REP MLICA BO IVARIANA DE VENEZUELA

INfiTITUTO UNIYERSITARIO POLITECNICO

“SANTIAGO MARINO"
EXTENSION PORLAMAR

APLICACION DE AUDITO A COBIT AL DEPARTAMENTO DE

INFOR TICA DE LA EMPRESA EKIPA, C.A.

Antores:
Br. Cristopher Suzi
Bz. Gerñnimo
Carrion Br. Miguel
Mârquez Br. Mitchel
Rivas

Profesor:Liz. Eliecer Boadas

Porlaniar, Enero 2013

 n"4DICE GENERAL

.
INTRODUCCION............................................................................................... 2

CAPITULO
L GENERALIDADES DE I.A EMPRESA.... ........................... 3
1.1. CARACT RIZACION DB LA EMPRESA. ,.. . ... . .. ... . ..
.... 3 1.1.1. Naturaleza de la Empresa.. .. .................
................. 3
1.1.2. UbicacionGeogr5fica............................ . ... ... ... ... .. 4
35

1.1.4. Mision.. .. ..... . ..... . ................. 5

l.l.5. Objetivos Estratégicos..... . . ................................... 5
1.1.5.1. Anâlisis PODA........................... . . . 5
1.1.5.2. Metas Organizacionales.. .. . ... .. . ... .. . ... .. . ... .. . ... ... ti
1.1.6. Estructura Organizativa....................... - - - - - 7
1.1.6.1. Descripcion de los Prooesos y Funciones................ 7
1.2. Metodologia COBIT.......................... .-- .-- .-- . - 10
1.2.1. Modelo de Madurez......... ................ . . . .. . 12
1.2.2. Auditoria de TICS Aplicando COB lT............... - 13
1.2.2.1. Area a Auditar.......................... . 13
1.2.2.2. Proceso de recoleccion de la informacion........... . 14
1.2.2.3. Documentos de gestion en el area de informatica...... 14
1.2.2.4. Plan de auciitoria en el ârea de informatica............. 14
1.2.2.5. Herramientas y Técnicas....................- • - - - - 15
1.2.2.6. Motivos o Necesidades de la Auditoria............. 15
1.2.2.7. Modelos de Madurez a Nivel Cualitativo (coso)....... 16
.
II. EJECUCION DE LA AUDITORIA.................................... 20
2.1. Situacion actual del area de sistemas............................. 20
2.1. 1. Obje0vos del departaniento.................................... 21
2.1.2. Organigrama del departamento. . ... .. . ... .. . ... . ............. 22
2.1.3. Seguridad del departamento.... .. . ..........................., 22
2.1.4. Caracteristicas de la plataforma tecnologica.. ... ... ... ... .. 23
2.1.5. Determinacion de los problemas y planteamiento de
27
hip0teus.....................................................................................
2.1.5.1. Posibles problemas....................................... 27
2.1.5.2. Formulacion de hip0tesis................................ 27
2.2. Apbcacion de la auditoria......................................... 28
2.2.1. Modelo de madurez de los procesos....................... 28
2.2.2. Reporte general de los grados de madurez................. 30
 AN ISIS DE LOS RE5iULTADOS 33
3.1. lnforme técnico... .. .. . ... .. . ... .. . ... .. . ... .. . ... . ..... ...... ....... 33
3.2, lnforme ejecutivo....... ...... ................................................... 37
IV. CONCLUSIONES Y RECOMENDACIONES 41
4.1. Conclusiones. ... . .. ... . .. .. .. .. . ... .. . ... .. . .., .. . .., .. . .., .. . .., ...... 41
4.2. Recomendaciones... . . ... ... ... ... ... ..... .............................. 42
GLOSARIO.. ... ... ... ... ... ... ... ... ... ... ... . .. .. ................................... .. ... 43

REFERENCIAS................................................................................ 45
Bibliogrdficas.................... .. . .. . .. . .. . .. . .. . . ...................................... 45
Electronicss.......................... .. . . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . . .. ... ... ... ... .45
 INTRODUCCION

Rn el mundo actual, la tecnologia de la informacion juega un papel de alta relevancia

para las empresas y organizaciones en e1 desarrollo de sus procesos, por lo que puede
decirse que la tecnologia es imprescindible, al hacer uso de ella es posible realizar o
ejecutar diversos procesos de alta complejidad de forma automâtica, llevando controles,
registros y reduciendo notablemente los tiempos de trabajo.

De acuerdo con lo anteriormente expuesto, es necesario revisar, monitorear y controlar

e1 uso aplicado a las tecnologias de la inforniacion, de tal forma que pueda aprovecharse al
mâxinm los beneficios que otorga Para cuinplir con esta tarea, existen dentro de las
empresas CTI o Departamentos de Informdtica, ellos son los encargados de ariministrar los
recursos tecnolfigicos y buscar utilizarlos de la manera mfis idhnea para optimizar los
procesos.

Por otra parte, una tarea que debe realizarse de forma periddica es la auditoria, la cual
en el drea informâtica es una actividad que permits recoger, agrupar y evaluar evidencias
para detertninar si los sistemas de informacion y la tecnologia utilizada, mantienen la
integridad de los datos y promueven elcumplimiento eficaz de los fmes de la
organizacihn.

Rn e1 caso de la investigacion realizada, se propone la aplicacion de una auditoria

COBfT al Departamento de lnformatica de la empresa EKlPA, C.A con e1 objeto de
detenninar amenazas y fortalezas en los procesot que ejecuta, a fin de determinar los
posibles factores que atenten contra el desarrollo regular y eficiente de las actividades.
 CAPITULO I

GENERALIDADES DE LA EMPRE$A

1.1. CARACTEBIZACION DE LA EMPRESA

1.1.1.Naturaleza de la Ernpresa

La empresa EKIPA, C.A tiene sus inicios el 17 de Mayo del 2005, con una sociedad
de integracion de tres grupos economicos Venezolanos (lnversiones Gamin, lnversiones
Artenara e Intergroup), quienes se unieron para desarrollar un plan de comercializacion de
productos ferreteros y del hogar que ya habia udo implementado anteriormente por la
empresa RattanDepot, con su dueño Johnny Clip, y que por diferentes razones se vio en la
necesidad de ofrecer sus insialaciones para que esta nueva empress impulsara la actividad
economica a la que se dedica.

EKlPA, C.A se crea con un niimero aproximado de setenta y seis (76) empleados que
ocupan cargos de Vendedores, Supervisores, Cajeros, Asistentes de Piso de Veritas, y
Gerentes en las diferentes âreas, jerârquicamente esta representado de la siguiente manera:
Gerencia General, Gerencia de Ventas, Gerencia de Compras (Nacionales e
lnternacionales), Gerencia de Administracion, Gerencia de Capital Humano, lmportaciones
y Recepcion. La Gerencia de Ventas tiene a su cargo las âreas de: Ferreteria, Plomeria,
Pintura, fardineria, Accesorios para Autos, Electricidad, y Linea Blanca; (cada una de ellas
asignadas con vendedores) un Almacén y un mñdulo de Atencion al Cliente, creado
recientemente para cubrir con las necesidades de los consumidores y ofrecer un servicio de
optima calidad.

EKIPA, CA tiene una mision principal a futuro, la mejor variedad, calidad en

productos y soluciones, para la construccion y e1 hogar, en un anibiente confortable.
Teniendo como mejor activo un capital humano pmfesional, a través del cual quieren lograr
estar comprometidos con una cultura de servicio hasra la atencion y satisfmcion del cliente.

L1.2.Uém n[kmpVca

La empresa fiRIPA, C.A se encuentra ubicada en la zona este de la isla de Margarita, en el

siguiente mapa extraido de Google Maps puede verse la localizacidn de la organizacihn:

e - ’ d

Figum 1. alizacién de RKIPA CA. Tonudo de:Google Maps (2012)

La ubicacion de la organizacion no es simplemente una casualidad, fue ideada

estratégicamente, pensando en el hecho de que la parte este de la isla posee gran potencial a
nivel comercial, en las zonas cercanas existen diferentes tipos de locales que atraen gran
cantidad de clientes al concentrar todo en un mismo lugar (Centros comerciales,
restaurantes, clinical, ostablecimientos policiales, entes bancarios, entre otrosj, la zona se
encuentra en una via principal, bien comunicada y con fmilidades de acceso. Todo lo antes
meneionado, ubica a la organizacidu en un puntn ventajoso frente a sum com Adorns ya
que los usuarios siemprc se inclinan por la comodidad.

1.1.3. Viñ6n

RKIPA, C.A, menu oomo visibn, scr reconocidos en su ramo como la major solucion a
los clientes de la gon.

l.l.4. Misiñn

HKIPA, C.A tiene una misiou principal a futuro, ofrecer la mejor variedad, calidad
en productos y solueiones, para la construcci6n y el hogar, en un ambience comfortable
Teniendo como mejor aetivo un capital humane profesioual, a través del eual quiereu lograr
estar comprometidos con Boa cultura de servicio eficaz para lograr la mejor atenciou y
satisfaccidn del cliente.

l.l.5. Objetivos Estratéginos

Anélisñ Inferno
Fortalems
Variedad de herramientas en e1 Z Depeudencias en soportes
dma ferretera. Manejo de 2 sistemas de
Servicio do gran calidad y infonnacidn en paralelo.
especializodo en e1 Area. Genteel de pzocesos deposits
< Gran cantidad de departamentos. tienda.
 Anâlisis Extemo
Opovtnnidades Amenazas
< Ubicacidn Céntrica y de fâcil < Oferta de produntos con menor
acceso. precio por parte de la competcncia.
I Liuea de descueutos a pmductos I lncrementacihn de la competencia.
con poca rotmion. I Captacihu de un solo tipo de clase
I Mejont y utilizacion de las TIC's social.
como herramientas.

ñfetas a Corfo Pfnzo

Ahastecimiento de los productos disponibles para la venta, con e1 fin de brindar

variedad y calidad a los clientes.

Dar mejor servicio en empresa ferretera de la region brindando, conform, estabilidad,

variedad a los clientes que visitan la tienda.
1.1.6. Estructura Organizativa

En la siguiente figura es posible apreciar como estñ estructurada la organizacion:

Figum 2. Estructura Organiza0va de UK IPA, fiA.E1aboiaci6n propia (2012)

1.1.6.1. Deccripcidn de foe Procecos y Funciones

Gerencia General

Es la gerencia principal dentm de la empresa, encargada de regular y vigilar las

actividades y los procesos de los demos departamentos, este personal en la empresa se
dirige directamente al gerente de adminisiracion, gerente de compras y gerente de
operaciones respectivamente.
Gerencia Adminiswativa

Es el jefe principal de los departamentos de: inforniâtica, finanzas, ca a principal, caja

operativa y recursos humanos, es el administrador principal y sus funciones radican en e1
flujo de procesos de efectivo, caja e infonnacion.

DePartamenta de infarmâtica

Este departamento se encuentra confonnado por un jefe de informatica y por soporte

técnico, son los encargados de regular y resguardar la informacihn dentro de los sistemas
informaticas, adeinñx de brinda soporte a todos los departamentos dentro de la empresa, non
el fin de mantener el funcionamiento optimo de todos los equipos tecnologicos.

Este departamento se encuentra conformado por un jefe y una asistente de recursos

humanos, quienes se encarga del control de nomina, ingreso y egresos, ademâs del control
de asistencias y toda la informacion relevante de los empleados, leyes y normativas.

DeParfamento de Finanzas

Es e1 departamento encargado de la contabilidad de la empresa, ademas del control de

flujo de caja y pagos realizados a los distintos proveedores o servicios.

Departamento de Caja principal

Rs el departalnento encargado del cuadre de ca as efectuados por el departamento de

caja operativa, son los encargado del conteo y resguardo del efectivo de la empresa.
 Caja Operative

Este departamento se encuentra conformado por supervisoras de caja y las cajeras,

quienes son la cara al piiblico al momento de una transaccihn de compra o
devolucion, ellas son las encargadax de recibir los pages de los clientes.

Gerencia de Operaciones

La gerencia de operaciones es la encargada de evaluar y planificar la optimizacion de

las ventas en el ârea de piso de venta, ademas de vigilar los pmcesos de trasferencia de
mercancia realizadas desde el dep0sito a la tienda. Esta gerencia controla los departamentos
de: depñsito, atencion al cliente y vendedores.

Dept namento de DeP site

Este departamento realiza el proceso de recepcion, entrada y transferencia de la

mercancia a la tienda, es un departamento de alto nivel de coniianza ya que son quieren
reciben y depositan los productos que se encuentran en la empresa.

Departamento de Atenciñn at Clients

Es e1 departamento encargado de efectuar la revisidn de los productos vendidos por la

tiendas, ademâs de la recepciou de las quejas e inquietudes de los clientes. Este
departamento emite las garantias de los productos.

DePanamento de Ventas

Es e1 departamento encargado de la atencion de los clientes en cuanto a los

departaniento de ventas, este departamento se subdivide en supervisores y vendedores,
donde los supervisores realizan evaluaciones y plaoificaciones estratégicas de la ubicacion
de la mercancia para su mejor venta y los vendedores se encaigan de guiar al cliente en su
compra y de coordinar la organizmion de la mercancia con su debida identificacion y
precio.

Gerencia de Compras

Es e1 personal encargado de efectuar las compras nacionales e intemacionales

correspondientes a los productos de venta en la tienda, a su vez posee un grupo de trabajo
de compradoras que agilizan este tipo de transacciones y un departaniento de entrada de
mercancia que ayuda a mantener un filtro de los productos que entran a la tienda y validar
caracteristicas como por ejemplo: el c&hgo de barra, cñdigo modelo o descripcion del
producto.

DeParfamento de Compras

Este departamento es el encargado de realizar los sugeridos de oompras a través de

ordenes de compras tanto a nivel nmional como intemacional, adeniâs de ello, son las
encargadas de velar que la facturas de los proveedores lleguen a tiempo.

Departamentn de Entrada de Mercancia

Este departamento es e1 encargado de velar por la integridad de la data en los sistemas

maestro de articulos correspondiente a los productos que son comprados, ademds de
encargarse de validar las cantidades recibidas sean las mismas que las solicitadas y por
ende cumplir oon las notificaciones por posibles notas de crédito.

1.2. Metodologfa COBIT

COBIT es un acr6nimo para Control Objectiveslorlntormation and relatedTechnology

(Objetivos de Control para tecnologia de la informacion y relacionada); desarrollada por la
InformationSystemsAudit and Control Association (ISACA) y e1 fT Governancelnstitute
(ITGD.

COBIT es
una metodologia aceptada mundialmente para el adecuado control de
proyectos de tecnologia, los flujos de informacion y los riesgos que éstas implican. La
metodologia COBIT se utiliza para planear, implementar, controlar y evaluar el gobiemo
sobre TIC; incorporando objetivos de control, directivas de auditoria, medidas de
rendimiento y resultados, fmtores criticos de éxito y inodelos de madurez.

OBI*$*

Figum 3. Marco de Trabajo de Melodoiogia COBIT.Elabomcidn propia (2013).

1.2.1. ñfodelo de ñfadurez

Al enfoque de los Modelos de Madurez para el control sobre los procesos de TI

consiste en desarrollar un método de asignacion de puntos para que una organización pueda
calificarse desde inexistente hasta Optimizada (de 0 a 5).

Este planteamiento se basa en e1 Modelo de Madurez que el Software

Engineeringlnstitute definio para la madurez de la capasidad de desarrollo de software.
Cualquiera sea el modelo, las escalas no deben estar demasiado simplificadas, lo que haria
que el sistema fuera dificil de usar y sugeriria una precision que no es justificable.

Modelo Generico de Madurez

0 lnexistente: Total falta de un proceso reconocible. La organizacion ni siquiera ha

reconocido que hay un problema que resolved.

1 lnicial: Hay evidencia de que la organizacion ba reconocido que los problemas

existen y que necesitan ser resueltos. Sin embargo, no hay prooesos estandarizados pero
en Cambio hay metodos ad hoc que tienden a ser aplicados en forma individual o caso por
caso. El método general de la administracion es desorganizado.

2 Repetible: Los procesos se han desarrollado hasta e1 punto en que diferentes personas
siguen procedimientos similares emprendiendo la misma tarea. No hay capacitacion o
comunicacion formal de procedimientos estândar y la responsabilidad se deja a la persona.
Hay un alto grado de confianza en los conocimientos de las personas y por lo tanto es
probable que haya errores.

3 Definida: Los procedimientos han sido estandarizados y documentados, y

comunicados a través de capacitación. Sin embargo se ha dejado en manos de la persona
el seguimiento de estos procesos, y es improbable que se detecten desviaciones.
Los
procedimientos mismos no son sofisticados sino que son la formalizacion de las practicas
existentes.

4 Administrada: Es posible monitorear y medir e1 cumplimiento de los procedimientos

y emprender accion donde los procesos parecen no estar funcionado efectivamente. Los
procesos estan bajo constante mejorainiento y proveen buena practica.Se usan la
automatizacion y las herraimientas en una forma limitada o fragmentada.

5 Optimizada. Los procesos han sido refinados hasta un nivel de la mejor práctica,
basados en los resultados de mejorainiento continuo y diseño de la madurez con otras
organizaciones. TI se usa en una forma integrada para automatizar el flujo de trabajo,
suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la
empresa se adapte con rapidez.

Las escalas del Modelo de Madurez ayudarân a la gerencia de usuarios a explicar a los
administradores donde existen deficiencias en la administracion de TI y a fijarse objetivos
para donde necesitan estar comparando las practicas de control de su organizacion con los
ejemplos de la mejor practica. Al nivel correcto de madurez estara influeciado por los
objetivos de negocio y el entomo operativo de la empresa. Especificarnente, el nivel de
madurez de control dependera de la dependencia de TI que tenga la empresa, de la
sofisticación de la tecnologia y, lo que es mas importante, del valor de su informacion.

1.2.2.1. Area a Auditar

La auditoria se realizara en e1 departamento de informâtica de la empresa, ya que es e1

lugar donde se maneja gran parte de la informacion de la empresa homo el manejo de los
equipos tecnologioos.
1.2.2.2. Proceso de recolecciân de la informaciân

A través de observacion directa y una guia de entrevista estructurada realizada al jefe

del departamento de informatica y posterior al gerente general, se pudieron determinar las
fallas presentadas en e1 departamentn y poder obtener mayor cantidad de ev idenciax.

1.2.2.3. Documentos de gestiñn en el ârea de infarmâtica

Actualmente los documentos utilizados por e1 departamento de informatica son:

Manual de respaldo de equipos

Manual de uso de sistemas de informacion
Manual de oontingencias
Manual de procedimientos adininistrativos

A pesar de ello, no existen manuales de procedimientos para mantenimiento de equipos

o normativas de uso para los equipos tecnologicos de la empresa.

1.2.2.4. Plan de auditoria en el ârea de informâtica

Para el plan de auditoria en el ârea de informdtica que han evaluado ciertos

procedimientos para e1 mejor alcance y precision de la auditoria y la recoleccihn de
evidencias.
 d Hvaluar la seguridad de la infonnacion y de los equipos tecnologias de la empresa

I.2.2.5. Herromientns y Técnicos

1.2.2.6. 3fotivas o Ne •e.sidoñe.i be la Auñitorin

Sintonias dc inseguridad en el mantenimiento de la intormacion.

Quejas de los usuarios que manejan los sistemas de inforniacion.
Busqueda d8 Iona nueva opiniDn acerca ale los procesos informaticos dentro de la
organi zacion
Sintomas de fallas en integridad de la informacion.
1.2.2.7. Modelos de Madurez a Nivel Cualitativo (coso}

CRITERIOSDE INFORMAL NDE RECURSOSDE

COBIT
OB}ETIVQSDECONTROLDECOBIT
TID COBIT

PLANEAR Y ORGANIC OR
Deñnir un plan esbategia
de Tl
Definir la arqintectura
PO2
dela informacifin
Delimr la direcm6n
PO3
tecnolfigica

PO8

PO 10
IMPLEMKTAR
ldenuficar 1as
soluciones
automatizadas
Adquirir y mantener
software aplicativo
Adquirir y mantener la
A13
infraestructura
tecnolfigica
hacilitar la operaci6n y e1
A14

Procurer recursos de ’l'l

A16 Administrar 1os cambios
Insular y acieditar
soluciones y cambios
ENTREiGAR Y
DAR SOPORTE
Detinir y administra 1os
DS I
niveles de servicio
Administrar los servicios
DS2
de terceros
Administrar el
DS3
desmnpeiio y capacidad
g Asegurar el ser vicio
D
oonfinuo
Garantizar la seguridad
D
de los sistemas
ldentificar y asignar
DS6
0O81OB

Educar y entrenar a los

D
usuarios
 Administrar la mesa de
DS8
servicio y los incidentes
Admirnstrar la
DS9
conftguracifin
Administrar 1os
DS10
problemas
DS11 Administrar 1os datos
Admirustrar e1 ambience
DS12

Administrar las
DS13
operaciones

Moxno ov
EVALUAMON
Monitoreo y evaluar el
desernpeño de TI
Monitorear y evaluar el
ME2
connol interno
Garantizar el
ME3
cumplimiento regulatorio
Propurcionar gobiemo de
TI

Mediante e1 estudio de la anterior tabla se pueden obtener los siguientes resultados:

67
 Teniendo en cuenta la anterior tabla se puede decir que el departamento trabaja bajo tin
tango de impacto alto sobre la organization y que d< sus a«tividades pueden influir en la
direction y la ono acion de las TI.
 CAPITULO O

EJECUCION DE LA AUDITO A

2.1. Situaciñ n actual det $rea de sistemas

a. Ubicacion: e1 departamento de informatica se ubica en el primer piso del local,

especificamente en el Area de oticinas, tiene como responsabilidad mantener la integridad
de la data que se maneja dentro de la organizacion. De igual forma, es este departamento
quien gestiona y administra la adquisicion y uso del software y hardware que utiliza la
empresa para el desarrollo de sus activ idades operacionales; asi mismo, se encarga de
mantener a la empresa a la vanguardia en lo que respecta a la plataforma tecnologica.

Figum d. Hbieatiân FLica del deyartamento de Infozetntica Nlaboracidn propia (2013).

b. Cargos Funcionales y Operativos:

Se er+carga de ami ni strar los recursas tecnol Ogicos (software y hardware) de la

Cristian Joan, Navarre F ue ntes
Cristoq he r Suzi Mata
Mitche I José Ritas N›oriega
J efe de Info rmét ica empr asi corno de coordinar que los dernés integrantes del
departarnento curnpl an con sus funciones, debe velar porque la empresa se
encuentre a la vanguardia a nivel tecnolégico
Anali sta de
Nina de sus funciones princi pales cortsi ste en anali zar las posibles utili dades
s istemas/écnico
y modi ficaciones necesarias de los sistemas operati vos para alcaraar una
rnayor efectividad. De igual Korma, estudi a procesos de forma detall ada en
busca de posi bles rnejoras, I as cuales deben desarrollar e i
Anali stacle
mplementar.Otra misién de estas personas es dar apoyo técnico a los usuarios
s istemas/écnico
de los equipos y software

Su funcion princi pal es lade prestar app durante la ej ecucion de las tare as
Danie I ñ lvestre Medi na Chacé Asiste nte analista/téc nice diarias del departarnento, se invol ucradeNtFO de actividades de
n menteni miento, control y reparaion de los recursos tecnolégicos, sigue
instrucciones de US dernâs i ntegrantes del departarnento.

Cuadm S. Cuzgoc y Funciones. Ehihorm idn picy in I2D13)

2.1.1. Objetivos del depaztazoento

• Constitute planes de accion estratdgicos ligados a la tecnologia, en concordancia con

los requerimientos de la directiva y gerencia de la empresa.
« Proponer la adquisicion de nuevos recursos tecnologicos para la organizacion,
siempre y cuando se considere necesario y se demuestre que asi sea.
• Resguardar la integridad de la data que se maneja dentro de la empresa,
estableciendo mecanismos de control y seguridad para alcanzar tal fin.
• Brindar sopoite técnico al personal de las dJerentes âreas de la empresa.
• Planificar tareas de respaldo (Plan backup) para cada uno de los equipos,
haciéndolo de torma periñdica y almacenando esa informacion en dispositivos de
almaoenamiento masivo extemo.
• Mantener la red de trabajo operativa (Comimicacion y sistemas de informacion).
» Realizar jomadas de adiestramiento, capaciracion y nivelacion a los actuales y
I tllEOS USUHFiOE de POS I CUFSOS t42CIlO$O iCOS.

• Establecer planes de mantenimiento en relacion al hardware y software, hacer

levantamiento de informacion de las incidencias relacionadas a ellos, para luego
analizarlas y corregir fallas.
2.1.2. Organigrama del departamento

de tnformética

Soporte Técnico Redes Pedlrnientos

Hardware EstandanWciSn (Normas y

Fi um S. O unigrama del departamento de In/ormdârnAlaboracidn pmpia (Z€i 13).

2.1.3. Seg dadde!departameow

a Seguridad fisica:
• Proteger el area del data center frente a posibles inundaciones.
« Contar con las instalaciones eléctricas adecuadas para resguardar la
integridad de los equipus.
• Un lugar adecuado y fresco que mantenga los servidores trabajando a
temperatures ideales.
b. Seguridad legal:
• Aplicacion de estandares y metodologias de calidad (IEEE, ISO, TIER,
entreotros) de manera tal que se garantice la ejecucion de procesos blindados
y seguros.
• Adquirir las licencias de los sistemas operativos (Microsoft) en uso, de
igual forma con antivirus u otro software; esto para no incurrir en faltas
legales.
 • Contar con las hcencias de los sistemas SAP B1 y sistemas RetailPro R4.
c. Seguridad de datos:
• Ejecutar las tareas de respaldo segñn la planificacion.
• Establecer niveles de acceso hordes a la realidad tanto para los sistemas de
informacion como la los servidores, para impedir mceso y manipulacion no
autorizada a la informmiou.
d. Seguridad de personas:
• Instituir politicas de seguridad fisica y mental para el personal.
• Dotar at departamento con las herramientas de proteccion necesarias para
garantizar la seguridad de los empleados.
« lnstruir a los empleados de como actuar ante situaciones de desastre
(incendios, inundaciones, sismos, entre otros).

2.1.4. Caractcrfsticas de la platafozsoa tecnot6gica

a. Eb›rdware

Equipos Server
 CPU Corel 2 duo 2.4
Ghz
Se idol
Memoria
Server 5tJD Gb de
3 RAM
Oisco duro 2 lb
Monitor Samsung 17"

Equipus PC
Nombre del Equipo Caracteristicas
CPU Corel 2 duo 2.4 Ghz
MemDri
a 2 G6 Pc Jefe
PC 1
PM inlormâ tica
Disco duro 320 Gb
Monitor Samsung 22”
CPU Coal 2 duo 1.8 Ghz
Menzoria

PC 2 2 Gb Pc Analista
RAM
de sistema
Disco duro 150 Gb
Monitor Samsung 19”
CPU Corel 2 duo 1.8 Ghz
MenzDria

PC 3 32tlGb Pc Analista
PM
de sistema
Disco duro 2 Gb
Monitor Samsung 19”
b. Sufto'are

Erjuipus fierx'er

Nombre del Equipo Aplicaciones

SAP B1
MySQL
Server 1 Windows Server 2008 R2 64 bit server
Microsoft
Olfice

RefailPro R4

Oracle 1 1
Server 2 Windows Server 2003 SP2 32 Bit
Microsoft

Central TLF

Server 3
Windows Server 2003 SP2 32 Bit Micmsott

Equip us PC

Nombre del Equipu

SAP B1
RetailPro
PC l
Windows 7 profesional 32 bit
Microsoft
Office

Windows 7 profesional 32 bit SAP B2

To

Figum 6. ToPoIo$ia de Red de la empresa Wabomcibn propia (2013).

La empresa cuenta con una topologia de tipo estrella, con una conexion de internet
basada en ABA de CANTV con una conexion de 2MB, e1 cableado de red este marcado en
cable coaxial categoria 6 y un router que brinda señal wifi.
2.1.5. Determinaci6n de los problemas y planteamiento de hip6tesis

» No se cuenta con servidores de mposicion en canso de alguna coutingencia

c Falta de acondicionamiento at la de servidores
» Falta de capacitacion a los personal de informatica que briuda soporte a los usuarios
en los sistemas SAP BI y RetailPro 9

2.1.5.1. Posibles problemas

• lncumplimienfo de planes de mantenimiento.

• Palta de organizacion en la ejecucion de los procesos.
• Inexperiencia en el uso de los sistemas de informacion de la empresa.
• Pallas de comunicacion entry las diferentes dependencias administrativas.
» No se lleva un Registro de las actividades realizadas, lo que dificulta en control y
HlOJtOI 0.

2.1.5.2. Formiilaci6n de hlpétesis

No se ha logrado establecer un enlace de comunicacion fuerte dentro del

departamento, al no fluir correctaniente la informacion el desarrollo de los procesos es
ineficiente. Asi mismo, existen muchos procesos a la deriva, es decir, no se han
detenninado responsabilidades y limciones; no se ha tornado importancia a temas references
a la seguridad en general.
2.2. Aplicacii›n de la auditoria

Nivel 0 Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel S Nivel 6

Definir un plan estrategia de TI X
Definir la arquitectura de la
informacién
Definir la direcci6n tecnol6gica X
Definir los procesos, organizacion
y relaciones de TI

Administrar la inversi6n en TI X
Comunicar las metas y la direccion
de la gerencia
Administrar los recursos humanos
de TI
Administrar la calidad X

Evaluar y administrar las riesgos TI

Administrar los proyectos

identificar las soluciones

automatizadas
Adquirir y mantener software
X
aplicativo
Adquirir y mantener la
X
infraestructura tecnol6gica

Facilitar la operacion y el uso

Procurar recursos de TI X
Administrar los cambios

lnstalar y acreditar saluciones y

cambios
Defin ir y administra los niveles de
X
servicio
Administrar los servicios de
X

Administrar el desempeño y
capacidad

Asegurar el servicio continuo

Garantizar la seguridad de los
sistemas
ldentificar y asignar costos X
Educary entrenar a los usuarios X
Administrar la rnesa de servicio y
X
los incidentes

Administrar la configuracion

Administrar los problemas

Administrar los datos

Administrar el ambiente fisico X
Administrar las operaciones X
Monitoreo y evaluar el desempeño
X
dv TI
Monitorear y evaluar el control
inferno
Garantizar el cumplimiento
X
regulatorlD
Proporcionar gobierno de TI X
 Nivel O Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel 6
Cantldad 4 6 5 8 5 5 0

Dominio Nivel de Madurez

Definir un plan estrategia de TI

Definir la arquitectura dela inform acion 3

Definir la direccion tecnologica 1
Administrar la inversion en TI 4
Administrar los recursos humanos de TI 5
Administrar la calidad 4
Administrar los proyectos 1

Adquirir y mantener software aplicativo 4

”o E Adquirir y mantener la infraestructura tecnologica 4

Administrar los cambios 2

Instalar y acreditar soluciones y cambios 1

Administrar los servicios de terceros 5

Administrar el desempeño y capacidad 2

Asegurar el servicio continuo 3

Garantizar la seguridad de los sistema s

Educar y entrenar a los usuarios 4

Administrar la mesa de servicio y los incidentes 5

 0

Administrar los datas

3

M onitoreo y evaluar el desempeño de 3

TI

Proporcionar gobierno de TI
5

2.2.2.1 Anñ lisis por dominio:

Planeari6n y organizacion

• No se le estan dando el uso correcto a las planificaciones y organizaciones

dentro del departamento, esto trae como consecuencia que la oryanizacion
no aproveche al maximo las TI.

Adquirir e iinplementar

• A pesar que la organizaciñ n cuenta con los recursos monetarios y la motivaciñ n

para optimizar los procesos tecnolDgias dentro de la empresa, e1 departamento
no cuenta con todo el personal capaz de manejar los distintos niveles de
tecnologias alojadas en la misma.

Entregar y dar soporte

• Existe gran motivacion en los usuarios por aprender acerca de los sistemas de
informacion utilizados en la organizacion, y el departaniento cuenta con un
 personal capacitado para brindar soluciones efectivas a los usuarios ante los
problemas que se puedmi presentar.

• A pesar que existen marinades de monitoreo y evaluacion, adernds, de llevar

algunos controles de mcesos a las dreas de informatica de la empresa, no se
cumple con cabalidad todas las medidas de seguridad sugcridas para mantener
en ordeu las actividades mtinarias del departamento.
 CAPITULO IO

AN ISU DE LOS RE5iULTADOS

3.1. fnforme técnico

Alcance

Mediante esta auditoria se pretende evaluar el estado actual del Departamento

lnformatico de la empresa “EKIPA, C.A.”, mediante este procesD se podrd brindar al
“EKlPA, C.A.” sus respectivas cnnclusinnes y recomendaciones para cada un n de I os
procesos evaiuados en cada donii nio segtin la metodologia COB lT 4.1.

Objetivo General

Realizar la auditoria de las tecnologias de la infomiacion en el departamento de

informatica dentro de la empresa “EKlPA, C.A.”, utilizandn cnmo modelo de referencia la
nietodologia COBIT 4.1.

Objetivos EspeciPieos

« ldentificar posibles problenias técnicos en las Tl y far soluciones viables.

e Definir controles que permitan disminuir riesgos dentro del departanzento de
infDMRflflCB.

A continuacion se detalla los resultados de las evaluaciones en cada uno de los

dominion, basândonos en los niveles de madurez los cuales van desde el rango 0 hasta
el rango maximo 5.
 Dominic de Planear y Organizer

Al departamento cuenta con manuales y planificaciones bien estructuradas, en cuenfo a

los mantenimientos de los equipos, respaldos de la informacion y revisihn la calidad e
integridad de la informacion.

A pesar que no se posee un manual general de dicho proceso, se puede decir que e1
departamento cuenta con la motivacion y los conocimientos necesarios para realizar el
mismo.

Rmomendaciones COBIT:

« Crear un plan general estratégico y un script de procesos de homo se deben

efectuar las actividades a nivel general.
« Aumentar e1 rango de los planes estratégicos incluyendo revisiones de
inventario de equipos tecnologicos, aumento de la revision de la seguridad de la
informacion y mejoramiento de los marinades actualmente existentes.

Dominio de Adquirir e implernentar

El departamento cuenta con e1 apoyo de la gerencia general en cuanto a la adquisicion

de nuevas tecnologicas y e1 refuerzo de las TI dentro de la organizacion, esto cuenta con un
punto favorable ya que se enmarca e1 interés por parte de la directiva del mejoramiento de
las tecnologlas.

Por otro 1a3o, e1 departamento no cuenta con una normativa de requerimiento de

equipos, ademfis, de un manual de implementacion de los sistemas de information los
cuales son atendidos por un soporte extemo, esto dificultando el mejoramiento del rnismo.
 El personal del departamento no cuenta con la capacitmion necesaria para mejorar e
implementar uuevax herramientas dentro de los sistemas de inlormacion, ask como, creando
asi la dependencia de los entes extemos.

Recomendaciones COBIT:

• Crear normativas de requerimientos basado en las tecnologias actuales dentro

de la organizacion.
« Fomentar la capacitacion del personal para asi garantizar e1 mejoramiento de
las herramientax utilizadas dentro de los sistemas de informacion y asi
disminuir el nivel de dependencia de los entes extemos.

Dominic Estratega y dar soporte

El departaniento cuenta oon el personal para e1 soporte a los usuarios que utilizan las
tecnologias asi como los sistemas de inlonnacion, ademas, cuenta con la motivacion de
aprender dia a dia a utilizarlos y mejorarlos creando reglas y normas iitil para el
mantenimiento de las mismas.

Por otro lado, faltan planes de capacitacion a los usuarios para el uso de las
COCRO O lC IS.

Recomendaclones COBIT:

» Ciear y diseñar planeas de capacitacion a los usuarios para e1 uso de los las
tecnologlas y los sistemas de informacion.
 Dominic Monitoreo y Evaluaci6n

Al departanienfo cuenta con mtividades y procesos de monitoreo continuo en los

sistemas de informacihn, ademas de controles de seguridad para mantener la mtegridad de
la data en los sistema de base de datos.

Cuenta con scripts de actividades para el seguimiento de este monitoreo y un libro de

bitâcoras para la revision por parte de la auditoria de las actividades realizadas en los
servidores.

Por otro lado, no llevan un historial de acceso al area de servidores asi como un control
de visitas por parte de entes externos para revisiones o mantenimientos.

Rmomendaciones COBIT:

« Diseñar un plan de seguimiento para e1 control de accesos a las distintas aéreas

deutro del departamento de informatica.
« Mejorar con marinades las actividades de monitoreo de los sistemas de
informacion asi como de law tecnologiax utilizadas dentro de la organi zacion.
3.2. Inforrue ejecutivo

En este informe de detalla los resultados de la evaluacion en cada uno de los dominion
y las recomendaciones que ofrece la metodologia COBIT 4.1 evaluando el departamento de
informatica dentrn de la organizaciDn “EKIPA, C.A.”.

Efectividad

Efectividad
B Deficit

La efectividad consiste en que la informacion relevante sea entregada de forma,

correcta, consistente y utilizable, este criterio tiene un porcentaje de 52%.

Eficiencia

Efectividad
Deficit

La eticiencia consiste en que la informacion debe ser generada optimizando los

recursos, este criterio tiene un pmmedio de 69%.
 Cofidencialidad

Efectividad
Deficit

La cunfidcncialidad consiste en que la intorniaciñn vital sea pFDtegida contra la

revelaciñn nn autorizada, este criterio tiene un porcentaje de 42°/c.

Integridad

wEfectividad
Deficit

La intcgridad consiste en que la inforniacifin debe sc procisa, completa y valida, este

criteria tiene un promedio de 7Sfi..
 Disponibilidad

Efectividad
Deficit

La disponibilidad consiste en que la informacion esté disponible cuando esta sea

requeria por parte de las aéreas de la organizacion en cualquier momento, este criterio
tiene un porcentaje de 85&o.

Cumplimiento

B Deficit

El cumplimiento consiste en que se debe respetar las leyes, reglamentos y acuerdos

contractuales a los que esta sujeta el pmceso de la orgaoizacion con political intema, este
criterio tiene un porcentaje de 55%.
 Confiablidad

Efectividad
B Deficit

La confiabilidad consiste en que se debe respetar y proporcionar la informacion

apropiada, con el fin de que la gerencia general administre la entidad, este criterio tiene un
porcentaje del 80%.
 CAPITULO IV

CONCLUSIONES Y RECOMFNDACIONES

4.1. CONCLUSIONES

Las auditorias permiten oonocer de manera concreta el estado de las actividades

desarrolladas, evaluando los niveles de desempeño y productividad en las diferentes
dependencias, es una herramienta o técnica de gran apoyo a nivel gerencial.

Por su parte, el trabajo de auditoria aplicado a la empresa EEIPA, C.A, especificamente

en el drea de inform*atica, aporta resultados relevantes para la organi ion, ya que define
de forma puntual los aspectos a mejorar y a desarrollar dentro del ârea de estudio para
optimizar las actividades que desempeño Como fue planteado en anteriores oportiinidades,
el departaniento de informâtica dentro de una organizacion es de vital importancia, ponjue
actualmente todos los procesos son manejados bajo un ambiente tecnoldgico.

Por otro lado, es importante mantener canales de comiioicacion efectivos a nivel interno
del departamento e interdepartamentales, debido a que esta ârea especializada de trabajo
interactiia e interviene en los procesos de law demos âreax especializadas de la empresa, De
igual forma se determino que existe falta de organizacion, registro y control de las
actividades del departamento, el estudio aplicado se considera beneficioso porque en él se
plasma una especie de mapa o base que servira de via en la aplicacion de medidax
correctivas y e1 establecimiento de nuevos planes de trabajo, para optirnizar los procesos y
hacer uso adecuado y provechoso de los recursos de TI.
4 . RECOMF.NDACIONES

c Llevar a cabo las sugerencias planteadas en la auditorn COBIT, en la fase

de iesnltados.
• Cajncitar a los usuarios de los sistemas de infonnacidn en e1 uso de estos, de tal
nianera que puedan aprovechar al mâxinio las ventajas que estos ofrecen.
• Aplicar tareas de auditoria cada 6 muses.
• Cumplir con los planes de mantenimiento.
• ReBovar la platafonna tecuoldgica a medlda que se necesite.
• Llevar registros de las actividades realizadas, hacer levantamiento de informacion
de las incidencias, elabomci6n de marinated para apoyo a usuarios y a futuro
integrantes del Area de inforrndtica.
• Mantener inforrnodas a las diferentes gerencias de las actividades a zealizar, de tal
mantra, que exista un estado de alineacion en la informacion y todos se
mantengan al mismo nivel de conocimiento.
Administraci6n: es el proceso de euructurar y ntilizar conjuntos de recursos orientados
hacia el logro de metas, para llevar a cabo las tareas en un entomo organizacional. (Hitt,
2006).
Auditovfa: evaluacién donde se miden los nivules de desempeño y se verifica que los
procedimientos ejecutados son y que cuinplen con las normativas o political
oxistentes, permits dar a conocer e1 estatus mtual de la empresa en cuanto a sus
operaciones. (Dcfiiiicihu opermional).
Comercializaci6n: mcidn de riar a un pioducto condiciones y vJas de distribution para su
vents (Diccionario de la Real Academia Bspañola, 2001).
Control: es una funcion administrative: es la fasc del proceso administrativo que mide y
evalua el desempeño y toma la acciou correctiva cuando se necesita. (Chiavenato, 2DD7).
Direcci6n: Prooeso para dirigir e inCirir en las actividades de los miembros de »n grupo o
una organizacidn entera, con respecto a una tarea. (Stoner y freeman, 1997).
Efitacia: capacidad para lograr e1 efecto que se desea o se espera tras la realizacihu de una
a«ciou. (Pemândez y Otros, 1997).
Eflciencia: capacidad de mducir a1 mfnlmo los recursos usados para alcanzar los objetivos
de la organization. (Cbiavenato, 2007).
Empresa: organizaci6n destinada a la producci6n o comercializacion de bienes o servicios.
(Chiavenato, 2007).
Estrategin: Rn un pioceso reputable, conjunto de las reglas que aseguran una decision
optima en cada momento. (Diccionario de la Real Academia Hspañola, 2001).
Estructuraorganizadonal: es la capacidad de ima organizacion de dividir el trabajo y
asignar funciones y responsabilidades a personas o grupos de la organization. (Lusthaus,
2002).
FluJo de informaei6n: Desplazaniiento de informacibn dentro de una organizacion o entre
la organization y su entorno. (Oefinicion operacional).
Gerencia: son los gerentes responsables de la administracion general de la organizacion;
<stablecen politicas operativas y guian la interactuacidn dc la organizacidn y su entomo.
(Chiavenatu, 2007).
Metas: flu de aprender alcanzar la organization; con ima fiecuencia, las organizaciones
tienen mas de una meta; las metas son elementos fundanaentales de las organizaciones.
(Stoner y Preeman, 1997).
Ob)etivos: son los resultados y fines esperados por personas o instituciones. (Definition
Operational).
Organigrama: es un diagrma que ilustra las linear dc reports entre unidades y personas
dentro de la organization, usando e1 término unidades para mferirnos a equipos, grupos,
departamentos o divisiones. (Hellriegel, 2006).
Organizaci6n: es el pmceso de gestion que mmbina los materiales y humanos
con objetos de estableces una estructura formal de tareas y actividades. (Chiavenato, 2DD7).
Optimizad6n: Buscar la mejor manera de realizar rna actividad. (Diccionario dc la Real
Academic Rspañola,
Planeaci6n: trazar inn plan. (Dicciooario de la Real Academia fispafiola, 2001).
Planificador: que Hacer plan o proyecto de una accibn. (Diccionario do la Real Academia
Española, 2001).
Proceso: Conjunto de las. fases sucesivas de un fenomeno natural o de una operacion
artificial. (Diccionario de la Real Academia Bspañola, 2001).
Serñcio: accion de repartir o sumioistrar all producto a un cliente. (Diccionario de la
Real Academia fispañola, 2001).
Toma de Deflsiones: es un proceso de pensamiento quo ocupa toda la actividad, que tiene
for km solucionar un probletna. (Latorre, 1996).
RMwe»fieBbEogr Fwms

Pemândez, M. y Sanchez, J. (1997). Hficacia Organizational. Concepto, desarrollo y

evaluacihu. Madrid, Hspañm Editorial DJaz de Santos, S.A.
Hellriegel, D. (2006). Administmcihu. Potoque basado en competencia (10ed.). Madrid,
fispaña: GengageLeaming fiditores.
Hitt, P. (2tO6). Administration (9ed.). México D. P., México: Pearson educacidn
Lusthaus, C. (2002). fivaluacidn Organizacional: marco para mejorar el desempeño.
Ottawa, Canadâ; Centro lntemacional do fnvestigaeiones.
Stoner, J,y Paceman, B. (1997). Administracion (6ed.). México D. P., México: McGraw-
Hill.

Referenciaa Electr6nicas

Diccionario de la Real Academia Hspaiiola (2001). Gomercializaci6n (onlim]. Disponible

en: http://1ema,rae.es/drae/fial—comercializaciM3&B 3n [Gonsulta: 2012, Noviembre 12]
Diccionario de la Real Academia fispañola (2DD1). fistrategia [online]. Disponible en:
http://1ema.rae.es/draef?val=estrategia [Gonsulla: 2012, Noviembre 12]
Diccionario de la Real Academia Esp;fiiola (2001). Optimization [oaline]. Disponible en:
http://lema.rae.es/drae/?val=optimi ion IConsulta: 2012, Noviembre 12]
Diccionario de la Real Academia Hspaiiola (2001). Ptaneaci6n (online]. Disponible en:
http:/f1ema.rae.eNdraeNal=planeacion [Gonsulta: 2012, Noviembre 12]
Diccionario de la Real Academia fispañola (2DD1). Planificador (online]. Disponible en:
http://1ema.rae.es/draef?val=planificador (Gonsulta: 2012, Noviembm 12]
Diccionario de la Real Academia Esp;fiiola (2001). Routine]. Disponible en:
http://lema.rae.es/drae/?va1=proceso (Cousulta: 2D12, Noviembre 12]
Diccionario de la Real Academia Española (2001). Producto [online]. Disponible en:
http:/f1ema.rae.eNdraeNal=producto [Consalta: 2012, Noviembre 12]
Diceionario de la Real Academia Española (2001a. Servicio (online]. Dispoaible en:
http://1ema.rae.es/drae/?val=servicio [Consulta: 2012, Noviembre 12]