Proyecto De Ska (Auditoria)

1

Proyecto de Auditoría deSistemas de InformaciónCOBITDOCENTE:

Dr. Ing. Cip. CHAVEZ MONZON CARLOS

CURSO: AUDITORIA DE SISTEMAS – VIII CICLO

INTEGRANTES:

AYRAC MORENO DICK(“[email protected]”)

BRUNO DAMIAN AARON(“[email protected]”)

GUZMAN RAMOS WILLIAM

(“[email protected]”)

RAMIREZ CHIRA FRANK

(“[email protected]”)

mailto:[email protected]




2

2009CAPÍTULO I

1. Generalidades de la Empresa.1.1. Breve reseña histórica

Supermercados SKA, es una empresa moderna, competitiva,innovadora, líder en el mercado local y regional, que nace en el mes de Juliodel año 2004 como única alternativa para brindar los precios más bajos sindejar de lado la calidad, la variedad y el surtido de productos. Cuenta con unequipo humano con alto contenido ético profesional que busca satisfacer losgustos y preferencias del exigente consumidor chimbotano, pues EL CLIENTEES NUESTRA RAZON DE SER.

Con tan solo nueve meses en el mercado ha logrado la designación desu Gerente General FERNANDO CRUZ SOLIS como “EL EMPRESARIO DELAÑO” (Premio otorgado por la Cámara de Comercio del Santa).

En Supermercados SKA sus más de 30 trabajadores están dispuestos abrindar un servicio personal y amable. La amplitud del local que supera los500 m2 hace de la tienda una ventana abierta para la exhibición de los másde 5,000 productos ofertados, se cuenta con 5 cajas registradoras aptas parasatisfacer las exigencias de los clientes. El público objetivo es aquel grupo declientes que buscan los precios más bajos del mercado pero con la más altacalidad y confiabilidad. Dentro de sus instalaciones cuenta con un Área deEsparcimiento para los Hijos de sus clientes frecuentes, los que gozan de undivertido y novedoso juego de laberinto, al que acceden gratuitamente y alque se ha denominado PLAY SKA.

Las sucesivas innovaciones que se han realizado en este corto tiempocomo el uso de la “Tarjeta Kplus... acumula puntos y canjea”, paraacumulación de puntos, la “Tarjeta Crediempresa” para crédito a lostrabajadores de empresas afiliadas a nuestro sistema y la Tarjeta “ShopingCash” tienen como propósito fidelizar a nuestros clientes frecuentes. Ademásde proporcionar un buen servicio les ofrecemos:

3

- El uso de casi todas las Tarjetas de crédito existentes en el mercado.- Entrega de paquetes al auto, sin recibir propinar.- Gratuidad en las envolturas y empaques.- El uso de Cajas Rápidas- Promociones permanentes - Ofertas del día- El área de esparcimiento para niños, Play SKA- La Cafetería SKA- El uso de Códigos de Barra

Todo el grupo humano que vemos diariamente laborar enSupermercados SKA, desde su plana gerencial hasta el encargado demantenimiento, hacen la firma promesa de seguir esforzándose para servirlomás y mejor.

4

1.2. Organigrama de la Empresa.

1.3. FODA a nivel de la Empresa.

a. Fortalezas

Participación de mercado y posicionamiento con formato “Plaza Vea”.

Ofrecer promociones a los clientes.

Tienen el programa de puntos en las tarjetas que ofrecen, eso significa queal consumir el cliente está acumulando puntos y luego puede canjearlos enpremios.

GerenciaComercial

ESTRUCTURA ORGANICASUPERMERCADO SKA

Gestión deMarketing Evaluación de

Inversiones

RecursosHumanos

Contabilidad

Tesorería

Informática

PresidenciaDirectorio

GerenciaGeneral

SecretaríaGeneral

GerenciaInversiones y

Proyectos

Gerencia Administracióny Finanzas

Logística

5

Sólido equipo profesional de amplia experiencia en ventas.

Propietario de una página web

b. Oportunidades

Expansión del mercado nacional

Expansión económica que se refleja en la demanda interna.

Mayor impacto del negocio financiero en las ventas de la cadena (crédito deconsumo).

Promover y apoyar iniciativas para el desarrollo interno.

El uso masivo de internet

c. Debilidades

No maneja precios al por mayor.

Creciente dependencia del financiamiento de proveedores.

Tener a la competencia a una distancia muy corta.

El supermercado cuenta con un espacio reducido (área).

d. Amenazas

Competencia con supermercados reconocidos a nivel local

Planes de expansión agresivos de la competencia.

Negocio sensible a cambios en el entorno económico.

ESTRATEGIAS FA

Queriendo ser mejor, y traspasar barreras,captando nuevos proveedores, llegando aser mejor que la competencia.

Ganar terreno en el ámbito nacional,posicionándose de los clientes de lacompetencia.

Convertir a un cliente nuevo en cliente fiel.

ESTRATEGIAS DO

Ampliar su mercado abriendo sucursales enlugares específicos, para captar clientes yatenderlos con mayor rapidez, conproductos de buena calidad a un menorprecio.

ESTRATEGIAS DA

Captar personal eficiente para que de mejortrato a los clientes, eso mejorará la eficaciaen nuestros procesos de ampliación demercado.

1.4. Identificar principales procesos de la Empresa

6

1.4.1.Proceso: Describir procesos.

NOMBRE DEL AREA:PRESIDENCIA DEL DIRECTORIO

FUNCION BASICA:El Presidente del Directorio preside el Directorio; orienta y fiscaliza la marcha eficaz y productivade la Empresa, formula recomendaciones al Directorio en relación con dichas actividades, conmiras a asegurar el cumplimiento de la política, plan y programas establecidos y de las decisionesque tome el Directorio.

FUNCIONES ESPECÍFICAS:Compete al Presidente ejercer las atribuciones y facultades propias de su cargo, establecidas en laLey. En concordancia con las políticas y normas establecidas, el Presidente tiene como funciones:

1. Velar por el cumplimiento de la política de la Empresa, de conformidad con los planes yprogramas establecidos y con las decisiones que tome el Directorio.

2. Cuidar que el Directorio este bien informado sobre las condiciones y factores importantesque influyen en las actividades de la Empresa.

3. Proponer al Directorio los objetivos generales de la marcha de la Empresa y cuida que seformulen y desarrollen objetivos coherentes en la Empresa; así como en cada una de susáreas principales.

4. Desarrollar y recomendar al Directorio planes de acción compatibles con los objetivosgenerales y factibles dentro de las posibilidades y potencialidad del conjunto empresarial.

5. Cuidar del desarrollo de una organización empresarial competente y adecuada con planescoherentes de organización en la Empresa, así como en cada una de sus áreas principales.

6. Desarrollar otras actividades y funciones que el Directorio estime pertinente para el logrode su función básica.

NOMBRE DE AREA:SECRETARIA GENERAL

OBJETIVO:Asistir administrativa y documentadamente al Presidente y miembros del Directorio, así como alGerente General.

FUNCIONES ESPECÍFICAS:Dentro del marco de la Ley, del Estatuto Social, del Reglamento del Directorio y de las normas dela Empresa, es responsable del cumplimiento de las siguientes funciones:

7

1. Formular el proyecto de agenda de la Junta General de Accionistas y del Directorio,recibiendo instrucciones de la Gerencia General y sometiéndolo a consideración delPresidente.

2. Efectuar las citaciones a las sesiones de la Junta General de accionistas y del Directorio,convocando a los miembros por encargo del Presidente.

3. Supervisar la dotación de las facilidades y servicios requeridos para el desarrollo de lassesiones de la Junta General de Accionistas y del Directorio.

4. Efectuar gestiones externas de competencia por encargo del Presidente del Directorio.5. Redactar y despachar correspondencia, por encargo del Presidente del Directorio.6. Efectuar el seguimiento de los pedidos y acuerdos adoptados.7. Informar al Directorio y a la Gerencia General sobre el cumplimiento de la aplicación de las

medidas correctivas recomendadas.8. Verificar que la presentación de los proyectos de acuerdos, los informes y pedidos que se

presenten a la Junta General de Accionistas y del Directorio, cuenten con el respectivosustento o informes de los Gerentes de las áreas involucradas.

NOMBRE DE AREA:GERENCIA GENERAL

OBJETIVO:Compete a la Gerencia General la planeación, dirección, coordinación y control delfuncionamiento de la Empresa, cuidando que todo acto se realice dentro del marco de la Ley;cuidar que se desarrollen los planes y programas aprobados y se obtengan los resultadosprevistos, sobre la base de una organización y administración eficaces; y aconsejar y recomendaral Presidente y al Directorio en la determinación de los planes y políticas generales de la Empresa.

FUNCIONES ESPECÍFICAS:Dentro del marco de la Ley y de las políticas, normas y procedimientos de la Empresa, la GerenciaGeneral es responsable de cumplir las funciones siguientes:

1. Cumplir y hacer cumplir los acuerdos y decisiones de la Junta General de Accionistas y delDirectorio.

2. Dirigir y controlar el desarrollo de las actividades operativas y administrativas orientadas aoptimizar el manejo de los recursos humanos, materiales y económicos financieros.

3. Proponer al Directorio, el proyecto de presupuesto del ejercicio con los cuadros deasignación de personal y la escala de remuneraciones.

4. Dar cuenta en cada sesión de Directorio el estado de las operaciones de la Empresa, de losingresos y egresos, inversiones y existencia de fondos.

5. Presentar mensualmente al Directorio los estados financieros (Balance General, Estado deResultados de Pérdidas y Ganancias y otros que estime conveniente) y la informaciónnecesaria para el cierre del ejercicio.

8

6. Velar por que los activos de la empresa sean debidamente salvaguardados, estableciendoconvenios con firmas aseguradoras.

7. Aprobar y suscribir los contratos y/o convenios que requiera el funcionamiento eficientede la empresa, de acuerdo con las decisiones que al respecto adopte el Directorio.

8. Contratar personal especializado y/o de gerencia, celebrar contratos de carácter laboral

NOMBRE DEL AREA:GERENCIA COMERCIAL

OBJETIVO:Promover el mayor margen comercial para supermercado SKA, celebrando contratos desuministros de productos de primera necesidad con clientes libres y regulados que tiendan amaximizar dicho margen, optimizando las estrategias de despacho de la empresa.

FUNCIONES ESPECÍFICAS:Dentro del marco de la Ley y de las políticas, normas y procedimientos de la Empresa, la GerenciaComercial es responsable de cumplir las funciones siguientes:

1. Coordinar y dirigir la planificación y programación de la operación, así como la asignaciónde la carga en tiempo real, del sistema de generación de la empresa.

2. Efectuar estudios y dirigir acciones orientadas a garantizar la seguridad y economía de laoperación del sistema a su cargo.

3. Dirigir las investigaciones de mercado, proyecciones de la demanda y de venta deproductos.

4. Dirigir y controlar la medición y facturación de los productos a los clientes de la empresa.5. Proponer mecanismos de seguridad que permitan garantizar la confiabilidad y calidad de

la operación del sistema.

NOMBRE DEL AREA:COMERCIALIZACION

OBJETIVO:Diseñar estrategias y formular propuestas para que las decisiones comerciales propendan amaximizar el margen comercial de la empresa. Proveer a los clientes un servicio eficiente ypersonalizado, orientando los servicios comerciales de la empresa a la satisfacción de lasnecesidades del cliente, asegurándole adecuada información, buscando constantementemantener o mejorar la calidad de los servicios así como la competitividad de la Empresa.

FUNCIONES ESPECÍFICAS:Dentro del marco de la Ley y de las directrices empresariales, es responsable del adecuadocumplimiento de las funciones que se enuncian a continuación:

9

1. Formular alternativas para las propuestas de política y estrategia comercial de la Empresa.2. Identificar y evaluar clientes potenciales.3. Diseñar y proponer estrategias de precios de venta libre.4. Verificar las ventas (compras) facturas que correspondan y, en su caso, verificar y tramitar

el pago de facturas de otras generadoras.

NOMBRE DEL AREA:GERENCIA DE ADMNISTRACIÓN Y FINANZAS

OBJETIVO:Brindar a las áreas operativas apoyo en el planeamiento, organización, dirección, coordinación,ejecución, control y orientación de las políticas y programas de Recursos Humanos, Informática yContabilidad, de tal forma que ellas incrementen su eficiencia en el desarrollo de sus actividadesorientadas al cumplimiento de los objetivos de la Empresa.Administrar los recursos financieros de la empresa con criterios de oportunidad y rentabilidad,planificando, ejecutando y controlando el uso de los recursos económicos y financieros de laempresa de corto, mediano y largo plazo.

FUNCIONES ESPECÍFICAS:Dentro del marco de la Ley y de las políticas, normas y procedimientos de la Empresa, la Gerenciade Administración y Finanzas es responsable de cumplir las funciones siguientes:

1. Establecer los mecanismos para una adecuada administración y reducción de riesgos sobrelos bienes patrimoniales de la empresa y de las personas que laboran en ella, conduciendouna eficiente administración de seguros patrimoniales y personales de la empresa,efectuando su evaluación, negociación y mantenimiento de los contratos y segurosconcertados y por concertar.

2. Establecer los lineamientos de política que permitan lograr un eficiente soporte logístico,manteniendo un adecuado nivel de inventario de equipos, materiales y repuestos quegaranticen el normal desenvolvimiento de las operaciones de la empresa.

3. Planear, normar, organizar, dirigir, controlar y evaluar todas las actividades propias de laadministración de los recursos humanos en el ámbito de la Empresa, recomendado lapolítica a seguir en la aplicación correcta de los programas de administración de personal,empleo, relaciones laborales, administración de salarios, capacitación para impulsar unacultura organizacional de calidad y bienestar de los trabajadores de la Empresa.

4. Formular el plan integral de acción financiera de corto y mediano plazo, sustentando ysometiéndolo a la aprobación de la Alta Dirección.

NOMBRE DEL AREA:RECURSOS HUMANOS

OBJETIVO:

10

Asegurar el número suficiente de personal con la calificación necesaria, en los puestos adecuadosy en el momento oportuno, buscando elevar permanentemente los niveles de desempeño,motivación y satisfacción del personal, a través del mejoramiento continuo de los procesos delárea y la prestación de servicios de calidad a nuestros usuarios internos y externos.FUNCIONES ESPECÍFICAS:Dentro del marco de la Ley y de las directrices empresariales, es responsable del adecuadocumplimiento de las funciones que se enuncian a continuación:

1. Programar y aplicar las políticas de recursos humanos orientadas a una administracióneficiente y eficaz de este recurso en la empresa.

2. Efectuar el planeamiento de los recursos humanos sobre la base de los lineamientosempresariales.

3. Proponer y desarrollar los programas de capacitación y/o entrenamiento para lostrabajadores de acuerdo a las normas y procedimientos establecidos.

4. Establecer y mantener un sistema integral de información mecanizada de personal en elámbito de empresa, que ayude en la toma de decisiones al nivel de gerencias.

5. Proponer y aplicar las normas para la selección, contratación, evaluación y movimiento depersonal.

6. Difundir el Reglamento Interno de Trabajo, las normas y disposiciones laborales, así comolos convenios y conciliaciones aprobados, con la finalidad de que el personal esté enteradode sus derechos, obligaciones y rutinas dentro de la empresa.

7. Establecer el sistema administrativo y asegurar la correcta elaboración de la informaciónnecesaria para el procesamiento de las planillas de remuneraciones del personal; asegurarel pago oportuno de estas, así como el pago de beneficios del personal, leyes sociales ytributos.

NOMBRE DEL AREA:CONTABILIDAD

OBJETIVO:Mantener actualizados los registros contables y los obligados por Ley, con el fin de preparar ypresentar oportunamente los Estados Financieros, las Declaraciones Juradas y Liquidaciones depago de impuestos. Administrar eficientemente las pólizas de Seguros Patrimoniales y losinventarios de almacenes y bienes de activo fijo.

FUNCIONES ESPECÍFICAS:1. Dirigir la preparación de los registros y sistemas de información y control que permitan

proporcionar a la Gerencia, los elementos precisos y datos oportunos sobre análisisfinancieros de presupuestos, flujo de caja, costos, seguros, impuestos y otros aspectosrequeridos para conseguir una buena administración de los recursos.

11

2. Establecer y mantener los métodos y procedimientos contables para el registro de lastransacciones y operaciones económico - financieras de la empresa.

3. Establecer y mantener los sistemas, métodos y procedimientos contables para el registrode las transacciones y operaciones económica – financiera de la empresa, teniendo encuenta los postulados y principios de contabilidad vigentes y de las obligaciones tributariasa la que está afecta la empresa a fin de estructurar los estados financieros básicosconsolidados y especiales, reporte de inversiones e información estadística resultante delproceso contable.

4. Estructurar y emitir los estados financieros, así como los reportes derivados del procesocontable.

5. Velar por el oportuno cumplimiento de las obligaciones tributarias y contribucionessociales a las que está afecta la empresa.

6. Establecer y mantener las normas contables que contribuyan a la aplicación del sistema decontrol interno necesario para el resguardo de los bienes y derechos de la empresa.

7. Supervisar la ejecución de los inventarios físicos de activos fijos y de existencias enalmacenes.

8. Elaborar informes sobre las actividades desarrolladas.9. Proponer a la Gerencia de Administración y Finanzas el presupuesto, objetivos y metas

anuales de su oficina.

NOMBRE DEL AREA:LOGISTICA Y SERVICIOS

OBJETIVO:Atención oportuna, con calidad y al menor costo posible, de los bienes y servicios necesarios parael desarrollo de las actividades que realizan las diferentes áreas de la organización.Realizar los procesos de adquisición en un estricto cumplimiento de los principios que regulan lasadquisiciones y contrataciones de bienes y servicios, vale decir transparencia, libre competencia eimparcialidad.

FUNCIONES ESPECÍFICAS:1. Dentro del marco de la Ley y de las directrices empresariales, es responsabilidad del

adecuado cumplimiento de las funciones que se enuncian a continuación:2. Organizar, dirigir, controlar y evaluar el sistema logístico de la empresa.3. Cumplir con los dispositivos legales vigentes, y directivas de la empresa en el ámbito de su

competencia.4. Coordinar con los órganos de la empresa, entidades públicas y privadas en los asuntos de

su competencia.5. Formular y administrar el Plan de Adquisición anual de materiales, repuestos y bienes de

capital de la mayor calidad y a precios competitivos para el cumplir con las necesidades denuestras operaciones de acuerdo a la política de la empresa y de conformidad a lasnormas y procedimientos vigentes.

6. Atender en forma eficiente y oportuna los requerimientos de las diferentes áreas de laempresa.

12

7. Coordinar la programación y ejecución de los inventarios de los productos de almacén.8. Supervisar los trabajos que se efectúan a través de terceros cautelando los intereses de la

empresa.9. Mantener actualizado el registro de proveedores así como el catálogo de materiales.10. Mantener en funcionamiento un adecuado sistema de control de inventarios que

garantice la conservación del stock mínimo de algunos ítems en el almacén.

NOMBRE DEL AREA: “Área Escogida”INFORMATICA

OBJETIVO:Brindar soporte tecnológico a las diversas áreas de la Empresa a través de estrategias orientadashacia el usuario final para el uso eficaz y eficiente de las herramientas de tecnología deinformación en la realización de sus actividades.Asimismo, implementar y mantener una base de datos corporativo, sistema de información para latoma de decisiones (sistema de información gerencial) y medios de comunicaciones que refuercenel logro de los objetivos de la organización.

FUNCIONES ESPECÍFICAS:Dentro del marco de la Ley y de las directrices empresariales, es responsabilidad del adecuadocumplimiento de las funciones que se enuncian a continuación:

1. Dar soporte técnico y asesoría a todas las dependencias de la empresa en la identificaciónde sus necesidades de información efectuando el desarrollo, implementación, operación,mantenimiento y seguimiento del sistema informático. Estableciendo modelosmatemáticos, desarrollando y actualizando el banco de datos en concordancia con susprioridades y disponibilidades presupuestarias.

2. Proponer a la Gerencia de Administración y Finanzas la implementación, administración ymantenimiento de todos los equipos de cómputo de uso general y específico de laempresa.

3. Elaborar, ejecutar, supervisar, controlar y mantener la seguridad de la información yprotección de los equipos de cómputo de la Empresa.

4. Definir, proponer, implementar, mantener y administrar todos los equipos de cómputo deuso general y específico de la empresa.

5. Dar asesoría a todas las áreas de la empresa en el uso de la tecnología de punta, en lo querespecta al desarrollo de informática para la toma de decisiones, planeamiento, ejecución,control y evaluación de operaciones.

6. Administrar los recursos de hardware y software de acuerdo a prioridades de la empresa.7. Elaborar informes mensuales sobre las actividades desarrolladas.

13

CAPÍTULO II:

2. Marco Teórico Conceptual de Cobit.2.1. ¿Qué es COBIT?

COBIT (Control Objectives Control Objectives for Information andTechnology) es el marco aceptado internacionalmente como una buena prácticapara el control de la información, TI y los riesgos que conllevan. COBIT seutiliza para implementar el gobierno de IT y mejorar los controles de IT.Contiene objetivos de control, directivas de aseguramiento, medidas dedesempeño y resultados, factores críticos de éxito y modelos de madurez.

Para ayudar a las organizaciones a satisfacer con éxito los desafíos de losnegocios actualmente, el IT Governance Institute® (ITGI) ha publicado la versiónde COBIT® 4.1.

COBIT es un framework de Gobierno de TI y un conjunto de herramientas desoporte para el gobierno de T.I. que les permite a los gerentes cubrir labrecha entre los requerimientos de control, los aspectos técnicos y riesgos denegocio.

COBIT hace posible el desarrollo de una política clara y las buenas prácticaspara los controles de T.I. a través de las organizaciones.

COBIT enfatiza en la conformidad a regulaciones, ayuda a las organizacionesa incrementar el valor alcanzado desde la TI, permite el alineamiento ysimplifica la implementación de la estructura COBIT.

2.2. El modelo COBIT para auditoría y control de sistemas de información

La evaluación de los requerimientos del negocio, los recursos y procesos IT, sonpuntos bastante importantes para el buen funcionamiento de una compañía ypara el aseguramiento de su supervivencia en el mercado.El COBIT es precisamente un modelo para auditar la gestión y control de lossistemas de información y tecnología, orientado a todos los sectores de unaorganización, es decir, administradores IT, usuarios y por supuesto, los auditoresinvolucrados en el proceso.Las siglas COBIT significan Objetivos de Control para Tecnología de Información yTecnologías relacionadas (Control Objectives for Information Systems and relatedTechnology). El modelo es el resultado de una investigación con expertos de variospaíses, desarrollado por ISACA (Information Systems Audit and ControlAssociation).

14

2.3. La estructura del modelo COBIT:

Propone un marco de acción donde se evalúan los criterios de información, comopor ejemplo la seguridad y calidad, se auditan los recursos que comprenden latecnología de información, como por ejemplo el recurso humano, instalaciones,sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesosinvolucrados en la organización.

El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control denegocios y la seguridad IT y que abarca controles específicos de IT desde unaperspectiva de negocios.

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo loscomputadores personales y las redes. Está basado en la filosofía de que losrecursos TI necesitan ser administrados por un conjunto de procesosnaturalmente agrupados para proveer la información pertinente y confiable querequiere una organización para lograr sus objetivos.

El conjunto de lineamientos y estándares internacionales conocidos como COBIT,define un marco de referencia que clasifica los procesos de las unidades detecnología de información de las organizaciones en cuatro “dominios” principales,a saber:

- Planificación y organización- Adquisición e implantación- Soporte y Servicios- Monitoreo

Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto losaspectos de información, como de la tecnología que la respalda. Estos dominios yobjetivos de control facilitan que la generación y procesamiento de la informacióncumplan con las características de efectividad, eficiencia, confidencialidad,integridad, disponibilidad, cumplimiento y confiabilidad.

Asimismo, se deben tomar en cuenta los recursos que proporciona la tecnologíade información, tales como: datos, aplicaciones, plataformas tecnológicas,instalaciones y recurso humano.

“Cualquier tipo de empresa puede adoptar una metodología COBIT, comparte deun proceso de reingeniería en aras de reducir los índices de incertidumbre sobrevulnerabilidades y riesgos de los recursos IT y consecuentemente, sobre la

15

posibilidad de evaluar el logro de los objetivos del negocio apalancado enprocesos tecnológicos”, finalizó el informe de ETEK.

2.4. Modelamiento de los 4 Dominios del COBIT, modelamiento de cada Dominiocon sus procesos y diagramas de actividades de cada proceso.

2.4.1. MODELOS DE PROCESOS:

E valuar c om o es ta defin ida

D 1 = 11 P roceso s D 2

D2

NewUs eCas e

NewUs eCas e2

A 1......A 6

2.4.2. NORMAS COBIT (Dominios)

16

Auditores de TI

Procesar planificación y organización delas TI (11p) (Dominio 1)

Procesar la adquision e implementacionde la TI (6p) (Dominio 2)

<<include>>

Procesar prestaciones y sorporte de TI(13p) (Dominio 3)

<<include>>

Procesar monitoreo y controlde TI (4p)(Dominio 4)

<<include>>

Departamento de RRHH (personal,todos los que trabajan)

SOn 4dominios

2.4.2.1. PROCESAR PLANIFICACIÓN Y ORGANIZACIÓN DE LAS TI

17

D1P1. Definicion de un planestrategico

D1P2. Definicion de laArquitectura de la informacion

<<include>>

D1PO3: Determinar laDireccion Tecnologica

<<include>>

D1PO4: Definicion delaOrganizacion de TI

<<include>>

D1PO5: Manejo de laInversion

<<include>>

D1PO6: Comunicacion de laDireccion y aspiraciones...

<<include>>

D1PO7: Administracion deRecursos Humanos

<<include>>

D1PO8:Asegurar elCumplimientos con ...

<<include>>

D1PO9: Evaluacion deRiesgo <<include>>

D1PO10: Administracion deProyectos

<<include>>

D1PO11: Administracion deCalidad

<<include>>

DTI

18

a) 1. DEFINICIÓN DE UN PLAN ESTRATÉGICO:

Procesar el Inventario de Soluciones y Estructura del TI

Evaluar la Automatizaciondel Negocio

Evaluar lafuncionalidad

Evaluar laEstabilidad

Evaluar LComplejidad

EvaluarCostos

EvaluarFoda

Evaluar la Automatizaciondel Negocio

Evaluar lafuncionalidad

Evaluar laEstabilidad

Evaluar LComplejidad

EvaluarCostos

EvaluarFoda

Adaptar los planes de TI a largo plazo alos cambios organizacionles

Estudio Oportuno defactibilidad de TI

Definir objetivos y necesidades de TI en funcion de los objetivos del negocio

1. Definir planes del TI Corto plazo (1 año)

Elaborar diagnosticode PETI

Elaborafr Direccionamientode PETI a CP

Definir planes de TI a largo plazo (mas de un añor hasta 5)

Elaborar diagnosticode PETI a LP

Elaborardireccionamiento

1. Definir planes del TI Corto plazo (1 año)





Definir planes de TI a largo plazo (mas de un añor hasta 5)





DTI

19

b) 2 DEFINICIÓN DE LA ARQITECTURA DE INFORMACIÓN

Documentacion consistente con lasnecesidades de la informacion

Procesar la ubicacion de datos en clases de informacion

Procesar diccionario de datos con actualizacion permanente enfuncion de las necesidades de la informacion

c) 3 Determinar la Dirección Tecnológica

Capacidad de adaptabilidad de la infraestructura de TI en funcion de los requerimiento del negocio

Arquitecturadel Sistema

Direcciontecnologica

Estrategiasde migracion

Arquitecturadel Sistema

Direcciontecnologica

Estrategiasde migracion

Monitoreo de DesarrollosTecnológicos

Contingencias para evaluar laingraestructura de TI

Planes deadquisición

20

d) 4 Definición de la Organización de TI

Vigilar las actividades y servicios de información

Designar alos propietarios custodiosde los datos, definir sus funciones

Supervisar las funciones yresponsabilidades

Segregaciónde funciones

Evaluacion de requerimientosregularmente

e) 5 Manejo de la Inversión

Realizar rutinas(r,p,r) de los costosasociados con las actividades

Alternativas de Financiamiento y control de desembolsos de RFinancieros

Investigar diferentesalternativas

Tomar como base elcontrol de base real

Realizar rutinas(r,p,r) de los costosasociados con las actividades

Justificar costos ybeneficios

Investigar diferentesalternativas

Tomar como base elcontrol de base real

Justificar costos ybeneficios

21

f) 6 Comunicación de la Dirección y aspiraciones de la Gerencia

Establecer y hacer cumplirestandares de control interno

Asegurar y monitorear la duracción de laimplementación de sus politicas

Definir, documentar y manteneruna filosofía de calidad

Especificar el proposito y losobjetivos dentro de la organización

Alta Gerencia

22

g) 7 Administración de Recursos Humanos

Maximizar las contribuciones del Personal a los procesos de TI

Definir técnicas solidas para laadministración del personal

Satisfacer requerimientos delnegocio

Definir técnicas solidas para laadministración del personal

Satisfacer requerimientos delnegocio

Procesar Reclutamiento y promoción

Aplicar criteriosobjetivos

Considerar factores determinates, educación,experiencia y responsabilidad

Aplicar criteriosobjetivos

Considerar factores determinates, educación,experiencia y responsabilidad

Evaluar requerimientos decalificaciones

Evaluar niveles de incrementode habilidad técnica

Constatar la frecuenciade evaluaciones

h) 8 Asegurar el Cumplimientos con los Requerimientos expertos

Definición y mantenimiento de procedimientos para requerimientos externos

Revisiciones regularesante cambios eventuales

Busqueda deasistencia legal

Seguridad y ergonomía enel ambiente de trabajo

Privacidad en flujode datos externos

Revisiciones regularesante cambios eventuales

Busqueda deasistencia legal

Seguridad y ergonomía enel ambiente de trabajo

Privacidad en flujode datos externos

23

i) 9 Evaluación de Riesgo

Identificar, definir y actualizar diferentes tipos de riesgos

Asegurar controles y medidasde seguridad económicas

Aceptación, identificación yla medición de riesgos

Definir alcances, límitesde riesgos y metodología

Actualizar la evaluaciónde riesgos

Medición de riesgoscualitativos y/o cuantitativos

Definir plan de acccióncontra riesgos













j) 10 ADMINISTRACIÓN DE PROYECTOS

Definir un marco de referencia general para administración de proyectos

Definir alcances, limitesy metodología

Evaluar los campos de lametodología

Evaluar implementar omodificar proyectos

Definir alcances, limitesy metodología

Evaluar los campos de lametodología

Evaluar implementar omodificar proyectos

Asignar responsabilidades yautoridades en el personal

Evaluar fases delproyecto

Implementar planes y metodologías deaseguramiento de calidad

Emplear planes de pruebas,entrenamiento y revisión

24

k) 11 Administración de Calidad

Metodologías del ciclo de vida

Documentación depruebas de sistemas

Revisiones y reportes deaseguramiento de calidad

Definir estandares y sistemas de administración de calidad

Metodologías del ciclo de vida



Definición y mantenimiento de plan de calidad

Promover la filosofíade mejora continua

Realizar el aseguramiento de calidad ellos diferentes tipos de actividades



Definición y mantenimiento de plan de calidad





2.4.2.2. PROCESAR LA ADQUISION E IMPLEMENTACION DE LA TI

D2AI1 Identificacion desoluciones Automatizadas

D2AI2 Adquisicion y Mantenimientodel Software Aplicativo

D2AI3 Adquisicion y Mantenimientode la Infraestructura Tecnologica

D2AI4 Desarrollo yMantenimiento de Procesos

D2AI5 Instalacion yAceptacion de los Sistemas

DTI

D2AI6 Administracion de losCambios

<<include>>

<<include>> <<include>>

<<include>>

<<include>>

25

a) D2AI1 Identificación De Soluciones AutomatizadasActividades de AI1: Elaboración de soluciones automatizadas

Determinar Requerimientos de Informacionpara aprobacion de un proyecto

Analizar grado de satisfaccion delos requerimientos del negocio

Arquitectura de Informacion

Modelado de datosal definir soluciones

Analizar lafactibilidad

Modelado de datosal definir soluciones

Analizar lafactibilidad

Controlar la seguridad enrelacion a costos-beneficios

Determinar mecanismos deprotecion de datos sensitivos

Contratar personal

Adquirir productosde buena calidad

Adquirir productos enexcelente estado

Adquirir productosde buena calidad

Adquirir productos enexcelente estado

Instalaciones y tecnologias

Elaborar contratocon proveedor

Acordar un plande Aceptacion

Elaborar contratocon proveedor

Acordar un plande Aceptacion

26

b) D2AI2 Adquisición y Mantenimiento del Software Aplicativo

Actividades de AI2: Adquisición y mantenimiento del software aplicativo

Requerimiento de Archivo

Verificarentrada

Procesar datosde entrada

Emitir salida

Adquirir requerimientos del usuario

Realizar correctoanalisis del usuario

Obtener softwareclaro y eficaz

Realizar correctoanalisis del usuario

Obtener softwareclaro y eficaz

Verificarentrada

Procesar datosde entrada

Emitir salida

Interfase usuario-maquina

Asegurar facil uso del software

Generar Autodocumento

Asegurar facil uso del software

Generar Autodocumento

PersonalizarPaquetes

Realizar pruebas funcionales de acuerdocon el plan de prueba del proyecto

Controlar aplicacion yrequerimientos funcionales

Documentar materiales de deconsulta y soporte para el usuario

27

c) D2AI3 Adquisición y Mantenimiento de la Infraestructura Tecnológica

Actividades de AI3: Adquisición y mantenimiento de la infraestructura tecnológica

Identificar y Evaluar tecnologia para elimpacto del nuevo hardware o software

Elaborar Mantenimientopreventivo del hardware

Elaborar medidadas de seguridadante los datos almacenados

d) D2AI4 Desarrollo y Mantenimiento de ProcesosActividades de AI4: Desarrollo y Mantenimiento de Procedimientos

Elaborar manuales de Procedimientosde usuarios y controles

Elaborar Materiales deentrenamiento

28

e) D2AI5 Instalación y Aceptación de los Sistemas

Actividades de AI5: Instalación y Aceptación de los Sistemas

Capacitar al personal de acuerdo alplan de entrenamiento

Realizar actulizacion del sistema anterior al sistema nuevo

Conversion Cargar datosConversion Cargar datos

Realizar pruebas especificas al sistema

Cambios Desempeño AceptacionFinal

OperacionalProducir Productosatisfactorio

Cambios Desempeño AceptacionFinal

OperacionalProducir Productosatisfactorio

Acreditar pruebas y niveles deseguridad para los sistemas

Realizar Revicionespost-implementacion

29

f) D2AI6 Administración de los Cambios

Actividades de AI6: Administración de los cambios

Identificar cambios

Solicitudes de cambios

Procesarcategorizacion

Procesar priorizacion yemergencia

Procesarcategorizacion

Procesar priorizacion yemergencia

Evaluar impacto queprovocaran los cambios

Autorizar cambios

Manejar liberacion de software

Regir procedimientosformales

Aseguraraprobacion

Empaque

Pruebas deregresion

Entrega

Regir procedimientosformales

Aseguraraprobacion

Empaque

Pruebas deregresion

Entrega

Manejar Distribucion de Software

Establecer medidasde control

Establecer lugarcorrecto

EstablecerTiempo

Establecer medidasde control

Establecer lugarcorrecto

EstablecerTiempo

30

2.4.2.3. PROCESAR PRESENTACIONES Y SOPORTE DE TI

D3PS12: Administración delas instalaciones

D3PS13: Administración dela operación

D3PS1: Definición deniveles de servicio

D3PS2:Administración deservicios prestados por terceros

D3PS3: Administración dedesempeño y capacidad

D3PS4: Asegurar el ServicioContinuo

D3PS5: Garantizar laseguridad de sistemas

D3PS6: Educación yentrenamiento de usuarios

D3PS7: Apoyo y asistenciaa los clientes de TI

D3PS8: Apoyo y asistenciaa los clientes de TI

D3PS9: Administración de laconfiguración

D3PS10: Administración deProblemas

D3PS11: Administración deDatos

DTI

<<include>>

<<include>>

<<include>>

<<include>><<include>>

<<include>>

<<include>>

<<include>>

<<include>>

<<include>>

<<include>>

<<include>>

32

A. D3PS1: Definición de niveles de servicio:(Establecer convenios de niveles de servicio que formalicen el desempeño)

34

B. D3PS2: Administración de servicios prestados por terceros:

Realizar contratos entre la organizacion y elproveedor de la administracion de las instalaciones

Realizar acuerdosde confidencialidad

Establecer requerimientoslegales regulatorios

Monitorear la entregade los servicios

Definir y controlar las tareas y responsabilidades de las terceras partes para satisfacer los requerimientos del negocio

Realizar contratos entre la organizacion y elproveedor de la administracion de las instalaciones

Realizar acuerdosde confidencialidad

Establecer requerimientoslegales regulatorios

Monitorear la entregade los servicios

35

C. D3PS3: Administración de desempeño y capacidad:

Controlar el manejo de capacidad para alcanzar el desempeño deseado

Verificar los requerimientosde disponibilidad

Realizar Monitoreo y reportede los recursos de TI

Utilizar herramientas demodelado apropiadas

Administrar la capacidad

Establecer procesode planeación

Realizar revision de desempeño ycapacidad de hardware

Asegurar capacidad justificableeconómicamente

Prevenir perdida dedisponiblidad

Verificar los requerimientosde disponibilidad

Realizar Monitoreo y reportede los recursos de TI

Utilizar herramientas demodelado apropiadas

Administrar la capacidad







Prevenir perdida dedisponiblidad

36

D. D3PS4: Asegurar el servicio continuo:

Establecer un plan de continuidad que esté alineado al plan y requerimientos del negocio

Realizar planificación deseveridad

Documentar todo elplaneamiento

Establecer procedimientosalternativos

Realizar respaldos yrecuperación

Realizar pruebas yentrenamiento

37

E. D3PS5: Garantizar la seguridad de sistemas:

Salvaguardar la información contra uso no autorizados

Restringir el uso de losrecursos de TI

Generar perfiles deidentificación de usuario

Administrar llavescriptográficas

Manejar, crear reporte yseguimiento de incidentes

Establecer medidas de controly prevencion de virus

Redespublicas?

Utilizarfirewalls

38

F. D3PS6: Educación y entrenamiento de usuarios:

Asegurar que los usuarios hagan uso efectivo de las TI

Identificar las necesidades deentrenamiento

Documentar las necesidadesde entrenamiento

Planeamiento de las sesiones de entrenamiento

Definir gruposobjetivo

Identificarentrenadores

Asignarentrenadores

Organizar oportunamente lassesiones

39

G. D3PS7: Identificación y asignación de costos:

Implementar Sistema de contabilidad

RegistrarCostos

Calcularcostos

Asignar niveles dedetalle requeridos

Identificar los costos atribuibles a los servicios de TI

Clasificar los elementossujetos a cargo

Establecerpoliticas de catgo

Definirtarifas

Implementar procedimientos decosteo de prestar servicios

40

H. D3PS8: Apoyo y asistencia a los clientes de TI:

Br in d a r so p o r te y a s es o r ía a los c lien te s d e T I

M o n ito r iea r la s co n su lta sd e c lien te s

R e as ig n a r a l n ive l a d e cu a dop a ra a te n d e r la

Pu e d en se rre su e lta s?

G e n e ra r re p o rte y a ná lis is d ela s te n d en c ia s

41

I. D3PS9: Administración de la configuración:

Administrar todos los activos de las TI

Registraractivos de TI

Administrar Cambios enla configuración

Buscar softwareno autorizado

Establecer un área dealmacenamiento de software

42

J. D3PS10: Administración de Problemas:

Implementar un sistema de manejo de errores

Registrar problemapresentado

Realizar seguimientode las causas

Generar reportede solución

43

K. D3PS11: Administración de Datos:

Asegurar que los datos cumplan el ciclo completo de entrada hasta la salida yalmacenamiento

Diseñar formatosde entrada

Controlar losdocumentos fuentes

Validar datos deentrada

Generar un registro fisico delas transacciones

44

L. D3PS12: Administración de las instalaciones:

45

M. D3PS13: Administración de la operación:

Asegurara las funciones importantes de las TI

Calendarizar lasactividades de soporte

Documentar lasoperaciones

Revisarperodicamente las TI

46

2.4.2.4. PROCESAR MONITOREO Y CONTROL DE TI

47

A. Monitoreo del proceso:

48

B. Evaluar lo adecuado del Control Interno:

49

C. Obtención de Aseguramiento Independiente:

Incrementar la confianza entre la organización y el cliente

Obtener certificación oacreditación

Realizar evaluacionesrutinarias

50

D. Proveer Auditoría independiente:

Proyecto De Ska (Auditoria)

Travel

Transcript of Proyecto De Ska (Auditoria)