.1 AUDITORÍA……………………………………………………....6
2.2.2 INFORMÁTICA…………………………………………………...6
2.2.3 AUDITORÍA INFORMÁTICA……………………………………7
2.2.4 ESTÁDARES DE AUDITORÍA INF.……………………………..8
2.2.5 ESTRUCTURA COBI 4.1……..…………………………………10
2.2.6 DOMINIOS……………………………………………………….12
2.2.7 EVALUACIÓN DE CONTROLES COBIT 4.1………………...13
2.2.8 MARCO DE TRABAJO COMPLETO COBIT 4.1…………..….13
2.2.9 MODELO DE MADUREZ………………………………………20
2.3 PROPUESTA DE SOLUCIÓN…………………………………………….22
CAPÍTULO III
3. METODOLOGÍA………………………………………………………………24
ix
3.1 MODALIDAD DE LA INVESTIGACIÓN………………………………..24
3.2 POBLACIÓN Y MUESTRA…………………………………………........24
3.3 PROPUESTA DE SOLUCIÓN………………………………………….....24
3.4 RECOLECCIÓN DE INFORMACIÓN……………………………………25
3.5 PROCESAMIENTO Y ANÁLISIS DE DATOS………………………......25
3.6 DESARROLLO DEL PROYECTO……………………………………......25
CAPÍTULO IV
4. AUDITORIA INFORMÁTICA MEDIANTE LA
METODOLOGÍA COBIT 4.1………………………………………………….26
4.1 ALCANCE DE LA AUDITORÍA…………..……………………………..26
4.2 ESTUDIO INICIAL ENTORNO A AUDITAR……………………...........27
4.2.1 ANÁLISIS SITUACIONAL………………………………..........27
4.2.2 DEFINICIÓN DE LA COMPAÑÍA..............................................27
4.2.3 ANTECEDENTES…………….................................................28
4.2.4 CULTURA ORGANIZACIONAL………..................................29
4.2.5 ESTRUCTURA ORGANIZACIONAL……………………….....31
4.2.6 PUESTOS DE TRABAJO “I COACH SERVICIOS”……..........32
4.2.7 DESCRIPCIÓN DE CARGOS……………………………..........32
4.2.8 SEGURIDAD DE LOS DEPARTAMENTOS “I COACH
SERVICIOS”.………………………………………………………......43
4.2.9 ANÁLISIS DE PROCESOS “I COACH SERVICIOS”…………44
4.2.10 ANÁLISIS DEL LEVANTAMIENTO DE INFORMACIÓN….58
4.3 DETERMINACIÓN DE LOS RECURSOS NECESARIOS PARA
REALIZAR LA AUDITORÍA………………………………...……............62
4.4 ELABORACIÓN DEL PLAN DE TRABAJO………………………….....63
4.5 REALIZACIÓN DE ACTIVIDADE DE LA AUDITORÍA...……….........65
4.5.1 SELECCIÓN PROCESOS COBIT.………………………….......65
4.5.2 TABULACIÓN ENCUESTAS PROCESOS COBIT..…….........67
4.5.3 EVALUACIÓN NIVEL DE MADUREZ PROCESOS
CRÍTICOS……………………………………………………………...73
DOMINIO: PLANEAR Y ORGANIZAR……………………………..73
x
DOMINIO: ADQUIRIR E IMPLANTAR…………………..................85
DOMINIO: ENTREGAR Y DAR SOPORTE………………...............90
DOMINIO:MONITOREAR Y EVALUAR………………………….101
4.5.4 ALINEACIÓN NIVEL DE MADUREZ ACTUAL VS. NIVEL DE
MADUREZ ESTIMADO……………………………………………..…107
4.5.5 MATRIZ DE IMPACTO DE PROCESOS COBIT…………………….108
4.5.6 MATRIZ DEL NIVEL DEL SERVICIO……………………………….110
4.5.7 MATRIZ DE EVALUACIÓN DE PROCESOS BAJO MÉTRICAS….113
4.6 RESULTADOS DE LA AUDITORÍA
4.6.1 HALLAZGOS DE LA AUDITORÍA…………………………………..117
4.6.2 PLAN DE ACCIÓN POR PROCESO………………………………….123
CAPÍTULO V
5.1 CONCLUSIONES………………………………………………………...132
5.2 RECOMENDACIONES…………………………………………………..133
BIBLIOGRAFÍA……………………………………………………………………...134
ANEXOS……………………………………………………………………………...135
xi
ÍNDICE DE TABLAS
Tabla 2.1 Proceso de la Auditoría……………………………………………………….6
Tabla 2.2 Auditoría, Control, Control de Gestión……………………………………….7
Tabla 2.3 Cuadro Comparativo Marcos de Trabajo………………………....................8
Tabla 2.4 Marco de Trabajo Completo COBIT 4.1……………………………………19
Tabla 4.1 Puestos de Trabajo Compañía “I COACH SERVICIOS”…………………..32
Tabla 4.2 Descripción del Cargo Presidente…….……………..………………………33
Tabla 4.3 Descripción del Cargo Gerente General……………..……………………...33
Tabla 4.4 Descripción del Cargo Coord. Nacional………….…………………………35
Tabla 4.5 Descripción del Cargo Monitor Académico………….……………………..36
Tabla 4.6 Descripción del Cargo Tutor………….…………………………………….37
Tabla 4.7 Descripción del Cargo Director Nacional Publicidad………………………38
Tabla 4.8 Descripción del Cargo Director de Zona Publicidad………………………..38
Tabla 4.9 Descripción del Cargo Director de Filial de Publicidad…………………….39
Tabla 4.10 Descripción del Cargo Gerente de Publicidad……………………………..40
Tabla 4.11 Descripción del Cargo Advisor de Publicidad……………………………..41
Tabla 4.12 Descripción del Cargo Director de Sistemas………………………………42
Tabla 4.13 Descripción del Cargo Secretaria…………………………………………..43
Tabla 4.14 Matriz Probabilidad de Ocurrencia de un Proceso…………………………45
Tabla 4.15 Procesos de I COACH auditables………………………………………….45
Tabla 4.16 Diagrama SIPOC Primer Proceso………………………………………….48
Taba 4.17 Diagrama SIPOC Segundo Proceso……………………………………...…51
Tabla 4.18 Diagrama SIPOC Tercer Proceso…………………………………………..53
Tabla 4.19 Diagrama SIPOC Cuarto Proceso………………………………………….56
Tabla 4.20 Diagrama SIPOC Quinto Proceso………………………………………….58
Tabla 4.21 Fortalezas (Causa-Efecto)……………………………….…………………59
Tabla 4.22 Debilidades (Causa-Efecto)…………………………….…………………..60
Tabla 4.23 Seguridad Física (Causa-Efecto)…………………………………………...60
Tabla 4.24 Seguridad Lógica (Causa-Efecto)……………………….………………….61
Tabla 4.25 Nivel de Madurez Proceso COBIT 4.1(PO6)………………………………75
xii
Tabla 4.28 Nivel de Madurez Proceso COBIT 4.1(PO10)…………………………….83
Tabla 4.29 Nivel de Madurez Proceso COBIT 4.1(AI1)……………………………....84
Tabla 4.30 Nivel de Madurez Proceso COBIT 4.1(AI2)……………………………....86
Tabla 4.31 Nivel de Madurez Proceso COBIT 4.1(DS1)………………………………91
Tabla 4.34 Nivel de Madurez Proceso COBIT 4.1(DS11)……………………………..99
Tabla 4.35 Nivel de Madurez Proceso COBIT 4.1(ME2)…………………………….101
Tabla 4.36 Nivel de Madurez Proceso COBIT 4.1(ME3)…………………………….104
Tabla 4.37 Valor Porcentual Desempeño Procesos COBIT 4.1..…………………….110
Tabla 4.38 Matriz de Medición de Criticidad Procesos…………..………………..…117
Tabla 4.39 Hallazgos de la Auditoría……………………………………………..…..118
Tabla 4.40 Plan de Acción Proceso COBIT (PO6)…………………………………...123
Tabla 4.43 Plan de Acción Proceso COBIT (PO10)……………………………….....125
Tabla 4.44 Plan de Acción Proceso COBIT (AI1)………………………………........125
Tabla 4.45 Plan de Acción Proceso COBIT (AI2)………………………………........126
Tabla 4.46 Plan de Acción Proceso COBIT (DS1)……………………………...........126
Tabla 4.49 Plan de Acción Proceso COBIT (DS6)……………………………….......127
Tabla 4.50 Plan de Acción Proceso COBIT (DS11)…………………………….........128
Tabla 4.51 Plan de Acción Proceso COBIT (ME2)……………………………..........128
Tabla 4.52 Plan de Acción Proceso COBIT (ME3)……………………………..........128
Tabla 4.53 Actividades-Responsables (Recomendaciones)…………...………...........131
xiii
ÍNDICE DE FIGURAS
Figura 2.1 Cubo COBIT 4.1…………………………………………………………....11

Figura 2.2 Dominios COBIT…………………………………………………………...12
Figura 2.3 Representación gráfica de los modelos de madurez………………………..21
Figura 2.4 Diagrama Marco de Trabajo COBIT 4.1…………………………………...22
Figura 4.1 Organigrama Estructural I COACH Servicios……………………………...31
Figura 4.2 COBIT 4.1…………………………………………………………………..64
Figura 4.3 Procesos destacados (Planear y Organizar)…………………………………68
Figura 4.4 Procesos destacados (Adquirir e Implantar)………………………………..69
Figura 4.5 Procesos destacados (Entregar y Dar Soporte)……………………………..70
Figura 4.6 Procesos destacados (Monitorear y Evaluar)……………………………….71
Figura 4.7 Nivel de Madurez Actual vs. Nivel de Madurez
Estimado……………………………………….……………………………...107
xiv
INTRODUCCIÓN
El presente trabajo de tesis cuyo tema es, “Auditoria Informática mediante la aplicación
de la Metodología COBIT (Control Objectives for Information and Related
Technology) en la compañía I COACH SERVICIOS Consulting & Training Cia.
Ltda.”, el cual consta de cinco capítulos los cuales se detallan a continuación.
Capítulo I. “El problema”, aquí se define el problema que está aconteciendo en el

contexto de la realidad, para lo cual delimitamos sus alcances, justificamos debidamente
el problema y planteamos los objetivos, los cuales serán la guía de todo el proyecto.
Capítulo II. “Marco Teórico”, en este capítulo consta el fundamento teórico el cual
ayuda a comprender de una forma clara el problema, para posteriormente plantear una
propuesta de solución al mismo.
Capítulo III. “Metodología”, se describe la metodología y las modalidades de

investigación a seguir para conseguir el resultado inicialmente propuesto, así como
también la forma de cómo se recolectará y se procesará la información, además de una
descripción global de cómo se desarrolla el proyecto.
Capítulo IV. “Desarrollo de la Propuesta”, en este capítulo se describe el desarrollo de

la propuesta de solución, definiendo los requisitos necesarios que se han obtenido del
proceso de levantamiento de información y requisitos, documentando el proceso de
desarrollo del software a través de casos de uso, diagramas de estado y flujo de datos,
diseño de la base de datos, diseño de la interfaz gráfica de usuario, estabilización de la
propuesta de solución, así como también el despliegue o implementación de la solución
final.
xv
Capítulo V. “Conclusiones y recomendaciones”, se establecen las conclusiones a las
que ha llegado el investigador luego del desarrollo del proyecto, de la misma forma se
hacen las recomendaciones que el investigador a considerado necesarias.
Finalmente se incluye las referencias citadas en este documento, en los anexos se

incluye los documentos que se utilizan en la compañía, así como también se incluyen el
informe ejecutivo como resultado del presente proyecto.
xvi
CAPÍTULO I
EL PROBLEMA DE INVESTIGACIÓN
1.1 TEMA:
Auditoria Informática mediante la aplicación de la Metodología COBIT (Control

Objectives for Information and Related Technology) en la compañía I COACH
SERVICIOS Consulting & Training Cia. Ltda.
1.2 PLANTEAMIENTO DEL PROBLEMA
1.2.1 CONTEXTUALIZACIÓN
Las organizaciones informáticas forman parte de lo que se ha denominado el

"management" o gestión de la empresa, debido a su importancia en el
funcionamiento de la misma, existe la Auditoria Informática.
La Auditoria de Tecnología de Información (T.I.) como se le conoce

actualmente, (Auditoria informática o Auditoria de sistemas en nuestro medio),
se ha consolidado en el mundo entero como cuerpo de conocimientos cierto y
consistente, respondiendo a la acelerada evolución de la tecnología informática
de los últimos 10 años.
Actualmente, la información es el centro de las estrategias comerciales, por tal

razón las empresas tienen la necesidad de automatizar sus procesos e implantar
sistemas de información que beneficien el desempeño laboral del personal, pero
1
así mismo se requiere que éstos sean continuamente monitoreados, mejorados y
adaptados a las nuevas exigencias del entorno.
En el país, se evidencia que la Auditoría Informática en las organizaciones

públicas o privadas en su gran mayoría, no se realizan por dos factores; el
primero el alto costo resultante de este proceso y el segundo y de mayor peso es
el desconocimiento ya que se piensa “es el método para evaluar al personal y por
ende la remoción del cargo” lo cual no es de agrado para los empleados de
cualquier organización.
En la provincia de Tungurahua las empresas privadas que han decidido tomar

medidas contra la delincuencia informática, muchas de ellas, han enfocado sus
esfuerzos únicamente en materia de seguridad para el resguardo de sus
tecnologías de información, pero al no conocer el desempeño de los controles
implementados carecen de una visión objetiva de la vulnerabilidad de su
empresa.
La importancia de la tecnología de información dentro de una organización

juega en la actualidad uno de los papeles más relevantes, pues brindan un
soporte indispensable a los procesos críticos de la institución y permite la toma
de acciones correctivas para el progreso del negocio, por lo cual es fundamental
que se presente un correcto seguimiento de los procesos establecidos de la
organización.
Uno de los principales problemas en la compañía “I COACH SERVICIOS”, es

la falta de evaluación en los procesos correspondientes a los servicios que se
generan diariamente en la compañía, no existe el control adecuado para verificar
su funcionamiento, de igual forma no existe un control de seguridad de la
información, de los datos de los usuarios de la compañía, generando pérdida e
2
incluso duplicidad de la misma haciéndose necesario realizar una auditoría a los
procesos críticos de la compañía.
La compañía “I COACH Servicios”, como institución privada busca conseguir

logros de servicio en todos los aspectos: social, cultural, y otros buscando
siempre el propósito de servir a la sociedad en el ámbito educativo, y sobre todo
ofreciendo por parte de sus colaboradores, la calidad, compromiso, eficiencia,
eficacia y efectividad en los procesos que realiza.
DELIMITACIÓN DEL PROBLEMA
1.3.1 Delimitación de Contenido

Área Académica: Administrativas Informáticas
Línea de Investigación: Administración de Recursos
Sub-línea de Investigación: Auditoría Informática
1.3.2 Delimitación Espacial: El presente trabajo de Investigación se realizará en la

Compañía “I COACH SERVICIOS Consulting & Training Cia. Ltda.”, ubicada en la
Av. Atahualpa y Darío Guevara.
1.3.3 Delimitación Temporal: El tiempo estimado para realizar el presente trabajo de

investigación es de seis meses a partir de la aprobación por parte del Honorable
Consejo Directivo de la Facultad de Ingeniería en Sistemas, Electrónica e Industrial.
1.4 JUSTIFICACIÓN
En un mundo de constantes cambios como el nuestro, uno de los activos más

importantes de las empresas es la información y cuanto mejor se explote, mayor será el
beneficio obtenido, sin embargo, al llegar a ser tan valiosa, es necesario tener el mayor
cuidado posible al manejarla, ya que una empresa depende de las decisiones que las
personas tomen según la información que poseen.
3
En la actualidad la informática se encuentra evidentemente vinculada con la gestión de
las empresas y es por esto que es de vital importancia que exista la auditoria
informática, para analizar el desempeño y funcionamiento de los sistemas de
información, de los cuales depende la organización.
Es por esto que se considera de gran importancia realizar una auditoría informática que
nos permita proporcionar un reporte donde se detalle los puntos críticos de la institución
y permita identificar cuáles son las fortalezas con las que se cuenta y cuáles son las
debilidades y sectores vulnerables de los departamentos Auditados como organización.
Dentro de la calidad de servicio que brinda la compañía “I COACH Servicios”, aspira
implementar mejoras en sus sistemas de información para optimizar los procesos,
integrar la información, mejorar el servicio y la productividad y con lo cual serán
beneficiados los usuarios, así también como los empleados de la misma.
Esta investigación también podrá dar lugar al surgimiento y evaluación de otros

procedimientos, pudiendo constituir un antecedente para otras investigaciones
relacionadas con el tema.
1.5 OBJETIVOS
1.5.1 Objetivo General
 Desarrollar una Auditoría Informática en la compañía “I COACH

SERVICIOS Consulting & Training Cía. Ltda.”
1.5.2 Objetivos Específicos
 Analizar la eficiencia de los procesos realizados en la empresa “I COACH

Servicios”.
 Verificar la seguridad física, lógica de los diversos ambientes de
procesamiento de información en la empresa “I COACH Servicios”.
 Presentar propuestas que ayuden a salvaguardar la integridad de datos.
4
 Reducir la pérdida de la información por una gestión inadecuada de los
sistemas Informáticos.
5
CAPÍTULO II
MARCO TEÓRICO
2.1 ANTECEDENTES INVESTIGATIVOS
Revisados los archivos de la biblioteca de la Facultad de Ingeniería en Sistemas,

Electrónica e Industrial se encontraron los siguientes trabajos investigativos que pueden
ayudar al desarrollo del proyecto de tesis.
En la investigación de, Castro Núñez Diana Margoth señala lo siguiente:

 De la investigación se concluye que los funcionarios del MIES – INFA en su
mayoría deja a visibilidad las contraseñas de sus ordenadores bajo teclados, en
hojas adhesivas en los monitores lo que hace posible que terceros puedan
ingresar libremente y tomar información importante.
 No existe un plan de contingencia en la institución en el ámbito informático ante
cualquier eventualidad que puede suscitarse la cual puede afectar de manera
significativa el desempeño de la institución.
 Los funcionarios del MIES – INFA poseen en sus computadores software que en
gran parte no es utilizado, lo cual ocupa espacio de memoria y lentitud en sus
equipos.
 El antivirus utilizado por la institución es deficiente por lo que la proliferación
de virus en los computadores es frecuente.
6
 No existe mantenimiento periódico de los equipos de cómputo de la institución
lo que evitaría fallos recurrentes en los ordenadores y molestias en los
funcionarios.
En el proyecto elaborado por Alexandra Elizabeth Solís Acosta señala que:

 La eficiencia de la estructura organizativa de cualquier institución es la clave
para el éxito como se lo ha demostrado con el acelerado desarrollo de los
departamentos de la EMAPA.
 La presencia de un plan de contingencias solo es real y efectiva cuando está
debidamente documentada, aprobada y se la ha dado a conocer a todo el
personal involucrado para de esta manera reducir el impacto del desastre
informático.
 Ejecutar un correcto plan de mantenimiento para los equipos de cómputo ha
permitido que estos se mantengan en las mejores condiciones y que no existan
pérdidas económicas ni de información por fallas de hardware.
 La disposición física de los departamentos es un factor determinante al momento
de considerar la seguridad tanto de la información como de los equipos de
cómputo para mantenerlos alejados de manipulaciones mal intencionadas ya que
representan una gran ventaja ante cualquier desastre informático.
 Aplicar un estudio de proyección en el cableado estructurado haciendo uso de
los estándares y normas respectivos a la informática.
 En lo que son problemas de la empresa (por ejemplo: Facturación) se lo
comunica al director del departamento para que este notifique al director del
departamento de sistemas, pero en inconvenientes con la red, o equipos de
cómputo, los empleados comunican directamente al centro de cómputo.
7
2.2 FUNDAMENTACIÓN TEÓRICA
2.2.1 AUDITORIA
 Actividad para determinar, por medio de la investigación, la adecuación de los

procedimientos establecidos, instrucciones, especificaciones, codificaciones y
estándares u otros requisitos, la adhesión a los mismos y la eficiencia de su
implantación [1]
 Examen de información por parte de una tercera persona, distinta de la que la

preparó y del usuario, con la intención de establecer su razonabilidad dando a
conocer los resultados de su examen, a fin de aumentar la utilidad que tal
información posee. [2]
Proceso De Auditoria
 Planificación
 Ejecución
 Conclusión
Tabla 2.1: Proceso de la Auditoría, [2]
ETAPAS OBJETIVOS RESULTADOS

Planificación Predeterminar procedimientos Memorándum de planificación y
programas de trabajo
Ejecución Obtener elementos de juicio Evidencia documentación
Conclusión Emitir juicio, basado en Informe del auditor
evidencia
2.2.2 INFORMÀTICA
 Conjunto de conocimientos científicos y técnicas que hacen posible el
tratamiento Automático de la información por medio de ordenadores. [3]
8
 Ciencia que estudia el tratamiento de la información mediante medios
automáticos, es decir la ciencia de la información automática. [4]
2.2.3 AUDITORIA INFORMÁTICA
 La Auditoría en informática se refiere a la revisión práctica que se realiza sobre

los recursos informáticos con que cuenta una entidad con el fin de emitir un
informe o dictamen sobre la situación en que se desarrollan y se utilizan esos
recursos. [5]
 Conjunto de técnicas, actividades y procedimientos, destinados a analizar,

evaluar, verificar y recomendar en asuntos relativos a la planificación, control,
eficacia seguridad y adecuación del servicio informático en la empresa, por lo
que comprende un examen metódico, puntual y discontinuo del servicio
informático, con vistas a mejorar en: [6]
 Seguridad
 Rentabilidad
 Eficacia
Tabla 2.2: Auditoria, Control, Control de Gestión [5]
AUDITORÍA CONTROL CONTROL DE

GESTIÓN
¿QUÉ Examina, Establece Evalúa el coeficiente
HACE? enjuicia y dispositivos de objetivos/realización
recomienda seguridad
¿CUANDO Dando un corte Permanentemente Permanentemente
SE HACE? en el calendario
¿COMOSE Desmonta los Vigila Acciones correctivas.
HACE? mecanismos
9
2.2.4 ESTÁNDARES DE AUDITORÍA INFORMÁTICA
El auditor de procesos de TI tienen una variada gama de herramientas y/o marcos de

trabajo que pueden asistirle al momento de aplicar la auditoría que corresponda, dando
una visión objetiva para que el auditor decida qué marco es el mejor para usarse en base
al medio donde realice su trabajo y dependiendo de la función que cumple la
organización. [7]
A continuación, en el siguiente cuadro comparativo los marcos de trabajo que se han

considerado importantes, cuya principal diferencia entre ellos es el enfoque que
manejan para atender y desarrollar las áreas de TI y su cobertura:
Tabla 2.3: Cuadro comparativo Marcos de Trabajo [5]
COBIT(Gestión de la ITIL(Gestión de la ISO 27000(Gestión

ÁREA Seguridad de la Seguridad de la de la Seguridad de
Información) Información) la Información)
Abarca todo el espectro Muy centrado en la Cubre todo lo

de las actividades de TI administración de referente a la
ALCANCE (seguridad, control, servicios entrega de
servicios y riesgos) servicios de TI
Establece controles Dar soporte a los Definir los

internos para asegurar procesos del requerimientos
buenas prácticas de negocio desde una necesarios para
gestión de IT y un perspectiva de realizar una
OBJETIVO gobierno de IT exitoso) gestión de servicios entrega de
PRINCIPAL servicios de TI
alineados con las
necesidades del
negocio.
Mapeo de Procesos IT Mapeo de la Marco de

Gestión de Niveles referencia de
FUNCIONES de Servicio de IT seguridad de la
información.
ÁREAS 4 Procesos y 34 9 Procesos 10 Dominios

Dominios
CREADOR ISACA OGC ISO International
10
Organization for
Standarization
Auditoría de Sistemas Gestión de Niveles Cumplimiento del

¿Para qué se de Información de Servicio estándar de
implementa? seguridad
Actualmente el Ecuador cuenta con un marco regulatorio y normativo reducido en

materia informática. Las organizaciones más importantes son: Institute of Internal
Auditors(IIA), e InformationSystemAudit and Control Association(ISACA).
Las organizaciones antes mencionadas, han desarrollado normas y estándares con el fin
de establecer políticas y lineamientos que garanticen el proceso de auditoría.
Entre los estándares más conocidos son:
- COBIT: Control Objectives for Information and related Technology.
Desarrollado por Information Systems Audit and Control Association (ISACA).
Centra su interés en la gobernabilidad, aseguramiento, control y auditoría para
Tecnologías de la Información y Comunicación (TI).
Las TI están presentes en todas las áreas de las organizaciones, se hace necesario
mejorar la planificación de futuras implementaciones, la compatibilidad entre sistemas y
la organización del personal y de la empresa, COBIT siendo está metodología el marco
de una definición de estándares y conducta profesional para la gestión y el control de las
TI, en todos sus aspectos, unificando diferentes estándares, métodos de evaluación y
controles anteriores. [8]
COBIT propone un marco de referencia para la dirección de TI, así como también de
herramientas de soporte que permite a la alta dirección reducir la brecha entre las
necesidades de control, cuestiones técnicas y los riesgos del negocio. COBIT permite el
desarrollo de políticas claras y buenas prácticas para el control de TI en las
organizaciones. Enfatiza el cumplimiento normativo, ayuda a las organizaciones a
11
aumentar el valor obtenido de TI, facilita su alineación y simplifica la implementación
del marco de referencia de COBIT. [9]
Historia de versiones de COBIT

A la fecha, COBIT tiene cuatro versiones mayores publicadas:
 En 1996, la primera edición de COBIT fue publicada. Esta incluía la colección y
análisis de fuentes internacionales reconocidas y fue realizada por equipos en
Europa, Estados Unidos y Australia.
 En 1998, fue publicada la segunda edición; su cambio principal fue la adición de
las guías de gestión. Para el año 2000, la tercera edición fue publicada y en el
2003, la versión en línea ya se encontraba disponible en el sitio de ISACA.
 Fue posterior al 2003 que el marco de referencia de COBIT fue revisado y
mejorado para soportar el incremento del control gerencial, introducir el manejo
del desempeño y mayor desarrollo del Gobierno de TI.
 En diciembre de 2005, la cuarta edición fue publicada y en Mayo de 2007, se
liberó la versión 4.1.
 La última versión de COBIT fue liberada en Abril de 2012, esta última versión
consolida e integra los marcos de trabajo COBIT 4.1, Val IT 2.0 y Risk IT, y
también se basa significativamente en el marco de trabajo de aseguramiento de
TI de ISACA (ITAF) y el Modelo de Negocio para la Información de Seguridad
(BMIS). Sigue en línea con los marcos de trabajo y estándares como ITIL, ISO,
PMBOK, PRINCE2 y FFIEC 7.
2.2.5 ESTRUCTURA DEL MARCO REFERENCIAL COBIT 4.1
El marco de referencia de COBIT consta de objetivos de control de TI de alto nivel y de

una estructura general para su clasificación y presentación, que han sido en tres niveles
de actividades de TI al considerar la administración de sus recursos estos son: [10]
12
Actividades: las actividades y tareas son las acciones requeridas para lograr un
resultado medible. Las actividades tienen un ciclo de vida, mientras que las tareas son
más discretas.
Procesos: son conjuntos de actividades o tareas con delimitación o cortes de control.
Dominios: Es la agrupación natural de procesos denominador frecuentemente como
dominios que corresponden a la responsabilidad organizacional.
Es decir, el marco de referencia conceptual de COBIT puede ser enfocado desde tres
puntos estratégicos:
Criterios de información
Recursos de TI
Procesos de TI
Figura 2.1: Cubo COBIT, [13]
2.2.6 DOMINIOS
Cobit presenta treinta y cuatro objetivos generales, uno para cada uno de los procesos de
las TI, estos procesos están agrupados en cuatro dominios como lo muestra la figura:
(Ver figura en la siguiente página)
13
Figura 2.2: Dominios COBIT [13]
PLANEAR Y ORGANIZAR (PO)

Este Dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la
manera que TI pueda contribuir de la mejor manera el logro de los objetivos del
negocio. Además la realización de la visión estratégica requiere ser planeada,
comunicada y administrada desde diferentes perspectivas. Finalmente, se debe
implementar una estructura organizacional y una estructura tecnológica apropiada. [11]
ADQUIRIR E IMPLEMENTAR (AI)

Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas,
desarrolladas o adquiridas así como la implementación e integración en los procesos de
negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a
sistemas existentes. [11]
ENTREGAR Y DAR SOPORTE (DS)

Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la
prestación del servicio, la administración de los datos y de las instalaciones
operacionales. [11]
MONITOREAR Y EVALUAR (ME)

Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su
calidad y cumplimiento de los requerimientos de control. Este dominio abarca la
14
administración del desempeño, el cumplimiento regulatorio y la aplicación del
gobierno. [11]
2.2.7 EVALUACIÓN DE LOS CONTROLES COBIT 4.1
OBJETIVOS DE CONTROL
Un objetivo de control de TI es una declaración o fin que se desea lograr al implantar

procedimientos de control en una actividad de TI en particular. Los objetivos de control
de COBIT son los requerimientos mínimos para un control efectivo de cada proceso de
TI. Cada uno de los procesos de TI de COBIT tiene un objetivo de control de alto nivel
y un número de objetivos de control detallados. [12]
Los objetivos de control detallados se identifican por dos caracteres que representan el
dominio (PO, AI, DS y ME) más un número de proceso y un número de objetivo de
control.
2.2.8 MARCO DE TRABAJO COMPLETO DE COBIT 4.1
DOMINIO: PLANEAR Y ORGANIZAR

Tabla 2.4 Marco de Trabajo Completo COBIT 4.1 [13]
COBIT 4.1
DOMINIO PROCESOS OBJETIVOS DE CONTROL
PO1.1 Administración del Valor de TI
PO1.2 Alineación de TI con el Negocio
PO1. Definir un
PO 1.3 Evaluación del Desempeño y la Cap. Actual
Plan Estratégico
de TI PO 1.4 Plan Estratégico de TI
PO 1.5 Planes Tácticos de TI
PO1.6 Administración del Portafolio de TI
ORGANIZAR
PLANEAR Y
PO 2.1 -Modelo de Arq. de Información Empresarial

PO2. Definir la PO 2.2 Diccionario de Datos Empresarial y Reglas de Sintaxis de
Arquitectura de Datos
la Información PO2.3 Esquema de Clasificación de Datos
PO 2.4 Administración de Integridad.
PO3. PO 3.1 Planeación de la Dirección Tecnológica
Determinar la PO 3.2 Plan de Infraestructura Tecnológica
Dirección PO 3.3 Monitoreo de Tendencias y Regulaciones Futuras
15
Tecnológica.
PO 3.4 Estándares Tecnológicos
PO 3.5 Consejo de Arquitectura de TI.
PO 4.1 Marco de Trabajo de Procesos de TI
PO 4.2 Comité Estratégico de TI
PO 4.3 Comité Directivo de TI
PO 4.4 Ubicación Organizacional de la Función de TI
PO 4.5 Estructura Organizacional
PO 4. 6 Establecimiento de Roles y Responsabilidades
PO 4.7 Responsabilidad y Aseguramiento de Calidad de TI
PO4. Definir los
Procesos, PO 4.8 Responsabilidad sobre el Riesgo, la Seguridad y el
Organización y Cumplimiento.
Relaciones de PO 4.9 Propiedad de Datos y Sistemas
TI. PO 4.10 Supervisión
PO 4.11 Segregación de Funciones
PO 4.12 Personal de TI
PO 4.13 Personal clave de TI
PO 4.14 Políticas y Procedimientos para Personal Contratado
PO 4. 15 Relaciones
PO 5.1 Marco de Trabajo para la administración Financiera

PO5. PO 5.2 Prioridades dentro del Presupuesto de TI
Administrar la
Inversión en TI. PO 5.3 Proceso Presupuestal
PO 5.4 Administración de Costos de TI
PO 5.5 Administración de Beneficios
PO 6.1 Ambiente de Políticas y de Control
PO6. Comunicar PO 6.2 Riesgo Corporativo y Marco de Referencia de Control
las Aspiraciones Interno de TI
y la Dirección de PO 6.3 Administración de Políticas para TI.
la Gerencia PO 6.4 Implantación de Políticas de TI
PO 6.5 Comunicación de los Objetivos y la Dirección de TI.
PO 7.1 Reclutamiento y Retención del Personal
PO 7.2 Competencias del Personal
PO7. PO 7.3 Asignación de Roles
Administrar los
PO 7.4 Entrenamiento del Personal de TI
Recursos
Humanos de TI PO 7.5 Dependencia sobre los individuos
PO 7.6 Procedimientos de Investigación del Personal
PO 7.7 Evaluación del Desempeño del Empleado
16
PO 7.8 Cambios y Terminación
de Trabajo
PO 8.1 Sistema de Administración de Calidad
PO 8.2 Estándares y Prácticas de Calidad
PO8.
PO 8.3 Estándares de Desarrollo y de Adquisición
Administrar la
Calidad PO 8.4 Enfoque en el cliente de TI
PO 8.5 Mejora Continua
PO 8.6 Medición, Monitoreo y Revisión de la Calidad
PO 9.1 Marco de Trabajo de Administración de Riesgos
PO 9.2 Establecimiento del Contexto del Riesgo
PO9. Evaluar y PO 9.3 Identificación de Eventos
Administrar los PO 9.4 Evaluación de Riesgos de TI
Riesgos de TI PO 9.5 Respuesta a los Riesgos
PO 9.6 Mantenimiento y Monitoreo de un Plan Acción de
Riesgos.
PO 10.1 Marco de Trabajo para la Administración de Programas.
PO 10.2 Marco de Trabajo para la Administración de Proyectos
PO 10.3 Enfoque de Administración de Proyectos.
PO 10.4 Compromiso con los interesados
PO 10.5 Declaración de Alcance del Proyecto
PO 10.6 Inicio de las Fases del Proyecto
PO10. PO 10.7 Plan Integrado del Proyecto
Administrar PO 10.8 Recursos del Proyecto
Proyectos PO 10.9 Administración de Riesgos del Proyecto
PO 10.10 Plan de Calidad del Proyecto
PO 10.11 Control de Cambios del Proyecto
PO 10.12 Planeación del Proyecto y Métodos de Aseguramiento
PO 10.13 Medición del Desempeño, Reporte y Monitoreo del
Proyecto.
PO 10.14 Cierre del Proyecto
DOMINIO: ADQUIRIR E IMPLANTAR
COBIT 4.1
IMPLANT
AI 1.1 Definición y Mantenimiento de los Requerimientos

ADQUIRI
AI1. Identificar
Técnicos y Funcionales del Negocio
RE
AR
soluciones
automatizadas AI 1.2 Reporte de Análisis de Riesgos
17
AI 1.3 Estudio de Factibilidad y Formulación de Cursos de
Acción Alternativos.
AI 1.4 Requerimientos, Decisión de Factibilidad y
Aprobación.
AI 2.1 Diseño de Alto Nivel
AI 2.2 Diseño Detallado
AI 2.3 Control y Posibilidad de Auditar las Aplicaciones
AI 2.4 Seguridad y Disponibilidad de las Aplicaciones.
AI 2.5 Configuración e Implantación de Software Aplicativo
AI2. Adquirir y Adquirido
mantener software
AI 2.6 Actualizaciones Importantes en Sistemas Existentes.
aplicativo
AI 2.7 Desarrollo de Software Aplicativo.
AI 2.8 Aseguramiento de la Calidad del Software
AI 2.9 Administración de los Requerimientos de
Aplicaciones.
AI 2.10 Mantenimiento de Software Aplicativo
AI 3.1 Plan de Adquisición de Infraestructura Tecnológica
AI3. Adquirir y
mantener AI 3.2 Protección y Disponibilidad del Recurso de
infraestructura Infraestructura.
tecnológica AI 3.4 Ambiente de Prueba de Factibilidad.
AI 4.1 Plan para Soluciones de Operación
AI 4.2 Transferencia de Conocimiento a la Gerencia del
AI4. Facilitar la negocio
operación y el uso AI 4.3 Transferencia de Conocimiento a usuarios finales
AI 4.4 Transferencia de Conocimiento al Personal de
Operaciones y Soporte.
AI 5.1 Control de
Adquisición
AI 5.2 Administración de Contratos con Proveedores
AI5. Adquirir AI 5.3 Selección de Proveedores
Recursos de TI AI 5.4 Adquisición de Recursos de TI
AI 6.1 estándares y Procedimientos para Cambios
AI 6.2 Evaluación de Impacto, Priorización y Autorización
AI6. Administrar AI 6.3 Cambio de Emergencia
Cambios AI 6.4 Seguimiento y Reporte del Estatus de Cambio
AI 6.5 Cierre y Documentación del Cambio
AI 7.1 Entrenamiento
AI7. Instalar y
AI 7.2 Plan de Prueba
acreditar soluciones
y cambios AI 7.3 Plan de Implantación
AI 7.4 Ambiente de Prueba
18
AI 7.5 Conversión de Sistemas y Datos
AI 7.6 Pruebas de Cambios
AI 7.7 Prueba de Aceptación Final
AI 7.8 Promoción a Producción
AI 7.9 Revisión Posterior a la Implantación
DOMINIO: ENTREGAR Y DAR SOPORTE
COBIT 4.1
DS 1.1 Marco de Trabajo de la Administración de los
Niveles de Servicio
DS 1.2 Definición de Servicios
DS 1.3Acuerdos de Niveles de Servicio
DS1. Definir y
administrar los DS 1.4 Acuerdos de Niveles de Operación
niveles de servicio DS 1.5 Monitoreo y Reporte del Cumplimiento de los
Niveles de Servicio
DS 1.6 Revisión de los Acuerdos de Niveles de
Servicio y de los Contratos
DS 2.1 Identificación de todas las relaciones con
Proveedores
ENTREGAR Y DAR SOPORTE
DS2. Administrar los DS 2.2 Gestión de Relaciones con Proveedores

servicios de terceros
DS2.3 Administración de Riesgos del Proveedor
DS 2.4 Monitoreo del Desempeño del Proveedor
DS 3.1 Planeación del Desempeño y la Capacidad.
DS 3.2 Capacidad y Desempeño Actual
DS3. Administrar el
desempeño y la DS 3.3 Capacidad y Desempeño Futuros
capacidad DS 3.4 Disponibilidad de Recursos de TI
DS 3.5 Monitoreo y Reporte
DS 4.1 Maco de Trabajo de Continuidad de TI

Ds 4.2 Planes de Continuidad
DS 4.3 Recursos Críticos de TI
DS4. Garantizar la DS 4.4 Mantenimiento del Plan de Continuidad de TI
continuidad del DS 4.5 Pruebas del Plan de Continuidad de TI
Servicio DS 4.6 Entrenamiento del Plan de Continuidad de TI
DS 4.7 Distribución del Plan de Continuidad de TI
DS 4.8 Recuperación y Reanudación de los Servicios
de TI
19
DS 4.9 Almacenamiento de Respaldos Fuera de las
Instalaciones
DS 4.10 Revisión Port Reanudación
DS 5.1 Administración de la Seguridad de TI
DS 5.2 Plan de Seguridad de TI
DS 5.3 Administración de Identidad
DS 5.4 Administración de Cuentas de Usuario
DS 5.5 Pruebas, Vigilancia y Monitoreo de la
DS5. Garantizar la Seguridad
seguridad de los DS 5.6 Definición de Incidente de Seguridad
sistemas DS 5.7 Protección de la Tecnología de Seguridad
DS 5-8 Administración de las Llaves Criptográficas
DS 5.9 Prevención, Detección y Corrección de
Software Malicioso
DS 5.10 Seguridad de la Red
DS 5.11 Intercambio de servicios Sensitivos
DS 6.1 Definición de Servicios
DS 6.2 Contabilización de TI
DS6. Identificar y DS 6.3 Modelación de Costos y Cargos
asignar costos DS 6.4 Mantenimiento del Modelo de Costos
DS 7.1 Identificación de Necesidades de
Entrenamiento y Educación
DS7. Educar y DS 7.2 Impartición de Entrenamiento y Educación
entrenar a usuarios DS 7.3 Evaluación del Entrenamiento Recibido
DS 8.1 Mesa de Servicios
DS 8.2 Registro de Consultas de Clientes
DS 8.3 Escalamiento de Incidentes
DS8. Administrar la
mesa de servicio y los DS 8.4 Cierre de Incidentes
incidentes DS 8.5 Análisis de Tendencias
DS 9.1 Repositorio y Línea Base de Configuración
DS 9.2 Identificación y Mantenimiento de Elementos
de Configuración
DS9. Administrar la
configuración DS 9.3 Revisión de Integridad de la Configuración
DS 10.1 Identificación y Clasificación de Problemas
DS 10.2 Rastreo y Resolución de Problemas
DS 10.3 Cierre de Problemas
DS10. Administrar los DS 10.4 Integración de las Administraciones de
problemas Cambios, Configuración y Problemas
20
DS 11.1 Requerimientos del Negocio para
Administración de Datos
DS 11.2 Acuerdos de Almacenamiento y
Conservación
DS11. Administrar los DS 11.3 Sistema de Administración de Librerías de
datos Medios
DS 11.4 Eliminación
DS 11.5 Respaldo y Restauración
DS 11.6 Requerimientos de Seguridad para la
Administración de Datos
DS 12.1 Selección y Diseño del Centro de Datos
DS 12.2 Medidas de Seguridad Física
DS 12.3 Acceso Físico
DS12. Administrar el DS 12.4 Protección Contra Factores Ambientales
ambiente físico DS 12.5 Administración de Instalaciones Físicas
DS 13.1 Procedimientos e Instrucciones de Operación
DS 13.2 Programación de Tareas
DS13. Administrar las DS 13.3 Monitoreo de la Infraestructura de TI
operaciones. DS 13.4 Documentos Sensitivos y Dispositivos de
Salida
DS 13.5 Mantenimiento Preventivo del Hardware
DOMINIO: MONITOREAR Y EVALUAR
COBIT 4.1
ME 1.1 Enfoque del monitoreo
ME 1.2 Definición y Recolección de Datos de
Monitoreo
ME1. Monitorear y
MONITOREAR Y EVALUAR
Evaluar el Desempeño ME 1.3 Método del Monitoreo

de TI ME 1.4 Evaluación del Desempeño
ME 1.5 Reportes al Consejo Directivo y a Ejecutivos
ME 1.6 Acciones Correctivas
ME 2.1 Monitorización del Marco de Trabajo de
Control Interno
ME2. Monitorear y ME 2.2 Revisiones de Auditoría
Evaluar el control
ME 2.3 Excepciones de Control
interno
ME 2.4 Control de Auto Evaluación
ME 2.5 Aseguramiento del Control Interno
21
ME 2.6 Control Interno para Terceros
ME2.7 Acciones Correctivas
ME 3.1 Identificar los requerimientos de las Leyes,
Regulaciones y Cumplimientos Contractuales
ME 3.2 Optimizar la Respuesta a Requerimientos
ME3. Garantizar el Externos
Cumplimiento ME 3.3 Evaluación del Cumplimiento con
Regulatorio Requerimientos Externos
ME 3.4 Aseguramiento Positivo del Cumplimiento
ME 3.5 Reportes integradora
ME 4.1 Establecimiento de un Marco de Gobierno
de TI
ME 4.2 Alineación Estratégico
ME4. Proporcionar ME 4.3 Entrega de Valor
Gobierno de TI ME 4.4 Administración de recursos
ME 4.5 Administración de Riesgos
ME 4.6 Medición del Desempeño
DS 4.7 Aseguramiento Independiente
2.2.9 MODELOS DE MADUREZ
Cada vez con más frecuencia, se requiere que las entidades tanto públicas como
privadas empleen herramientas de evaluación hacia la administración de TI con el fin de
obtener una medición relativa de donde se encuentra la organización; una manera de
decidir hacia dónde ir de forma eficiente; y una herramienta para medir el avance contra
la meta. [13]
Los modelos de madurez para el control de los procesos de TI consisten en desarrollar
un método de puntaje de modo que una organización pueda calificarse a sí misma desde
inexistente hasta optimizada (de 0 a 5).
 El estado actual de la organización ‐ dónde está la organización actualmente
 El estado actual de la industria (la mejor de su clase en) ‐ la comparación
 El estado actual de los estándares internacionales ‐ comparación adicional
 La estrategia de la organización para mejoramiento ‐ dónde quiere estar la
 organización.
22
0 Inexistente. Carencia completa de cualquier proceso reconocible.
1 Inicial. Existe evidencia que la empresa ha reconocido que los problemas existen y
requieren ser resueltos.
2 Repetible Se han desarrollado los procesos hasta el punto en que se siguen
procedimientos similares en diferentes áreas que realizan la misma tarea.
3 Definido Los procedimientos se han estandarizado y documentado, y se han difundido
a través de entrenamiento.
4 Administrado Es posible monitorear y medir el cumplimiento de los procedimientos
y tomar medidas cuando los procesos no estén trabajando de forma efectiva.
5 Optimizado Los procesos se han refinado hasta un nivel de mejor práctica se basan
en los resultados de mejoras continuas y en un modelo de madurez con otras empresas.
Figura 2.3 Representación gráfica de los modelos de madurez [13]
En la siguiente ilustración se muestra en resumen cómo los distintos elementos del

marco de trabajo COBIT 4.1 se relacionan con las áreas de Gobierno del negocio.
23
Figura 2.4: Diagrama Marco de Trabajo COBIT 4.1 [13]
2.3 PROPUESTA DE SOLUCIÓN
Al desarrollar la Auditoría Informática, en la empresa “I COACH Servicios” se va a

obtener resultados que permiten identificar el Nivel de Madurez que se encuentran los
diferentes procesos COBIT seleccionados, además se evaluará las la eficiencia de los
procesos realizados por la compañía y medidas de seguridad de la información
implementadas en la compañía “I COACH Servicios”, y gracias a esto se va a emitir
24
recomendaciones para la implementación de diversos proyectos tecnológicos y de
gestión que permitan disminuir la brecha existente entre el nivel de madurez actual y la
propuesta a alcanzar.
25
CAPÍTULO III
METODOLOGÍA
3.1 MODALIDAD DE LA INVESTIGACIÓN
Este trabajo de investigación Auditoría Informática en la Compañía, “I COACH

SERVICIOS” tiene un enfoque cualitativo ya que la obtención de los datos es
participativa para los diferentes departamentos de la Compañía “I COACH
SERVICIOS”, brindando una perspectiva desde el interior del problema y asumiendo
una realidad dinámica de la misma y cuantitativa debido a que la indagación será
objetiva, normativa, explicativa, actual y realista.
3.2. POBLACIÓN Y MUESTRA
3.2.1 POBLACIÓN
Debido a las características de la investigación no se requiere población, ya que
el investigador irá directo a la fuente y verificará los datos personalmente, en
cada uno de los departamentos auditables.
3.3 PROPUESTA DE SOLUCIÓN
La Auditoria Informática influye en la mejora del control y manejo de archivos,

información y equipamiento informático además ayudará a brindar un mejor y
mayor servicio a los tungurahuenses.
26
3.4 RECOLECCIÓN DE INFORMACIÓN
El plan que se empleará para recolectar la información son: entrevistas,
encuestas, guías de observaciones y levantamiento de información a todo el
personal de la empresa, para poder saber con certeza la situación real de la
misma, los procedimientos se realizarán en la misma empresa ubicada en la Av.
Atahualpa y Darío Guevara.
3.5 PROCESAMIENTO Y ANÁLISIS DE DATOS

Los datos que se recolecten del levantamiento de información serán tabulados,
pregunta por pregunta para tener un resultado óptimo de la información. Y de
esta manera poder emitir alternativas de solución.
3.6 DESARROLLO DEL PROYECTO
 Alcance de la Auditoría Informática

 Estudio inicial del entorno a auditar
 Determinación de los recursos necesarios para realizar la auditoría informática
 Elaboración del plan de trabajo
 Realizar actividades de la auditoría
 Redacción de la Carta de Presentación (Informe Ejecutivo)
27
CAPÍTULO IV
AUDITORIA INFORMÁTICA MEDIANTE COBIT 4.1
4.1 ALCANCE DE LA AUDITORÍA INFORMÁTICA
El alcance de la presente auditoría está determinada por los procesos de los

cuatro dominios como son: Planificar y Organizar, Adquirir e Implementar,
Entregar y Dar Soporte, Monitorear y Evaluar, del marco referencial COBIT 4.1,
que nos indica la forma de utilizar la tecnología de la información para lograr los
objetivos de la compañía, y su evaluación paulatina para verificar su calidad y
suficiencia, en cuanto a los requerimientos de control.
Como primera actividad se recogerá, agrupará y evaluará evidencias, para

determinar si los procesos que se realizan en la compañía así como también los
sistemas informáticos de la misma mantienen la integridad de los datos y,
principalmente si lleva a cabo eficazmente los fines de la compañía, utilizando
eficientemente los recursos.
El presente proyecto comprende un diagnóstico de los procesos del

Departamento de Publicidad, Administrativo, Académico, Sistemas y Secretaria,
para determinar el grado de cumplimiento en base a los procesos y objetivos de
control planteados en el modelo metodológico de COBIT 4.1 e identificar los
procesos críticos de la compañía, y falencias detectadas, las cuales permitirán
generar recomendaciones que quedarán planteadas en el informe final para que
puedan ser aplicadas según el criterio de las autoridades.
28
4.2 ESTUDIO INICIAL DEL ENTORNO A AUDITAR
4.2.1 ANÁLISIS SITUACIONAL
Durante el desarrollo de esta fase se conocerá a fondo a la Compañía “I COACH

Servicios Consulting & Training Cia. Ltda.”, realizando el análisis situacional de
la misma, esto es, su descripción, su infraestructura, productos y servicios que
ofrece, entre otros temas; dándonos con ello una idea general de la misma, pues
es la empresa en la cual se desarrolla el presente trabajo de tesis.
4.2.2 DEFINICIÓN DE LA COMPAÑÍA
“I COACH Servicios Consulting & Training Cia. Ltda.”, es una empresa de

servicios de capacitación idiomática, desarrollo organizacional, consultoría
empresarial, desarrollo mental y lectura avanzada, constituida mediante escritura
pública el 22 de junio de 2012, otorgada ante el notario quinto del cantón
Ambato, doctor Hernán Santamaría, y legalmente inscrita en el Registro
Mercantil el 17 de agosto de 2012, bajo el número 823 y el número 3166 del
libro de repertorio de inscripciones.
“I COACH Servicios” fue constituida bajo las leyes y políticas del Estado
ecuatoriano regida por la Ley de Compañías, siendo la Superintendencia de
Compañías su órgano rector.
Al ser una empresa legalmente constituida su manejo contable, financiero y

tributario está basado en la Ley de Régimen Tributario Interno y su respectivo
reglamento de aplicación.
29
Se incluye los servicios de:
 Desarrollo Organizacional
 Capacitación Idiomática
 Desarrollo Mental y Lectura Avanzada
 Network Marketing
Es por esto que brinda la posibilidad a todos sus potenciales usuarios de escoger
entre diversas opciones de servicio, acordes al tipo de necesidad. Es una
compañía con amplia experiencia en los servicios de capacitación idiomática a
nivel profesional, y a nivel institucional, razón por la cual está en capacidad de
garantizar la satisfacción de todas las exigencias y necesidades de sus usuarios.
4.2.3 ANTECEDENTES
La compañía “I COACH Servicios Consulting & Training Cia. Ltda.”, funciona

en la ciudad del Ambato, Latacunga, Esmeraldas, Quinindé, Portoviejo, Jipijapa,
La Concordia, Santo Domingo y Tena, es una institución educativa que trabaja
al servicio de toda la comunidad tungurahuense.
La compañía no cuenta con un sistema informático diseñado directamente para

sus necesidades, ya que para uno de los procesos que más se repite y es el de
reservaciones para asesorías académicas ya sea tanto del idioma inglés como del
idioma español, se utiliza el programa “OUTLOOK”, en el cuál se posee el
correo corporativo de secretaria, Calendario en el cuál se registra el nombre,
lección día y hora de las asesoría académica del usuario de la compañía.
El motor de base de datos que utiliza la compañía no es el adecuado ya que toda

la información de los usuarios se encuentra en una base datos registrada en
Excel.
30
La página web de la compañía “I COACH Servicios” contiene toda la
información correspondiente a ella, en lo que respecta a su misión, visión,
productos, servicios, además material de los programas brindados por la misma.
Sucintándose de igual forma un malestar con este tema, ya que para ingresar a
ver su material virtual en la página web, el usuario debe tener su usuario y
contraseña, y no todos los usuarios de la compañía cuentan con estos datos, por
diferentes motivos, entre ellos falta de información o porque no se ha delegado
una persona o responsable de entregar o generar dicha información.
Las personas involucradas en el desarrollo de esta auditoría son:

Gerente General: para apoyar sus decisiones de inversión en TI y control sobre
el rendimiento de las mismas, analizar el costo beneficio del control
Jefe de Sistemas: para identificar los controles que requieren en cada una de sus
áreas.
Departamento de Publicidad: para identificar los procesos críticos en esta área.
Departamento Académico: para identificar los procesos críticos en esta área.
Departamento Administrativo: para identificar los procesos críticos en esta área.
Secretaria: para identificar los procesos críticos en esta área.
Usuarios finales: quienes obtienen una garantía sobre la seguridad y el control
de los productos que adquieren interna y externamente.
Este trabajo de auditoría informática servirá como una herramienta, tanto para el
departamento administrativo, de Publicidad, Académico y como Secretaría; el
cual permitirá efectuar evaluaciones periódicas en todas las áreas de la
compañía.
4.2.4 CULTURA ORGANIZACIONAL

“I COACH Servicios” tiene una cultura organizacional basada en sus principios
empresariales que están constituidos por su Misión, Visión y Valores, descritos a
continuación.
Misión
31
Co-crear recursos y servicios de capacitación y comunicación dirigidos a
fomentar y acompañar el crecimiento personal, organizacional y comunitario,
alineados con los más altos estándares locales y mundiales de calidad que partan
de entendimiento e investigación de la nuevas formas de innovar y liderar
procesos que lleven al ser humano a superar las expectativas individuales y
colectivas propias de sus roles de competitividad y liderazgo en el marco de un
entorno global de excelencia.
Visión
Consolidarnos como una empresa de vanguardia en el ámbito latinoamericano,
que impacte positivamente en el buen vivir de la sociedad, a través de una
filosofía de servicio competitivo y de alto impacto que nos permita convertirnos
en corto plazo en un centro modelo de innovación y resultados en el género de
recursos y servicios de capacitación y comunicación dirigidos al fomento y
acompañamiento del crecimiento personal.
Valores
 Inocencia
 Espíritu Constructivo
 Reciprocidad
 Calidad
 Libertad
CLIENTES
Están divididos en dos segmentos de mercado:
 Usuarios con perfil profesional
 Usuarios con perfil estudiantil
USUARIOS CON PERFIL PROFESIONAL
Cubre usuarios profesionales así como también a las personas que se dedican a
la explotación Petrolera o minera, y tienen un horario complejo.
32
USUARIOS CON PERFIL ESTUDIANTIL
Cubre usuarios niños, adolescentes y jóvenes que aún están cursando la escuela,
colegio o la universidad, y de igual forma sus horarios son limitados.
4.2.5 ESTRUCTURA ORGANIZACIONAL DE I COACH SERVICIOS
Presidente
Gerente
Secretaria General
General
Coordinador Nacional Director Nacional de Director de

Académico Publicidad Sistemas
Monitor Director de
Académico Zona Publicidad
Tutores Director de
Filial Publicidad
Gerente
Publicidad
Advisor
Figura 4.1: Organigrama Estructural I COACH Servicios
33
4.2.6 PUESTOS DE TRABAJO DE LA COMPAÑÍA “I COACH SERVICIOS”
El número de puestos de trabajo de la compañía en la ciudad de Ambato se detallan a
continuación:
Tabla 4.1 Puestos de Trabajo Compañía “I COACH SERVICIOS”
PUESTOS DE TRABAJO “I COACH SERVICIOS”

Gerente General 1
Departamento de Publicidad 5
Departamento Académico 4
Departamento Administrativo 3
Departamento de Sistemas 1
Número Total de Puestos de Trabajo 14
4.2.7 DESCRIPCIÓN DE CARGOS I COACH SERVICIOS

Tabla 4.2 Descripción del Cargo Presidente “I COACH Servicios”
Nombre del Cargo Presidente
Objetivo Ejercer funciones ejecutivas y de dirección a través de la

Gerencia General.
Dependencia Junta Directiva
Supervisa a Gerente General, Director Nacional de Publicidad
Funciones y - Dirigir y controlar el funcionamiento de la
Responsabilidades compañía, tanto la matriz como las sucursales.

- Convocar y presidir las sesiones de la Junta
Directiva, determinando los asuntos a ser
incorporados en la Agenda y supervisar, a través de
la Gerencia General, la correcta ejecución de los
acuerdos alcanzados.
34
- Informar a la junta Directiva la situación actual de
la empresa.
- Tomar decisiones prontas e inteligentes basadas en
el análisis que ayude a coordinar y actualizar las
diferentes áreas.
- Cumplir y hacer cumplir las decisiones adoptadas
por la Junta Directiva
Tabla 4.3 Descripción del Cargo Gerente General “I COACH Servicios”

Nombre del Cargo Gerente General
Objetivo Ejercer la dirección y representación legal, judicial y

extrajudicial, estableciendo las políticas generales que
regirán a la empresa.
Dependencia Presidencia
Supervisa Coordinador Nacional Académico, Secretaria General,

Departamento Administrativo
Funciones y - Planificar, organizar, direccionar y evaluar todas
Responsabilidades las funciones de la empresa y sus resultados.

- Responder de los resultados de sus acciones y las
de sus subordinados ante el Directorio, de quien
depende.
- Dirigir la contabilidad velando porque se cumplan
las normas legales que la regulan.
- Liderar los procesos de evaluación de la situación
competitiva de la empresa, del sector y la
formulación de las estrategias de la compañía a
todo nivel, comercial, productivo, financiero y
administrativo.
- Abrir, cerrar y administrar cuentas bancarias, sean
35
corrientes, de ahorro, crédito o cualquier otra
naturaleza, con o sin garantía en las cuentas
bancarias que la empresa tenga abiertas en
instituciones bancarias.
- A través de las Gerencias de las diferentes filiales,
verificar el desempeño general de la empresa,
adoptar las medidas que sean necesarias para
orientar el desarrollo de las operaciones de acuerdo
con las condiciones del mercado y los objetivos
propuestos y lo dispuesto por la Junta Directiva.
- Verificar que todas las actividades del proceso
estén encaminadas a cumplir con las metas
establecidas.
- Representar a la empresa ante los clientes y
proveedores.
Tabla 4.4 Descripción del Cargo Coordinador Nacional Académico “I COACH Servicios”
Nombre del Cargo Coordinador Nacional Académico
Objetivo Coordinar las actividades académicas, así como también

las actividades que se desarrollan en cada una de las
filiales, supervisando y evaluando el proceso de enseñanza
para garantizar el desarrollo integral de los usuarios.
Dependencia Presidente, Gerente General
Supervisa Monitor, Tutores
36
Funciones y - Elaborar normas y procedimientos académicos.
Responsabilidades - Detectar y analizar las necesidades que se derivan

de las actividades académicas y canalizar su
solución.
- Entrevistar a personal aspirante a cargos
académicos.
- Orientar y dirigir la Planeación y programación
académica, de acuerdo con los objetivos y criterios
empresariales.
- Aprobar actividades complementarias y especiales
organizadas por el Monitor de cada filial.
- Llevar el control de las estadísticas de los usuarios
de cada filial.
- Elaborar informes periódicos sobre avances de
cada filial y actividades en las mismas.
- Organizar el horario general de los monitores y
tutores de cada filial.
- Coordinar con el personal administrativo, docente
y de servicio el desarrollo de actividades
programadas.
- Viajar y Supervisar en el área académica de cada
filial.
Tabla 4.5 Descripción del Cargo Monitor Académico “I COACH Servicios”
Nombre del Cargo Monitor Académico
Objetivo Proporcionar a Coordinación una valoración sobre cómo

se está realizando la implantación de cada una de las
actividades en la filial.
Dependencia Coordinador Nacional Académico
37
Supervisa Tutores
Funciones y - Monitorear la gestión académica de los tutores
Responsabilidades - Atender y resolver los problemas y/o novedades

que se suscitan en su filial a cargo, por parte de los
usuarios o tutores.
- Generar reportes e informes de la gestión
académica de los tutores, basados en los
instructivos entregados por Coordinación.
- Generar reportes específicos, en atención a pedidos
de Coordinación Académica Nacional.
- Identificar necesidades de herramientas de gestión
académica en el salón.
- Capacitar a los usuarios en el uso del material e
informar de las actualizaciones o refuerzos en la
parte académica, con la finalidad de optimizar el
aprendizaje de la misma.
- Dar seguimiento a usuarios inactivos.
Tabla 4.6 Descripción del Cargo Tutor “I COACH Servicios”
Nombre del Cargo Tutor
Objetivo Impartir educación de calidad y guiar en el aprendizaje del

idioma los usuarios de la compañía.
Dependencia Monitor Académico
Supervisa
38
Funciones y - Preparar los contenidos académicos para dictar las
tutorías y/o talleres a los usuarios.
Responsabilidades - Asistir puntualmente a su área de trabajo.
- Orientar a los usuarios en su proceso de
aprendizaje del idioma.
- Dinamizar las clases para cubrir y mejorar las
habilidades de los usuarios en el idioma.
- Trabajar material adicional con los usuarios para
reforzar temas de las tutorías.
- Llevar un registro del progreso en la ficha de cada
uno de los usuarios.
- Realizar evaluaciones y retroalimentar los
resultados a los usuarios de los diferentes niveles.
Tabla 4.7 Descripción del Cargo Director Nacional de Publicidad “I COACH Servicios”
Nombre del Cargo Director Nacional de Publicidad
Objetivo Coordinar el equipo de publicidad buscando cumplir con

los objetivos propuestos, desarrollando estrategias
orientadas que logre satisfacer las demandas y necesidades
de un mercado meta.
Dependencia Presidente
Supervisa Director de Zona de Publicidad
Funciones y - Elaborar estrategias de publicidad para cada filial.

- Distribuir el mercado y planear canales y
Responsabilidades
territorios de ventas.
- Definir un plan estratégico de Marketing acorde
con los objetivos empresariales.
- Realizar planes estratégicos de mercadeo, que
permitan modificaciones y adaptaciones para
operar en las diferentes filiales.
- Elaborar y dar seguimiento a los planes de
Comercialización del servicio que ofrece la
compañía.
39
- Asistir a otros departamentos de la compañía con
información relacionada con las actividades
publicitarias.
- Entrevistar a personal aspirante a cargos
académicos.
- Coordinar con el personal de publicidad, el
desarrollo de actividades programadas.
- Viajar y Supervisar periódicamente en el área
publicitaria de cada filial.
Tabla 4.8 Descripción del Cargo Director de Zona de Publicidad “I COACH Servicios”
Nombre del Cargo Director de Zona de Publicidad
Objetivo Planificar y dirigir la política de promoción, venta y

distribución del servicio que ofrece la compañía
Dependencia Director Nacional de Publicidad
Supervisa Director de la Filial de Publicidad
Funciones y - Planificar y controlar los procesos de ventas de la

Compañía
Responsabilidades - Coordinar y supervisar la gestión comercial de la
Fuerza de Ventas (seguimiento, negociación y
cierre de operaciones comerciales) a través de
visitas a los usuarios.
- Ejecutar y controlar las acciones que le permitan
cumplir con los objetivos mensual
- Controlar e implementar planes de acción.
- Controlar los procesos comerciales / Logros de
objetivos diarios.
- Elaborar en coordinación con los niveles
estratégicos de las diferentes filiales los planes
operativos, programas y presupuestos.
40
Tabla 4.9 Descripción del Cargo Director de Filial de Publicidad “I COACH Servicios”
Nombre del Cargo Director de Filial de Publicidad
Objetivo Ser capaz de inspirar y guiar a su equipo de trabajo sobre

la base del liderazgo como modelo a seguir, incluyendo la
mentalidad de siempre darlo todo y más aún.
Dependencia Director de Zona de Publicidad
Supervisa Gerente de Publicidad, Advisor
Funciones y - Elaborar los planes y acciones a corto y medio
Responsabilidades plazo para conseguir los objetivos marcados por la

empresa, diseñando las estrategias necesarias.
- Investigar el mercado, previendo la evolución del
mismo y anticipando las medidas necesarias para
adaptarse a las nuevas inclinaciones o tendencias.
- Dirigir las actividades de la red comercial
existente, formando al equipo y motivándolo.
- Fijar tanto la política de precios y condiciones de
venta como los canales de distribución.
- Responsabilizarse de la negociación y seguimiento
de grandes cuentas.
- Llevar a cabo las acciones de seguimiento
necesarias para asegurar la máxima efectividad en
la consecución de objetivos.
- Entrena a los promotores de ventas en el área
- Selecciona, corrige, diseña y titula diversos
artículos publicitarios.
- Organiza eventos de promoción y/o publicidad.
41
Tabla 4.10 Descripción del Cargo Gerente de Publicidad “I COACH Servicios”
Nombre del Cargo Gerente Publicidad
Objetivo Dirigir, orientar, y controlar a sus Advisor, tanto en el

seguimiento de publicidad, estrategia de negocio, tele
mercadeo.
Dependencia Director de Filial de Publicidad
Supervisa Advisor
Funciones y - Apoyar en la realización e investigación de
responsabilidades mercado de la competencia para dar sugerencias

sobre estrategias de servicio
- Responsable del seguimiento al entrenamiento y
capacitación a personal de mercadeo nuevo que
ingresa a la empresa
- Da seguimiento al plan de mercadeo y publicidad
del departamento
- Supervisa, distribuye y evalúa las actividades del
personal a su cargo.
- Las decisiones que se toman se basan en
procedimientos y experiencias anteriores para la
ejecución normal del trabajo, a nivel operativo.
- Creación de alianzas y desarrollo de propuestas de
valor a corporativos y donantes mayores.
- Coordinar a su equipo de trabajo para el logro de
las metas establecidas
Tabla 4.11 Descripción del Cargo Advisor de Publicidad “I COACH Servicios”

Nombre del Cargo Advisor
Objetivo Asesorar a los clientes acerca de cómo los productos o

servicios que ofrece pueden satisfacer sus necesidades y
42
deseos.
Dependencia Gerente de Publicidad
Supervisa _________
Funciones y - Cumplir con las políticas y procedimientos
responsabilidades expuestos por su jefe inmediato.

- Obtener base de datos para posibles usuarios.
- Concretar citas con posibles usuarios para ofrecer
el servicio que brinda la compañía.
- Trabajar en equipo para alcanzar las metas a corto
y largo plazo.
Tabla 4.12 Descripción del Cargo Director de Sistemas” I COACH Servicios”

Nombre del Cargo Director Sistemas
Objetivo Planear, organizar, y mantener en operación los sistemas

de información y el equipo de cómputo de las diferentes
áreas que permitan el adecuado desempeño, y
simplificación del procesamiento de datos en la compañía.
Dependencia Gerente General
Supervisa ______________
Funciones y - Asegurar el buen funcionamiento de los sistemas
responsabilidades informáticos de acuerdo a los objetivos, la misión y

visión de la compañía.
- Administrar la configuración de la red local.
- Asegurar la conectividad de voz y datos entre los
servicios y estaciones de trabajo de la compañía.
- Administrar la infraestructura de sistemas de
cómputo y redes.
- Supervisar el oportuno mantenimiento preventivo y
43
correctivo del equipo de cómputo.
- Mantener la integridad de datos y sistemas de
información.
Tabla 4.13 Descripción del Cargo Secretaria “I COACH Servicios”

Nombre del Cargo Secretaria General
Objetivo Ejecutar actividades pertinentes al área secretarial y asistir

al Dpto. Administrativo, Académico, y de Publicidad,
aplicando técnicas secretariales, a fin de lograr un eficaz y
eficiente desempeño acorde con los objetivos de la
compañía.
Dependencia Gerente General
Supervisa ______________
Funciones y - Coordinar la agenda de Gerencia General.
responsabilidades - Elaborar memorandos y oficios para colaboradores

de la compañía, organismos de control,
instituciones financieras y otros.
- Cumplir actividades de apoyo a los diferentes
departamentos de la compañía.
- Monitorear el cumplimiento de instructivos,
disposiciones, registros, reportes y mas
requerimientos establecidos por las autoridades de
la compañía.
- Elaborar informes para el departamento de
Académico.
44
- Supervisar el cumplimiento de entrega y recepción
de correspondencia enviada a las diferentes filiales.
- Administrar el programa de reservación para los
usuarios.
- Atender y suministrar información a usuarios,
personal de la compañía y público en general.
- Llevar registro de entrada y salida de la
correspondencia.
- Elaborar informes mensuales que sean solicitados.
4.2.8 SEGURIDAD DE LOS DEPARTAMENTOS DE LA COMPAÑÍA “I

COACH SERVICIOS”
La seguridad está planificada desde dos puntos de vista: seguridad física y seguridad
lógica.
SEGURIDAD FÍSICA
La seguridad física está dada desde el ingreso a las instalaciones de la empresa se tiene
una secretaria/recepcionista en el turno de la mañana y una secretaria/recepcionista en el
turno de la tarde, quien es la primera persona con quien se tiene contacto, la cual se
encarga de preguntar el motivo de la visita encargándose de verificar la información
dada, además del direccionamiento de las personas a la compañía, el mismo que permite
el ingreso a la sala de espera, salón de reuniones o a los salones de tutorías
dependiendo el caso.
Para el ingreso a los diferentes departamentos tal como: Gerencia General,
Departamento de Publicidad, Departamento Administrativo o Departamento de
Sistemas, cada individuo que trabaja en la empresa cuenta con el respectivo permiso de
Gerencia, para el caso de personas externas, la persona de recepción es la encargada de
direccionar al usuario al departamento que lo amerite con respectiva autorización de
Gerencia General.
45
De igual manera para pedir documentos de importancia y confidenciales de la empresa,
se lo debe realizar con el respectivo consentimiento de Gerencia General.
SEGURIDAD LÓGICA
En cuanto a la integridad de los datos, aplicaciones y software en los diferentes
departamentos de la compañía, no se han definido procedimientos de respaldo cuya
ejecución y control deberían ser del Departamento de Sistemas. Dentro de la compañía
no existe una replicación de los datos, así como tampoco copias de seguridad de los
mismos.
4.2.9 ANÁLISIS DE PROCESOS REALIZADOS EN LA COMPAÑÍA “I COACH

SERVICIOS”
En esta sección se detallan los procesos que se realizan en la Compañía “I COACH
SERVICIOS”, se realizó una encuesta en base a una matriz de probabilidad de
ocurrencia de un proceso, para tener conocimiento de cuáles son los procesos que
ocurren con más frecuencia y de acuerdo a los resultados obtenidos de dicha encuesta y
de igual forma mediante la observación se elaboraron diagramas, los cuales
esquematizan los procesos seleccionados para evaluar y analizar su eficiencia.
Existen varios procesos que se realizan en la Compañía I COACH, los cuales se listan a
continuación:
 Incorporar personal al área de publicidad
 Generar estrategias de mercadeo para captar usuarios
 Levantamiento de información, posibles usuarios
 Legalización de Contratos con la compañía
 Seguimiento de Cartera
 Reservación de asesorías
 Instalación Seguridad
46
La siguiente tabla muestra la matriz de probabilidad de ocurrencia de cada proceso, en
la cual de acuerdo a determinados criterios se establece la posibilidad de que se dé un
proceso al cual se le asigna una calificación de uno a cuatro, siendo cuatro la
calificación más alta.
Tabla 4.14 Matriz Probabilidad de Ocurrencia de un Proceso
MATRIZ DE PROBABILIDAD DE OCURRENCIA DE UN PROCESO
PROBABILIDAD CRITERIO CALIFICACIÓN
Muy Probable El proceso ocurre a diario 4
Probable El proceso ocurre semanalmente 3
Posible El proceso ocurre mensualmente 2
Poco probable El proceso ocurre anualmente 1
La siguiente tabla muestra los resultados obtenidos por las encuestas aplicadas al
personal de la compañía (Ver Anexo 15), en base a los criterios establecidos en la tabla
anterior, Los procesos con calificación cuatro y tres han sido determinados como los
procesos cotidianos, por lo que son más susceptibles a errores, por lo tanto deben ser
analizados.
Tabla 4.15 Procesos de I COACH a auditar
PROCESO SE AUDITA?
Incorporar personal al área de publicidad -
Creación de estrategías de mercadeo para captar 
usuarios
Levantamiento de información, posibles usuarios 
Legalización de Contratos con la compañía. 
Reservación de Asesorías 
Seguimiento de Cartera 
Instalación Seguridad -
Con la correspondiente matriz de evaluación de ocurrencia, se determinó que de siete
procesos que se llevan a cabo en la compañía “I COACH SERVICIOS”, cinco son los
que ocurren cotidianamente.
47
4.2.10 DIAGRAMA DE CASOS DE USO DE LA COMPAÑÍA “I COACH
SERVICIOS”
Se detalla en forma global los actores necesarios y las actividades de cada uno de los
empleados de la compañía “ICOACH SERVICIOS” en el diagrama de casos de uso, a
continuación:
Figura 4.2: Diagrama de Casos de Uso procesos de la Compañía “I COACH SERVICIOS”
A continuación, se detallan los procesos en diagramas de secuencia, el cual es uno de

los diagramas UML más efectivo ya que muestra la interacción de un conjunto de
objetos de un sistema.
48
PRIMER PROCESO (P1): Creación de Estrategias De Mercadeo Para Captar
Usuarios
Objetivo del proceso: Dar a conocer un nuevo producto, aumentar las ventas y lograr
una mayor participación en el mercado.
Figura 432: Diagrama de Secuencia (P1)
SEGUNDO PROCESO (P2): LEVANTAMIENTO DE INFORMACIÓN

POSIBLES USUARIOS
Objetivo del proceso: Estudio y análisis de mercado, de los posibles usuarios y

elaboración del informe técnico por parte del Advisor, el mismo que es remitido al
director de publicidad de la filial.
49
Figura 4.4: Diagrama de Secuencia (P2)
TERCER PROCESO (P3): LEGALIZACIÓN DE CONTRATOS CON LA

COMPAÑÍA
Objetivo del proceso: Verificar la legalidad del contrato realizado por el Advisor con
el usuario, y establecer fechas y formas de pago del costo del programa con el usuario.
50
51
CUARTO PROCESO (P4): RESERVACIÓN DE ASESORIAS
Objetivo del proceso: Brindar a los usuarios una lista de opciones de horarios
disponibles para que puedan tomar sus asesorías con las lecciones que les corresponda.
52
QUINTO PROCESO (P5): RECAUDACIÓN DE CARTERA
Objetivo del proceso: Brindar el seguimiento necesaria a las personas que tienen
crédito directo con la compañía y recaudar el dinero de cartera actual y cartera vencida.
53
4.2.10 ANÁLISIS DEL LEVANTAMIENTO DE INFORMACIÓN
Luego de un análisis mediante observación, indagación y entrevistas se han podido
determinar algunas fortalezas y debilidades existentes, las cuales se las detallan a modo
de causa y efecto en las siguientes tablas:
FORTALEZAS
Tabla 4.21 Fortalezas (Causa – Efecto)
EFECTO CAUSA
Existe un equipo de publicidad que se
La compañía cuenta con un reúnen dos veces al día para controlar
reglamento de publicidad. el cumplimiento de las políticas de
créditos para la elaboración de los
contratos con la compañía.
Se lleva un control manual y Existe monitoreo por parte de la
sistemático de los créditos al Gerencia General de la recuperación
día y de los créditos vencidos y de cartera.
no pagados.
La compañía cuenta con un sistema
Control de tráfico de internet de protección activo (antivirus) en los
equipos de cómputo, el cual impide
que software malintencionado o
usuarios no autorizados puedan tener
acceso a los equipos.
DEBILIDADES
Las debilidades se han clasificado por el objeto de análisis así:
1) Políticas y Procedimientos
Tabla 4.22Debilidades (Causa – Efecto)
EFECTO CAUSA
Manuales y reglamentos de la
compañía no están documentados.
El cumplimiento de las No se capacita a los empleados en la
políticas de la compañía no es aplicación de las políticas.
riguroso.
Alto grado de confianza en los
conocimientos de los empleados.
54
Falta de procedimientos para
monitorear si el personal de la
compañía ha comprendido y cumplido
la normativa institucional.
Falta de control en la seguridad,
confidencialidad y controles internos.
Falta de recursos para implantación de

estas políticas
No existen políticas referentes Se desconoce la responsabilidad
a TI. acerca de la difusión de las políticas.
Inexistencia de auditorías internas en
la compañía.
Falta de controles que permitan
evaluar la gestión de la compañía.
No se identifican los requerimientos
de seguridad aplicables al recibo,
No existe políticas y procesamiento, almacenamiento y
procedimientos estandarizados salida de los datos.
de seguridad
Ausencia de procesos de control para
la seguridad de los datos.
2) SEGURIDAD FÍSICA
Tabla 4.23 Seguridad Física (Causa-Efecto)
EFECTO CAUSA
No hay la debida seguridad física en
cada departamento, el cableado no
está organizado como debe ser.
La compañía no ve la seguridad de TI
tanto de software como de hardware
No existe un plan de como parte de su propia disciplina
contingencias documentado,
para poder evaluar y minimizar Falta de una evaluación de riesgos de
interrupciones de los servicios fallas o interrupciones.
prestados por la compañía.
No se lleva a cabo un inventario de
los recursos de la compañía.
Falta de controles que permitan

evaluar la infraestructura de redes y
55
las comunicaciones en la compañía.
Escasa seguridad en los lugares de

almacenamiento de las fichas de los
usuarios (ranks) de la compañía.
No se cuenta con un espacio
seguro para la información de
Espacio físico pequeño.
los usuarios de la compañía.
Escasa seguridad en la computadora
principal de secretaria de la compañía.
No existe un proceso para la
evaluación e identificación de riesgos
del negocio.
No se da un enfoque general para la

Falta de un plan de acción
evaluación de riesgos (alcance,
documentado contra riesgos
límites, metodología,
responsabilidades)
No se han implementado estrategias

para evitar riesgos administrativos.
3) SEGURIDAD LÓGICA
Tabla 4.24 Seguridad Lógica (Causa – Efecto)
EFECTO CAUSA
Falta de procedimientos para asegurar
acciones oportunas relacionadas con
la solicitud, establecimiento, emisión,
suspensión y cierre de cuentas de
usuario de la pagina web de la
compañía.
El sistema informático de la
compañía ya ha terminado su Ya no se adapta a las necesidades del
ciclo de vida dentro de la negocio actual y futuro por lo que se
misma. deben realizar muchos procesos de
forma manual lo que retrasa la
ejecución de procesos y genera
cuellos de botella en algunos
departamentos.
La estructura de la base de datos, y el
56
motor de la base no son los correctos
para la compañía.
Falta de conocimiento sobre la
existencia de la página web
Desconocimiento sobre los beneficios
que brinda la página, tales como
(material on-line, informes de
workshops semanalmente en la
Escasa capacitación en el uso compañía)
de la página web de la El Departamento de Sistemas de la
compañía. compañía no brinda de manera
efectiva ni eficiente el apoyo que se
requiere en cuanto a las falencias de la
página web
No existe un manual del aplicativo
web
No posee configuraciones de registro.

La base de datos contiene
inconsistencia de información.
Falta de procedimientos para
establecer revisiones periódicas de la
El sistema informático es información.
vulnerable El sistema de reservaciones no tiene
parametrizados los nombres de los
usuarios.
Omisiones en las secuencias de la
numeración en los reportes emitidos
de los usuarios a Coordinación
Nacional.
57
4.3 DETERMINACIÓN DE LOS RECURSOS NECESARIOS PARA REALIZAR
LA AUDITORÍA.
Las técnicas y herramientas seleccionadas para realizar este proceso de auditoría
informática serán las siguientes:
1: Cuestionarios
La aplicación de cuestionarios será realizada a gerencia, al jefe de sistemas y el
departamento administrativo, académico, de publicidad y secretaría de la compañía “I
COACH SERVICIOS”.
2. Observación
Esta técnica permitirá cerciorarse de la eficiencia de los procesos, como se maneja la
información, documentos, con el objeto de establecer una existencia y autenticidad. La
observación hará más confiable la obtención de la información y evidencias.
De igual forma se emplearán los siguientes recursos:
Recursos materiales
Activos que el auditor necesitará y que serán proporcionados por la compañía, para lo
cual habrá de convenir tiempo de máquina, espacio de disco, impresoras.
Recursos humanos
El auditor y personal entrevistado
4.4 ELABORACIÓN DEL PLAN DE TRABAJO

Con el estudio inicial del entorno a auditar, realizado anteriormente, el cual pertenece a
la primera fase dentro del proceso de auditoría de acuerdo a la metodología establecida
en el Capítulo III, ha permitido tener una idea global y las estructuras fundamentales de
la compañía “I COACH SERVICIOS”.
58
Conocimiento Inicial de las Actividades y Operaciones
de la Compañía I COACH Servicios Consulting & Training
Cia. Ltda.
Análisis Macro de la Compañía y Plan de Revisión

Preliminar
PLANEAMIENTO
Formulación de Diagnóstico General y Plan de Auditoría.
Preparación del Programa de Auditoría
Aplicación del Marco de Trabajo y obtención de

evidencias EJECUCIÓN
Interpretación de evidencias obtenidas y áreas críticas

de la Compañía.
Confección del Informe de Auditoría Hallazgos,

Observaciones, Plan de Acción
Alineación Nivel de Madurez Actual vs. Nivel de CONFECCIÓN DEL

Madurez Estimado INFORME
Aprobación del Informe de Auditoría y Remisión a la

Entidad Auditada
Interpretación y Presentación de los Resultados

Conclusiones y Recomendaciones
FINALIZACIÓN
Figura 4.8 COBIT 4.1, [13]
59
Se aplicará la metodología de los modelos de madurez de cada proceso de COBIT para
poder determinar en qué nivel de madurez se encuentra la compañía I COACH
Servicios, y en base a los resultados que se obtengan se podrá emitir recomendaciones,
sugerencias que ayudarán a la compañía a controlar de mejor manera todo lo
relacionado con los procesos de la misma.
Cada actividad puede evaluarse y ser ubicada en un determinado nivel de madurez, ya

que este permite a la compañía ir creciendo gradualmente y de forma equilibrada, así
como también reconocer su evolución, su situación actual y futura teniendo una
perspectiva clara del nivel que quieren alcanzar.
a) El desempeño actual de la empresa – Donde la empresa está hoy en día

El nivel que obtiene en la evaluación de la pauta a los ejecutivos de las medidas
correctivas a tomar para cada uno de los procesos y conseguir subir a la
siguiente escala en caso de que no cumpla la ideal que es la de optimizado.
b) El estado actual de la empresa –Comparación
La empresa podrá comparar su situación con respecto al nivel en el que se
encuentran otras organizaciones similares y servirá para fijar la dirección hacia
nuevos objetivos.
c) El objetivo de la empresa para mejorar – Dónde la empresa quiere estar
La situación de la empresa amerita un balance en la incorporación de la visión
motivadora con la que establecerá planes, proyectos, mejoras tecnológicas
necesarias que le permiten alcanzar un desarrollo eficaz y posicionarse en el
lugar que desea estar.
Con este modelo de madurez es más sencillo establecer que parámetros se
cumplan y cuáles no.
Como primer paso para ejecutar la auditoria se realizarán las encuestas para
poder tabular y poder realizar un análisis para determinar el grado de madurez
de los procesos con sus respectivas observaciones.
60
4.5 REALIZACIÓN DE ACTIVIDADES DE LA AUDITORÍA
4.5.1 SELECCIÓN DE LOS PROCESOS COBIT RELACIONADOS CON LOS

PROCESOS DE LA COMPAÑÍA “I COACH SERVICIOS”
Los recursos de TI necesitan ser administrados por un conjunto de procesos agrupados

en forma natural, con el fin de proporcionar la información que la compañía necesita
para alcanzar sus objetivos.
Resulta claro que las medidas de control no satisfarán necesariamente los diferentes
requerimientos de información del negocio en la misma medida.
Por tal razón los procesos COBIT satisfacen uno o varios criterios de la información, se
selecciona los procesos COBIT a evaluar mediante la utilización del formulario de
Entidad (Ver Anexo 19)
FORMULARIO DE ENTIDAD
Ayuda a determinar la importancia, funcionalidad y los controles que se están
realizando en los procesos. La recopilación de esta información se enmarca en
preguntas como las siguientes:
 IMPORTANCIA: La persona encuestada determinará, de acuerdo a sus

roles dentro de la empresa, su nivel de trascendencia. Las posibles
alternativas de respuesta son de mayor a menor los siguientes:
o Muy Importante
o Algo Importante
o No Importante
o No está seguro
o No se aplica
61
 DESEMPEÑO: Busca que el encuestado identifique los niveles de
resultados que se está obteniendo de las actividades realizadas para lo cual se
tiene las siguientes opciones:
o Excelente
o Muy Bueno
o Satisfactorio
o Pobre
 CONTROL INTERNO: Se refiere a la documentación formal aprobada y
difundida en la empresa, sobre las actividades realizadas y consultadas, para tal
efecto el encuestado tiene las siguientes opciones a elegir.
o Documentado
o No Documentado
o No está seguro
Con el objetivo de encontrar la información más adecuada para el análisis y auditoría de

los departamentos de la compañía “I COACH SERVICIOS”, se realizará la selección de
un grupo de personas que proporcionen los datos que reflejan las vivencias del
encuestado en sus áreas de trabajo.
Los grupos a ser considerados son de acuerdo a lo que COBIT sugiere:
 Parte Gerencial o Directorio.- Para conocer la opinión de cuáles son los temas
de mayor interés para ellos, y que deben ser tomados en cuenta en la Auditoría.
 Departamentos de la compañía.- Tienen que ser evaluados, por lo tanto es
importante la opinión de los líderes de cada departamento.
 Empleados: Proporcionan las pautas para evaluar el funcionamiento de la
compañía.
62
4.5.2 TABULACIÓN DE ENCUESTAS PROCESOS COBIT
Se realiza la tabulación por cada uno de los dominios COBIT 4.1, para posteriormente
seleccionar los que resulten con mayor grado de importancia.
DPTO. ADMINISTRATIVO
DPTO. DE PUBLICIDAD
IMPORTANCIA
Procesos Cobit que Destacan:
EMPLEADOS
PROMEDIO
GERENTE
PO6 Comunicar las Aspiraciones y la Dirección de la
Gerencia
PO9 Evaluar y Administrar los riesgos de TI
PO10 Administrar Proyectos
PLANEAR Y ORGANIZAR
PO1 Definición de un plan estratégico de TI 5 2 1 2 2,5
PO2 Definición de la arquitectura de la información 4 3 4 3 2,5
PO3 Determinar de la dirección tecnológica 4 2 1 2 2,25
PO4 Definir los procesos, Organización y Relaciones de TI 4 2 5 2 3,25
PO5 Gestión de la inversión en TI 5 2 2 3 3
PO6.- Comunicar las Aspiraciones y la Dirección de la Gerencia 5 3 5 4 4,25
PO7 Administrar los recursos humanos de TI 4 3 2 1 2,5
PO8. Administrar la Calidad 4 3 4 2 3,25
PO9. Evaluar y Administrar los Riesgos de TI 5 4 5 5 4,75
PO10. Administrar Proyectos.- 5 5 4 5 4,75
PLANEAR Y ORGANIZAR
5
4 PO9
Título del eje
3 PO6.
PO4 PO5 PO8. PO10.
2 PO1 PO2 PO3 PO7
1
0
PROMEDIO
Figura 4.9: Procesos destacados (Planear y Organizar)
63
PROMEDIO IMPORTANCIA
DPTO. DE PUBLICIDAD
EMPLEADOS
GERENTE
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener software aplicativo
ADQUIRIR E IMPLANTAR
AI1. Identificar soluciones automatizadas.- 4 5 4 4 4,25
AI2. Adquirir y mantener software aplicativo 5 4 5 4 4,5
AI3 Adquirir y mantener infraestructura tecnológica 3 2 2 2 2,25
AI4 Facilitar la operación y el uso 2 2 2 2 2
AI5 Adquirir los recursos de TI 3 3 2 1 2,25
AI6 Administrar cambios 3 3 1 2 2,25
AI7 Instalar y acreditar soluciones y cambios 3 3 3 2 2,75
3
AI1
AI2
2 AI7
AI3 AI4 AI5 AI6
1
0
PROMEDIO
Figura 4.10: Procesos destacados (Adquirir e Implantar)
64
PROMEDIO IMPORTANCIA
DPTO. DE PUBLICIDAD
EMPLEADOS
GERENTE
DS1 Definir y administrar los niveles de servicio
DS4 Garantizar la continuidad del Servicio
DS5 Garantizar la seguridad de los sistemas
DS11 Administrar los datos
DS1. Definir y administrar los niveles de servicio 5 5 4 4 4,5

DS2. Administrar los servicios de terceros 2 1 1 1 1
DS3. Administrar el desempleo y la capacidad 3 2 2 2 2,25
DS4. Garantizar la continuidad del Servicio 5 5 5 5 5
DS5. Garantizar la seguridad de los sistemas 4 5 4 4 4,25
DS6. Identificar y asignar costos 3 4 1 2 2,25
DS7. Educar y entrenar a usuarios 3 3 3 2 2,75
DS8. Administrar la mesa de servicios y los incidentes 1 1 1 1 1
DS9. Administrar la configuración 1 2 2 1 1,5
DS10. Administrar los problemas 3 2 3 3 2,75
DS11. Administrar los datos 5 5 5 5 5
DS12. Administrar el ambiente físico 3 2 4 2 2,75
DS13. Administrar las operaciones 2 1 1 3 1,75
5
4
DS4 DS5 DS11
3 DS1
DS12
2 DS7 DS10
DS6 DS13
DS3
1 DS2 DS8 DS9
0
PROMEDIO
Figura 4.11: Procesos destacados (Entregar y Dar Soporte)
65
DPTO. DE PUBLICIDAD
IMPORTANCIA
EMPLEADOS
PROMEDIO
GERENTE
ME2 Monitorear y Evaluar el control interno
ME3 Garantizar el Cumplimiento Regulatorio
ME1. Monitorear y Evaluar el Desempeño de TI 3 2 2 1 2,25
ME2. Monitorear y Evaluar el control interno 5 4 5 4 4,5
ME3. Garantizar el Cumplimiento Regulatorio 4 3 4 4 3,75
ME4. Proporcionar Gobierno de TI 3 3 3 2 2,75
ME1. Monitorear y
4,5 Evaluar el Desempeño de
TI
4
3,5 ME2. Monitorear y
3 Evaluar el control interno
2,5
2 ME3. Garantizar el
1,5 Cumplimiento Regulatorio
1
0,5 ME4. Proporcionar
0 Gobierno de TI
PROMEDIO
Figura 4.12: Procesos destacados (Monitorear y Evaluar)
66
MATRIZ DE DIAGNÓSTICO DE PROCESOS COBIT.
En la siguiente matriz se realiza un resumen de los procesos más relevantes que serán
auditados, luego de realizada las entrevistas al personal de la compañía. (Anexo 2).
MATRIZ DE DIAGNÓSTICO DE
PROCESOS COBIT
FORMALIZADO CONTROL
IMPORTANCIA /NORMADO INTERNO
NO SE SABE CON CERTEZA

POCO IMPORTANTE
NO DOCUMENTADO
MUY IMPORTANTE
NO FORMALIZADO
DOCUMENTADO
FORMALIZADO
IMPORTANTE
NO APLICA
PROCESOS DE TI-COBIT
PLANEAR Y ORGANIZAR
PO6.- Comunicar las Aspiraciones y la Dirección de
la Gerencia
X X X
PO8. Administrar la Calidad X X X
PO9. Evaluar y Administrar los Riesgos de TI X X X
PO10. Administrar Proyectos.- X X X
AI1. Identificar soluciones automatizadas.- X X X
AI2. Adquirir y mantener software aplicativo X X X
DS1. Definir y administrar los niveles de servicio X X X
DS4. Garantizar la continuidad del Servicio X X X
DS5. Garantizar la seguridad de los sistemas X X X
DS11. Administrar los datos X X X
ME2. Monitorear y Evaluar el control interno X X X
ME3. Garantizar el Cumplimiento Regulatorio X X X
67
4.5.3 EVALUACIÓN DEL NIVEL DE MADUREZ ACTUAL DE LOS
PROCESOS CRÍTICOS DE LA COMPAÑÍA I COACH SERVICIOS.
PO6 COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA

GERENCIA
Objetivo PO6: Comunicar de una manera precisa y oportuna, la información sobre los
servicios de TI actuales y futuros, los riesgos asociados y las responsabilidades
enfocándose en proporcionar políticas, procedimientos, directrices y otra
documentación aprobada, de forma precisa y entendible y que se encuentre dentro del
marco de trabajo de control de TI a los interesados.
Tabla 4.25: Nivel de Madures Comunicar las Aspiraciones y la Dirección de la Gerencia.
DOMINIO: PLANEACIÓN Y ORGANIZACIÓN

PO6: Comunicar las Aspiraciones y la Dirección de la
Gerencia.
No Cumple(0)
Cumple(1)
NIVELES DE LOS MODELOS DE MADUREZ
La gerencia no ha establecido un ambiente

positivo de control de información. No hay
Nivel 0 No reconocimiento de la necesidad de establecer
existente
un conjunto de políticas procedimientos,
estándares y procesos de cumplimiento.
0
La gerencia es reactiva al resolver los
requerimientos del ambiente de información.
Nivel 1 Inicial
Los procesos de elaboración, comunicación y
cumplimiento son informales e inconsistentes.
68
La gerencia tiene un entendimiento implícito
de las necesidades y de los requerimientos de
un ambiente de control de información
efectivo, aunque las prácticas son en su
Nivel 2 Repetible mayoría informales. La gerencia ha
pero intuitiva
comunicado la necesidad de políticas,
procedimientos y estándares de control, pero
la elaboración se delega la discreción de
gerentes y áreas de negocio individuales.
La gerencia ha elaborado, documentado y
comunicado un ambiente completo de
administración de calidad y control de la
información, que incluye un marco para las
políticas, procedimientos y estándares. El
proceso de elaboración de políticas es
estructurado, mantenido y conocido por el
personal, y las políticas, procedimientos y
estándares existentes son razonablemente
sólidos y cubren temas clave. La gerencia ha
reconocido la importancia de la conciencia de
la seguridad de TI y ha iniciado programas de
Nivel 3 Proceso
concientización.
Definido
La gerencia asume la responsabilidad de
comunicar las políticas de control interno y
delega la responsabilidad y asigna suficientes
Nivel 4 recursos para mantener el ambiente en línea
Administrado y
con los cambios significativos. Se ha
medible
establecido un ambiente de control de
información positivo y proactivo. Se ha
establecido un juego completo de políticas
69
procedimientos y estándares, los cuales se
mantienen y comunican, y forman un
componente de buenas prácticas internas. Se
ha establecido un marco de trabajo para la
implantación y las verificaciones
subsiguientes de cumplimiento.
El ambiente de control de la información está

alineado con el marco administrativo
estratégico y con la visión, y con frecuencia se
revisa, actualiza y mejora. Se asignan expertos
internos y externos para garantizar que se
adoptan las mejores prácticas de la industria,
con respecto a las guías de control y a las
técnicas de comunicación. El monitoreo, la
Nivel 5
Optimizado auto-evaluación y las verificaciones de
cumplimiento están extendidas en la
organización. La tecnología se usa para
mantener bases de conocimiento de políticas y
de concientización y para optimizar la
comunicación, usando herramientas de
automatización de oficina y de entrenamiento
basado en computadora.
GRADO DE MADUREZ: El proceso de comunicación
de los objetivos y las aspiraciones se encuentran en el
nivel 0. OBJETIVOS NO CUMPLIDOS
Observación La gerencia no reconoce la necesidad de implementar

políticas, procedimientos, estándares y pasos a seguir
para el manejo de las TI, los mismos que serían
impartidos a los usuarios de la empresa.
70
Recomendaciones PO6: El objetivo primordial de un modelo de madurez es el
ascender a un grado de madurez superior, por esto para que el proceso PO6 ascienda a
un grado de madurez 1, como estrategia a corto plazo y conforme lo establece COBIT,
se recomienda lo siguiente:
La Gerencia General debe plantear políticas, procedimientos y estándares sobre la

objetivos de la empresa, los mismos que deberían ser siempre impartidos a todos los
miembros de la empresa, siendo estos elaborados eficientemente y comunicados
formalmente, para que de esta manera el usuario sea consciente de todo lo que la
empresa brinda y también para que las aspiraciones de la compañía sean reconocidas.
La estrategia a largo plazo tener las directivas tecnológicas vinculadas con aspiraciones
de negocios sean claramente establecidas, definidas en código de ética/conducta para
que el personal de la empresa conozca, un buen compromiso con la calidad de los
servicios prestados, políticas de seguridad y de control interno. Se definan
correctamente programas continuos de comunicaciones y que se provean de guías y
verificaciones de cumplimiento sobre las actividades realizadas dentro de la empresa.
PO8: ADMINISTRAR LA CALIDAD
Objetivo PO8: Administrar la calidad para la mejora continua y medible de la calidad

de los servicios prestados por la compañía enfocándose en la definición de un sistema
de administración de calidad, el monitoreo continuo del desempeño contra los objetivos
predefinidos, y la implantación de un programa de mejora continua de los servicios
brindados.
71
Tabla 4.26: Nivel de Madurez Administrar la Calidad.
DOMINIO: PLANEACIÓN Y ORGANIZACIÓN

PO8: Administrar la Calidad
No Cumple(0)
Cumple(1)
La administración carece de un sistema de un proceso

de planeación y de una metodología de ciclo de vida
de desarrollo de sistemas. La alta dirección y el
Nivel 0 No
existente equipo de TI no reconocen que un programa de
calidad es necesario. Nunca se revisa la calidad de los
proyectos y las operaciones. 1
Existe conciencia por parte de la dirección de la
Nivel 1 Inicial necesidad de QMS (Sistema de Gestión de Calidad).

La dirección realiza juicios informales sobre calidad. 0
Se establece un programa para definir y monitorear
las actividades de QMS dentro de TI. Las actividades
Nivel 2 Repetible de QMS que ocurren están enfocadas en iniciativas
pero intuitiva
orientadas a procesos, no a procesos de toda la
organización.
La dirección ha comunicado un proceso definido de
QMS e involucra a TI a la gerencia del usuario final.
Un programa de educación y entrenamiento está
surgiendo para instruir a todos los niveles de la
Nivel 3 Proceso organización sobre el tema de la calidad. Se han
Definido
definido expectativas básicas de calidad y estas se
comparten dentro de los proyectos y la organización
de TI. Están surgiendo herramientas y prácticas
comunes para administrarla calidad. Las encuestas de
72
satisfacción de la calidad se planean y ocasionalmente
se aplican.
El QMS está incluido en todos los procesos,
incluyendo aquellos que dependen de terceros. Se está
estableciendo una base de conocimiento estandarizada
para las métricas de calidad. Se usan métodos de
análisis de costo/beneficio para justificar las
iniciativas de QMS. Surge el uso de bechmarking
contrala industria y con los competidores. Se ha
Nivel 4
Administrado y institucionalizado un programa de educación y
medible entrenamiento para educar a todos los niveles de la
organización en el tema de la calidad. Se conduce
encuestas de satisfacción de calidad de manera
consistente. Existe un programa bien estructurado y
estandarizado para medir la calidad. La gerencia está
construyendo una base de conocimiento para las
métricas de calidad.
El QMS está integrado y se aplica a todas las
actividades de TI. Los procesos de QMS son flexibles
y adaptables a los cambios en el ambiente de TI. Se
mejora la base de conocimientos para métricas de
calidad con las mejores prácticas externas. Se realiza
Nivel 5 bechmarking contra estándares externos
Optimizado
rutinariamente. Las encuestas de satisfacción de la
calidad constituyen un proceso constante y conducen
al análisis de causas raíz y medidas de mejora. Existe
aseguramiento formal sobre el nivel de los procesos
de administración de la calidad.
GRADO DE MADUREZ. El proceso de asegurar el
Observación
73
cumplimiento de los requerimientos externos se encuentra en
el nivel 1. OBJETIVOS NO CUMPLIDOS.
En la empresa no se siguen procesos formales para mantener el
cumplimiento de las reglamentaciones, contratos y leyes que
impacten en la empresa.
Recomendaciones PO8: Para que el proceso PO8 ascienda a un grado de madurez 2,

como estrategia a corto plazo y conforme lo establece la metodología COBIT 4.1.
Se debe establecer procesos para el cumplimiento de las reglamentaciones, contratos y

leyes que impacten a la empresa y que sean conocidos por toda la empresa.
La empresa debe dar cumplimiento a las leyes, regulaciones y contratos establecidos

para las compañías.
También que exista un monitoreo de los procesos legales y regulatorios que se van
llevando en la empresa, se deberá llevar un control sobre la propiedad intelectual de los
miembro en la empresa.
PO9 EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI
Objetivo PO9: Analizar y comunicar los riesgos del negocio y su impacto potencial
sobre los procesos y metas de negocio enfocándose en la elaboración de un marco de
trabajo de administración de riesgos el cual está integrado en los marcos gerenciales de
riesgo operacional, evaluación de riesgos, mitigación del riesgo y comunicación de
riesgos residuales.
74
Tabla 4.27: Nivel de Madurez Evaluar y administrar los riesgos de TI
PO9: Evaluar y administrar los riesgos de TI.
No Cumple(0)
Cumple(1)
La evaluación de riesgos para los procesos y las

decisiones de negocio no ocurre. La organización no
toma en cuenta los impactos en el negocio asociados a
Nivel 0 No existente las vulnerabilidades de seguridad y las incertidumbres

del desarrollo de proyectos. La administración de
riesgos no se ha identificado como algo relevante para
adquirir soluciones de TI y para prestar servicios de TI. 0
La organización está consciente de sus
responsabilidades y obligaciones legales y
contractuales, pero considera los riesgos de TI de
manera ad hoc, sin seguir procesos o políticas
definidas. Tienen lugar evaluaciones informales del
riesgo de proyecto a medida que lo determina cada
proyecto. No es probable que las evaluaciones de riesgo
Nivel 1 Inicial sean identificadas específicamente dentro del plan de

un proyecto o a ser asignado a administradores
específicos involucrados en el proyecto. La
administración de TI no especifica responsabilidad por
la administración del riesgo en las descripciones de
puestos de trabajo u otro medio informal. Los riesgos
específicos relacionados con TI como son la seguridad,
disponibilidad e integridad son ocasionalmente
75
consideradas por proyecto. Los riesgos relacionados
con TI que afectan las operaciones cotidianas se
discuten con poca frecuencia en las reuniones de la
administración. Cuando se han considerado los riesgos,
la mitigación es inconsistente.
Ha surgido un entendimiento de que los riesgos de TI
son importantes y que es necesario considerarlos.
Existe algún enfoque de evaluación de riesgos, pero el
proceso es todavía inmaduro y está en desarrollo. La
evaluación es usualmente a un nivel elevado y
típicamente se aplica sólo a los proyectos importantes.
Nivel 2 Repetible La evaluación de las operaciones en curso depende
pero intuitiva
principalmente de los administradores de TI que lo
presentan como un punto de la agenda, lo cual a
menudo sólo ocurre cuando surgen problemas. La
administración de TI generalmente no tiene definidos
procedimientos o descripciones de puestos de trabajo
que se encarguen de la administración del riesgo.
La política de manejo del riesgo a nivel de toda una
organización define cuándo y cómo llevar a cabo
evaluaciones de riesgo. La evaluación del riesgo sigue
un proceso definido que está documentado y disponible
para todo el personal a través de entrenamiento. Las
decisiones de seguir el proceso y recibir entrenamiento
se dejan a la discreción de las personas. La metodología
es convincente y saludable, y asegura que los riesgos
clave del negocio probablemente sean identificados.
Las decisiones de seguir el proceso se dejan a los
administradores individuales de TI y no hay
Nivel 3 Proceso
procedimiento para asegurar que todos los proyectos
Definido
76
estén cubiertos o que la operación en curso es
examinada en busca de riesgos de manera regular.
La evaluación del riesgo es un procedimiento estándar
y las excepciones a seguir el procedimiento serían
anunciadas por la administración de TI. Es probable
que la administración del riesgo sea una función
definida de la administración con responsabilidad a
nivel general. El proceso es adelantado y el riesgo es
evaluado a nivel del proyecto individual y también
regularmente respecto a la operación general de TI. Se
advierte a la administración sobre los cambios en el
entorno de TI que podrían afectar significativamente
los escenarios de riesgo como por ejemplo una mayor
Nivel 4
Administrado y amenaza proveniente de la red o tendencias técnicas
medible que afectan la integridad de la estrategia de TI. La
administración puede monitorear la posición de riesgo
y tomar decisiones inteligentes respecto a la exposición
que está dispuesta a aceptar. La gerencia general ha
determinado los niveles de riesgo que la organización
tolerará y tiene medidas estándar de proporciones de
riesgo / rendimiento. Presupuestos de administración
para proyectos de administración de riesgos operativos
para reevaluar los riesgos regularmente. Está
establecida una base de datos de administración de
riesgos.
77
La evaluación de los riesgos se ha desarrollado hasta
una etapa en que un proceso estructurado, en toda la
organización, es ejecutado, seguido y bien
administrado. La tormenta de ideas y el análisis de la
causa que originó el riesgo, que involucra a personas
expertas, se aplican en toda la organización. La captura,
análisis y reporte de datos de administración de riesgos
Nivel 5 Optimizado
están altamente automatizados. El asesoramiento se
obtiene de los jefes en el terreno y la organización de
TI participa en grupos colegas para intercambiar
experiencias. La administración del riesgo está
verdaderamente integrada en todas las operaciones y
negocios de TI, es bien aceptada e involucra
extensamente a los usuarios de servicios de TI.
GRADO DE MADUREZ. El proceso de evaluar y administrar
los riesgos de TI se encuentra en el nivel 0.
OBJETIVOS NO CUMPLIDOS. En la empresa no existe,
Observación
administración de riesgos que le permita identificar problemas,
llevando a la misma a incumplir con ciertos objetivos y metas
establecidas en la empresa.
Recomendaciones PO9: El proceso se encuentra en el Nivel 0, como estrategia a corto

plazo y conforme lo establece COBIT, La empresa deberá tomar en cuenta a los riesgos
de TI de manera inicial. Se debe evaluar un plan de riesgo, en el cual se debe analizar la
seguridad, disponibilidad e integridad. Como estrategia a largo Plazo se debe tener una
administración del riesgo, tener un control en los tipos de riesgos de TI. Tener un plan
de acción de riesgos y que exista un compromiso con el análisis y evaluación de los
mismos, logrando con ello que la empresa pueda responder a las amenazas que se
podría presentar.
78
PO10 ADMINISTRAR PROYECTO
Objetivo PO10: Administrar proyectos para generar la entrega de resultados de

proyectos dentro de marcos de tiempo, presupuesto y calidad acordados enfocándose en
un programa y un enfoque de administración de proyectos definidos, el cual se aplica a
todos los proyectos de TI, lo cual facilita la participación de los interesados y el
monitoreo de los riesgos y los avances de los proyectos.
Tabla 4.28: Nivel de Madurez Administrar Proyecto

DOMINIO: PLANEACIÓN Y
ORGANIZACIÓN
PO10: Administrar Proyectos
No Cumple(0)
Cumple(1)
Las técnicas de administración de proyectos no se usan y la

organización no toma en cuenta los impactos al negocio
Nivel 0 No
existente asociados con la mala administración de los proyectos y con
las fallas de desarrollo en el proyecto. 1
El uso de técnicas y enfoques de administración de proyectos
dentro de TI es una decisión individual que se deja a los
gerentes de TI. Existe una carencia de compromiso por parte
de la gerencia hacia la propiedad de proyectos y hacia la
administración de proyectos. Las decisiones críticas sobre
Nivel 1
Inicial administración de proyectos se realizan sin la intervención de
la gerencia usuaria ni del cliente. Los roles y
responsabilidades para la administración de proyectos no
están definidas. Los proyectos, calendarios y puntos clave
están definidos pobremente, si es que lo están. No se hace 1
79
seguimiento al tiempo y a los gastos del proyecto y no se
comparan con el presupuesto.
La alta dirección ha obtenido y comunicado la conciencia de
la necesidad de una administración de los proyectos de TI. La
organización está en proceso de desarrollar y utilizar algunas
Nivel 2 técnicas y métodos de proyecto a proyecto. Los proyectos de

Repetible TI han definido objetivos y de negocio de manera informal.
pero
intuitiva Hay participación limitada de los interesados en la
administración de los proyectos de TI. Las directrices
aplicación a proyectos de las directrices administrativas se
deja a discreción del gerente de proyecto. 0
El proceso y la metodología de administración de proyectos
de TI han sido establecidos y comunicados. Los proyectos de
TI se definen con los objetos técnicos y de negocio
adecuados. La alta dirección del negocio y de TI, empieza a
Nivel 3 comprometerse y a participar en la administración de los
Proceso
proyectos de TI. Se ha establecido una oficina de
Definido
administración de proyectos dentro de TI, con los roles y
responsabilidades iníciales definidas. Los proyectos de Ti se
monitorean, con puntos clave, calendarios y mediciones de
presupuesto y desempeño definidos y actualizados.
La gerencia requiere que se revisen métricas y lecciones
aprendidas estandarizadas y formales después de terminar
cada proyecto. La administración de proyectos se mide y
evalúa a través de la organización y no solo en TI. Las
Nivel 4
Administrad mejoras al proceso de administración de proyectos se
o y medible formalizan y comunican y los miembros del equipo reciben
entrenamiento sobre estas mejoras. La gerencia ha

implantado una estructura organizacional de proyectos con
roles, responsabilidades y criterios de desempeño
80
documentados.
Se encuentra implantada una metodología comprobada de
ciclo de vida de proyectos, la cual se refuerza y se integra en
la cultura de la organización completa. Se ha implantado una
iniciativa continua para identificar e institucionalizar las
mejores prácticas de administración de proyectos. Se ha
Nivel 5
Optimizado definido e implantado una estrategia de TI para contratar el
desarrollo y los proyectos operativos. La planeación de
proyectos en toda la organización garantiza que los recursos
de TI y el usuario se utilizan de la mejor manera para apoyar
las iniciativas estratégicas.
GRADO DE MADUREZ. El proceso de administración de proyectos
se encuentra en el nivel 2.
Observación
OBJETIVOS NO CUMPLIDOS: En la empresa no existen
establecidos métodos, ni técnicas para la administración de proyectos.
Recomendaciones P10: El proceso se encuentra en el nivel 2 de madurez 3, como

estrategia a corto plazo, la empresa debe manejar una administración de proyectos, en el
cual se facilita el monitoreo de los riesgos y los avances de los proyectos. Se debe
asignar a los miembros que administraran los proyectos que les permita existir un
control como seguimiento de los proyectos para que sean comunicados a la gerencia de
TI.
Para mejoras a corto plazo se recomienda, que por parte de la gerencia de negocio exista
apoyo a los proyectos.
 Exista una buena coordinación como asignación de tareas, definiendo los puntos
de control en os proyectos.
81
 Manejar costo y presupuesto de mano de obra, balanceando con los recursos
internos y externos.
 Tener métodos y planes de aseguramiento de calidad sean también parte en cada
proyecto, el análisis de riesgo de programas y proyectos sea tomado en cuenta
para su culminación.
AI1 IDENTIFICAR SOLUCIONES AUTOMATIZADAS

La necesidad de una nueva aplicación o función requiere de análisis antes de la compra
o desarrollo para garantizar que los requisitos del negocio se satisfacen con un enfoque
efectivo y efectivo y eficiente. Este proceso cubre la definición de las necesidades,
considera las fuentes alternativas, realiza una revisión de la factibilidad tecnológica y
económica, ejecuta un análisis de riesgo y de costo-beneficio y concluye con una
decisión final de “desarrollar” o “comprar”. Todos estos pasos permiten a las
organizaciones minimizar el costo para Adquirir e Implementar soluciones, mientras
que al mismo tiempo facilitan el logro de los objetivos del negocio.
Objetivo AI1: Traducir los requerimientos funcionales y de control a un diseño

efectivo y eficiente de soluciones automatizadas enfocándose en la identificación de
soluciones técnicamente factibles y rentables.
Tabla 4.29: Nivel de Madurez Identificar Soluciones automatizadas

AI1:Identificar Soluciones Automatizadas
No Cumple(0)
Cumple(1)
Nivel 0 No La organización no requiere de la identificación de los

existente 1
82
requerimientos funcionales y operativos para el desarrollo,
implantación o modificación de soluciones, tales como
sistemas, servicios, infraestructura y datos. La
organización no está consciente de las soluciones
tecnológicas disponibles que son potencialmente
relevantes para su negocio.
Existe conciencia de la necesidad de definir
requerimientos y de identificar soluciones tecnológicas.
Grupos individuales se reúnen para analizar las
necesidades de manera informal y los requerimientos se
Nivel 1 Inicial documentan algunas veces. Los individuos identifican

soluciones con base en una conciencia limitada de
mercadeo o como respuesta a ofertas de proveedores.
Existe una investigación o análisis estructurado mínimo de
la tecnología disponible.
1
Existen algunos enfoques intuitivos para identificar que
existen soluciones de Ti y éstos varían a lo largo del
negocio. Las soluciones se identifican de manera informal
con base en la experiencia interna y en el conocimiento de
Nivel 2 la función de TI. EL éxito de cada proyecto depende de la
Repetible pero
experiencia de unos cuantos individuos clave. La calidad
intuitiva
de la documentación y de la toma de decisiones varía de
forma considerable Se usan enfoques no estructurados
para definir los requerimientos e identificar las soluciones
tecnológicas.
0
Existen enfoques claros y estructurados para determinar
las soluciones de TI. El enfoque para la determinación
Nivel 3
Proceso evaluada contra los requerimientos del negocio o del
Definido usuario, las oportunidades tecnológicas, la factibilidad
económica, las evaluaciones de riesgo y otros factores. El
83
proceso para determinar las soluciones de TI se aplica
para algunos proyectos con base en factores tales como las
decisiones tomadas por el personal involucrado, la
cantidad de tiempo administrativo dedicado, y el tamaño y
prioridad del requerimiento de negocio original. Se usan
enfoques estructurados para definir requerimientos e
identificar soluciones de TI.
Existe una metodología establecida para la identificación
y la evaluación de las soluciones de TI y se usa para la
mayoría de los proyectos. La documentación de los
proyectos es de buena calidad y cada etapa se aprueba
Nivel 4
Administrado adecuadamente. Los requerimientos están bien articulados
y medible y de acuerdo con las estructuras predefinidas. Se
consideran soluciones alternativas, incluyendo el análisis
de costos y beneficios. La metodología es clara, definida
generalmente entendida y medible.
La metodología para la identificación y evaluación de las
soluciones de TI está sujeta a una mejora continua. La
metodología de adquisición e implantación tiene la
flexibilidad para proyectos de grande y de pequeña escala.
La metodología está soportada en bases de datos de
conocimiento internas y externas que contienen material
de referencia sobre soluciones tecnológicas. La
Nivel 5
Optimizado metodología en sí misma genera documentación en una
estructura predefinida que hace que la producción y el
mantenimiento sean eficientes. Con frecuencia, se
identifican oportunidades de uso de la tecnología para
ganar una ventaja competitiva, y mejorar la eficiencia en
general. La gerencia detecta y toma medidas si las
soluciones de TI se aprueban sin considerar tecnologías
84
alternativas o los requerimientos funcionales del negocio.
GRADO DE MADUREZ. El proceso de administración de

proyectos se encuentra en el nivel 2.
Observación OBJETIVOS NO CUMPLIDOS: En la empresa no existen

establecidos métodos, ni técnicas para la administración de
proyectos.
Recomendaciones AI1: El grado de madurez para este proceso se encuentra en el nivel

2 para ascender al grado de madurez 3 se recomienda:
Establecer la mejor metodología para la implementación de soluciones de TI, que sean
bien estructurados, la factibilidad económica, las evaluaciones de riesgo y otros factores
que podrían influir en las mismas
Como estrategia a largo plazo se recomienda:
Se realice una metodología que analice la adquisición de software que se encuentre
disponible en el mercado y que este alineado a las necesidades del negocio.
Debe existir un análisis de estudios de factibilidad (costo-beneficio, alternativas, etc.)
AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del negocio.
Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada de controles
aplicativos y requerimientos de seguridad, y el desarrollo y la configuración en sí de
acuerdo a los estándares. Esto permite a las organizaciones apoyar la operatividad del
negocio de forma apropiada con las aplicaciones automatizadas correctas12
Objetivo AI2: Construir las aplicaciones de acuerdo con los requerimientos del negocio
y haciéndolas a tiempo y a un costo razonable enfocándose en garantizar que exista un
proceso de desarrollo oportuno y confiable.
85
Tabla 4.30: Nivel de Madurez Adquirir y mantener software aplicativo

AI2: Adquirir y mantener software aplicativo
No Cumple(0)
Cumple(1)
No existe un proceso de diseño y especificación de

aplicaciones. Típicamente, las aplicaciones se obtiene con
base en ofertas de proveedores, en el reconocimiento de la
Nivel 0 No
existente marca o en la familiaridad del personal de TI con productos
específicos, considerando poco o nada los requerimientos
actuales.
0
Existe conciencia de la necesidad de contar con un proceso
de adquisición y mantenimiento de aplicaciones. Los
enfoques para la adquisición y mantenimientos de software
aplicativo varían de un proyecto a otro. Es probable que se
haya adquirido en forma independiente una variedad de
Nivel 1
Inicial soluciones individuales para requerimientos particulares del
negocio, teniendo como resultado ineficiencias en el
mantenimiento y soporte. Se tiene poca consideración hacia
la seguridad y disponibilidad de la aplicación en el diseño o
adquisición de software aplicativo.
Existen procesos de adquisición y mantenimiento de
aplicaciones, con diferencias pero similares en base a la
Nivel 2 experiencia dentro de la operación de TI. El mantenimiento
Repetible
es a menudo problemático y se resiente cuando se pierde el
pero intuitiva
conocimiento interno de la organización. Se tiene poca
consideración hacia la seguridad y disponibilidad de
86
aplicación en el diseño o adquisición de software aplicativo
Existe un proceso claro, definido y de comprensión general
para la adquisición y mantenimiento de software aplicativo.
Este proceso va de acuerdo con la estrategia de TI y del
Nivel 3 negocio. Se intenta aplicar los procesos de manera
Proceso
consistente a través de diferentes aplicaciones y proyectos.
Definido
Las metodologías son por lo general, inflexibles y difíciles de
aplicar en todos los casos, por lo que es muy probable que se
salten pasos.
Existe una metodología formal y bien comprendida que
incluye un proceso de diseño y especificación, un criterio de
adquisición, un proceso de prueba y requerimientos para la
documentación. Existen mecanismos de aprobación
Nivel 4 documentados y acordar dos, para garantizar que se sigan
Administrado
todos los pasos y se autoricen las excepciones. Han
y medible
evolucionado prácticas y procedimientos para ajustarlos a la
medida de la organización, los utilizan todo el personal y son
apropiados para la mayoría de los requerimientos de
aplicación.
Las prácticas de adquisición y mantenimiento de software
aplicativo se alinean con el proceso definido. EL enfoque es
con base en componentes, con aplicaciones predefinidas y
estandarizadas que corresponden a las necesidades del
Nivel 5 negocio. El enfoque se extiende para toda la empresa. La
Optimizado
metodología de adquisición y mantenimiento presenta un
buen avance y permite un posicionamiento estratégico rápido,
que permite un alto grado de reacción y flexibilidad para
responder a requerimientos cambiantes del negocio.
GRADO DE MADUREZ. El proceso de adquirir y dar mantenimiento
Observación
87
al software aplicativo se encuentra en el nivel 0.
OBJETIVOS NO CUMPLIDOS: En la compañía no cuentan con un
proceso para diseñar ni especificar aplicaciones; sino que simplemente
cuentan con software aplicativo que es instalado según la familiaridad
del personal.
Recomendaciones AI2: El grado de madurez para este proceso se encuentra en el nivel

0 para ascender al grado de madurez 1 se recomienda: Diseñar y especificar
aplicaciones de software para que la empresa pueda lograr una mejor productiva y no
exista problemas de desempeño. Como estrategia a largo plazo se recomienda:
 La adquisición de aplicativos se realice pruebas funcionales y de
aceptación en cada proyecto.
 Tener un control del ciclo de vida de las aplicaciones de software.
 Tener un control a nivel de usuario que identifique el cumplimiento de
las aplicaciones de software que cumpla con las necesidades del negocio.
DS1 DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO

Contar con una definición documentada y un acuerdo de servicios de TI y de niveles de
servicio, hace posible una comunicación efectiva entre la gerencia de TI y los clientes
de negocio respecto de los servicios requeridos. Este proceso también incluye el
monitoreo y la notificación oportuna a los interesados, sobre el cumplimiento de los
niveles de servicio. Este proceso permite la alineación entre los servicios de TI y los
requerimientos de negocio relacionados.
Objetivo DS1: Asegurar la alineación de los servicios claves de TI con la estrategia del
negocio enfocándose en la identificación de requerimientos de servicio, el acuerdo de
niveles de servicio y el monitoreo del cumplimiento de los niveles de servicio.
88
Tabla 5.31: Nivel de Madurez Definir y administrar los niveles de servicio

DS1: Definir y administrar los niveles de servicio
No Cumple(0)
Cumple(1)
La gerencia no reconoce la necesidad de un proceso para

Nivel 0 No definir los niveles de servicio. La responsabilidad y la
existente
rendición de cuentas sobre el monitoreo no está asignada.
1
Hay conciencia de la necesidad de administrar los niveles de
servicio, pero el proceso es informal y reactivo .La
responsabilidad y la rendición de cuentas, para la definición
Nivel 1 Inicial y la administración de servicios no está definida. Si existen

las medidas para medir el desempeño son solamente
cualitativas con metas definidas de forma imprecisa. La
notificación es informal, infrecuente e inconsistente.
0
Los niveles de servicio están acordados pero son informales
y no están revisados. Los reportes de los niveles de servicio
están incompletos y pueden ser irrelevantes o engañosos
para los clientes. Los reportes de los niveles de servicio
Nivel 2 dependen, en forma individual, de las habilidades y la
Repetible pero
iniciativa de los administradores. Está designado un
intuitiva
coordinador de niveles de servicio con responsabilidades
definidas, pero con autoridad limitada. Si existe un proceso
para el cumplimiento de los acuerdos de servicio es
voluntario y no está implementado.
Las responsabilidades están bien definidas pero con
Nivel 3 Proceso autoridad discrecional. El proceso de desarrollo del acuerdo
Definido
de niveles de servicio está en orden y cuenta con puntos de
89
control para revalorar los niveles de servicio y la satisfacción
de cliente. Los servicios y los niveles de servicio están
definidos, documentados y se ha acordado utilizar un
proceso estándar. Las deficiencias en los niveles de servicio
están identificadas pero los procedimientos para resolver las
deficiencias son informales. Hay un claro vínculo entre el
cumplimiento del nivel de servicio esperado y el presupuesto
contemplado. Los niveles de servicio están acordados pero
pueden no responder a las necesidades del negocio.
Aumenta la definición de los niveles de servicio en la fase de
requerimientos del sistema y se incorporan en el diseño de la
aplicación y de los ambientes de operación. La satisfacción
del cliente es medida y valorada de forma rutinaria. Las
medidas de desempeño reflejan las necesidades del usuario,
Nivel 4 en lugar de las metas del negocio. Los criterios para la
Administrado y
definición de los niveles de servicio están basados en la
medible
criticidad del negocio e incluyen consideraciones de
disponibilidad, confiabilidad, desempeño, capacidad de
crecimiento, soporte al usuario, planeación de continuidad y
seguridad. El proceso de reporte de monitorear los niveles de
servicio se vuelve cada vez más automatizado.
Los niveles de servicio son continuamente reevaluados para
asegurar la alineación y objetivos de la compañía, mientras
se toma ventaja de la tecnología incluyendo la relación
Nivel 5 costo-beneficio. Todos los procesos de administración de
Optimizado
niveles de servicio están sujetos a mejora continua. Los
niveles de satisfacción del cliente son administrados y
monitoreados de manera continua.
GRADO DE MADUREZ. El proceso de definir y administrar los
Observación
90
niveles de servicio se encuentra en el nivel 1.
OBJETIVOS NO CUMPLIDOS: La empresa lleva de manera

informal y reactiva la administración de niveles de servicio. También
las notificaciones de los servicios brindados a los usuarios por parte
de la empresa son de manera informal comunicados a gerencia.
Recomendaciones DS1: El proceso DS1 se encuentra en el nivel 1 para poder acceder

al siguiente grado de Madurez, como estrategia a corto plazo: Definir un marco de
trabajo que brinde un proceso formal de administración de niveles de servicio entre el
cliente y el prestador de servicio.
El marco de trabajo mantiene una alineación continua con los requerimientos y las
prioridades de negocio y facilita el entendimiento común entre el cliente y el(los)
prestador(es) de servicio. Como estrategia a largo plazo:
 El marco de trabajo debe incluir procesos para la creación de

requerimientos de servicio, definiciones de servicio, acuerdos de niveles
de servicio (SLAs), acuerdos de niveles de operación (OLAs) y las
fuentes de financiamiento.
 Definiciones base de los servicios de TI sobre las características del
servicio y los requerimientos de negocio, organizados y almacenados de
manera centralizada por medio de la implantación de un enfoque de
catálogo/portafolio de servicios.
DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO

La necesidad de brindar continuidad en los servicios de TI requiere desarrollar,
mantener y probar planes de continuidad de TI, almacenar respaldos fuera de las
instalaciones y entrenar de forma periódica sobre los planes de continuidad. Un proceso
91
de continuidad de servicios, minimiza la probabilidad y el impacto de interrupciones
mayores en los servicios de TI, sobre funciones y procesos claves del negocio.
Objetivo DS4: Asegurar el mínimo impacto al negocio en caso de una interrupción de

servicios de TI. Enfocándose en el desarrollo de resistencia en las soluciones
automatizadas y desarrollando, manteniendo y probando los planes de continuidad de
TI.
Tabla 4.32: Nivel de Madurez Garantizar la continuidad del servicio

DS4: Garantizar la continuidad del servicio
No Cumple(0)
Cumple(1)
No hay entendimiento de los riesgos, vulnerabilidades y

amenazas de las operaciones de TI o del impacto de la
Nivel 0 pérdida de los servicios de TI para el negocio. La continuidad
No existente
del servicio no es considerada como que necesita atención de
la administración. 1
Las responsabilidades de servicio continuo son informales,
con autoridad limitada. La administración se está volviendo
consciente de los riesgos relacionados con el servicio
continuo y de la necesidad de éste. El enfoque es sobre la
función de TI, en vez de ser sobre la función de negocio. Los
Nivel 1 Inicial
usuarios están implementando formas de evadirlo. La
respuesta a las interrupciones mayores es reactiva e
improvisada. Los cortes planeados están programados para
que satisfagan las necesidades de TI, en vez de para adaptarse
a los requerimientos del negocio. 0
92
La responsabilidad del servicio continuo está asignada. Los
enfoques del servicio continuo son fragmentados. El reporte
sobre la disponibilidad del sistema es incompleto y no toma
en cuenta el impacto sobre el negocio. No hay planes
documentados de usuario o de continuidad, a pesar de que
Nivel 2
Repetible pero hay dedicación a la disponibilidad de servicio continuo y que
intuitiva se conocen sus principios rectores. Existe un inventario
razonablemente confiable de sistemas críticos y
componentes. Está surgiendo la estandarización de prácticas
de servicio continuo y el monitoreo del proceso, pero el éxito
se basa en las personas.
La obligación de reportar no es ambigua y las
responsabilidades de planificar y probar el servicio continuo
están claramente definidas y asignadas. Los planes están
documentados y se basan en la importancia del sistema y en
el impacto sobre el negocio. Hay un reporte periódico de
Nivel 3 prueba de servicio continuo. Las personas toman la iniciativa
Proceso
para seguir las normas y recibir entrenamiento. La
Definido
administración comunica consistentemente la necesidad de
servicio continuo. Los componentes de alta disponibilidad y
la redundancia de sistema se están aplicando de manera
fragmentada. Se mantiene rigurosamente un inventario de
sistemas críticos y componentes.
Se hacen cumplir las responsabilidades y las normas para el
servicio continuo. La responsabilidad de mantener el plan de
servicio continuo está asignada. Las actividades de
Nivel 4
Administrado mantenimiento toman en cuenta el entorno cambiante del
y medible negocio, los resultados de pruebas de servicio continuo y las
mejores prácticas internas. Se están recopilando, analizando,
reportando y ejecutando datos estructurados sobre el servicio
93
continuo. Se provee entrenamiento para los procesos de
servicio continuo. Las prácticas de redundancia de sistema,
que incluyen el uso de componentes de alta disponibilidad,
están siendo implementadas de manera consistente. Las
prácticas de redundancia y la planeación de servicio continuo
se influyen mutuamente. Los incidentes de falta de
continuidad son clasificados y el paso cada vez mayor de
escala para cada uno es bien conocido para todos los que
están involucrados.
Los procesos integrados de servicio continuo son proactivos,
se ajustas solos, son automatizados y auto analíticos y toman
en cuenta puntos de referencia y las mejores prácticas
externas. Los planes de servicio continuo y los planes de
continuidad del negocio están integrados, alineados y son
mantenidos de manera rutinaria. La compra de las
necesidades de servicio continuo está asegurada por los
vendedores y los principales proveedores. Se lleva a cabo la
comprobación global y los resultados de las pruebas son
Nivel 5
Optimizado utilizados como parte del proceso de mantenimiento. La
efectividad del costo del servicio continuo está optimizada a
través de la innovación y de la integración. La recopilación y
el análisis de datos se usa para identificar oportunidades de
mejoramiento. Las prácticas de redundancia y la planeación
del servicio continuo están totalmente alineadas. La
administración no permite puntos únicos de falla y provee
soporte para su solución. Las prácticas de escalamiento son
entendidas y cumplidas plenamente.
GRADO DE MADUREZ. El proceso de garantizar la continuidad
Observación del servicio se encuentra en el nivel 1.
94
OBJETIVOS NO CUMPLIDOS: La empresa no tiene establecido
un control de la continuidad del servicio; sino que ese mismo instante
se busca alternativas para continuar con el servicio de ventas. Así
también para asignar aquellas responsabilidades de mantenimiento de
servicio es limitada; ya que solo el gerente es el encargado de delegar
responsabilidades.

al siguiente grado de Madurez, como estrategia a corto plazo: Establecer un marco de
trabajo es ayudar en la determinación de la resistencia requerida de la infraestructura y
de guiar el desarrollo de los planes de recuperación de desastres y de contingencias.
Como estrategia a largo plazo:
 Desarrollar un marco de trabajo de continuidad de TI para soportar la

continuidad del negocio con un proceso consistente a lo largo de toda la
organización.
 Debe crearse una estructura organizacional para administrar la
continuidad, la cobertura de roles, las tareas y las responsabilidades de
los proveedores de servicios internos y externos, su administración y sus
clientes
 Debe existir un plan debe también considerar puntos tales como la
identificación de recursos críticos, el monitoreo y reporte de la
disponibilidad de recursos críticos, el procesamiento alternativo y los
principios de respaldo y recuperación.
DS6 IDENTIFICAR Y ASIGNAR COSTOS

La necesidad de un sistema justo y equitativo para asignar costos de TI al
negocio, requiere de una medición previa y un acuerdo con los usuarios del
negocio sobre una asignación justa. Este proceso incluye la construcción y
operación de un sistema para capturar, distribuir y reportar costos de TI a los
95
usuarios de los servicios. Un sistema equitativo de costos permite al negocio
tomar decisiones más informadas respectos al uso de los servicios de TI.
Objetivo DS6: Transparentar y entender los costos de TI y mejorar la

rentabilidad a través del uso bien informado de los servicios de TI enfocándose
en el registro completo y preciso de los costos de TI, un sistema para reportar
oportunamente el uso de TI y los costos asignados.
Tabla 4.33 Nivel de Madurez Identificar y asignar costos

DS6: Identificar y asignar costos
No Cumple(0)
Cumple(1)
Hay una completa falta de cualquier proceso reconocible de

identificación de costos en relación a los servicios de
información brindados. La organización no reconoce
Nivel 0
No existente incluso que hay un problema de atender respecto a la
contabilización de costos y que no hay comunicación
respecto a este asunto 1
Hay un entendimiento general de los costos globales de los
servicios de información, pero no hay una distribución de
costos por usuario, cliente, departamento, grupos de
usuarios, funciones de servicio, proyectos o entregables. Es
Nivel 1 casi nulo el monitoreo de
Inicial
los costos, sólo se reportan a la gerencia los costos
agregados. La distribución de costos de TI se hace como un
costo fijo de operación. Al negocio no se le brinda
información sobre el costo o los beneficios de la prestación 0
96
del servicio.
Hay conciencia general de la necesidad de identificar y
asignar costos. La asignación de costos está basada en
suposiciones de costos informales o rudimentarios, por
ejemplo, costos de hardware, y prácticamente no hay
Nivel 2 relación con los generadores de valor. Los procesos de
Repetible
asignación de costos pueden repetirse. No hay capacitación
pero intuitiva
o comunicación formal sobre la identificación de costos
estándar y sobre los procedimientos de asignación. No está
asignada la responsabilidad sobre la recopilación o la
asignación de los costos.
Hay un modelo definido y documentado de costos de
servicios de información. Se ha definido un proceso para
Nivel 3 relacionar costos de TI con los servicios prestados a los
Proceso
usuarios. Existe un nivel apropiado de conciencia de los
Definido
costos atribuibles a los servicios de información. Al negocio
se le brinda información muy básica sobre costos.
Las responsabilidades sobre la administración de costos de
los servicios de información están bien definidas y bien
entendidas a todos los niveles, y son soportadas con
capacitación formal. Los costos directos e indirectos están
identificados y se reportan de forma oportuna y
automatizada a la gerencia, a los propietarios de los
Nivel 4
Administrad procesos de negocio y a los usuarios. Por lo general, hay
o y medible monitoreo y evaluación de costos, y se toman acciones
cuando se detectan desviaciones de costos. El reporte del

costo de los servicios de información está ligado a los
objetivos del negocio y los acuerdos de niveles de servicio,
y son vigilados por los propietarios de los procesos de
negocio. Una función financiera revisa que el proceso de
97
asignación de costos sea razonable. Existe un sistema
automatizado de distribución de costos, pero se enfoca
principalmente en la función de los servicios de información
en vez de hacerlo en los procesos de negocio.
Los costos de los servicios prestados se identifican,
registran, resumen y reportan a la gerencia, a los
propietarios de los procesos de negocio y a los usuarios. Los
costos se identifican como productos cobrables y pueden
soportar un sistema de cobro que cargue a los usuarios por
los servicios prestados, con base en la utilización. Los
detalles de costos soportan los acuerdos de niveles de
servicio. El monitoreo y la evaluación del costo de los
servicios se utiliza para optimizar el costo de los recursos de
TI. Las cifras obtenidas de los costos se usan para verificar
Nivel 5
Optimizado la obtención de beneficios y para el proceso de presupuesto
de la organización. Los reportes sobre el costo de los
servicios de información brindan advertencias oportunas de
cambios en los requerimientos del negocio, por medio del
uso de sistemas de reporte inteligentes. Se utiliza un modelo
de costos variables, derivado de los volúmenes de datos
procesados de cada servicio prestado. La administración de
costos se ha llevado a un nivel de práctica industrial, basada
en el resultado de mejoras continuas y de comparación con
otras organizaciones.
GRADO DE MADUREZ. El proceso de identificar y asignar costos
se encuentra en el nivel 1
Observación OBJETIVOS NO CUMPLIDOS: La empresa no cuenta con un

presupuesto asignado para cada departamento de la misma
simplemente se da de manera reactiva.
98
al siguiente grado de Madurez, como estrategia a corto plazo: Los servicios de TI deben
alinearse a los procesos del negocio de forma que el negocio pueda identificar los
niveles de facturación de los servicios asociados. Como estrategia a largo plazo:
 Se debe identificar todos los costos de TI para verificarlos a los servicios

de TI para soportar un modelo de costos transparente.
 Definir un modelo de costos que incluya costos directos, indirectos y
fijos de los servicios, y que ayude al cálculo de tarifas de reintegros de
cobro por servicio.
 El modelo de costos de TI debe garantizar que los cargos por servicios
son identificables, medibles y predecibles por parte de los usuarios para
propiciar el adecuado uso de recursos.
DS11 ADMINISTRAR LOS DATOS

Una efectiva administración de datos requiere de la identificación de requerimientos de
datos. El proceso de administración de información también incluye el establecimiento
de procedimientos efectivos para administrar la librería de medios, el respaldo y la
recuperación de datos y la eliminación apropiada de medios. Una efectiva
administración de datos ayuda a garantizar la calidad, oportunidad y disponibilidad de la
información del negocio.
Objetivo DS11: Garantizar la satisfacción de los usuarios finales con ofrecimientos de
servicios y niveles de servicio, reducir el re trabajo y los defectos en la prestación de los
servicios y de las soluciones. Enfocándose en registrar, rastrear y resolver problemas
operativos; investigación de las causas raíz de todos los problemas relevantes y definir
soluciones para los problemas operativos identificados.
99
Tabla 4.34: Nivel de Madurez Administrar los datos

DS11: Administrar los datos
No Cumple(0)
Cumple(1)
No se reconocen los datos como un recurso y un activo

corporativo. No hay propiedad asignada de datos ni
Nivel 0 No responsabilidad individual de la integridad y confiabilidad de
existente
los datos. La calidad y seguridad de los datos son deficientes
o inexistentes. 1
La organización reconoce una necesidad de datos exactos.
Algunos métodos son desarrollados a nivel individual para
prevenir y detectar el ingreso, procesamiento y errores en la
salida de los datos. El proceso de identificación y corrección
de errores depende de las actividades manuales de la persona,
y las reglas y requerimientos no son transmitidos a medida
Nivel 1 Inicial
que se llevan a cabo movimientos y cambios de personal. La
administración asume que los datos son exactos porque una
computadora está involucrada en el proceso. La integridad y
seguridad de los datos no son requerimientos de
administración y, si existe la seguridad, ésta está
administrada por la función de servicios de información. 0
La conciencia de la necesidad de la exactitud de los datos y
de mantener la integridad prevalece en toda la organización.
Nivel 2 La propiedad de los datos comienza a tener lugar, pero a
Repetible pero
intuitiva nivel de un departamento o grupo. Las reglas y
requerimientos son documentados por personas clave y no
100
son consistentes en toda la organización y plataformas. Los
datos están en custodia de la función de los servicios de
información y las reglas y definiciones están impulsadas por
los requerimientos de TI. La seguridad e integridad de los
datos son primariamente responsabilidades de la función de
los servicios de información con una participación
departamental menor.
La necesidad de integridad de los datos dentro y en toda la
organización es entendida y aceptada. Las normas de ingreso,
procesamiento y salida de datos han sido formalizadas y se
hacen cumplir. El proceso de identificación y corrección de
errores es automatizado. La propiedad de los datos es
asignada, y la integridad y seguridad son controladas por el
responsable. Se utilizan técnicas automatizadas para prevenir
Nivel 3 y detectar errores e inconsistencias. Las definiciones, reglas y
Proceso
requerimientos de datos están claramente documentados y
Definido
son mantenidos por una función de administración de base de
datos. Los datos se vuelven consistentes en todas las
plataformas y a través de toda la organización. La función de
los servicios de información tiene un rol de custodio,
mientras que el control de integridad de datos pasa al
propietario de los datos. La administración se basa en los
reportes y análisis para las decisiones y la planeación futuras.
101
Los datos son definidos como un recurso y un activo
corporativo, a medida que la administración exige más
soporte de decisiones y más reporte de rentabilidad. La
responsabilidad por la calidad de datos está claramente
definida, asignada y comunicada dentro de la organización.
Los métodos estandarizados están documentados,
mantenidos, y usados para controlar la calidad de los datos,
se hacen cumplir las reglas y los datos son consistentes en
Nivel 4 todas las plataformas y unidades de negocio. La calidad de
Administrado
los datos es medida y la satisfacción del cliente respecto a la
y medible
información es monitoreada. El reporte de administración
asume un valor estratégico para asesorar clientes, tendencias
y evaluaciones de productos. La integridad de los datos se
vuelve un factor significativo, con la seguridad de datos
reconocida como un requerimiento de control. Se ha
establecido una función formal de administración de datos a
nivel de toda la organización, con los recursos y la autoridad
para hacer cumplir la estandarización de datos.
La administración de datos es un proceso maduro, integrado
y de funcionamiento cruzado que tiene una meta claramente
definida y bien entendida de entregar información de calidad
al usuario, con criterios claramente definidos de integridad,
disponibilidad y confiabilidad. La organización maneja
activamente datos, información y conocimientos como los
Nivel 5
Optimizado recursos y los activos corporativos, con el objetivo de
maximizar el valor del negocio. La cultura corporativa hace
énfasis en la importancia de datos de alta calidad que
necesitan ser protegidos y tratados como un componente
clave de capital intelectual. La propiedad de datos es una
responsabilidad estratégica con todos los requerimientos,
102
reglas, reglamentaciones y consideraciones claramente
documentados, mantenidos y comunicados.
GRADO DE MADUREZ. El proceso de administración de datos, se
encuentra en el nivel 1.
OBJETIVOS NO CUMPLIDOS: La empresa no cuenta con un plan
Observación
de capacitación para la administración e información, generando
posiblemente con ello errores en el ingreso de los datos y obteniendo
información inconsistente.
Recomendaciones DS11: El proceso DS11 se encuentra en el nivel 1 para poder

acceder al siguiente grado de Madurez, como estrategia a corto plazo: Verificar que
todos los datos que se espera procesar se reciben y procesan completamente, de forma
precisa y a tiempo, y que todos los resultados se entregan de acuerdo a los
requerimientos de negocio. Las necesidades de reinicio y reproceso están soportadas.
Como estrategia a largo plazo:
Definir e implementar procedimientos para el archivo, almacenamiento y retención de
los datos, de forma efectiva y eficiente para conseguir los objetivos de negocio, la
política de seguridad de la organización y los requerimientos regulatorios.
Definir e implementar procedimientos para mantener un inventario de medios

almacenados y archivados para asegurar su usabilidad e integridad.
ME2 MONITOREAR Y EVALUAR EL CONTROL INTERNO

Establecer un programa de control interno efectivo para TI requiere un proceso
bien definido de monitoreo. Este proceso incluye el monitoreo y el reporte de las
excepciones de control, resultados de las auto-evaluaciones y revisiones por
parte de terceros. Un beneficio clave del monitoreo de control interno es
proporcionar seguridad respecto a las operaciones eficientes y efectivas y el
cumplimiento de las leyes y regulaciones aplicables.
103
Objetivo ME2: Brindar transparencia y entendimiento de los costos, beneficios,
estrategia, políticas y niveles de servicio de TI de acuerdo con los requisitos de
gobierno enfocándose en monitorear y reportar las métricas del proceso e
identificar e implantar acciones de mejoramiento del desempeño.
Tabla 4.35: Nivel de Madurez Monitorear y evaluar el control interno
DOMINIO: MONITOREAR Y ENTREGAR

ME2: Monitorear y evaluar el control interno
No Cumple(0)
Cumple(1)
La organización carece de procedimientos para monitorear la

efectividad de los controles internos. Los métodos de reporte
de control interno gerenciales no existen. Existe una falta
Nivel 0 No generalizada de conciencia sobre la seguridad operativa y el
existente
aseguramiento del control interno de TI. La gerencia y los
empleados no tienen conciencia general sobre el control
interno.
0
La gerencia reconoce la necesidad de administrar y asegurar el
control de TI de forma regular. La experiencia individual para
evaluar la suficiencia del control interno se aplica de forma ad
hoc. La gerencia de TI no ha asignado de manera formal las
Nivel 1 responsabilidades para monitorear la efectividad de los
Inicial
controles internos. Las evaluaciones de control interno de TI
se realizan como parte de las auditorías financieras
tradicionales, con metodologías y habilidades que no reflejan
las necesidades de la función de los servicios de información.
Nivel 2 La organización utiliza reportes de control informales para
104
Repetible comenzar iniciativas de acción correctiva. La evaluación del
pero intuitiva
control interno depende de las habilidades de individuos clave.
La organización tiene una mayor conciencia sobre el
monitoreo de los controles internos. La gerencia de servicios
de información realiza monitoreo periódico sobre la
efectividad de lo que considera controles internos críticos. Se
están empezando a usar metodologías y herramientas para
monitorear los controles internos, aunque no se basan en un
plan. Los factores de riesgo específicos del ambiente de TI se
identifican con base en las habilidades de individuos.
La gerencia apoya y ha institucionalizado el monitoreo del
control interno. Se han desarrollado políticas y procedimientos
para evaluar y reportar las actividades de monitoreo del
control interno. Se ha definido un programa de educación y
entrenamiento para el monitoreo del control interno. Se ha
definido también un proceso para auto-evaluaciones y
revisiones de aseguramiento del control interno, con roles
Nivel 3
Proceso definidos para los responsables de la administración del
Definido negocio y de TI. Se usan herramientas, aunque no
necesariamente están integradas en todos los procesos. Las
políticas de evaluación de riesgos de los procesos de TI se
utilizan dentro de los marcos de trabajo desarrollados de
manera específica para la función de TI. Se han definido
políticas para el manejo y mitigación de riesgos específicos de
procesos.
La gerencia tiene implantado un marco de trabajo para el
monitoreo del control interno de TI. La organización ha
Nivel 4
Administrado establecido niveles de tolerancia para el proceso de monitoreo
y medible del control interno. Se han implantado herramientas para
estandarizar evaluaciones y para detectar de forma automática
105
las excepciones de control. Se ha establecido una función
formal para el control interno de TI, con profesionales
especializados y certificados que utilizan un marco de trabajo
de control formal avalado por la alta dirección. Un equipo
calificado de TI participa de forma rutinaria en las
evaluaciones de control interno. Se ha establecido una base de
datos de métricas para información histórica sobre el
monitoreo del control interno. Se realizan revisiones entre
pares para verificar el monitoreo del control interno.
La gerencia ha implantado un programa de mejora continua en

toda la organización que toma en cuenta las lecciones
aprendidas y las mejores prácticas de la industria para
monitorear el control interno. La organización utiliza
herramientas integradas y actualizadas, donde es apropiado,
Nivel 5 que permiten una evaluación efectiva de los controles críticos
Optimizado
de TI y una detección rápida de incidentes de control de TI. La
compartición del conocimiento, específico de la función de
servicios de información, se encuentra implantada de manera
formal. El benchmarking con los estándares de la industria y
las mejores prácticas está formalizado.
GRADO DE MADUREZ. El proceso de Monitorear y evaluar el

control interno, se encuentra en el nivel 0.
OBJETIVOS NO CUMPLIDOS: La gerencia carece de
procedimientos para monitorear la efectividad de los controles internos
Observación
a través de actividades administrativas y de supervisión,
comparaciones, reconciliaciones y otras acciones rutinarias. Estas
actividades de monitoreo continuo por parte de la gerencia deberán
revisar la existencia de puntos vulnerables y problemas de seguridad.
106
Recomendaciones ME2: El proceso ME2 se encuentra en el nivel 1 para poder acceder
al siguiente grado de Madurez, como estrategia a corto plazo: Monitorear de forma
continua, comparar y mejorar el ambiente de control de TI y el marco de trabajo de
control de TI para satisfacer los objetivos organizacionales. Como estrategia a largo
plazo:
 Monitorear y evaluar la eficiencia y efectividad de los controles internos
de revisión de la gerencia de TI.
 Identificar las excepciones de control, y analizar e identificar sus causas
raíz subyacente.
Escalar las excepciones de control y reportar a los interesados apropiadamente.

Establecer acciones correctivas necesarias.
ME3 GARANTIZAR EL CUMPLIMIENTO REGULATORIO

Una supervisión efectiva del cumplimiento requiere del establecimiento de un proceso
de revisión para garantizar el cumplimiento de las leyes, regulaciones y requerimientos
contractuales. Este proceso incluye la identificación de requerimientos de
cumplimiento, optimizado y evaluando la respuesta, obteniendo aseguramiento que los
requerimientos se han cumplido y, finalmente integrando los reportes de cumplimiento
de TI con el resto del negocio.
Objetivo ME3: Cumplir las leyes y regulaciones enfocándose en la identificación de

todas las leyes y regulaciones aplicables y el nivel correspondiente de CV cumplimiento
de TI y la optimización de los procesos de TI para reducir el riesgo de no cumplimiento.
107
Tabla 4.36: Nivel de Madurez Garantizar el cumplimiento regulatorio
DOMINIO: MONITOREAR Y ENTREGAR

ME3: Garantizar el cumplimiento regulatorio
No Cumple(0)
Cumple(1)
Existe poca conciencia respecto a los requerimientos externos

Nivel 0
que afectan a TI, sin procesos referentes al cumplimiento de
No existente
requisitos regulatorios, legales y contractuales. 0
Existe conciencia de los requisitos de cumplimiento
regulatorio, contractual y legal que tienen impacto en la
Nivel 1
organización. Se siguen procesos informales para mantener el
Inicial
cumplimiento, pero solo si la necesidad surge en nuevos
proyectos o como respuesta a auditorías o revisiones.
Existe el entendimiento de la necesidad de cumplir con los
requerimientos externos y la necesidad se comunica. En los
casos en que el cumplimiento se ha convertido en un
requerimiento recurrente., como en los reglamentos
Nivel 2 regulatorios o en la legislación de privacidad, se han
Repetible desarrollado procedimientos individuales de cumplimiento y
pero intuitiva se siguen año con año. No existe, sin embargo, un enfoque
estándar. Hay mucha confianza en el conocimiento y
responsabilidad de los individuos, y los errores son posibles.
Se brinda entrenamiento informal respecto a los
requerimientos externos y a los temas de cumplimiento.
108
Se han desarrollado, documentado y comunicado políticas,
procedimientos y procesos, .para garantizar el cumplimiento
de los reglamentos y de las obligaciones contractuales y
legales, pero algunas quizá no se sigan y algunas quizá estén
desactualizadas o sean poco prácticas de implantar. Se realiza
Nivel 3
poco monitoreo y existen requisitos de cumplimiento que no
Proceso
han sido resueltos. Se brinda entrenamiento sobre requisitos
Definido
legales y regulatorios externos que afectan a la organización y
se instruye respecto a los procesos de cumplimiento
definidos. Existen contratos pro forma y procesos legales
estándar para minimizar los riesgos asociados con las
obligaciones contractuales.
Existe un entendimiento completo de los eventos y de la
exposición a requerimientos externos, y la necesidad de
asegurar el cumplimiento a todos los niveles. Existe un
esquema formal de entrenamiento que asegura que todo el
equipo esté consciente de sus obligaciones de cumplimiento.
Las responsabilidades son claras y el empoderamiento de los
procesos es entendido. El proceso incluye una revisión del
Nivel 4 entorno para identificar requerimientos externos y cambios
Administrad recurrentes. Existe un mecanismo implantado para monitorear
o y medible el no cumplimiento de los requisitos externos, reforzar las
prácticas internas e implantar acciones correctivas. Los
eventos de no cumplimiento se analizan de forma estándar en
busca de las causas raíz, con el objetivo de identificar
soluciones sostenibles. Buenas prácticas internas
estandarizadas se usan para necesidades específicas tales
como reglamentos vigentes y contratos recurrentes de
servicio.
109
Existe un proceso bien organizado, eficiente e implantado
para cumplir con los requerimientos externos, basado en una
sola función central que brinda orientación y coordinación a
toda la organización. Hay un amplio conocimiento de los
requerimientos externos aplicables, incluyendo sus tendencias
futuras y cambios anticipados, así como la necesidad de
nuevas soluciones. La organización participa en discusiones
externas con grupos regulatorios y de la industria para
entender e influenciar los requerimientos externos que la
puedan afectar. Se han desarrollado mejores prácticas que
Nivel 5 aseguran el cumplimiento de los requisitos externos, y esto
Optimizado ocasiona que haya muy pocos casos de excepciones de
cumplimiento. Existe un sistema central de rastreo para toda
la organización, que permite a la gerencia documentar el flujo
de trabajo, medir y mejorar la calidad y efectividad del
proceso de monitoreo del cumplimiento. Un proceso externo
de auto-evaluación de requerimientos existe y se ha refinado
hasta alcanzar el nivel de buena práctica. El estilo y la cultura
administrativa de la organización referente al cumplimiento
es suficientemente fuerte, y se elaboran los procesos
suficientemente bien para que el entrenamiento se limite al
nuevo personal y siempre que ocurra un cambio significativo.
GRADO DE MADUREZ. El proceso de Monitorear y evaluar el control
interno, se encuentra en el nivel 0.
OBJETIVOS NO CUMPLIDOS: La gerencia carece de
procedimientos para monitorear la efectividad de los controles internos a
Observación
través de actividades administrativas y de supervisión, comparaciones,
reconciliaciones y otras acciones rutinarias. Estas actividades de
monitoreo continuo por parte de la gerencia deberán revisar la existencia
de puntos vulnerables y problemas de seguridad.
110
Recomendaciones ME3: El proceso ME3 se encuentra en el nivel 0 para poder acceder
al siguiente grado de Madurez, como estrategia a corto plazo: Identificar, sobre una base
continua, leyes locales e internacionales, regulaciones, y otros requerimientos externos
que se deben de cumplir para incorporar en las políticas, estándares, procedimientos y
metodologías de TI de la organización. Como estrategia a largo plazo:
 Revisar y ajustar las políticas, estándares, procedimientos y metodologías de TI
para garantizar que los requisitos legales, regulatorios y contractuales son
direccionados y comunicados.
 Confirmar el cumplimiento de políticas, estándares, procedimientos y

metodologías de TI con requerimientos legales y regulatorios.
111
4.5.4 ALINEACIÓN NIVEL DE MADUREZ ACTUAL Y NIVEL DE MADUREZ
QUE SE ESTIMA ALCANZAR.
Una vez realizado el análisis del nivel de madurez de cada uno de los procesos de
COBIT 4.1 se le asignó el nivel de madurez que actualmente posee la compañía y el
nivel de madurez que se estima alcanzar a través del marco de trabajo COBIT 4.1.
Figura 4.13 Nivel Madurez Actual vs. Nivel Madurez Estimado
NIVEL DE MADUREZ ACTUAL VS NIVEL

MADUREZ ESTIMADO
PO6.…
ME3.… 4 PO8.…
3
ME2.… PO9. Evaluar…
2
DOMINIO Madurez
1 Actual
DS11.… PO10.…
0
DOMINIO Madurez
DS6.… AI1.… Estimado
DS5.… AI2. Adquirir…

DS4.… DS1. Definir y…
Figura 4.14 Nivel Madurez Actual vs. Nivel Madurez Estimado (gráfico radial)
112
4.5.5 MATRIZ DE IMPACTO DE PROCESOS FRENTE A CRITERIOS DE
INFORMACIÓN COBIT.
Esta matriz corresponde al impacto de los procesos frente a los siete criterios de
información y recursos de TI bajo COBIT, además establece una relación con los
recursos de TI empleados, considerando: recursos, información, aplicaciones e
infraestructura.
Confidencialidad
Disponibilidad
Cumplimiento
Confiabilidad
Aplicaciones
Instalaciones
Efectividad
Integridad
Eficiencia
Recursos
Datos
DOMINIO PROCESO
PO1. Definir un Plan
Estratégico de TI P S x x x x
PO2. Definir la
Arquitectura de la
Información S P S P x x
PO3. Determinar la
Dirección
Tecnológica. P P x x
PO4. Definir los
Procesos,
Organización y
Relaciones de TI. P P x
PO5. Administrar la
PLANEAR Y Inversión en TI. P P S x x x
ORGANIZAR PO6. Comunicar las
Aspiraciones y la
Dirección de la
Gerencia P S x x
PO7. Administrar los
Recursos Humanos
de TI P P x
PO8. Administrar la
Calidad P P S S x x x x
PO9. Evaluar y
Administrar los
Riesgos de TI S S P P P S S x x x x
PO10. Administrar
Proyectos P P x x x
113
AI1. Identificar
soluciones
automatizadas P S x x
AI2. Adquirir y
mantener software
aplicativo P P S S x
AI3. Adquirir y
mantener
infraestructura
ADQUIRIR E tecnológica S P S S x
IMPLANTAR
AI4. Facilitar la
operación y el uso P P S S S S x x x
AI5. Adquirir
Recursos de TI S P S x x x x
AI6. Administrar
Cambios P P P P S x x x x
AI7. Instalar y
acreditar soluciones y
cambios P S S S x x x x
DS1. Definir y
administrar los
niveles de servicio P P S S S S S x x x x
DS2. Administrar los
servicios de terceros P P S S S S S x x x x
DS3. Administrar el
desempeño y la
capacidad P P S x x
DS4. Garantizar la
continuidad del
Servicio P S P x x x x
ENTREGAR DS5. Garantizar la
Y DAR seguridad de los
SOPORTE sistemas P P S S S x x x x
DS6. Identificar y
asignar costos P P x x x x
DS7. Educar y
entrenar a usuarios P S x
DS8. Administrar la
mesa de servicio y
los incidentes P P x x
DS9. Administrar la
configuración P S S S x x x
DS10. Administrar
los problemas P P S x x x x
114
DS11. Administrar
los datos P P x
DS12. Administrar el
ambiente físico P P x
DS13. Administrar
las operaciones. P P S S x x x x
ME1. Monitorear y
Evaluar el
Desempeño de TI P P S S S S S x x x x
ME2. Monitorear y
MONITOREA Evaluar el control
RY interno P P S S S S S x x x x
EVALUAR ME3. Garantizar el
Cumplimiento
Regulatorio P S x x x x
ME4. Proporcionar
Gobierno de TI P P S S S S S x x x x
115
4.5.6 MATRIZ DEL NIVEL DEL SERVICIO “I COACH SERVICIOS”
Evalúa el desempeño de cada uno de los procesos COBIT auditados, permitiendo así
analizar la eficiencia que tiene cada proceso realizado en la Compañía “I COACH
SERVICIOS”.
La siguiente tabla muestra el valor porcentual que se aplicará en la matriz de Nivel de
Servicio de acuerdo a cada criterio de Desempeño, en cuanto a los procesos COBIT.
Tabla 4.37 Valor Porcentual Desempeño Procesos COBIT

DESEMPEÑO VALOR
No Cumple 0%
Cumple Levemente 20%
Cumple Parcialmente 40%
Cumple Mayoritariamente 60%
Cumple Casi Totalmente 80%
Cumple Totalmente 100%
116
MATRIZ DE NIVEL DE SERVICIO "I COACH
SERVICIOS"
DESEMPEÑO
CUMPLE MAYORITARIAMENTE
CUMPLE CASI TOTALMENTE
CUMPLE PARCIALMENTE
CUMPLE TOTALMENTE
CUMPLE LEVEMENTE
NO CUMPLE
VALOR
PLANEAR Y ORGANIZAR
PO6.- Comunicar las Aspiraciones y la Dirección de la
Gerencia.- Existen políticas de apoyo a la estrategia de TI
que incluyan la intención de la alta dirección, los roles y
responsabilidades, los estándares y directrices del enfoque de
cumplimiento; que atiendan temas de calidad, seguridad, y
confidencialidad.
X 0
PO8. Administrar la Calidad.- La compañía posee
sistemas de administración de la calidad cubriendo roles,
tareas y responsabilidades, respecto a la resolución de
conflictos entre el usuario y la unidad de TI.
X 20%
PO9. Evaluar y Administrar los Riesgos de TI.- La
compañía identifica amenazas y vulnerabilidades con un
impacto potencial sobre los objetivos institucionales y de TI
y mantiene respuestas a los riesgos que garanticen el costo
beneficio de las medidas de seguridad.
X 0
117
PO10. Administrar Proyectos.- Posee un marco de trabajo
que define las metodologías adoptadas y aplicadas a cada
proyecto, incluyendo puntos de control, evaluación de
riesgos y gestión de cambios. Además existe el compromiso
y la participación de los interesados y afectados en la
ejecución de los proyectos.
X 20%
AI1. Identificar soluciones automatizadas.- La compañía
identifica, y prioriza los requerimientos funcionales y
técnicos que cubran el alcance completo de todas las
iniciativas necesarias para lograr los resultados
institucionales esperados.
X 40%
AI2. Adquirir y mantener software aplicativo.- Se brinda
el seguimiento a los estados de los requerimientos
particulares y a sus modificaciones durante el diseño,
desarrollo, implementación, y puesta en marcha de
aplicaciones. Mantiene una estrategia óptima para la
corrección de fallas, mejoras, mantenimiento de la
documentación, cambios de emergencia.
X 0
DS1. Definir y administrar los niveles de servicio.- La
compañía tiene definido un marco de trabajo que brinde un
proceso formal de administración de niveles de servicio entre
los empleados. Tomando en cuenta los criterios de
desempeño para identificar tendencias positivas y negativas
que permitan realizar mejoras.
X 20%
DS4. Garantizar la continuidad del Servicio.- Se asegura
el mínimo impacto al negocio en caso de una interrupción de
servicios de TI. Enfocándose en el desarrollo de resistencia
en las soluciones automatizadas y desarrollando,
X 20%
118
manteniendo y probando los planes de continuidad de TI
DS5. Garantizar la seguridad de los sistemas.- La
compañía administra la seguridad al nivel más apropiado y
alineado con los requerimientos de la institución, identifica
de manera única a todos los usuarios, garantiza que se cuente
con medidas de prevención, detección y corrección para
proteger los sistemas de información, y garantiza que se
utilice técnicas de seguridad y procedimientos de
administración asociados.
X 20%
DS6. Identificar y asignar costos.- La compañía identifica
todos los costos y los equipara con los servicios brindados
para soportar un modelo de costos transparentes.
X 20%
DS11. Administrar los datos.- Garantizar la satisfacción de
los usuarios finales con ofrecimientos de servicios y niveles
de servicio, reducir el re trabajo y los defectos en la
prestación de los servicios y de las soluciones. Enfocándose
en registrar, rastrear y resolver problemas operativos;
investigación de las causas raíz de todos los problemas
relevantes y definir soluciones para los problemas operativos
identificados.
X 20%
ME2. Monitorear y Evaluar el control interno.- Se
monitorea y reporta la efectividad de los controles internos
sobre TI por medio de revisiones de auditoría externa.
X 0
ME3. Garantizar el Cumplimiento Regulatorio.- La
compañía garantiza el cumplimiento de los requisitos legales
y regulatorios que cubren las políticas, estándares y
procedimientos de la tecnología de información.
X 0
119
De acuerdo a los resultados que se evidencian en la matriz de Nivel de servicio se puede
observar que en la compañía el nivel de servicio que está brindando en cuanto a los
procesos que realiza no es el óptimo ya que en la evaluación la mayoría de procesos
llegan a un porcentaje del 20%, lo cual representa que los procesos de la compañía se
cumplen levemente en cuanto al marco de referencia COBIT 4.1.
4.5.7 MATRIZ DE EVALUACIÓN DE PROCESOS BAJO MÉTRICAS COBIT.
COBIT proporciona para cada proceso de TI un objetivo de control de alto nivel con las
metas y métricas que deben emplearse. En base a las mediciones propuestas por el
marco de referencia se establecieron métricas aplicables a los procesos de la compañía,
que son empleados en esta matriz.
MATRIZ DE EVALUACIÓN DE
PROCESOS BAJO MÉTRICAS COBIT
MÉTRICAS COBIT
CUMPLE MAYORITARIAMENTE
CUMPLE CASI TOTALMENTE
CUMPLE PARCIALMENTE
CUMPLE TOTALMENTE
CUMPLE LEVEMENTE
NO CUMPLE
VALOR
PLANEAR Y ORGANIZAR
PO6.- Comunicar las Aspiraciones y la
Dirección de la Gerencia
Las interrupciones en el servicio de TI son
solucionadas de manera oportuna garantizando la
continuidad de las operaciones de la institución
x 40%
120
Existe una comprensión mayoritaria del marco de
trabajo de control de TI, por parte de los
funcionarios x 60%
Los funcionarios cumplen las políticas
establecidas por TI x 20%
PO8. Administrar la Calidad
Los funcionarios se encuentran satisfechos con la
calidad de servicios de TI x 20%
Los procesos de TI son revisados de manera
formal para asegurar su calidad x 20%
PO9. Evaluar y Administrar los Riesgos de TI
Todos los objetivos críticos de TI son cubiertos
por la evaluación de riesgos
x 0%
Todos los riesgos críticos de TI son identificados
con planes de acción elaborados x 0%
Todos los planes de acción de administración de
riesgos son aprobados para su implantación x 0%
PO10. Administrar Proyectos.-
Los proyectos satisfacen las expectativas de los
interesados, dentro del presupuesto, y con
satisfacción de los requerimientos-ponderados
por importancia. x 40%
Los proyectos son revisados post-implantación x 20%
Los proyectos siguen estándares y prácticas de
administración de proyectos
x 40%
AI1. Identificar soluciones automatizadas.-
Se realizan estudios de factibilidad de proyectos
autorizados por la unidad dueña del proceso
x 60%
Los usuarios se encuentran satisfechos con la
funcionalidad entregada por las soluciones
automatizadas x 60%
AI2. Adquirir y mantener software aplicativo
Los problemas suscitados en la producción de
aplicaciones no causan pérdidas de tiempo
significativas. x 0%
Los usuarios se encuentran satisfechos con la
funcionalidad entregada por el software aplicativo x 20%
121
DS1. Definir y administrar los niveles de
servicio
Los funcionarios se encuentran satisfechos con
los niveles de servicio entregados x 60%
Todos los servicios entregados constan en un
catálogo de servicios x 100%
Se establecen reuniones formales periódicas para
la revisión del Acuerdo de Niveles de Servicio x 60%
DS4. Garantizar la continuidad del Servicio
El número de horas perdidas por usuarios al mes,
debidas a interrupciones no planeadas es mínimo
o nulo x 40%
Los procesos críticos que dependen de TI, están
cubiertos por un plan de continuidad x 20%
DS5. Garantizar la seguridad de los sistemas
El número de incidentes que dañan la reputación
con los usuarios es bajo
x 20%
Todos los sistemas cumplen los requerimientos
de seguridad. x 20%
DS6. Identificar y asignar costos
Las facturas de servicios de TI provistos por
terceros son canceladas a tiempo x 20%
La variación entre los presupuestos, pronósticos y
costos actuales es manejable. x 40%
DS11. Administrar los datos
Los funcionarios están satisfechos con la
disponibilidad de información x 60%
Las restauraciones de datos son siempre exitosas x 20%
La pérdida de datos sensitivos es mínima o nula x 20%
ME2. Monitorear y Evaluar el control interno
Con frecuencia se toman en cuenta iniciativas
para la mejora del control interno x 20%
Se realizan auto evaluaciones de control x 40%
ME3. Garantizar el Cumplimiento Regulatorio
El costo del no cumplimiento de TI, incluyendo
arreglos y multas es nulo x 20%
122
La demora entre la identificación de los
problemas externos de cumplimiento y su
resolución es aceptable x 20%
Se realizan revisiones frecuentes para asegurar el
cumplimiento regulatorio.
x 20%
De acuerdo a los resultados porcentuales de la matriz anterior se puede observar que la

compañía cumple levemente con ciertas métricas, solo en 6 métricas cumple
parcialmente y cumple totalmente tan solo con una métrica de los procesos COBIT.
Obteniendo como resultado que la eficiencia de los procesos que realiza la compañía no
cumple con el 100%, y se evidencia varias falencias que se deben mejorar e
implementar.
123
4.6 RESULTADOS DE LA AUDITORÍA
4.6.1 HALLAZGOS DE LA AUDITORIA
Una vez ejecutada la auditoría en la compañía “I COACH Servicios Consulting &

Training Cia. Ltda.”, evaluando los niveles de madurez por cada dominio COBIT, así
como la aplicación de las encuestas, se han detectado algunas falencias las cuales se
detallan en una tabla de hallazgos.
En esta sección de igual manera se plantea una estrategia para resolver las criticidades
encontradas y se realiza el Plan de Acción a partir de los hallazgos de la auditoría
informática, los cuales se obtuvieron mediante la aplicación de los modelos de madurez,
matriz de diagnóstico de los procesos y matriz del nivel del servicio.
Finalmente se define un plan de acción con actividades que ayuden tanto a Gerencia
General como a cada departamento en la toma de decisiones para mejorar los procesos
en la compañía I COACH.
Para poder comprender la tabla de hallazgos es necesario explicar de qué manera se

determinó el nivel de criticidad en el que se encuentra cada descubrimiento, para ello se
ha elaborado una matriz, la cual en base a ciertos criterios establece si el nivel de
criticidad del hallazgo se encuentra en la escala alta, media o baja, todo se detalla en la
siguiente tabla.
Tabla 4.38: Matriz de Medición de Criticidad
MATRIZ DE CRITICIDAD
Nivel de CRITERIO
Criticidad
- Afecta a todos los departamentos de la compañía.
- Incumplimiento con la mayoría de los objetivos de la
compañía
Alto - Potencial pérdida que afecta al patrimonio de la
cooperativa
- Reclamos a gran escala de los usuarios de la compañía.
- Afecta mediamente a la continuidad de la compañía.
124
- Afecta a la mayoría de los departamentos de la
compañía.
- Incumplimiento con parte de los objetivos de la
compañía.
- Pérdida que afecta al patrimonio de la compañía
- Aumenta las quejas de los usuarios de la compañía
Medio - Pone en peligro la continuidad de la compañía.
- No afecta a ningún departamento de la compañía
- Incumplimiento en ningún objetivo de la compañía
- Mínimo impacto en el patrimonio de la compañía
- No existe quejas de los usuarios de la compañía.
Bajo - No afecta a la continuidad de la compañía.
A continuación se presenta la tabla de hallazgos de la auditoría informática a la

Compañía y su relación con cada proceso de COBIT 4.1.
HALLAZGOS AUDITORÍA INFORMÁTICA.

Tabla 4.39: Hallazgos de la Auditoría
TABLA DE HALLAZGOS DE LA AUDITORÍA INFORMÁTICA EN LA
COMPAÑÍA I COACH SERVICIOS CONSULTING & TRAINNIG CIA. LTDA.
PROCESO
NIVEL DE ACCIONES PROCESO
HALLAZGO DE I
CRITICIDAD RECOMENDADAS COBIT
COACH
No existe Definir el reglamento de
manuales y la compañía.
Bajo
reglamento de la
compañía
No se cumple Definir procedimientos de
con los legalización del contrato.
procedimientos
Medio
para legalizar los PO6 PC3
contratos con los
usuarios.
No existe un Definir manual de
manual de procedimientos para
procedimientos Bajo gestión interna.
para gestión
interna
125
No se cumple Definir un cronograma
con el para capacitación al
cronograma personal.
establecido para
Bajo
capacitación al
personal en
cuanto a políticas
de la compañía.
Existen contratos Alto Definir políticas en
otorgados cuyos cuanto al reglamento de
créditos o montos crédito de los contratos.
por tipo de
crédito superan
lo establecido por
la compañía.
No existen Medio Implementar políticas de
políticas de seguridad de TI.
seguridad de TI.
No existen Definir procesos para
procesos mantener el cumplimiento
formales en la de las reglamentaciones,
compañía. Medio contratos de la compañía.
No se lleva a
cabo un
seguimiento de
los procesos
legales de la Monitorear los procesos
compañía. Medio legales de la compañía.
No se revisa la
calidad de los Implantar un PO8 PC1, PC2
proyectos de la QMS(Sistema de Gestión
compañía. Medio de Calidad)
No existe un
procedimiento
establecido para Definir un procedimiento
el levantamiento para el levantamiento de
de información. Medio información.
Las estrategias de Crear y actualizar nuevas
mercadeo no han estrategias de mercadeo
sido actualizadas que impacte en la
hace dos años Medio comunidad.
No existe un Definir un marco de
marco de trabajo Medio trabajo
126
para evaluación
de riesgos.
No están bien Definir y documentar los
definidas las roles y las
responsabilidades responsabilidades de los
y los roles a los empleados
empleados de la
compañía. Medio
No existe un plan PO9 PC3,PC5
de acción
documentado
contra riesgos de
seguridad, de Definir y documentar un
continuidad Medio plan de acción de riesgos.
No está definida
la evaluación y
administración Definir, documentar y
de riesgos de TI comunicar la
(amenazas, administración de riesgos
vulnerabilidades) Medio de TI.
Existen
amenazas en Actualizar el sistema
todos los operativo, o cambiarse a
departamentos de un sistema operativo
la compañía. Medio menos vulnerable.
No existe un
manual de
procesos para la
realización de Definir un manual de
proyectos en la procesos para los
compañía. Medio proyectos de la compañía.
No se administra
de manera
PO10 PC1, PC2
efectiva cada
proyecto Administrar cada
publicitario. Medio proyecto publicitario.
No existe un plan
definido y
documentado de
la evaluación del Definir y documentar la
mercado. Bajo evaluación del mercado
127
No está definida
la evaluación y
administración
de fortalezas y
debilidades de la Definir y evaluar las
compañía en el fortalezas de la compañía
mercado. Medio en el mercado.
No existe un
sistema
automatizado,
para la creación
de estrategias de Definir e implantar un
mercado. Medio sistema automatizado.
No existe una
infraestructura de
datos tecnológica
para la
recopilación de
información en la Definir y documentar una
página web de la infraestructura de datos
compañía. Medio tecnológica
AI1 PC1, PC2
No está
identificada la
solución
tecnológica para Definir una solución
la compañía. Medio tecnológica.
No existe una
metodología
establecida para Establecer una
la evaluación de metodología de
soluciones de TI. Medio evaluación
La compañía no
tiene una
metodología de Definir un plan de mejora
mejora continua. Medio continua empresarial
El sistema de
reservación de
asesorías es Actualizar el sistema de
obsoleto Alto reservaciones.
No se cuenta con AI2 PC4
un plan general
para cubrir las Definir un plan general
necesidades para la continuidad de las
referentes a las Alto reservaciones
128
reservaciones de
asesorías
No se da
capacitación al
personal de la
compañía sobre
el sistema que
utiliza el Establecer horarios de
departamento de capacitación al personal
secretaria. Medio para el uso del sistema.
No se documenta
los resultados de Documentar los
las encuestas de resultados de las
servicio Medio encuestas
Falta de
monitoreo
continuo a los
niveles del Monitorear y dar
servicio de la seguimiento a los niveles
compañía Medio de servicio.
No existe un plan DS1 PC4
de mejora Definir un plan de mejora
continua en continua en cuanto al
cuanto al servicio servicio
No se presta
atención a los
resultados de las
encuestas de
servicio Concienciar al personal
realizadas a los sobre el servicio brindado
usuarios a los usuarios
Elaborar un plan de
No existe un plan contingencia debidamente
de contingencias Alto documentado y aprobado.
No existe la DS4 PC5
debida seguridad
física en la Implementación de
compañía. Alto seguridad física.
129
Falta de
actividades
definidas para la
administración
de riesgos
administrativos, Definir actividades para
tecnológicos, de la administración de
continuidad Alto riesgos
No se presta
atención a la Capacitar y concienciar al
seguridad de TI a personal de la compañía a
nivel de software cerca de la importancia de
y hardware. Alto la seguridad tecnológica.
Implementar políticas y
procedimientos de
seguridad estandarizados,
No existe revisar y confirmar
políticas y periódicamente los
procedimientos derechos de acceso riesgo
estandarizados de de errores, alteración
seguridad de TI. Alto autorizada o accidental.
No existe
seguridades en la Implementar soluciones
red Alto tecnológicas de res.
DS5 PC5
Implementar un adecuado
Desconfianza por control de virus
el antivirus que informáticos en cada
cuenta la departamento de la
compañía. Alto compañía.
A los contratos y
la información
física e los Restringir al personal no
usuarios no tiene autorizado al acceso a
seguridad, información confidencial
privacidad. Alto de la compañía.
No está
documentado un
procedimiento
que permita
eliminar los Definición de un DS11 PC1, PC2
respaldos de la procedimiento para la
información, eliminación de respaldos
cuando estos ya dentro de las políticas de
no se los utilice. Alto la compañía.
130
No existe
seguridad con la Establecer mecanismos
información de de seguridad para la
los usuarios de la documentación de los
compañía. Alto usuarios.
Los montos de
los contratos,
según el tipo de
préstamo no
están
parametrizados
en el sistema del Parametrizar el sistema
departamento de la compañía los
administración. Alto montos de los contratos.
Falta de
estándares de Implementar estándares
representación de de representación de
datos datos.
Alto
No existe un
programa de
control interno y Definir y documentar un
proceso de programa de monitoreo y
monitoreo de TI Medio control interno ME2
Falta de
seguimiento y Realizar auditorías
evaluación de informáticas
procesos de TI Alto periódicamente. PC4
No se dan
procesos de Definir y documentar un
evaluación de programa de evaluación
tecnología Alto de TI.
La compañía no ME3 PC3
cuenta con un
comité de
seguridad Conformar un comité de
informática Medio seguridad informática.
131
4.6.2 PLAN DE ACCIÓN POR PROCESO
Después de haberse establecido los hallazgos de la auditoría informática realizada

mediante la aplicación de los modelos de madurez del marco referencial COBIT 4.1, se
plante el plan de Acción que debe implementar la compañía I COACH por cada proceso
auditado mediante la metodología COBIT 4.1.
Tabla 4.40: Plan de Acción PO6 COBIT 4.1
PO6: Comunicar las aspiraciones y la Grado de
dirección de la Gerencia Madurez
CERO
CONCLUSIÓN FINAL:
Gerencia no tiene un reconocimiento de la necesidad de
implementar políticas, procedimientos, estándares para el
manejo de las TIC'S.
RECOMENDACIONES FINALES
COBIT:
Establecer políticas, procedimientos y estándares sobre los
objetivos de la compañía.
Crear buenas prácticas de seguridad y control interno
Mejorar la misión, visión y difundir en la
empresa.
PO8: Asegurar el Cumplimiento de los Grado de

requerimientos externos Madurez
UNO
CONCLUSIÓN FINAL:
No se siguen procesos formales para mantener el
cumplimiento de las reglamentaciones, contratos, y leyes que
impacten en la empresa.
COBIT:
Estableces procesos formales para mantener un correcto
cumplimiento de las reglamentaciones, contratos y leyes.
Monitorear el cumplimiento de las leyes, regulaciones y
contratos establecidos para la compañía.
132
Monitorear los procesos legales y regulatorios que se van
llevando en la empresa.

PO9: Evaluar y administrar los riesgos Grado de
Madurez
CERO
CONCLUSIÓN FINAL:
Complementar políticas de aseguramiento de la información,
habilitando un sitio externo de respaldo.
COBIT:
Crear un plan de proyectos de riesgos asignados a personal
de la compañía que conozca el tema.
Llevar un registro de la administración del riesgo.
Llevar un control sobre los diferentes tipos de riesgos de TI.
Verificar el origen de las causas sobre riesgos.

PO10: Administrar proyectos Grado de
Madurez
DOS
CONCLUSIÓN FINAL:
Existe la carencia de métodos, técnicas para la
administración de proyectos tecnológicos en la compañía.
COBIT:
En la empresa deben existir métodos y técnicas para la
administración de proyectos.
La alta gerencia debe incluirse en la verificación de cada
proyecto que se lleve a cabo dentro de la compañía.
Contar con una buena administración de programas,
métodos y planes de aseguramiento de calidad.
133
Tabla 4.44: Plan de Acción AI1 COBIT 4.1
AI1: Identificar soluciones automatizadas Grado de
Madurez
CERO
CONCLUSIÓN FINAL:
No se define un enfoque estructurado para definir los
requerimientos e identificar las soluciones tecnológicas.
COBIT:
Establecer un enfoque estructurado para la adquisición e
implementación de tecnologías y que los enfoque sean
claros y estructurados para determinar las soluciones.
Crear soluciones disponibles en el mercado
Mejorar las metodologías de adquisición e implementación
de los servicios que brinda la compañía a la ciudadanía.
Tabla 4.45: Plan de Acción AI2 COBIT 4.1

AI2: Adquirir y dar mantenimiento al Grado de
software aplicativo Madurez
CERO
CONCLUSIÓN FINAL:
No cuentan con una metodología ni proceso en el diseño de
aplicaciones para la empresa.
COBIT:
La compañía debe contar con un proceso para diseñar y
especificar aplicaciones
Las pruebas funcionales y de aceptación sean continuas en
cada proyecto de la empresa.
Controles de aplicación y requerimientos de seguridad en
software instalado.
134
Tabla 4.46: Plan de Acción DS1 COBIT 4.1
DS1: Definir y administrar niveles de Grado de
servicio Madurez
UNO
CONCLUSIÓN FINAL:
La empresa no tiene un control sobre la administración de
niveles de servicio.
COBIT:
Establecer una definición de responsabilidades y de las
funciones de servicios de información.
Definir dependencias las cuales serán asignadas a un
Gerente de nivel de servicio.
Automatizar el proceso de reporte para monitorear los
Definir y entender los riesgos financieros asociados con la
falta de cumplimiento de los niveles de servicio.

DS4: Garantizar la continuidad del servicio Grado de
Madurez
UNO
CONCLUSIÓN FINAL:
La empresa no tiene establecido formalmente un control de
la continuidad del servicio.
COBIT:
Asignar responsabilidades de manera formal para mantener
el servicio.
Contar con un plan de continuidad de TI integrado al plan de
continuidad del negocio.
Asignar responsabilidades para el manejo de la información
respaldada y su administración.
135
DS5: Garantizar la seguridad de los sistemas Grado de
Madurez
UNO
CONCLUSIÓN FINAL:
La empresa no posee reportes de seguridad de los sistemas
de TI.
COBIT:
Crear reportes de seguridad de TIC'S
Llevar un manejo, reporte y seguimiento de los incidentes
para su respectiva solución
Tener un control preventivo y correctivo para la prevención
y detención de virus, mediante la utilización de sus
herramientas respectivas.

DS6: Identificar y asignar costos Grado de
Madurez
UNO
CONCLUSIÓN FINAL:
La compañía no cuenta con un presupuesto asignado para el
Depto. De Sistemas.
COBIT:
Los recursos deben ser identificables y medibles para los
usuarios.
Debe existir un acuerdo de nivel de servicio, reportes
automatizados.
Realizar un bechmarking externo con otras organizaciones
similares o con estándares internacionales reconocidos como
mejores prácticas.

DS11: Administración de datos. Grado de
Madurez
UNO
CONCLUSIÓN FINAL:
La empresa no cuenta con un plan de capacitación para la
administración de datos e información.
136
COBIT:
Tener capacitación específica sobre la administración de
datos. Diseñar estándares de entrada de datos.
Llevar un control de los documentos fuente.
Tener un control de la entrada, procesamiento y salida de los
datos.
Definir políticas de administración de datos.

Tabla 4.51: Plan de Acción ME2 COBIT 4.1
ME2: Monitorear y evaluar el control Grado de
interno Madurez
CERO
CONCLUSIÓN FINAL:
La gerencia carece de procedimientos para monitorear la
efectividad de los controles internos a través de actividades
administrativas y de supervisión, comparaciones,
reconciliaciones y otras acciones rutinarias.
COBIT:
Implementar procedimientos para monitorear la efectividad
de los controles internos.
Asignar de manera formal las tareas para monitorear la
efectividad de los procesos de la compañía.
Tabla 4.52: Plan de Acción ME3 COBIT 4.1

ME3: Garantizar el cumplimiento Grado de
regulatorio Madurez
CERO
CONCLUSIÓN FINAL:
La compañía no ha establecido procesos referentes al
cumplimiento de requisitos regulatorios, legales y
contractuales que afecten a las tecnologías.
COBIT:
Realizar evaluaciones independientes de efectividad de los
servicios de la compañía.
Asegurar el óptimo desempeño del personal de la compañía.
137
Se muestra a continuación las actividades recomendadas en el plan de acción con su
respectivo responsable para su ejecución dentro de la Compañía “I COACH
SERVICIOS”.
Tabla 4.53: Actividades-Responsables Recomendaciones
ACCIONES RECOMENDADAS RESPONSABLE

Establecer políticas, procedimientos y
estándares sobre los objetivos de la Presidente, Gerente
compañía. General
Crear buenas prácticas de seguridad y control
interno Gerencia
Mejorar la misión, visión y difundir en la Presidente, Gerente

empresa. General
Establecer procesos formales para mantener
Presidente, Gerente
un correcto cumplimiento de las
General
reglamentaciones, contratos y leyes.
Monitorear el cumplimiento de las leyes,
regulaciones y contratos establecidos para la Presidente, Gerente
compañía. General
Monitorear los procesos legales y

Presidente, Gerente
regulatorios que se van llevando en la
General
empresa.
Crear un plan de proyectos de riesgos Jefe de Sistemas

asignados a personal de la compañía que
conozca del tema.
Llevar un registro de la administración de Jefe de Sistemas
riesgos
Llevar un control sobre los diferentes tipos de
riesgos de TI. Verificar el origen de las Jefe de Sistemas
causas sobre riesgos.
Dpto. Publicidad,
Definir métodos y técnicas para la Dpto.
administración de proyectos Administrativo
Incluir a Gerencia en la verificación de cada Gerencia

proyecto dentro de la compañía.
Contar con una buena administración de
programas, métodos y planes de Jefe de Sistemas
aseguramiento de calidad.
138
Establecer un enfoque estructurado para la
adquisición e implementación de tecnologías Jefe de Sistemas
y que los enfoque sean claros y estructurados
para determinar las soluciones.
Mejorar las metodologías de adquisición e

implementación de los servicios que brinda la Dpto. Publicidad
compañía a la ciudadanía.
La compañía debe contar con un proceso para Jefe de Sistemas
diseñar y especificar aplicaciones
Las pruebas funcionales y de aceptación sean
Jefe de Sistemas,
continuas en cada proyecto de la empresa.
Dpto. Publicidad
Controles de aplicación y requerimientos de Jefe de Sistemas

seguridad en software instalado.
Establecer una definición de Presidente, Gerente
responsabilidades y de las funciones de General
servicios de información.
Definir dependencias las cuales serán Presidente, Gerente
asignadas a un Gerente de nivel de servicio. General
Automatizar el proceso de reporte para Jefe de Sistemas

monitorear los niveles de servicio.
Gerencia, Dpto.
Definir y entender los riesgos financieros Administrativo,
asociados con la falta de cumplimiento de los Secretaria
Asignar responsabilidades de manera formal Gerencia

para mantener el servicio.
Contar con un plan de continuidad de TI Jefe de Sistemas

integrado al plan de continuidad del negocio.
Asignar responsabilidades para el manejo de
la información respaldada y su Jefe de Sistemas,
administración. Gerencia
Crear reportes de seguridad de TIC'S
Jefe de Sistemas
Llevar un manejo, reporte y seguimiento de Jefe de Sistemas

los incidentes para su respectiva solución
139
Tener un control preventivo y correctivo para Jefe de Sistemas
la prevención y detención de virus, mediante
la utilización de sus herramientas respectivas.
Tener capacitación específica sobre la Jefe de Sistemas,
administración de datos. Empleados de la
compañía
Diseñar estándares de entrada de datos.
Jefe de Sistemas
Llevar un control de los documentos fuente.
Jefe de Sistemas
Tener un control de la entrada, procesamiento Jefe de Sistemas,
y salida de los datos. Secretaria
Definir políticas de administración de datos.
Auditor
Implementar procedimientos para monitorear Gerencia, Jefe de

la efectividad de los controles internos. Sistemas
Asignar de manera formal las tareas para
monitorear la efectividad de los procesos de Gerencia
la compañía.
Realizar evaluaciones independientes de Gerencia, Monitor
efectividad de los servicios de la compañía. Académico
Asegurar el óptimo desempeño del personal Presidente,
de la compañía. Gerencia General
Un aspecto fundamental para que se lleve a cabo este plan de acción es el compromiso
de Gerencia General de la compañía, la cual debe asumir la responsabilidad que le es
propia en cuanto al diseño, actualización e implantación del sistema de control interno.
Por grandes que sean los esfuerzos y aportes de la auditoría, no habrá valor agregado en
tanto Gerencia General no asuma este papel y se comprometa con la implantación de las
recomendaciones propuestas.
140
5.7 INFORME EJECUTIVO
Ambato, 15 de Enero/2015
Ing. Alicia Puma

GERENTE GENERAL COMPAÑÍA “I COACH SERVICIOS”
Me dirijo a usted con el fin de presentarle en Informe Final de Auditoría Informática de

los procesos críticos realizada desde los días martes 26 de junio/2014 al lunes 8 de
diciembre/2014, en base de la información recopilada y debidamente analizada
presentada en este informe.
OBJETIVO:
El trabajo tuvo por objetivo revisar y evaluar la eficiencia de los procesos realizados en
la compañía “I COACH SERVICIOS Consulting & Training Cia. Ltda.”; y
procedimientos de control que se vinculan con los sistemas basados en las tecnologías
de Información, incluidas aquellas actividades de tipo manual o no automatizadas que
se desarrollan en el entorno de la compañía.
METODOLOGÍA:
La revisión fue realizada en conformidad al marco de trabajo COBIT 4.1, el cual su
objetivo principal es brindar buenas prácticas a través de un marco de trabajo de
dominios y procesos, y presentar las actividades de una manera manejable y lógica.
Estas prácticas están enfocadas más al control que a la ejecución.
ALCANCE
La revisión, en términos generales, consistió en el análisis de los contratos, políticas
informáticas, métodos de integridad de datos, los recursos informáticos, la validez de la
información, las salvaguardas y controles para el manejo de la información.
141
Además cabe precisar que la revisión s efectuó sobre el 100% de los procesos críticos
de la compañía “I COACH SERVICIOS”.
Síntesis de la revisión realizada:
1. Organización
1.1 Estructura funcional, jerárquica y personal de la compañía “I COACH
SERVICIOS”
Se observó, inicialmente, la ausencia de planes de capacitación periódica
que permitan el desarrollo del personal, así como también se observó la
inexistencia de manuales documentados de roles y responsabilidades de cada
puesto de trabajo de la compañía, dando lugar a desconocimiento de todos
las funciones asignadas a cada puesto de trabajo por parte del personal.
1.2 Recursos de plataforma Software y Hardware

No se dispone de planes de continuidad para crear y operar procedimientos
de operación de sistemas, base de datos y plataforma de software general.
No se encuentra regulados planes de contingencia y continuidad, que
garanticen el buen funcionamiento de los sistemas y permitan identificar
riesgos asociados, dado que no existe ni un informe definido de posibles
riesgos que pueden suceder en la compañía.
De igual manera no se encuentran documentados procedimientos que
ayuden a salvaguardar la información que la compañía maneja, lo cual
genera inconvenientes en cuanto a pérdida y duplicidad de la información.
1.3 Seguridad Física y Lógica

En cuanto a seguridad Física, se pudo observar que no se cuenta con las
medidas necesarias para salvaguardar los activos y la información que la
compañía posee.
142
Ya que en las instalaciones no se cuenta con un guardia ni cámaras de
seguridad para controlar el acceso y salida de personal no autorizado tanto a
las instalaciones como a cada uno de los departamentos de la compañía.
Los espacios físicos que contienen información confidencial no se

encuentran ubicados en lugares estratégicos en los cuales terceras personas o
personal ajeno a la compañía no tenga acceso, ocasionado en ocasiones
pérdidas de información.
En cuanto a la seguridad Lógica, se pudo constatar que la compañía no

cuenta con las medidas necesarias para proteger la información que es el
activo más importante de toda empresa.
No se cuenta con políticas y procedimientos de seguridad para salvaguardar
la información, de igual forma no se cuenta con un plan de continuidad o
respaldo de información ya que no se realiza respaldo de la misma de forma
periódica.
2. Aplicaciones
En este tema se advierte la ausencia de respaldos de perfiles de sistemas
operativos, y procedimientos formales de actualización de aplicaciones de
oficina.
De igual forma se realizó un análisis mediante diagramas de secuencia, de
los procesos de la compañía “I COACH SERVICIOS”, que fueron
considerados como procesos críticos. Además se evaluaron dichos procesos
mediante el marco de trabajo COBIT 4.1, obteniendo como resultado ciertas
debilidades en cuanto al control interno de los mismos ya que no se registra
auditorías anteriores de los procesos, de igual forma se evaluó la eficiencia y
la criticidad de los procesos detectando que no se lleva una documentación
formal de los mismos, faltan manuales en cuento a la regulación y registro
de los procedimientos que realiza cada uno de los procesos.
143
Los temas que han sido objeto de la auditoría corresponden a trece procesos
COBIT, que cubren todos los aspectos involucrados en tecnología de la
información necesaria en la compañía “I COACH SERVICIOS”, y se
agrupan en cuatro categorías: Planear y Organizar (PO), Adquirir e
Implantar (AI), Entregar y Dar Soporte (DS), Monitorear y Evaluar (ME).
La auditoría ha atendido estos temas a través de un conjunto de tablas o

matrices que registran valores resultantes de la aplicación de modelos y
mediciones, que a su vez emplean para su construcción, diversa técnicas de
auditoría como observaciones, entrevistar, indagaciones. Los modelos de
matrices durante la ejecución de la auditoría han sido los siguientes:
Modelo de madurez.- que ha permitido determinar la situación actual de los

procesos de TI e identificar las mejoras necesarias.
Metas y mediciones de desempeño para los procesos de la compañía, que han
permitido evaluar cómo los procesos satisfacen las necesidades de la misma.
- Matriz de Nivel de Servicio
- Matriz de Evaluación de Procesos bajo Métricas COBIT
Determinación de nivel de impacto de cada uno de los procesos en la compañía.
- Matriz de Diagnostico de Procesos COBIT.
A continuación se muestra el nivel de madurez actual de los procesos de la
compañía con el nivel de madurez que se estima alcanzar.
144
NIVEL DE MADUREZ ACTUAL VS
NIVEL MADUREZ ESTIMADO
PO6.…
ME3.… 4 PO8.…
ME2.… PO9. Evaluar…
2 DOMINIO Madurez
DS11.… PO10.… Actual
0
DOMINIO Madurez
DS6.… AI1.… Estimado
DS5.… AI2. Adquirir…
DS4.… DS1. Definir…
Figura 4.15 Nivel Madurez Actual vs. Nivel Madurez Estimado (gráfico radial)
Mediante la utilización del marco de trabajo COBIT 4.1 se comprobó que al
personal de la compañía no se le ha brindado instrucción respecto de la
seguridad de las instalaciones así como también el manejo adecuado de la
información que se maneja en cada uno de los procesos concurrentes de la
compañía.
Asimismo, no se ha establecido políticas específicas para la adopción de

medidas de seguridad física, aplicación de medidas de seguridad lógica y
confidencialidad de la información.
Por otra parte, se determinó la falta de registros formales de incidentes que

indiquen pérdidas de datos y/o alteraciones en el funcionamiento de los
programas informáticos y bases de datos.
2.1 Seguridad de Información

Se observa la inexistencia de políticas y procedimientos de registro de
personal en tránsito dentro de las instalaciones de la compañía, tanto interno
como externo. Además, no existe personal de seguridad o sistemas de
145
vigilancia remota para el control de las instalaciones y no se documentan los
procedimientos de cambios de datos o configuración que se realizan en
equipos de la compañía.
Tampoco existen normativas formales de administración y seguridad
aplicada por parte de los empleados de la compañía, en cuanto a realizar
cambio de claves en forma periódica.
Se verificó la inexistencia de medidas de seguridad física de los datos, no

existiendo respaldos de datos en sitios secundarios o el resguardo en un
archivador o bodega de seguridad con acceso a través de llaves, tarjeta
magnética para conservar la disponibilidad de los servicios que brinda la
compañía.
2.2 Base de Datos

Conforme con la información recolectada y analizada durante la auditoría,
los datos carecían de verificación de integridad de información primaria, lo
que aumenta el riesgo en la seguridad al momento de acceder a la
información.
Además se observó que las bases de datos que lleva la compañía no son las
adecuadas, por lo cual se recomienda realizar una migración de datos a un
motor más potente y versátil se menciona SQL Server, MySQL, Postgres.
Con el planteamiento de las actividades del plan de acción, se pretende facilitar la toma
de decisiones por parte de los directivos de la compañía, las cuales asociadas con la
introducción y consolidación de la auditoría informática establecen una cultura de la
seguridad y una excelencia en el tratamiento de la información en todos sus procesos de
negocio permitiéndole a la compañía llegar a un nivel de madurez superior al actual.
Así, aporta a la compañía un valor añadido de reconocido prestigio, en la calidad de los
servicios que ofrece a sus usuarios.
Att: Yajaira Carcelén
Auditora
146
CAPÍTULO V
CONCLUSIONES Y RECOMENDACIONES
5.1 CONCLUSIONES
Una vez finalizado el proyecto de investigación se tienen como conclusiones las
siguientes:
 La compañía “I COACH Servicios”, debe tomar especial consideración a los
proceso de Ti que se encuentran en un grado de madurez cero y uno: PO6
Comunicar las aspiraciones y la dirección de la Gerencia, PO8 Administrar la
Calidad, PO9 Evaluar y Administrar los riesgos de TI, AI2 Adquirir y mantener
software aplicativo, DS1 Definir y administrar los niveles de servicio,DS4
Garantizar la continuidad del Servicio, DS5 Garantizar la seguridad de los
sistemas, DS6 Identificar y asignar costos, DS11 Administrar los datos, ME2
Monitorear y Evaluar el control interno, ME3 Garantizar el cumplimiento
Regulatorio, debido a que los mismos se encuentran en un estado crítico y
requieren atención inmediata.
 Se conocieron los procedimientos internos de la compañía, pudiéndose

determinar que los procesos de la misma son realizados la mayoría en forma
manual, lo que supone un costo alto, tanto en recursos como en tiempo de
trabajo para los diferentes departamentos de la compañía.
 El sistema organizacional con el que trabaja la compañía no garantiza confianza

en cuanto a la veracidad y consistencia de los datos y la información, ya que se
deben realizar muchos procesos de forma manual, lo cual retrasa la ejecución de
147
las actividades en los diferentes departamentos de la compañía, pudiéndose
generar errores.
 Los modelos de madurez de COBIT 4.1 para el control sobre los procesos de la
compañía “I COACH Servicios”, determinaron la posición precisa de donde está
actualmente respecto a la norma y estableciendo una pauta para tomar decisiones
en cuanto a la inversión necesaria para avanzar en él.
 La consecución de un nivel de madurez mayor al actual en base a los objetivos

de control del marco referencial COBIT 4.1 se logrará a través de la aplicación
del plan de acción planteado en la presente tesis.
 La importancia de la aplicación del Marco de Referencia COBIT 4.1 provee un

valor agregado a las tecnologías de información especialmente en la valoración
de la situación actual del grado de madures de los procesos de TI, lo cual brinda
a la Gerencia y Presidencia de la compañía una manera fácil de reconocer la
situación actual de la organización.
5.2 RECOMENDACIONES
 La auditoría realizada para el presente proyecto, presenta una serie de

observaciones y recomendaciones que se considera son aporte para la gestión de
TI para la compañía I COACH Servicios, por lo que se recomienda que sean
tomadas en cuenta para su aplicación, para evitar riesgos en un futuro.
 Se recomienda documentar los procesos de TI, para definir controles de

seguridad de la información y de esta manera evitar vulnerabilidades frente a
accesos no autorizados, pérdidas de información, duplicidad de datos
confidenciales, etc.
148
 Es de gran importancia para la compañía “I COACH Servicios” luego de la
auditoría informática continúen realizando evaluaciones periódicas, ya que de
esta manera logrará observar si han mejorado o no cada uno de los procesos de
la compañía.
 Tomar en consideración los criterios obtenidos acerca de las debilidades y

fortalezas de la compañía, para que de esta manera puedan cubrir las falencias y
lograr un mejor desempeño en el campo laboral.
 Según la experiencia adquirida en el presente proyecto, se considera de gran

importancia que el personal de la compañía “I COACH Servicios” reciban una
inducción en la metodología de auditoría informática, para que su aplicación sea
más productiva y los resultados de la evaluación sean elementos de juicio para
toma de decisiones.
149
BIBLIOGRAFÌA
[1] PIATTINI M. y del Peso E. (2007). “Auditoría Informática”, un enfoque práctico.

México, 2da. Edición.
[2] G. RIVAS, “Auditoria Informática”, Ediciones Díaz de Santos, Madrid, 1989, 200
pág. ISBN 84-87189-13-X.
[3] C. SLOSSE, “Un nuevo enfoque Empresarial”, 2da Edición, Macchi Ediciones,
1991, 790 pág. ISBN 9505371624.
[4] A. PRIETO, “Capítulo I”, in “Introducción a la Informática”, Berzal Fernando, 3ra
Edición, McGraw-Hill, España, 2002.
[5] C. HERNANDEZ, “Auditoría Informática”, Systems Corp., México D.F, 2008.
[6] G. RIVAS, “Auditoria Informática”, Ediciones Díaz de Santos, Madrid, 1989, 200
pág. ISBN 84-87189-13-X.
[7] L. Cruz, “Los procesos de Gestión de TI”, Solución y Servicios Tecnológicos, El
Salvador, 2012.
[8] Pérez Lizette, ·”El rol de COBIT en la estrategia de la seguridad e la Información,
en Gestión de la Seguridad de la Información”, Search data center, mayo 2013.
[9] K. CORONEL, “Auditoria Informática orientada a procesos críticos de la
Cooperativa de Ahorro y Crédito “Fortuna”” Universidad Particular de Loja, Loja,
2012.
[10] M. Torres, I. Giraldo, “Diagnóstico para la Implantación de COBIT en una
empresa de Producción”, Septiembre 2012.
[11] Cobit 4.1 Spanish IT Governance 2007 pag. 13
[12] P. Zamora, “Auditoria de Gestión de las Tecnologías de Información para
Ingeconsult Utilizando Framework Cobit 4.1”, UTI, Quito, 2012.
[13] Cobit 4.1 Spanish IT Governance 2007, pag. 23
150
GLOSARIO
Monitor.- Profesor de la compañía, quien es el encargado de resolver cualquier tipo de
inconveniente o eventualidad en el ámbito académico que suceda en las instalaciones.
Tutor.- Profesor que brinda las clases a los usuarios de la compañía “I COACH
Servicios”
Advisor.- Empleado del Dpto. de Publicidad cuyo objetivo y responsabilidad es ofertar
el servicio de la compañía al
Filial: Sucursal de la compañía “I COACH SERVICIOS”
UML: (Lenguaje Unificado de Modelado), es un lenguaje gráfico para visualizar,
especificar, construir y describir métodos o procesos.
Asesoría: Clase, Tutoría.
Bechmarking: Punto de referencia sobre el cual, se compara o evalúa productos,
servicios y procesos de trabajo de organizaciones.
SLA: Acuerdos de niveles de servicio, escrito entre proveedores de servicio y sus
clientes, define las necesidades del cliente y controla sus expectativas de servicio en
relación a la capacidad del proveedor.
OLA: Acuerdo de nivel de operación, especifica procesos técnicos en términos
entendibles por la empresa y el cliente y puede dar soporte a uno más SLA.
151
ANEXO 1
Se determinó la siguiente política a implementarse en la compañía “I COACH
SERVICIOS”, para ayudar en la reducción de pérdida de la información por una
gestión inadecuada de los sistemas Informáticos
POLÍTICA DE ADMINISTRACIÓN DE Página : 1 de 4

DATOS
COMPAÑÍA "I COACH SERVICIOS
CONSULTING & TRAINING CIA.
LTDA"
POLÍTICA DE ADMINISTRACIÓN DE DATOS
ELABORADO POR: REVISADO
Yajaira Carcelén POR: Gerencia
General
FECHA: 9 de Enero/2015
1. OBJETIVO
Definir los estándares para salvaguardar la información contra el uso no
autorizado, divulgación o revelación, modificación o pérdida de la misma dentro
de la compañía “I COACH SERVICIOS”.
2. ALCANCE
La presente política aplica a todo el personal de la compañía.
3. DEFINICIONES:
Información sensitiva.- Esta información debe estar disponible a los empleados
de la Compañía, pero no disponible al público.
Información restringida.- Esta información debe estar limitada a una audiencia
restringida, determinada por Gerencia General
Información Confidencial.- Esta información debe estar solamente disponible a
personas designadas.
4. POLÍTICA
Dado a la naturaleza de la información que se maneja en la Compañía, se debe
considerar la sensibilidad de los datos que residen en los sistemas de
152
DATOS
LTDA"
General
información para el debido control y acceso. Pérdida o mal uso de esta

información puede resultar en una variedad de daños, tales como pérdida de
confidencialidad e incumplimiento de regulaciones y leyes aplicables a la
Compañía.
4.1 ASPECTOS GENERALES

4.1.1 Todo documento, carpeta, folder, y otros medios de almacenamiento
que contienen información sensitiva, restringida o confidencial debe
ser ubicada en áreas protegidas. Estos medios de almacenamiento de
información nunca deben ser ubicados en un lugar donde visitantes
puedan tener acceso a ellos.
4.1.2 Prestar atención particular a la manera que se guarda la información
personal de los usuarios: Número de Contrato, Letra de Cambio
firmada por el usuario, números de teléfonos, correo electrónico.
Si no existe una necesidad legítima de información personalmente
identificable, para un proceso específico no la guarde.
4.1.3 Los datos de los usuarios de la compañía deben ser utilizados
solamente para propósitos requeridos o legales.
4.1.4 Los medios de almacenamiento de información que contienen
información sensitiva, restringida o confidencial debe ser guardad en
un área segura a final de cada día laborable.
153
DATOS
LTDA"
General
4.1.5 Las computadoras portátiles (“laptops”), y otros dispositivos (tales

como USB, disco extraíble, etc) que contiene información de la
Compañía, debe tener instalado software de cifrado, y si no está
siendo utilizada o no está en la posesión directa del usuario asignado,
debe estar asegurada físicamente.
4.1.6 Toda información de respaldo (“backup”) enviado o almacenado en

medios de datos (USB, CD, discos, etc) debe ser protegida y
manejado según los procedimientos aplicables dentro de la compañía.
5. PRÁCTICAS EN LOS DIFERENTES DEPARTAMENTOS DE LA

COMPAÑÍA.
5.1 Todas las computadoras deben ser aseguradas cuando el área de trabajo está
desocupada o desatendida.
5.2 Todo documento, carpeta y otros medios de almacenamiento que contiene
información sensitiva, restringida o confidencial debe ser retirada del
escritorio y asegurada en archivos de gaveta al final de la jornada de trabajo.
5.3 Cada empleado es responsable de asegurar todo documento y medio
electrónico de almacenamiento que contenga información sensitiva o
confidencial y asegurarse que dicha información esté ubicada en gavetas o
archivos con llave.
154
DATOS
LTDA"
General
5.4 Las contraseñas no pueden ser dejadas en notas en el escritorio ni en una

ubicación accesible.
5.5 Los informes impresos que contienen información sensitiva, restringida o
confidencial deben ser retirados inmediatamente de las impresoras.
5.6 Al momento de desechar, los documentos sensitivos o confidenciales deben
ser destruidos en equipos.
5.7 Controles de acceso y monitoreo deben ser aplicados en áreas de oficina e
instalaciones de almacenaje donde resida información restringida o
confidencial.
6. MEDIDAS DISCIPLINARIAS
Las sanciones aplicables al personal, de acuerdo a la ocurrencia o severidad de
la violación o infracción a esta política re regirán debido al criterio de los
ejecutivos de la compañía.
7. VIGENCIA
Gerencia General puede enmendar esta política en cualquier momento de ser
necesario.
Gerencia General, mediante la implantación de esta política, debe asegurar que
la debida diligencia sea realizada por todos los involucrados en el manejo de la
información de la compañía. Se sancionará administrativamente a todo aquel
que viole lo dispuesto en la presente Política
155
ANEXO 2
Recolección de Información Procesos COBIT
PROCESO
DOMINIO
OBJETIVO DETALLE
DE OBJETIVO DE PREGUNTAS RESPUESTAS
CONTROL CONTROL
El ambiente de 1. ¿Están definidos los No

PO6. COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN A GERENCIA
control se basa en elementos de un ambiente

una cultura que de control para TI?
apoya la entrega
de valor, mientras
PO6.1 administra riesgos 2. ¿Las No
Ambiente de significativos, expectativas/requerimientos
Políticas y de fomenta la están alineados con el estilo
Control colaboración y la de servicio de la compañía?
mejora continua
de procesos, y
PLANEAR Y ORGANZAR
maneja fallas o
errores de forma
adecuada.
Elaborar y dar 1.¿Existe un marco de Se tiene
mantenimiento a trabajo que establezca el identificados
un marco de enfoque empresarial los riesgos pero
trabajo que general hacia los riegos? no existe un
establezca el marco de
PO6.2 Riesgo
enfoque trabajo
Corporativo y
empresarial establecido ni
Marco de
general hacia los documentado.
Referencia de
riesgos y el 2. ¿Existe un control que se No existe una
Control
control que se alinee con la politica de TI? política
alineen con la formalmente
política de TI. establecida.
PO6.3 Elaborar y dar 1. ¿Existen políticas que No

Administración mantenimiento a apoyen la estrategia de TI?
de Políticas un conjunto de
156
para TI políticas que 2. ¿Estas políticas incluyen No
apoyen la roles y responsabilidades?
estrategia de TI.
Estas políticas
deben incluir su 3. ¿Estas políticas incluyen No
intención, roles y procesos de excepción?
responsabilidades,
procesos de
excepción etc.
Asegurarse de 1. ¿Se asegura que las No existe una
que las políticas políticas se implanten política
de TI se formalmente
implantan y se establecida.
comunican a todo 2. ¿Se asegura que las No existe una
PO6.4
el personal políticas de TI se política
Implantación
relevante, y se comuniquen a todo el formalmente
de Políticas de
refuerzan, de tal personal relevante? establecida.
TI
forma que estén
incluidas y sean
parte integral de
las operaciones
empresariales.
Asegurarse que 1.¿Se comunica a los No
los procesos de usuarios de toda la
PO6.5 reclutamiento del compañía los objetivos de
Comunicación personal estén de TI?
de los acuerdo a las
Objetivos y la políticas y 2. Los usuarios están No
Dirección de procedimientos conscientes de los objetivos
TI generales de de TI?
personal de la
organización
PROCESO
DOMINIO
OBJETIVO DETALLE
CONTROL CONTROL
157
Establecer y 1. ¿Se cuenta con un No se cuenta con
mantener un QMS QMS de TI alineados un QMS
que proporciones un con los
enfoque estándar, requerimientos del
formal y continuo, negocio?
PO8.1 Sistema con respecto a la
de administración de la 2.¿Las áreas claves No se cuenta con
Administración calidad, que esté desarrollan sus un QMS
de Calidad alineado con los planes de calidad de
requerimientos del acuerdo a los
negocio. criterios y políticas, y
registran los datos de
calidad?
1. ¿Se identifica No
PO8. ADMINISTRAR LA CALIDAD
estándares para los

procesos clave TI?
PLANEAR Y ORGANZAR
Identificar y
mantener 2.¿Se identifica Se identifica
estándares, procedimientos para ciertos
PO8.2 procedimientos y los procesos claves procedimientos
Estándares y prácticas para los de la compañía? pero no están
Prácticas de procesos clave de TI documentados
Control para orientar a la
organización hacia 3.¿Se identifica Se realizan
el cumplimiento del prácticas para los prácticas de
sistema de calidad. procesos claves de la acuerdo al criterio
compañía? del Jefe de
Sistemas, no se
sigue un
prototipo.
Adoptar y mantener 1. ¿Se adopta No se tiene la
estándares para todo estándares para todo adquisición de
desarrollo y desarrollo y estándares como
adquisición que siga adquisición que siga algo importante
PO8.3 el ciclo de vida. Los el ciclo de vida? para la compañía.
Estándares y temas a considerar
Desarrollo y de incluyen estándares
Calidad de codificación de 2. ¿Se incluyen Se incluye
software, normas de estándares de diferentes
nomenclatura, codificación de estándares de
formatos de software? codificación para
archivos cada desarrollo
158
3. ¿Se incluye En ciertas
normas de ocaciones.
nomenclatura?
Enfocar la 1. ¿Está enfocada la No se cuenta con
administración de administración de un sistema de
calidad en los calidad en los calidad, pero la
clientes, usuarios? administración
determinando sus sise enfoca en las
requerimientos y necesidades del
alineándolos con los usuario
estándares y 2. ¿Están definidos Los errores solo
PO8.4 Enfoque prácticas de TI. los roles respecto a la los puede corregir
en el Cliente de Definir roles y resolución de el Jefe de
TI responsabilidades conflictos entre el Sistemas en
respecto a la usuario y la cuanto al
resolución de compañía? aplicativo
conflictos entre
usuario y la 3. ¿Estan definidas No con certeza,
organización? las responsabilidades falta políticas
recpecto a la respecto a
responsabilidades.
1.¿Se mantiene un Se mantiene
plan global de charlas entre
calidad que directivos para
promueva la mejora mejorar el
Mantener y continua? servicio de la
comunicar compañía pero no
regularmente un se tiene un plan
PO8.5 Mejora
plan global de de mejora
Continua
calidad que continua
promueva la mejora documentado
continua. 2. ¿Se comunica No, falta de
regularmente el plan comunicación al
global de calidad? personal
Definir, planear e 1.¿Estan definidas No

PO8.6 implementar mediciones para
Medición, mediciones para monitorear el
Monitoreo y monitorear el cumplimiento
Revisión de la cumplimiento continuo?
Calidad continuo.
159
2. ¿Están planteadas No
mediciones para
monitorear el
cumplimiento
continuo?
PROCESO
DOMINIO
OBJETIVO DETALLE
CONTROL CONTROL
1. ¿Está establecido un No
Establecer un
marco de trabajo de
marco de trabajo
administración de
de
riesgos?
administración
PO9.1 Marco 2-¿El marco de trabajo No
de riesgos de TI,
de Trabajo de de administración de
que esté alineado
PO9. Evaluar y Administrar los Riesgos
Administración riesgos de TI está

al marco de
de Riesgos alineado al marco de
trabajo de
PLANEAR Y ORGANZAR
trabajo de
administración
administración de
de riesgos de la
riesgos de la
organización.
organización?
1.¿El marco de trabajo No se cuenta
de evaluación de riesgos con un marco
se aplica para garantizar de evaluación
Establecer el resultados apropiados? de riesgos
contexto en el
cual el marco de 2. ¿Está incluida la No se cuenta
PO9.2
trabajo de determinación del con un marco
Establecimiento
evaluación de contexto interno de cada de evaluación
del Contexto
riesgos se aplica evaluación de riesgos? de riesgos
del Riesgo
para garantizar
resultados 3-¿Están incluidos los Se tiene
apropiados. criterios contra los criterios claros
cuales se evalúan los de los riesgos
riesgos? pero no se
evalúan
160
1.¿Estàn identificadas En parte, se
Identificar una las amenazas analizan los
amenaza importantes con riesgos con
importante y la impacto potencial impacto bajo y
naturaleza de su negativo? se da una
PO9.3
impacto, y respuesta
Identificación
resgistrar y inmediata.
de Eventos
mantener riesgos 2. ¿Se determina la Se determina de
relevantes en un naturaleza del impacto? ciertos eventos.
registro de
3. ¿Se mantiene esta No
riesgos.
información?
1. ¿Se evalúa de forma No
recurrente la
Evaluar de forma probabilidad e impacto
recurrente la de todos los riesgos
probabilidad e identificados?
PO9.4 impacto de todos
Evaluazión de los riesgos
Riesgos de TI identificados,
usando métodos 2. ¿Se usan métodos No
cualitativos y cualitativos?
cuantitativos 3- ¿Se usan métodos No
cuantitativos?
Desarrollar y 1. ¿Se cuenta con un Se cuenta con
mantener un proceso de respuesta a procesos de
proceso de riesgos diseñado para respuesta pero
respuesta a asegurar que controles no se encuentra
riesgos diseñado efectivos? documentado.
para asegurar que
controles 2. ¿El proceso de No
efectivos. El respuesta a riesgos
proceso de identifica estrategias
PO9.5 respuesta a tales como evitar,
Respuesta a los riesgos debe reducir, compartir o
Riesgos identificar aceptar riesgos?
estrategias tales
como evitar, 3. ¿El proceso de No
reducir, respuesta a riesgos
compartir o considera los niveles de
aceptar riegos; tolerancia?
determinar
responsabilidades
y considerar los
niveles de
161
tolerancia a
riesgos.
1. ¿Se prioriza las No

Priorizar y
actividades de control a
planear
todos los niveles para
actividades de
PO9.6 implementar respuestas
control a todos
Mantenimiento a los riesgos?
los niveles para
y Monitoreo de
implementar las
un Plan de 2. ¿ Se reporta cualquier Si
respuestas a los
Acción de desviación a la alta
riesgos. Obtener
Riesgos dirección?
la aprobación
para las acciones 3. ¿Se monitorea la No
recomendadas. ejecución de los planes?
PO10. ADMINISTRAR PROYECTOS PROCESO
DOMINIO
OBJETIVO DETALLE
CONTROL CONTROL
PO10.1 Marco 1.¿Se mantiene un SI

de Trabajo programa de proyectos,
PLANEAR Y ORGANZAR
para la Mantener el relacionados con el

Administración programa de los portafolio de
de Programas proyectos, programas?
relacionados con el 2. ¿Se asegura que los SI
portafolio de proyectos apoyen los
programas, objetivos del programa?
asegurarse de que 3. ¿Se administra la SI
los proyectos apoyen contribución de todos
los objetivos del los proyectos dentro del
programa. programa hasta obtener
los resultados
esperados?
162
Establecer y 1. ¿Existe un marco de No, los
PO10.2 Marco
mantener un marco trabajo para la proyectos se
de Trabajo
de trabajo para la administración de realizan de
para
administración de proyectos que defina el acuerdo a
Administración
proyectos que defina alcance? planes de
de Proyectos
el alcance y los trabajo.
límites de la 2-¿Este marco de El plan de
administración de trabajo define los trabajo se limita
proyectos, así comolímites de la a la
las metodologías a administración de administración
ser adoptadas y proyectos?
aplicadas en cada 3.¿Este marco de El plan de
proyecto trabajo define las trabajo define
emprendido. metodologías a ser la metodología
adoptadas y aplicadas o estrategia de
en cada proyecto cada proyecto
emprendido? emprendido
Establecer un 1.¿Está establecido un SI
PO10.3 enfoque de enfoque de
Enfoque de administración de administración de
Administración proyectos que proyectos que
de Proyectos corresponda al corresponda al tamaño
tamaño, complejidad de cada proyecto?
y requerimientos 2.¿Está establecido un Se establece un
regulatorios de cada enfoque de enfoque
proyecto. administración de administrativo
proyectos que pero falta mas
corresponda a los control
requerimientos regulatorio.
regulatorios de cada
proyecto?
Obtener el 1. ¿Existe el SI
compromiso y la compromiso de los
PO10.4
participación de los interesados en la
Compromiso
interesados en la definición y ejecución
de los
definición y del proyecto dentro del
Interesados
ejecución del contexto del programa
proyecto dentro del global?
contexto del 2. ¿ Se cuenta con la SI
programa global. participación de los
interesados en la
definición y ejecución
del proyecto?
163
1. ¿Está definida la SI
naturaleza del proyecto
Definir y para confirmar y
PO10.5
documentar la desarrollar entre los
Declaración de
naturaleza y el interesados, un
Alcance del
alcance del proyecto entendimiento común
Proyecto
para confirmar y del alcance del
desarrollar, entre los proyecto?
interesados, un
entendimiento 2. ¿Está documentada la NO
común del alcance naturaleza del proyecto?
del proyecto y cómo 3. ¿Está definido el SI
se relaciona con alcance del proyecto?
otros proyectos.
4. ¿Está documentado el NO
alcance del proyecto?
Aprobar el inicio de 1. ¿Se aprueba el inicio SI
PO10.6 Inicio
las etapas de las etapas
de las Fases
importantes del importantes del
del Proyecto
proyecto y proyecto?
comunicarlo a todos 2. ¿Se comunica a todos SI
los interesados. La los interesados?
aprobación de la fase 3. ¿La aprobación de la SI
inicial se debe basar fase inicial está basada
en las decisiones de en las decisiones de
gobierno del gobierno del programa?
programa. La
aprobación de las 4. ¿La aprobación de las SI
fases subsiguientes fases subsiguientes
se debe basar en la están basadas en la
revisión y aceptación revisión y aceptación de
de los entregables de los entregables de la
la fase previa. fase previa?
1. ¿Existe un plan SI, existe un

Establecer un plan
aprobado para el plan aprobado
integrado para el
proyecto que guie la pero no
proyecto, aprobado y
ejecución y el control documentado
formal(que cubra los
PO10.7 Plan del proyecto a lo largo
recursos del negocio
Integrado del de la vida útil del
y de los sistemas de
Proyecto mismo?
información) para
guiar la ejecución y
el control del
proyecto a lo largo
164
de la vida del 2. ¿Están entendidas las SI
proyecto. actividades e
interdependencias de
múltiples proyectos
dentro de un mismo
programa?
3.¿El plan del proyecto SI, aunque en

se mantiene a lo largo algunos
de la vida del mismo? proyectos si se
realizan
modificaciones,
pero no se
documenta
1. ¿ Están definidas las SI
responsabilidades,
PO10.8 relaciones, autoridades
Recursos del y criterios de
Proyecto desempeño de los
Definir las miembros del equipo
responsabilidades, del proyecto?
relaciones,
autoridades y 2. Se especifica las No existe bases
criterios de bases para adquirir y explícitas o
desempeño de los asignar a los miembros formalizadas
miembros del equipo del equipo del
del proyecto. proyecto?
3. ¿Se planea y SI
administra la obtención
de productos y servicios
requeridos para cada
proyecto?
1. ¿Existe un proceso SI
Eliminar o sistemático que elimine
PO10.9 minimizar los
Administración o minimice riesgos
riesgos específicos específicos asociados
de Riesgos del asociados con los
Proyecto con los proyectos
proyectos individuales?
individuales por
165
medio de un proceso 2. ¿ Están establecidos y SI, se elabora
sistemático de registrados de forma un contrato en
planeación, central los riesgos el que se
identificación, afrontados por el incluye
análisis, respuesta, proceso de clausulas que
monitoreo y control administración de contemple esto
de las áreas y proyectos y el producto y se lo
eventos que tengan entregable del proyecto? supervisa
el potencial de mediante la
ocasionar cambios ficha de
no deseados. seguimiento
hasta el
cumplimiento
final del
mismo.
Prepara un plan de 1. ¿Se cuenta con un Se crea un plan
administración de la plan de administración de
PO10.10 Plan calidad que describa de la calidad que administración
de Calidad del el sistema de calidad describa el sistema de por cada
Proyecto del proyecto y cómo calidad del proyecto y proyecto.
será implantado. El cómo será implantado?
plan debe ser
revisado y acordado 2. ¿Se revisa este plan y Se revisa el
de manera formal se acuerda de manera plan de cada
por todas las partes formal por todas las proyecto pero
interesadas para partes interesadas para no se incorpora
luego ser luego ser incorporado en el plan
incorporado en el en el plan integrado del integrado del
plan integrado del proyecto? proyecto
proyecto.
PROCESO
DOMINIO
OBJETIVO DETALLE
RESPUESTA
DE OBJETIVO PREGUNTAS
S
CONTROL DE CONTROL
AI1.1 Identificar, dar 1. ¿Se identifica los SI

AI1. Identificar
IMPLANTAR
ADQUIRIR E
automatizada
Definición y prioridades, requerimientos

soluciones
Mantenimiento especificar y funcionales del

de los acordar los negocio que cubran el
Requerimientos requerimientos alcance completo de
Técnicos del de negocio los programas de
Negocio funcionales y inversión de TI?
166
técnicos que 2. ¿Se identifica los SI
cubran el requerimientos
alcance técnicos del negocio
completo de que cubran el alcance
todas las completo de los
iniciativas programas de
requeridas para inversión de TI?
lograr los
resultados
esperados de los
programas de
inversión de TI.
3. ¿ Se prioriza los NO
requerimientos
funcionales del
negocio que cubran el
alcance completo de
los programas de
inversión de TI?
1.¿Se identifica los SI
riesgos asociados con
los requerimientos del
Identificar,
negocio como parte de
documentar y
los procesos
analizar los
organizacionales para
riesgos
el desarrollo de los
asociados con
requerimientos?
los
requerimientos 2.¿Se identifica los SI
AI1.2 Reporte
del negocio y riesgos asociados con
de Análisis de
diseño de el diseño de
Riesgos
soluciones como soluciones como parte
parte de los de los procesos
procesos organizacionales para
organizacionales el desarrollo de los
para el requerimientos?
desarrollo de los 3.¿Se documenta los NO
requerimientos. riesgos asociados con
los requerimientos del
negocio?
167
Desarrollar un 1. ¿Se desarrolla un SI
estudio de estudio de factibilidad
factibilidad que que examine la
examine la posibilidad de
posibilidad de implementar los
Implementar los requerimientos?
requerimientos. 2. ¿La administración NO
La del negocio, apoyada
AI1.3 Estudio
administración por la función de TI
de Factibilidad
del negocio, evalúa la factibilidad?
de Cursos de
apoyada por la
Acción
función de TI
Alternativos
debe evaluar la
factibilidad y los
cursos
alternativos de
acción y realizar
recomendacione
s al patrocinador
del negocio.
Verificar que el 1.¿El patrocinador del SI
proceso requiere negocio aprueba los
al patrocinador requisitos funcionales
del negocio para del negocio?
aprobar y
autoriza los 2. ¿El patrocinador del SI
AI1.4 negocio autoriza los
requisitos de
Requerimientos requisitos técnicos del
negocio, tanto
, Decisión de negocio?
funcionales
Factibilidad y
como técnicos, y
Aprobación
los reportes del
estudio de
factibilidad en
las etapas clave
predeterminadas
.
168
PROCESO
DOMINIO
DETALLE
OBJETIVO DE
OBJETIVO DE PREGUNTAS RESPUESTAS
CONTROL
CONTROL
Traducir los 1.¿Se traduce los NO

requerimientos del requerimientos del
negocio a una negocio a una
especificación del especificación de diseño
diseño de alto nivel de alto nivel para la
AI2.1 Diseño de para la adquisición de adquisición de
Alto Nivel software, teniendo en software?
cuenta las directivas 2.¿Las especificaciones NO
AI2. ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
tecnológicas y la de diseño son aprobadas

arquitectura de por la Gerencia?
información dentro de
la organización.
Preparar el diseño 1. ¿Se prepara el diseño NO
detallado y los detallado de software de
requerimientos aplicación?
técnicos del software
2.¿Se define el criterio NO
de aplicación. Definir
de aceptación de los
el criterio de
requerimientos?
aceptación de los
requerimientos. 3. ¿Se prepara los NO
AI2.2 Diseño Aprobar los requerimientos técnicos
Detallado requerimientos para del software de
garantizar que aplicación?
correspondan al diseño
4.¿Se aprueba los NO
de alto nivel
requerimientos para
garantizar que
correspondan al diseño
de alto nivel?
Implementar controles 1. ¿Se implementa NO

de negocio, cuando controles de negocio
aplique, en controles cuando aplique, en
AI2.3 Control de de aplicación controles de aplicación
Posibilidad de automatizados tal que automatizados?
Auditar las el procesamiento sea
Aplicaciones exacto, completo, 2.¿El procesamiento de NO
oportuno, autorizado y los controles del
auditable. negocio son exactos?
169
Abordar la seguridad 1.¿Se aborda la No se registra
de las aplicaciones y seguridad de las auditorias
los requerimientos de aplicaciones? anteriores
disponibilidad en
AI2.4 Seguridad respuesta a los riesgos
y Disponibilidad identificados y en línea
de las 2. ¿Se aborda la No se registra
con la clasificación de
Aplicaciones arquitectura de auditorias
datos, la arquitectura y
seguridad de la anteriores
seguridad de la
información?
información.
1.¿ Se configura el No se registra

software de aplicaciones software
adquiridas para adquirido a
AI2.5 Configurar e conseguir los objetivos terceros
Configuración e implementar software de negocio?
Implantación de de aplicaciones
Software adquiridas para
Aplicativo conseguir los objetivos 2. ¿ Se implementa No se registra
Adquirido de negocio software de aplicaciones software
adquiridas para adquirido a
conseguir los objetivos terceros
de negocio?
1.¿Se realiza cambios Si se realizan
importantes a los mejoras, por
sistemas existentes que ejemplo en la
resulten cambios página web de
AI2.6 significativos al diseño la compañía,
Actualizaciones actual pero son mas
Importantes en cambios de
Sistemas fondo que de
Existentes forma.
2. ¿ Se realizan cambios SI
importantes a los
sistemas existentes que
resulten cambios
significativos en su
funcionalidad.
Garantizar que 1. ¿Se garantiza que la SI
funcionalidad de funcionalidad de
AI2.7 Desarrollo automatización se automatización se
de Software desarrolla de acuerdo desarrollen de acuerdo
Aplicativo con las con las especificaciones
especificaciones de de diseño?
170
diseño, los estándares 2.¿Se garantiza que la SI
de desarrollo y funcionalidad de
documentación, los automatización de
requerimientos de desarrollo de acuerdo a
calidad y estándares de los estándares de
aprobación. desarrollo y
documentación?
1.¿Se desarrolla un plan No tienen

Desarrollar, de aseguramiento de establecidos
Implementar los calidad de software? plan de calidad
recursos y ejecutar un con
plan de aseguramiento procedimientos.
de calidad del 2. ¿Se implementa los No tienen
AI2.8
software, para obtener recursos de un plan de establecidos
Aseguramiento
la calidad que se aseguramiento de plan de calidad
de Calidad del
especifica en la calidad de software? con
Software
definición de procedimientos.
requerimientos y en las 3. ¿Se asegura un plan No tienen
políticas y de aseguramiento de establecidos
procedimientos de calidad del software? plan de calidad
calidad de la con
organización. procedimientos.
1. ¿Se sigue el estado de SI
los requerimientos
Seguir el estado de los
individuales durante el
requerimientos
AI2.9 diseño, desarrollo e
individuales, durante el
Administración implementación?
diseño, desarrollo e
de los implementación, y 2. ¿Se sigue el estado de NO se realiza
Requerimientos aprobar los cambios a todos los requerimientos seguimiento
de Aplicaciones los requerimientos a rechazados durante el
través de un proceso de diseño, desarrollo e
gestión de cambios implementación?
establecido.
171
PROCESO
DOMINIO
OBJETIVO DETALLE
CONTROL CONTROL
Definir un ,arco de 1. ¿El marco de trabajo Si existe pero

trabajo que brinde brinda un proceso no es formal.
un proceso formal formal de
de prestador de administración de
servicio. El marco niveles de servicio entre
de trabajo el cliente y el prestador
DS1. DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO
mantiene una de servicio?

DS1.1 Marco alineación 2. ¿El marco de trabajo No cuentan con
de Trabajo de continua con los mantiene una alineación marco de
la requerimientos y continua con los trabajo
Administración las prioridades de requerimientos y las
de los Niveles negocio y facilita prioridades del negocio?
ENTREGAR Y DARSOPORTE
de Servicio el entendimiento
común entre el 3. ¿ El marco de trabajo No cuentan con
cliente y el mantiene una alineación marco de
prestador de continua con los trabajo
servicio? requerimientos y las
prioridades de negocio?
Definiciones base 1. ¿Se define los Si lo definen.

de los servicios de servicios de TI sobre las Pero solo de
TI sobre las características del forma manual,
características del servicio y los se realizan
servicio y los requerimientos del evaluaciones
requerimientos de negocio? del servicio de
negocio, la compañía en
DS1.2
organizados y cuanto al nivel
Definición de
almacenados de de satisfacción
Servicios
manera del usuario.
centralizada por
medio de la
implantación de
un enfoque de
catálogo/portafolio
de servicios
172
Definir y acordar 1. ¿Existen acuerdos de El acuerdo del
convenios de convenios de niveles de nivel del
niveles de servicio servicio para todos los servicio se
DS1.3 para todos los procesos críticos de TI? realiza el
Acuerdos de procesos críticos, momento que
Niveles de con base en los se realiza el
Servicio requerimientos del contrato con el
cliente y las usuario
capacidades en TI.
Asegurar que los 1.¿Se asegura que los NO
acuerdos de acuerdos de niveles de
DS1.4 niveles de servicio de operación
Acuerdos de operación expliquen como serán
Niveles de expliquen cómo entregados
Operación serán entregados técnicamente los
técnicamente los servicios?
servicios.
Monitorear 1.¿Se monitorean SI
continuamente los continuamente los
criterios de criterios de desempeño
desempeño especificados para el
especificados para nivel de servicio?
DS1.5
el nivel de
Monitoreo y 2.¿Los reportes sobre el SI
servicio. Los
Reporte del cumplimiento de los
reportes sobre el
Cumplimiento niveles de servicio se
cumplimiento de
de los Niveles emiten en un formato
los niveles de
de Servicio que sea entendible para
servicio deben
emitirse en un los interesados?
formato que sea
entendible para los
interesados.
DS1.6 Revisar 1. ¿Se revisan SI
Revisión de los regularmente con regularmente con los
Acuerdos de los proveedores proveedores internos los
Niveles de internos y externos acuerdos de los niveles
Servicio y de los acuerdos de de servicio y los
los Contratos. niveles de servicio controles de apoyo?
173
y los contratos de 2. ¿Se revisan SI
apoyo, para regularmente con los
asegurar que son proveedores externos
efectivos, que los acuerdos de los
están actualizados niveles de servicio y los
y que se han controles de apoyo?
tomado en cuenta
los cambios en
requerimientos.
PROCESO
DOMINIO
DETALLE
OBJETIVO DE
CONTROL
CONTROL
Desarrollar un marco 1.¿La empresa NO

de trabajo de desarrolla un marco de
DS4. GARANTIZAR LA CONTINUIDAD DEL SERVICIO
DS4.1 Marco de continuidad de TI para trabajo de continuidad

Trabajo de soportar la continuidad de TI?
Continuidad de del negocio con un
TI proceso consistente a
lo largo de toda la
organización.
Desarrollar planes de 1.¿La empresa NO
continuidad de TI con desarrolla planes de
base en el marco de continuidad de TI con
trabajo, diseñado para base en el marco de
DS4.2 Planes de reducir el impacto de trabajo?
Continuidad de una interrupción mayor
TI de las funciones y los
procesos clave del
negocio.
Centrar la atención en 1.¿Existen puntos No, falta

los puntos determinados en el plan determinar los
DS4.3 Recursos determinados como los de continuidad de TI? puntos críticos,
Críticos de TI más críticos en el plan elaborar los
de continuidad de TI, procedimientos y
para construir difundirlos.
174
resistencia y estableces2. ¿Los puntos No tienen plan,
prioridades en determinados en el plan pero existe la
situaciones de construyen resistencia conciencia de
recuperación. estableciendo hacer uno.
prioridades en
situaciones de
recuperación?
Exhortar a la gerencia 1. ¿Se ejecutan No, cuentan con
de TI a definir y procedimientos de un plan de
ejecutar control de cambios, para continuidad
procedimientos de asegurar que el plan de documentado
DS4.4 control de cambios, continuidad de TI se
Mantenimiento para asegurar que el mantenga actualizado?
del Plan de plan de continuidad de
Continuidad de TI se mantenga
TI actualizado y que
refleje de manera
continua los
requerimientos
actuales del negocio.
1.¿Se prueba el plan de No, cuentan con
Probar el plan de continuidad de TI de un plan de
continuidad de TI de forma regular para continuidad
DS4.5 Pruebas asegurar que los documentado
forma regular para
del Plan de sistemas de TI pueden
asegurar que los
Continuidad de
sistemas de TI pueden ser recuperados de
TI forma efectiva?
ser recuperados de
forma efectiva.
1.¿Se asegura de que SI

todas las partes
DS4.6
involucradas reciban
Entrenamiento
sesiones de habilitación
del Plan de
de forma regular
Continuidad de
respecto a los procesos
TI
en caso de incidente o
desastre?
175
2.¿Se asegura que todas Si, cada
las partes involucradas empleado sabe de
reciban sesiones de sus
habilitación de forma responsabilidades
regular respecto a las pero falta un
responsabilidades en manual
caso de incidente o documentado del
desastre? mismo
Determinar que existe 1. ¿Existe una estrategia No tienen, sólo
una estrategia de de distribución definida se hacen
distribución definida y y administrada para reuniones entre
administrada para asegurar que los planes los directivos de
DS4.7 asegurar que los planes se distribuyan de la compañía.
Distribución del se distribuyan de manera segura?
Plan de manera apropiada y
Continuidad de segura y que estén
TI disponibles entre las
partes involucradas y
autorizadas cuando y
donde se requiera.
Planear las acciones a 1. ¿Se planean las Si se lo hace pero

tomar durante el acciones a tomar de manera
período en que TI está durante el período en emergente, solo
recuperando y que TI está recuperando cuando ocurre.
DS4.8
reanudando los y reanudando los
Recuperación y
servicios. servicios?
Reanudación de
los Servicios de
2.¿Se aseguran que los NO
TI
responsables del
negocio entendían los
tiempos de recuperación
de TI?
Almacenar fuera de las 1.¿Se almacena fuera de NO
DS4.9
Instalaciones todos los las instalaciones todos
Almacenamiento
medios de respaldo, los medios de respaldo
de Respaldos
documentación y otros para los planes de
Fuera de las
recursos de TI críticos, continuidad del
Instalaciones
necesarios para la negocio?
176
recuperación de TI y 2. ¿El respaldo de la Se envía cada
para los planes de información se realiza mes el informe
continuidad del bajo la política del de los usuarios a
negocio. contenido de los Coordinación
respaldos a almacenar como modo de
se determinan en respaldo.
conjunto entre los
responsables del
negocio y el personal de
TI?
1.¿La Gerencia de TI ha NO
establecido
procedimientos para
Una vez lograda una valorar lo adecuado del
exitosa reanudación de plan?
las funciones de TI
después de un desastre,
determinar si la
DS4.10 Revisión
gerencia de TI ha
Post Reanudación
establecido
procedimientos para
valorar lo adecuado del
plan y actualizar el
plan en consecuencia.
177
PROCESO
DOMINIO
DETALLE
OBJETIVO DE
CONTROL
CONTROL
Administrar la 1. ¿El nivel No, falta

seguridad de TI al apropiado de implementar
nivel más alto seguridad de TI mucho. Definir
apropiado dentro de dentro de la los
la organización, de organización está en lineamientos de
DS5.1 manera que las línea sobre los seguridad.
Administración acciones de requerimientos del
de la Seguridad administración de la
DS5. GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
negocio?
de TI seguridad estén en
línea con los
requerimientos del
negocio.
ENTREGARY DAR SOPORTE
Trasladar los 1. ¿Los

requerimientos de requerimientos del
negocio, riesgos y negocio dentro de
cumplimiento dentro un plan de
de un plan de seguridad de TI se
DS5.2 Plan de seguridad de TI trasladan teniendo
Seguridad de TI completo, teniendo en consideración la
en consideración la infraestructura de TI
infraestructura de TI en cuanto a la
y la cultura de seguridad?
seguridad.
Asegurar que todos 1. ¿Los usuarios se SI

los usuarios identifican a través
(internos, externos y de mecanismos de
temporales) y su autenticación?
DS5.3 actividad en sistemas
2. Se confirma que SI
Administración de TI, deben ser los permisos de
de Identidad identificados de
manera única. acceso del usuario
al sistema están en
línea con las
necesidades del
negocio?
178
Garantizar que la 1. ¿Los privilegios Actualmente se
solicitud, relacionados con la hace a través de
establecimiento, creación de cuentas los
emisión suspensión, de usuarios son procedimientos
modificación y cierre tomados en cuenta normales, no
de cuentas de por un conjunto de hay criterios
DS5.4 usuarios y de los procedimientos de formalizados de
Administración privilegios la gerencia de los privilegios
de Cuentas del relacionados, sean cuentas de usuario? en cuanto a la
Usuario tomados en cuenta creación de
por un conjunto de usuarios.
procedimientos de la
gerencia de cuentas
de usuario.
Garantizar que la 1. ¿Se garantiza que Se monitorea el

DS5.5 Pruebas, implementación de la la implementación tráfico de red
Vigilancia y seguridad en TI sea de la seguridad en pero no de una
Monitor el de la probada y TI sea probada y forma pro-
Seguridad monitoreada de monitoreada de activa.
forma pro-activa. forma pro-activa?
Definir claramente y 1. ¿Se define NO
comunicar las claramente las
características de características de
incidentes de incidentes de
seguridad potenciales seguridad para que
DS5.6 para que puedan ser puedan ser
Definición de clasificados clasificados
Incidente de propiamente y propiamente por el
Seguridad tratados por el proceso de gestión
proceso de gestión de de incidentes?
incidentes y
problemas.
Garantizar que la 1. ¿Se garantiza que Se realiza

tecnología la tecnología controles
relacionada con la relacionada con la internos, pero si
DS5.7
seguridad sea seguridad sea falta mejorar
Protección de la
resistente al sabotaje resistente al este aspecto.
Tecnología de
y no revele sabotaje?
Seguridad
documentación de
seguridad
innecesaria.
179
Determinar que las 1.¿Se determinan NO
políticas y políticas de
procedimientos para procedimientos para
organizar la garantizar la
generación, cambio, protección de las
revocación, llaves contra
destrucción, modificaciones o
DS5.8 distribución, divulgaciones no
Administración certificación, autorizadas?
de Llaves almacenamiento,
Criptográficas captura, uso y
archivo de llaves
criptográficas estén
implantadas, para
garantizar la
protección de la
información.
Poner medidas 1. ¿La empresa Utilizan Avast

preventivas, cuenta con medidas y a través de la
correctivas (en preventivas en toda consola
especial contar con la organización para controlan el
DS5.9 parches de seguridad proteger los tema de los
Prevención, y control de virus sistemas de la virus.
Detección y actualizados) en todainformación de TI?
Corrección de la organización para 2. ¿La empresa NO
Software proteger los sistemascuenta con medidas
Malicioso de la información. detectivas en toda la
compañía para
proteger los
sistemas de la
información de TI?
Uso de técnicas de 1.¿La empresa usa Si usa
seguridad y técnicas de programas para
procedimientos de seguridad y verificar el
administración procedimientos de tráfico de red, y
asociados(ejemplo: administración las páginas
DS5.10
firewalls, asociados para visitadas.
Seguridad de la
dispositivos de autorizar acceso y
Red
seguridad, controlar los flujos
segmentación de de información
redes, y detección de hacia las redes?
intrusos)
180
PROCESO
DOMINIO
DETALLE
OBJETIVO
OBJETIVO RESPUESTA
DE PREGUNTAS
DE S
CONTROL
CONTROL
Identificar 1.¿Se identifica todos Se identifican
todos los los costos de TI para los costos en
costos de TI y soportar un modelo de términos
equipararnos a costos transparentes? globales por
DS6.1
los servicios departamento
Definición de
de TI para pero no está
Servicios
soportar un detallado o
modelo de clasificado
costos
transparente.
Registrar y 1.¿Se registra los costos Si
asignar los actuales de acuerdo con
DS6. IDENTIFICAR Y ASIGNAR COSTOS
costos de el modelo de costos

acuerdo con el definido?
modelo de
costos
DS6.2
definido. Las
Contabilizació
variaciones
n de TI
entre los
presupuestos y
los costos
actuales deben
realizare y
reportarse.
Con base en la 1.¿Se define un modelo No hay un
definición del de costos de TI? modelo de
servicio, costos definido
definir un formalmente
modelo de 2. ¿El modelo de costos No hay un
costos que está alineado con los modelo de
DS6.3 incluya costos procedimientos de costos definido
Modelación de directos, contabilización de formalmente
Costos y indirectos y costos de la empresa?
Cargos fijos de los
servicios, y 3.¿Se garantiza que los No hay un
que ayude al cargos por servicios son modelo de
cálculo de identificables en el costos definido
tarifas de modelo de costos de formalmente
reintegros de TI?
cobros por
181
servicio.
1.¿Se revisa de forma No hay un

regular lo apropiado del modelo de
Revisar y modelo de costos definido
comparar de costos/recargos para formalmente
forma regular mantener su relevancia
lo apropiado para el negocio en
del modelo de evolución para las
costos/recargo actividades de TI?
DS6.4
s para
Mantenimiento
mantener su 2.¿Se compara de No hay un
del Modelo de
relevancia forma regular lo modelo de
Costos
para el apropiado del modelo costos definido
negocio en de costos/recargos para formalmente
evolución y mantener su relevancia
para las para el negocio en
actividades de evolución para las
TI. actividades de TI?
PROCESO
DOMINIO
DETALLE
OBJETIVO DE
CONTROL
CONTROL
Verificar que 1, ¿Se verifica que Se cumple en un

DS11. ADMINISTRAR LOS
todos los datos todos los datos que se 40%

ENTREGAR Y DAR
que se espera espera procesar se

procesar se reciban completamente,
DS11.1
SOPORTE
reciban y de forma precisa y a

DATOS
Requerimientos
procesan tiempo?
del Negocio para
completamente, 2.¿Se verifica que todos Se cumple en un
Administración
de forma precisa los datos que se espera 40%
de Datos
y a tiempo, y que procesar se procesen
todos los completamente, de
resultados se forma precisa y a
entreguen de tiempo?
182
acuerdo a los 3.¿Las necesidades de NO
requerimientos reinicio están
de negocio. soportadas?
4.¿Las necesidades de NO
reproceso están
soportadas?
Definir e 1. ¿Existen No, se cuenta
implementar procedimientos para el con
procedimientos archivo de datos? procedimientos,
para el archivo, en el caso de
DS11.2 almacenamiento emergencia no
Acuerdos de y retención de los tienen
Almacenamiento datos, de forma almacenada la
y Conservación efectiva y información
eficiente para para recuperarla
conseguir los inmediatamente.
objetivos del
negocio.
1. ¿Existen NO
Definir e procedimientos para
implementar mantener un inventario
procedimientos de medios
DS11.3 Sistema para mantener un almacenados?
de inventario de 2.¿Existen NO
Administración medios procedimientos para
de Librerías de almacenados y mantener un inventario
Medios archivados para de medios archivados?
asegurar su
usabilidad e 3.¿Se asegura la NO
integridad. usabilidad e integridad
de los medios?
Definir e 1.¿Existen No hay
implementar procedimientos para la procedimientos
procedimientos protección de datos
DS11.4 sensitivos que aseguren
para asegurar que
Eliminación los requerimientos del
los
requerimientos negocio?
de negocio para
183
la protección de 2. ¿Existen NO
datos sensitivos y procedimientos para la
el software protección del software
consiguen que aseguren los
cuando se requerimientos del
eliminan o negocio?
transfieren los
datos y/o
software.
Definir e 1.¿Existen NO
implementar procedimientos de
procedimientos respaldo de los sistemas
de respaldo y en línea alineado con
restauración de los requerimientos de
los sistemas, negocio y el plan de
DS11.5
aplicaciones, continuidad?
Respaldo y
datos y 2.¿Existen NO
Restauración
documentación procedimientos para el
en línea con los respaldo de aplicaciones
requerimientos en línea alineado con
de negocio y el los requerimientos de
plan de negocio y el plan de
continuidad. continuidad?
1.¿Existen NO
procedimientos para
identificar los
Definir e
requerimientos de
implementar las
seguridad aplicables al
DS11.6 políticas y
recibo?
Requerimientos procedimientos
de Seguridad para identificar y
para la aplicar los 2.¿Existen NO
Administración requerimientos procedimientos para
de Datos de seguridad aplicar los
aplicables al requerimientos de
recibo, seguridad aplicables al
recibo?
184
PROCESO
DOMINIO
OBJETIVO DETALLE
CONTROL CONTROL
1. ¿Se monitorea de NO
forma continua el
ambiente de control de
Monitorear de forma TI y el marco de trabajo
continua, comparar de control de Ti para
ME2.MONITOREAR Y EVALUAR EL CONTROL INTERNO
ME2.1
y mejorar el satisfacer los objetivos
Monitoreo del
ambiente de control organizacionales?
Marco de
de TI y el marco de
Trabajo de
trabajo de control de 2.¿Se compara el NO
Control
TI para satisfacer los ambiente de control de
Interno
objetivos
TI y el marco de trabajo
organizacionales. de control de Ti para
satisfacer los objetivos
organizacionales?
1. ¿Se monitorea la NO
eficiencia y efectividad
Monitorear y de los controles internos
evaluar la eficiencia de revisión de la
ME2.2
y efectividad de los gerencia de TI?
Revisiones de
controles internos de 2.¿Se evalúa la Se lo hace de
Auditoría
revisión de la eficiencia y efectividad una manera
gerencia de TI de los controles internos informal
de revisión de la
gerencia de TI?
1.¿Se identifican las NO
excepciones de control?
Identificar las
ME2.3 2.¿Se analizan e NO
excepciones de de
Excepciones identifican sus causas
control, y analizar e
de Control raíz subyacentes de las
identificar
excepciones de control?
185
1.¿Se evalúa la No, se cuenta
complejidad y con un control
efectividad de los de
controles de gerencia autoevaluación
sobre los procesos de TI
Evaluar la
por medio de un
complejidad y
programa continuo de
efectividad de los
autoevaluación?
controles de
ME2.4 Control
gerencia sobre los
de Auto 2.¿Se evalúa la NO
procesos, políticas y
Evaluación complejidad y
contratos de TI por
medio de un efectividad de los
programa continuo controles de gerencia
de auto-evaluación. sobre las políticas de TI
por medio de un
programa continua de
autoevaluación?
1.¿Se obtiene un NO
aseguramiento adicional
Obtener, según sea de la complejidad de los
necesario, controles internos por
aseguramiento medio de revisiones de
ME2.5 adicional de la terceros
Aseguramiento complejidad y
del Control efectividad de los 2.¿Se obtiene un SI
Interno controles internos aseguramiento adicional
por medio de de la efectividad de los
revisiones de controles internos por
terceros. medio de revisiones de
terceros?
1.¿Se evalúa el estado SI

ME2.6 Control Evaluar el estado de de los controles internos
Interno para los controles de los proveedores de
Terceros internos de los servicios externos?
proveedores de
186
servicios externos. 2.¿Seconfirma que los SI
Confirmar que los proveedores de
proveedores de servicios externos
servicios externos cumplan con los
cumplen con los requerimientos legales?
requerimientos
legales y
regulatorios y
obligaciones
contractuales.
1.¿Se identifican SI
acciones correctivas
derivadas de los
controles de evaluación
y los informes?
2.¿Se inician acciones SI
correctivas derivadas de
Identificar, iniciar, los controles de
rastrear e evaluación y los
implementar informes?
ME2.7
acciones correctivas 3.¿Se rastrean acciones SI
Acciones
derivadas de los correctivas derivadas de
Correctivas
controles de los controles de
evaluación y los evaluación y los
informes. informes?
4.¿Se implementan SI
acciones correctivas
derivadas de los
controles de evaluación
y los informes?
187
PROCESO
DOMINIO
DETALLE
OBJETIVO
OBJETIVO
DE PREGUNTAS RESPUESTAS
DE
CONTROL
CONTROL
Identificar, 1.¿Se identifican, sobre Se identifican
sobre una base una base continua, leyes pero no se
continua, leyes locales e internacionales documentan.
locales e que se deben de cumplir
internacionales, para incorporar en las
ME3.1 y otros políticas, estándares,
Identificar los requerimientos procedimientos y
Requerimientos externos que se metodologías de TI de la
ME3. GARANTIZAR ELLCUMPLIMIENTO REGULATORIO
de las Leyes, deben de organización?

Regulaciones y cumplir para
Cumplimientos incorporar en
Contractuales las políticas,
estándares,
procedimientos
y metodologías
de TI de la
organización.
Revisar y 1.¿Se revisan las No cuentan con
ajustar las políticas, estándares, políticas,
políticas, procedimientos y estándares y
estándares, metodologías de TI? procedimientos.
procedimientos
ME3.2 y metodologías 2.¿Se ajustan las No cuentan con
Optimizar la de TI para políticas, estándares, políticas,
Respuesta a garantizar que procedimientos y estándares y
Requerimientos los requisitos metodologías de TI? procedimientos.
Externos legales
regulatorios y 3.¿Se garantizan que los No cuentan con
contractuales requisitos legales son políticas,
son direccionados y estándares y
direccionados y comunicados? procedimientos.
comunicados
Confirmar el 1.¿Se verifica el No se cuenta
ME3.3 cumplimiento cumplimiento de con políticas
Evaluación del de políticas, políticas de TI con los documentadas,
Cumplimiento estándares, requerimientos legales y pero se trata de
con procedimientos regulatorios? cumplir con
Requerimientos y metodologías todos los
Externos de TI con requerimientos
requerimientos legales.
188
legales y 2.¿Se verifica el Se trata de
regulatorios. cumplimiento de los cumplir con
todo lo que
exige la ley.
Obtener y 1. ¿Se obtiene una Si, se trata de
reportar garantía de cumplir con lo
garantía de cumplimiento y que la ley
cumplimiento y adhesión a todas las exige.
adhesión a todas políticas internas o
las políticas requerimientos legales
ME3.4
internas externos?
Aseguramiento
derivadas de 2.¿Se toman acciones SI
Positivo del
directivas correctivas para
Cumplimiento
internas o garantizar el
requerimientos cumplimiento de las
legales políticas internas o
externos, requerimientos legales
regulatorios o externos?
contractuales.
1.¿Se integra los Si, por medio
reportes de TI sobre del
requerimientos legales departamento
con las salidas similares jurídico.
provenientes de otras
funciones del negocio?
ME3.5
Reportes 2. ¿Se integra los Si, por medio
Integrados reportes de TI sobre del
requerimientos departamento
regulatorios con las jurídico
salidas similares
provenientes de otras
funciones del negocio?
189
ANEXO 3
ENCUESTA
Objetivo.- Conocer la situación actual con respecto al manejo y seguridad de la
información.
Instructivo.-
Señale con una X una de las alternativas que usted considere conveniente.
1. ¿Se permite el acceso a la información sólo a personas debidamente autorizadas?
SI
NO
2. ¿Se ha establecido un control para que terceras personas no modifiquen datos del
sistema de un modo no autorizado?
SI
NO
3. ¿Se tiene definida una política para la realización de copias de seguridad de los
datos?
SI
NO
No sabe
4. ¿Se establece acuerdos de confidencialidad y no divulgación sobre el acceso e
intercambio de información?
SI
NO
5. ¿Se establece algún tipo de seguridad en su área de trabajo cuando usted no está?
SI
NO
6. ¿Todo medio de almacenamiento que contenga información confidencial, es
guardada en gavetas al final de la jornada de trabajo?
SI
NO
7. ¿Se deja contraseñas en notas sobre el escritorio?
SI
NO
190
8. ¿Considera Ud. importante el almacenar de manera segura la información en su
puesto de trabajo? Porque?
SI
NO
_______________________________________________________________________
______________________________________________________________________
9. ¿Los datos confidenciales son guardados de forma segura?
SI
NO
10. ¿Cada estación de trabajo cuenta con contraseñas cifradas?
SI
NO
191
ANEXO 4
Tabulación (Encuesta Anexo 3)
1. ¿Se permite el acceso a la información sólo a personas debidamente
autorizadas?
Se evidenció que de los 14 empleados de la compañía 9 que corresponde el 64%
menciona que si se permite el acceso a la información sólo a personas
debidamente autorizadas, y 5 que representa el 36% menciona que no se permite
el acceso solo a personas autorizadas, es decir se permite el acceso a terceras
personas quizás personas ajenas a la compañía.
1. ¿Se permite el acceso a la

información sólo a personas
debidamente autorizadas?
NO
36% SI
64%
2. ¿Se ha establecido un control para que terceras personas no modifiquen

datos del sistema de un modo no autorizado?
menciona que si se ha establecido un control para que terceras personas no
modifiquen datos del sistema de un modo no autorizado, y 8 que representa el
57% mencionan lo contrario.
192
2. ¿Se ha establecido un control
para que terceras personas no
modifiquen datos del sistema de…
SI
NO 43%
57%
3. ¿Se tiene definida una política para la realización de copias de seguridad de

los datos?
Se observa que la totalidad de los empleados que representa al 100% de la
compañía menciona que no existe una política definida para la realización de
copias de seguridad de los datos.
3. ¿Se tiene definida una

política para la realización de
SI
0% copias de seguridad de los…
NO
100%
4. ¿Se establece acuerdos de confidencialidad y no divulgación sobre el acceso

e intercambio de información?
menciona que si se establece acuerdos de confidencialidad sobre el acceso e
intercambio de información, y 12 que representa el 86% mencionan lo contrario.
193
4. ¿Se establece acuerdos de
confidencialidad y no divulgación
sobre el acceso e intercambio…
SI
14%
NO
86%
5. ¿Se establece algún tipo de seguridad en su área de trabajo cuando usted no

está?
Se evidenció que del 100% de empleados de la compañía 57% menciona que si
se establece algún tipo de seguridad en su área de trabajo, y el 43% mencionan
que no establece algún tipo de seguridad en su área de trabajo.
5. ¿Se establece algún tipo de

seguridad en su área de trabajo
cuando usted no está?
NO
43%
SI
57%
6. ¿Todo medio de almacenamiento que contenga información confidencial, es

guardada en gavetas al final de la jornada de trabajo?
194
menciona que guarda en gavetas todo medio de almacenamiento que contenga
información confidencial, y 10 que representa el 71% mencionan lo contrario.
6. ¿Todo medio de almacenamiento

que contenga información
confidencial, es guardada en gavetas
al final de la jornada de trabajo?
SI
29%
NO
71%
7. ¿Se deja contraseñas en notas sobre el escritorio?

Se evidenció que de los 14 empleados de la compañía 10 que corresponde el
71% menciona que deja contraseñas en notas sobre el escritorio, y 4 que
representa el 29% mencionan lo contrario.
7. ¿Se deja contraseñas en

notas sobre el escritorio?
NO
29%
SI
71%
195
8. ¿Considera ud. importante el almacenar de manera segura la información
en su puesto de trabajo?
Se observa que de los 14 empleados de la compañía 14 que corresponde el
100%% considera importante el almacenar de manera segura la información.
¿Considera ud.importante
elalmacenar de manera
segura la información en su…
SI
100%
9. ¿Los datos confidenciales son guardados de forma segura?

menciona deja las contraseñas sobre el escritorio, y 4 que representa el 29%
mencionan que no dejan contraseñas sobre el escritorio.
9. ¿Los datos confidenciales

son guardados de forma
segura?
NO
29%
SI
71%
196
10. ¿Cada estación de trabajo cuenta con contraseñas cifradas?
Se observa que de los 14 empleados de la compañía 14 que corresponde el 100%
menciona que cada estación de trabajo no cuenta con contraseñas cifradas.
10. ¿Cada estación de

trabajo cuenta con
SI contraseñas cifradas?
0%
NO
100%
197
Anexo 5: Formato Encuestas Calificación del Servicio.
198
Anexo 6: Carta de Compromiso de Pago
199
Anexo7: Carta de Garantía del Programa Adquirido por el usuario
200
Anexo8: Comprobante de Egreso
Anexo9: Comprobante de Ingreso
201
Anexo10: Factura
202
Anexo11: Academic Rank (ficha usuario)
203
Anexo12: Record de Producción
204
Anexo13: Tarjeta de Cobranza
205
Anexo14: Contrato I COACH Servicios
206
207
ANEXO 15
ENCUESTA DE PROBABILIDAD DE OCURRENCIA
DE PROCESOS
OCURRENCIA PROCESOS EN LA COMPAÑÍA
"ICOACH SERVICIOS"
Objetivo.- Conocer la probabilidad de Ocurrencia de los
procesos que realiza la compañía "I COACH SERVICIOS
Consulting & Training Cia. Ltda"
Instructivo: Señale con una X una de las alternativas que
usted considere conveniente
¿Con qué frecuencia se realiza los siguientes procesos en la compañía "I

COACH SERVICIOS?
1. Incorporar personal al área de publicidad
Diario
Semanalmente
x Mensualmente
Anualmente
2. Generar estrategias de mercadeo par capturar usuario

x Diario
Semanalmente
Mensualmente
Anualmente
3. Levantamiento de información, posibles usuarios

x Diario
Semanalmente
Mensualmente
Anualmente
4. Legalización de contratos con la compañía

x Diario
Semanalmente
Mensualmente
Anualmente
5. Reservación de asesorías
x Diario
Semanalmente
208
Mensualmente
Anualmente
6. Seguimiento de Cartera
Diario
x Semanalmente
Mensualmente
Anualmente
7. Instalación de Seguridad
Diario
Semanalmente
x Mensualmente
Anualmente
209
ANEXO 16
GUIA OBSERVACIÓN DE CONTROL INTERNO

DEPART. ADMINISTRATIVO
Nº PREGUNTAS SI NO OBSERVACIÓN
¿La compañía cuenta con un manual o reglamento de
1 funciones?
¿Es claro y objetivo el manual o reglamento de
2 funciones?
¿Posee el departamento administrativo políticas
3 establecidas?
¿Se cumple a cabalidad las políticas administrativas en
4 la compañía?
¿Existe un reglamento interno que establezca el

5 procedimiento a seguir para otorgar créditos?
¿Existe un responsable de aprobar o negar los créditos
6 a otorgar?
¿Se realiza periódicamente la revisión de créditos por
7 la dirección de la compañía?
¿Cree ud que debería existir más personal en el

8 departamento?
¿Cuenta la compañía con un sistema automatizado de

9 créditos?
¿Se mantiene un registro actualizado de los usuarios

del programa de capacitación en cuanto a sus
10 créditos?
¿Existe un reglamento interno que establezca el
procedimiento a seguir para las cobranzas de los
11 créditos otorgados a los usuarios?
¿Se lleva un control manual y sistemático de los

12 créditos vencidos y no pagados?
¿Se revisa diariamente el comportamiento de la
13 cartera vencida?
¿Se entrega algún tipo de recibo o factura a los
14 usuarios al realizar sus pagos?
210
¿Existen procedimientos para evaluar y verificar los
15 saldos de los usuarios, y proveedores?
¿Existen planillas y recibos que amparen los pagos de
16 los salarios?
¿Se informa periódicamente a Gerencia General sobre

17 el movimiento de cartera?
ANEXO 17
GUIA DE OBSERVACIÓN DE CONTROL INTERNO

GERENCIA GENERAL
¿Los usuarios conocen las políticas

1 institucionales?
¿Se ha encaminado los recursos de la
compañía en tecnología acorde a sus
2 necesidades?
Existen actas de reuniones del área de TI

para evaluar las actividades que presta la
3 misma?
¿Se genera reportes gerenciales que
4 permitan evaluar al área de TI?
¿Se realiza periódicamente la revisión de
la documentación por parte de los altos
5 mandos de la compañía?
¿Existe un manual con las normas de
funcionamiento de departamentos y
6 puestos principales de la compañía?
¿Cuenta la compañía con un código de

7 ética?
¿Existe en la compañía un equipo de

8 Auditoría?
211
¿Cuenta la compañía con un plan de
9 capacitación para sus empleados?
¿Están claramente definidas en la

estructura organizativa las distintas áreas
10 de responsabilidades?
¿Se lleva a cabo análisis y evaluación de

11 puestos?
ANEXO 18
GUÍA DE OBSERVACIÓN DE CONTROL INTERNO

DEL ÁREA INFORMÁTICA
¿La compañía cuenta con un sistema adecuado
para sus actividades?
1
¿La compañía cuenta con requerimientos,

procedimientos, y políticas claras de calidad en
2 su sistema?
¿Se cuenta con herramientas de TI

3 actualizadas?
¿La compañía cuenta con un sistema de

4 administración de calidad?
¿Se tiene un proceso definido para la

5 adquisición y mantenimiento de software?
¿Los equipos de computación soportan los

6 programas a instalarse?
¿Existe un proceso para revisar
7 periódicamente el desempeño actual de los
usuarios en su programa de capacitación?
212
¿Se han definido políticas en cuanto a
8 seguridad informática?
¿Se tiene identificados los archivos con

información confidencial y se cuenta con claves
9
de acceso?
¿Existe un adecuado control de virus, spyware

10 informáticos?
¿Se realiza un mantenimiento periódico de la

11 pagina web?
¿Existe material virtual para los usuarios en la

12 web?
¿Cuenta con una página web la compañía?

13
¿Existen procedimientos de respaldos y

14 recuperación de información?
¿Se efectúan respaldos de la información?

15
213
ANEXO 19
FORMULARIO DE ENTIDAD
DEPARTAMENTO: CARGO:
CONTROL
IMPORTANCIA DESEMPEÑO INTERNO
NO DOCUMENTADO
ALGO IMPORTANTE
NO ESTA SEGURO
MUY IMPORTANTE
NO ESTÁSEGURO
DOCUMENTADO
NO IMPORTANTE
NO SE APLICA
MUY BUENO
NO SE PALICA
SATISFECHO
EXCELENTE
POBRE
PROCESOS COBIT
PLANEAR Y ORGANIZAR
PO1 Definición de un plan estratégico de TI
PO2 Definición de la arquitectura de la
información
PO3 Determinar de la dirección tecnológica
PO4 Definir los procesos, Organización y
Relaciones de TI
PO5 Gestión de la inversión en TI
PO6.- Comunicar las Aspiraciones y la
Dirección de la Gerencia
PO7 Administrar los recursos humanos de
TI
PO8. Administrar la Calidad

PO9. Evaluar y Administrar los Riesgos de
TI
PO10. Administrar Proyectos.-
AI1. Identificar soluciones automatizadas.-
AI2. Adquirir y mantener software
aplicativo
AI3 Adquirir y mantener infraestructura
tecnológica
AI4 Facilitar la operación y el uso
AI5 Adquirir los recursos de TI
214
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y
cambios
DS1. Definir y administrar los niveles de
servicio
DS2. Administrar los servicios de terceros
DS3. Administrar el desempeño y la
capacidad
DS4. Garantizar la continuidad del Servicio
DS5. Garantizar la seguridad de los sistemas
DS6. Identificar y asignar costos
DS7. Educar y entrenar a usuarios
DS8. Administrar la mesa de servicios y los
incidentes
DS9. Administrar la configuración
DS10. Administrar los problemas
DS11. Administrar los datos
DS12. Administrar el ambiente físico
DS13. Administrar las operaciones
ME1. Monitorear y Evaluar el Desempeño
de TI
ME2. Monitorear y Evaluar el control
interno
ME3. Garantizar el Cumplimiento
Regulatorio
ME4. Proporcionar Gobierno de TI
215
ANEXO 20
Una vez implementada la política de Administración y Manejo de la Información en la
compañía “I COACH SERVICIOS”, se realizó nuevamente la encuesta (Anexo 3), para
demostrar en qué forma la política antes menciona ayuda y contribuye en la reducción
de pérdida de información en la compañía por la mala gestión de los sistemas de
información.
A continuación se muestra un gráfico resumen de los datos obtenidos en la primera
encuesta realizada antes de implementar la Política de Administración de Información.
1. ¿Se permite…
15
10. ¿Cada… 2. ¿Se ha…
10
9. ¿Los datos… 5 3. ¿Se tiene…
SI
0
NO
8. ¿Considera… 4. ¿Se establece…
7. ¿Se deja… 5. ¿Se establece…

6. ¿Todo medio…
A continuación se muestra un gráfico resumen de los datos obtenidos en la segunda

encuesta realizada después de implementar la Política de Administración de
Información.
1. ¿Se permite el
acceso a la…
10. ¿Cada estación 15 2. ¿Se ha
de trabajo cuenta… establecido un…
10
9. ¿Los datos 3. ¿Se tiene definida
5
confidenciales son… una política para la… SI
0
8. ¿Considera 4. ¿Se establece NO
ud.importante… acuerdos de…
7. ¿Se deja 5. ¿Se establece
contraseñas en… algún tipo de…
6. ¿Todo medio de
almacenamiento…
216
Se puede observar, que la política antes menciona ayuda a salvaguardar la información
de la compañía ya que se implementa medidas de seguridad tanto en las oficinas,
computadoras y además la correcta difusión de la misma garantiza el crear conciencia
de pertenencia de cada empleado con la compañía y evitar divulgación de información a
terceros, y más cuidado de los datos tanto digitales como físicos y así evitamos perdida
o daños de la información.
217

Modelo de Madurez Uta

Cargado por

Copyright:

Formatos disponibles

Modelo de Madurez Uta

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Modelo de Madurez Uta

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD TÉCNICA DE AMBATO

FACULTAD DE INGENIERÍA EN SISTEMAS, ELECTRÓNICA E

CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES E

Trabajo de Graduación. Modalidad: TEMI. Trabajo Estructurado de Manera

SUBLÍNEA DE INVESTIGACION: Auditoría Informática

En mi calidad de Tutor del trabajo de investigación sobre el tema: “Auditoria

Ambato abril, 2015

Ing. Msc. Galo Mauricio López Sevilla

El presente trabajo de investigación titulado: “Auditoria Informática mediante la

Ambato abril, 2015

Yajaira Patricia Carcelén Ayala

Dedico el presente trabajo que representa la culminación de mi carrera universitaria y el

Yajaira Patricia Carcelén Ayala

Dejo constancia de mi agradecimiento a todos los docentes de la Facultad de Ingeniería

De manera especial mi profundo agradecimiento al Ing. Msc Galo Mauricio López

Yajaira Patricia Carcelén Ayala

Ambato, Abril 2015

El presente trabajo denominado “Auditoria Informática mediante la aplicación de la

This work called “Auditoria Informática mediante la aplicación de la Metodología

1. EL PROBLEMA DE INVESTIGACIÓN ………………………………………1

Figura 2.1 Cubo COBIT 4.1…………………………………………………………....11

Capítulo I. “El problema”, aquí se define el problema que está aconteciendo en el

Capítulo III. “Metodología”, se describe la metodología y las modalidades de

Capítulo IV. “Desarrollo de la Propuesta”, en este capítulo se describe el desarrollo de

Finalmente se incluye las referencias citadas en este documento, en los anexos se

Auditoria Informática mediante la aplicación de la Metodología COBIT (Control

1.2 PLANTEAMIENTO DEL PROBLEMA

Las organizaciones informáticas forman parte de lo que se ha denominado el

La Auditoria de Tecnología de Información (T.I.) como se le conoce

Actualmente, la información es el centro de las estrategias comerciales, por tal

En el país, se evidencia que la Auditoría Informática en las organizaciones

En la provincia de Tungurahua las empresas privadas que han decidido tomar

La importancia de la tecnología de información dentro de una organización

Uno de los principales problemas en la compañía “I COACH SERVICIOS”, es

La compañía “I COACH Servicios”, como institución privada busca conseguir

DELIMITACIÓN DEL PROBLEMA

1.3.1 Delimitación de Contenido

1.3.2 Delimitación Espacial: El presente trabajo de Investigación se realizará en la

1.3.3 Delimitación Temporal: El tiempo estimado para realizar el presente trabajo de

En un mundo de constantes cambios como el nuestro, uno de los activos más

Esta investigación también podrá dar lugar al surgimiento y evaluación de otros

1.5.1 Objetivo General

 Desarrollar una Auditoría Informática en la compañía “I COACH

1.5.2 Objetivos Específicos

 Analizar la eficiencia de los procesos realizados en la empresa “I COACH

2.1 ANTECEDENTES INVESTIGATIVOS

Revisados los archivos de la biblioteca de la Facultad de Ingeniería en Sistemas,

En la investigación de, Castro Núñez Diana Margoth señala lo siguiente:

En el proyecto elaborado por Alexandra Elizabeth Solís Acosta señala que:

 Actividad para determinar, por medio de la investigación, la adecuación de los

 Examen de información por parte de una tercera persona, distinta de la que la

ETAPAS OBJETIVOS RESULTADOS

2.2.3 AUDITORIA INFORMÁTICA

 La Auditoría en informática se refiere a la revisión práctica que se realiza sobre

 Conjunto de técnicas, actividades y procedimientos, destinados a analizar,

AUDITORÍA CONTROL CONTROL DE

El auditor de procesos de TI tienen una variada gama de herramientas y/o marcos de

A continuación, en el siguiente cuadro comparativo los marcos de trabajo que se han

Tabla 2.3: Cuadro comparativo Marcos de Trabajo [5]

COBIT(Gestión de la ITIL(Gestión de la ISO 27000(Gestión