Documentos de Académico
Documentos de Profesional
Documentos de Cultura
FACULTAD DE INGENIERIA
AUTOR:
ASESOR:
2019
UNIVERSIDAD NACIONAL DEL SANTA
FACULTAD DE INGENIERIA
2019
UNIVERSIDAD NACIONAL DEL SANTA
FACULTAD DE INGENIERIA
TÍTULO
_________________________
_________________________ Presidente
Secretario
_________________________
_________________________ Miembro
Accesitario
2019
DEDICATORIA
A mis padres Tey y Mirtha, por el esfuerzo que han hecho a lo largo de mi vida, para
verme realizada como una profesional, siendo el mejor ejemplo y guía.
A Betania y Belén, mis hermanas y cómplices. A Betania por ser como una madre y
cuidarme en todo momento. A mi hermana menor Belén que irradia alegría y provoca las
más grandes sonrisas.
i
AGRADECIMIENTO
A Dios por ser fuente de sabiduría, por enseñarme en cada tropiezo y llenarme de gozo
en cada logro.
A todos los ingenieros con los que compartí oficina, Alexis, Alin y José Luis. Por sus
aportes y disponibilidad para el desarrollo de este proyecto.
Al Ing. Pool Alayo Guimaray, por estar presto a brindarme información y acceso a la
Gerencia de Informática en la última etapa del proyecto.
Al Dr. Guillermo Gil Albarrán, por asesorarme en el desarrollo de este informe, por su
paciencia, tiempo invertido y por ser un gran profesional.
A Yomira Miñano, gran amiga, por sus aportes y por ser aquella persona incondicional
desde que ingresé a ésta casa de estudios.
Por último, a cada uno de mis compañeros y docentes de la Universidad Nacional del
Santa, por la formación y apoyo en mi proceso de aprendizaje.
ii
PRESENTACIÓN
Por lo expuesto, a ustedes señores miembros del jurado evaluador, presento mi informe,
para su revisión, esperando cumpla con los requisitos mínimos para su aprobación.
Atentamente,
ii
i
RESUMEN
El presente informe de Prácticas Pre Profesionales tuvo como finalidad el desarrollo de
una auditoría de sistemas de información en la Gerencia de Informática de la
Municipalidad Provincial del Santa, aplicando el modelo internacional Cobit en su
versión 5.
iv
INTRODUCCIÓN
La Municipalidad Provincial del Santa tiene como activo importante la información y por
lo tanto tiene a su cargo la custodia de la misma, por lo tanto el objetivo de los estándares
orientados a la seguridad de información en una organización es el establecimiento de
metodologías, prácticas y procedimientos que buscan proteger la información como
activo valioso.
Con el fin de mejorar diversos procesos de T.I se propone una auditoría aplicando el
Modelo Internacional Cobit, donde a través de una serie de llineamientos, pone en
evidencia el estado de la organización sobre tecnologías de la información. Para la
evaluación de los procesos se necesita información de los mismos, roles para operar
estructuras organizativas, apoyo de la institución, evaluación de infraestructura,
aplicaciones, base de datos, entre otros.
v
ÍNDICE
DEDICATORIA .............................................................................................................. i
AGRADECIMIENTO ................................................................................................... ii
RESUMEN ..................................................................................................................... iv
INTRODUCCIÓN .......................................................................................................... v
ÍNDICE .......................................................................................................................... vi
CAPÍTULO I .................................................................................................................. 1
LA EMPRESA ................................................................................................................ 1
CAPÍTULO II ................................................................................................................. 7
vi
2.2. ANÁLISIS DEL PROBLEMA .......................................................................... 9
2.10. LIMITACIONES............................................................................................. 15
vi
i
MARCO TEÓRICO .................................................................................................... 17
CAPÍTULO IV ............................................................................................................. 41
CAPÍTULO V ............................................................................................................... 98
RESULTADOS ............................................................................................................. 98
vi
i
i
6.2. RECOMENDACIONES ................................................................................ 109
ÍNDICE DE TABLAS
ix
Tabla 27. Calificación de Atributos de capacidad APO01 ............................................. 72
Tabla 28. Tabla 26. Escala de Nivel de Capacidad APO01 ........................................... 73
Tabla 29. Calificación de Atributos de capacidad APO04 ............................................. 73
Tabla 30. Escala de Nivel de Capacidad APO04 ........................................................... 74
Tabla 31. Calificación de Atributos de capacidad APO07 ............................................. 75
Tabla 32. Escala de Nivel de Capacidad APO07 ........................................................... 75
Tabla 33. Calificación de Atributos de capacidad APO13 ............................................. 76
Tabla 34. Escala de Nivel de Capacidad APO13 ........................................................... 76
Tabla 35. Calificación de Atributos de capacidad BAI01 .............................................. 77
Tabla 36. Escala de Nivel de Capacidad BAI01 ............................................................ 78
Tabla 37. Calificación de Atributos de capacidad BAI03 .............................................. 79
Tabla 38. Escala de Nivel de Capacidad BAI03 ............................................................ 80
Tabla 39. Calificación de Atributos de capacidad BAI06 .............................................. 80
Tabla 40. Escala de Nivel de Capacidad BAI06 ............................................................ 80
Tabla 41. Calificación de Atributos de capacidad BAI09 .............................................. 81
Tabla 42. Escala de Nivel de Capacidad BAI09 ............................................................ 81
Tabla 43. Calificación de Atributos de capacidad BAI10 .............................................. 82
Tabla 44. Escala de Nivel de Capacidad BAI10 ............................................................ 82
Tabla 45. Calificación de Atributos de capacidad DSS01.............................................. 83
Tabla 46. Escala de Nivel de Capacidad DSS01 ............................................................ 83
Tabla 47. Calificación de Atributos de capacidad DSS02.............................................. 84
Tabla 48. Escala de Nivel de Capacidad DSS02 ............................................................ 84
Tabla 49. Calificación de Atributos de capacidad DSS03.............................................. 85
Tabla 50. Escala de Nivel de Capacidad DSS03 ............................................................ 85
Tabla 51. Calificación de Atributos de capacidad DSS04.............................................. 86
Tabla 52. Escala de Nivel de Capacidad DSS04 ............................................................ 86
Tabla 53. Calificación de Atributos de capacidad MEA01 ............................................ 87
Tabla 54. Escala de Nivel de Capacidad MEA01 .......................................................... 87
Tabla 55. Definición de Escalas ..................................................................................... 89
Tabla 56. Resultados de la evaluación de procesos ........................................................ 89
Tabla 57. Recomendaciones de Auditoría ...................................................................... 97
x
ÍNDICE DE FIGURAS
xi
Figura 32. Radar de atributos de capacidad BAI01 – Parte I ......................................... 77
Figura 33. Radar de atributos de capacidad BAI01 – Parte II ........................................ 78
Figura 34. Radar de atributos de capacidad BAI03 ........................................................ 79
Figura 35. Radar de atributos de capacidad BAI06 ........................................................ 80
Figura 36. Radar de atributos de capacidad BAI09 ........................................................ 81
Figura 37. Radar de atributos de capacidad BAI10 ........................................................ 82
Figura 38. Radar de atributos de capacidad DSS01 ....................................................... 83
Figura 39. Radar de atributos de capacidad DSS02 ....................................................... 84
Figura 40. Radar de atributos de capacidad DSS03 ....................................................... 85
Figura 41. Radar de atributos de capacidad DSS04 ....................................................... 86
Figura 42. Radar de atributos de capacidad MEA01 ...................................................... 87
Figura 43. Resultados de la evaluación de Procesos ...................................................... 90
ANEXOS
xi
i
xi
i
i
CAPÍTULO I
LA EMPRESA
1
costanera de la región Ancash y por lo tanto era difícil su administración política y
judicial, además de resaltar el Puerto de Chimbote y zonas aledañas; además se
consideró que la demarcación política de ese entonces no correspondía en muchos
casos a la realidad geográfica, económica y política dificultando el progreso de las
regiones que están llamadas a constituir la grandeza de la patria. Por lo cual se vio
conveniente la división de la Provincia de Santa con el fin de impulsar el progreso
regional.
1.2.1.3. RUC
20163065330
2
1.2.2. Actividad de la Empresa
1.2.4. Logotipo
3
1.4.2. Misión
La Municipalidad Provincial del Santa, representa al vecindario, promueve la
adecuada prestación de los servicios públicos locales y el desarrollo integral,
sostenible y armónico articulado con las aspiraciones de los nueve distritos
que constituyen su circunscripción.
1.5. VALORES
• Lealtad: Los empleados no deben estar sujetos a influencias, intereses ni
relaciones que entren en conflicto con los mejores intereses de la
Municipalidad, ni deben aparentarlo.
• Respeto por la normatividad: Se espera que la totalidad de los empleados
cumpla estrictamente las leyes generales y específicas rectoras de los
Gobiernos Locales.
• Cumplimiento de los principios y deberes éticos del servidor público:
Nuestros empleados deben cumplir las más exigentes normas éticas en el
ejercicio de sus deberes, establecido en la Ley N° 27815, Ley del código de
ética de la función pública.
• Comunicación: Animamos a los empleados a que consulten con Gerentes,
sub gerente y otros empleados, sobre sus actividades a fin de mejorar su
desempeño. Pero también, debe denunciar los actos que trasgredan las normas
y regulaciones.
• Honestidad: Comportamiento ético yy moral ante nosotros y hacia la
comunidad.
• Respeto: Aceptar a las demás personas y valorar sus ideas, reconociendo sus
derechos y deberes.
• Compromiso: Entregar lo mejor de sí mismo con responsabilidad en todas
las actividades, con el objetivo de lograr los mejores resultados.
1.6. OBJETIVOS ESTRATÉGICOS
a) Población desarrollada económica y sosteniblemente.
b) Población con mejor calidad de vida y acceso equitativo a oportunidades
c) Mejora en la calidad de vida de la población que se desarrolla en un ambiente
saludable.
4
d) Mayor grado de satisfacción y calidad de vida por una eficiente gestión pública –
privada y una gobernabilidad basada en una efectiva participación social.
5
1.7. ORGANIZACIÓN ACTUAL DE LA EMPRESA
Figura 2. Organigrama
Fuente: Web institucional MPS
6
CAPÍTULO II
PLANTEAMIENTO DEL PROBLEMA
7
2.1. REALIDAD PROBLEMÁTICA
La Municipalidad Provincial del Santa realiza la gestión de toda la provincia y con
el pasar de los años la población ha ido en aumento, así como la información sobre
las diversas áreas de su competencia entre las cuáles podemos mencionar: registro
civil con las nuevas partidas de nacimiento, en transporte existen nuevos permisos
de circulación de vehículos, en participación vecinal existen nuevos proyectos, en
inmobiliaria a diario se realizan gestiones para la entrega de nuevos terrenos, títulos
de propiedad para las nuevas familias y los tributos relacionados a los predios,
vehículos, parques y jardines, entre otros. En tal sentido es indispensable y necesaria
una continua evaluación para detectar los puntos críticos donde se debe mejorar y los
aspectos positivos que se están logrando para reforzarlos y alcanzar los objetivos
estratégicos de la organización.
9
2.3. ANTECEDENTES DEL PROBLEMA
2.3.1. Antecedentes Internacionales
Título: “Adaptación del Modelo de Gobierno y Gestión para la empresa
Año: 2015
Lugar: Quito/Ecuador
Resumen de la investigación:
Año: 2015
Lugar: Sangolqui/Ecuador
Resumen de la investigación:
10
Este trabajo se enfoca en: 1) la definición de mecanismos e instrumentos a
utilizar para la auditoría puesto que COBIT 5 sólo es una mejor práctica y no
una metodología y 2) la auditoria, para el primer enfoque se considera que
COBIT ofrece flexibilidad ya que se apega a las necesidades particulares de
cada organización.
Año: 2014
Lugar: Lima/Perú
Resumen de la investigación:
Año: 2008
Lugar: Huaraz/Ancash/Perú
Resumen de la investigación:
11
En este Proyecto se planteó diseñar un Gobierno de Tecnología de
Información con enfoque a seguridad de información, en el se consideró,
realizar copias de seguridad y llevar un registro de accesos diarios de
usuarios. También ubicar el Servidor Dedicado en el lugar apropiado donde
el acceso es restringido y alejado de personas extrañas a la Unidad. Así como
realizar el manejo de fallas para prevenir, diagnosticar y reparar posibles
fallas en los diferentes componentes de la red.
Año: 2006
Lugar: Santa/Santa/Ancash/Perú
Resumen de la investigación:
2.5. HIPÓTESIS
¿La aplicación del Modelo COBIT en auditoría, logra determinar el nivel alcanzado
en la gestión de sistemas de información, infraestructura tecnológica y procesos de
la Gerencia de Informática de la Municipalidad Provincial del Santa?
2.6. OPERACIONALIZACIÓN DE LAS VARIABLES
Variables Indicadores
Modelo Cobit V.I: Variable Satisfacción de las necesidades de las partes
Independiente Procesos Habilitadores
12
Procesos de Gobierno y de Gestión
Principios Cobit
Aplica un solo marco integrado.
Habilitar un enfoque holístico.
Auditoría de sistemas de Información actualizada.
información de la MPS Reportes por rubros.
V.D: Variable Dependiente Acceso a usuarios autorizados.
Nivel de Seguridad de Información.
Estado actual del hardware.
Escalabilidad de los sistemas de información.
Políticas de gestión y control.
Transparencia de la información.
Tabla 1. Operacionalización de las variables
Fuente: Elaboración Propia
2.7. OBJETIVOS
2.7.1. Objetivo General
Determinar el nivel alcanzado de los sistemas de información, infraestructura
tecnológica y gestión de procesos en la Gerencia de Informática de la
Municipalidad Provincial del Santa, mediante una auditoría basada en el
Modelo Cobit.
13
2.8. JUSTIFICACIÓN
2.8.1. Económica
La ejecución del proyecto permitirá identificar los problemas informáticos y
de sistemas que existan, de esta manera se reducirán costos, los cuales podrían
ser muy elevados si no se detecta a tiempo.
2.8.2. Técnica
Realizar una correcta gestión de TI, control de sistemas de información y
recursos de la gerencia con la finalidad de optimizar los procesos de la
Municipalidad Provincial del Santa.
2.8.3. Operativa
La Auditoría Informática permitirá aumentar la eficiencia y eficacia en el
desarrollo de las operaciones, haciendo los procedimientos más seguros y
brindando mayor agilidad de las actividades de la organización.
2.8.4. Social
Detectar fallos en los sistemas, redes, equipo informático y todos los recursos
que utiliza el personal administrativo evitando demoras o interrupciones en
los procesos y optimizando el servicio que se brinda a cientos de ciudadanos
que asisten a diario a la municipalidad a realizar diversos trámites
2.8.5. Personal
Reducir el malestar o estrés del personal administrativo previniendo futuros
fallos en los sistemas de información, red o equipos informáticos lo cual no
le permite realizar sus funciones asignadas y a la vez actuando de forma
inmediata frente a los problemas que existen actualmente.
2.8.6. Tecnológica
Aprovechar estándares internacionales y marcos de trabajo probados, para
una adecuada gestión de los recursos de Tecnologías de la Información en la
organización.
14
2.9. IMPORTANCIA DE LA INVESTIGACIÓN
Con la aplicación de la auditoría basada en el modelo Cobit se llevará a cabo la
evaluación de normas, técnicas, políticas y procedimientos para el óptimo
desempeño de los sistemas de información, siendo de gran importancia para detectar
vulnerabilidades y posteriormente obtener los controles necesarios para que los
sistemas de información sean confiables y posean el adecuado nivel de seguridad, así
como actuar oportunamente sobre los diversos problemas de gestión de TI.
2.10. LIMITACIONES
Cambio del personal administrativo, personal de soporte técnico, administrador
de redes y gerente de la GITIC. Cuatro alcaldes nuevos en el periodo 2018 y
preocupación de los trabajadores por la transferencia 2019, lo cual retrasa la
elaboración del proyecto.
15
de analizar la eficiencia de los Sistemas Informáticos, cumplimiento de
normativas en este ámbito y la revisión de los recursos informáticos.
2.11.2. Población
En este proyecto tenemos una población finita que está constituida por todo el
personal de la Municipalidad Provincial del Santa.
2.11.3. Muestra
Trabajadores de la Gerencia de Informática y Tecnologías de la
Información y Comunicación de la Municipalidad Provincial del Santa en
los meses de Febrero a Abril del año 2018.
16
CAPÍTULO III
MARCO TEÓRICO
3.1. CONCEPTOS GENERALES
3.1.1. AUDITORÍA
Según el diccionario de la Real Academia Española (RAE, 2001), auditoría
se define como la “revisión sistemática de una actividad o de una situación
para evaluar el cumplimiento de las reglas o criterios objetivos a que aquellas
deben someterse”.
17
La auditoría implica la revisión del cumplimiento de diversas políticas o
normas que se han establecido dentro de una organización a fin de servir
como soporte para la toma de decisiones.
3.1.2. APLICACIÓN
Según la Real Academia Española (RAE, 2001), aplicación se define como
“acción y efecto de aplicar o aplicarse”. Es decir, se llevará a cabo
determinada acción, que para nuestro proyecto consiste en utilizar el modelo
Cobit para auditoría y control de sistemas.
3.1.3. MODELO COBIT
El marco de trabajo de COBIT 5 para el gobierno y la gestión de la TI de la
empresa es una hoja de ruta de crecimiento y optimización empresarial de
vanguardia que aprovecha las prácticas comprobadas, el liderazgo global y
las herramientas innovadoras para inspirar la innovación de TI y fomentar el
éxito empresarial. El marco líder para el gobierno y la gestión de TI de la
empresa. (Isaca, 2019).
3.1.4. CONTROL
Según la Real Academia Española (RAE, 2001) [4], control también se puede
definir como “regulación, manual o automática sobre un sistema” o también
“comprobación, inspección, fiscalización, intervención”.
3.1.5. GERENCIA INFORMÁTICA
¿Qué es la Gerencia de informática?
La Gerencia de Informática es el órgano de apoyo dependiente de la Gerencia
General, encargado de administrar actividades referidas al proceso de
planificación, organización, dirección, coordinación, comunicación y control
acerca del uso adecuado de los recursos informáticos, físicos, lógicos y la
utilización de las tecnologías de la información y comunicación en la
institución, desarrollando e implementando los sistemas integrados , así como
la administración y mantenimiento de los sistemas de cómputo,
procesamiento electrónico de datos, sistema de redes, soporte informático y
aplicaciones para cubrir las necesidades de información contable, logística,
laboral, estadística y de gestión en general de la comuna provincial. (ROF-
MPS-2014)
18
¿Qué funciones posee la Gerencia de informática de la Municipalidad Provincial
del Santa?
a) Acondicionamiento de la Unidad de Informática, la Sala de Soporte
Técnico, el Centro de Datos y la Sala de Analistas Programadores para
una eficiente labor.
b) Renovar y/o mejorar el Portal Web Institucional permitiendo un flexible
crecimiento con el uso de nuevas aplicaciones informáticas, como
ELearning y Streaming.
c) Continuar desarrollando las actividades de coordinación y servicio de
asistencia técnica de manera rápida y eficiente.
d) Reforzar y/o ampliar la capacidad profesional de la Unidad de
Informática mediante un adecuado perfil de profesionales.
e) Capacitación al personal de la Unidad de Informática en las nuevas
tecnologías adquiridas.
f) Establecer la estandarización en la adquisición de equipos y uso de
software licenciados.
g) Fortalecer la infraestructura tecnológica con tecnologías emergente a fin
de innovar servicios y garantizar la seguridad de la información.
h) Elaborar informe para el mejoramiento de los procesos de negocio de las
funciones más importantes de la Municipalidad Provincial del Santa.
i) Implementar sistemas funcionales, innovadores e informativos para
mejorar los procesos de negocio de la Municipalidad Provincial del
Santa.
j) Mejoramiento en las telecomunicaciones con las sedes de la
Municipalidad Provincial del Santa. (ROF-MPS-2014 )
3.1.6. SISTEMAS DE INFORMACIÓN
Conjunto coordinado de contenidos y servicios, basados en tecnologías digitales y
en red, que una organización pone a disposición de sus stakeholders (personas con
intereses en la misma) internos y externos, para facilitarles la producción y el
consumo de conjuntos estructurados y selectos de datos, orientados a convertirse
en información de valor para la actividad de la organización. Cobarsi, J.,(2011)
Sistemas de información en la empresa, Editorial UOC.
19
Conjunto de recursos técnicos, humanos y económicos interrelacionados
dinámicamente y organizados en torno al objetivo de satisfacer las
necesidades de información de una organización para la gestión y la correcta
adopción de decisiones. Ruiz, E.,(2017) Nuevas tendencias en los sistemas
de información, Editorial Centro de Estudios Ramon Areces SA. Tipos de
sistemas de información
Sin embargo, la clasificación más clásica es la que relaciona los SI con los
niveles de gestión de las organizaciones. Estos niveles son: dirección
operativa, dirección táctica y dirección estratégica. Ruiz, E.,(2017) Nuevas
tendencias en los sistemas de información, Editorial Centro de Estudios
Ramon Areces SA.
Misión de la municipalidad
Se encuentra manifiesta en la Ley Orgánica de Municipalidades, definida por tres
elementos:
Ser una instancia de representación: Son los ciudadanos y
ciudadanas, quienes democráticamente deciden otorgar un
21
mandato para que tanto alcaldes como regidores asuman su
representación en la conducción del gobierno local, dicho
mandato, está sujeto a un conjunto de reglas, que, si no son
cumplidas pueden generar el retiro de la confianza ciudadana y por
tanto el resquebrajamiento de la legitimidad para ejercer dicha
representación.
Ser una instancia promotora del desarrollo integral sostenible:
Entendiendo por desarrollo integral sostenible un proceso de
mejora de la calidad de vida de la población, en donde la persona,
especialmente aquella en condiciones de pobreza y exclusión, se
convierta en el centro de atención de todos los esfuerzos siempre y
cuando ello no comprometa la calidad de vida de las poblaciones
futuras.
Ser una instancia prestadora de servicios públicos: Entendidos
como aquellos servicios brindados por la municipalidad, que
permitan a los ciudadanos, individual o colectivamente ser
atendidos en determinadas necesidades que tengan carácter de
interés público y sirvan al bienestar de todos.
Tipos de Municipalidad
22
establece un título especial – el Título XI- , con el objeto de promover
el desarrollo municipal en zonas rurales.
La auditoría de sistemas abarca diversos aspectos del área de TI entre los cuales tenemos:
24
- Análisis
- Conciliación
- Tabulación
- Cálculo
- Comparación
3.4. ISACA
Es una asociación global, independiente y sin fines de lucro, ISACA se dedica al
desarrollo, adopción y uso de conocimientos y prácticas líderes en la industria y
aceptados a nivel mundial para los sistemas de información. Anteriormente conocida
como la Asociación de Control y Auditoría de Sistemas de Información, ISACA
ahora solo se usa por sus siglas, para reflejar la amplia gama de profesionales de
gobierno de TI a los que sirve.
Certificaciones:
CISA
25
CISM
CGEIT
CRISC
3.5. COBIT
Como vimos en el apartado anterior, Cobit es un marco de referencia internacional
para la auditoría de sistemas, probada por expertos a nivel mundial y elaborado por
el organismo más grande de auditoría, ISACA, del cual hablamos también con
anterioridad.
Cobit logra un equilibrio entre beneficios, gestión de riesgos, uso óptimo de recursos
y satisfacción de necesidades de las partes interesadas, apoyando el logro de objeticos
y requerimientos del negocio.
27
Figura 7. Principios de COBIT 5
Fuente: Isaca Website
28
– internos y externos – los que sean relevantes para el gobierno y la gestión de
la información de la empresa y TI relacionadas.
C) Marco integrado: Hay muchos estándares y buenas prácticas relativos a
TI, ofreciendo cada uno ayuda para un subgrupo de actividades de TI.
COBIT 5 se alinea a alto nivel con otros estándares y marcos de trabajo
relevantes, y de este modo puede hacer la función de marco de trabajo
principal para el gobierno y la gestión de las Ti de la empresa.
D) Enfoque holístico: Un gobierno y gestión de las TI de la empresa efectivo
y eficiente requiere de un enfoque holístico que tenga en cuenta varios
componentes interactivos. COBIT 5 define un conjunto de catalizadores
(enablers) para apoyar la implementación de un sistema de gobierno y
gestión global para las TI de la empresa. Los catalizadores se definen en
líneas generales como cualquier cosa que puede ayudar a conseguir las
metas de la empresa. El marco de trabajo COBIT 5 define siete categorías
de catalizadores:
1. Principios, Políticas y Marcos de Trabajo
2. Procesos
3. Estructuras Organizativas
4. Cultura, Ética y Comportamiento
5. Información
6. Servicios, Infraestructuras y Aplicaciones
7. Personas, Habilidades y Competencias
E) Identificación clara entre Gobierno y Gestión: El marco de trabajo
COBIT 5 establece una clara distinción entre gobierno y gestión. Estas
dos disciplinas engloban diferentes tipos de actividades, requieren
diferentes estructuras organizativas y sirven a diferentes propósitos.
Gobierno: Cobit nos dice que el Gobierno asegura que se evalúen
las necesidades, condiciones y opciones de las partes interesadas
para determinar que se alcanzan las metas corporativas
equilibradas y acordadas; estableciendo la dirección a través de la
priorización y la toma de decisiones; y midiendo el rendimiento y
el cumplimiento respecto a la dirección y metas acordadas.
29
Gestión: Por otro lado, la gestión planifica, construye, ejecuta y
controla actividades alineadas con la dirección establecida por el
cuerpo de gobierno para alcanzar las metas empresariales.
3.5.2. Metas corporativas de COBIT 5
30
3.5.4. Catalizadores de COBIT 5
Son factores que, individual y colectivamente, influyen sobre si algo
funcionará – en este caso, el gobierno y la gestión de la empresa TI. Los
catalizadores son guiados por la cascada de metas, es decir, objetivos de alto
nivel relacionados con TI definen lo que los diferentes catalizadores deberían
conseguir.
31
3.5.6. Modelo de Referencia de Procesos de Cobit 5
El modelo de referencia de procesos de COBIT 5 divide los procesos de
gobierno y de gestión de la TI empresarial en dos dominios principales de
procesos:
Gobierno: Contiene cinco procesos de gobierno; dentro de cada proceso se
definen prácticas de evaluación, orientación y supervisión (EDM)
Gestión: Contiene cuatro dominios, en consonancia con las áreas de
responsabilidad de planificar, construir, ejecutar y supervisar (Plan, Build,
Run and Monitor - PBRM), y proporciona cobertura extrema a extremo de
las TI.
Los nombres de estos dominios han sido elegidos de acuerdo a estas
designaciones de áreas principales, pero contienen más verbos para
describirlos:
Alinear, Planificar y Organizar (Align, Plan and Organise, APO)
Construir, Adquirir e Implementar (Build, Acquire and Implement, BAI)
Entregar, dar Servicio y Soporte (Deliver, Service and Support, DSS)
Supervisar, Evaluar y Valorar (Monitor, Evaluate and Assess, MEA)
32
Figura 13. Modelo de Referencia de Procesos
Fuente: Isaca Website
Analiza y articula los requerimientos para el gobierno de TI de la EDM01.01 Evaluar el sistema de gobierno.
Asegurar el empresa y pone en marcha y mantiene efectivas las estructuras,
Establecimiento y procesos y prácticas facilitadores, con claridad de las EDM01.02 Orientar el sistema de gobierno
EDM01 responsabilidades y la autoridad para alcanzar la misión, las metas y
Mantenimiento del
Marco de Gobierno objetivos de la empresa. EDM01.03 Supervisar el sistema de gobierno
33
EDM04.03 Supervisar la gestión de recursos.
Evaluar los requisitos de elaboración de
EDM05.01 informes de la partes interesadas.
Asegurar la Asegurar que la medición y la elaboración de informes en cuanto a
Transparencia hacia conformidad y desempeño de TI de la empresa son transparentes,
EDM05 EDM05.02 Orientar la comunicación con las partes
las partes con aprobación por parte de las partes interesadas de las metas, las
intersadas y la elaboración de informes.
interesadas métricas y la acciones correctivas necesarias.
EDM05.03 Supervisar la comunicación con las
partes interesadas.
Figura 14. Procesos EDM
Fuente: Elaboración Propia
34
Procesos Nombre Descripción Prácticas de Gobierno
APO01.01 Definir la estructura organizativa
APO01.02 Esstablecer roles y responsabilidades.
APO01.03 Mantener los elementos catalizadores del
sistema de gestión
Aclarar y mantener el gobierno de la misión y la visión corporativa APO01.04 Comunicar los objetivos y la dirección de
Gestionar el de TI. Implementar y mantener mecanismos y autoridades para la gestión.
APO01 Marco de gestión de la información y el uso de TI en la empresa para apoyar APO01.05 Optimizar la ubicación de la función de TI.
Gestión de TI los objetivos de gobierno en consonancia con la políticas y los
APO01.06 Definir la propiedad de la información
principios rectores.
(datos) y del sistema
APO01.07 Gestionar la mejora continua de los
procesos.
APO01.08 Mantener el cumplimiento con las políticas
y procedimientos.
APO02.01 Comprender la dirección de la empresa.
Proporcionar una visión holística del negocio actual y del entorno APO02.02 Evaluar el entorno, capacidades y
de TI, la dirección futura, y las iniciativa necesarias para migrar al rendimiento actuales.
Gestionar la entorno deseado. Aprovechar los bloques y componentes de la APO02.03 Definir el objetivo de las capacidades de TI
APO02
Estrategia estructura empresarial, incluyendo los servicios externallizados y
las capacidades relacionadas que permitan una respuesta ágil, APO02.04 Realizar un análisis de diferencias
confiable y eficiente a los objetivos estratégicos. APO02.05 Definir el plan estratégico y la hoja de ruta
APO02.06 Comunicar la estrategia y la dirección de TI
APO03.01 Desarrollar la visión de la arquitectura de
empresa.
Establecer una arquitectura común compuesta por los procesos de
negocio, la información, los datos, las aplicaciones y la capas de la APO03.02 Definir la arquitectura de referencia.
Gestionar la
arquitectura tecnológica de manera eficaz y eficiente para la APO03.03 Seleccionar las oportunidades y las
APO03 Arquitectura
realización de las estrategias de la empresa y de TI mediante la soluciones
Empresarial
creación de modelosclave y prácticas que describan las líneas de APO03.04 Definir la implantación de la arquitectura
partida.
APO03.05 Proveer los servicios de arquitectura
empresarial.
APO04.01 Crear un entorno favorable para la
Mantener un conocimiento de la tecnología de la información y las innovación.
tendencias relacionadas con el servicio, identificar las APO04.02 Mantener un entendimiento del entorno de
oportunidades de innovación y planificar la manera de beneficiarse la empresa.
de la innovación en relación con las necesidades del negocio. APO04.03 Supervisar y explorar el entorno
Analizar cuáles son las oportunidades para la innovación tecnológico.
Gestionar la
APO04 empresarial o qué mejora puede crearse con las nuevas
Innovación APO04.04 Evaluar el potencial de las tecnologías
tecnologías, servicios o innovaciones empresariales facilitadas por
emergentes y las ideas innovadoras.
TI, así como a través de las tecnologías ya existentes y por la
innovación en procesos empresariales y de TI. Influir en la APO04.05 Recomendar iniciativas apropiadas
planificación estratégica y en las decisiones de la arquitectura de adicionales.
empresa. APO04.06 Supervisar la implementación y el uso de la
innovación.
Ejecutar el conjunto de direcciones estratégicas para la inversión Establecer la mezcla del objetivo de
alineada con la visión de la arquitectura empresarial, las APO05.01 inversión.
características deseadas de inversión, los portafolios de servicios
Determinar la disponibilidad y las fuentes de
relacionados, considerar las diferentes categorías de inversión y APO05.02 fondos.
recursos y las restricciones de financiación. Evaluar, priorizar y
equilibrar programas y servicios, gestionar la demanda con los Evaluar y seleccionar los programas a
recursos y restricciones de fondos, basados en su alineamiento con APO05.03 financiar.
Gestionar el
APO05 los objetivos estratégicos así como en su valor y riesgo corporativo.
portafolio Supervisar, optimizar e informar sobre el
Mover los programas seleccionados al portafolio de servicios APO05.04 rendimiento del portafolio de inversiones.
activos listos para ser ejecutados. Supervisar el rendimiento global
del portafolio de servicios y programas, proponiendo ajustes si
fuesen necesarios en respuesta al rendimiento de programas y APO05.05 APO05.05 Mantener los portafolios.
servicios o al cambio en las prioridades corporativas
APO05.06 Gestionar la consecución de beneficios.
35
APO07.01 Mantener la dotación de personal
suficiente y adecuada
APO07.02 Identificar personal clave de TI.
Proporcionar un enfoque estructurado para garantizar una óptima
estructuración, ubicación, capacidades de decisión y habilidades de APO07.03 Mantener las habilidades y competencias
Gestionar los del personal.
los recursos humanos. Esto incluye la comunicación de las
APO07 Recursos
funciones y responsabilidades definidas, la formación y planes de APO07.04 Evaluar el desempeño laboral de los
Humanos
desarrollo personal y las expectativas de desempeño, con el apoyo empleados.
de gente competente y motivada.
APO07.05 Planificar y realizar un seguimiento del uso
de recursos humanos de TI y del negocio.
APO07.06 Gestionar el personal contratado.
APO08.01 Entender las expectativas del negocio.
Gestionar las relaciones entre el negocio y TI de modo formal y Identificar oportunidades, riesgos y
transparente, enfocándolas hacia el objetivo común de obtener APO08.02 imitaciones de TI para mejorar el negocio.
resultados empresariales exitosos apoyando los objetivos
Gestionar las
APO08 estratégicos y dentro de las restricciones del presupuesto y los APO08.03 Gestionar las relaciones con el negocio.
Relaciones
riesgos tolerables. Basar la relación en la confianza mutua, usando APO08.04 Coordinar y comunicar.
términos entendibles, lenguaje común y voluntad de asumir la
Proveer datos de entrada para la mejora
propiedad y responsabilidad en las decisiones claves.
APO08.05 continua de los servicios.
36
3.5.6.3. Procesos BAI (Build, Acquire and Implement)
Procesos Nombre Descripción Prácticas de Gobierno
BAI01.01 Mantener un enfoque estándar para la gestión de
programas y proyectos.
BAI01.02 Iniciar un programa.
BAI01.03 Gestionar el compromiso de las partes
interesadas.
BAI01.04 Desarrollar y mantener el plan de programa.
BAI01.05 Lanzar y ejecutar el programa.
BAI01.06 Supervisar, controlar e informar de los resultados
Gestionar todos los programas y proyectos del portafolio del programa.
Gestionar los de inversiones de forma coordinada y en línea con la BAI01.07 Lanzar e iniciar proyectos dentro de un programa.
BAI01 Programas y estrategia corporativa. Iniciar, planificar,
Proyectos controlar y ejecutar programas y proyectos y cerrarlos con BAI01.08 Planificar proyectos.
una revisión post-implementación. BAI01.09 Gestionar la calidad de los programas y proyectos.
37
impacto en el negocio y la evaluación del riesgo para BAI04.04 Supervisar y revisar la disponibilidad y la
planificar e implementar acciones para alcanzar los capacidad.
requerimientos identificados. BAI04.05 Investigar y abordar cuestiones de disponibilidad,
rendimiento y capacidad.
BAI05.01 Establecer el deseo de cambiar.
BAI05.02 Formar un equipo de implementación efectivo.
Maximizar la probabilidad de la implementación exitosa
Gestionar la BAI05.03 Comunicar la visión deseada.
en toda la empresa del cambio organizativo de forma
introducción de BAI05.04 Facultar a los que juegan algún papel e identificar
BAI05 rápida y con riesgo reducido, cubriendo el ciclo de vida
Cambios ganancias en el corto plazo.
completo del cambio y todos las partes interesadas del
Organizativos BAI05.05 Facilitar la operación y el uso.
negocio y de TI.
BAI05.06 Integrar nuevos enfoques.
BAI05.07 Mantener los cambios.
Gestione todos los cambios de una forma controlada, BAI06.01 Evaluar, priorizar y autorizar peticiones de cambio.
incluyendo cambios estándar y de mantenimiento de
emergencia en relación con los procesos de negocio, BAI06.02 Gestionar cambios de emergencia.
Gestionar los aplicaciones e infraestructura. Esto incluye normas y
BAI06
Cambios procedimientos de cambio, análisis de impacto, BAI06.03 Hacer seguimiento e informar de cambios de
priorización y autorización, cambios de emergencia, estado.
seguimiento, reporte, cierre y documentación. BAI06.04 Cerrar y documentar los cambios.
Definir y mantener las definiciones y relaciones entre los BAI10.01 Establecer y mantener un modelo de
principales recursos y capacidades necesarios para la configuración.
prestación de los servicios BAI10.02 Establecer y mantener un repositorio de
proporcionados por TI, incluyendo la recopilación de configuración y una base de referencia.
Gestionar la información de configuración, el establecimiento de líneas BAI10.03 Mantener y controlar los elementos de
BAI10
Configuración de referencia, la verificación y auditoría configuración.
de la información de configuración y la actualización del BAI10.04 Generar informes de estado y configuración.
repositorio de configuración.
BAI10.05 Verificar y revisar la integridad del repositorio de
configuración.
Figura 16. Procesos BAI
Fuente: Elaboración Propia
38
3.5.6.4. Procesos DSS (Deliver, Service and Support)
Procesos Nombre Descripción Prácticas de Gobierno
39
Controles de satisface todos los requerimientos relevantes para el DSS06.02 Controlar el procesamiento de la información.
los Procesos control de la información. Identificar los requisitos de
del Negocio control de la información y gestionar y operar los controles Gestionar roles, responsabilidades, privilegios
adecuados para asegurar que la información y su DSS06.03 de acceso y niveles de autorización.
procesamiento satisfacen estos requerimientos.
DSS06.04 Gestionar errores y excepciones.
DSS06.05 Asegurar la trazabilidad de los eventos y
responsabilidades de información.
DSS06.06 Asegurar los activos de información.
Figura 17. Procesos DSS
Fuente: Elaboración Propia
40
CAPÍTULO IV
DESARROLLO DE LA AUDITORÍA
41
4.1. MECANISMO PARA LA APLICACIÓN DE LA AUDITORÍA
4.1.1. Selección de Objetivos de Gobierno y TI
Se realizó la selección de los objetivos de la institución para luego cruzarlos
con los objetivos de TI que ayudan al cumplimiento de la municipalidad
Provincial del Santa.
Entidad N° Personas Rol de N° Función
con acuerdo a Personas a dentro del
conocimiento COBIT 5 aplicar la proyecto
del proyecto encuesta
GITICMPS 7 Director de 7 Coordinador
Informática general
(CIO)
Tabla 3. Selección de muestra de participantes
42
4 Responsable Brinda soporte 1 Responsable
Soporte técnico a las Soporte
Técnico áreas externas, Técnico
gestiona
hardware a su
cargo.
1 Secretaría Organiza y 1 Secretaría
gestiona la
documentació
n de la
gerencia
Tabla 4. Roles operativos en la GITIC
43
Luego de la evaluación de los procesos sobre la disponibilidad de la
documentación se realizó una valoración de atributos para ver en qué estado se
encuentra cada proceso.
P = Primarios S = Secundarios,
Dimensión Realización
Meta Corporativa de Optimización Optimización Ponderación
del CMI
Beneficios de Riesgos de Recursos
1. Valor para las partes interesadas de las inversiones de Negocio P S 2
5. Transparencia financiera P S S 3
6. Cultura de servicio orientada al cliente P S 3
Cliente
7. Continuidad y disponibilidad del servicio de negocio P 3
44
8. Respuestas ágiles a un entorno de negocio cambiante P S 2
Dimensión Realización
Meta Corporativa de Optimización Optimización Ponderación
del CMI
Beneficios de Riesgos de Recursos
2. Cartera de productos y servicios competitivos P P S 3
4. Cumplimiento de leyes y regulaciones externas P 3
Financiera
5. Transparencia financiera P S S 3
6. Cultura de servicio orientada al cliente P S 3
45
Meta Corporativa
Inter Aprendizaje
Financiera Cliente
Meta Relacionada con las TI na Crecimiento
Alineamiento de TI y la estrategia de
1 P P S P S S S 2
negocio
Cumplimiento y soporte de la TI al
2 cumplimiento del negocio de las leyes y P P 3
regulaciones externas.
Compromiso de la dirección ejecutiva para
3 P S S S 2
tomar decisiones relacionadas con TI
Riesgos de negocio relacionados con las TI
4 S P P S S 3
gestionados.
Realización de beneficios del portafolio de
5 inversiones y servicios relacionados con las P S S S 3
TI
Transparencia de los costes, beneficios y
6
riesgos de las TI.
P S P 3
Seguridad de la información,
10 infraestructuras de procesamiento y P P P 3
aplicaciones.
Obtimización de activos, recursos y
11 P P S 2
capacidades de las TI.
Capacitación y soporte de procesos de
12 negocio integrando aplicaciones y S S S S 2
tecnología en procesos de negocio.
Entrega de Programas que proporcionen
beneficios a tiempo, dentro del presupuesto
13 P S S 2
y satisfaciendo los requisitos y normas de
calidad.
Disponibilidad de información útil y
14 S S P P 3
relevante para la toma de decisiones.
Cumplimiento de las políticas internas por
15 S P 2
parte de las TI.
Personal del negocio y de las TI competente
16 S S P S 2
y motivado.
Meta Corporativa
46
Inter Aprendizaje
Financiera Cliente
Meta Relacionada con las TI na Crecimiento
Cumplimiento y soporte de la TI al
2 cumplimiento del negocio de las leyes y P P 3
regulaciones externas.
Riesgos de negocio relacionados con las TI
4 S P P S S 3
gestionados.
Realización de beneficios del portafolio de
5 inversiones y servicios relacionados con las TI P S S S 3
47
Figura 23. Objetivos de Empresa y Objetivos TI
P = Primarios S = Secundarios,
48
EDM02 Asegurar la Entrega de Beneficios P P S S 3
EDM04
S S S S P 2
Asegurar la Optimización de los Recursos
EDM05 Asegurar la Transparencia hacia las partes
interesadas S P S 3
49
DSS04 Gestionar la Continuidad S P S S S S P 3
Meta Corporativa
Clie
Financiera Interna
Meta Relacionada con las TI nte
EDM02 Asegurar la Entrega de Beneficios P P S S 3
50
DSS03 Gestionar los Problemas S P S S S P 3
51
Supervisar la Acciones para NO N/A N/A Ing. -
optimización mejorar la David
del valor entrega de valor Aguirre
Tabla 7. Auditoría EDM02
52
Subprocesos Documento Dispone Última Participantes Fuente Observaciones
SI/NO versión
APO01.01 la Definición de SI 26/11/2010 Gerencia de Ing. Los
Definir estructura y - Planeamiento David documentos se
estructura funciones 23/07/2013 y Presupuesto Aguirre encuentran en
organizativa organizativas el PTE-MPS,
con el nombre
de ROF y
MOF.
Directrices SI 31/05/2007 Gerencia de Ing. Los
operativas de la Planeamiento David documentos se
organización y Presupuesto Aguirre encuentran en
el PTE-MPS,
con el nombre
de TUPA.
Reglas básicas de NO N/A N/A Ing. -
comunicación David
Aguirre
APO01.02 Definición de SI 26/11/2010 Gerencia de Ing. Los
Establecer roles y roles y - Planeamiento David documentos se
responsabilidades. responsabilidades 23/07/2013 y Presupuesto Aguirre encuentran en
relativos a TI. el PTE-MPS,
con el nombre
de ROF y
MOF.
Definición de NO N/A N/A Ing. -
prácticas de David
supervisión Aguirre
APO01.03 Políticas relativas SI 07/2010 Gerencia de Ing. El documento
Mantener los a TI Planeamiento David se encuentra en
elementos y Presupuesto Aguirre el PTE-MPS,
catalizadores del con el nombre
sistema de gestión de Manual de
Políticas de
Gestión
Institucional
APO01.04 Comunicación de NO N/A N/A Ing. -
Comunicar los objetivos de TI David
objetivos y la Aguirre
dirección de
gestión.
53
Definir la Directrices para el NO N/A N/A Ing. -
propiedad de la control y seguridad David
información de Aguirre
(datos) y del datos
sistema Procedimientos de NO N/A N/A Ing. -
integridad de datos David
Aguirre
APO01.07 Evaluaciones de la NO N/A N/A Ing. -
Gestionar la mejoracapacidad de los David
continua de los procesos Aguirre
procesos. Oportunidades de NO N/A N/A Ing. -
mejoras de David
proceso Aguirre
Objetivos y NO N/A N/A Ing. -
métricas de David
rendimiento para el Aguirre
seguimiento de la
mejora de
procesos
APO01.08 Acciones de NO N/A N/A Ing. -
Mantener el remediación por no David
cumplimiento con cumplimiento. Aguirre
las políticas y
procedimientos.
Tabla 9. Auditoría APO01
54
APO04.04 Evaluación de las NO N/A N/A Ing. -
Evaluar el ideas de David
potencial de las innovación Aguirre
tecnologías Alcance de la NO N/A N/A Ing. -
emergentes y las prueba de David
ideas concepto y Aguirre
innovadoras. descripción de los
casos de negocio
Comprobar NO N/A N/A Ing. -
los David
resultados de las Aguirre
iniciativas
de
pruebas de
concepto.
APO04.05 Resultados y NO N/A N/A Ing. -
Recomendar recomendaciones David
iniciativas de las pruebas de Aguirre
apropiadas concepto
adicionales. Análisis de las NO N/A N/A Ing. -
iniciativas David
rechazadas Aguirre
APO04.06 Valoración NO N/A N/A Ing. -
Supervisar del uso David
la de enfoques Aguirre
implementación innovadores
y el uso de la Evaluación de los SI 04/2018 Ing. David Ing. El documento
innovación. beneficios de la Aguirre David se encuentra en
innovación Aguirre proceso de
aprobación en
la GPP con el
nombre de
PETI.
Planes de NO N/A N/A Ing. -
innovación David
ajustados Aguirre
Tabla 10. Auditoría APO04
desarrollo de David
carrera y de Aguirre
competencias
55
Planes de NO N/A N/A Ing. -
aprovisionamiento David
de personal Aguirre
APO07.02 Personal del área SI 04/2014 Gerencia de Ing. El documento
Identificar de TI y cargo que Informática y David se encuentra en
personal ocupa TIC Aguirre el PTE-MPS,
clave de TI. con el nombre
de POI (Plan
Operativo
Informático)
APO07.03 Planes de SI 04/2018 Ing. David Ing. El documento
Mantener las aprovisionamiento Aguirre David se encuentra en
habilidades y de personal. Aguirre proceso de
competencias aprobación en
del personal. la GPP con el
nombre de
PETI.
Planes de NO N/A N/A Ing. -
desarrollo de David
habilidades. Aguirre
Revisión de NO N/A N/A Ing. -
informes. David
Aguirre
APO07.04 Metas personales NO N/A N/A Ing. -
Evaluar David
el Aguirre
desempeño Evaluaciones de NO N/A N/A Ing. -
laboral de los desempeño David
empleados. Aguirre
Planes de mejora NO N/A N/A Ing. -
David
Aguirre
APO07.05 Inventario de SI 04/2014 Gerencia de Ing. El documento
Planificar y recursos humanos Informática y David se encuentra en
realizar un del negocio y de TIC Aguirre el PTE-MPS,
seguimiento TI con el nombre
del uso de de POI (Plan
recursos Operativo
humanos de Informático).
TI y del Y en la GRH.
negocio.
Análisis de NO N/A N/A Ing. -
deficiencias en la David
obtención de Aguirre
recursos
Registros de NO N/A N/A Ing. -
utilización de David
recursos Aguirre
APO07.06 Políticas de SI 26/11/2010 Gerencia de Ing. El documento
Gestionar el contratación de Planeamiento David se encuentra en
personal personal y Presupuesto Aguirre el PTE-MPS,
contratado. con el nombre
de ROF pág.63
Acuerdos NO N/A N/A Ing. -
contractuales David
Aguirre
56
Revisiones de NO N/A N/A Ing. -
acuerdos David
contractuales Aguirre
Tabla 11. Auditoría APO07
57
BAI01.02 Caso de negocio de SI 2017 Ing. David Ing. La GITIC
Iniciar un concepto del Aguirre David cuenta con un
programa. programa Sr. Jose Luis Aguirre ERP
Neme documentado
según
INFORME
N°008-2017-
GITIC-MPS
Mandato y SI 2017 Ing. David Ing. La GITIC
expediente del Aguirre David cuenta con un
programa Sr. Jose Luis Aguirre ERP
Neme documentado
según
INFORME
N°008-2017-
GITIC-MPS
Plan de realización SI 2017 Ing. David Ing. La GITIC
de beneficios del Aguirre David cuenta con un
programa Sr. Jose Luis Aguirre ERP
Neme documentado
según
INFORME
N°008-2017-
GITIC-MPS
BAI01.03 Plan de SI 2017 Ing. David Ing. La GITIC
Gestionar el involucración de Aguirre David cuenta con un
compromiso las partes Sr. Jose Luis Aguirre ERP
de las partes interesadas Neme documentado
interesadas. según
INFORME
N°008-2017-
GITIC-MPS
Resultados de la NO N/A N/A Ing. -
evaluación de David
efectividad del Aguirre
compromiso de las
partes interesadas
BAI01.04 Plan de programa SI 2017 Gerencia de Ing. El nombre del
Desarrollar y Informática y David documento es
mantener el TIC Aguirre POI (Plan
plan de Operativo
programa. Informático)
2017.
Presupuesto del SI 2017 Gerencia de Ing. El nombre del
programa y Informática y David documento es
registro de TIC Aguirre POI (Plan
beneficios Operativo
Informático)
2017.
58
Requerimientos de SI 2017 Ing. David Ing. La GITIC
recursos y roles Aguirre David cuenta con un
Sr. Jose Luis Aguirre ERP
Neme documentado
según
INFORME
N°008-2017-
GITIC-MPS
BAI01.05 Resultados de la NO N/A N/A Ing. -
Lanzar y supervisión de la David
ejecutar el realización de Aguirre
programa. beneficios
Resultados de la SI 2017 Gerencia de Ing. El nombre del
supervisión Informática y David documento es
del logro TIC Aguirre POI (Plan
de metas del Operativo
programa Informático)
2017.
Planes de auditoría NO N/A N/A Ing. -
del programa David
Aguirre
BAI01.06 Resultado de la NO N/A N/A Ing. -
Supervisar, revisión del David
59
Informes y SI 2017 Gerencia de Ing. Existen
comunicaciones Informática y David documentos de
del proyecto TIC Aguirre informe
y avance
de cada
proyecto en la
GITIC
BAI01.09 Plan de gestión de la NO N/A N/A Ing. -
Gestionar la calidad David
calidad de los Aguirre
programas y Requerimientos NO N/A N/A Ing. -
proyectos. para la David
verificación Aguirre
independiente de
los entregables
BAI01.10 Plan de gestión de NO N/A N/A Ing. -
Gestionar el riesgos del David
riesgo de los proyecto Aguirre
programas y Resultados de la NO N/A N/A Ing. -
proyectos. evaluación de David
riesgos del Aguirre
proyecto
Registro de riesgos NO N/A N/A Ing. -
del proyecto David
Aguirre
BAI01.11 Criterios de NO N/A N/A Ing. -
Supervisar y desempeño del David
controlar proyecto Aguirre
proyectos. Informes del avance SI 2017 Gerencia de Ing. Existen
del Informática y David documentos de
proyecto TIC Aguirre informe
y avance
de cada
proyecto en la
GITIC
Cambios SI 2017 Gerencia de Ing. Existen
acordados al Informática y David documentos de
proyecto TIC Aguirre informe y avance
de cada proyecto
en la
GITIC
BAI01.12 Requerimientos de SI 2017 Gerencia de Ing. El nombre del
Gestionar los recursos del Informática y David documento es
recursos y los proyecto. TIC Aguirre POI (Plan
paquetes de Operativo
trabajo del Informático)
proyecto. 2017.
Roles y SI 2017 Gerencia de Ing. Existen
responsabilidades del Informática y David documentos de
proyecto TIC Aguirre sobre cada
proyecto en la
GITIC
Diferencias en la NO N/A N/A Ing. -
planificación del David
proyecto Aguirre
60
BAI01.13 Resultados de la SI 2017 Gerencia de Ing. El nombre del
Cerrar un revisión Informática y David documento es
proyecto o postimplementación. TIC Aguirre POI (Plan
iteración. Operativo
Informático)
2017.
Lecciones aprendidas NO N/A N/A Ing. -
del David
proyecto Aguirre
Confirmaciones de SI 2017 Gerencia de Ing. Existen
aceptación de las Informática y David documentos de
partes interesadas del TIC Aguirre informe y avance
proyecto de cada proyecto
en la
GITIC
BAI01.14 Comunicación del SI 2017 Gerencia de Ing. Existen
Cerrar un retiro del Informática y David documentos de
programa. programa y TIC Aguirre informe y avance
rendición de cuentas de cada proyecto
en curso. en la
GITIC
Tabla 13. Auditoría BAI01
(ANSs) y Aguirre
Acuerdos de
Nivel Operativos
(OLAs).
BAI03.03 Documentar los SI 2017 Ing. David Ing. La GITIC
Desarrollar los componentes de Aguirre David cuenta con un
componentes de la solución Sr. Jose Luis Aguirre ERP
la solución Neme documentado
según
INFORME
N°008-2017-
GITIC-MPS
61
BAI03.04 Plan de SI 2017 Gerencia de Ing. El nombre del
Obtener los adquisiciones Informática y David documento es
componentes de aprobado TIC Aguirre POI (Plan
la solución Operativo
Informático)
2017.
Actualizaciones SI 2017 Gerencia de Ing. El nombre del
del inventario de Informática y David documento es
activos TIC Aguirre PETI.
BAI03.05 Componentes de NO N/A N/A Ing. -
Construir la solución David
soluciones. integrados y Aguirre
configurados
BAI03.06 Plan de NO N/A N/A Ing. -
Realizar aseguramiento de David
controles de la calidad (QA) Aguirre
calidad. Resultados de la NO N/A N/A Ing. -
revisión de David
calidad, Aguirre
excepciones y
correcciones
BAI03.07 Plan de pruebas NO
Preparar Procedimientos SI 2017 Ing. David Ing. La GITIC
pruebas de la de pruebas Aguirre David cuenta con un
solución Sr. Jose Luis Aguirre ERP
Neme documentado
según
INFORME
N°008-2017-
GITIC-MPS
BAI03.08 Registros de SI 2017 Ing. David Ing. La GITIC
Ejecutar resultados de Aguirre David cuenta con un
pruebas de la pruebas y pistas Sr. Jose Luis Aguirre ERP
solución de auditoría Neme documentado
según
INFORME
N°008-2017-
GITIC-MPS
Comunicaciones SI 2017 Ing. David Ing. Los resultados
del resultado de Aguirre David de las pruebas
las pruebas Sr. Jose Luis Aguirre se derivan a la
Neme GM
BAI03.09 Registro de todas NO N/A N/A Ing. -
Gestionar las peticiones de David
cambios a los cambio Aguirre
requerimientos. aprobadas y
aplicadas
BAI03.10 Plan de NO N/A N/A Ing. -
Mantener mantenimiento David
soluciones. Aguirre
62
Componentes de SI 2017 Ing. David Ing. La GITIC
la solución Aguirre David cuenta con un
actualizados Sr. Jose Luis Aguirre ERP
y Neme documentado
documentación según
relacionada INFORME
N°008-2017-
GITIC-MPS
BAI03.11 Definiciones NO N/A N/A Ing. -
Definir los de David
servicios TI y servicio Aguirre
mantener el Catálogo de NO N/A N/A Ing. -
catálogo de servicios David
servicios. actualizado Aguirre
Tabla 14. Auditoría BAI03
63
BAI09 Gestionar los Activos
65
BAI10.01 Ámbito de NO N/A N/A Ing. -
Establecer y aplicación del David
mantener un modelo de Aguirre
modelo de gestión de la
configuración. configuración
Modelo de NO N/A N/A Ing. -
configuración David
lógica Aguirre
BAI10.02 Repositorio de NO N/A N/A Ing. -
Establecer y Configuración David
mantener un Aguirre
repositorio de Base de NO N/A N/A Ing. -
configuración y Referencia David
una base de de Aguirre
referencia. configuración
66
procedimiento Registro de SI 2018 Ing. Ing. Realizan
s copia de Alexi Alexis backups de los
operativos" respaldo s Abanto Abanto sistemas
Sr. Jose Luis Sr. de
Neme Jose información
Luis
Neme
Ing.
David
Aguirr
e
DSS01.02 Planes de NO N/A N/A Ing. -
"Gestionar aseguramiento David
servicios independientes Aguirr
externalizados e
de TI"
67
DSS01.05 Informes de SI 2018 Ing. David Ing. Cada ingeniero
Gestionar evaluación de Aguirre Alexis emite un
las instalaciones Ing. Pool Abanto documento para
instalaciones Alayo Sr. informar sobre
Ing. Jose las instalaciones
Alexi Luis realizadas.
s Abanto Neme
Sr. Jose Luis Ing.
Neme David
Aguirr
e
Concienciació SI 30/06/201 Ing. Ing. El documento se
n en salud y 7 David David encuentra en la
seguridad en el Aguirre Aguirr GITIC con el
trabajo e nombre de
Directiva para el
uso de los
Recursos
computacionales
, internet
y
correo electrónico
Tabla 18. Auditoría DSS01
problemas Aguirre
68
clasificados
priorizados
69
satisfactorios
70
Informes de SI 2018 Ing. David Ing. Los ingenieros
resolución de Aguirre David al resolver un
problemas Ing. Alexis Aguirre problema
Abanto. Ing. emiten un
Sr. Jose Luis Alexis informe.
Neme Abanto.
Ing. Alin Blas Sr. Jose
Ing. Pool Luis
Alayo Neme
Ing.
Alin
Blas
Ing.
Pool
Alayo
71
Subprocesos Documento Dispone Última Participantes Fuente Observaciones
SI/NO versión
DSS04.01 Política y NO N/A N/A Ing. -
Definir la objetivos de David
política de continuidad de Aguirre
continuidad negocio
del negocio, Escenarios de SI 2018 Ing. David Ing. El documento
objetivos y incidentes que Aguirre David está incluido en
alcance. causan una Aguirre el PETI
interrupción 2018.
Valoraciones de las NO N/A N/A Ing. -
capacidades David
actuales y lagunas Aguirre
de continuidad
DSS04.02 Análisis de impacto NO N/A N/A Ing. -
Mantener una en el David
estrategia de negocio Aguirre
continuidad. Requerimientos de NO N/A N/A Ing. -
continuidad David
Aguirre
Opciones NO N/A N/A Ing. -
estratégicas David
aprobadas Aguirre
DSS04.03 Acciones y SI 2018 Ing. David Ing. Los ingenieros
Desarrollar e comunicaciones Aguirre David emiten un
implementar de respuesta Ing. Alexis Aguirre informe sobre
una respuesta a a Abanto. Ing. los incidentes
la incidentes Sr. Jose Luis Alexis suscitados.
continuidad Neme Abanto.
del negocio. Ing. Alin Sr. Jose
Blas Ing. Pool Luis
Alayo Neme
Ing.
Alin
Blas
Ing.
Pool
Alayo
72
mantener y Cambios NO N/A N/A Ing. -
mejorar el recomendados a David
plan de los planes Aguirre
continuidad.
73
MEA01.04 Informes de SI 2018 Ing. David Ing. El funcionario
Analizar desempeño Aguirre David del OCI emite
e Aguirre documento
informar sobre informando el
el rendimiento.
rendimiento.
EDM02
Atributos de Capacidad del Proceso
Proce Práctica Definic Desplie Gesti Contr Rendimi Gestión Gestión de Innovac Optimiza
so de ión del gue de ón de ol de ento del del l ión ción
Gobier proceso proceso Proce Proce Proceso Rendimi os Resulta
no sos sos ento dos de de
Proceso Procesos
s
EDM02 0 0 0 0 0 0 0 0 0
.01
EDM02 0 0 0 0 0 0 0 0 0
.02
EDM02 0 0 0 0 0 0 0 0 0
.03
Tabla 23. Calificación de Atributos de capacidad EDM02
74
Prácticas de Gobierno con atributos de
capacidad 0
Definición del
proceso
1
Optimización Despliegue de
0.8
de Procesos procesos
0.6 EDM02.01 Evaluar la
0.4 optimización del valor
Innovación de Gestión de
0.2
Procesos Procesos EDM02.02 Orientar la
0
optimización del valor
Descripción Valor
Puntuación Óptima 27
Puntuación obtenida 0
Porcentaje alcanzado 0.00
Escala para alcanzar el Nivel de Capacidad 1 N
Tabla 24. Escala de Nivel de Capacidad EDM02
EDM05
Atributos de Capacidad del Proceso
Proce Práctica Definic Desplie Gesti Contr Rendimi Gestión Gestión de Innovac Optimiza
so de ión del gue de ón de ol de ento del del l ión ción
Gobier proceso proceso Proce Proce Proceso Rendimi os Resulta
no sos sos ento dos de de
Proceso Procesos
s
EDM05 0 0 0 0 0 0 0 0 0
.01
EDM05 1 1 1 1 1 1 0 0 0
.02
EDM05 0 0 0 0 0 0 0 0 0
.03
Tabla 25. Calificación de Atributos de capacidad EDM05
75
EDM 05.02Definición
Orientar del la comunicación
informes.
con Definición
Prácticas de del
Gobierno con atributos
1 1
Optimización Optimización
las partes
de Procesos
0.8 intersadas y la elaboración de de Procesos
0.8 de capacidad 0
0.6 0.6
0.4 0.4
Innovación de Innovación de
0.2 0.2
Procesos Procesos Despliegue de
0 0
EDM05.02
Gestión de los Orientar la Gestión de los
Resultados comunicación con Resultados
Gestión del las partes Gestión del
Rendimiento proceso intersadas y la Rendimiento procesos
elaboración de proceso
informes. Gestión de
Despliegue de Procesos
procesos EDM05.01 Evaluar
Control de los requisitos de
Gestión de Procesos elaboración de
Rendimiento informes de la
Procesos partes interesadas.
del Proceso
EDM05.03
Control de Supervisar la
Procesos comunicación con
Rendimiento las partes
del Proceso interesadas.
Descripción Valor
Puntuación Óptima 27
Puntuación obtenida 6
Porcentaje alcanzado 22.2%
Escala para alcanzar el Nivel de Capacidad 1 N
Tabla 26. Escala de Nivel de Capacidad EDM05
APO01
Atributos de Capacidad del Proceso
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión de Innovac Optimiza
so a de ión del gue de n de ol de ento del del l ión ción
Gobier proceso proceso Proce Proce Proceso Rendimi os Resulta
no sos sos ento dos de de
Proceso Procesos
s
APO01 1 1 1 1 1 1 0 0 0
.01
APO01 1 1 1 1 1 0 0 0 0
.02
APO01 1 1 1 1 1 1 1 1 1
.03
APO01 0 0 0 0 0 0 0 0 0
.04
APO01 0 0 0 0 0 0 0 0 0
.05
APO01 0 0 0 0 0 0 0 0 0
.06
APO01 0 0 0 0 0 0 0 0 0
.07
APO01 0 0 0 0 0 0 0 0 0
.08
Tabla 27. Calificación de Atributos de capacidad APO01
76
Definición del Definición del
APO01.01
1
Evaluar la optimización l valor APO01.02
1
Establecer roles y
Optimización Optimización
de Procesos
0.8 de de Procesos
0.8 responsabilidades
0.6 0.6
0.4 0.4
Innovación de
Innovación de 0.2
0.2 Procesos
Procesos 0
0
Gestión de los
Gestión de los APO01.01 Evaluar Resultados
Resultados la optimización del Gestión del
Gestión del valor Rendimiento
Rendimiento proceso proceso
Despliegue de
Despliegue de
procesos
procesos
Gestión de Procesos
Gestión de Procesos
Control de
Control de Procesos
Procesos Rendimiento APO01.02 Establecer
Rendimiento del Proceso roles y
del Proceso responsabilidades
Descripción Valor
Puntuación Óptima 72
Puntuación obtenida 20
Porcentaje alcanzado 27.7%
Escala para alcanzar el Nivel de Capacidad 1 N
Tabla 28. Tabla 26. Escala de Nivel de Capacidad APO01
APO04
Atributos de Capacidad del Proceso
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión de Innovac Optimiza
so a de ión del gue de n de ol de ento del del l ión ción
Gobier proceso proceso Proce Proce Proceso Rendimi os Resulta
no sos sos ento dos de de
Proceso Procesos
s
APO04 1 1 1 1 1 0 0 0 0
.01
APO04 1 1 1 1 1 1 1 1 1
.02
77
APO04 1 1 1 1 1 1 1 1 1
.03
APO04 0 0 0 0 0 0 0 0 0
.04
APO04 0 0 0 0 0 0 0 0 0
.05
APO04 1 1 1 0 0 0 0 0 0
.06
Tabla 29. Calificación de Atributos de capacidad APO04
1 1
Optimización Despliegue de Optimización Despliegue de
0.8 0.8
de Procesos procesos de Procesos procesos
0.6 0.6
0.4 0.4
Innovación de Gestión de Innovación de Gestión de
0.2 APO04.01 Crear un 0.2 APO04.02 Mantener un
Procesos Procesos Procesos Procesos
0 entorno favorable para la 0 entendimiento del
entorno de la empresa.
Gestión de los Control de Gestión de los Control de
Resultados Procesos Resultados Procesos
Gestión del Rendimiento Gestión del Rendimiento
Rendimiento del Proceso Rendimiento del Proceso
innovación.
Descripción Valor
Puntuación Óptima 54
Puntuación obtenida 26
Porcentaje alcanzado 48.14%
Escala para alcanzar el Nivel de Capacidad 1 P
Tabla 30. Escala de Nivel de Capacidad APO04
78
APO07
Atributos de Capacidad del Proceso
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión de Innovac Optimiza
so a de ión del gue de n de ol de ento del del l ión ción
Gobier proceso proceso Proce Proce Proceso Rendimi os Resulta
no sos sos ento dos de de
Proceso Procesos
s
APO07 1 1 1 0 0 0 0 0 0
.01
APO07 1 1 1 1 1 1 1 1 1
.02
APO07 1 1 1 0 0 0 0 0 0
.03
APO07 0 0 0 0 0 0 0 0 0
.04
APO07 1 1 1 0 0 0 0 0 0
.05
APO07 1 1 1 0 0 0 0 0 0
.06
Tabla 31. Calificación de Atributos de capacidad APO07
APO07.01Definición
Mantenerdel la dotación de personal Definición del
APO07.02 Identificar personal de TI.
1 1
Optimización
de Procesos
0.8 suficiente y adecuada Optimización
0.8 clave
de Procesos
0.6 0.6
0.4 0.4
Innovación de Innovación de
0.2 0.2
Procesos Procesos
0 0
Rendimiento
Despliegue de
Rendimiento
procesos Despliegue de
procesos
Gestión de
APO07.01 Mantener Gestión de
la Procesos
Procesos dotación de personal
suficiente y
adecuada
Control de
Procesos Control de
Procesos
del Proceso
del Proceso
79
Gestión de Gestión de
Procesos
Procesos
Control de
Control de Procesos
Procesos
del Proceso
del Proceso
Control de
Procesos
del Proceso
Descripción Valor
Puntuación Óptima 54
Puntuación obtenida 21
Porcentaje alcanzado 38.8%
Escala para alcanzar el Nivel de Capacidad 1 P
Tabla 32. Escala de Nivel de Capacidad APO07
APO13
Atributos de Capacidad del Proceso
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión Innovac Optimiza
so a de ión del gue de n de ol de ento del del de ión ción
Gobier proceso proceso Proce Proce Proceso Rendimi l d
no sos sos ento os de e
Resulta Proceso Procesos
dos s
0 0 0 0 0 0 0 0 0
APO13
.01
APO13 0 0 0 0 0 0 0 0 0
.02
APO13 0 0 0 0 0 0 0 0 0
.03
Tabla 33. Calificación de Atributos de capacidad APO13
80
Prácticas de Gobierno con atributos de
capacidad 0
Definición del APO13.01 Establecer y
proceso mantener un SGSI.
1
Optimización Despliegue de
0.8
de Procesos procesos
0.6
0.4 APO13.02 Definir y
Innovación de Gestión de
0.2 gestionar un plan de
Procesos Procesos
0
tratamiento del riesgo
de la seguridad de la
Gestión de los Control de información.
Resultados Procesos
APO13.03 Supervisar y
Gestión del Rendimiento revisar el SGSI.
Rendimiento del Proceso
Descripción Valor
Puntuación Óptima 27
Puntuación obtenida 0
Porcentaje alcanzado 0.0%
Escala para alcanzar el Nivel de Capacidad 1 N
Tabla 34. Escala de Nivel de Capacidad APO13
BAI01
Atributos de Capacidad del Proceso
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión de Innovac Optimiza
so a de ión del gue de n de ol de ento del del l ión ción
Gobier proceso proceso Proce Proce Proceso Rendimi os Resulta
no sos sos ento dos de de
Proceso Procesos
s
BAI01 0 0 0 0 0 0 0 0 0
.01
BAI01 1 1 1 1 1 1 1 1 1
.02
BAI01 1 1 1 1 1 0 0 0 0
.03
BAI01 1 1 1 1 1 1 1 1 1
.04
BAI01 1 1 1 0 0 0 0 0 0
.05
BAI01 0 0 0 0 0 0 0 0 0
.06
BAI01 1 1 1 1 1 1 1 1 1
.07
BAI01 1 1 1 1 1 1 0 0 0
.08
BAI01 0 0 0 0 0 0 0 0 0
.09
BAI01 0 0 0 0 0 0 0 0 0
.10
BAI01 1 1 1 1 1 1 0 0 0
.11
81
BAI01 1 1 1 1 1 1 0 0 0
.12
BAI01 1 1 1 1 1 1 0 0 0
.13
BAI01 1 1 1 1 1 1 1 1 1
.14
Tabla 35. Calificación de Atributos de capacidad BAI01
Definición del
1
BAI01.02 Iniciar un BAI01.03 Gestionar el compromiso de las
Optimización
de Procesos
0.8 programa. partes interesadas.
0.6
0.4
Innovación
0.2
de Procesos
0
Gestión de
los…
Gestión del
Rendimiento proceso
Definición Despliegue
Despliegue 1 de procesos
Optimización
de procesos 0.8
de Procesos
0.6
0.4 Gestión de BAI01.03 Gestionar el
Gestión de Procesos Innovación
0.2
de Procesos 0
Procesos compromiso de las
partes interesadas.
Gestión de
Control de
Control de los…
Procesos
Procesos BAI01.02 Gestión del delRendimiento del
Rendimiento Iniciar un proceso
Proceso
del Proceso programa. Rendimiento
Control de
Procesos
Rendimiento del BAI01.05 Lanzar y
Proceso ejecutar el programa.
Despliegue de
procesos
Gestión de
Procesos
Control de
Procesos
Rendimiento
del Proceso
82
BAI01.12 Gestionar los sy BAI01.13 Cerrar un proyecto o iteración.
paquetes recurso de trabajolos Definición
Definición del proy ecto. Optimización
1 o
1 0.8
Optimizació de Procesos
0.8 0.6
n de… o
0.6 0.4
0.4 Despliegue Innovación
Innovación 0.2
0.2 de procesos de Procesos 0
de Procesos BAI01.13 Cerrar un
0
Gestión de BAI01.12 proyecto o iteración.
Gestión de
Gestión de Gestionar los…
los… Procesos los
Gestión del
Gestión del recursos y Rendimiento del
Despliegue
Rendimiento del Control de los
proces
de procesos
proces Procesos paquetes
Rendimiento de trabajo Gestión de Procesos
del Proceso del
proyecto.
Control de
Procesos
Rendimiento del
Proceso
Definición del
1
BAI01.14 Cerrar un
Optimización
de Procesos
0.8 programa.
0.6
0.4
Innovación
0.2
de Procesos
0
Gestión de
los…
Gestión del
Rendimiento proceso
Despliegue
de procesos
Gestión de Procesos
Control de
Procesos
Rendimiento del BAI01.14 Cerrar un
Proceso programa.
1
0.8
0.6
0.4
0.2
0
83
Resultados Procesos
BAI01.10 Gestionar el riesgo de los
programas y proyectos.
Descripción Valor
Puntuación Óptima 126
Puntuación obtenida 68
Porcentaje alcanzado 53.96%
Escala para alcanzar el Nivel de Capacidad 1 P
Tabla 36. Escala de Nivel de Capacidad BAI01
BAI03
Atributos de Capacidad del Proceso
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión de Innovac Optimiza
so a de ión del gue de n de ol de ento del del l ión ción
Gobier proceso proceso Proce Proce Proceso Rendimi os Resulta
no sos sos ento dos de de
Proceso Procesos
s
BAI03 0 0 0 0 0 0 0 0 0
.01
BAI03 0 0 0 0 0 0 0 0 0
.02
BAI03 1 1 1 1 1 1 1 1 1
.03
BAI03 1 1 1 1 1 1 1 1 1
.04
BAI03 0 0 0 0 0 0 0 0 0
.05
BAI03 0 0 0 0 0 0 0 0 0
.06
BAI03 1 1 1 1 1 0 0 0 0
.07
BAI03 1 1 1 1 1 1 1 1 1
.08
BAI03 0 0 0 0 0 0 0 0 0
.09
BAI03 1 1 1 1 1 0 0 0 0
.10
BAI03 0 0 0 0 0 0 0 0 0
.11
84
Tabla 37. Calificación de Atributos de capacidad BAI03
Descripción Valor
Puntuación Óptima 99
Puntuación obtenida 37
Porcentaje alcanzado 37.3%
Escala para alcanzar el Nivel de Capacidad 1 P
85
Tabla 38. Escala de Nivel de Capacidad BAI03
BAI06
Atributos de Capacidad del Proceso
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión de Innovac Optimiza
so a de ión del gue de n de ol de ento del del l ión ción
Gobier proceso proceso Proce Proce Proceso Rendimi os Resulta
no sos sos ento dos de de
Proceso Procesos
s
BAI06 1 1 1 0 0 0 0 0 0
.01
BAI06 1 1 1 1 1 1 1 1 1
.02
BAI06 0 0 0 0 0 0 0 0 0
.03
BAI06 1 1 1 1 1 1 1 1 1
.04
Tabla 39. Calificación de Atributos de capacidad BAI06
BAI06.01Definición
Evaluar, priorizar y autorizar Definición del
BAI06.02 Gestionar cambios de emergencia.
Optimización 1 1
Optimización
de Procesos
0.8 peticiones de cambio. de Procesos
0.8
0.6 0.6
0.4 0.4
Innovación o Innovación
0.2 0.2
de Procesos 0 de Procesos 0
Gestión de Gestión de
los… los…
Gestión del
Gestión del
Rendimiento del
Rendimiento proceso
proces
Despliegue Despliegue
de procesos de procesos
Gestión de Gestión de
Gestión de Procesos
i
Procesos
Control de
Procesos
Control de Rendimiento del
Procesos Proceso
Rendimiento
del Proceso
86
Descripción Valor
Puntuación Óptima 36
Puntuación obtenida 21
Porcentaje alcanzado 58.3%
Escala para alcanzar el Nivel de Capacidad 1 P
Tabla 40. Escala de Nivel de Capacidad BAI06
BAI09
Atributos de Capacidad del Proceso
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión de Innovac Optimiza
so a de ión del gue de n de ol de ento del del l ión ción
Gobier proceso proceso Proce Proce Proceso Rendimi os Resulta
no sos sos ento dos de de
Proceso Procesos
s
BAI09 1 1 1 1 1 1 0 0 0
.01
BAI09 0 0 0 0 0 0 0 0 0
.02
BAI09 1 1 1 1 1 1 1 1 1
.03
BAI09 0 0 0 0 0 0 0 0 0
.04
BAI09 1 1 1 0 0 0 0 0 0
.05
Tabla 41. Calificación de Atributos de capacidad BAI09
87
BAI09.0 5 Administrar licencias. Prácticas de Gobierno contos de
Definición
atribu capacidad 0
1 Definición
Optimización o
0.8 1 o
de Procesos Optimización
0.6 0.8
de Procesos
0.4 0.6
Innovación
0.2 0.4
de Procesos Innovación BAI09.02
0 BAI09.05 0.2
de Procesos 0 Gestionar
Administrar
Gestión de activos críticos
licencias.
los… Gestión de
los… BAI09.04
Gestión del
Rendimiento del Gestión del del Optimizar el
Despliegue de proces coste de los
proces Despliegue
procesos Rendimiento activos.
de procesos
Gestión de Procesos
Gestión de
Procesos
Control de Control de
Procesos Procesos
Rendimiento del Rendimiento
Proceso del Proceso
Descripción Valor
Puntuación Óptima 45
Puntuación obtenida 18
Porcentaje alcanzado 40.0%
Escala para alcanzar el Nivel de Capacidad 1 P
Tabla 42. Escala de Nivel de Capacidad BAI09
BAI10
Atributos de Capacidad del Proceso
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión de Innovac Optimiza
so a de ión del gue de n de ol de ento del del l ión ción
Gobier proceso proceso Proce Proce Proceso Rendimi os Resulta
no sos sos ento dos de de
Proceso Procesos
s
BAI10 0 0 0 0 0 0 0 0 0
.01
BAI10 0 0 0 0 0 0 0 0 0
.02
BAI10 0 0 0 0 0 0 0 0 0
.03
BAI10 0 0 0 0 0 0 0 0 0
.04
BAI10 0 0 0 0 0 0 0 0 0
.05
Tabla 43. Calificación de Atributos de capacidad BAI10
88
Figura 37. Radar de atributos de capacidad BAI10
Descripción Valor
Puntuación Óptima 45
Puntuación obtenida 0
Porcentaje alcanzado 0.0%
Escala para alcanzar el Nivel de Capacidad 1 N
Tabla 44. Escala de Nivel de Capacidad BAI10
DSS01
Atributos de Capacidad del Proceso
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión de Innovac Optimiza
so a de ión del gue de n de ol de ento del del l ión ción
Gobier proceso proceso Proce Proce Proceso Rendimi os Resulta
no sos sos ento dos de de
Proceso Procesos
s
DSS01 1 1 1 1 1 0 0 0 0
.01
DSS01 0 0 0 0 0 0 0 0 0
.02
DSS01 0 0 0 0 0 0 0 0 0
.03
DSS01 1 1 1 1 1 0 0 0 0
.04
DSS01 1 1 1 1 1 1 1 1 1
.05
Tabla 45. Calificación de Atributos de capacidad DSS01
89
Definición del
DSS01.01
1
Ejecutar os DSS01.04 Gestionar el
Optimización
de Procesos
0.8 procedimient entorno
0.6
0.4 operativos
Innovación de
0.2
Procesos 0
Gestión de los
Resultados DSS01.01 Ejecutar
Gestión del procedimientos
Rendimiento operativos
proceso
Definición
Optimización 1 Despliegue
0.8
Despliegue de de Procesos de procesos
0.6
procesos 0.4
Innovación Gestión de Procesos
0.2
Gestión de Procesos de Procesos 0
Control Gestión de
de Procesos los… Control de
Rendimiento del Gestión del del Procesos
Proceso proceso Rendimiento DSS01.04 Gestionar
Rendimiento del Proceso el entorno
Descripción Valor
Puntuación Óptima 45
Puntuación obtenida 19
Porcentaje alcanzado 42.2%
Escala para alcanzar el Nivel de Capacidad 1 P
Tabla 46. Escala de Nivel de Capacidad DSS01
DSS02
Atributos de Capacidad del Proceso
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión de Innovac Optimiza
so a de ión del gue de n de ol de ento del del l ión ción
Gobier proceso proceso Proce Proce Proceso Rendimi os Resulta
no sos sos ento dos de de
Proceso Procesos
s
DSS02 1 1 1 1 1 1 0 0 0
.01
DSS02 0 0 0 0 0 0 0 0 0
.02
90
DSS02 1 1 1 1 1 1 1 1 1
.03
DSS02 0 0 0 0 0 0 0 0 0
.04
DSS02 1 1 1 1 1 1 1 1 1
.05
DSS02 1 1 1 1 1 0 0 0 0
.06
DSS02 0 0 0 0 0 0 0 0 0
.07
esquemas de
Innovación Gestión de de…Procesos clasificación de
incidentes y
Gestión de Control de peticiones de los… Procesos servicio.
Gestión del Rendimient
Rendimie… o del…
servicio e
Rendimie… o del…
91
Prácticas de Gobierno con atributos de
capacidad 0
Definición DSS02.02 Registrar, del proceso clasificar y
1 priorizar
0.8
0.6 Optimizació Despliegue
0.4 peticiones e n de… de procesos
0.2 incidentes.
0
Descripción Valor
Puntuación Óptima 63
Puntuación obtenida 29
Porcentaje alcanzado 46.0%
Escala para alcanzar el Nivel de Capacidad 1 P
Tabla 48. Escala de Nivel de Capacidad DSS02
92
DSS03
Atributos de Capacidad del Proceso
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión de Innovac Optimiza
so a de ión del gue de n de ol de ento del del l ión ción
Gobier proceso proceso Proce Proce Proceso Rendimi os Resulta
no sos sos ento dos de de
Proceso Procesos
s
DSS03 1 1 1 0 0 0 0 0 0
.01
DSS03 1 1 1 1 1 1 1 1 1
.02
DSS03 0 0 0 0 0 0 0 0 0
.03
DSS03 0 0 0 0 0 0 0 0 0
.04
DSS03 1 1 1 1 1 0 0 0 0
.05
Tabla 49. Calificación de Atributos de capacidad DSS03
Definición
DSS03.01 Identificar y DSS03.02
1
Investigar y ar
Optimizació
clasificar n de…
0.8 diagnostic
0.6
problemas. Innovación
0.4 problemas.
0.2
de Procesos 0
o
Gestión de Despliegu
los… e de DSS03.02
Gestión del procesos Investigar y
Rendimiento del diagnostica
proces Gestión de r
Procesos problemas.
Control de
Definición
Despliegu Procesos
Optimizació 1
e de Rendimiento
0.8
n de… 0.6 procesos del Proceso
0.4
Innovación Gestión de
0.2
de Procesos 0
Procesos
Gestión de DSS03.01
los… Control de Identificar
Gestión del del Procesos y clasificar
proceso Rendimiento problemas
Rendimiento del Proceso .
93
DSS03.05 Realizar una gestión d e Prácticas de Gobierno con atributos de
problemas proactiva. capacidad 0
Definición Definición
Optimizaci 1 Despliegue Optimizaci 1 Despliegue
0.8 0.8
ón de… 0.6 de… ón de… 0.6 de…
Innovación 0.4 Gestión de Innovación 0.4 Gestión de
0.2 DSS03.05 0.2 DSS03.03
de… 0 Procesos de… 0 Procesos Levantar errores
Realizar
conocidos.
Gestión de Control de una gestión Gestión de Control de
los… Procesos de los… Procesos DSS03.04
Gestión del Rendimien problemas Gestión Rendimien Resolver y
del… del…
proactiva. cerrar
Rendimie… to del… del… to del…
problemas.
Descripción Valor
Puntuación Óptima 45
Puntuación obtenida 17
Porcentaje alcanzado 37.7%
Escala para alcanzar el Nivel de Capacidad 1 P
Tabla 50. Escala de Nivel de Capacidad DSS03
DSS04
Atributos de Capacidad del Proceso
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión de Innovac Optimiza
so a de ión del gue de n de ol de ento del del l ión ción
Gobier proceso proceso Proce Proce Proceso Rendimi os Resulta
no sos sos ento dos de de
Proceso Procesos
s
DSS04 1 1 1 0 0 0 0 0 0
.01
DSS04 1 1 1 1 1 0 0 0 0
.02
DSS04 0 0 0 0 0 0 0 0 0
.03
DSS04 0 0 0 0 0 0 0 0 0
.04
DSS04 0 0 0 0 0 0 0 0 0
.05
DSS04 0 0 0 0 0 0 0 0 0
.06
DSS04 0 0 0 0 0 0 0 0 0
.07
DSS04 0 0 0 0 0 0 0 0 0
.08
Tabla 51. Calificación de Atributos de capacidad DSS04
94
DSS04.01 Definir la política de DSS04.02 Mantener una estrategia de
continuidad del negocio, objetivos continuidad.
y alcance. Definición
Definición
Optimizaci 1 Despliegue
0.8
Optimizaci 1 Despliegu ón de… 0.6 de…
0.8
ón de… 0.6 e de… 0.4 DSS04.02
Innovación Gestión de
0.4 0.2 Mantener una
Innovació Gestión de la política de de… 0 Procesos
0.2
n de… 0 Procesos continuidad del
Gestión de Control de continuidad.
Gestión de Control de los… Procesos
los… Procesos Gestión del Rendimient
Gestión Rendimien del proceso
del…
DSS04.01 Definir
estrategia de
negocio, objetivos
y alcance.
Rendimie… o del…
del… to del…
DSS04.03 Desarrollar e
implementar una
Optimización de Desplieguederespuestaalacontinuidaddelnegocio.
Procesos procesos
DSS04.04 Ejercitar, probar y
revisar el plan de continuidad.
Innovación deDSS04.05 Revisar, mantener y mejorar el
Gestión de Procesos
Procesosplan de continuidad.
DSS04.06 Proporcionar formación
en el plan de continuidad.
Descripción Valor
Puntuación Óptima 72
Puntuación obtenida 8
Porcentaje alcanzado 11.1%
Escala para alcanzar el Nivel de Capacidad 1 N
Tabla 52. Escala de Nivel de Capacidad DSS04
MEA01
Atributos de Capacidad del Proceso
Proce Práctica Definic Desplie Gesti Contr Rendimi Gestión Gestión de Innovac Optimiza
so de ión del gue de ón de ol de ento del del l ión ción
Gobier proceso proceso Proce Proce Proceso Rendimi os Resulta
no sos sos ento dos de de
Proceso Procesos
s
MEA01 0 0 0 0 0 0 0 0 0
.01
MEA01 1 1 1 1 1 1 1 1 1
.02
95
MEA01 0 0 0 0 0 0 0 0 0
.03
MEA01 1 1 1 1 1 1 1 1 1
.04
MEA01 1 1 1 1 1 1 1 1 1
.05
Tabla 53. Calificación de Atributos de capacidad MEA01
Definición
MEA01.02 Establecer
1
los objetivos MEA01.04Definición
1
Analizar e informar
Optimizaci Optimizaci
de0.8
ón de… 0.6 cumplimiento y 0.8
ón de… 0.6 sobre el rendimiento.
Innovación rendimiento.
0.4
0.2
Innovació 0.4
0.2
de… n de… 0
0
Gestión de Gestión de
los… los…
Gestión
Gestión de l
del… del…
Rendimie… del
proceso
Desplie
gu e
Despliegue de…
de…
Gestión de MEA01.02 Gestión de MEA01.04 Analizar
Procesos Establecer
Procesos e informar sobre Control de
los objetivos
Control de el rendimiento.
de
Procesos
cumplimient Proce
Rendimie
o y sos
nt o
rendimiento Rendimien
del…
. to del…
Descripción Valor
Puntuación Óptima 45
Puntuación obtenida 27
Porcentaje alcanzado 60.0%
Escala para alcanzar el Nivel de Capacidad 1 P
Tabla 54. Escala de Nivel de Capacidad MEA01
96
97
CAPÍTULO V
RESULTADOS
5.1. HALLAZGOS IMPORTANTES
En el capítulo anterior se realizó la Calificación de Atributos de capacidad de cada uno
de los procesos seleccionados de aquellos subprocesos que cumplían con la
documentación mínima, donde pudimos observar a través del gráfico de radar que
algunos procesos no han alcanzado la escala de Proceso Parcialmente Alcanzado (P),
esto debido a que la Municipalidad Provincial del Santa no está desarrollando las
Prácticas de Gobierno mínimas para el correcto Gobierno de TI. A continuación, se
presenta un Consolidado de Escalas de todos los procesos antes vistos.
Escala Definición
N Proceso No alcanzado, debido a que la GITIC no cuenta con
documentación en ningunas de las prácticas de gobierno que le
corresponde a este proceso.
Proceso No alcanzado, debido a que la GITIC no cuenta con la
documentación suficiente en las prácticas de gobierno que le
corresponde a este proceso.
98
P Proceso Parcialmente alcanzado, la GITIC se encuentra en
proceso del logro del proceso ya que existe evidencia del avance.
L Proceso Ampliamente alcanzado, la GITIC ha alcanzado el logro
del proceso ya que existe evidencia del cumplimiento de las
prácticas de gobierno casi al 100%.
Tabla 55. Definición de Escalas
Proceso % Alcanzado Escala Definición
en la GITIC
EDM02 0.0% N Proceso No alcanzado
EDM05 22.2% N Proceso No alcanzado
APO01 27.7% N Proceso No alcanzado
APO04 48.14% P Proceso Parcialmente alcanzado
APO07 38.8% P Proceso Parcialmente alcanzado
APO13 0.0% N Proceso No alcanzado
BAI01 53.96% P Proceso Parcialmente alcanzado
BAI03 37.3% P Proceso Parcialmente alcanzado
BAI06 58.3% P Proceso Parcialmente alcanzado
BAI09 40.04% P Proceso Parcialmente alcanzado
BAI10 0.0% N Proceso No alcanzado
DSS01 42.2% P Proceso Parcialmente alcanzado
DSS02 46.0% P Proceso Parcialmente alcanzado
DSS03 37.7% P Proceso Parcialmente alcanzado
DSS04 11.1% N Proceso No alcanzado
MEA01 60.0% P Proceso Parcialmente alcanzado
Tabla 56. Resultados de la evaluación de procesos
La tabla 56 muestra un resumen de los resultados obtenidos en cada proceso
evaluado, indicando el porcentaje alcanzado, evidenciando que aún existe mucho
por mejorar.
99
Figura 43. Resultados de la evaluación de Procesos
5.1.1. Positivos
Al realizar la auditoría se detectó que muchos de los documentos de
gestión, planes y políticas se encuentran accesibles para la comunidad
a través del Portal de Transparencia Estándar alojado la página web
institucional, de esta manera representa un valioso aporte para la
comunidad y a su vez le exigirá propuestas de mejora continua a la
página web institucional.
100
Parcialmente Alcanzado”, lo que significa que existe evidencia de que
se está trabajando para la mejora y logro de los procesos de TI en la
Gerencia.
El ROF regula los requisitos mínimos que debe cumplir el profesional
del área de TI, teniendo consigo políticas de contratación de personal.
La GITIC lleva un control del personal que labora en la gerencia, ver
Anexo1.Recursos Humanos de la Gerencia, sus funciones
asignadas al cargo a través de Memorándum, lo cual ayuda a
identificar el personal clave del área y generar estrategias de apoyo y
mejora.
Existe un presupuesto asignado para la ejecución de planes y
proyectos de TI, el cual es supervisado para ver el cumplimiento de
las metas, siendo documentado todo avance de proyecto.
La GITIC cuenta con un S.I de control de equipos informáticos en la
Unidad de Soporte Técnico, donde llevan un registro del hardware de
la entidad, Ver Anexo2. Registro de hardware informático.
Se observó que el personal de la GITIC sigue un proceso adecuado en
cuanto a las solicitudes de cambio o modificación de registro de datos
y sistemas.
101
El Órgano de Control Interno (OCI) evalúa el rendimiento y
cumplimiento de las políticas sobre Transparencia y Acceso a la
Información Pública, siendo un punto para mejorar y mantener
actualizado el PTE, documentos y optimizando los servicios.
5.1.2. Oportunidades de mejora
En el desarrollo de la auditoría se detectó que ningún proceso se
encuentra logrado al 100%, donde el 62.5% está parcialmente
alcanzado y el 37.5 está en la escala de Proceso No Alcanzado.
La GITIC no tiene reglamentado la elaboración de informes, debido a
ello se detectó que el personal nuevo a veces no realizaba informes de
las labores encomendadas.
La Municipalidad Provincial del Santa cuenta con el Manual de
Políticas de Gestión Institucional, sin embargo, la GITIC no cuenta
con documentación sobre Políticas Relativas a TI, siendo los
responsables de la elaboración del mismo.
Se detectó que existen Planes y Proyectos de TI, sin embargo, muchos
de ellos no se han llevado a cabo por falta de personal especializado.
Con la auditoría se observó que sólo se ha logrado implantar 01
solución informática desarrollada por un trabajador de la GITIC en
102
No existe un control para el proceso de backups, algunos trabajadores
realizan backups semanalmente, otros lo realizan a diario y otros no
realizan.
Se observó que cuando ocurre un problema, sólo algunos emiten
informes de lo ocurrido y de la solución aplicada.
Se observó que las conexiones y el cableado de red no cumple con los
estándares establecidos y que el Centro de Datos necesita
mantenimiento. Ver Anexo5. Centro de Datos MPS, Anexo6.
Equipos en mal estado en el Centro de Datos MPS.
El Centro de Datos no cuenta con las medidas de seguridad y el acceso
no se encuentra restringido ya que anteriormente contaba con un lector
biométrico de huella digital, sin embargo, actualmente se encuentra
malogrado. Ver Anexo7. Lector biométrico del Centro de Datos
La GITIC no cuenta con acciones para la mejorar la entrega de valor
de sus servicios, no realizan evaluaciones para saber si están alineados
con la estrategia institucional.
Se detectó que La GITIC no tiene Directrices para el control y
seguridad de datos.
No hay Gestión para la mejora de Procesos, siendo los procesos
fundamentales de la Municipalidad, el Proceso que abarca Rentas y el
proceso de Logística.
103
5.2. RECOMENDACIONES DE AUDITORÍA
Con los resultados obtenidos en la Auditoría realizada, se elaboraron las siguientes
recomendaciones, con el fin de que la Gerencia ponga en marcha las actividades
necesarias para el cumplimiento de los procesos que faltan lograr y apoyar los
procesos que se encuentran en su etapa inicial.
Proceso Recomendación
EDM02 1. Comprender los requerimientos de las partes interesadas,
Asegurar la trabajadores de la municipalidad y usuarios externos para
Entrega de realizar los S.I.
Beneficios 2. Establecer reuniones de trabajo con los funcionarios de las
distintas áreas de la Municipalidad para
3. Definir y comunicar la cartera de proyectos y los tipos de
inversión, categorías, criterios y ponderaciones.
4. Crear un grupo dedicado al desarrollo de aplicaciones y S.I
EDM05 1. Examinar y juzgar los requisitos actuales y futuros de
Asegurar elaboración de informes respecto al uso de TI dentro de la
la empresa (regulación, legislación, leyes generales, requisitos
Transparencia contractuales), incluyendo alcance y frecuencia.
hacia las 2. Establecer mecanismos de validación y aprobación de la
partes elaboración obligatoria de informes.
interesadas 3. Establecer políticas que regulen la entrega de informes a
través de medios físicos o digitales dentro de la Gerencia.
APO01 1. Establecer un Comité Estratégico de TI y Comité Directivo de
Gestionar el TI.
Marco de 2. Definir reglas básicas de comunicación en la Gerencia.
Gestión de TI 3. Delimitar claramente las responsabilidades y la rendición de
cuentas, especialmente para la aprobación y toma de
decisiones.
4. Implementar prácticas de supervisión adecuadas para
garantizar que los roles y las responsabilidades se pongan en
práctica de forma correcta
5. Alinearse con los estándares y códigos de práctica de
104
APO04 1. Crear un plan de innovación con el respectivo equipo de
Gestionar la trabajo
Innovación 2. Crear un entorno que fomente la innovación manteniendo
iniciativas de recursos humanos relevantes, tales como el
reconocimiento de la innovación y programas de
reconocimiento, una rotación apropiada en los puestos de
trabajo y tiempo prudencial para la experimentación.
3. Mantener un programa que permita a los empleados presentar
ideas innovadoras y crear una estructura adecuada de toma
de decisiones para evaluar y aplicar estas ideas.
Animar a Innovar a todo el personal.
APO07 1. Evaluar las necesidades de personal de forma regular.
Gestionar los 2. Mantener los procesos de contratación y de retención del
Recursos personal de TI y del negocio en línea con las políticas y
Humanos procedimientos de personal globales de la empresa.
3. Capacitación y Evaluación del Personal de TI .
4. Minimizar la dependencia en una sola persona en la
realización de una función crítica de trabajo mediante la
captura de conocimiento (documentación), el intercambio de
conocimientos, la planificación de la sucesión, el respaldo
(backup) del personal, el entrenamiento cruzado e iniciativas
de rotación de puestos.
5. Incentivar una cultura de trabajo en equipo.
APO13 1. Establecer un SGSI definiendo el alcance y los límites del
Gestionar la SGSI en términos de las características de la empresa, la
Seguridad organización, su localización, activos y tecnología. Incluir
detalles de y justificación para, cualquier exclusión del
alcance.
2. Invertir en la Seguridad de la Información.
3. Renovar los equipos de seguridad de la institución.
4. Mejorar la seguridad de los S.I y Base de Datos.
BAI01 1. Mantener y reforzar un enfoque estándar de la gestión de
Gestionar los programas y proyectos alineados al entorno específico de la
Programas y empresa y a las buenas prácticas basadas en procesos
Proyectos definidos y el uso de tecnología apropiada.
2. Identificar, comprometer y gestionar a las partes interesadas,
estableciendo y manteniendo niveles apropiados de
coordinación, comunicación y vinculación para asegurar que
estén involucrados en los programas/proyectos.
105
BAI03 1. Establecer especificaciones de diseño a alto nivel que
Gestionar traduzcan la solución propuesta en procesos de negocio,
la servicios soportados, aplicaciones, infraestructura y
Identificación repositorios de información capacidades de cumplir con los
y la requerimientos de arquitectura de negocio y empresa.
Construcción 2. Establecer un equipo de desarrollo de soluciones de T.I.
de Soluciones 3. Planeamiento dela integración de los S.I
en la Municipalidad.
BAI06 1. Utilizar peticiones de cambio formales para posibilitar que
Gestionar los los propietarios de procesos de negocio y TI soliciten
Cambios cambios en procesos de negocio, infraestructura, sistemas o
aplicaciones
2. Supervisar todos los cambios de emergencia y realizar
revisiones post-implantación involucrando a todas las partes
interesadas.
3. Elaborar informes de cambios de estado.
BAI09 1. Verificar la existencia de todos los activos en propiedad
Gestionar los mediante la realización periódica de controles de inventario
Activos físicos y lógicos y su conciliación,
2. Determinar de forma regular si cada activo continúa
proporcionando valor y, si es así, estimar la vida útil prevista
de dicha validez.
3. Supervisar el rendimiento de los activos críticos examinando
las tendencias de incidentes y, en caso necesario, tomar
medidas para reparar o reemplazar.
4. Establecer un registro de inactividad del hardware para que se
realice el mantenimiento en el tiempo adecuado.
5. Establecer un plan de mantenimiento preventivo para todo el
hardware, considerando un análisis coste-beneficio,
recomendaciones del proveedor, el riesgo de interrupción del
servicio, personal cualificado y otros factores relevantes.
6. Elaborar un cronograma de mantenimiento de rutina
periódico.
7. Mejorar y actualizar constantemente el software de
inventario.
8. Realizar el cableado estructurado en el Edificio Municipal y
en las sedes externas.
BAI10 1. Establecer y mantener un modelo lógico para la gestión de la
Gestionar la configuración, incluyendo información sobre los tipos de
Configuración elementos de configuración, atributos de los elementos de
configuración, tipos de relaciones, atributos de relación y
códigos de estado.
2. Implantar políticas para el proceso y control de backups de
Base de Datos y S.I
DSS01 1. Desarrollar y mantener procedimientos operativos y
Gestionar las actividades relacionadas para dar apoyo a todos los servicios
Operaciones entregados
2. Programar, realizar y registrar las copias de respaldo de
106
acuerdo con las políticas y procedimientos establecidos.
3. Identificar y mantener una lista de activos de infraestructura
que necesiten ser monitorizados en base a la criticidad del
servicio y la relación entre los elementos de configuración y
los servicios que de ellos dependen.
4. Producir registros de eventos y retenerlos por un periodo
apropiado para asistir en investigaciones futuras
5. Identificar desastres naturales y causados por el ser humano
que puedan ocurrir en el área donde se encuentran las
instalaciones de TI. Evaluar el efecto potencial en las
instalaciones de TI.
6. Establecer un Plan de Contingencia en la GITIC.
DSS02 1. Definir esquemas de clasificación y priorización de incidentes
Gestionar las y peticiones de servicio y criterios para el registro de
Peticiones y los problemas, para asegurar enfoques consistentes en el
Incidentes del tratamiento, informando a los usuarios y realizando análisis
Servicio de tendencias.
2. Definir modelos de incidentes para errores conocidos con el
fin de facilitar su resolución eficiente y efectiva
DSS03 1. Manejar formalmente todos los problemas con acceso a todos
Gestionar los los datos relevantes, incluyendo información sobre el sistema
Problemas de gestión de cambios y los detalles de incidentes sobre
configuración/activos TI.
2. Mantener un catálogo de gestión de problemas único para
registrar e informar sobre problemas identificados y para
establecer pistas de auditoría sobre los procesos de gestión de
problemas, incluyendo el estado de cada problema (p. ej.,
abierto, reabierto, en progreso o cerrado).
DSS04 1. Identificar procesos de soporte al negocio esenciales y
Gestionar la servicios TI relacionados.
Continuidad 2. Realizar un análisis de impacto en el negocio para evaluar el
impacto en tiempo de una disrupción en funciones críticas del
negocio y el efecto que tendría en ellas
MEA01 1. Definir y revisar periódicamente los objetivos y métricas con
Supervisar, las partes interesadas para identificar cualquier detalle
Evaluar y significativo omitido y definir la razonabilidad de metas y
Valorar tolerancias
Rendimiento y 2. Utilizar herramientas y sistemas apropiados para el
Conformidad procesamiento y formateo de datos para análisis.
Tabla 57. Recomendaciones de Auditoría
107
CAPÍTULO VI
CONCLUSIONES Y
RECOMENDACIONES
6.1. CONCLUSIONES
• Se aplicó los 5 principios del Modelo Cobit en la Gerencia de Informática de
la Municipalidad Provincial del Santa, donde se detectó deficiencias en los
procesos de evaluación siguientes: Proceso EDM, Proceso APO, Proceso
BAI, Proceso DSS y Proceso MEA.
• La Gerencia de Informática de la Municipalidad Provincial del Santa posee
sistemas de información con niveles de seguridad muy bajos, documentación
de software escasa y a su vez los S.I necesitan soporte.
• Se evaluaron 16 procesos de Gobierno y Gestión de los cuales, 6 se
encuentran en la escala de “Proceso No Alcanzado”, lo cual representa el
37.5%, 10 procesos se encuentran en la escala de “Proceso Parcialmente
Alcanzado” siendo el 62.5% del total y ningún proceso se encuentra
“Ampliamente Alcanzado”.
108
• Se han redactado las recomendaciones para cada proceso evaluado, tomando
como base las pautas del Modelo Cobit y las necesidades de la Municipalidad
Provincial del Santa.
• Se detectaron oportunidades de mejora en la Gerencia de Informática en
diversos aspectos como infraestructura, procesos y recursos humanos y
tecnológicos.
• Como aspectos positivos la organización cuenta con la mayoría de sus
documentos de gestión actualizados, planes y políticas. La Gerencia cuenta
con un presupuesto para ejecución de planes y proyectos de T.I los cuales se
encuentran plasmados en el PETI (Plan Estratégico de Tecnologías de la
Información).
• Se realizó un informe Final de Auditoría donde se detalló todos los resultados
y recomendaciones para la mejora de los procesos, S.I e infraestructura.
6.2. RECOMENDACIONES
Después de haber realizado la auditoría se recomienda establecer reuniones de trabajo
que involucren a los funcionarios de la Municipalidad Provincial del Santa para
asegurar la entrega de beneficios con el adecuado uso de las tecnologías de T.I, donde
puedan exponer sus requerimientos para la elaboración de nuevos S.I e integrar los
que ya existen.
109
Gestionar los programas y proyectos del área de TI, gestionar la identificación y
construcción de soluciones, definir y documentar todos los proyectos y programas,
supervisar las peticiones de cambio en los S.I de la Municipalidad.
BIBLIOGRAFÍA
110
José Peña Ibarra (2012) COBIT 5. Recuperado de:
https://www.isaca.org/chapters7/Monterrey/Events/Documents/20120305%20Cob
iT%205.pdf
111
Contraloría General de la República.,(2015) Guía Técnicas de Auditoría. Recuperado de:
http://doc.contraloria.gob.pe/libros/2/pdf/guia_tecnicas_auditoria.pdf
112
Anexo 2: Registro de hardware informático.
113
Anexo 3: Sistemas de Información MPS
114
Anexo 4: Relación de Licencias de Software
115
Anexo 6: Equipos en mal estado en el Centro de Datos MPS
116
Anexo 7: Lector biométrico del Centro de Datos
117
Anexo 8: Informe Final de Auditoría
118
119
120