Tesis Cobit

UNIVERSIDAD NACIONAL DEL SANTA
FACULTAD DE INGENIERIA
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS E

INFORMÁTICA
APLICACIÓN DEL MODELO COBIT PARA AUDITORIA DE SISTEMAS DE

INFORMACIÓN EN LA GERENCIA DE INFORMÁTICA DE LA
MUNICIPALIDAD PROVINCIAL DEL SANTA
“Informe de Prácticas Pre Profesionales para obtener el Grado Académico de

Bachiller en Ingeniería de Sistemas e Informática’’
AUTOR:
LIDIA BERENICE VELEZ COBEÑAS
ASESOR:
DR. GUILLERMO EDWARD GIL ALBARRÁN
NUEVO CHIMBOTE – PERÚ
2019

INFORMÁTICA


REVISADO Y APROBADO POR:
_______________________________________ DR. GUILLERMO EDWARD GIL

ALBARRÁN Asesor
2019

INFORMÁTICA
TÍTULO


REVISADO Y APROBADO POR EL JURADO EVALUADOR:
_________________________
_________________________ Presidente
Secretario
_________________________
_________________________ Miembro
Accesitario
2019
DEDICATORIA
A mis padres Tey y Mirtha, por el esfuerzo que han hecho a lo largo de mi vida, para
verme realizada como una profesional, siendo el mejor ejemplo y guía.
A Betania y Belén, mis hermanas y cómplices. A Betania por ser como una madre y
cuidarme en todo momento. A mi hermana menor Belén que irradia alegría y provoca las
más grandes sonrisas.
i
AGRADECIMIENTO
A Dios por ser fuente de sabiduría, por enseñarme en cada tropiezo y llenarme de gozo
en cada logro.
Al Ing. David Aguirre Ramírez, por brindarme la oportunidad de terminar mi formación

bajo su guía en la Municipalidad Provincial del Santa, por compartir no sólo sus
conocimientos sino también sus experiencias y sobre todo por ayudarme a encontrar el
área laboral que aspiro alcanzar.
A todos los ingenieros con los que compartí oficina, Alexis, Alin y José Luis. Por sus
aportes y disponibilidad para el desarrollo de este proyecto.
Al Ing. Pool Alayo Guimaray, por estar presto a brindarme información y acceso a la
Gerencia de Informática en la última etapa del proyecto.
Al Dr. Guillermo Gil Albarrán, por asesorarme en el desarrollo de este informe, por su
paciencia, tiempo invertido y por ser un gran profesional.
Al Blgo. Jean Baltodano, por compartir su experiencia en la sustentación de proyectos de

investigación y aconsejarme realizar mis prácticas en la Municipalidad, trayendo consigo
grandes satisfacciones en mi vida profesional y laboral.
A Yomira Miñano, gran amiga, por sus aportes y por ser aquella persona incondicional
desde que ingresé a ésta casa de estudios.
Por último, a cada uno de mis compañeros y docentes de la Universidad Nacional del
Santa, por la formación y apoyo en mi proceso de aprendizaje.
ii
PRESENTACIÓN
Señores miembros del Jurado Evaluador.
En cumplimiento a lo dispuesto por el Reglamento General de Grados y Títulos de la

Universidad Nacional del Santa, presento ante ustedes el Informe de Practicas Pre
Profesionales titulado:
“APLICACIÓN DEL MODELO COBIT PARA AUDITORIA DE SISTEMAS DE

MUNICIPALIDAD PROVINCIAL DEL SANTA”
Como requisito para Optar el Grado Académico de Bachiller en Ingeniería de Sistemas e

Informática.
El presente informe de Prácticas Pre Profesionales ha sido desarrollado para identificar,

analizar y mejorar los procesos de la Gerencia de Informática de la Municipalidad
Provincial del Santa a través de la auditoría de sistemas de información, aplicando el
modelo internacional Cobit, a fin de proponer mejoras y sistemas de control que
garanticen la seguridad del activo principal de una organización, la información.
Por lo expuesto, a ustedes señores miembros del jurado evaluador, presento mi informe,
para su revisión, esperando cumpla con los requisitos mínimos para su aprobación.
Atentamente,
LIDIA BERENICE VELEZ COBEÑAS
ii
i
RESUMEN
El presente informe de Prácticas Pre Profesionales tuvo como finalidad el desarrollo de
una auditoría de sistemas de información en la Gerencia de Informática de la
Municipalidad Provincial del Santa, aplicando el modelo internacional Cobit en su
versión 5.
Se realizó el levantamiento de la información en colaboración con el ingeniero

responsable de la gerencia de informática, ingenieros a cargo de los diversos sistemas de
información y la Unidad de Soporte Técnico.
Para el desarrollo de la auditoría se toma como modelo de referencia el Modelo Cobit,

seleccionando y aplicando los procesos de cada dominio a los objetivos de la auditoría.
La auditoría inicia realizando la selección de objetivos empresariales y objetivos de T.I,

donde evaluamos las 17 metas corporativas según Cobit de las cuales 10 metas alcanzaron
la ponderación mayor. Una vez evaluados los objetivos empresariales (Municipalidad) se
evalúan los objetivos de T.I(Gerencia de Informática). El propósito de esta evaluación es
para mostrar la importancia de las T.I en el cumplimiento de los objetivos de la empresa.
Posteriormente se realizó la selección de los procesos facilitadores y prácticas de

Gobierno, donde se evaluó el cumplimiento de las Prácticas de Gobierno en la Gerencia
de Informática, esto se desarrolló a través de tablas.
Finalmente se muestran los resultados en un gráfico de radar, donde se aprecia el nivel

alcanzado de cada proceso evaluado. Donde el 37.5% de procesos se encuentran en la
escala de “Proceso No Alcanzado” y el 62.5% se encuentra “Parcialmente Alcanzado”,
por lo cual existen muchos aspectos que deben ser mejorados.
Al concluir la auditoría se detectaron hallazgos importantes y oportunidades de mejora,

asimismo se elaboraron recomendaciones de auditoría para la mejora de la Gerencia de
Informática y T.I.
iv
INTRODUCCIÓN
La Municipalidad Provincial del Santa tiene como activo importante la información y por
lo tanto tiene a su cargo la custodia de la misma, por lo tanto el objetivo de los estándares
orientados a la seguridad de información en una organización es el establecimiento de
metodologías, prácticas y procedimientos que buscan proteger la información como
activo valioso.
La correcta gestión de la información permite resolver problemas y sirve como apoyo

fundamental para la toma de decisiones, ya que su aprovechamiento racional es la base
del conocimiento.
Con el fin de mejorar diversos procesos de T.I se propone una auditoría aplicando el
Modelo Internacional Cobit, donde a través de una serie de llineamientos, pone en
evidencia el estado de la organización sobre tecnologías de la información. Para la
evaluación de los procesos se necesita información de los mismos, roles para operar
estructuras organizativas, apoyo de la institución, evaluación de infraestructura,
aplicaciones, base de datos, entre otros.
En el capítulo 1, “La empresa” se muestra reseña histórica y datos principales de la

institución en estudio.
En el capítulo 2, “Planteamiento del problema” se describe la realidad problemática de la

institución y el planteamiento del problema.
En el capítulo 3, “Marco teórico” se describen conceptos generales sobre auditoría y

herramientas de apoyo para la auditoría.
En el capítulo 4, “Desarrollo de la Auditoría” se realiza la selección de los procesos a ser

auditados y se desarrolla cada una de las prácticas de gobierno
En el capítulo 5, “Resultados”, se describe los resultados obtenidos en el desarrollo de la

auditoría.
En el capítulo 6, “Conclusiones y recomendaciones”, se muestran las conclusiones finales

y las recomendaciones para la mejora de la gestión y gobierno de T.I.
v
ÍNDICE
DEDICATORIA .............................................................................................................. i
AGRADECIMIENTO ................................................................................................... ii
PRESENTACIÓN ......................................................................................................... iii
RESUMEN ..................................................................................................................... iv
INTRODUCCIÓN .......................................................................................................... v
ÍNDICE .......................................................................................................................... vi
CAPÍTULO I .................................................................................................................. 1
LA EMPRESA ................................................................................................................ 1
1.1. RESEÑA HISTÓRICA ...................................................................................... 1
1.2. PERFIL DE LA EMPRESA .............................................................................. 2
1.2.1. Datos Generales de la Empresa .................................................................. 2
1.2.2. Actividad de la Empresa ............................................................................. 3
1.2.3. Alcance de la Empresa ................................................................................ 3
1.2.4. Logotipo ........................................................................................................ 3
1.3. FILOSOFÍA CORPORATIVA ......................................................................... 3
1.4. VISIÓN Y MISIÓN DE LA EMPRESA .......................................................... 3
1.4.1. Visión ............................................................................................................ 3
1.4.2. Misión ........................................................................................................... 4
1.5. VALORES ........................................................................................................... 4
1.6. OBJETIVOS ESTRATÉGICOS ....................................................................... 4
1.7. ORGANIZACIÓN ACTUAL DE LA EMPRESA .......................................... 6
CAPÍTULO II ................................................................................................................. 7
PLANTEAMIENTO DEL PROBLEMA ..................................................................... 7
2.1. REALIDAD PROBLEMÁTICA ....................................................................... 8
vi
2.2. ANÁLISIS DEL PROBLEMA .......................................................................... 9
2.3. ANTECEDENTES DEL PROBLEMA .......................................................... 10
2.3.1. Antecedentes Internacionales ................................................................... 10
2.3.2. Antecedentes Nacionales ........................................................................... 11
2.3.3. Antecedentes Locales ................................................................................. 11
2.4. FORMULACIÓN DEL PROBLEMA ............................................................ 12
2.5. HIPÓTESIS ....................................................................................................... 12
2.6. OPERACIONALIZACIÓN DE LAS VARIABLES ..................................... 12
2.7. OBJETIVOS ..................................................................................................... 13
2.7.1. Objetivo General ........................................................................................ 13
2.7.2. Objetivos Específicos ................................................................................. 13
2.8. JUSTIFICACIÓN ............................................................................................. 14
2.8.1. Económica .................................................................................................. 14
2.8.2. Técnica ........................................................................................................ 14
2.8.3. Operativa .................................................................................................... 14
2.8.4. Social ........................................................................................................... 14
2.8.5. Personal ...................................................................................................... 14
2.8.6. Tecnológica ................................................................................................. 14
2.9. IMPORTANCIA DE LA INVESTIGACIÓN ................................................ 15
2.10. LIMITACIONES............................................................................................. 15
2.11. DISEÑO DE INVESTIGACIÓN ................................................................... 15
2.11.1. Tipo ........................................................................................................... 15
2.11.2. Población .................................................................................................. 16
2.11.3. Muestra ..................................................................................................... 16
2.12. TÉCNICAS E INSTRUMENTOS DE RECOLECCIÓN DE DATOS ...... 16
CAPÍTULO III ............................................................................................................. 17
vi
i
MARCO TEÓRICO .................................................................................................... 17
3.1. CONCEPTOS GENERALES .......................................................................... 17
3.2. AUDITORÍA DE SISTEMAS DE INFORMACIÓN .................................... 23
3.3. HERRAMIENTAS Y TÉCNICAS PARA LA AUDITORÍA ....................... 23
3.4. ISACA ................................................................................................................ 25
3.5. COBIT ............................................................................................................... 27
CAPÍTULO IV ............................................................................................................. 41
DESARROLLO DE LA AUDITORÍA ...................................................................... 41
4.1. MECANISMO PARA LA APLICACIÓN DE LA AUDITORÍA ................ 42
4.1.1. Selección de Objetivos de Gobierno y TI ................................................. 42
4.1.2. Selección de Procesos Facilitadores y Prácticas de Gobierno ............... 42
4.1.3. Definición de instrumentos para recolección de información ............... 43
4.2. APLICACIÓN DE LA AUDITORÍA ............................................................. 44
4.2.1. Selección de Procesos de Gobierno y de Gestión de Cobit 5 .................. 44
4.2.2. Desarrollo de Procesos Facilitadores y Prácticas de Gobierno ............. 51
4.2.3. Evaluación de Niveles de Capacidad ....................................................... 74
CAPÍTULO V ............................................................................................................... 98
RESULTADOS ............................................................................................................. 98
5.1. HALLAZGOS IMPORTANTES .................................................................... 98
5.1.1. Positivos .................................................................................................... 100
5.1.2. Oportunidades de mejora ....................................................................... 102
5.2. RECOMENDACIONES DE AUDITORÍA ................................................. 104
5.3. INFORME FINAL DE AUDITORÍA........................................................... 107
CAPÍTULO VI ........................................................................................................... 108
CONCLUSIONES Y RECOMENDACIONES ....................................................... 108
6.1. CONCLUSIONES .......................................................................................... 108
vi
i
i
6.2. RECOMENDACIONES ................................................................................ 109
BIBLIOGRAFÍA ........................................................................................................ 110
ANEXOS ..................................................................................................................... 112
ÍNDICE DE TABLAS
Tabla 1. Operacionalización de las variables ................................................................. 13

Tabla 2. Técnicas e Instrumentos de recolección de datos ............................................. 16
Tabla 3. Selección de muestra de participantes .............................................................. 42
Tabla 4. Roles operativos en la GITIC ........................................................................... 43
Tabla 5. Ponderación de Objetivos Empresariales según Cobit ..................................... 44
Tabla 6. Ponderación de Procesos según Cobit .............................................................. 48
Tabla 7. Auditoría EDM02 ............................................................................................. 51
Tabla 8. Auditoría EDM05 ............................................................................................. 52
Tabla 9. Auditoría APO01 .............................................................................................. 53
Tabla 10. Auditoría APO04 ............................................................................................ 54
Tabla 13. Auditoría BAI01 ............................................................................................. 59
Tabla 18. Auditoría DSS01 ............................................................................................ 65
Tabla 22. Auditoría MEA01 ........................................................................................... 70
Tabla 23. Calificación de Atributos de capacidad EDM02 ............................................ 71
Tabla 24. Escala de Nivel de Capacidad EDM02 .......................................................... 71
Tabla 25. Calificación de Atributos de capacidad EDM05 ............................................ 71
Tabla 26. Escala de Nivel de Capacidad EDM05 .......................................................... 72
ix
Tabla 27. Calificación de Atributos de capacidad APO01 ............................................. 72
Tabla 28. Tabla 26. Escala de Nivel de Capacidad APO01 ........................................... 73
Tabla 30. Escala de Nivel de Capacidad APO04 ........................................................... 74
Tabla 35. Calificación de Atributos de capacidad BAI01 .............................................. 77
Tabla 36. Escala de Nivel de Capacidad BAI01 ............................................................ 78
Tabla 45. Calificación de Atributos de capacidad DSS01.............................................. 83
Tabla 46. Escala de Nivel de Capacidad DSS01 ............................................................ 83
Tabla 53. Calificación de Atributos de capacidad MEA01 ............................................ 87
Tabla 54. Escala de Nivel de Capacidad MEA01 .......................................................... 87
Tabla 55. Definición de Escalas ..................................................................................... 89
Tabla 56. Resultados de la evaluación de procesos ........................................................ 89
Tabla 57. Recomendaciones de Auditoría ...................................................................... 97
x
ÍNDICE DE FIGURAS
Figura 1. Logotipo de la Municipalidad ........................................................................... 3

Figura 2. Organigrama ...................................................................................................... 6
Figura 3. Logo CISA ...................................................................................................... 25
Figura 4. Logo CISM ..................................................................................................... 26
Figura 5. Logo CGEIT ................................................................................................... 26
Figura 6. Logo CRISC .................................................................................................... 26
Figura 7. Principios de COBIT 5 .................................................................................... 28
Figura 8. Metas corporativas de Cobit............................................................................ 30
Figura 9. Metas relacionadas con las T.I ........................................................................ 30
Figura 10. Catalizadores Cobit 5 .................................................................................... 31
Figura 11. Interacciones entre Gobierno y Gestión en Cobit 5 ...................................... 31
Figura 12. Las áreas claves de Gobierno y Gestión de Cobit 5 ...................................... 32
Figura 13. Modelo de Referencia de Procesos ............................................................... 33
Figura 14. Procesos EDM ............................................................................................... 34
Figura 15. Procesos APO ............................................................................................... 36
Figura 16. Procesos BAI ................................................................................................. 38
Figura 17. Procesos DSS ................................................................................................ 39
Figura 18. Procesos MEA ............................................................................................... 40
Figura 19. Ponderación realizada en la MPS para los objetivos de la empresa ............. 44
Figura 20. Resultados de Objetivos de la empresa con mayor ponderación .................. 45
Figura 21. Cruce de los objetivos de la empresa seleccionados con los objetivos TI. ... 46
Figura 22. Resultado de ponderación entre Objetivos de Empresa y Objetivos TI. ....... 47
Figura 23. Objetivos de Empresa y Objetivos TI ........................................................... 48
Figura 24. Ponderación Procesos Facilitadores .............................................................. 49
Figura 25. Resultados de Ponderación de Procesos Facilitadores .................................. 50
Figura 26. Radar de atributos de capacidad EDM02 ...................................................... 71
Figura 27. Radar de atributos de capacidad EDM05 ...................................................... 72
Figura 28. Radar de atributos de capacidad APO01 ....................................................... 73
xi
Figura 32. Radar de atributos de capacidad BAI01 – Parte I ......................................... 77
Figura 33. Radar de atributos de capacidad BAI01 – Parte II ........................................ 78
Figura 34. Radar de atributos de capacidad BAI03 ........................................................ 79
Figura 38. Radar de atributos de capacidad DSS01 ....................................................... 83
Figura 42. Radar de atributos de capacidad MEA01 ...................................................... 87
Figura 43. Resultados de la evaluación de Procesos ...................................................... 90
ANEXOS
Anexo 1: Recursos Humanos de la Gerencia de Informática y TIC ............................ 103

Anexo 2: Registro de hardware informático................................................................. 104
Anexo 3: Sistemas de Información MPS ...................................................................... 105
Anexo 4: Relación de Licencias de Software ............................................................... 106
Anexo 5: Centro de Datos MPS ................................................................................... 107
Anexo 6: Equipos en mal estado en el Centro de Datos MPS ...................................... 108
Anexo 7: Lector biométrico del Centro de Datos ......................................................... 109
Anexo 8: Informe Final de Auditoría ........................................................................... 110
xi
i
xi
i
i
CAPÍTULO I
LA EMPRESA
1.1. RESEÑA HISTÓRICA

La Municipalidad Provincial de Santa como entidad tiene su creación con el Decreto-
Ley N°11326 donde el 14 de abril de 1950 en la ciudad de Lima, la Junta Militar de
Gobierno tuvo como consideración que la Provincia del Santa posee una gran
extensión superficial de más de 7 mil metros cuadrados que comprende toda la región
1
costanera de la región Ancash y por lo tanto era difícil su administración política y
judicial, además de resaltar el Puerto de Chimbote y zonas aledañas; además se
consideró que la demarcación política de ese entonces no correspondía en muchos
casos a la realidad geográfica, económica y política dificultando el progreso de las
regiones que están llamadas a constituir la grandeza de la patria. Por lo cual se vio
conveniente la división de la Provincia de Santa con el fin de impulsar el progreso
regional.
Es así como el entonces Presidente de la Junta Militar de Gobierno, General de

Brigada Manuel A. Odría y sus ministros realiza la división de la Provincia de Santa
en dos provincias: Provincia del Santa cuya capital fue designada la ciudad de
Chimbote y la Provincia de Huarmey cuya provincia se eligió la ciudad de Casma.
En el Art.2 se nombra los distritos que conformaban nuestra provincia; Cáceres del
Perú, su capital Jimbe; Chimbote, su capital Chimbote; Moro, su capital Moro;
Nepeña, su capital Nepeña; Santa, su capital Santa; y Macate, su capital Macate, que
se segrega de la Provincia de Huaylas. Posteriormente se añadiría Samanco, Coishco
y Nuevo Chimbote.
Desde ese entonces se ha venido trabajando en el servicio a la comunidad, en horario

de atención de 7:30 a.m a 1:00 p.m y en las tardes de 2:00p.m a 8:00 p.m con la
finalidad de promover el desarrollo integral, sostenible y armónico de su
circunscripción, y además garantizar el ejercicio pleno de los derechos y la igualdad
de oportunidades de la población de Chimbote.
1.2. PERFIL DE LA EMPRESA

1.2.1. Datos Generales de la Empresa
1.2.1.1. Razón Social

Municipalidad Provincial del Santa.
1.2.1.2. Domicilio Legal
Jr. Enrique Palacios Nro. 343 Casco Urbano.
1.2.1.3. RUC
20163065330
2
1.2.2. Actividad de la Empresa
Gobierno Regional, Local.
1.2.3. Alcance de la Empresa
Provincia del Santa.
1.2.4. Logotipo
Figura 1. Logotipo de la Municipalidad

Fuente: Web institucional MPS
1.3. FILOSOFÍA CORPORATIVA

La Municipalidad Provincial del Santa tiene como filosofía representar al vecindario,
promover la adecuada prestación de los servicios públicos locales y el desarrollo
integral, sostenible y armónico de su circunscripción, garantizando el ejercicio pleno
de los derechos y la igualdad de oportunidades de la Población de Chimbote.
1.4. VISIÓN Y MISIÓN DE LA EMPRESA

1.4.1. Visión
Ser una institución moderna que propicia un ambiente saludable, equilibrado
y adecuado para el pleno desarrollo de la vida, en un espacio seguro, limpio
y ordenado, aprovechando los recursos naturales y culturales de su
jurisdicción, con un alto porcentaje de desarrollo económico, con justicia
social y asociándose con los niveles de gobierno regional, nacional e
internacional, facilitando la competitividad local, utilizando sistema que
propicien y adquiera el perfil de una de las mejores municipalidades del
mundo.
3
1.4.2. Misión
La Municipalidad Provincial del Santa, representa al vecindario, promueve la
adecuada prestación de los servicios públicos locales y el desarrollo integral,
sostenible y armónico articulado con las aspiraciones de los nueve distritos
que constituyen su circunscripción.
1.5. VALORES
• Lealtad: Los empleados no deben estar sujetos a influencias, intereses ni
relaciones que entren en conflicto con los mejores intereses de la
Municipalidad, ni deben aparentarlo.
• Respeto por la normatividad: Se espera que la totalidad de los empleados
cumpla estrictamente las leyes generales y específicas rectoras de los
Gobiernos Locales.
• Cumplimiento de los principios y deberes éticos del servidor público:
Nuestros empleados deben cumplir las más exigentes normas éticas en el
ejercicio de sus deberes, establecido en la Ley N° 27815, Ley del código de
ética de la función pública.
• Comunicación: Animamos a los empleados a que consulten con Gerentes,
sub gerente y otros empleados, sobre sus actividades a fin de mejorar su
desempeño. Pero también, debe denunciar los actos que trasgredan las normas
y regulaciones.
• Honestidad: Comportamiento ético yy moral ante nosotros y hacia la
comunidad.
• Respeto: Aceptar a las demás personas y valorar sus ideas, reconociendo sus
derechos y deberes.
• Compromiso: Entregar lo mejor de sí mismo con responsabilidad en todas
las actividades, con el objetivo de lograr los mejores resultados.
1.6. OBJETIVOS ESTRATÉGICOS
a) Población desarrollada económica y sosteniblemente.
b) Población con mejor calidad de vida y acceso equitativo a oportunidades
c) Mejora en la calidad de vida de la población que se desarrolla en un ambiente
saludable.
4
d) Mayor grado de satisfacción y calidad de vida por una eficiente gestión pública –
privada y una gobernabilidad basada en una efectiva participación social.
5
1.7. ORGANIZACIÓN ACTUAL DE LA EMPRESA
Figura 2. Organigrama
Fuente: Web institucional MPS
6
CAPÍTULO II
PLANTEAMIENTO DEL PROBLEMA
7
2.1. REALIDAD PROBLEMÁTICA
La Municipalidad Provincial del Santa realiza la gestión de toda la provincia y con
el pasar de los años la población ha ido en aumento, así como la información sobre
las diversas áreas de su competencia entre las cuáles podemos mencionar: registro
civil con las nuevas partidas de nacimiento, en transporte existen nuevos permisos
de circulación de vehículos, en participación vecinal existen nuevos proyectos, en
inmobiliaria a diario se realizan gestiones para la entrega de nuevos terrenos, títulos
de propiedad para las nuevas familias y los tributos relacionados a los predios,
vehículos, parques y jardines, entre otros. En tal sentido es indispensable y necesaria
una continua evaluación para detectar los puntos críticos donde se debe mejorar y los
aspectos positivos que se están logrando para reforzarlos y alcanzar los objetivos
estratégicos de la organización.
La Gerencia de Informática y Tecnologías de la Información y Comunicación

(GITIC) es uno de los seis órganos de apoyo de la Municipalidad encargado de
administrar actividades referidas al proceso de planificación, organización,
dirección, coordinación, comunicación y control acerca del uso de los recursos
informáticos, así como la administración, mantenimiento y desarrollo de los sistemas
de información. Actualmente no se han revisado o evaluado todos los aspectos que
componen los sistemas de información, tales como hardware software y la gestión
entre ellos con políticas que lo respalden; ya que al no estar trabajando de forma
adecuada significaría graves problemas pues todos los procesos de la municipalidad
se verían afectados.
Existen irregularidades en cuanto a que no se realiza de manera continua una

supervisión, evaluación y valorización del rendimiento y conformidad en el
desempeño de las Tecnologías de Información (T.I), lo cual genera que el personal
que labora no tenga conocimiento de todos los problemas que existen en el área y
por lo tanto no aporte para brindar una solución a los problemas que existen.
La Gerencia de Informática no controla la infraestructura tecnológica a menos que

exista un incidente relacionado, las labores del personal son asignadas a través de
Memorándums en formato físico lo cual ha ocasionado muchas veces que se pierdan
y existan conflictos entre el personal que no quiere asumir dicha función. No existen
políticas de T.I en la Gerencia sobre seguridad y cultura informática. Los sistemas
de información actúan de forma independiente uno del otro y no se cuenta con un
control de versiones, diagramas, casos de uso, entre otros tipos de documentación.
Se observa pérdida de documentos por parte de secretaría y las actividades se realizan
de acuerdo al criterio del trabajador y no siguen una norma o estándar establecido
como línea base.
La Municipalidad se proyecta como una entidad que se rige bajo la transparencia y

sirve a la comunidad adoptando las tecnologías de la información y comunicación
para todos sus procesos y actividades.
Las municipalidades de nuestra capital como la Municipalidad de Miraflores y San
Isidro le han dado la debida importancia a la evaluación y control de los sistemas, así
como una correcta gestión de TI y se ve reflejado en los diversos procesos que a
8
diario realizan los ciudadanos, como ejemplo podemos mencionar las transacciones
y pagos en línea que realizan a través de su plataforma web, consultas sobre el estado
de sus solicitudes y trámites que no involucran grandes colas en los establecimientos.
En la Municipalidad Provincial del Santa existen problemas en las principales áreas

de enfoque de Gobierno de TI, por ejemplo no se observa un alineamiento estratégico
en su totalidad ya que algunas áreas aún no trabajan en conjunto con los procesos de
T.I, la entrega de valor no está siendo tan eficiente y eficaz como se espera, no se
está dando importancia a la gestión de riesgos, los recursos humanos y de TI aún no
están optimizados, lo cual muestra un desempaño bajo todavía. En tal sentido se
requiere la aplicación de una auditoría de sistemas basada en normas internacionales
y con marcos de trabajo de apoyo. Cobit es un marco de negocio para el Gobierno y
la Gestión de TI en la empresa garantizando un adecuado proceso de auditoría, toda
vez que centra su interés en la gobernabilidad, aseguramiento, control y auditoría
para Tecnologías de la Información, por lo que actualmente es uno de los estándares
más utilizados, como base en la realización de una metodología de control interno en
el ambiente de tecnología informática, lo cual será aplicado en la Gerencia de
Informática y Tecnologías de la Comunicación de la Municipalidad Provincial del
Santa con la finalidad de detectar los puntos críticos y proponiendo mejoras que
aseguren la calidad y control de los procesos realizados en la gerencia.
2.2. ANÁLISIS DEL PROBLEMA

• Los procesos que se realizan dentro de esa gestión no están bien definidos: Esto
es reflejado en el personal a cargo cuando no realizan bien sus funciones. Es decir,
el personal no cumple con sus roles y responsabilidades en su totalidad.
• Los recursos humanos del área de Gestión de Tecnologías y Sistemas de
Información no están generando nuevos servicios de T.I: Esto se ve reflejado en
que no hay innovación en los sistemas, es decir solo se encargan de administrar
los sistemas existentes sin añadirle alguna mejora, o crear algo nuevo que pueda
beneficiar a la gerencia.
• Existen continuos problemas de sistemas y redes: Se puede observar cuando
aparecen fallos en los sistemas y redes.
• Demoras en la atención de solicitudes.
• Equipos informáticos sin darle uso o en mal estado.
• Constantes quejas de los usuarios de áreas externas.
• Servidores afectados por cortes de fluido eléctrico.
• Pérdida de documentación clave.
9
2.3. ANTECEDENTES DEL PROBLEMA
2.3.1. Antecedentes Internacionales
Título: “Adaptación del Modelo de Gobierno y Gestión para la empresa
VirtIT Expert Basado en COBIT 5”
Autores: Omar Jesús Bugosen Abi-Gosen y Christian Daniel Tejada Ruiz
Año: 2015
Lugar: Quito/Ecuador
Resumen de la investigación:
En este Proyecto se planteó una solución probada de modelo de Gobierno y

Gestión de Tecnologías de Información basado en COBIT 5 enfocado en el
dominio de gestión Entregar, Dar Servicio y Soporte. Así mismo se concluyó,
que es plenamente necesario contar con un adecuado modelo de Gobierno de
TI, para garantizar la correcta operación en la entrega de servicios de
infraestructura y aplicaciones de Tecnologías de Información, apoyado en la
mitigación de riesgos y evitando los problemas expuestos.
Relación con nuestra investigación:
Esta investigación se realiza en base al Modelo COBIT 5 que se utiliza

principalmente en auditoria o buenas prácticas, en este caso nos es de mucha
ayuda ya que usa el mismo instrumento de investigación.
Título: “Auditoría a los Procesos de Desarrollo de Software del Centro de

Transferencia Tecnológica de la ESPE para el caso del Sistema
Hospitalario HB11 bajo el Marco de Referencia COBIT 5”.
Autor: Raquel Cristina Álvarez y Gladys Alexandra Guanoluisa
Año: 2015
Lugar: Sangolqui/Ecuador
10
Este trabajo se enfoca en: 1) la definición de mecanismos e instrumentos a
utilizar para la auditoría puesto que COBIT 5 sólo es una mejor práctica y no
una metodología y 2) la auditoria, para el primer enfoque se considera que
COBIT ofrece flexibilidad ya que se apega a las necesidades particulares de
cada organización.
2.3.2. Antecedentes Nacionales

Título: “Diseño de un modelo de gobierno de TI con enfoque de seguridad
de información para empresas prestadoras de servicios de
salud bajo la óptica de COBIT 5.0”
Autor: Diana Estefanía Lepage Hoces
Año: 2014
Lugar: Lima/Perú
En este Proyecto se planteó una solución integrada que brindará a la

institución un valor agregado por el lado de gestión tecnológica, pues se
garantiza el alineamiento estratégico y la entrega de beneficios a los
stakeholders siguiendo actividades y estableciendo roles y responsabilidades
de acuerdo un enfoque identificado y que se adapte a lo que la empresa pueda
alcanzar en un determinado espacio de tiempo.
2.3.3. Antecedentes Locales

Título: “Auditoría Informática de los Sistemas Informáticos de la
Unidades de Informática de la Escuela de Postgrado de la
Universidad Nacional de Huaraz”.
Autor: Víctor Carlos Quiñones Rado
Año: 2008
Lugar: Huaraz/Ancash/Perú
11
En este Proyecto se planteó diseñar un Gobierno de Tecnología de
Información con enfoque a seguridad de información, en el se consideró,
realizar copias de seguridad y llevar un registro de accesos diarios de
usuarios. También ubicar el Servidor Dedicado en el lugar apropiado donde
el acceso es restringido y alejado de personas extrañas a la Unidad. Así como
realizar el manejo de fallas para prevenir, diagnosticar y reparar posibles
fallas en los diferentes componentes de la red.
Título: “Auditoría de Sistemas Informáticos”
Autores: Christian Omar Lluén Lozano y José Nelson Delgado Gonzales
Año: 2006
Lugar: Santa/Santa/Ancash/Perú
En este Proyecto se concluyó que es necesario contar con un adecuado

sistema para garantizar la correcta operación de control de ingresos y salidas
del personal de trabajo, a la vez reestructurando la red y verificando
periódicamente el estado en que se encuentran los equipos de cómputo, así
mismo con su apropiada ubicación, la cual tiene como finalidad, contar con
una mayor seguridad de la información de la empresa.
2.4. FORMULACIÓN DEL PROBLEMA

¿De qué manera la aplicación del Modelo COBIT en auditoría, logrará determinar el
nivel alcanzado en la gestión de sistemas de información, infraestructura tecnológica
y procesos de la Gerencia de Informática de la Municipalidad Provincial del Santa?
2.5. HIPÓTESIS
¿La aplicación del Modelo COBIT en auditoría, logra determinar el nivel alcanzado
en la gestión de sistemas de información, infraestructura tecnológica y procesos de
la Gerencia de Informática de la Municipalidad Provincial del Santa?
2.6. OPERACIONALIZACIÓN DE LAS VARIABLES
Variables Indicadores
Modelo Cobit V.I: Variable Satisfacción de las necesidades de las partes
Independiente Procesos Habilitadores
12
Procesos de Gobierno y de Gestión
Principios Cobit
Aplica un solo marco integrado.
Habilitar un enfoque holístico.
Auditoría de sistemas de Información actualizada.
información de la MPS Reportes por rubros.
V.D: Variable Dependiente Acceso a usuarios autorizados.
Nivel de Seguridad de Información.
Estado actual del hardware.
Escalabilidad de los sistemas de información.
Políticas de gestión y control.
Transparencia de la información.
Tabla 1. Operacionalización de las variables
Fuente: Elaboración Propia
2.7. OBJETIVOS
2.7.1. Objetivo General
Determinar el nivel alcanzado de los sistemas de información, infraestructura
tecnológica y gestión de procesos en la Gerencia de Informática de la
Municipalidad Provincial del Santa, mediante una auditoría basada en el
Modelo Cobit.
2.7.2. Objetivos Específicos

• Aplicar los 5 principios del Modelo COBIT en la Gerencia de Informática
de la Municipalidad Provincial del Santa.
• Identificar el nivel de seguridad de los S.I
• Evaluar los procesos de Gobierno y Gestión según Cobit en la Gerencia de
informática e identificar la escala en la que se encuentran.
• Realizar las recomendaciones en los procesos evaluados de la Gerencia de
Informática.
• Identificar oportunidades de mejora en la Gerencia de Informática de la
• Identificar aspectos positivos después de realizar la auditoría.
• Realizar un informe final de Auditoría indicando todos los puntos
evaluados y recomendaciones.
13
2.8. JUSTIFICACIÓN
2.8.1. Económica
La ejecución del proyecto permitirá identificar los problemas informáticos y
de sistemas que existan, de esta manera se reducirán costos, los cuales podrían
ser muy elevados si no se detecta a tiempo.
2.8.2. Técnica
Realizar una correcta gestión de TI, control de sistemas de información y
recursos de la gerencia con la finalidad de optimizar los procesos de la
2.8.3. Operativa
La Auditoría Informática permitirá aumentar la eficiencia y eficacia en el
desarrollo de las operaciones, haciendo los procedimientos más seguros y
brindando mayor agilidad de las actividades de la organización.
2.8.4. Social
Detectar fallos en los sistemas, redes, equipo informático y todos los recursos
que utiliza el personal administrativo evitando demoras o interrupciones en
los procesos y optimizando el servicio que se brinda a cientos de ciudadanos
que asisten a diario a la municipalidad a realizar diversos trámites
2.8.5. Personal
Reducir el malestar o estrés del personal administrativo previniendo futuros
fallos en los sistemas de información, red o equipos informáticos lo cual no
le permite realizar sus funciones asignadas y a la vez actuando de forma
inmediata frente a los problemas que existen actualmente.
2.8.6. Tecnológica
Aprovechar estándares internacionales y marcos de trabajo probados, para
una adecuada gestión de los recursos de Tecnologías de la Información en la
organización.
14
2.9. IMPORTANCIA DE LA INVESTIGACIÓN
Con la aplicación de la auditoría basada en el modelo Cobit se llevará a cabo la
evaluación de normas, técnicas, políticas y procedimientos para el óptimo
desempeño de los sistemas de información, siendo de gran importancia para detectar
vulnerabilidades y posteriormente obtener los controles necesarios para que los
sistemas de información sean confiables y posean el adecuado nivel de seguridad, así
como actuar oportunamente sobre los diversos problemas de gestión de TI.
2.10. LIMITACIONES
Cambio del personal administrativo, personal de soporte técnico, administrador
de redes y gerente de la GITIC. Cuatro alcaldes nuevos en el periodo 2018 y
preocupación de los trabajadores por la transferencia 2019, lo cual retrasa la
elaboración del proyecto.
2.11. DISEÑO DE INVESTIGACIÓN

2.11.1. Tipo
 SEGÚN SU NATURALEZA
Es Descriptiva, porque, mediante la recolección de la información a través
del diagnóstico, se podrá identificar hechos y objeto del estudio en relación
a los recursos y sistemas de información de la Municipalidad Provincial
del Santa, tal como se encuentra actualmente, lo que permitirá a través de
la percepción describirlos, evaluarlos y medirlos de manera independiente
en función a sus correspondientes propiedades más importantes, con el
propósito de determinar y asegurar que las políticas y procedimientos en
la gerencia de Informática se realizan de manera eficiente y oportuna,
luego, mediante la percepción y descripción de las características de cada
una de las variables involucradas asociadas al modelo nos inducirá a la
prueba de hipótesis como causa directa de la optimización de los
procedimientos y políticas aplicadas.
 SEGÚN SU FIN O PROPÓSITO

Es Aplicada, porque para dar una alternativa de solución, a la problemática
planteada en la Gerencia de Informática de la
Municipalidad Provincial del Santa, vamos a realizar una auditoría a fin
15
de analizar la eficiencia de los Sistemas Informáticos, cumplimiento de
normativas en este ámbito y la revisión de los recursos informáticos.
2.11.2. Población
En este proyecto tenemos una población finita que está constituida por todo el
personal de la Municipalidad Provincial del Santa.
2.11.3. Muestra
Trabajadores de la Gerencia de Informática y Tecnologías de la
Información y Comunicación de la Municipalidad Provincial del Santa en
los meses de Febrero a Abril del año 2018.
2.12. TÉCNICAS E INSTRUMENTOS DE RECOLECCIÓN DE DATOS

En nuestro estudio es necesario el uso de técnicas e instrumentos de recolección
de datos ya que nos ayuda a obtener toda la información que necesitamos para el
desarrollo de la auditoría.
Técnicas Instrumentos
Checklist Inventarios
Se aplicará a fin de que el auditado Para recopilar información, haciendo un
responda clara y concisamente recuento físico de lo que se está auditando y
tomando nota de las detalles ver el estado de los recursos.
imprescindibles.
Entrevistas Cuestionarios
Mediante la petición Para tener la información recolectada de
de documentación forma documentada.
concreta o preguntas
sobre alguna materia de su
responsabilidad
Observación Tablas de calificación
Permite recolectar directamente la Se usaron estas tablas de calificación para
información necesaria sobre el poder obtener los resultados de nuestra
comportamiento de los sistemas, auditoria.
la gerencia, funciones,
operaciones, acción o fenómeno
del personal y
ámbito de sistemas.
Tabla 2. Técnicas e Instrumentos de recolección de datos
16
CAPÍTULO III
MARCO TEÓRICO
3.1. CONCEPTOS GENERALES
3.1.1. AUDITORÍA
Según el diccionario de la Real Academia Española (RAE, 2001), auditoría
se define como la “revisión sistemática de una actividad o de una situación
para evaluar el cumplimiento de las reglas o criterios objetivos a que aquellas
deben someterse”.
17
La auditoría implica la revisión del cumplimiento de diversas políticas o
normas que se han establecido dentro de una organización a fin de servir
como soporte para la toma de decisiones.
3.1.2. APLICACIÓN
Según la Real Academia Española (RAE, 2001), aplicación se define como
“acción y efecto de aplicar o aplicarse”. Es decir, se llevará a cabo
determinada acción, que para nuestro proyecto consiste en utilizar el modelo
Cobit para auditoría y control de sistemas.
3.1.3. MODELO COBIT
El marco de trabajo de COBIT 5 para el gobierno y la gestión de la TI de la
empresa es una hoja de ruta de crecimiento y optimización empresarial de
vanguardia que aprovecha las prácticas comprobadas, el liderazgo global y
las herramientas innovadoras para inspirar la innovación de TI y fomentar el
éxito empresarial. El marco líder para el gobierno y la gestión de TI de la
empresa. (Isaca, 2019).
3.1.4. CONTROL
Según la Real Academia Española (RAE, 2001) [4], control también se puede
definir como “regulación, manual o automática sobre un sistema” o también
“comprobación, inspección, fiscalización, intervención”.
3.1.5. GERENCIA INFORMÁTICA
¿Qué es la Gerencia de informática?
La Gerencia de Informática es el órgano de apoyo dependiente de la Gerencia
General, encargado de administrar actividades referidas al proceso de
planificación, organización, dirección, coordinación, comunicación y control
acerca del uso adecuado de los recursos informáticos, físicos, lógicos y la
utilización de las tecnologías de la información y comunicación en la
institución, desarrollando e implementando los sistemas integrados , así como
la administración y mantenimiento de los sistemas de cómputo,
procesamiento electrónico de datos, sistema de redes, soporte informático y
aplicaciones para cubrir las necesidades de información contable, logística,
laboral, estadística y de gestión en general de la comuna provincial. (ROF-
MPS-2014)
18
¿Qué funciones posee la Gerencia de informática de la Municipalidad Provincial
del Santa?
a) Acondicionamiento de la Unidad de Informática, la Sala de Soporte
Técnico, el Centro de Datos y la Sala de Analistas Programadores para
una eficiente labor.
b) Renovar y/o mejorar el Portal Web Institucional permitiendo un flexible
crecimiento con el uso de nuevas aplicaciones informáticas, como
ELearning y Streaming.
c) Continuar desarrollando las actividades de coordinación y servicio de
asistencia técnica de manera rápida y eficiente.
d) Reforzar y/o ampliar la capacidad profesional de la Unidad de
Informática mediante un adecuado perfil de profesionales.
e) Capacitación al personal de la Unidad de Informática en las nuevas
tecnologías adquiridas.
f) Establecer la estandarización en la adquisición de equipos y uso de
software licenciados.
g) Fortalecer la infraestructura tecnológica con tecnologías emergente a fin
de innovar servicios y garantizar la seguridad de la información.
h) Elaborar informe para el mejoramiento de los procesos de negocio de las
funciones más importantes de la Municipalidad Provincial del Santa.
i) Implementar sistemas funcionales, innovadores e informativos para
mejorar los procesos de negocio de la Municipalidad Provincial del
Santa.
j) Mejoramiento en las telecomunicaciones con las sedes de la
Municipalidad Provincial del Santa. (ROF-MPS-2014 )
3.1.6. SISTEMAS DE INFORMACIÓN
Conjunto coordinado de contenidos y servicios, basados en tecnologías digitales y
en red, que una organización pone a disposición de sus stakeholders (personas con
intereses en la misma) internos y externos, para facilitarles la producción y el
consumo de conjuntos estructurados y selectos de datos, orientados a convertirse
en información de valor para la actividad de la organización. Cobarsi, J.,(2011)
Sistemas de información en la empresa, Editorial UOC.
19
Conjunto de recursos técnicos, humanos y económicos interrelacionados
dinámicamente y organizados en torno al objetivo de satisfacer las
necesidades de información de una organización para la gestión y la correcta
adopción de decisiones. Ruiz, E.,(2017) Nuevas tendencias en los sistemas
de información, Editorial Centro de Estudios Ramon Areces SA. Tipos de
sistemas de información
Una posible clasificación de los sistemas de información está relacionada con

el área funcional en que se utiliza el S.I. Según éste criterio se dividen en:
sistemas del área financiera, sistemas del área de producción, sistemas del
área de recursos humanos y sistemas del área de comercialización.
Sin embargo, la clasificación más clásica es la que relaciona los SI con los
niveles de gestión de las organizaciones. Estos niveles son: dirección
operativa, dirección táctica y dirección estratégica. Ruiz, E.,(2017) Nuevas
tendencias en los sistemas de información, Editorial Centro de Estudios
Ramon Areces SA.
a) Nivel de dirección operativa

El nivel directivo más bajo es el que se encarga de las operaciones
cotidianas de la empresa, y está integrado por los mandos que se
responsabilizan de la planificación, programación y control de las
actividades básicas de la empresa.
Normalmente se conocen como Sistemas de Procesamiento de
Transacciones (TPS, Transaction Process Systems). En la década de los
sesenta nacieron los TPS por su facilidad de programación. Producen
información inmediata de alta precisión y detalle para el resto del
sistema. Ruiz, E.,(2017) Nuevas tendencias en los sistemas de
información, Editorial Centro de Estudios Ramon Areces SA.
b) Nivel de dirección táctica

Es el nivel directivo intermedio y está formado por directivos
encargados de la planificación táctica, es decir, de la planificación a
medio plazo (1 año), cuyo objetivo es el logro de las metas marcadas
por el nivel estratégico. Básicamente los sistemas de gestión de la
20
información de este nivel son los MIS(Management Information
Systems) y los DSS(Decision Support Systems).
Los MIS o sistemas de información para la dirección proporcionan
informes a los niveles directivos tácticos o de administración para
controlar el desarrollo de planes y programas.
Los DSS o sistemas de apoyo a las decisiones se sitúan entre los niveles
táctico y estratégico, proporcionando apoyo a ambos. Si a un DSS se le
dota de la posibilidad de imitar el razonamiento humano se obtiene un
sistema experto. Ruiz, E.,(2017) Nuevas tendencias en los sistemas de
información, Editorial Centro de Estudios Ramon Areces SA.
c) Nivel de dirección estratégica
Este nivel está asociado con la alta dirección, cuyos ejecutivos tienen
que formular los objetivos, fines y planes a largo plazo para que la
organización sea capaz de aprovecharse de los cambios del entorno y
obtener ventaja competitiva.
Los sistemas para este nivel son los EIS (Executive Information
Systems) o SI para ejecutivos. Estos sistemas se alimentan de la
información proporcionada por los TPS, MIS y DSS y permiten
incorporar datos externos. Ruiz, E.,(2017) Nuevas tendencias en los
sistemas de información, Editorial Centro de Estudios Ramon Areces
SA.
3.1.7. MUNICIPALIDAD
Es la institución del estado, con personería jurídica, facultada para ejercer el
gobierno de un distrito o provincia, promoviendo la satisfacción de las
necesidades de la población y el desarrollo de su ámbito. LEY Nº 27972 -
Diario Oficial el Peruano.
Misión de la municipalidad
Se encuentra manifiesta en la Ley Orgánica de Municipalidades, definida por tres
elementos:
 Ser una instancia de representación: Son los ciudadanos y
ciudadanas, quienes democráticamente deciden otorgar un
21
mandato para que tanto alcaldes como regidores asuman su
representación en la conducción del gobierno local, dicho
mandato, está sujeto a un conjunto de reglas, que, si no son
cumplidas pueden generar el retiro de la confianza ciudadana y por
tanto el resquebrajamiento de la legitimidad para ejercer dicha
representación.
 Ser una instancia promotora del desarrollo integral sostenible:
Entendiendo por desarrollo integral sostenible un proceso de
mejora de la calidad de vida de la población, en donde la persona,
especialmente aquella en condiciones de pobreza y exclusión, se
convierta en el centro de atención de todos los esfuerzos siempre y
cuando ello no comprometa la calidad de vida de las poblaciones
futuras.
 Ser una instancia prestadora de servicios públicos: Entendidos
como aquellos servicios brindados por la municipalidad, que
permitan a los ciudadanos, individual o colectivamente ser
atendidos en determinadas necesidades que tengan carácter de
interés público y sirvan al bienestar de todos.
Tipos de Municipalidad
a) Municipalidades Provinciales: Ejercen el gobierno local en las

demarcaciones provinciales.
b) Municipalidades Distritales: Ejercen el gobierno local en las
demarcaciones distritales
c) Municipalidades de Centros Poblados: Se crean por ordenanza municipal
provincial y ejercen funciones delegadas, las que se establecen en la
ordenanza que las crea. Para el cumplimiento de sus funciones las
municipalidades provinciales y distritales deben asignarles recursos
económicos de manera mensual.
Existen municipalidades que, por sus características particulares, se

sujetan a regímenes especiales como la Municipalidad de Lima
Metropolitana, las ubicadas en zonas de frontera y las Municipalidades
ubicadas en zonas rurales. La Ley Orgánica de Municipalidades 27972
22
establece un título especial – el Título XI- , con el objeto de promover
el desarrollo municipal en zonas rurales.
3.2. AUDITORÍA DE SISTEMAS DE INFORMACIÓN

La auditoría de sistemas se encarga de la evaluación de todos aquellos aspectos
relacionados con los recursos informáticos de la organización como son software,
hardware, talento humano, funciones y procedimientos, enfocados todos ellos desde
el punto de vista administrativo, técnico y de seguridad; y propende por prevenir a la
empresa de aquellos riesgos originados por omisiones, errores, violaciones, actos mal
intencionados, desastres naturales, etc, asesorando y proporcionando
recomendaciones y sugerencias a nivel directivo para lograr un adecuado control
interno en la empresa. Pacheco, E,.(2018) Auditoría de Sistemas, Lima 1era Edición.
En el marco esquemático de la auditoría de sistemas computacionales se realiza la

evaluación a: Hardware, software, Gestión Informática, información, diseño de
sistemas, bases de datos, seguridad, redes de cómputo y especializadas.
La auditoría de sistemas abarca diversos aspectos del área de TI entre los cuales tenemos:
 Evaluación de controles existentes.

 Cumplimiento de metodología de sistemas.
 Evaluación de la seguridad en el área informática.
 Evaluación de suficiencia en los planes de contingencia.
 Utilización de los recursos informáticos para el resguardo y protección de
activos.
 Control de modificaciones de las aplicaciones existentes contra fraudes u otros
problemas.
 Negociaciones de contratos con los proveedores.
 Revisión del sistema operativo y los programas.
 Auditoria de la base de datos.
 Auditoría de la red y procesos.
3.3. HERRAMIENTAS Y TÉCNICAS PARA LA AUDITORÍA
Se utilizan métodos de identificación (incluyendo herramientas) para realizar la
evaluación. El auditor de SI debe traducir el objetivo de la auditoría en objetivos más
específicos y determinar el nivel de cumplimiento y/o pruebas sustantivas requeridas
23
para cumplir con el objetivo de la auditoría. Las herramientas de auditoría pueden
ser tan simples como cuestionarios o tan complejos como scripts que interrogan a
los sistemas con el fin de recoger información del sistema. Ejemplos de herramientas
de auditoría: Cuestionarios, Guiones, Bases de datos relacionales, Hojas de cálculo,
Herramientas de auditoría asistidas por computadora (CAATs), Metodologías de
muestreo para la auditoría, actas, etc. Isaca.
(2016)Information Systems Auditing: Tools and Techniques.
El apartado 6.2.1 Técnicas de Auditoría - Guía de Auditoría de la Contraloría General

de la República indica que son los métodos prácticos de investigación y prueba que
el auditor utiliza para obtener evidencia necesaria que le permita fundamentar su
opinión profesional. Su empleo se basa en el criterio o juicio profesional, según las
circunstancias.
Por el tipo de evidencia obtenida, las técnicas de auditoría se clasifican en técnicas
de obtención de evidencias físicas, documental, testimonial o analítica. Contraloría
General de la República.,(2015) Guía Técnicas de Auditoría.
a) Técnicas de obtención de evidencias físicas:

- Inspección
- Observación
b) Técnicas de obtención de evidencia documental:
- Relevamiento
- Comprobación
- Rastreo
- Revisión selectiva
c) Técnicas de obtención de evidencia testimonial:
- Indagación
- Entrevista
- Encuesta
- Cuestionario
- Declaración
- Confirmación
d) Técnicas de obtención de evidencia analítica:
24
- Análisis
- Conciliación
- Tabulación
- Cálculo
- Comparación
3.4. ISACA
Es una asociación global, independiente y sin fines de lucro, ISACA se dedica al
desarrollo, adopción y uso de conocimientos y prácticas líderes en la industria y
aceptados a nivel mundial para los sistemas de información. Anteriormente conocida
como la Asociación de Control y Auditoría de Sistemas de Información, ISACA
ahora solo se usa por sus siglas, para reflejar la amplia gama de profesionales de
gobierno de TI a los que sirve.
ISACA proporciona orientación práctica, puntos de referencia y otras herramientas

efectivas para todas las empresas que utilizan sistemas de información. A través de
su guía y servicios integrales, ISACA define los roles de los profesionales de la
gobernanza de sistemas de información, seguridad, auditoría y aseguramiento en
todo el mundo. El marco COBIT y las certificaciones CISA, CISM, CGEIT y CRISC
son marcas de ISACA respetadas y utilizadas por estos profesionales en beneficio de
sus empresas.
Certificaciones:
 CISA
Figura 3. Logo CISA

Fuente: Isaca Website
CISA (Certified Information Security Auditor), en español “Auditor de

sistemas de información certificado”, es reconocido mundialmente como
el estándar de logros para aquellos que auditan, controlan, monitorean y
evalúan la tecnología de la información y los sistemas empresariales.
25
 CISM
Figura 4. Logo CISM

CISM(Certified Information Security Manager) en español “Gerente

Certificado de Seguridad de la Información” está centrada exclusivamente
en la gestión promueve las prácticas de seguridad internacional y reconoce
a la persona que administra, diseña, supervisa y evalúa la seguridad de la
información de una empresa.
 CGEIT
Figura 5. Logo CGEIT

CGEIT(Certified in the Governance of Enterprise IT) en español

“Certificado en la Gobernanza de TI Empresarial” reconoce a una amplia
gama de profesionales por su conocimiento y aplicación de los principios
y prácticas de gobierno de TI de la empresa. Como profesional certificado
por CGEIT, demuestra que es capaz de llevar el gobierno de TI a una
organización, que capta el tema complejo de manera integral y, por lo
tanto, aumenta el valor para la empresa.
 CRISC
Figura 6. Logo CRISC

CRISC (Certified in Risk and Information Systems Control ) en español

“Certificado en Control de Riesgos y Sistemas de Información” es la
certificación que prepara y capacita a los profesionales de TI para los
26
desafíos únicos de TI y la gestión de riesgos empresariales, y los posiciona
para convertirse en socios estratégicos de la empresa.
Marco COBIT
COBIT (Control Objectives for Information and related Technology) en español

“Objetivos de Control para Información y Tecnologías Relacionadas” es una guía de
mejores prácticas presentada como framework, dirigida al control y supervisión de
tecnología de la información (TI), tiene una serie de recursos que pueden servir de
modelo de referencia para la gestión de TI, incluyendo un resumen ejecutivo, un
framework, objetivos de control, mapas de auditoría, herramientas para su
implementación y principalmente, una guía de técnicas de gestión.
3.5. COBIT
Como vimos en el apartado anterior, Cobit es un marco de referencia internacional
para la auditoría de sistemas, probada por expertos a nivel mundial y elaborado por
el organismo más grande de auditoría, ISACA, del cual hablamos también con
anterioridad.
Cobit logra un equilibrio entre beneficios, gestión de riesgos, uso óptimo de recursos
y satisfacción de necesidades de las partes interesadas, apoyando el logro de objeticos
y requerimientos del negocio.
3.5.1. Principios de COBIT 5

Cobit 5 se basa en cinco principios para el gobierno y gestión de TI en las
empresas.
27
Figura 7. Principios de COBIT 5
A) Satisfacción de necesidades de los interesados: Las empresas existen

para crear valor para sus partes interesadas manteniendo el equilibrio
entre la realización de beneficios y la optimización de los riesgos y el uso
de recursos. COBIT 5 provee todos los procesos necesarios y otros
catalizadores para permitir la creación de valor del negocio mediante el
uso de TI. Dado que toda empresa tiene objetivos diferentes, una empresa
puede personalizar COBIT 5 para adaptarlo a su propio contexto mediante
la cascada de metas, traduciendo metas corporativas de alto nivel en otras
metas más manejables, específicas, relacionadas con TI y mapeándolas
con procesos y prácticas específicos.
B) Cubrir una organización de extremo a extremo: COBIT 5 integra el
gobierno y la gestión de TI en el gobierno corporativo: – Cubre todas las
funciones y procesos dentro de la empresa; COBIT 5 no se enfoca sólo en
la “función de TI”, sino que trata la información y las tecnologías
relacionadas como activos que deben ser tratados como cualquier otro
activo por todos en la empresa. – Considera que los catalizadores
relacionados con TI para el gobierno y la gestión deben ser a nivel de toda
la empresa y de principio a fin, es decir, incluyendo a todo y todos
28
– internos y externos – los que sean relevantes para el gobierno y la gestión de
la información de la empresa y TI relacionadas.
C) Marco integrado: Hay muchos estándares y buenas prácticas relativos a
TI, ofreciendo cada uno ayuda para un subgrupo de actividades de TI.
COBIT 5 se alinea a alto nivel con otros estándares y marcos de trabajo
relevantes, y de este modo puede hacer la función de marco de trabajo
principal para el gobierno y la gestión de las Ti de la empresa.
D) Enfoque holístico: Un gobierno y gestión de las TI de la empresa efectivo
y eficiente requiere de un enfoque holístico que tenga en cuenta varios
componentes interactivos. COBIT 5 define un conjunto de catalizadores
(enablers) para apoyar la implementación de un sistema de gobierno y
gestión global para las TI de la empresa. Los catalizadores se definen en
líneas generales como cualquier cosa que puede ayudar a conseguir las
metas de la empresa. El marco de trabajo COBIT 5 define siete categorías
de catalizadores:
1. Principios, Políticas y Marcos de Trabajo
2. Procesos
3. Estructuras Organizativas
4. Cultura, Ética y Comportamiento
5. Información
6. Servicios, Infraestructuras y Aplicaciones
7. Personas, Habilidades y Competencias
E) Identificación clara entre Gobierno y Gestión: El marco de trabajo
COBIT 5 establece una clara distinción entre gobierno y gestión. Estas
dos disciplinas engloban diferentes tipos de actividades, requieren
diferentes estructuras organizativas y sirven a diferentes propósitos.
 Gobierno: Cobit nos dice que el Gobierno asegura que se evalúen
las necesidades, condiciones y opciones de las partes interesadas
para determinar que se alcanzan las metas corporativas
equilibradas y acordadas; estableciendo la dirección a través de la
priorización y la toma de decisiones; y midiendo el rendimiento y
el cumplimiento respecto a la dirección y metas acordadas.
29
 Gestión: Por otro lado, la gestión planifica, construye, ejecuta y
controla actividades alineadas con la dirección establecida por el
cuerpo de gobierno para alcanzar las metas empresariales.
3.5.2. Metas corporativas de COBIT 5
Figura 8. Metas corporativas de Cobit

Fuente Isaca Website
3.5.3. Metas relacionadas con las TI
Figura 9. Metas relacionadas con las T.I

Fuente Isaca Website
30
3.5.4. Catalizadores de COBIT 5
Son factores que, individual y colectivamente, influyen sobre si algo
funcionará – en este caso, el gobierno y la gestión de la empresa TI. Los
catalizadores son guiados por la cascada de metas, es decir, objetivos de alto
nivel relacionados con TI definen lo que los diferentes catalizadores deberían
conseguir.
Figura 10. Catalizadores Cobit 5

3.5.5. Interacciones entre Gobierno y Gestión en Cobit 5
Figura 11. Interacciones entre Gobierno y Gestión en Cobit 5

31
3.5.6. Modelo de Referencia de Procesos de Cobit 5
El modelo de referencia de procesos de COBIT 5 divide los procesos de
gobierno y de gestión de la TI empresarial en dos dominios principales de
procesos:
Gobierno: Contiene cinco procesos de gobierno; dentro de cada proceso se
definen prácticas de evaluación, orientación y supervisión (EDM)
Gestión: Contiene cuatro dominios, en consonancia con las áreas de
responsabilidad de planificar, construir, ejecutar y supervisar (Plan, Build,
Run and Monitor - PBRM), y proporciona cobertura extrema a extremo de
las TI.
Los nombres de estos dominios han sido elegidos de acuerdo a estas
designaciones de áreas principales, pero contienen más verbos para
describirlos:
 Alinear, Planificar y Organizar (Align, Plan and Organise, APO)
 Construir, Adquirir e Implementar (Build, Acquire and Implement, BAI)
 Entregar, dar Servicio y Soporte (Deliver, Service and Support, DSS)
 Supervisar, Evaluar y Valorar (Monitor, Evaluate and Assess, MEA)
Figura 12. Las áreas claves de Gobierno y Gestión de Cobit 5

Cada dominio contiene un número de procesos los cuáles requieren de
actividades de planificación, implementación, ejecución y supervisión,
siendo en total 37 procesos de gobierno y gestión de Cobit 5.
32
Figura 13. Modelo de Referencia de Procesos
3.5.6.1. Procesos EDM (Evaluate, Direct and Monitor)

El dominio de Gobierno de TI Empresarial contempla 05 procesos de gobierno EDM,
en español “Evaluar, Orientar y Supervisar”. Cada uno de estos procesos cuenta con
algunas prácticas de Gobierno, como se puede observar en la Figura
14. Procesos EDM.
Procesos Nombre Descripción Prácticas de Gobierno
Analiza y articula los requerimientos para el gobierno de TI de la EDM01.01 Evaluar el sistema de gobierno.
Asegurar el empresa y pone en marcha y mantiene efectivas las estructuras,
Establecimiento y procesos y prácticas facilitadores, con claridad de las EDM01.02 Orientar el sistema de gobierno
EDM01 responsabilidades y la autoridad para alcanzar la misión, las metas y
Mantenimiento del
Marco de Gobierno objetivos de la empresa. EDM01.03 Supervisar el sistema de gobierno
EDM02.01 Evaluar la optimización del valor

Optimizar la contribución al valor del negocio desde los procesos de
Asegurar la Entrega
EDM02 negociom de los servicios TI y activos de TI resultado de la inversión EDM02.02 Orientar la optimización del valor
de Beneficios
hecha por TI a unos costes aceptables. EDM02.03 Supervisar la optimización del valor
Asegurar que el apetito de tolerancia al riesgo de la emprea son

Asegurar la entendidos, articulados y comunicados y que el riesgo para el valor EDM03.01 Evaluar la gestión de riesgos.
EDM03 Optimización del de la empresa relacionado con el uso de als TI es identificado y
Riesgo gestionado EDM03.02 Orientar la gestión de riesgos
EDM03.03 Supervisar la gestión de riesgos
Asegurar la Aegurar que la adecuadas y suficientes capacidades relacionadas con EDM04.01

Evaluar la gestión de recursos
EDM04 Optimización de los las TI(personas, procesos y tecnologías) están disponibles para
Recursos soportar eficazmente los objetivos de la empresa a un coste óptimo. EDM04.02 Orientar la gestión de recursos
33
EDM04.03 Supervisar la gestión de recursos.
Evaluar los requisitos de elaboración de
EDM05.01 informes de la partes interesadas.
Asegurar la Asegurar que la medición y la elaboración de informes en cuanto a
Transparencia hacia conformidad y desempeño de TI de la empresa son transparentes,
EDM05 EDM05.02 Orientar la comunicación con las partes
las partes con aprobación por parte de las partes interesadas de las metas, las
intersadas y la elaboración de informes.
interesadas métricas y la acciones correctivas necesarias.
EDM05.03 Supervisar la comunicación con las
partes interesadas.
Figura 14. Procesos EDM
3.5.6.2. Procesos APO (Align, Plan and Organise)

Tenemos los procesos para la Gestión de TI empresarial APO, Alinear, Planificar y
Organizar, tal como se observa en la Figura 15. Procesos APO.
34
APO01.01 Definir la estructura organizativa
APO01.02 Esstablecer roles y responsabilidades.
APO01.03 Mantener los elementos catalizadores del
sistema de gestión
Aclarar y mantener el gobierno de la misión y la visión corporativa APO01.04 Comunicar los objetivos y la dirección de
Gestionar el de TI. Implementar y mantener mecanismos y autoridades para la gestión.
APO01 Marco de gestión de la información y el uso de TI en la empresa para apoyar APO01.05 Optimizar la ubicación de la función de TI.
Gestión de TI los objetivos de gobierno en consonancia con la políticas y los
APO01.06 Definir la propiedad de la información
principios rectores.
(datos) y del sistema
APO01.07 Gestionar la mejora continua de los
procesos.
APO01.08 Mantener el cumplimiento con las políticas
y procedimientos.
APO02.01 Comprender la dirección de la empresa.
Proporcionar una visión holística del negocio actual y del entorno APO02.02 Evaluar el entorno, capacidades y
de TI, la dirección futura, y las iniciativa necesarias para migrar al rendimiento actuales.
Gestionar la entorno deseado. Aprovechar los bloques y componentes de la APO02.03 Definir el objetivo de las capacidades de TI
APO02
Estrategia estructura empresarial, incluyendo los servicios externallizados y
las capacidades relacionadas que permitan una respuesta ágil, APO02.04 Realizar un análisis de diferencias
confiable y eficiente a los objetivos estratégicos. APO02.05 Definir el plan estratégico y la hoja de ruta
APO02.06 Comunicar la estrategia y la dirección de TI
APO03.01 Desarrollar la visión de la arquitectura de
empresa.
Establecer una arquitectura común compuesta por los procesos de
negocio, la información, los datos, las aplicaciones y la capas de la APO03.02 Definir la arquitectura de referencia.
Gestionar la
arquitectura tecnológica de manera eficaz y eficiente para la APO03.03 Seleccionar las oportunidades y las
APO03 Arquitectura
realización de las estrategias de la empresa y de TI mediante la soluciones
Empresarial
creación de modelosclave y prácticas que describan las líneas de APO03.04 Definir la implantación de la arquitectura
partida.
APO03.05 Proveer los servicios de arquitectura
empresarial.
APO04.01 Crear un entorno favorable para la
Mantener un conocimiento de la tecnología de la información y las innovación.
tendencias relacionadas con el servicio, identificar las APO04.02 Mantener un entendimiento del entorno de
oportunidades de innovación y planificar la manera de beneficiarse la empresa.
de la innovación en relación con las necesidades del negocio. APO04.03 Supervisar y explorar el entorno
Analizar cuáles son las oportunidades para la innovación tecnológico.
Gestionar la
APO04 empresarial o qué mejora puede crearse con las nuevas
Innovación APO04.04 Evaluar el potencial de las tecnologías
tecnologías, servicios o innovaciones empresariales facilitadas por
emergentes y las ideas innovadoras.
TI, así como a través de las tecnologías ya existentes y por la
innovación en procesos empresariales y de TI. Influir en la APO04.05 Recomendar iniciativas apropiadas
planificación estratégica y en las decisiones de la arquitectura de adicionales.
empresa. APO04.06 Supervisar la implementación y el uso de la
innovación.
Ejecutar el conjunto de direcciones estratégicas para la inversión Establecer la mezcla del objetivo de
alineada con la visión de la arquitectura empresarial, las APO05.01 inversión.
características deseadas de inversión, los portafolios de servicios
Determinar la disponibilidad y las fuentes de
relacionados, considerar las diferentes categorías de inversión y APO05.02 fondos.
recursos y las restricciones de financiación. Evaluar, priorizar y
equilibrar programas y servicios, gestionar la demanda con los Evaluar y seleccionar los programas a
recursos y restricciones de fondos, basados en su alineamiento con APO05.03 financiar.
Gestionar el
APO05 los objetivos estratégicos así como en su valor y riesgo corporativo.
portafolio Supervisar, optimizar e informar sobre el
Mover los programas seleccionados al portafolio de servicios APO05.04 rendimiento del portafolio de inversiones.
activos listos para ser ejecutados. Supervisar el rendimiento global
del portafolio de servicios y programas, proponiendo ajustes si
fuesen necesarios en respuesta al rendimiento de programas y APO05.05 APO05.05 Mantener los portafolios.
servicios o al cambio en las prioridades corporativas
APO05.06 Gestionar la consecución de beneficios.
APO06.01 Gestionar las finanzas y la contabilidad.
Gestionar las actividades financieras relacionadas con las TI tanto

APO06.02 Priorizar la asignación de recursos.
en el negocio como en las funciones de TI, abarcando presupuesto,
coste y gestión del beneficio, y la priorización del gasto mediante el
Gestionar el APO06.03 Crear y mantener presupuestos.
uso de prácticas presupuestarias formales y un sistema justo y
APO06 Presupuesto
equitativo de reparto de costes a la empresa. Consultar a las partes
y los Costes APO06.04 Modelar y asignar costes.
interesadas para identificar y controlar los costes totales y los
beneficios en el contexto de los planes estratégicos y tácticos de TI,
e iniciar acciones correctivas cuando sea necesario.
APO06.05 Gestionar costes.
35
APO07.01 Mantener la dotación de personal
suficiente y adecuada
APO07.02 Identificar personal clave de TI.
Proporcionar un enfoque estructurado para garantizar una óptima
estructuración, ubicación, capacidades de decisión y habilidades de APO07.03 Mantener las habilidades y competencias
Gestionar los del personal.
los recursos humanos. Esto incluye la comunicación de las
APO07 Recursos
funciones y responsabilidades definidas, la formación y planes de APO07.04 Evaluar el desempeño laboral de los
Humanos
desarrollo personal y las expectativas de desempeño, con el apoyo empleados.
de gente competente y motivada.
APO07.05 Planificar y realizar un seguimiento del uso
de recursos humanos de TI y del negocio.
APO07.06 Gestionar el personal contratado.
APO08.01 Entender las expectativas del negocio.
Gestionar las relaciones entre el negocio y TI de modo formal y Identificar oportunidades, riesgos y
transparente, enfocándolas hacia el objetivo común de obtener APO08.02 imitaciones de TI para mejorar el negocio.
resultados empresariales exitosos apoyando los objetivos
Gestionar las
APO08 estratégicos y dentro de las restricciones del presupuesto y los APO08.03 Gestionar las relaciones con el negocio.
Relaciones
riesgos tolerables. Basar la relación en la confianza mutua, usando APO08.04 Coordinar y comunicar.
términos entendibles, lenguaje común y voluntad de asumir la
Proveer datos de entrada para la mejora
propiedad y responsabilidad en las decisiones claves.
APO08.05 continua de los servicios.
APO09.01 Identificar servicios TI.

Alinear los servicios basados en TI y los niveles de servicio con las APO09.02 Catalogar servicios basados en TI.
Gestionar los necesidades y expectativas de la empresa, incluyendo
APO09.03 Definir y preparar acuerdos de servicio.
APO09 Acuerdos de identificación, especificación, diseño, publicación, acuerdo y
Servicio supervisión de los servicios TI, niveles de servicio e APO09.04 Supervisar e informar de los niveles de
indicadores de rendimiento. servicio.
APO09.05 Revisar acuerdos de servicio y contratos.
APO10.01 Identificar y evaluar las relaciones y
contratos con proveedores.
Administrar todos los servicios de TI prestados por todo tipo de APO10.02 Seleccionar proveedores.
proveedores para satisfacer las necesidades del negocio,
Gestionar los APO10.03 Gestionar contratos y relaciones con
APO10 incluyendo la selección de los proveedores, la gestión de las
Proveedores proveedores.
relaciones, la gestión de los contratos y la revisión y supervisión del
desempeño, para una eficacia y cumplimiento adecuados. APO10.04 Gestionar el riesgo en el suministro.
APO10.05 Supervisar el cumplimiento y el rendimiento
del proveedor.
APO11.01 Establecer un sistema de gestión de la
calidad (SGC).
APO11.02 Definir y gestionar los estándares, procesos
y prácticas de calidad.
Definir y comunicar los requisitos de calidad en todos los procesos, APO11.03 Enfocar la gestión de la calidad en los
procedimientos y resultados relacionados de la organización, clientes.
Gestionar la
APO11 incluyendo controles, vigilancia constante y el uso de prácticas APO11.04 Supervisar y hacer controles y revisiones de
Calidad
probadas y estándares de mejora continua y esfuerzos de calidad.
eficiencia.
Integrar la gestión de la calidad en la
implementación de soluciones y la
APO11.05
entrega de servicios.
APO11.06 Mantener una mejora continua

APO12.01 Recopilar datos.
APO12.02 Analizar el riesgo.
Identificar, evaluar y reducir los riesgos relacionados con TI de APO12.03 Mantener un perfil de riesgo.
Gestionar el
APO12 forma continua, dentro de niveles de tolerancia establecidos por la APO12.04 Expresar el riesgo.
Riesgo
dirección ejecutiva de la empresa.
APO12.05 Definir un portafolio de acciones para la
gestión de riesgos.
APO12.06 Responder al riesgo.
APO13.01 Establecer y mantener un SGSI.
Definir y gestionar un plan de tratamiento
Gestionar la Definir, operar y supervisar un sistema para la gestión de la
APO13 APO13.02 del riesgo de la seguridad de la información.
Seguridad seguridad de la información.
APO13.03 Supervisar y revisar el SGSI.

Figura 15. Procesos APO
36
3.5.6.3. Procesos BAI (Build, Acquire and Implement)
BAI01.01 Mantener un enfoque estándar para la gestión de
programas y proyectos.
BAI01.02 Iniciar un programa.
BAI01.03 Gestionar el compromiso de las partes
interesadas.
BAI01.04 Desarrollar y mantener el plan de programa.
BAI01.05 Lanzar y ejecutar el programa.
BAI01.06 Supervisar, controlar e informar de los resultados
Gestionar todos los programas y proyectos del portafolio del programa.
Gestionar los de inversiones de forma coordinada y en línea con la BAI01.07 Lanzar e iniciar proyectos dentro de un programa.
BAI01 Programas y estrategia corporativa. Iniciar, planificar,
Proyectos controlar y ejecutar programas y proyectos y cerrarlos con BAI01.08 Planificar proyectos.
una revisión post-implementación. BAI01.09 Gestionar la calidad de los programas y proyectos.
BAI01.10 Gestionar el riesgo de los programas y proyectos.
BAI01.11 Supervisar y controlar proyectos.

BAI01.12 Gestionar los recursos y los paquetes de trabajo del
proyecto.
BAI01.13 Cerrar un proyecto o iteración.
BAI01.14 Cerrar un programa.
Identificar soluciones y analizar requerimientos antes de Definir y mantener los requerimientos técnicos y
la adquisición o creación para asegurar que estén en línea BAI02.01 funcionales de negocio.
con los requerimientos
estratégicos de la organización y que cubren los procesos Realizar un estudio de viabilidad y proponer
BAI02.02 soluciones alternativas.
Gestionar la de negocios, aplicaciones, información/datos,
BAI02 Definición de infraestructura y servicios. Coordinar con las partes
Requisitos interesadas afectadas la revisión de las opciones viables,
BAI02.03 Gestionar los riesgos de los requerimientos.
incluyendo costes y beneficios relacionados, análisis de
riesgo y aprobación de los requerimientos y soluciones Obtener la aprobación de los requerimientos y
propuestas. BAI02.04 soluciones.
BAI03.01 Diseñar soluciones de alto nivel.

BAI03.02 Diseñar los componentes detallados de la solución
Establecer y mantener soluciones identificadas en línea BAI03.03Desarrollar los componentes de la solución

con los requerimientos de la empresa que abarcan el BAI03.04Obtener los componentes de la solución
Gestionar la diseño, desarrollo, compras/contratación y asociación con
BAI03.05Construir soluciones.
Identificación y proveedores/fabricantes. Gestionar la configuración,
BAI03 BAI03.06Realizar controles de calidad.
la Construcción preparación de pruebas, realización de pruebas, gestión
BAI03.07Preparar pruebas de la solución
de Soluciones de requerimientos y
mantenimiento de procesos de negocio, aplicaciones, BAI03.08Ejecutar pruebas de la solución
datos/información, infraestructura y servicios. BAI03.09Gestionar cambios a los requerimientos.
BAI03.10Mantener soluciones.
BAI03.11Definir los servicios TI y mantener el catálogo de
servicios.
Equilibrar las necesidades actuales y futuras de BAI04.01 Evaluar la disponibilidad, rendimiento y capacidad
Gestionar la disponibilidad, rendimiento y capacidad con una provisión actual y crear una línea de referencia.
BAI04 Disponibilidad y de servicio efectiva en costes. Incluye la evaluación de las BAI04.02 Evaluar el impacto en el negocio.
la Capacidad capacidades actuales, la previsión de necesidades futuras BAI04.03 Planificar requisitos de servicio nuevos o
basadas en los requerimientos del negocio, el análisis del modificados.
37
impacto en el negocio y la evaluación del riesgo para BAI04.04 Supervisar y revisar la disponibilidad y la
planificar e implementar acciones para alcanzar los capacidad.
requerimientos identificados. BAI04.05 Investigar y abordar cuestiones de disponibilidad,
rendimiento y capacidad.
BAI05.01 Establecer el deseo de cambiar.
BAI05.02 Formar un equipo de implementación efectivo.
Maximizar la probabilidad de la implementación exitosa
Gestionar la BAI05.03 Comunicar la visión deseada.
en toda la empresa del cambio organizativo de forma
introducción de BAI05.04 Facultar a los que juegan algún papel e identificar
BAI05 rápida y con riesgo reducido, cubriendo el ciclo de vida
Cambios ganancias en el corto plazo.
completo del cambio y todos las partes interesadas del
Organizativos BAI05.05 Facilitar la operación y el uso.
negocio y de TI.
BAI05.06 Integrar nuevos enfoques.
BAI05.07 Mantener los cambios.
Gestione todos los cambios de una forma controlada, BAI06.01 Evaluar, priorizar y autorizar peticiones de cambio.
incluyendo cambios estándar y de mantenimiento de
emergencia en relación con los procesos de negocio, BAI06.02 Gestionar cambios de emergencia.
Gestionar los aplicaciones e infraestructura. Esto incluye normas y
BAI06
Cambios procedimientos de cambio, análisis de impacto, BAI06.03 Hacer seguimiento e informar de cambios de
priorización y autorización, cambios de emergencia, estado.
seguimiento, reporte, cierre y documentación. BAI06.04 Cerrar y documentar los cambios.
BAI07.01 Establecer un plan de implementación.

Aceptar formalmente y hacer operativas las nuevas BAI07.02 Planificar la conversión de procesos de negocio,
soluciones, incluyendo la planificación de la sistemas y datos.
Gestionar la implementación, la conversión de los datos y los sistemas, BAI07.03 Planificar pruebas de aceptación.
Aceptación del las pruebas de aceptación, la comunicación, la BAI07.04 Establecer un entorno de pruebas.
BAI07
Cambio y de la preparación del lanzamiento, el paso a producción de BAI07.05 Ejecutar pruebas de aceptación.
Transición procesos de negocio o servicios TI nuevos o modificados, BAI07.06 Pasar a producción y gestionar los lanzamientos.
el soporte temprano en producción y una revisión BAI07.07 Proporcionar soporte en producción desde el
postimplementación. primer momento.
BAI07.08 Ejecutar una revisión postimplantación.
BAI08.01 Cultivar y facilitar una cultura de intercambio de
Mantener la disponibilidad de conocimiento relevante, conocimientos.
actual, validado y fiable para dar soporte a todas las BAI08.02 Identificar y clasificar las fuentes de información.
Gestionar el actividades de los procesos y facilitar la toma
BAI08
Conocimiento de decisiones. Planificar la identificación, recopilación, BAI08.03 Organizar y contextualizar la información,
organización, mantenimiento, uso y retirada de transformándola en conocimiento.
conocimiento. BAI08.04 Utilizar y compartir el conocimiento.
BAI08.05 Evaluar y retirar la información.
Gestionar los activos de TI a través de su ciclo de vida para
BAI09.01 Identificar y registrar activos actuales.
asegurar que su uso aporta valor a un coste óptimo, que
se mantendrán en funcionamiento
(acorde a los objetivos), que están justificados y BAI09.02 Gestionar activos críticos
protegidos físicamente, y que los activos que son
Gestionar los fundamentales para apoyar la capacidad del servicio son
BAI09 BAI09.03 Gestionar el ciclo de vida de los activos.
Activos fiables y están disponibles. Administrar las licencias de
software para asegurar que se adquiere el número
BAI09.04 Optimizar el coste de los activos.
óptimo, se mantienen y despliegan en relación con el uso
necesario para le negocio y que el software instalado
cumple con los acuerdos de licencia. BAI09.05 Administrar licencias.
Definir y mantener las definiciones y relaciones entre los BAI10.01 Establecer y mantener un modelo de
principales recursos y capacidades necesarios para la configuración.
prestación de los servicios BAI10.02 Establecer y mantener un repositorio de
proporcionados por TI, incluyendo la recopilación de configuración y una base de referencia.
Gestionar la información de configuración, el establecimiento de líneas BAI10.03 Mantener y controlar los elementos de
BAI10
Configuración de referencia, la verificación y auditoría configuración.
de la información de configuración y la actualización del BAI10.04 Generar informes de estado y configuración.
repositorio de configuración.
BAI10.05 Verificar y revisar la integridad del repositorio de
configuración.
Figura 16. Procesos BAI
38
3.5.6.4. Procesos DSS (Deliver, Service and Support)
Coordinar y ejecutar las actividades y los procedimientos DSS01.01 Ejecutar procedimientos

operativos requeridos para entregar servicios de TI tanto DSS01.02 Gestionar servicios
Gestionar las internos como externalizados, incluyendo la ejecución de
DSS01 DSS01.03 Supervisar la infraestructura
Operaciones procedimientos operativos estándar predefinidos y las
DSS01.04 Gestionar el entorno
actividades de monitorización requeridas.
DSS01.05 Gestionar las instalaciones
DSS02.01 Definir esquemas de clasificación de
incidentes y peticiones de servicio.
Proveer una respuesta oportuna y efectiva a las peticiones DSS02.02 Registrar, clasificar y priorizar peticiones e
Gestionar las incidentes.
de usuario y la resolución de todo tipo de incidentes.
Peticiones y los DSS02.03 Verificar, aprobar y resolver
DSS02 Recuperar el servicio normal; registrar y completar las
Incidentes
peticiones de usuario; y registrar, investigar, diagnosticar, DSS02.04 Investigar, diagnosticar y localizar incidentes.
del Servicio
escalar y resolver incidentes. DSS02.05 Resolver y recuperarse de incidentes.
DSS02.06 Cerrar peticiones de servicio e incidentes.
DSS02.07 Seguir el estado y emitir informes.
Identificar y clasificar problemas y sus causas raíz y DSS03.01 Identificar y clasificar problemas.
proporcionar resolución en tiempo para prevenir DSS03.02 Investigar y diagnosticar problemas.
Gestionar los incidentes recurrentes. Proporcionar recomendaciones
DSS03 DSS03.03 Levantar errores conocidos.
Problemas de mejora.
DSS03.04 Resolver y cerrar problemas.
DSS03.05 Realizar una gestión de problemas proactiva.
DSS04.01 Definir la política de continuidad del negocio,
objetivos y alcance.
DSS04.02 Mantener una estrategia de continuidad.
DSS04.03 Desarrollar e implementar una respuesta a la
Establecer y mantener un plan para permitir al negocio y a continuidad del negocio.
TI responder a incidentes e interrupciones de servicio para
DSS04.04 Ejercitar, probar y revisar el plan de
Gestionar la la operación continua de los procesos críticos para el
DSS04 continuidad.
Continuidad negocio y los servicios TI requeridos y mantener la
DSS04.05 Revisar, mantener y mejorar el plan de
disponibilidad de la información a un nivel aceptable para
continuidad.
la empresa.
DSS04.06 Proporcionar formación en el plan de
continuidad.
DSS04.07 Gestionar acuerdos derespaldo.
DSS04.08 Ejecutar revisiones postreanudación
DSS05.01 Proteger contra software malicioso (malware).
DSS05.02 Gestionar la seguridad de la red y las

conexiones.
DSS05.03 Gestionar la seguridad de los puestos de
Proteger la información de la empresa para mantener usuario final.
Gestionar los aceptable el nivel de riesgo de seguridad de la información
DSS05.04 Gestionar la identidad del usuario y el acceso
DSS05 Servicios de acuerdo con la política de seguridad. Establecer y
lógico.
de Seguridad mantener los roles de seguridad y privilegios de acceso de
la información y realizar la supervisión de la seguridad. DSS05.05 Gestionar el acceso físico a los activos de TI.
DSS05.06 Gestionar documentos sensibles y dispositivos

de salida.
DSS05.07 Supervisar la infraestructura para detectar
eventos relacionados con la seguridad.
Definir y mantener controles apropiados de proceso de Alinear las actividades de control embebidas
DSS06 Gestionar los negocio para asegurar que la información relacionada y DSS06.01 en los procesos de negocio con los objetivos
procesada dentro de la organización o de forma externa corporativos.
39
Controles de satisface todos los requerimientos relevantes para el DSS06.02 Controlar el procesamiento de la información.
los Procesos control de la información. Identificar los requisitos de
del Negocio control de la información y gestionar y operar los controles Gestionar roles, responsabilidades, privilegios
adecuados para asegurar que la información y su DSS06.03 de acceso y niveles de autorización.
procesamiento satisfacen estos requerimientos.
DSS06.04 Gestionar errores y excepciones.
DSS06.05 Asegurar la trazabilidad de los eventos y
responsabilidades de información.
DSS06.06 Asegurar los activos de información.
Figura 17. Procesos DSS
3.5.6.5. Procesos MEA (Monitor, Evaluate and Assess)

MEA01.01 Establecer un enfoque de la supervisión.
Recolectar, validar y evaluar métricas y Establecer los objetivos de cumplimiento y
MEA01.02
objetivos de negocio, de TI y de procesos. rendimiento.
Supervisar,
Supervisar que los procesos se están Recopilar y procesar los datos de cumplimiento y
Evaluar y Valorar MEA01.03
MEA01 realizando acorde al rendimiento acordado rendimiento.
Rendimiento y
y conforme a los objetivos y métricas y se
Conformidad MEA01.04 Analizar e informar sobre el rendimiento.
proporcionan informes de forma
sistemática y planificada. Asegurar la implantación de medidas correctivas.
MEA01.05
MEA02.01 Supervisar el control interno.

MEA02.02 Revisar la efectividad de los controles sobre los
Supervisar y evaluar de forma continua el
procesos de negocio.
entorno de control, incluyendo tanto
autoevaluaciones como revisiones MEA02.03 Realizar autoevaluaciones de control.
Supervisar, externas independientes. Facilitar a la MEA02.04 Identificar y comunicar las deficiencias de
Evaluar y Valorar Dirección la identificación de deficiencias e control.
MEA02
el Sistema de ineficiencias en el control y el inicio de Garantizar que los proveedores de
Control Interno acciones de mejora. Planificar, organizar y MEA02.05 aseguramiento son independientes y están
mantener normas para la evaluación del cualificados.
control interno y las actividades de MEA02.06 Planificar iniciativas de aseguramiento.
aseguramiento.
MEA02.07 Estudiar las iniciativas de aseguramiento.
MEA02.08 Ejecutar las iniciativas de aseguramiento.
Evaluar el cumplimiento de requisitos Identificar requisitos externos de cumplimiento.
MEA03.01
Supervisar, regulatorios y contractuales tanto en los
Evaluar y Valorar procesos de TI como en los procesos de MEA03.02 Optimizar la respuesta a requisitos externos.
la Conformidad negocio dependientes de las tecnologías de
MEA03 la información. Obtener garantías de que
con los Confirmar el cumplimiento de requisitos
MEA03.03
Requerimientos se han identificado, se cumple con los externos.
Externos requisitos y se ha integrado el
MEA03.04 Obtener garantía de cumplimiento de requisitos
cumplimiento de TI en el
externos.
Figura 18. Procesos MEA
40
CAPÍTULO IV
DESARROLLO DE LA AUDITORÍA
41
4.1. MECANISMO PARA LA APLICACIÓN DE LA AUDITORÍA
4.1.1. Selección de Objetivos de Gobierno y TI
Se realizó la selección de los objetivos de la institución para luego cruzarlos
con los objetivos de TI que ayudan al cumplimiento de la municipalidad
Provincial del Santa.
Entidad N° Personas Rol de N° Función
con acuerdo a Personas a dentro del
conocimiento COBIT 5 aplicar la proyecto
del proyecto encuesta
GITICMPS 7 Director de 7 Coordinador
Informática general
(CIO)
Tabla 3. Selección de muestra de participantes
4.1.2. Selección de Procesos Facilitadores y Prácticas de Gobierno

Se realizó una identificación de los roles que propone COBIT 5 con los roles
que desempeñan las personas en la Gerencia de informática y Tecnologías de
la Información y comunicación (GITIC). A continuación veremos los roles
según Cobit de las partes involucradas, quienes serán la pieza fundamental
para el desarrollo de la auditoría.
N° Personas Rol de Descripción N° Función
con acuerdo a del rol Persona dentro del
conocimient COBIT 5 sa proyecto
o del aplicar
proyecto la
encuesta
1 Director de Gerente de la 1 Coordinador
Informática GITIC- MPS general
(CIO)
1 Auditor Desarrollo de 0 Coordinador
auditoría a de
Auditoría
3 Desarrollador Desarrolla 3 Analista
requerimientos programador
solicitados por
las áreas
externas,
gestiona
sistemas de
información
1 Administrado Gestiona las 1 Responsable
r de Redes redes y de redes
radioenlaces
de la
municipalidad.
42
4 Responsable Brinda soporte 1 Responsable
Soporte técnico a las Soporte
Técnico áreas externas, Técnico
gestiona
hardware a su
cargo.
1 Secretaría Organiza y 1 Secretaría
gestiona la
documentació
n de la
gerencia
Tabla 4. Roles operativos en la GITIC
La Gerencia de Informática de la Municipalidad Provincial del Santa, comprende

el área de Sistemas y la Unidad de Soporte Técnico, esto no obedece al
organigrama institucional sin embargo en la práctica existe dicha unidad para
brindar soporte a las diversas áreas de la municipalidad que de manera recurrente
solicitan sus servicios, ya sea por algún fallo de hardware o en muchos casos por
desconocimiento del usuario. Es por ello que se pidió la colaboración de toda la
gerencia para que los trabajadores puedan brindar información que sea útil para el
desarrollo de la auditoría, respondiendo de manera positiva tratando de no afectar
sus labores diarias.
El total de participantes corresponde a 11, pues todos brindaron apoyo, a través de

las diversas técnicas aplicadas, siendo el 100% de la Gerencia.
4.1.3. Definición de instrumentos para recolección de información

Para la captura de información se utilizaron encuestas, entrevistas, acceso a la
documentación de la Gerencia de Informática y acceso a las instalaciones de la
municipalidad como el Centro de Datos principal.
Las entrevistas se realizaron en función a la disponibilidad de los trabajadores del

área y siempre se mostraron prestos a responder y despejar las dudas.
Una vez obtenida la información se utilizó tablas para la evaluación de los

diversos procesos indicando si disponía de la documentación necesaria, fecha de
última versión, fuente consultada, personas responsables de la elaboración del
documento, entre otros aspectos.
43
Luego de la evaluación de los procesos sobre la disponibilidad de la
documentación se realizó una valoración de atributos para ver en qué estado se
encuentra cada proceso.
4.2. APLICACIÓN DE LA AUDITORÍA

4.2.1. Selección de Procesos de Gobierno y de Gestión de Cobit 5
4.2.1.1. Selección de Objetivos Empresariales y Objetivos TI

En el Capítulo 3 donde vimos todo lo relacionado al marco teórico, en
el apartado 3.5.2 Metas corporativas de Cobit 5 se encuentra la
relación de las 17 metas que están alineadas a la empresa según Cobit,
obviamente es un modelo de referencia que se puede ajustar según la
empresa. Para evaluar las metas que se ajustan a la Municipalidad
Provincial del Santa realizaremos una ponderación donde los objetivos
de dividirán en:
P = Primarios S = Secundarios,
Y donde la ponderación será de acuerdo a la siguiente escala:

Ponderación de Objetivos Empresariales
3 Importancia Alta
2 Importancia Media
1 Importancia Baja
Tabla 5. Ponderación de Objetivos Empresariales según Cobit
Relación con los Objetivos del Gobierno
Dimensión Realización
Meta Corporativa de Optimización Optimización Ponderación
del CMI
Beneficios de Riesgos de Recursos
1. Valor para las partes interesadas de las inversiones de Negocio P S 2
2. Cartera de productos y servicios competitivos P P S 3

3. Riesgos de negocio gestionados(salvaguardia de activos) P S 2
Financiera
4. Cumplimiento de leyes y regulaciones externas P 3
5. Transparencia financiera P S S 3
6. Cultura de servicio orientada al cliente P S 3
Cliente
7. Continuidad y disponibilidad del servicio de negocio P 3
44
8. Respuestas ágiles a un entorno de negocio cambiante P S 2
9. Toma estratégica de Decisiones basada en información P P P 3

10. Optimización de costes de entrega del servicio P P 3
11. Optimización de la funcionalidad de los procesos de negocio P P 2
12. Optimización de los costes de los procesos de negocio P P 2
Interna 13. Programas gestionados de cambio en el negocio P P S 2

14. Productividad operacional y de los empleados P P 2
15. Cumplimiento de las políticas internas P 3
Aprendizaje y 16. Persona preparadas y motivadas S P P 3

Crecimiento 17. Cultura de innovación de producto y negocio P 3
Figura 19. Ponderación realizada en la MPS para los objetivos de la empresa
Relación con los Objetivos del Gobierno
Dimensión Realización
Meta Corporativa de Optimización Optimización Ponderación
del CMI
Beneficios de Riesgos de Recursos
2. Cartera de productos y servicios competitivos P P S 3
4. Cumplimiento de leyes y regulaciones externas P 3
Financiera
5. Transparencia financiera P S S 3
6. Cultura de servicio orientada al cliente P S 3
7. Continuidad y disponibilidad del servicio de negocio P 3

Cliente
9. Toma estratégica de Decisiones basada en información P P P 3
10. Optimización de costes de entrega del servicio P P 3
Interna 15. Cumplimiento de las políticas internas P 3
Aprendizaje y 16. Persona preparadas y motivadas S P P 3

Crecimiento 17. Cultura de innovación de producto y negocio P 3
Figura 20. Resultados de Objetivos de la empresa con mayor ponderación
Se realizó la ponderación tomando como referencia los objetivos institucionales,

dando como resultado 10 objetivos con ponderación mayor, con importancia Alta
según la escala vista en la Tabla 5. Luego de realizar la ponderación de los objetivos
de la empresa, realizamos el cruce de los objetivos de la empresa con los objetivos de
TI como muestra la Figura 21.
45
Meta Corporativa
Inter Aprendizaje
Financiera Cliente
Meta Relacionada con las TI na Crecimiento
Alineamiento de TI y la estrategia de
1 P P S P S S S 2
negocio
Cumplimiento y soporte de la TI al
2 cumplimiento del negocio de las leyes y P P 3
regulaciones externas.
Compromiso de la dirección ejecutiva para
3 P S S S 2
tomar decisiones relacionadas con TI
Riesgos de negocio relacionados con las TI
4 S P P S S 3
gestionados.
Realización de beneficios del portafolio de
5 inversiones y servicios relacionados con las P S S S 3
TI
Transparencia de los costes, beneficios y
6
riesgos de las TI.
P S P 3
Entrega de servicio de TI de acuerdo a los

7 P S P S S S S 2
requisitos del negocio.
Uso adecuado de aplicaciones, información
8 S S S S S S S 3
y soluciones tecnológicas.
9 Agilidad de las TI. S S S P 3
Seguridad de la información,
10 infraestructuras de procesamiento y P P P 3
aplicaciones.
Obtimización de activos, recursos y
11 P P S 2
capacidades de las TI.
Capacitación y soporte de procesos de
12 negocio integrando aplicaciones y S S S S 2
tecnología en procesos de negocio.
Entrega de Programas que proporcionen
beneficios a tiempo, dentro del presupuesto
13 P S S 2
y satisfaciendo los requisitos y normas de
calidad.
Disponibilidad de información útil y
14 S S P P 3
relevante para la toma de decisiones.
Cumplimiento de las políticas internas por
15 S P 2
parte de las TI.
Personal del negocio y de las TI competente
16 S S P S 2
y motivado.
17 Conocimiento, experiencia e iniciativas para P S S S P 2

la innovación de negocio
Figura 21. Cruce de los objetivos de la empresa seleccionados con los objetivos TI.
Meta Corporativa
46
Inter Aprendizaje
Financiera Cliente
Meta Relacionada con las TI na Crecimiento
Cumplimiento y soporte de la TI al
2 cumplimiento del negocio de las leyes y P P 3
regulaciones externas.
Riesgos de negocio relacionados con las TI
4 S P P S S 3
gestionados.
Realización de beneficios del portafolio de
5 inversiones y servicios relacionados con las TI P S S S 3
Transparencia de los costes, beneficios y

6 P S P 3
riesgos de las TI.
Uso adecuado de aplicaciones, información y
8 S S S S S S S 3
soluciones tecnológicas.
9 Agilidad de las TI. S S S P 3
Seguridad de la información, infraestructuras

10 de procesamiento y aplicaciones. P P P 3
Disponibilidad de información útil y relevante

14 S S P P 3
para la toma de decisiones.
Figura 22. Resultado de ponderación entre Objetivos de Empresa y Objetivos TI.
En la Figura 21 se realizó el cruce de los objetivos de la Empresa con los objetivos de

TI; de los 17 objetivos empresariales sólo obtuvieron ponderación alta 10 objetivos,
lo cual representa el 58.82% del total.
Posteriormente en la Figura 22 podemos apreciar que de los 17 objetivos de TI sólo

obtuvieron ponderación alta 8 objetivos de TI, lo cual se traduce en el 47.06%.
El propósito de la selección de metas de la empresa y las metas relacionadas con las

TI es para mostrar la gran importancia que tienen las tecnologías de la información
para la toma de decisiones y el cumplimiento de los objetivos de la Municipalidad
Provincial del Santa. A continuación, se presenta la Figura 23 donde se aprecia mejor
los resultados.
47
Figura 23. Objetivos de Empresa y Objetivos TI
4.2.1.2. Selección de Procesos Facilitadores y Prácticas de Gobierno Para

la realización de la auditoría en la Gerencia de Informática de la
Municipalidad Provincial del Santa se seleccionó los procesos
facilitadores según Cobit, de los cuáles se trató en el Capítulo 3, en
el apartado 3.5.6. Modelo de Referencia de Procesos de Cobit 5.
Para evaluar los procesos que se ajustan a la Municipalidad

Provincial del Santa realizaremos una ponderación donde los
objetivos de dividirán en:
P = Primarios S = Secundarios,
Y donde la ponderación será de acuerdo a la siguiente escala:

Ponderación de Procesos Facilitadores Cobit 5
3 Importancia Alta
2 Importancia Media
1 Importancia Baja
Tabla 6. Ponderación de Procesos según Cobit
Meta Corporativa
Meta Relacionada con las TIAsegurar el Clie

Financiera nte Interna
Establecimiento y
EDM01 Mantenimiento del Marco de Gobierno S S S S S S S 2
48
EDM02 Asegurar la Entrega de Beneficios P P S S 3
EDM03 Asegurar la Optimización del Riesgo S P P S P S 2
EDM04
S S S S P 2
Asegurar la Optimización de los Recursos
EDM05 Asegurar la Transparencia hacia las partes
interesadas S P S 3
APO01 Gestionar el Marco de Gestión de TI P S P S S 3
APO02 Gestionar la Estrategia S S S S S 2
APO03 Gestionar la Arquitectura Empresarial S S S S P S S 2
APO04 Gestionar la Innovación S P P P S 3
APO05 Gestionar el portafolio S P S S S 2
APO06 Gestionar el Presupuesto y los Costes S P P S 2
APO07 Gestionar los Recursos Humanos S S S S 3
APO08 Gestionar las Relaciones S S S S 2
APO09 Gestionar los Acuerdos de Servicio S S S S S S P 2
APO10 Gestionar los Proveedores S P S S S P S S 2

APO11 Gestionar la Calidad S S P S S S 2
APO12 Gestionar el Riesgo P P P S S P S 2
APO13 Gestionar la Seguridad P P P P P P 3
BAI01 Gestionar los Programas y Proyectos P P S S 3
BAI02 Gestionar la Definición de Requisitos S S S S S S S 2
BAI03 Gestionar la Identificación y la

Construcción de Soluciones S S S S 3
BAI04 Gestionar la Disponibilidad y la

Capacidad S S S S P 2
BAI05 Gestionar la introducción de Cambios

Organizativos S P S 2
BAI06 Gestionar los Cambios P S S S P S 3
BAI07 Gestionar la Aceptación del Cambio y de la

Transición S S P S S 2
BAI08 Gestionar el Conocimiento S S P S S 2
BAI09 Gestionar los Activos S S P S S S 3
BAI10 Gestionar la Configuración P S S S S P 3
DSS01 Gestionar las Operaciones S P S S S S S 3
DSS02 Gestionar las Peticiones y los Incidentes del

Servicio P S S S 3
DSS03 Gestionar los Problemas S P S S S P 3
49
DSS04 Gestionar la Continuidad S P S S S S P 3
DSS05 Gestionar los Servicios de

Seguridad P P S P S 2
DSS06 Gestionar los Controles de los Procesos del

Negocio S P S S S 2
MEA01 Supervisar, Evaluar y Valorar

S P S S S S S S 3
Rendimiento y Conformidad
MEA02 Supervisar, Evaluar y Valorar el Sistema de
Control Interno P P S S S S 2
MEA03 Supervisar, Evaluar y Valorar la

Conformidad con los Requerimientos Externos P P S S 2
Figura 24. Ponderación Procesos Facilitadores

Meta Corporativa
Clie
Financiera Interna
Meta Relacionada con las TI nte
EDM02 Asegurar la Entrega de Beneficios P P S S 3
EDM05 Asegurar la Transparencia hacia las partes

S P S 3
interesadas
APO01 Gestionar el Marco de Gestión de TI P S P S S 3
APO04 Gestionar la Innovación S P P P S 3
APO07 Gestionar los Recursos Humanos S S S S 3
APO13 Gestionar la Seguridad P P P P P P 3
BAI01 Gestionar los Programas y Proyectos P P S S 3
BAI03 Gestionar la Identificación y la

S S S S 3
Construcción de Soluciones
BAI06 Gestionar los Cambios P S S S P S 3
BAI09 Gestionar los Activos S S P S S S 3
BAI10 Gestionar la Configuración P S S S S P 3
DSS01 Gestionar las Operaciones S P S S S S S 3
DSS02 Gestionar las Peticiones y los Incidentes

P S S S 3
del Servicio
50
DSS03 Gestionar los Problemas S P S S S P 3
DSS04 Gestionar la Continuidad S P S S S S P 3
MEA01 Supervisar, Evaluar y Valorar

S P S S S S S S 3
Rendimiento y Conformidad
Figura 25. Resultados de Ponderación de Procesos Facilitadores
Después de realizar la ponderación de los Procesos Facilitadores se

seleccionaron 16 procesos relacionados con las TI y la empresa, la cual
corresponde a la Municipalidad Provincial del Santa. De cada proceso se
seleccionaron las prácticas de Gobierno a ser aplicadas en la auditoría.
4.2.2. Desarrollo de Procesos Facilitadores y Prácticas de Gobierno

En el apartado anterior se seleccionaron los procesos y prácticas de gobierno,
por lo tanto, es momento de dar paso al desarrollo de cada uno de los procesos
y analizar en qué medida se está dando cumplimiento a las prácticas de
Gobierno.
EDM02 Asegurar la Entrega de Beneficios

PROCESO EDM02 - Asegurar la Entrega de Beneficios
Subprocesos Documento Dispone Última Participantes Fuente Observaciones

SI/NO versión
EDM02.01 Evaluación de la NO N/A N/A Ing. -
Evaluar la alienación David
optimización Estratégica. Aguirre
del valor Evaluación de NO N/A N/A Ing. -
inversiones David
Aguirre
Portafolio de NO N/A N/A Ing. -
servicios David
Aguirre
EDM02.02 Tipos de NO N/A N/A Ing. -
Orientar la inversiones y David
optimización criterios Aguirre
del valor Requerimientos NO N/A N/A Ing. -
para las David
revisiones de Aguirre
cambio de fase
EDM02.03 Rendimiento de NO N/A N/A Ing. -
la cartera y del David
programa Aguirre
51
Supervisar la Acciones para NO N/A N/A Ing. -
optimización mejorar la David
del valor entrega de valor Aguirre
Tabla 7. Auditoría EDM02
EDM05 Asegurar la Transparencia hacia las partes interesadas

PROCESO EDM05 - Asegurar la Transparencia hacia las partes interesadas
SI/NO versión
EDM05.01 Evaluación de NO N/A N/A Ing. -
Evaluar los los requisitos David
requisitos de corporativos Aguirre
elaboración de de elaboración
informes de las de informes
partes Principios de NO N/A N/A Ing. -
interesadas. elaboración de David
informes y de Aguirre
comunicación
EDM05.02 Reglas de SI 26/11/2010 Gerencia de Ing. El documento
Orientar la validación Planeamiento David se encuentra en
comunicación y Presupuesto Aguirre el PTE-MPS,
con las partes con el nombre
interesadas y de ROF
la elaboración (Reglamento
de informes. de
Organización y
Funciones)
pág.63
Aprobación de SI 26/11/2010 Gerencia de Ing. El documento
informes Planeamiento David se encuentra en
obligatorios y Presupuesto Aguirre el PTE-MPS,
con el nombre
de ROF
(Reglamento de
Organización y
Funciones)
pág.63
Directrices de NO N/A N/A Ing. -

escalado David
Aguirre
EDM05.03 Evaluación de NO N/A N/A Ing. -
Supervisar la la eficacia de la David
comunicación elaboración de Aguirre
con las partes informes
interesadas.
Tabla 8. Auditoría EDM05
APO01 Gestionar el Marco de Gestión de TI

PROCESO APO01 - Gestionar el Marco de Gestión de TI
52
SI/NO versión
APO01.01 la Definición de SI 26/11/2010 Gerencia de Ing. Los
Definir estructura y - Planeamiento David documentos se
estructura funciones 23/07/2013 y Presupuesto Aguirre encuentran en
organizativa organizativas el PTE-MPS,
con el nombre
de ROF y
MOF.
Directrices SI 31/05/2007 Gerencia de Ing. Los
operativas de la Planeamiento David documentos se
organización y Presupuesto Aguirre encuentran en
el PTE-MPS,
con el nombre
de TUPA.
Reglas básicas de NO N/A N/A Ing. -
comunicación David
Aguirre
APO01.02 Definición de SI 26/11/2010 Gerencia de Ing. Los
Establecer roles y roles y - Planeamiento David documentos se
responsabilidades. responsabilidades 23/07/2013 y Presupuesto Aguirre encuentran en
relativos a TI. el PTE-MPS,
con el nombre
de ROF y
MOF.
Definición de NO N/A N/A Ing. -
prácticas de David
supervisión Aguirre
APO01.03 Políticas relativas SI 07/2010 Gerencia de Ing. El documento
Mantener los a TI Planeamiento David se encuentra en
elementos y Presupuesto Aguirre el PTE-MPS,
catalizadores del con el nombre
sistema de gestión de Manual de
Políticas de
Gestión
Institucional
APO01.04 Comunicación de NO N/A N/A Ing. -
Comunicar los objetivos de TI David
objetivos y la Aguirre
dirección de
gestión.
APO01.05 Evaluación de las NO N/A N/A Ing. -

Optimizar la opciones para la David
ubicación de la organización de TI Aguirre
función de TI.
Definir la NO N/A N/A Ing. -
función operacional David
de las Aguirre
funciones de
TI
APO01.06 Directrices para la NO N/A N/A Ing. -
clasificación de David
datos Aguirre
53
Definir la Directrices para el NO N/A N/A Ing. -
propiedad de la control y seguridad David
información de Aguirre
(datos) y del datos
sistema Procedimientos de NO N/A N/A Ing. -
integridad de datos David
Aguirre
APO01.07 Evaluaciones de la NO N/A N/A Ing. -
Gestionar la mejoracapacidad de los David
continua de los procesos Aguirre
procesos. Oportunidades de NO N/A N/A Ing. -
mejoras de David
proceso Aguirre
Objetivos y NO N/A N/A Ing. -
métricas de David
rendimiento para el Aguirre
seguimiento de la
mejora de
procesos
APO01.08 Acciones de NO N/A N/A Ing. -
Mantener el remediación por no David
cumplimiento con cumplimiento. Aguirre
las políticas y
procedimientos.
Tabla 9. Auditoría APO01
APO04 Gestionar la Innovación

PROCESO APO04 – Gestionar la Innovación

SI/NO versión
APO04.01 Plan de SI 04/2018 Ing. David Ing. El documento
Crear un Innovación Aguirre David se encuentra en
entorno Aguirre proceso de
favorable aprobación en
para la la GPP con el
innovación. nombre de
PETI
Programa NO N/A N/A Ing. -
de David
reconocimiento y Aguirre
recompensa
APO04.02 Oportunidades de SI 04/2018 Ing. David Ing. El documento
Mantener un innovación Aguirre David se encuentra en
entendimiento vinculadas a los Aguirre proceso de
del entorno de la motivadores del aprobación en
empresa. negocio la GPP con el
nombre de
PETI
APO04.03 Análisis de SI 04/2018 Ing. David Ing. El documento
Supervisar y investigación de Aguirre David se encuentra en
explorar el las posibilidades Aguirre proceso de
entorno de innovación aprobación en
tecnológico. la GPP con el
nombre de
PETI
54
APO04.04 Evaluación de las NO N/A N/A Ing. -
Evaluar el ideas de David
potencial de las innovación Aguirre
tecnologías Alcance de la NO N/A N/A Ing. -
emergentes y las prueba de David
ideas concepto y Aguirre
innovadoras. descripción de los
casos de negocio
Comprobar NO N/A N/A Ing. -
los David
resultados de las Aguirre
iniciativas
de
pruebas de
concepto.
APO04.05 Resultados y NO N/A N/A Ing. -
Recomendar recomendaciones David
iniciativas de las pruebas de Aguirre
apropiadas concepto
adicionales. Análisis de las NO N/A N/A Ing. -
iniciativas David
rechazadas Aguirre
APO04.06 Valoración NO N/A N/A Ing. -
Supervisar del uso David
la de enfoques Aguirre
implementación innovadores
y el uso de la Evaluación de los SI 04/2018 Ing. David Ing. El documento
innovación. beneficios de la Aguirre David se encuentra en
innovación Aguirre proceso de
aprobación en
la GPP con el
nombre de
PETI.
Planes de NO N/A N/A Ing. -
innovación David
ajustados Aguirre
APO07 Gestionar los Recursos Humanos

PROCESO APO07 – Gestionar los Recursos Humanos

SI/NO versión
APO07.01 Evaluaciones de SI 26/11/2010 Gerencia de Ing. El documento
Mantener la requisitos de Planeamiento David se encuentra en
dotación de personal y Presupuesto Aguirre el PTE-MPS,
personal con el nombre
suficiente y de ROF pág.63
adecuada Planes de NO N/A N/A Ing. -
desarrollo de David
carrera y de Aguirre
competencias
55
aprovisionamiento David
de personal Aguirre
APO07.02 Personal del área SI 04/2014 Gerencia de Ing. El documento
Identificar de TI y cargo que Informática y David se encuentra en
personal ocupa TIC Aguirre el PTE-MPS,
clave de TI. con el nombre
de POI (Plan
Operativo
Informático)
APO07.03 Planes de SI 04/2018 Ing. David Ing. El documento
Mantener las aprovisionamiento Aguirre David se encuentra en
habilidades y de personal. Aguirre proceso de
competencias aprobación en
del personal. la GPP con el
nombre de
PETI.
desarrollo de David
habilidades. Aguirre
Revisión de NO N/A N/A Ing. -
informes. David
Aguirre
APO07.04 Metas personales NO N/A N/A Ing. -
Evaluar David
el Aguirre
desempeño Evaluaciones de NO N/A N/A Ing. -
laboral de los desempeño David
empleados. Aguirre
Planes de mejora NO N/A N/A Ing. -
David
Aguirre
APO07.05 Inventario de SI 04/2014 Gerencia de Ing. El documento
Planificar y recursos humanos Informática y David se encuentra en
realizar un del negocio y de TIC Aguirre el PTE-MPS,
seguimiento TI con el nombre
del uso de de POI (Plan
recursos Operativo
humanos de Informático).
TI y del Y en la GRH.
negocio.
Análisis de NO N/A N/A Ing. -
deficiencias en la David
obtención de Aguirre
recursos
Registros de NO N/A N/A Ing. -
utilización de David
recursos Aguirre
APO07.06 Políticas de SI 26/11/2010 Gerencia de Ing. El documento
Gestionar el contratación de Planeamiento David se encuentra en
personal personal y Presupuesto Aguirre el PTE-MPS,
contratado. con el nombre
de ROF pág.63
Acuerdos NO N/A N/A Ing. -
contractuales David
Aguirre
56
Revisiones de NO N/A N/A Ing. -
acuerdos David
contractuales Aguirre
APO13 Gestionar la Seguridad

PROCESO APO13 – Gestionar la Seguridad

SI/NO versión
APO13.01 Política de SGSI NO N/A N/A Ing. -
Establecer y David
mantener un Aguirre
SGSI. Declaración de NO N/A N/A Ing. -
alcance del SGSI David
Aguirre
APO13.02 Plan de tratamiento NO N/A N/A Ing. -
Definir y de riesgos David
gestionar un de Aguirre
plan de seguridad
tratamiento de la
del riesgo de información
la seguridad Casos de negocio NO N/A N/A Ing. -
de la de seguridad de David
información. información Aguirre
APO13.03 Informes de NO N/A N/A Ing. -

Supervisar y auditoría del SGSI David
revisar el Aguirre
SGSI. Recomendaciones NO N/A N/A Ing. -
para mejorar el David
SGSI Aguirre
BAI01 Gestionar los Programas y Proyectos

PROCESO BAI01 – Gestionar los Programas y Proyectos

SI/NO versión
BAI01.01 Enfoques NO N/A N/A Ing. -
Mantener un actualizados David
enfoque de gestión Aguirre
estándar para de
la gestión de programas y
programas y proyectos
proyectos.
57
BAI01.02 Caso de negocio de SI 2017 Ing. David Ing. La GITIC
Iniciar un concepto del Aguirre David cuenta con un
programa. programa Sr. Jose Luis Aguirre ERP
Neme documentado
según
INFORME
N°008-2017-
GITIC-MPS
Mandato y SI 2017 Ing. David Ing. La GITIC
expediente del Aguirre David cuenta con un
programa Sr. Jose Luis Aguirre ERP
Neme documentado
según
INFORME
N°008-2017-
GITIC-MPS
Plan de realización SI 2017 Ing. David Ing. La GITIC
de beneficios del Aguirre David cuenta con un
programa Sr. Jose Luis Aguirre ERP
Neme documentado
según
INFORME
N°008-2017-
GITIC-MPS
BAI01.03 Plan de SI 2017 Ing. David Ing. La GITIC
Gestionar el involucración de Aguirre David cuenta con un
compromiso las partes Sr. Jose Luis Aguirre ERP
de las partes interesadas Neme documentado
interesadas. según
INFORME
N°008-2017-
GITIC-MPS
Resultados de la NO N/A N/A Ing. -
evaluación de David
efectividad del Aguirre
compromiso de las
partes interesadas
BAI01.04 Plan de programa SI 2017 Gerencia de Ing. El nombre del
Desarrollar y Informática y David documento es
mantener el TIC Aguirre POI (Plan
plan de Operativo
programa. Informático)
2017.
Presupuesto del SI 2017 Gerencia de Ing. El nombre del
programa y Informática y David documento es
registro de TIC Aguirre POI (Plan
beneficios Operativo
Informático)
2017.
58
Requerimientos de SI 2017 Ing. David Ing. La GITIC
recursos y roles Aguirre David cuenta con un
Sr. Jose Luis Aguirre ERP
Neme documentado
según
INFORME
N°008-2017-
GITIC-MPS
BAI01.05 Resultados de la NO N/A N/A Ing. -
Lanzar y supervisión de la David
ejecutar el realización de Aguirre
programa. beneficios
Resultados de la SI 2017 Gerencia de Ing. El nombre del
supervisión Informática y David documento es
del logro TIC Aguirre POI (Plan
de metas del Operativo
programa Informático)
2017.
Planes de auditoría NO N/A N/A Ing. -
del programa David
Aguirre
BAI01.06 Resultado de la NO N/A N/A Ing. -
Supervisar, revisión del David
controlar e rendimiento del Aguirre

informar de programa
los resultados Resultados de NO N/A N/A Ing. -
del programa. revisiones en los David
cambios de fase Aguirre
BAI01.07 Declaraciones de SI 2017 Gerencia de Ing. El nombre del
Lanzar e alcance de Informática y David documento es
iniciar proyecto TIC Aguirre POI (Plan
proyectos Operativo
dentro de un Informático)
programa. 2017.
Definiciones de SI 2017 Gerencia de Ing. El nombre del
proyecto Informática y David documento es
TIC Aguirre POI (Plan
Operativo
Informático)
2017.
BAI01.08 Planes del SI 2017 Gerencia de Ing. El nombre del
Planificar proyecto Informática y David documento es
proyectos. TIC Aguirre POI (Plan
Operativo
Informático)
2017.
Línea de NO N/A N/A Ing. -
referencia del David
(baseline) Aguirre
proyecto
59
Informes y SI 2017 Gerencia de Ing. Existen
comunicaciones Informática y David documentos de
del proyecto TIC Aguirre informe
y avance
de cada
proyecto en la
GITIC
BAI01.09 Plan de gestión de la NO N/A N/A Ing. -
Gestionar la calidad David
calidad de los Aguirre
programas y Requerimientos NO N/A N/A Ing. -
proyectos. para la David
verificación Aguirre
independiente de
los entregables
BAI01.10 Plan de gestión de NO N/A N/A Ing. -
Gestionar el riesgos del David
riesgo de los proyecto Aguirre
programas y Resultados de la NO N/A N/A Ing. -
proyectos. evaluación de David
riesgos del Aguirre
proyecto
Registro de riesgos NO N/A N/A Ing. -
del proyecto David
Aguirre
BAI01.11 Criterios de NO N/A N/A Ing. -
Supervisar y desempeño del David
controlar proyecto Aguirre
proyectos. Informes del avance SI 2017 Gerencia de Ing. Existen
del Informática y David documentos de
proyecto TIC Aguirre informe
y avance
de cada
proyecto en la
GITIC
Cambios SI 2017 Gerencia de Ing. Existen
acordados al Informática y David documentos de
proyecto TIC Aguirre informe y avance
de cada proyecto
en la
GITIC
BAI01.12 Requerimientos de SI 2017 Gerencia de Ing. El nombre del
Gestionar los recursos del Informática y David documento es
recursos y los proyecto. TIC Aguirre POI (Plan
paquetes de Operativo
trabajo del Informático)
proyecto. 2017.
Roles y SI 2017 Gerencia de Ing. Existen
responsabilidades del Informática y David documentos de
proyecto TIC Aguirre sobre cada
proyecto en la
GITIC
Diferencias en la NO N/A N/A Ing. -
planificación del David
proyecto Aguirre
60
BAI01.13 Resultados de la SI 2017 Gerencia de Ing. El nombre del
Cerrar un revisión Informática y David documento es
proyecto o postimplementación. TIC Aguirre POI (Plan
iteración. Operativo
Informático)
2017.
Lecciones aprendidas NO N/A N/A Ing. -
del David
proyecto Aguirre
Confirmaciones de SI 2017 Gerencia de Ing. Existen
aceptación de las Informática y David documentos de
partes interesadas del TIC Aguirre informe y avance
proyecto de cada proyecto
en la
GITIC
BAI01.14 Comunicación del SI 2017 Gerencia de Ing. Existen
Cerrar un retiro del Informática y David documentos de
programa. programa y TIC Aguirre informe y avance
rendición de cuentas de cada proyecto
en curso. en la
GITIC
Tabla 13. Auditoría BAI01
BAI03 Gestionar la Identificación y la Construcción de Soluciones

PROCESO BAI03 – Gestionar la Identificación y la Construcción de Soluciones
SI/NO versión
BAI03.01 Aprobación de NO N/A N/A Ing. -
Diseñar las David
soluciones de especificaciones Aguirre
alto nivel. del diseño de alto
nivel.
BAI03.02 Especificaciones NO N/A N/A Ing. -
Diseñar los de diseño David
componentes detalladas y Aguirre
detallados de la aprobadas
solución Acuerdos de NO N/A N/A Ing. -
Nivel de Servicio David
(ANSs) y Aguirre
Acuerdos de
Nivel Operativos
(OLAs).
BAI03.03 Documentar los SI 2017 Ing. David Ing. La GITIC
Desarrollar los componentes de Aguirre David cuenta con un
componentes de la solución Sr. Jose Luis Aguirre ERP
la solución Neme documentado
según
INFORME
N°008-2017-
GITIC-MPS
61
BAI03.04 Plan de SI 2017 Gerencia de Ing. El nombre del
Obtener los adquisiciones Informática y David documento es
componentes de aprobado TIC Aguirre POI (Plan
la solución Operativo
Informático)
2017.
Actualizaciones SI 2017 Gerencia de Ing. El nombre del
del inventario de Informática y David documento es
activos TIC Aguirre PETI.
BAI03.05 Componentes de NO N/A N/A Ing. -
Construir la solución David
soluciones. integrados y Aguirre
configurados
BAI03.06 Plan de NO N/A N/A Ing. -
Realizar aseguramiento de David
controles de la calidad (QA) Aguirre
calidad. Resultados de la NO N/A N/A Ing. -
revisión de David
calidad, Aguirre
excepciones y
correcciones
BAI03.07 Plan de pruebas NO
Preparar Procedimientos SI 2017 Ing. David Ing. La GITIC
pruebas de la de pruebas Aguirre David cuenta con un
solución Sr. Jose Luis Aguirre ERP
Neme documentado
según
INFORME
N°008-2017-
GITIC-MPS
BAI03.08 Registros de SI 2017 Ing. David Ing. La GITIC
Ejecutar resultados de Aguirre David cuenta con un
pruebas de la pruebas y pistas Sr. Jose Luis Aguirre ERP
solución de auditoría Neme documentado
según
INFORME
N°008-2017-
GITIC-MPS
Comunicaciones SI 2017 Ing. David Ing. Los resultados
del resultado de Aguirre David de las pruebas
las pruebas Sr. Jose Luis Aguirre se derivan a la
Neme GM
BAI03.09 Registro de todas NO N/A N/A Ing. -
Gestionar las peticiones de David
cambios a los cambio Aguirre
requerimientos. aprobadas y
aplicadas
BAI03.10 Plan de NO N/A N/A Ing. -
Mantener mantenimiento David
soluciones. Aguirre
62
Componentes de SI 2017 Ing. David Ing. La GITIC
la solución Aguirre David cuenta con un
actualizados Sr. Jose Luis Aguirre ERP
y Neme documentado
documentación según
relacionada INFORME
N°008-2017-
GITIC-MPS
BAI03.11 Definiciones NO N/A N/A Ing. -
Definir los de David
servicios TI y servicio Aguirre
mantener el Catálogo de NO N/A N/A Ing. -
catálogo de servicios David
servicios. actualizado Aguirre
BAI06 Gestionar los Cambios

PROCESO BAI06 – Gestionar los Cambios

SI/NO versión
BAI06.01 Evaluaciones NO N/A N/A Ing. -
Evaluar, de impacto David
priorizar y Aguirre
autorizar Peticiones SI 2018 Sr. José Luis Ing. Existen
peticiones de de Neme David documentos de
cambio. cambio Aguirre modificaciones
aprobadas de cada
proyecto en la
GITIC
Plan de cambio NO N/A N/A Ing. -
y cronograma David
Aguirre
BAI06.02 Revisión de SI 2018 Sr. José Luis Ing. Existen
Gestionar cambios de Neme David documentos de
cambios de emergencia tras Aguirre modificaciones
emergencia. su de cada
implementación proyecto en la
GITIC
BAI06.03 Reporte del NO N/A N/A Ing. -
Hacer estado de David
seguimiento e cambio de una Aguirre
informar de petición
cambios de
estado.
BAI06.04 Documentación SI 2018 Gerencia de Ing. Existen

Cerrar y del cambio Informática y David documentos de
documentar TIC Aguirre modificaciones
los cambios. de cada
proyecto en la
GITIC
63
BAI09 Gestionar los Activos
PROCESO BAI09 – Gestionar los Activos

SI/NO versión
BAI09.01 Registro de SI 2018 Departamento Ing. Existe un
Identificar y activos de Patrimonio David documento del
registrar Ing. David Aguirre Inventario
activos Aguirre Ing. Físico de
actuales. Ing. Pool Pool Bienes por
Alayo Alayo ubicación y uso
y un
documento de
activos de
software
incluidos en el
PETI 2018.
Resultados de SI 2018 Departamento Ing. Existe un
comprobaciones de Patrimonio David documento del
físicas de Ing. David Aguirre Inventario
inventario Aguirre Pool Ing. Físico de
Ing. Pool Bienes por
Alayo Alayo ubicación y uso
y un
documento de
activos de
software
incluidos en el
PETI 2018.
Resultados de NO N/A N/A Ing. -
revisiones de David
adecuación al Aguirre
objetivo
BAI09.02 Comunicación de NO N/A N/A Ing. -
Gestionar tiempo de David
activos inactividad Aguirre
críticos planificado para
mantenimiento
Contratos de NO N/A N/A Ing. -
mantenimiento David
Aguirre
BAI09.03 Solicitudes de SI 2017 Gerencia de Ing. El nombre del
Gestionar el adquisición de Informática y David documento es
ciclo de vida activos TIC Aguirre PETI.
de los activos. aprobadas.
Registro de SI 2018 Departamento Ing. Existe un
activos de Patrimonio David documento del
actualizado. Ing. David Aguirre Inventario
Aguirre Ing. Físico de
Ing. Pool Pool Bienes por
Alayo Alayo ubicación
y uso
y
un
documento de
activos
64
de
software
incluidos en el
PETI 2018.
Retirada SI 2018 Departamento Ing. Existe un

autorizada de de Patrimonio David documento
activos Ing. David Aguirre para la salida
Aguirre Ing. de activos tanto
Ing. Pool Pool en el área
Alayo Alayo de Sistemas
como en la
Unidad de
Soporte
Técnico.
BAI09.04 Resultados de las NO N/A N/A Ing. -
Optimizar el revisiones de David
coste de los optimización de Aguirre
activos. costes
Oportunidades NO N/A N/A Ing. -
para reducir el David
coste de activos o Aguirre
aumentar su valor
BAI09.05 Registro de SI 2018 Ing. David Ing. Existe un
Administrar licencias de Aguirre David documento de
licencias. software Aguirre licencias
de
software
incluidos en el
PETI 2018.
Resultado de NO N/A N/A Ing. -
auditorías de David
licencias Aguirre
instaladas
Plan de acción NO N/A N/A Ing. -
para ajustar el David
número de Aguirre
licencias y su
asignación
BAI10 Gestionar la Configuración

PROCESO BAI10 – Gestionar la Configuración

SI/NO versión
65
BAI10.01 Ámbito de NO N/A N/A Ing. -
Establecer y aplicación del David
mantener un modelo de Aguirre
modelo de gestión de la
configuración. configuración
Modelo de NO N/A N/A Ing. -
configuración David
lógica Aguirre
BAI10.02 Repositorio de NO N/A N/A Ing. -
Establecer y Configuración David
mantener un Aguirre
repositorio de Base de NO N/A N/A Ing. -
configuración y Referencia David
una base de de Aguirre
referencia. configuración
BAI10.03 Repositorio NO N/A N/A Ing. -

Mantener y actualizado con David
controlar los los elementos Aguirre
elementos de de
configuración. configuración.
Cambios NO N/A N/A Ing. -
aprobados a la David
base de Aguirre
referencia.
BAI10.04 Informes de NO N/A N/A Ing. -

Generar estado de David
informes de configuración Aguirre
estado y
configuración.
BAI10.05 Resultados de la NO N/A N/A Ing. -

Verificar y verificación David
revisar la física de Aguirre
integridad del elementos de
repositorio de configuración
configuración. Desviaciones NO N/A N/A Ing. -
de licencias David
Aguirre
Resultados NO N/A N/A Ing. -
de David
exámenes Aguirre
de
completitud del
repositorio
DSS01 Gestionar las Operaciones

PROCESO DSS01 – Gestionar las Operaciones
Subprocesos Documento Dispon Última Participante Fuente Observaciones

e SI/NO versión s
DSS01.01 Programación NO
"Ejecutar operativa
66
procedimiento Registro de SI 2018 Ing. Ing. Realizan
s copia de Alexi Alexis backups de los
operativos" respaldo s Abanto Abanto sistemas
Sr. Jose Luis Sr. de
Neme Jose información
Luis
Neme
Ing.
David
Aguirr
e
DSS01.02 Planes de NO N/A N/A Ing. -
"Gestionar aseguramiento David
servicios independientes Aguirr
externalizados e
de TI"
DSS01.03 Reglas de NO N/A N/A Ing. -

"Supervisar la monitorización David
infraestructura de activos y Aguirr
de TI" condiciones de e
eventos
Registro de NO 2018 Ing. Ing. Cuando existe
eventos Alexi Alexis algún evento se
s Abanto Abanto comunica
Sr. Jose Luis Sr. al
Neme Jose gerente, pero no
Ing. Alin Blas Luis existe un
Neme registro.
Ing.
Alin
Blas
Ing.
David
Aguirr
e
Tiques NO N/A N/A Ing. -
(tickets) de David
incidentes Aguirr
e
DSS01.04 Políticas SI 2018 Ing. David Ing. El documento
Gestionar de Aguirre David está incluido en
el entorno Aguirr el PETI 2018.
entorno e
Informes de NO N/A N/A Ing. -

pólizas de David
seguro Aguirr
e
67
DSS01.05 Informes de SI 2018 Ing. David Ing. Cada ingeniero
Gestionar evaluación de Aguirre Alexis emite un
las instalaciones Ing. Pool Abanto documento para
instalaciones Alayo Sr. informar sobre
Ing. Jose las instalaciones
Alexi Luis realizadas.
s Abanto Neme
Sr. Jose Luis Ing.
Neme David
Aguirr
e
Concienciació SI 30/06/201 Ing. Ing. El documento se
n en salud y 7 David David encuentra en la
seguridad en el Aguirre Aguirr GITIC con el
trabajo e nombre de
Directiva para el
uso de los
Recursos
computacionales
, internet
y
correo electrónico
Tabla 18. Auditoría DSS01
DSS02 Gestionar las Peticiones y los Incidentes del Servicio

PROCESO DSS02 – Gestionar las Peticiones y los Incidentes del Servicio
SI/NO versión
DSS02.01 Esquemas SI 2018 Ing. David Ing. El documento
Definir y Aguirre David está incluido en
esquemas de modelos Aguirre el PETI
clasificación de 2018.
de incidentes y clasificación de
peticiones incidentes
de y
servicio. peticiones
de
servicio
Reglas para SI 2018 Ing. David Ing. El documento
escalado de Aguirre David está incluido en
incidentes Aguirre el PETI
2018.
Criterios para NO N/A N/A Ing. -
registro de David
problemas Aguirre
DSS02.02 y Registro de NO N/A N/A Ing. -

Registrar, e incidentes y David
clasificar peticiones de Aguirre
priorizar servicio
peticiones Incidentes y NO N/A N/A Ing. -
incidentes. peticiones de David
servicio y Aguirre
68
clasificados
priorizados
DSS02.03 y Peticiones de SI 2018 Áreas Ing. El área

"Verificar, de servicio MPS David solicitante
aprobar aprobadas Aguirre emite un
resolver documento de
peticiones petición de
servicio." servicio
Peticiones de SI 2018 Ing. David Ing. Los ingenieros
servicio Aguirre David emiten un
completas Aguirre documento
Ing. indicando que
Alexis se ha
Abanto. finalizado
Sr. Jose el
Luis servicio
Neme solicitado.
Ing.
Alin
Blas
Ing.
Pool
Alayo
DSS02.04 Síntomas de NO N/A N/A Ing. -

Investigar, incidentes David
diagnosticar y Aguirre
localizar Registro de NO N/A N/A Ing. -
incidentes. problemas David
Aguirre
DSS02.05 Resoluciones SI 2018 Ing. David Ing. Los ingenieros
Resolver de incidentes Aguirre David emiten un
y Ing. Alexis Aguirre documento
recuperarse de Abanto. indicando que
incidentes. Sr. Jose Luis se ha resuelto o
Neme recuperado de
Ing. Alin Blas algún incidente
Ing. Pool Alayo
DSS02.06 Peticiones de SI 2018 Ing. David Ing. Los ingenieros

Cerrar servicio e Aguirre David emiten un
peticiones incidentes Ing. Alexis Aguirre documento
de cerrados Abanto. indicando que
servicio Sr. Jose Luis se ha resuelto o
e Neme recuperado de
incidentes. Ing. Alin Blas algún incidente
Ing. Pool Alayo
Confirmación NO N/A N/A Ing. -

del usuario de David
resolución o Aguirre
cumplimiento
69
satisfactorios
DSS02.07 Informe de estado NO N/A N/A Ing. -

Seguir el estado y David
y emitir tendencias Aguirre
informes. de
incidentes
Informes de NO N/A N/A Ing. -
estado de David
cumplimiento de Aguirre
peticiones y
tendencias
DSS03 Gestionar los Problemas

PROCESO DSS03 – Gestionar los Problemas

SI/NO versión
DSS03.01 Esquema NO N/A N/A Ing. -
Identificar de David
y clasificación de Aguirre
clasificar problemas
problemas. Informes de SI 2018 Ing. David Ing. Los ingenieros
estado de Aguirre David al
problemas Ing. Alexis Aguirre identifi
Abanto. car un
Sr. Jose Luis proble
Neme ma emiten
Ing. Alin Blas un
Ing. Pool informe.
Alayo
Registro de NO N/A N/A Ing. -

problemas David
Aguirre
DSS03.02 Causas raíz de SI 2018 Ing. David Ing. Los ingenieros
Investigar los problemas Aguirre David al
y Ing. Alexis Aguirre identifi
diagnosticar Abanto. car un
problemas. Sr. Jose Luis proble
Neme ma emiten
Ing. Alin Blas un
Ing. Pool informe.
Alayo
70
Informes de SI 2018 Ing. David Ing. Los ingenieros
resolución de Aguirre David al resolver un
problemas Ing. Alexis Aguirre problema
Abanto. Ing. emiten un
Sr. Jose Luis Alexis informe.
Neme Abanto.
Ing. Alin Blas Sr. Jose
Ing. Pool Luis
Alayo Neme
Ing.
Alin
Blas
Ing.
Pool
Alayo
DSS03.03 Registros de NO N/A N/A Ing. -

Levantar errores conocidos David
errores Aguirre
conocidos. Soluciones NO N/A N/A Ing. -
propuestas para David
errores conocidos Aguirre
DSS03.04 Registros NO N/A N/A Ing. -

Resolver y de David
cerrar problemas Aguirre
problemas. cerrados
Comunicación NO N/A N/A Ing. -
del conocimiento David
aprendido Aguirre
DSS03.05 Registros de NO N/A N/A Ing. -

Realizar una monitorización David
gestión de de resolución de Aguirre
problemas problemas
proactiva. Identificar SI 2018 Ing. David Ing. Los ingenieros
soluciones Aguirre David emiten un
sostenibles Ing. Alexis Aguirre informe sobre
Abanto. Ing. la
Sr. Jose Luis Alexis identificación
Neme Abanto. de
Ing. Alin Blas Sr. Jose solucio
Ing. Pool Luis nes sostenibles
Alayo Neme
Ing.
Alin
Blas Ing.
Pool
Alayo
DSS04 Gestionar la Continuidad

PROCESO DSS04 – Gestionar la Continuidad
71
SI/NO versión
DSS04.01 Política y NO N/A N/A Ing. -
Definir la objetivos de David
política de continuidad de Aguirre
continuidad negocio
del negocio, Escenarios de SI 2018 Ing. David Ing. El documento
objetivos y incidentes que Aguirre David está incluido en
alcance. causan una Aguirre el PETI
interrupción 2018.
Valoraciones de las NO N/A N/A Ing. -
capacidades David
actuales y lagunas Aguirre
de continuidad
DSS04.02 Análisis de impacto NO N/A N/A Ing. -
Mantener una en el David
estrategia de negocio Aguirre
continuidad. Requerimientos de NO N/A N/A Ing. -
continuidad David
Aguirre
Opciones NO N/A N/A Ing. -
estratégicas David
aprobadas Aguirre
DSS04.03 Acciones y SI 2018 Ing. David Ing. Los ingenieros
Desarrollar e comunicaciones Aguirre David emiten un
implementar de respuesta Ing. Alexis Aguirre informe sobre
una respuesta a a Abanto. Ing. los incidentes
la incidentes Sr. Jose Luis Alexis suscitados.
continuidad Neme Abanto.
del negocio. Ing. Alin Sr. Jose
Blas Ing. Pool Luis
Alayo Neme
Ing.
Alin
Blas
Ing.
Pool
Alayo
Plan de NO N/A N/A Ing. -

Continuidad de David
Negocio (BCP Aguirre
DSS04.04 Pruebas de NO N/A N/A Ing. -
Ejercitar, objetivos David
probar y Aguirre
revisar el plan Pruebas de NO N/A N/A Ing. -
de ejercicios David
continuidad. Aguirre
Pruebas de NO N/A N/A Ing. -
resultados y David
recomendaciones Aguirre
DSS04.05 Resultados de las NO N/A N/A Ing. -
Revisar, revisiones de los David
planes Aguirre
72
mantener y Cambios NO N/A N/A Ing. -
mejorar el recomendados a David
plan de los planes Aguirre
continuidad.
DSS04.06 Requerimientos de NO N/A N/A Ing. -

Proporcionar formación David
formación en Aguirre
el plan de Resultados de la NO N/A N/A Ing. -
continuidad. supervisión de David
habilidades y Aguirre
competencias
DSS04.07 Probar los NO N/A N/A Ing. -
Gestionar resultados de las David
acuerdos copias de Aguirre
de seguridad de los
respaldo. datos
DSS04.08 Informe de revisión NO N/A N/A Ing. -

Ejecutar post David
revisiones reanudación Aguirre
post Cambios NO N/A N/A Ing. -
reanudación aprobados a los David
planes Aguirre
MEA01 Supervisar, Evaluar y Valorar Rendimiento y Conformidad

PROCESO MEA01 – Supervisar, Evaluar y Valorar Rendimiento y Conformidad
SI/NO versión
MEA01.01 Requisitos de NO N/A N/A Ing. -
Establecer un supervisión David
enfoque de la Aguirre
supervisión. Métricas y NO N/A N/A Ing. -
objetivos de David
supervisión Aguirre
aprobado.
MEA01.02 Objetos de SI 26/11/2010 Gerencia de Ing. El documento se
Establecer los supervisión Planeamiento David encuentra en el
objetivos de y Presupuesto Aguirre PTE-MPS, con el
cumplimiento nombre de
y rendimiento. ROF
(Reglamento de
Organización y
Funciones)
pág.63
MEA01.03 Datos de NO N/A N/A Ing. -
Recopilar y supervisión David
procesar los procesados Aguirre
datos de
cumplimiento
y rendimiento.
73
MEA01.04 Informes de SI 2018 Ing. David Ing. El funcionario
Analizar desempeño Aguirre David del OCI emite
e Aguirre documento
informar sobre informando el
el rendimiento.
rendimiento.
MEA01.05 Acciones y SI 2018 Ing. David Ing. La GITIC emite

Asegurar asignaciones Aguirre David documento
la correctivas Aguirre informando que
implantación se han
de realizados
medid las
as correctivas. acciones
correspondientes
Estado y SI 2018 Ing. David Ing. La GITIC emite
resultado de Aguirre David documento
las acciones Aguirre informando que
se han
realizados
las
acciones
correspondientes
Tabla 22. Auditoría MEA01
4.2.3. Evaluación de Niveles de Capacidad

En este apartado evaluamos el nivel de capacidad de los procesos seleccionados,
aquellos que cuentan con documentación, para lo cual se mostrarán los resultados
a través de gráficos de radar y se apreciará el avance del proceso.
 EDM02
Atributos de Capacidad del Proceso
Proce Práctica Definic Desplie Gesti Contr Rendimi Gestión Gestión de Innovac Optimiza
so de ión del gue de ón de ol de ento del del l ión ción
Gobier proceso proceso Proce Proce Proceso Rendimi os Resulta
no sos sos ento dos de de
Proceso Procesos
s
EDM02 0 0 0 0 0 0 0 0 0
.01
EDM02 0 0 0 0 0 0 0 0 0
.02
EDM02 0 0 0 0 0 0 0 0 0
.03
Tabla 23. Calificación de Atributos de capacidad EDM02
74
Prácticas de Gobierno con atributos de
capacidad 0
Definición del
proceso
1
Optimización Despliegue de
0.8
de Procesos procesos
0.6 EDM02.01 Evaluar la
0.4 optimización del valor
Innovación de Gestión de
0.2
Procesos Procesos EDM02.02 Orientar la
0
optimización del valor
Gestión de los Control de EDM02.03 Supervisar la

Resultados Procesos optimización del valor
Gestión del Rendimiento
Rendimiento del Proceso
Figura 26. Radar de atributos de capacidad EDM02
Descripción Valor
Puntuación Óptima 27
Puntuación obtenida 0
Porcentaje alcanzado 0.00
Escala para alcanzar el Nivel de Capacidad 1 N
Tabla 24. Escala de Nivel de Capacidad EDM02
 EDM05
Proceso Procesos
s
EDM05 0 0 0 0 0 0 0 0 0
.01
EDM05 1 1 1 1 1 1 0 0 0
.02
EDM05 0 0 0 0 0 0 0 0 0
.03
Tabla 25. Calificación de Atributos de capacidad EDM05
75
EDM 05.02Definición
Orientar del la comunicación
informes.
con Definición
Prácticas de del
Gobierno con atributos
1 1
Optimización Optimización
las partes
de Procesos
0.8 intersadas y la elaboración de de Procesos
0.8 de capacidad 0
0.6 0.6
0.4 0.4
Innovación de Innovación de
0.2 0.2
Procesos Procesos Despliegue de
0 0
EDM05.02
Gestión de los Orientar la Gestión de los
Resultados comunicación con Resultados
Gestión del las partes Gestión del
Rendimiento proceso intersadas y la Rendimiento procesos
elaboración de proceso
informes. Gestión de
Despliegue de Procesos
procesos EDM05.01 Evaluar
Control de los requisitos de
Gestión de Procesos elaboración de
Rendimiento informes de la
Procesos partes interesadas.
del Proceso
EDM05.03
Control de Supervisar la
Procesos comunicación con
Rendimiento las partes
del Proceso interesadas.
Figura 27. Radar de atributos de capacidad EDM05
Descripción Valor
Porcentaje alcanzado 22.2%
Tabla 26. Escala de Nivel de Capacidad EDM05
 APO01
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión de Innovac Optimiza
so a de ión del gue de n de ol de ento del del l ión ción
Proceso Procesos
s
APO01 1 1 1 1 1 1 0 0 0
.01
APO01 1 1 1 1 1 0 0 0 0
.02
APO01 1 1 1 1 1 1 1 1 1
.03
APO01 0 0 0 0 0 0 0 0 0
.04
APO01 0 0 0 0 0 0 0 0 0
.05
APO01 0 0 0 0 0 0 0 0 0
.06
APO01 0 0 0 0 0 0 0 0 0
.07
APO01 0 0 0 0 0 0 0 0 0
.08
Tabla 27. Calificación de Atributos de capacidad APO01
76
Definición del Definición del
APO01.01
1
Evaluar la optimización l valor APO01.02
1
Establecer roles y
Optimización Optimización
de Procesos
0.8 de de Procesos
0.8 responsabilidades
0.6 0.6
0.4 0.4
Innovación de
Innovación de 0.2
0.2 Procesos
Procesos 0
0
Gestión de los
Gestión de los APO01.01 Evaluar Resultados
Resultados la optimización del Gestión del
Gestión del valor Rendimiento
Rendimiento proceso proceso
Despliegue de
Despliegue de
procesos
procesos
Gestión de Procesos
Control de
Control de Procesos
Procesos Rendimiento APO01.02 Establecer
Rendimiento del Proceso roles y
del Proceso responsabilidades
APO01.03 Mantener los elementosalizadores Prácticas de Gobierno con

cat atribu capacidad
Definición del
del sistema de Definición d 0
1 1 tos de
Optimización Optimización el
de Procesos
0.8 gestión de Procesos
0.8
0.6 0.6
0.4 0.4 Despliegue de
Innovación de Innovación de APO01.04
0.2 0.2
Procesos APO01.03 Procesos Comunicar los
0 0
Mantener los objetivos y la
Gestión de los elementos Gestión de los dirección de
Resultados catalizadores del Resultados gestión.
sistema de gestión Gestión del
Gestión del
Rendimiento proceso Rendimiento APO01.05
proceso procesos
Optimizar la
ubicación de la
función de TI.
Despliegue de
procesos Control de
APO01.06 Definir la
Procesos
propiedad de la
Gestión de Procesos Rendimiento información (datos) y
del Proceso del sistema
Control de
Procesos
Rendimiento
del Proceso
Figura 28. Radar de atributos de capacidad APO01
Descripción Valor
Tabla 28. Tabla 26. Escala de Nivel de Capacidad APO01
 APO04
Proceso Procesos
s
APO04 1 1 1 1 1 0 0 0 0
.01
APO04 1 1 1 1 1 1 1 1 1
.02
77
APO04 1 1 1 1 1 1 1 1 1
.03
APO04 0 0 0 0 0 0 0 0 0
.04
APO04 0 0 0 0 0 0 0 0 0
.05
APO04 1 1 1 0 0 0 0 0 0
.06
APO04.01 Crear un entorno favorable para la APO04.02 Mantener un entendimiento del

innovación. entorno de la
Definición del proceso Definición del proceso
1 1
Optimización Despliegue de Optimización Despliegue de
0.8 0.8
de Procesos procesos de Procesos procesos
0.6 0.6
0.4 0.4
Innovación de Gestión de Innovación de Gestión de
0.2 APO04.01 Crear un 0.2 APO04.02 Mantener un
Procesos Procesos Procesos Procesos
0 entorno favorable para la 0 entendimiento del
entorno de la empresa.
Gestión de los Control de Gestión de los Control de
Resultados Procesos Resultados Procesos
Gestión del Rendimiento Gestión del Rendimiento
Rendimiento del Proceso Rendimiento del Proceso
innovación.
APO04.03 Supervisar y explorar el entorno APO04.06 Supervisar la implementación y el uso

tecnológico. de la innovación.
Definición del proceso Definición del proceso
1 1
Optimización 0.8
Despliegue de Optimización Despliegue de
0.8
de Procesos procesos de Procesos procesos
0.6 0.6
0.4 0.4
Innovación de Gestión de Innovación de Gestión de APO04.06 Supervisar la
0.2 APO04.03 Supervisar y 0.2
Procesos Procesos Procesos Procesos
0 0 implementación y el uso
explorar el entorno
tecnológico.
Gestión de los Control de Gestión de los Control de
Resultados Procesos Resultados Procesos
Rendimiento del Proceso de la innovación.
Prácticas de Gobierno con atributos de capacidad

0
Definición del proceso
1
de Procesos
0.8
0.6 procesosAPO04.04 Evaluar el
0.4 potencial de las
0.2 Innovación de Gestión de tecnologías
0
emergentes y Procesos Procesos las ideas
innovadoras.
Gestión del Rendimiento APO04.05 Recomendar

Gestión de los Control de
iniciativas apropiadas
Resultados Procesos adicionales.
Descripción Valor
Escala para alcanzar el Nivel de Capacidad 1 P
Tabla 30. Escala de Nivel de Capacidad APO04
78
 APO07
Proceso Procesos
s
APO07 1 1 1 0 0 0 0 0 0
.01
APO07 1 1 1 1 1 1 1 1 1
.02
APO07 1 1 1 0 0 0 0 0 0
.03
APO07 0 0 0 0 0 0 0 0 0
.04
APO07 1 1 1 0 0 0 0 0 0
.05
APO07 1 1 1 0 0 0 0 0 0
.06
APO07.01Definición
Mantenerdel la dotación de personal Definición del
APO07.02 Identificar personal de TI.
1 1
Optimización
de Procesos
0.8 suficiente y adecuada Optimización
0.8 clave
de Procesos
0.6 0.6
0.4 0.4
Innovación de Innovación de
0.2 0.2
Procesos Procesos
0 0
Gestión de los APO07.02

Gestión de los
Resultados Identificar
Resultados
Gestión del personal clave
Rendimiento Gestión del
de TI.
proceso Rendimiento proceso
Rendimiento
Despliegue de
Rendimiento
procesos Despliegue de
procesos
Gestión de
APO07.01 Mantener Gestión de
la Procesos
Procesos dotación de personal
suficiente y
adecuada
Control de
Procesos Control de
Procesos
del Proceso
del Proceso
APO07.03 Mantener las APO07.05 Planificar y realizar un miento

compe habilidades y tencias segui I y del
Definición d del personal. del usoDefinición
de recursos
del humanos de
1
Optimización el
de Procesos
0.8 Optimización
1 T negocio.
0.6 0.8
de Procesos
0.4 0.6
Innovación de 0.4
0.2 Innovación de
Procesos 0.2 APO07.05
0 Procesos
0 Planificar y
Gestión de los realizar un
Resultados Gestión de los seguimiento del
Resultados uso de recursos
Gestión del
Rendimiento Gestión del humanos de TI y
proceso APO07.03 Mantener Rendimiento proceso del negocio.
Rendimiento las
Despliegue de Rendimiento
procesos habilidades y Despliegue de
competencias procesos
del personal.
79
Gestión de Gestión de
Procesos
Procesos
Control de
Control de Procesos
Procesos
del Proceso
del Proceso
APO07.06 Gestionar el personaltratado. Prácticas de Gobierno contos de

Definición d con atribu capacidad
Optimización
1 Definición del0
el
0.8 1
de Procesos Optimización
0.6 0.8
de Procesos
0.4 0.6
Innovación de 0.4 Despliegue
0.2
Procesos Innovación de de
0 APO07.06 Gestionar el 0.2
Procesos 0 procesos APO07.04 Evaluar
personal contratado. el desempeño
Gestión de los
Gestión de los Gestión de laboral de los
Resultados
Resultados empleados.
Gestión del Gestión del Procesos
Rendimiento Rendimiento proceso
proceso
Rendimiento Control de
Despliegue de Procesos
procesos
Rendimiento
del Proceso
Gestión de
Procesos
Control de
Procesos
del Proceso
Descripción Valor
 APO13
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión Innovac Optimiza
so a de ión del gue de n de ol de ento del del de ión ción
Gobier proceso proceso Proce Proce Proceso Rendimi l d
no sos sos ento os de e
Resulta Proceso Procesos
dos s
0 0 0 0 0 0 0 0 0
APO13
.01
APO13 0 0 0 0 0 0 0 0 0
.02
APO13 0 0 0 0 0 0 0 0 0
.03
80
capacidad 0
Definición del APO13.01 Establecer y
proceso mantener un SGSI.
1
0.8
de Procesos procesos
0.6
0.4 APO13.02 Definir y
Innovación de Gestión de
0.2 gestionar un plan de
Procesos Procesos
0
tratamiento del riesgo
de la seguridad de la
Gestión de los Control de información.
Resultados Procesos
APO13.03 Supervisar y
Gestión del Rendimiento revisar el SGSI.
Descripción Valor
 BAI01
Proceso Procesos
s
BAI01 0 0 0 0 0 0 0 0 0
.01
BAI01 1 1 1 1 1 1 1 1 1
.02
BAI01 1 1 1 1 1 0 0 0 0
.03
BAI01 1 1 1 1 1 1 1 1 1
.04
BAI01 1 1 1 0 0 0 0 0 0
.05
BAI01 0 0 0 0 0 0 0 0 0
.06
BAI01 1 1 1 1 1 1 1 1 1
.07
BAI01 1 1 1 1 1 1 0 0 0
.08
BAI01 0 0 0 0 0 0 0 0 0
.09
BAI01 0 0 0 0 0 0 0 0 0
.10
BAI01 1 1 1 1 1 1 0 0 0
.11
81
BAI01 1 1 1 1 1 1 0 0 0
.12
BAI01 1 1 1 1 1 1 0 0 0
.13
BAI01 1 1 1 1 1 1 1 1 1
.14
Tabla 35. Calificación de Atributos de capacidad BAI01
Definición del
1
BAI01.02 Iniciar un BAI01.03 Gestionar el compromiso de las
Optimización
de Procesos
0.8 programa. partes interesadas.
0.6
0.4
Innovación
0.2
de Procesos
0
Gestión de
los…
Gestión del
Rendimiento proceso
Definición Despliegue
Despliegue 1 de procesos
Optimización
de procesos 0.8
de Procesos
0.6
0.4 Gestión de BAI01.03 Gestionar el
Gestión de Procesos Innovación
0.2
de Procesos 0
Procesos compromiso de las
partes interesadas.
Gestión de
Control de
Control de los…
Procesos
Procesos BAI01.02 Gestión del delRendimiento del
Rendimiento Iniciar un proceso
Proceso
del Proceso programa. Rendimiento
BAI01.04 Desar rollar y mantener plan BAI01.05 Lanzar y ejecutar el

el de programa.
Definición
Definición
1
programa. Optimización 1
Optimizació 0.8
0.8 de Procesos o
n de… 0.6
0.6 0.4
0.4 Innovación
Innovación Despliegue 0.2
0.2 de Procesos 0
de Procesos de procesos
0
Gestión de BAI01.04 Gestión de
Gestión de los…
los… Desarrollar
Procesos Gestión del
Gestión del y
mantener Rendimiento del
Rendimiento delControl de
el plan de proces
procesoProcesos Despliegue
programa.
Rendimiento del de procesos
Proceso
Control de
Procesos
Rendimiento del BAI01.05 Lanzar y
Proceso ejecutar el programa.
BAI01.07 Lanz dear e iniciar dentro BAI01.11 Supervisar y controlar proyectos.

Definición
1
proyectos Definición
Optimización
de Procesos
0.8 un programa. Optimización 1
0.6 0.8 Despliegue
0.4 del de Procesos
0.6 de procesos
Innovación de
0.2 0.4
Procesos Innovación
0 0.2 Gestión de Procesos
BAI01.07 de Procesos 0 BAI01.11 Supervisar y
Gestión de los Lanzar e controlar proyectos.
Resultados iniciar Gestión de
proyectos los…
Gestión del Control de
dentro de Gestión del
Rendimiento proceso Procesos
un Rendimiento del
Rendimiento
programa. proceso
del Proceso
Despliegue de
procesos
Gestión de
Procesos
Control de
Procesos
Rendimiento
del Proceso
82
BAI01.12 Gestionar los sy BAI01.13 Cerrar un proyecto o iteración.
paquetes recurso de trabajolos Definición
Definición del proy ecto. Optimización
1 o
1 0.8
Optimizació de Procesos
0.8 0.6
n de… o
0.6 0.4
0.4 Despliegue Innovación
Innovación 0.2
0.2 de procesos de Procesos 0
de Procesos BAI01.13 Cerrar un
0
Gestión de BAI01.12 proyecto o iteración.
Gestión de
Gestión de Gestionar los…
los… Procesos los
Gestión del
Gestión del recursos y Rendimiento del
Despliegue
Rendimiento del Control de los
proces
de procesos
proces Procesos paquetes
Rendimiento de trabajo Gestión de Procesos
del Proceso del
proyecto.
Control de
Procesos
Rendimiento del
Proceso
Figura 32. Radar de atributos de capacidad BAI01 – Parte I
Definición del
1
BAI01.14 Cerrar un
Optimización
de Procesos
0.8 programa.
0.6
0.4
Innovación
0.2
de Procesos
0
Gestión de
los…
Gestión del
Rendimiento proceso
Despliegue
de procesos
Control de
Procesos
Rendimiento del BAI01.14 Cerrar un
Proceso programa.
Prácticas de Gobierno con atributos de capacidad 0

Definición del
1
0.8
0.6
0.4
0.2
0
Gestión del Rendimiento del

Rendimiento Proceso
proceso
Optimización de Despliegue deBAI01.01 Mantener un enfoque Procesos
procesosestándar para la gestión de
programas y
proyectos.
Innovación de Gestión deBAI01.06 Supervisar, controlar e Procesos Procesosinformar de los

resultados del
programa.
BAI01.09 Gestionar la calidad
de
Gestión de los Control delos programas y proyectos.
83
Resultados Procesos
BAI01.10 Gestionar el riesgo de los
programas y proyectos.
Figura 33. Radar de atributos de capacidad BAI01 – Parte II
Descripción Valor
Tabla 36. Escala de Nivel de Capacidad BAI01
 BAI03
Proceso Procesos
s
BAI03 0 0 0 0 0 0 0 0 0
.01
BAI03 0 0 0 0 0 0 0 0 0
.02
BAI03 1 1 1 1 1 1 1 1 1
.03
BAI03 1 1 1 1 1 1 1 1 1
.04
BAI03 0 0 0 0 0 0 0 0 0
.05
BAI03 0 0 0 0 0 0 0 0 0
.06
BAI03 1 1 1 1 1 0 0 0 0
.07
BAI03 1 1 1 1 1 1 1 1 1
.08
BAI03 0 0 0 0 0 0 0 0 0
.09
BAI03 1 1 1 1 1 0 0 0 0
.10
BAI03 0 0 0 0 0 0 0 0 0
.11
84
Figura 34. Radar de atributos de capacidad BAI03
Descripción Valor
85
 BAI06
Proceso Procesos
s
BAI06 1 1 1 0 0 0 0 0 0
.01
BAI06 1 1 1 1 1 1 1 1 1
.02
BAI06 0 0 0 0 0 0 0 0 0
.03
BAI06 1 1 1 1 1 1 1 1 1
.04
BAI06.01Definición
Evaluar, priorizar y autorizar Definición del
BAI06.02 Gestionar cambios de emergencia.
Optimización 1 1
Optimización
de Procesos
0.8 peticiones de cambio. de Procesos
0.8
0.6 0.6
0.4 0.4
Innovación o Innovación
0.2 0.2
de Procesos 0 de Procesos 0
los… los…
Gestión del
Gestión del
Rendimiento del
Rendimiento proceso
proces
Despliegue Despliegue
de procesos de procesos
Procesos BAI06.01 Procesos

Evaluar,
Control de priorizar y Control de BAI06.02
Procesos autorizar Procesos Gestionar
Rendimiento peticiones Rendimiento del cambios de
del Proceso de cambio. Proceso emergencia.
BAI06.04 Cerr ar y documentar los mbios. Prácticas de Gobierno con atributos de

Definición del ca capacidad 0
1 Definición
Optimización
0.8 1
0.6 0.8 Despliegue
de Procesos
0.4 0.6 de
Innovación de 0.4
0.2 Innovación
Procesos BAI06.04 0.2 BAI06.03
0 de Procesos
Cerrar y 0 Hacer
Gestión de los documentar seguimiento
Resultados los cambios. Gestión de
e nformar de
los…
Gestión del cambios de
Rendimiento Gestión del
proceso estado.
Rendimiento del procesos
Despliegue de proceso
procesos Gestión de
i
Procesos
Control de
Procesos
Control de Rendimiento del
Procesos Proceso
Rendimiento
del Proceso
86
Descripción Valor
 BAI09
Proceso Procesos
s
BAI09 1 1 1 1 1 1 0 0 0
.01
BAI09 0 0 0 0 0 0 0 0 0
.02
BAI09 1 1 1 1 1 1 1 1 1
.03
BAI09 0 0 0 0 0 0 0 0 0
.04
BAI09 1 1 1 0 0 0 0 0 0
.05
Definición Definición el ciclo de vida de

BAI09.01
1
Identificar y registrar activos BAI09.03 Gestionar
Optimización Optimización 1
de Procesos
0.8 actuales. de Procesos
0.8 los activos.
0.6 0.6
0.4 0.4
Innovación 0.2 Innovación
0.2
de Procesos 0 Despliegue de Procesos Despliegue
0
de procesos de procesos
los… Gestión de los… Gestión de
Gestión del Gestión del
Rendimiento del Procesos Rendimiento del Procesos
proceso proceso
Control de Control de
Procesos Procesos
Rendimiento del BAI09.01 BAI09.03
Rendimiento
Identificar y Gestionar el
Proceso del Proceso
registrar activos ciclo de vida
actuales. de los activos.
87
BAI09.0 5 Administrar licencias. Prácticas de Gobierno contos de
Definición
atribu capacidad 0
1 Definición
Optimización o
0.8 1 o
0.6 0.8
de Procesos
0.4 0.6
Innovación
0.2 0.4
de Procesos Innovación BAI09.02
0 BAI09.05 0.2
de Procesos 0 Gestionar
Administrar
Gestión de activos críticos
licencias.
los… Gestión de
los… BAI09.04
Gestión del
Rendimiento del Gestión del del Optimizar el
Despliegue de proces coste de los
proces Despliegue
procesos Rendimiento activos.
de procesos
Gestión de
Procesos
Control de Control de
Procesos Procesos
Rendimiento del Rendimiento
Proceso del Proceso
Descripción Valor
 BAI10
Proceso Procesos
s
BAI10 0 0 0 0 0 0 0 0 0
.01
BAI10 0 0 0 0 0 0 0 0 0
.02
BAI10 0 0 0 0 0 0 0 0 0
.03
BAI10 0 0 0 0 0 0 0 0 0
.04
BAI10 0 0 0 0 0 0 0 0 0
.05
88
Descripción Valor
 DSS01
Proceso Procesos
s
DSS01 1 1 1 1 1 0 0 0 0
.01
DSS01 0 0 0 0 0 0 0 0 0
.02
DSS01 0 0 0 0 0 0 0 0 0
.03
DSS01 1 1 1 1 1 0 0 0 0
.04
DSS01 1 1 1 1 1 1 1 1 1
.05
Tabla 45. Calificación de Atributos de capacidad DSS01
89
Definición del
DSS01.01
1
Ejecutar os DSS01.04 Gestionar el
Optimización
de Procesos
0.8 procedimient entorno
0.6
0.4 operativos
Innovación de
0.2
Procesos 0
Gestión de los
Resultados DSS01.01 Ejecutar
Gestión del procedimientos
Rendimiento operativos
proceso
Definición
Optimización 1 Despliegue
0.8
Despliegue de de Procesos de procesos
0.6
procesos 0.4
Innovación Gestión de Procesos
0.2
Gestión de Procesos de Procesos 0
Control Gestión de
de Procesos los… Control de
Rendimiento del Gestión del del Procesos
Proceso proceso Rendimiento DSS01.04 Gestionar
Rendimiento del Proceso el entorno
DSS01.05 Ge stionar las nes Prácticas de Gobierno conutos de

instalacio atrib capacidad 0
Definición
1 Definición
Optimizació 1 o
0.8 Optimizació
n de… o 0.8
0.6 n de… Despliegue
0.4 Despliegue 0.6 de
Innovación 0.4
0.2 de procesos Innovación
de Procesos 0 0.2 DSS01.02 Gestionar
DSS01.05 Gestionar de Procesos
Gestión de Procesos las instalaciones 0 servicios
Gestión de
Gestión de DSS01.03
los…
los… Supervisar la
Gestión del
Gestión del del infraestructura
Rendimiento delControl de
proces procesos
procesProcesos
Rendimiento
Rendimiento
del Proceso
Control de
Procesos
Rendimiento
del Proceso
Figura 38. Radar de atributos de capacidad DSS01
Descripción Valor
Tabla 46. Escala de Nivel de Capacidad DSS01
 DSS02
Proceso Procesos
s
DSS02 1 1 1 1 1 1 0 0 0
.01
DSS02 0 0 0 0 0 0 0 0 0
.02
90
DSS02 1 1 1 1 1 1 1 1 1
.03
DSS02 0 0 0 0 0 0 0 0 0
.04
DSS02 1 1 1 1 1 1 1 1 1
.05
DSS02 1 1 1 1 1 0 0 0 0
.06
DSS02 0 0 0 0 0 0 0 0 0
.07
DSS02.01 Definir esquemas de DSS02.03 Verificar, aprobar y resolver

clasificación de incidentes y
peticiones de servicio. Definición
Optimizaci 1 Despliegue
Definición 0.8
ón de… 0.6 de…
1 0.4
0.8 Innovación Gestión de
0.2 DSS02.03 Verificar,
0.6 de… 0 Procesos
0.4 aprobar y resolver
0.2 Gestión de Control de
0 los… Procesos
Gestión Rendimien
del…
del… to del…
del proceso
Optimizaci Despliegue
ón de… de… DSS02.01 Definir
esquemas de
Innovación Gestión de de…Procesos clasificación de
incidentes y
Gestión de Control de peticiones de los… Procesos servicio.
Gestión del Rendimient
Rendimie… o del…
DSS02.05 Resolver y recuperarse de DSS02.06 Cerrar peticiones de servicio

incidentes. e incidentes.
Definición Definición
0.8 Optimizació 1 Despliegue
ón de… 0.6 de… 0.8
n de… 0.6 de…
Innovación 0.4 Gestión de
0.2 DSS02.05 Resolver 0.4 DSS02.06 Cerrar
de… Procesos Innovación Gestión de
0 y recuperarse de 0.2 peticiones de
de… 0 Procesos
incidentes.
Gestión de Control de
los… Procesos Gestión de Control de incidentes.
Gestión Rendimien los… Procesos
del… Gestión del Rendimient
del… to del… del proceso
servicio e
91
capacidad 0
Definición DSS02.02 Registrar, del proceso clasificar y
1 priorizar
0.8
0.6 Optimizació Despliegue
0.4 peticiones e n de… de procesos
0.2 incidentes.
0
Innovación Gestión de DSS02.04 Investigar,

de ProcesosProcesos diagnosticar y
localizar
incidentes.
Gestión de Control de los… Procesos DSS02.07

Seguir el
Gestión del Rendimiento estado y emitir Rendimiento del Proceso informes.
Descripción Valor
92

DSS03
Proceso Procesos
s
DSS03 1 1 1 0 0 0 0 0 0
.01
DSS03 1 1 1 1 1 1 1 1 1
.02
DSS03 0 0 0 0 0 0 0 0 0
.03
DSS03 0 0 0 0 0 0 0 0 0
.04
DSS03 1 1 1 1 1 0 0 0 0
.05
Definición
DSS03.01 Identificar y DSS03.02
1
Investigar y ar
Optimizació
clasificar n de…
0.8 diagnostic
0.6
problemas. Innovación
0.4 problemas.
0.2
de Procesos 0
o
Gestión de Despliegu
los… e de DSS03.02
Gestión del procesos Investigar y
Rendimiento del diagnostica
proces Gestión de r
Procesos problemas.
Control de
Definición
Despliegu Procesos
Optimizació 1
e de Rendimiento
0.8
n de… 0.6 procesos del Proceso
0.4
Innovación Gestión de
0.2
de Procesos 0
Procesos
Gestión de DSS03.01
los… Control de Identificar
Gestión del del Procesos y clasificar
proceso Rendimiento problemas
Rendimiento del Proceso .
93

DSS03.05 Realizar una gestión d e Prácticas de Gobierno con atributos de
problemas proactiva. capacidad 0
Definición Definición
Optimizaci 1 Despliegue Optimizaci 1 Despliegue
0.8 0.8
ón de… 0.6 de… ón de… 0.6 de…
Innovación 0.4 Gestión de Innovación 0.4 Gestión de
0.2 DSS03.05 0.2 DSS03.03
de… 0 Procesos de… 0 Procesos Levantar errores
Realizar
conocidos.
Gestión de Control de una gestión Gestión de Control de
los… Procesos de los… Procesos DSS03.04
Gestión del Rendimien problemas Gestión Rendimien Resolver y
del… del…
proactiva. cerrar
Rendimie… to del… del… to del…
problemas.
Descripción Valor
DSS04
Proceso Procesos
s
DSS04 1 1 1 0 0 0 0 0 0
.01
DSS04 1 1 1 1 1 0 0 0 0
.02
DSS04 0 0 0 0 0 0 0 0 0
.03
DSS04 0 0 0 0 0 0 0 0 0
.04
DSS04 0 0 0 0 0 0 0 0 0
.05
DSS04 0 0 0 0 0 0 0 0 0
.06
DSS04 0 0 0 0 0 0 0 0 0
.07
DSS04 0 0 0 0 0 0 0 0 0
.08
94

DSS04.01 Definir la política de DSS04.02 Mantener una estrategia de
continuidad del negocio, objetivos continuidad.
y alcance. Definición
Definición
0.8
Optimizaci 1 Despliegu ón de… 0.6 de…
0.8
ón de… 0.6 e de… 0.4 DSS04.02
Innovación Gestión de
0.4 0.2 Mantener una
Innovació Gestión de la política de de… 0 Procesos
0.2
n de… 0 Procesos continuidad del
Gestión de Control de continuidad.
Gestión de Control de los… Procesos
los… Procesos Gestión del Rendimient
Gestión Rendimien del proceso
del…
DSS04.01 Definir
estrategia de
negocio, objetivos
y alcance.
del… to del…
Prácticas de Gobierno con atributos de capacidad 0
DSS04.03 Desarrollar e
implementar una
Optimización de Desplieguederespuestaalacontinuidaddelnegocio.
Procesos procesos
DSS04.04 Ejercitar, probar y
revisar el plan de continuidad.
Innovación deDSS04.05 Revisar, mantener y mejorar el
Procesosplan de continuidad.
DSS04.06 Proporcionar formación
en el plan de continuidad.
Gestión de los Control de ProcesosDSS04.07 Gestionar acuerdos derespaldo.

Resultados
DSS04.08 Ejecutar revisiones
Gestión del postreanudación
Rendimiento Proceso
Descripción Valor
MEA01
Proceso Procesos
s
MEA01 0 0 0 0 0 0 0 0 0
.01
MEA01 1 1 1 1 1 1 1 1 1
.02
95

MEA01 0 0 0 0 0 0 0 0 0
.03
MEA01 1 1 1 1 1 1 1 1 1
.04
MEA01 1 1 1 1 1 1 1 1 1
.05
Tabla 53. Calificación de Atributos de capacidad MEA01
Definición
MEA01.02 Establecer
1
los objetivos MEA01.04Definición
1
Analizar e informar
Optimizaci Optimizaci
de0.8
ón de… 0.6 cumplimiento y 0.8
ón de… 0.6 sobre el rendimiento.
Innovación rendimiento.
0.4
0.2
Innovació 0.4
0.2
de… n de… 0
0
los… los…
Gestión
Gestión de l
del… del…
Rendimie… del
proceso
Desplie
gu e
Despliegue de…
de…
Gestión de MEA01.02 Gestión de MEA01.04 Analizar
Procesos Establecer
Procesos e informar sobre Control de
los objetivos
Control de el rendimiento.
de
Procesos
cumplimient Proce
Rendimie
o y sos
nt o
rendimiento Rendimien
del…
. to del…
MEA01.05 A desegurar laación Prácticas de Gobierno conributos

me implant at
Definició didas Definició de capacidad 0
1 MEA01.01
Optimizaci 1
ón de…
0.8 correctivas. Optimizaci
0.8
ón de… 0.6
n Establecer
0.6 un enfoque
Innovación 0.4 n MEA01.05 Innovació 0.4
0.2 0.2 de la
de… 0 Asegurar la n de… 0 supervisión.
Despliegue implantación Desplieg
Gestión de de… Gestión de u
de medidas
los… los… e MEA01.03
Gestión de l correctivas. Gestión Recopilar y
Rendimie… del… Gestión de del… del…
procesar los
Procesos datos de
cumplimiento y
Control de
de… rendimiento.
Procesos
Rendimie Gestión de
n to Procesos
del… Control de
Proces
os Rendimien
to del…
Figura 42. Radar de atributos de capacidad MEA01
Descripción Valor
Tabla 54. Escala de Nivel de Capacidad MEA01
96

97
CAPÍTULO V
RESULTADOS
5.1. HALLAZGOS IMPORTANTES
En el capítulo anterior se realizó la Calificación de Atributos de capacidad de cada uno
de los procesos seleccionados de aquellos subprocesos que cumplían con la
documentación mínima, donde pudimos observar a través del gráfico de radar que
algunos procesos no han alcanzado la escala de Proceso Parcialmente Alcanzado (P),
esto debido a que la Municipalidad Provincial del Santa no está desarrollando las
Prácticas de Gobierno mínimas para el correcto Gobierno de TI. A continuación, se
presenta un Consolidado de Escalas de todos los procesos antes vistos.
Escala Definición
N Proceso No alcanzado, debido a que la GITIC no cuenta con
documentación en ningunas de las prácticas de gobierno que le
corresponde a este proceso.
Proceso No alcanzado, debido a que la GITIC no cuenta con la
documentación suficiente en las prácticas de gobierno que le
corresponde a este proceso.
98
P Proceso Parcialmente alcanzado, la GITIC se encuentra en
proceso del logro del proceso ya que existe evidencia del avance.
L Proceso Ampliamente alcanzado, la GITIC ha alcanzado el logro
del proceso ya que existe evidencia del cumplimiento de las
prácticas de gobierno casi al 100%.
Tabla 55. Definición de Escalas
Proceso % Alcanzado Escala Definición
en la GITIC
EDM02 0.0% N Proceso No alcanzado
EDM05 22.2% N Proceso No alcanzado
APO01 27.7% N Proceso No alcanzado
APO04 48.14% P Proceso Parcialmente alcanzado
APO07 38.8% P Proceso Parcialmente alcanzado
APO13 0.0% N Proceso No alcanzado
BAI01 53.96% P Proceso Parcialmente alcanzado
BAI10 0.0% N Proceso No alcanzado
DSS01 42.2% P Proceso Parcialmente alcanzado
DSS04 11.1% N Proceso No alcanzado
MEA01 60.0% P Proceso Parcialmente alcanzado
Tabla 56. Resultados de la evaluación de procesos
La tabla 56 muestra un resumen de los resultados obtenidos en cada proceso
evaluado, indicando el porcentaje alcanzado, evidenciando que aún existe mucho
por mejorar.
99
Figura 43. Resultados de la evaluación de Procesos
Se realizó la evaluación de 16 procesos de gobierno y de gestión según el Modelo

Cobit en su versión 5, con la finalidad de auditar diversos aspectos de la Gerencia de
Informática y TIC. En el desarrollo de la auditoría se utilizó diversas herramientas de
para la captura de información, dando como resultado que del 100% de los procesos
evaluados, 6 procesos se encuentran en la escala de “Proceso No Alcanzado”, lo cual
representa el 37.5% del total. Los procesos que obtuvieron la escala de
“Proceso Parcialmente Alcanzado” fueron 10, siendo el 62.5% del total. Finalmente
se observa que no existe proceso alguno que haya obtenido la escala de “Proceso
Ampliamente Alcanzado”.
5.1.1. Positivos
 Al realizar la auditoría se detectó que muchos de los documentos de
gestión, planes y políticas se encuentran accesibles para la comunidad
a través del Portal de Transparencia Estándar alojado la página web
institucional, de esta manera representa un valioso aporte para la
comunidad y a su vez le exigirá propuestas de mejora continua a la
página web institucional.
 La institución cuenta con documentación de estructura

organizacional, del cual se rigen todas las gerencias, siendo éste el
Manual de Organización y Funciones de la institución (MOF), y
Reglamento de Organización y Funciones (ROF), Texto Único de
Procedimientos Administrativos (TUPA), Plan Estratégico De
Tecnologías De Información (PETI) y el Plan Operativo Informático
(POI) .
 Cada año se plantean proyectos de Innovación para la mejora de los
servicios de los trabajadores y la comuna en general, estando
debidamente plasmados en el PETI.
 En la mayoría de documentación disponible se detectó que las
versiones de los mismos tienen fechas del 2017 y 2018.
 Se obtuvo un 62.5% de procesos que se encuentran en “Proceso
100
Parcialmente Alcanzado”, lo que significa que existe evidencia de que
se está trabajando para la mejora y logro de los procesos de TI en la
Gerencia.
 El ROF regula los requisitos mínimos que debe cumplir el profesional
del área de TI, teniendo consigo políticas de contratación de personal.
 La GITIC lleva un control del personal que labora en la gerencia, ver
Anexo1.Recursos Humanos de la Gerencia, sus funciones
asignadas al cargo a través de Memorándum, lo cual ayuda a
identificar el personal clave del área y generar estrategias de apoyo y
mejora.
 Existe un presupuesto asignado para la ejecución de planes y
proyectos de TI, el cual es supervisado para ver el cumplimiento de
las metas, siendo documentado todo avance de proyecto.
 La GITIC cuenta con un S.I de control de equipos informáticos en la
Unidad de Soporte Técnico, donde llevan un registro del hardware de
la entidad, Ver Anexo2. Registro de hardware informático.
 Se observó que el personal de la GITIC sigue un proceso adecuado en
cuanto a las solicitudes de cambio o modificación de registro de datos
y sistemas.
 Los ingenieros y técnicos de la GITIC realizan instalación de software

y equipos informáticos presentando un informe al finalizar sus labores
en otras áreas de la municipalidad.
 En el proceso de Auditoría se detectó que la GITIC cuenta con una
Directiva para el uso de los Recursos computacionales, internet y
correo electrónico, lo cual es fundamental para el conocimiento de
todos los trabajadores de la municipalidad.
 Se observó que el PETI incluye clasificación de incidentes y riesgos
que podrían suscitarse en la Gerencia, lo cual ayuda para que se
refuercen todos esos puntos.
 Se detectó que el personal de TI tiene una respuesta rápida para la
solución de problemas e incidentes, dando como resultado que la
continuidad del servicio no se vea tan afectada.
101
 El Órgano de Control Interno (OCI) evalúa el rendimiento y
cumplimiento de las políticas sobre Transparencia y Acceso a la
Información Pública, siendo un punto para mejorar y mantener
actualizado el PTE, documentos y optimizando los servicios.
5.1.2. Oportunidades de mejora
 En el desarrollo de la auditoría se detectó que ningún proceso se
encuentra logrado al 100%, donde el 62.5% está parcialmente
alcanzado y el 37.5 está en la escala de Proceso No Alcanzado.
 La GITIC no tiene reglamentado la elaboración de informes, debido a
ello se detectó que el personal nuevo a veces no realizaba informes de
las labores encomendadas.
 La Municipalidad Provincial del Santa cuenta con el Manual de
Políticas de Gestión Institucional, sin embargo, la GITIC no cuenta
con documentación sobre Políticas Relativas a TI, siendo los
responsables de la elaboración del mismo.
 Se detectó que existen Planes y Proyectos de TI, sin embargo, muchos
de ellos no se han llevado a cabo por falta de personal especializado.
 Con la auditoría se observó que sólo se ha logrado implantar 01
solución informática desarrollada por un trabajador de la GITIC en
el periodo 2015-2017, ya que mayormente se recurre a la contratación de

terceros.
 La GITIC cuenta con 17 sistemas de información, ver Anexo.3
Sistemas de Información MPS, los cuales administra, sin embargo,
solo 1 está documentado y tiene Manual de Usuario.
 Los S.I trabajan de forma independiente, no están integrados.
 Los funcionarios de otras áreas no se involucran en reuniones de
planeamiento de nuevas soluciones de TI, existe falta de interés de las
áreas usuarias.
 Se detectó que no existe un registro de tiempo de inactividad de los
activos(equipos), lo cual ha provocado que se tenga en desuso y no se
le dé el respectivo mantenimiento.
102
 No existe un control para el proceso de backups, algunos trabajadores
realizan backups semanalmente, otros lo realizan a diario y otros no
realizan.
 Se observó que cuando ocurre un problema, sólo algunos emiten
informes de lo ocurrido y de la solución aplicada.
 Se observó que las conexiones y el cableado de red no cumple con los
estándares establecidos y que el Centro de Datos necesita
mantenimiento. Ver Anexo5. Centro de Datos MPS, Anexo6.
Equipos en mal estado en el Centro de Datos MPS.
 El Centro de Datos no cuenta con las medidas de seguridad y el acceso
no se encuentra restringido ya que anteriormente contaba con un lector
biométrico de huella digital, sin embargo, actualmente se encuentra
malogrado. Ver Anexo7. Lector biométrico del Centro de Datos
 La GITIC no cuenta con acciones para la mejorar la entrega de valor
de sus servicios, no realizan evaluaciones para saber si están alineados
con la estrategia institucional.
 Se detectó que La GITIC no tiene Directrices para el control y
seguridad de datos.
 No hay Gestión para la mejora de Procesos, siendo los procesos
fundamentales de la Municipalidad, el Proceso que abarca Rentas y el
proceso de Logística.
 No se realizan evaluaciones del desempeño de los Recursos Humanos

de la Gerencia de Informática.
 No se ha establecido ni iniciado el proceso para el desarrollo de un
SGSI Sistema de Gestión de Seguridad de la Información.
 No existe un registro de eventos o incidentes y no cuenta con un Plan
de Contingencia de TI, ni con actividades de concientización en salud
y seguridad en el trabajo.
 No existe mucho trabajo en equipo, y se detectó que cuando sucede
un problema, no hay una comunicación entre el grupo de trabajo para
adquirir el conocimiento aprendido al resolver el problema.
103
5.2. RECOMENDACIONES DE AUDITORÍA
Con los resultados obtenidos en la Auditoría realizada, se elaboraron las siguientes
recomendaciones, con el fin de que la Gerencia ponga en marcha las actividades
necesarias para el cumplimiento de los procesos que faltan lograr y apoyar los
procesos que se encuentran en su etapa inicial.
Proceso Recomendación
EDM02 1. Comprender los requerimientos de las partes interesadas,
Asegurar la trabajadores de la municipalidad y usuarios externos para
Entrega de realizar los S.I.
Beneficios 2. Establecer reuniones de trabajo con los funcionarios de las
distintas áreas de la Municipalidad para
3. Definir y comunicar la cartera de proyectos y los tipos de
inversión, categorías, criterios y ponderaciones.
4. Crear un grupo dedicado al desarrollo de aplicaciones y S.I
EDM05 1. Examinar y juzgar los requisitos actuales y futuros de
Asegurar elaboración de informes respecto al uso de TI dentro de la
la empresa (regulación, legislación, leyes generales, requisitos
Transparencia contractuales), incluyendo alcance y frecuencia.
hacia las 2. Establecer mecanismos de validación y aprobación de la
partes elaboración obligatoria de informes.
interesadas 3. Establecer políticas que regulen la entrega de informes a
través de medios físicos o digitales dentro de la Gerencia.
APO01 1. Establecer un Comité Estratégico de TI y Comité Directivo de
Gestionar el TI.
Marco de 2. Definir reglas básicas de comunicación en la Gerencia.
Gestión de TI 3. Delimitar claramente las responsabilidades y la rendición de
cuentas, especialmente para la aprobación y toma de
decisiones.
4. Implementar prácticas de supervisión adecuadas para
garantizar que los roles y las responsabilidades se pongan en
práctica de forma correcta
5. Alinearse con los estándares y códigos de práctica de
gobierno y gestión aplicables a nivel nacional e

internacional.
6. Crear un conjunto de políticas para conducir las expectativas
de control de TI en temas clave relevantes, como calidad,
seguridad, confidencialidad, controles internos, uso de
activos de TI, ética y derechos de propiedad intelectual.
7. Evaluar y actualizar las políticas, como mínimo una vez al
año, para ajustarlas a los cambiantes entornos operativos o de
negocio.
104
APO04 1. Crear un plan de innovación con el respectivo equipo de
Gestionar la trabajo
Innovación 2. Crear un entorno que fomente la innovación manteniendo
iniciativas de recursos humanos relevantes, tales como el
reconocimiento de la innovación y programas de
reconocimiento, una rotación apropiada en los puestos de
trabajo y tiempo prudencial para la experimentación.
3. Mantener un programa que permita a los empleados presentar
ideas innovadoras y crear una estructura adecuada de toma
de decisiones para evaluar y aplicar estas ideas.
Animar a Innovar a todo el personal.
APO07 1. Evaluar las necesidades de personal de forma regular.
Gestionar los 2. Mantener los procesos de contratación y de retención del
Recursos personal de TI y del negocio en línea con las políticas y
Humanos procedimientos de personal globales de la empresa.
3. Capacitación y Evaluación del Personal de TI .
4. Minimizar la dependencia en una sola persona en la
realización de una función crítica de trabajo mediante la
captura de conocimiento (documentación), el intercambio de
conocimientos, la planificación de la sucesión, el respaldo
(backup) del personal, el entrenamiento cruzado e iniciativas
de rotación de puestos.
5. Incentivar una cultura de trabajo en equipo.
APO13 1. Establecer un SGSI definiendo el alcance y los límites del
Gestionar la SGSI en términos de las características de la empresa, la
Seguridad organización, su localización, activos y tecnología. Incluir
detalles de y justificación para, cualquier exclusión del
alcance.
2. Invertir en la Seguridad de la Información.
3. Renovar los equipos de seguridad de la institución.
4. Mejorar la seguridad de los S.I y Base de Datos.
BAI01 1. Mantener y reforzar un enfoque estándar de la gestión de
Gestionar los programas y proyectos alineados al entorno específico de la
Programas y empresa y a las buenas prácticas basadas en procesos
Proyectos definidos y el uso de tecnología apropiada.
2. Identificar, comprometer y gestionar a las partes interesadas,
estableciendo y manteniendo niveles apropiados de
coordinación, comunicación y vinculación para asegurar que
estén involucrados en los programas/proyectos.
3. Definir y documentar los programas y proyectos. Manuales de

Usuario. Casos de Uso, entre otros.
105
BAI03 1. Establecer especificaciones de diseño a alto nivel que
Gestionar traduzcan la solución propuesta en procesos de negocio,
la servicios soportados, aplicaciones, infraestructura y
Identificación repositorios de información capacidades de cumplir con los
y la requerimientos de arquitectura de negocio y empresa.
Construcción 2. Establecer un equipo de desarrollo de soluciones de T.I.
de Soluciones 3. Planeamiento dela integración de los S.I
en la Municipalidad.
BAI06 1. Utilizar peticiones de cambio formales para posibilitar que
Gestionar los los propietarios de procesos de negocio y TI soliciten
Cambios cambios en procesos de negocio, infraestructura, sistemas o
aplicaciones
2. Supervisar todos los cambios de emergencia y realizar
revisiones post-implantación involucrando a todas las partes
interesadas.
3. Elaborar informes de cambios de estado.
BAI09 1. Verificar la existencia de todos los activos en propiedad
Gestionar los mediante la realización periódica de controles de inventario
Activos físicos y lógicos y su conciliación,
2. Determinar de forma regular si cada activo continúa
proporcionando valor y, si es así, estimar la vida útil prevista
de dicha validez.
3. Supervisar el rendimiento de los activos críticos examinando
las tendencias de incidentes y, en caso necesario, tomar
medidas para reparar o reemplazar.
4. Establecer un registro de inactividad del hardware para que se
realice el mantenimiento en el tiempo adecuado.
5. Establecer un plan de mantenimiento preventivo para todo el
hardware, considerando un análisis coste-beneficio,
recomendaciones del proveedor, el riesgo de interrupción del
servicio, personal cualificado y otros factores relevantes.
6. Elaborar un cronograma de mantenimiento de rutina
periódico.
7. Mejorar y actualizar constantemente el software de
inventario.
8. Realizar el cableado estructurado en el Edificio Municipal y
en las sedes externas.
BAI10 1. Establecer y mantener un modelo lógico para la gestión de la
Gestionar la configuración, incluyendo información sobre los tipos de
Configuración elementos de configuración, atributos de los elementos de
configuración, tipos de relaciones, atributos de relación y
códigos de estado.
2. Implantar políticas para el proceso y control de backups de
Base de Datos y S.I
DSS01 1. Desarrollar y mantener procedimientos operativos y
Gestionar las actividades relacionadas para dar apoyo a todos los servicios
Operaciones entregados
2. Programar, realizar y registrar las copias de respaldo de
106
acuerdo con las políticas y procedimientos establecidos.
3. Identificar y mantener una lista de activos de infraestructura
que necesiten ser monitorizados en base a la criticidad del
servicio y la relación entre los elementos de configuración y
los servicios que de ellos dependen.
4. Producir registros de eventos y retenerlos por un periodo
apropiado para asistir en investigaciones futuras
5. Identificar desastres naturales y causados por el ser humano
que puedan ocurrir en el área donde se encuentran las
instalaciones de TI. Evaluar el efecto potencial en las
instalaciones de TI.
6. Establecer un Plan de Contingencia en la GITIC.
DSS02 1. Definir esquemas de clasificación y priorización de incidentes
Gestionar las y peticiones de servicio y criterios para el registro de
Peticiones y los problemas, para asegurar enfoques consistentes en el
Incidentes del tratamiento, informando a los usuarios y realizando análisis
Servicio de tendencias.
2. Definir modelos de incidentes para errores conocidos con el
fin de facilitar su resolución eficiente y efectiva
DSS03 1. Manejar formalmente todos los problemas con acceso a todos
Gestionar los los datos relevantes, incluyendo información sobre el sistema
Problemas de gestión de cambios y los detalles de incidentes sobre
configuración/activos TI.
2. Mantener un catálogo de gestión de problemas único para
registrar e informar sobre problemas identificados y para
establecer pistas de auditoría sobre los procesos de gestión de
problemas, incluyendo el estado de cada problema (p. ej.,
abierto, reabierto, en progreso o cerrado).
DSS04 1. Identificar procesos de soporte al negocio esenciales y
Gestionar la servicios TI relacionados.
Continuidad 2. Realizar un análisis de impacto en el negocio para evaluar el
impacto en tiempo de una disrupción en funciones críticas del
negocio y el efecto que tendría en ellas
MEA01 1. Definir y revisar periódicamente los objetivos y métricas con
Supervisar, las partes interesadas para identificar cualquier detalle
Evaluar y significativo omitido y definir la razonabilidad de metas y
Valorar tolerancias
Rendimiento y 2. Utilizar herramientas y sistemas apropiados para el
Conformidad procesamiento y formateo de datos para análisis.
Tabla 57. Recomendaciones de Auditoría
5.3. INFORME FINAL DE AUDITORÍA

Ver Anexo8.Informe Final de Auditoría.
107
CAPÍTULO VI
CONCLUSIONES Y
RECOMENDACIONES
6.1. CONCLUSIONES
• Se aplicó los 5 principios del Modelo Cobit en la Gerencia de Informática de
la Municipalidad Provincial del Santa, donde se detectó deficiencias en los
procesos de evaluación siguientes: Proceso EDM, Proceso APO, Proceso
BAI, Proceso DSS y Proceso MEA.
• La Gerencia de Informática de la Municipalidad Provincial del Santa posee
sistemas de información con niveles de seguridad muy bajos, documentación
de software escasa y a su vez los S.I necesitan soporte.
• Se evaluaron 16 procesos de Gobierno y Gestión de los cuales, 6 se
encuentran en la escala de “Proceso No Alcanzado”, lo cual representa el
37.5%, 10 procesos se encuentran en la escala de “Proceso Parcialmente
Alcanzado” siendo el 62.5% del total y ningún proceso se encuentra
“Ampliamente Alcanzado”.
108
• Se han redactado las recomendaciones para cada proceso evaluado, tomando
como base las pautas del Modelo Cobit y las necesidades de la Municipalidad
Provincial del Santa.
• Se detectaron oportunidades de mejora en la Gerencia de Informática en
diversos aspectos como infraestructura, procesos y recursos humanos y
tecnológicos.
• Como aspectos positivos la organización cuenta con la mayoría de sus
documentos de gestión actualizados, planes y políticas. La Gerencia cuenta
con un presupuesto para ejecución de planes y proyectos de T.I los cuales se
encuentran plasmados en el PETI (Plan Estratégico de Tecnologías de la
Información).
• Se realizó un informe Final de Auditoría donde se detalló todos los resultados
y recomendaciones para la mejora de los procesos, S.I e infraestructura.
6.2. RECOMENDACIONES
Después de haber realizado la auditoría se recomienda establecer reuniones de trabajo
que involucren a los funcionarios de la Municipalidad Provincial del Santa para
asegurar la entrega de beneficios con el adecuado uso de las tecnologías de T.I, donde
puedan exponer sus requerimientos para la elaboración de nuevos S.I e integrar los
que ya existen.
Implantar un Gobierno de TI donde se trabaje de la mano con la correcta gestión de

los Sistemas de información, preservando y resguardando la información como
activo valioso de la Municipalidad.
Establecer un Sistema de Gestión de Seguridad de la Información (SGSI) con su

respectivo Comité de SGSI para asegurar el correcto uso de la información, proteger
la información de los diversos procesos que se realizan a diario, evitar fuga de
información a terceros y asegurar la transparencia.
Mejorar los procesos de contratación y retención de personal de TI alineados a las

políticas y perfil global requerido, asimismo evitar la dependencia en una sola
persona de una función crítica de trabajo fomentando el intercambio de
conocimiento y trabajo en equipo.
109
Gestionar los programas y proyectos del área de TI, gestionar la identificación y
construcción de soluciones, definir y documentar todos los proyectos y programas,
supervisar las peticiones de cambio en los S.I de la Municipalidad.
Realizar la gestión de activos de la Municipalidad lo que incluye los activos de T.I,

utilizar un S.I relacionado al sistema de logística, verificando su existencia en
almacén o áreas del palacio municipal y anexos, supervisar su rendimiento,
establecer planes preventivos del hardware y cronogramas de mantenimiento.
Finalmente se recomienda realizar un cronograma de auditorías internas para evaluar

los procesos de la Gerencia de Informática y el cumplimiento de las normas.
BIBLIOGRAFÍA
Álvarez, R. y Guanoluisa, G. (2015). Tesis: Auditoría a los Procesos de Desarrollo de

Software del Centro de Transferencia Tecnológica de la ESPE para el caso del
Sistema Hospitalario HB11 bajo el Marco de Referencia COBIT 5. Recuperado de:
http://repositorio.espe.edu.ec/bitstream/21000/10302/1/T-ESPE-048482.pdf
Melo, J. (2013). Auditoría de sistemas aplicada al sistema de información de la

cooperativa del Magisterio de Tuquerres Coacremat. Recuperado de:
http://biblioteca.udenar.edu.co:8085/atenea/biblioteca/89740.pdf
Rosero, S. y Bonilla, J. (2015). Auditoría al Sistema de Información Alpwin 2.0 en el rubro

cuentas por cobrar del módulo de ventas de la compañía SYSCOMPSA
S.A. Recuperado de:
https://dspace.ups.edu.ec/bitstream/123456789/9974/1/UPSGT001092.pdf
Isaca. (2012) COBIT 5- Un marco de Negocio para el Gobierno y la Gestión de las TI de la

Empresa. Recuperado de:
http://cotana.informatica.edu.bo/downloads/COBIT5-Framework-Spanish.pdf
110
José Peña Ibarra (2012) COBIT 5. Recuperado de:
https://www.isaca.org/chapters7/Monterrey/Events/Documents/20120305%20Cob
iT%205.pdf
Isaca. Recuperado de: http://www.isaca.org/about-isaca/Pages/default.aspx
Isaca. (2019) Cobit. Recuperado de: http://www.isaca.org/COBIT/pages/cobit-5.aspx
Gerencia de informática.(2014) ROF-MPS. Recuperado de:

http://transparencia.gob.pe/enlaces/pte_transparencia_enlaces.aspx?id_entidad=11
144&id_tema=5&ver=#.XSTYkGdYYiQ
Cobarsi, J.,(2011) Sistemas de información en la empresa, Editorial UOC.
Ruiz, E.,(2017) Nuevas tendencias en los sistemas de información, Editorial Centro de

Estudios Ramon Areces SA.
Ley Orgánica de Municipalidades LEY Nº 27972 - Diario Oficial el Peruano.

Recuperado de :https://municipioaldia.com/wp-
content/uploads/1/2017/05/LOM20190522.pdf
Municipalidad. Municipio al día – PCM. Recuperado

de:https://municipioaldia.com/municipalidades-del-peru/#2-section
Pacheco, E,.(2018) Auditoría de Sistemas, Lima 1era Edición. Recuperado de:

https://issuu.com/orlandopachecocuri/docs/libro_de_auditoria_de_sistemas_mar2
_92b6043b88d2c0
Isaca. (2016)Information Systems Auditing: Tools and Techniques. Recuperado de:

http://www.isaca.org/Knowledge-Center/Research/Documents/IS-auditingcreating-audit-
programs_whp_eng_0316.PDF?regnum=508829
111
Contraloría General de la República.,(2015) Guía Técnicas de Auditoría. Recuperado de:
http://doc.contraloria.gob.pe/libros/2/pdf/guia_tecnicas_auditoria.pdf
ANEXOS Anexo 1: Recursos Humanos de la Gerencia de Informática y TIC
112
Anexo 2: Registro de hardware informático.
113
Anexo 3: Sistemas de Información MPS
114
Anexo 4: Relación de Licencias de Software
Anexo 5: Centro de Datos MPS
115
Anexo 6: Equipos en mal estado en el Centro de Datos MPS
116
Anexo 7: Lector biométrico del Centro de Datos
117
Anexo 8: Informe Final de Auditoría
118
119
120

Tesis Cobit

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tesis Cobit

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD NACIONAL DEL SANTA

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS E

APLICACIÓN DEL MODELO COBIT PARA AUDITORIA DE SISTEMAS DE

“Informe de Prácticas Pre Profesionales para obtener el Grado Académico de

LIDIA BERENICE VELEZ COBEÑAS

DR. GUILLERMO EDWARD GIL ALBARRÁN

NUEVO CHIMBOTE – PERÚ

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS E

APLICACIÓN DEL MODELO COBIT PARA AUDITORIA DE SISTEMAS DE

“Informe de Prácticas Pre Profesionales para obtener el Grado Académico de

REVISADO Y APROBADO POR:

_______________________________________ DR. GUILLERMO EDWARD GIL

NUEVO CHIMBOTE – PERÚ

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS E

APLICACIÓN DEL MODELO COBIT PARA AUDITORIA DE SISTEMAS DE

“Informe de Prácticas Pre Profesionales para obtener el Grado Académico de

REVISADO Y APROBADO POR EL JURADO EVALUADOR:

NUEVO CHIMBOTE – PERÚ

Al Ing. David Aguirre Ramírez, por brindarme la oportunidad de terminar mi formación

Al Blgo. Jean Baltodano, por compartir su experiencia en la sustentación de proyectos de

Señores miembros del Jurado Evaluador.

En cumplimiento a lo dispuesto por el Reglamento General de Grados y Títulos de la

“APLICACIÓN DEL MODELO COBIT PARA AUDITORIA DE SISTEMAS DE

Como requisito para Optar el Grado Académico de Bachiller en Ingeniería de Sistemas e

El presente informe de Prácticas Pre Profesionales ha sido desarrollado para identificar,

LIDIA BERENICE VELEZ COBEÑAS

Se realizó el levantamiento de la información en colaboración con el ingeniero

Para el desarrollo de la auditoría se toma como modelo de referencia el Modelo Cobit,

La auditoría inicia realizando la selección de objetivos empresariales y objetivos de T.I,

Posteriormente se realizó la selección de los procesos facilitadores y prácticas de

Finalmente se muestran los resultados en un gráfico de radar, donde se aprecia el nivel

Al concluir la auditoría se detectaron hallazgos importantes y oportunidades de mejora,

La correcta gestión de la información permite resolver problemas y sirve como apoyo

En el capítulo 1, “La empresa” se muestra reseña histórica y datos principales de la

En el capítulo 2, “Planteamiento del problema” se describe la realidad problemática de la

En el capítulo 3, “Marco teórico” se describen conceptos generales sobre auditoría y

En el capítulo 4, “Desarrollo de la Auditoría” se realiza la selección de los procesos a ser

En el capítulo 5, “Resultados”, se describe los resultados obtenidos en el desarrollo de la

En el capítulo 6, “Conclusiones y recomendaciones”, se muestran las conclusiones finales

PRESENTACIÓN ......................................................................................................... iii

1.1. RESEÑA HISTÓRICA ...................................................................................... 1

1.2. PERFIL DE LA EMPRESA .............................................................................. 2

1.2.1. Datos Generales de la Empresa .................................................................. 2

1.2.2. Actividad de la Empresa ............................................................................. 3

1.2.3. Alcance de la Empresa ................................................................................ 3

1.2.4. Logotipo ........................................................................................................ 3

1.3. FILOSOFÍA CORPORATIVA ......................................................................... 3

1.4. VISIÓN Y MISIÓN DE LA EMPRESA .......................................................... 3

1.4.1. Visión ............................................................................................................ 3

1.4.2. Misión ........................................................................................................... 4

1.5. VALORES ........................................................................................................... 4

1.6. OBJETIVOS ESTRATÉGICOS ....................................................................... 4

1.7. ORGANIZACIÓN ACTUAL DE LA EMPRESA .......................................... 6

PLANTEAMIENTO DEL PROBLEMA ..................................................................... 7

2.1. REALIDAD PROBLEMÁTICA ....................................................................... 8

2.3. ANTECEDENTES DEL PROBLEMA .......................................................... 10

2.3.1. Antecedentes Internacionales ................................................................... 10

2.3.2. Antecedentes Nacionales ........................................................................... 11

2.3.3. Antecedentes Locales ................................................................................. 11

2.4. FORMULACIÓN DEL PROBLEMA ............................................................ 12

2.5. HIPÓTESIS ....................................................................................................... 12

2.6. OPERACIONALIZACIÓN DE LAS VARIABLES ..................................... 12

2.7. OBJETIVOS ..................................................................................................... 13