Segundo Trabajo Grupal Grupo8

UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD DE CIENCIAS ADMINISTRATIVAS

MODALIDAD A DISTANCIA
2020- 2021
GRUPO 8
Integrantes:
IRINA MARÍA ARIAS DELGADO 1711698678
ANGELA VANESSA BARRERA DÍAZ 1726272857
CRISTHIAN PAUL IDROVO MANTILLA 1725456683
PAMELA EDITH CONTRERAS CAMACHO 1711637957
MARCO VINICIO JACOME CHANCUSIG 1723547681
SILVIA DE LOS ANGELES FARINANGO AMBAS 1715751101
GABRIELA SALOME VELASCO ESTRELLA 1723716237
EDWIN ERNESTO GUEVARA 1001686441
Nivel: Décimo
Trabajo Grupal: 2do x
Profesor: PhD Patricia Jimbo Santana
Asignatura: Auditoría de Sistemas Informáticos II.
Fecha de entrega: 21 de marzo de 2021
1
Actividad 1
Seleccione una institución en la que puedan realizar lo siguiente:
Seleccione 2 Procesos para la Gestión de TI y 2 Procesos de Gobierno de TI que se han
implementado en la organización, de los mismos establezca el Nivel de Capacidad de
cada proceso.
1. Información de la empresa
NOVACERO se fundó en julio de 1973, es una empresa ecuatoriana, pionera y líder en el
mercado, con la mejor experiencia en la creación, desarrollo e implementación de soluciones
de acero para la construcción. Actualmente está ubicada entre las 25 empresas más
importantes del Ecuador y segunda en el siderúrgico del país.
2. Selección de Procesos
Metas Corporativas de la empresa NOVACERO.
Tabla 1 Metas Corporativas Novacero

Fuente: Novacero
N.º Metas Corporativas
OB01 Tener una estabilidad financiera.
OB02 Ética y Transparencia sobre productos y servicios.
OB03 Facilitar la comunicación interna y externa.
OB04 Implementar un modelo de gestión estratégica que permita el
cumplimiento y el uso de los servicios con eficacia.
OB05 Establecer una estructura organizacional efectiva por procesos que
faciliten el cumplimiento de objetivos.
OB06 Certificación de productos
OB07 Difundir filosofía y valores.

BBO8 Gestionar la eficacia de SGI mediante la revisión de sus indicadores,
buscando la mejora continua.
OB09 Cumplir las regulaciones ambientales, de seguridad y salud
ocupacional.
El proceso de calificación utilizado en las matrices o mapeo de cascadas entre los
procesos de negocio y los procesos de TI es el siguiente:
 Principal (P), con la valoración de 2 puntos.
 Secundaria (S), con la valoración de 1 punto.
 Vacía (V) con la valoración de 0 puntos
Tomando en cuenta los objetivos estratégicos de la Empresa NOVACERO, basados en el
Plan Estratégico de Desarrollo Institucional (PEDI), se realiza el mapeo para priorizar los
procesos.
Metas corporativas de la empresa NOVACERO vs. Metas corporativas de COBIT 5.
Tabla 2 Metas corporativas Novacero vs. Metas corporativas COBIT 5

Fuente: ISACA
Metas Corporativas de COBIT 5

Valor para Cultura Toma Optimización
Metas corporativas de la
las partes Riesgo de de Continuidad y Respuestas estratégica Optimización de la Optimización Programas Cultura de
EMPRESA NOVACERO
interesadas Cartera de negocio Cumplimiento servicio disponibilidad ágiles a un de de los costes funcionalidad de los costos gestionados Productividad Personas innovación
vs.
de las productos y gestionado de leyes y orientada del entorno de decisiones de de de los de cambio operacional y Cumplimiento preparadas de
Metas corporativas de
Inversiones servicios (salvaguarda regulaciones Transparencia al servicio de negocio basada en entrega del los procesos procesos de en el de los con políticas y producto
COBIT 5
de Negocio competitivas de activos) externas financiera cliente negocio cambiante Información servicio de negocio negocio negocio empleados internas motivadas y negocio
Metas de Negocio: Aprendizaje y
Financiera Cliente Interna
Objetivos Empresariales Conocimiento
OBJ. NOVACERO 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
Tener
OB01 P P P S P V P P S V S S P S V V V
una estabilidad financiera.
Ética y Transparencia sobre
OB02 S P V V P P P P V V V V S S S S S
productos y servicios.
Facilitar la comunicación
OB03 P P V S S P S P S V S V S S P P S
interna y externa.
Implementar un modelo de
gestión estratégica que
OB04 permita el cumplimiento, el S S P V S P P P S S S S S P S P P
uso de los servicios con
eficacia.
Establecer una estructura
organizacional efectiva por
P V V S S P P P P P P S P S S S S
procesos que faciliten el
OB05 cumplimiento de objetivos.
OB06 Certificación de productos P P V P V S P P V V P S P V V V S
OB07 Difundir filosofía y valores. S V V S S S V V V V V V V S P P S
Gestionar la eficacia de SGI
mediante la revisión de sus
S S S S S P P P P S P P S S S S P
indicadores, buscando la
BBO8 mejora continua.
Cumplir las regulaciones
ambientales, de seguridad y V V V P V S S S V V V S V S S P S
OB09 salud ocupacional.
PUNTAJE 12 10 5 9 9 13 14 15 7 4 9 7 10 9 9 11 10
Subtotal Primarias 4 4 2 2 2 5 6 7 2 1 3 1 3 1 2 4 2
Subtotal Secundarias 4 2 1 5 5 3 2 1 3 2 3 5 4 7 5 3 6
4
De acuerdo con los resultados obtenidos se identificaron 8 metas corporativas que la
Empresa NOVACERO debe priorizarlas, para posteriormente llevarlas en cascada hacia las
metas relacionadas con TI.
Las metas corporativas con mayor puntaje son las siguientes:
Tabla 3 Metas relacionadas con TI

Fuente: ISACA
N.º METAS RELACIONADAS CON TI MAPEADAS EN BASE
A METAS CORPORATIVAS COBIT 5
1 Valor para las partes interesadas de las Inversiones de Negocio
2 Cartera de productos y servicios competitivas
6 Cultura de servicio orientada al cliente
7 Continuidad y disponibilidad del servicio de negocio
8 Respuestas ágiles a un entorno de negocio cambiante
13 Programas gestionados de cambio en el negocio
16 Personas preparadas y motivadas
17 Cultura de innovación de producto
5
Metas corporativas de COBIT 5 vs. Metas relacionadas con TI de COBIT 5.
Tabla 4 Metas corporativas de COBIT 5 vs. Metas relacionadas con TI de COBIT 5

Fuente: ISACA
METAS RELACIONADAS CON TI DE COBIT 5
Entrega de
programas
que
Metas corporativas proporcionen
mapeadas de la Realización Entrega Capacitación beneficios a
empresa Cumplimiento Compromiso de de y soporte de tiempo,
NOVACERO vs. y soporte de de la beneficios servicios Seguridad de procesos de dentro del
Metas las TI al dirección del de TI de Uso la negocio presupuesto
relacionadas con cumplimiento ejecutiva Riesgos de portafolio de Transparencia acuerdo adecuado de Información, Optimización integrando y Disponibilidad Cumplimiento Personal Conocimiento,
las TI de COBIT 5 Alineamiento del negocio de para tomar negocio inversiones de los costos, con los aplicaciones, infraestructura de activos, aplicaciones satisfaciendo de información con políticas del negocio experiencia e
de TI y las leyes y decisiones relacionados y servicios beneficios y requisitos información de recursos y y tecnologías los requisitos útil y fiable internas por y de las TI iniciativas para
estrategia de regulaciones relacionadas con las TI relacionados riesgos de las de y soluciones Agilidad procesamiento capacidades en proceso y normas de para la toma parte de las competente la innovación
negocio externas. con las TI. gestionados. con las TI. TI. negocio tecnológicos. de las TI y aplicaciones de las TI de negocio calidad de decisiones TI. y motivado de negocio.
METAS Aprendizaje y
Financiera Cliente Interna
CORPORATIVAS Conocimiento
No. DE COBIT 5 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
Valor para las partes
interesadas de las
Inversiones de
1 Negocio P S P P S P S V P S V S S P P S S
Cartera de
productos y
servicios
2 competitivas P S P S P P P P V S S S S S S S P
Cultura de servicio
6 orientada al cliente P S S S S P P P S P P S S P S P P
Continuidad y
disponibilidad del
7 servicio de negocio P P S P S S P P P P P P P S P P S
Respuestas ágiles a
un entorno de
8 negocio cambiante P P S P S S S P P P S S P S V P P
Programas
gestionados de
cambio
13 en el negocio P V V S P P S V S V P S P V P S P
Personas preparadas
16 y motivadas S P V S P S V P P S S S V S P P V
Cultura de
innovación de
producto
17 y negocio S S P S S S P P P P P V P V P S P
PUNTAJE 14 10 9 11 11 12 12 12 12 11 12 8 11 8 12 12 12
Subtotal Primarias 6 3 3 3 3 4 4 6 5 4 4 1 4 2 5 4 5
Subtotal
Secundarias 2 4 3 5 5 4 4 0 2 3 4 6 3 4 2 4 2
6
De acuerdo con el mapeo de metas corporativas vs metas relacionadas con TI, de la
empresa NOVACERO para posteriormente relacionarlos con los procesos, se obtuvo los
siguientes resultados:
Tabla 5 Metas relacionadas con TI mapeadas en base a metas corporativas COBIT 5

Fuente: ISACA
No. Metas Relacionadas con las TI
1 Alineamiento de TI y estrategia de negocio.
4 Riesgos de negocio relacionados con las TI gestionados.
Realización de beneficios del portafolio de inversiones y servicios

5
relacionados con las TI.
6 Transparencia de los costos, beneficios y riesgos de las TI.
7 Entrega de servicios de TI de acuerdo con los requisitos de negocio.
8 Uso adecuado de aplicaciones, información y soluciones tecnológicos.
9 Agilidad de las TI.
Seguridad de la Información, infraestructura de procesamiento y

10
aplicaciones.
11 Optimización de activos, recursos y capacidades de las TI
Entrega de programas que proporcionen beneficios a tiempo, dentro del

13
presupuesto y satisfaciendo los requisitos y normas de calidad.
15 Cumplimiento con políticas internas por parte de las TI.
16 Personal del negocio y de las TI competente y motivado.
17 Conocimiento, experiencia e iniciativas para la innovación de negocio.
7
Metas relacionadas con las TI EMPRESA NOVACERO vs. Procesos relacionados con las TI de COBIT 5.
Tabla 6 Metas relacionadas con las TI EMPRESA NOVACERO vs. Procesos relacionados con las TI de COBIT 5
Fuente: ISACA
Entrega de
programas que
proporcionen
Realización de Entrega de beneficios a
Metas relacionadas con las TI EMPRESA
beneficios del servicios Uso adecuado Seguridad de la tiempo, dentro
NOVACERO vs. Procesos relacionados
Riesgos de portafolio de Transparencia de TI de de Información, Optimización del presupuesto Personal del Conocimiento,
con las TI de COBIT 5
Alineamiento negocio inversiones y de los costos, acuerdo aplicaciones, infraestructura de activos, y satisfaciendo Cumplimiento negocio y de experiencia e
de TI y relacionados servicios beneficios y con los información y de recursos y los requisitos y con políticas las TI iniciativas para la
estrategia de con las TI relacionados riesgos de las requisitos soluciones Agilidad procesamiento y capacidades de normas de internas por competente y innovación de
negocio. gestionados. con las TI. TI. de negocio tecnológicos. de las TI. aplicaciones. las TI calidad. parte de las TI. motivado. negocio.
Financiera Cliente Interna Aprendizaje Conocimiento PUNTAJE

Procesos Habilitantes o Catalizadores
1 4 5 6 7 8 9 10 11 13 15 16 17
Asegurar el
establecimiento y
EDM01 mantenimiento del V V V V P V V V V V V V V 2
Marco de
Gobierno
Asegurar la
EDM02 entrega de V V S P P V V V V V V V P 7
beneficios
Evaluar,
Asegurar la
Orientar y
EDM03 optimización de V P S P V V S P V P S V 11
Supervisar
riesgos
Asegurar la
EDM04 optimización de V V P V V S P S P V V P S 10
los recursos
Asegurar la
transparencia
EDM05 V V V P P V S V V V V S S 7
hacia las partes
interesadas
Gestionar el
APO01 marco de gestión S V V V V V S V P V P S S 8
Alinear, de TI
Planificar y
Organizar
Gestionar la
APO02 P V S V P V V V V S V V P 8
estrategia
8
Gestionar la
APO03 arquitectura P V V V V V P V P S V V V 7
empresarial
Gestionar la
APO04 S S P V S P P S P S V V P 15
innovación
Gestionar el
APO05 P V P V S S S V V P S V V 10
portafolio
Gestionar el
APO06 presupuesto y los V P P V V V V V V V V V 4
costos
Gestionar los
APO07 S V V V V V V V S P V S P 7
recursos humanos
Gestionar las
APO08 P V V V P V V V V V V V P 6
relaciones
Gestionar los
APO09 acuerdos de V V V V P S S V V P V V V 6
servicios
Gestionar los
APO10 V P V V P S P V V S V V V 8
proveedores
Gestionar la
APO11 S P P S P S P S S P P V P 19
calidad
APO12 S P S P V S S P S S S V S 14
Gestionar el riesgo
Gestionar la
APO13 V P V P V V V P V V V V S 7
seguridad
Gestionar los
BAI01 programas y S P P V S V V V V P V V V 8
proyectos
Gestionar la
BAI02 definición de los P V V V P V V V V V V V V 4
requisitos
Gestionar la
Construir, identificación y la
BAI03 S V V V P S S V V S V V V 6
Adquirir e construcción de
Implementar soluciones
Gestionar la
BAI04 disponibilidad y la V V V V P V V V P V V V V 4
capacidad
Gestionar la
introducción de
BAI05 S V V V V P V V V P V V P 7
cambios
organizativos
Gestionar los
BAI06 S P V V P V V P V V V V V 7
cambios
Gestionar la
aceptación del
BAI07 V V V V V P V V V V V V V 2
cambio y de la
transición
Gestionar el
BAI08 S V V V V V P V V V V S P 6
conocimiento
Gestionar los
BAI09 S V V P V V V V P V V V V 5
activos
Gestionar la
BAI10 V S V V V V V V P V V V V 3
Configuración
Gestionar las
DSS01 V P V V P V S V P S S V V 9
operaciones
Gestionar las
peticiones y los
DSS02 V P V V P S S V V V V V S 7
incidentes del
servicio
Gestionar los
DSS03 V P V V P S S V P V S V S 10
problemas
Entrega, dar
Servicio y
Soporte Gestionar la
DSS04 V P V V P S S V V V V V S 7
continuidad
Gestionar los
DSS05 servicios de V P V V S S S P V V S V S 9
seguridad
Gestionar los
controles de los
DSS06 V P V V P S S V V S V V S 8
procesos de
negocio
Supervisar,
evaluar y valorar
MEA01 V P V V P S S V V S P V V 9
rendimiento y
conformidad
Supervisar,
evaluar y valorar
Supervisión, MEA02 V P V S S S S V V S P V V 9
el sistema de
Evaluación y
control Interno
Verificación
Supervisar,
evaluar y valorar
la conformidad
MEA03 V P V S S S S V V S V V V 7
con los
requerimientos
externos
En la tabla 6 se puede observar el resultado de los procesos identificados; en base al
puntaje obtenido de la tabla anterior se expone los 16 procesos más importantes, de los cuales
se han elegido dos procesos con mayor calificación de Gobierno de TI Empresarial y dos
procesos para la Gestión de la TI Empresarial.
Tabla 7 Procesos Habilitadores

Fuente: ISACA
N.º DOMINIO PROCESOS HABILITANTES O CATALIZADORES
1 APO11 Gestionar la calidad
2 APO04 Gestionar la innovación
3 APO12 Gestionar el riesgo
4 EDM03 Asegurar la optimización de riesgos
5 EDM04 Asegurar la optimización de los recursos
6 APO05 Gestionar el portafolio
7 DSS03 Gestionar los problemas
8 DSS01 Gestionar las operaciones
9 DSS05 Gestionar los servicios de seguridad
10 MEA01 Supervisar, evaluar y valorar rendimiento y conformidad
11 MEA02 Supervisar, evaluar y valorar el sistema de control Interno
12 APO01 Gestionar el marco de gestión de TI
13 APO02 Gestionar la estrategia
14 APO10 Gestionar los proveedores
15 BAI01 Gestionar los programas y proyectos
16 DSS06 Gestionar los controles de los procesos de negocio
Lo procesos habilitadores seleccionados son los siguientes:
Procesos de Gobierno de TI Empresarial
 EDM03 Asegurar la optimización de riesgos.
 EDM04 Asegurar la optimización de recursos.
Procesos para la Gestión de la TI Empresarial
11
 APO04 Gestionar la innovación.
 APO11 Gestionar la calidad.
3. Nivel de Capacidad de cada proceso.
PROCESOS DE GOBIERNO DE TI EMPRESARIAL: EVALUAR, ORIENTAR Y
SUPERVISAR
EDM03 ASEGURAR LA OPTIMIZACIÓN DEL RIESGO
1. Nombre del proceso: EDM03 Asegurar la optimización del riesgo
2. Descripción: Asegurar que la tolerancia al riesgo de la empresa es entendido,
articulado y comunicado y que el riesgo para el valor de la empresa relacionado con el
uso de las TI es identificado y gestionado.
3. Objetivo: Asegurar que la tolerancia al riesgo de la empresa es entendido, articulado
y comunicado y que el riesgo para el valor de la empresa relacionado con el uso de las
TI es identificado y gestionado.
4. Diagrama de Flujo
Ilustración 1 Diagrama de flujo EDM03

Fuente: Novacero
5. Descripción del proceso
Tabla 8 Descripción del proceso EDM03

Fuente: ISACA
Evaluar la gestión de Riesgos Examinar y evaluar continuamente el

Propósito
efecto del riesgo sobre el uso actual y futuro de las TI en la empresa.
E Entradas Factores y problemas de riesgos emergentes
Contratación e implementación actualizada equipos
informáticos
Distribución de servicios
T Tareas Asesoramiento
Control informático
Asignación de equipos a departamentos de la empresa
Canalizar recursos TI para actualizar equipos
Guías de apetito de riesgo

V Validaciones
Niveles de tolerancia de riesgo aprobados
X Salidas Evaluación de las actividades de gestión de riesgo
6. Matriz RACI
Tabla 9 Matriz RACI EMD03

Fuente: ISACA
Roles
Gerencia Jefatura Seguridad Administración Gerencia
General Sistemas Informática de sistemas Financiera
Contratación e implementación
R C I I I
actualizada equipos informáticos
Distribución de servicios R C I I I
Asesoramiento R I C I
Control informático I A R C I
Asignación de equipos a
I A C R I
departamentos de la empresa
Canalizar recursos TI para
A C I I R
actualizar equipos
7. Medición de la capacidad del proceso.

Tabla 10 Medición de la capacidad del proceso EDM03
Fuente: ISACA
Área: Gestión
EDM 03 Asegurar la Optimización del Riesgo
Dominio: Alinear, Planificar y Organizar
Descripción del proceso
Asegurar que el apetito y la tolerancia al riesgo de la empresa son entendidos, articulados y comunicados y que el riesgo para el valor de la empresa relacionado con el uso de las TI es
identificado y gestionado
Declaración del propósito del proceso
Asegurar que los riesgos relacionados con TI de la red no exceden ni el apetito ni la tolerancia del riesgo y que el impacto de los riesgos de TI en la realización de beneficios se identifica y
se gestiona a la vez que el potencial fallo en el cumplimiento se reduce al mínimo.
El proceso apoya la consecución de un conjunto de principales metas de TI:
Cálculo de
Metas TI Métricas relacionadas Fórmula métricas Total
1. Porcentaje de servicios Número de servicios con evaluación del riesgo 25
relacionados con TI que *100 *100 63%
04 riesgos de Número de evaluación riesgo de TI
tienen evaluación del riesgo. 40
negocio
2. Número de incidentes
relacionados con Número de incidentes de TI identificados en la evaluación 12
significativos relacionados
las TI gestionados. *100 *100 30%
con TI que no fueron
Número de evaluación riesgo de TI
identificados en la evaluación. 40
3. Frecuencia de la
Número de actualizaciones del perfil del riesgo
actualización del perfil de *100 10 *100 33%
riesgo Número de evaluación riesgo de TI 30
1. Número de incidentes de incidentes de seguridad causantes de pérdidas financieras 50
seguridad causantes de
06 transparencia e pérdidas financieras, *100 *100 63%
interrupción de los servicios o Número total de incidentes de pérdidas financieras
los costes,
beneficios y riesgos vergüenza pública. 80
de las TI. 2. Tiempo de concesión, Número de cambio y eliminación de privilegios de acceso 28
cambio y eliminación de *100 *100 97%
privilegios de acceso. Número total de incidentes de pérdidas financieras 29
10 seguridad de Número de concesión, cambio y eliminación de privilegios de
10
información, 1. Tiempo de concesión, acceso.
infraestructura de cambio y eliminación de *100 *100 34%
procesamiento y privilegios de acceso Número total de cambios de privilegios.
aplicaciones. 29
14
15 cumplimiento de Número incidentes relacionados con el incumplimiento de políticas. 12
1. Número de incidentes
las políticas
relacionados con el *100 *100 41%
internas por parte Número total de cambios de privilegios.
incumplimiento de políticas
de las TI. 29
Objetivos y Métricas de Procesos

Cálculo de
Metas de proceso Métricas relacionadas Fórmula métricas Total
1. Los umbrales de 1. Número de incidentes de TI Número incidentes de TI que fueron identificados en la evaluación del riesgo 320
riesgo son definidos que fueron identificados en la *100 *100 12%
y evaluación del riesgo
comunicados y los Número total de incidentes de TI
2600
riesgos clave
relacionados 2. Frecuencia de la 3
con las TI son Número de actualización del perfil de riesgo.
actualización del perfil de *100 *100 8%
conocidos. riesgo.
Número total de incidentes de TI 40
2. La red gestiona
Número de servicios TI que tienen evaluación del riesgo 23
el riesgo critico
1. Porcentaje de servicios TI
empresarial
que tienen evaluación del *100 *100 58%
relacionado con las
riesgo.
TI eficaz y
eficientemente. Número total de evaluación riesgo 40
1. Número de incidentes de TI Número incidentes de TI que no fueron identificados en la evaluación
3. Los riesgos 14
que no fueron identificados en del riesgo
relacionados con *100 *100 82%
la evaluación
las TI no exceden del riesgo Número de incidencias del departamento de TI 17
el apetito de riesgo
y el impacto del
riesgo TI 2. Frecuencia de la Número actualización del perfil de riesgo 13
es identificado y actualización del perfil de *100 *100 76%
gestionado. riesgo
Número de incidencias del departamento de TI 17
8. Ponderación nivel de capacidad
Tabla 11 Ponderación Nivel de capacidad EMD03
Fuente: ISACA
Metas TI Total
04 riesgos de negocio relacionados con las TI gestionados. 75%
06 transparencia e los costes, beneficios y riesgos de las TI. 65%
10 seguridad de información, infraestructura de procesamiento

70%
y aplicaciones.
11 optimización de activos, recursos y capacidades de las TI 70%
15 cumplimiento de las políticas internas por parte de las TI. 41%
Total, metas de TI 64%
Metas de proceso Total
1. Los umbrales de riesgo son definidos y comunicados y los riesgos

10%
clave relacionados con las TI son conocidos.
2. La red gestiona el riesgo critico empresarial relacionado con las TI

58%
eficaz y eficientemente.
3. Los riesgos relacionados con las TI no exceden el apetito de riesgo

79%
y el impacto del riesgo TI es identificado y gestionado.
Total, metas del proceso 49%

Promedio total 56,54%
16
9. Matriz PAM
Tabla 12 Matriz PAM EMD03

Fuente: ISACA
PA 2.2
Gestión PA 3.1 PA 3.2 PA 4.1 PA 4.2 PA 5.1

PA 1.1 PA 2.1 PA 5.2
del Definición Despliegue Medición Control Innovación
Rendimiento Gestión de Optimización
Proceso y
producto del del del del del
0 (Incompleto)
del proceso. rendimiento. del proceso
Descripción
de proceso. proceso. proceso. proceso. proceso.
trabajo
1 (Ejecutado) 2 (Gestionado) 3 (Establecido) 4 (Predecible) 5 (Optimizado)
EDM03 Asegurar la
optimización de
riesgos. 56,54%
Porcentaje Nivel de capacidad
0% 0
1% al 20% 1
21% al 40% 2
41% al 60% 3
61% al 80% 4
81% al 100 5
10. Acorde con el Nivel de Capacidad en el que se encuentren los procesos del punto
anterior desarrolle un Plan que le permita a la organización cumplir los
atributos para alcanzar el Nivel de Capacidad siguiente.
 Justificación
Se determina que el proceso está entre el 41% y el 60% en este caso con un 56,54 % con
lo que podemos determinar que:

 Debido a que no existe una política que determine que exista un grupo dedicado a que
ayude a detectar los riesgos, esto pone en peligro los recursos de la empresa Novacero
S.A
 Determinar cómo están los recursos de TI a la fecha de la auditoria
 No hacer inversiones innecesarias en tecnología, que no ayuden en la consecución de
minimizar los riesgos.
 Recomendaciones
 Se debería crear un grupo para analizar los riesgos TI de Novacero S.A, los riesgos a
los cuales se está expuestos verificando que sea el mínimo posible.
 Debe existir un plan de contingencia que cubra a todos los niveles de la organización
EDM04 ASEGURAR LA OPTIMIZACIÓN DE RECURSOS
1. Nombre del proceso: EDM04 Asegurar la optimización de Recursos
2. Descripción alto nivel de proceso
Asegurar que las adecuadas y suficientes capacidades relacionadas con las TI (personas,
procesos y tecnologías) están disponibles para soportar eficazmente los objetivos de la
empresa a un coste óptimo.
3. Objetivos
 Ofrecer garantías sobre el proceso EDM04 asegurar optimización de recursos.
 Garantizar que las necesidades de recursos de la empresa se cumplan de forma
óptima.
 Evaluar si los costos de TI están optimizados.
 Definir beneficios y la preparación para el cambio futuro.
4. Alcance
Con este proceso de auditoria NOVACERO pretende asegurar que las adecuadas y
suficientes capacidades relacionadas con las TI (personas, procesos y tecnologías) están
disponibles para soportar eficazmente los objetivos de la empresa a un coste óptimo.
5. Participante
 Director de sistemas.
 Analista de Infraestructura.
 Asistente de sistemas.
PROCESO EDM04 ASEGURAR LA OPTIMIZACIÓN DE RECURSOS
EVALUAR ORIENTAR SUPERVISAR
Inicio
Director de Sistemas
Examinar opciones
para proporcionar
recursos TI
Supervisar el
Requerimiento en rendimiento de los
espera Fin
recursos frente a
los objetivos.
Existe No
Alinear la gestión de
recursos? Asignar
recursos con la
responsabilidades
planificación de RRHH y
para la ejecución
financiera de la empresa.
Si
Supervisar las estrategias de

Analista de Infraestructura
Definir los principios de la

aprovisionamiento TI y arquitectura
asignación y gestión de
de la empresa y los recursos y
recursos y capacidades
capacidades
Establecer los
Revisar y aprobar las principios para la
estrategias del plan de protección de Supervisar la asignación y
recursos y la arquitectura recursos optimización de recursos de acuerdo
empresarial con las prioridades dela empresa.
Asistente de
Comunicar e
Sistemas
Definir los Definir los

impulsar la
principios para la objetivos y
adopción de
gestión métricas claves
estrategias
Ilustración 2 Flujograma proceso EDM04

Fuente: Novacero
7. Descripción del Proceso
Tabla 13 Descripción del proceso EDM04

Fuente: ISACA
Propósito Se asegura que los recursos en personas, procesos y tecnologías sean suficientes,
competentes y óptimas para la agilización del proceso.
E Entradas Análisis de las características de los recursos.
T Tareas 1.Definir principios y capacidades para la asignación y gestión de los recursos.
2.Revisar y aprobar estrategias del plan de recursos.
3.Definir principios para la gestión.
4.Comunicar y adoptar estrategias.
5.Asignar responsabilidades para la gestión.
6.Definir objetivos y métricas claves.
7.Alinear la gestión de recursos con la planificación del departamento de Recursos
Humanos y el departamento Financiero.
8.Establecer seguridades para la protección de los recursos.
9.Supervisar la optimización en la asignación de recursos de acuerdo con las
necesidades de la empresa
10. Supervisar las estrategias de aprovisionamiento de TI de las capacidades de los
recursos.
V Validación Supervisar el rendimiento de los recursos frente a los objetivos.
S Salidas Resultados de la planificación del aprovechamiento y optimización de los recursos.

8. Matriz RACI
Tabla 14 matriz RACI EDM04

Fuente: ISACA
ROLES
Director de Analista de Asistente de
Sistemas Infraestructura Sistemas
1.Definir principios y capacidades para la asignación y A R I
gestión de los recursos.
2.Revisar y aprobar estrategias del plan de recursos. C A, R
3.Definir principios para la gestión. I A, R
4.Comunicar y adoptar estrategias. I A
5.Asignar responsabilidades para la gestión. A R, A C
6.Definir objetivos y métricas claves. C I A, R
7.Alinear la gestión de recursos con la planificación del A C, R I
departamento de Recursos Humanos y el departamento
Financiero.
8.Establecer seguridades para la protección de los C A, R I
recursos.
9.Supervisar la optimización en la asignación de recursos A, R, C I
de acuerdo con las necesidades de la empresa
10. Supervisar las estrategias de aprovisionamiento de TI I A, R I
de las capacidades de los recursos.

Tabla 15 Medición de la capacidad EMD04
Fuente: ISACA
EDM04 Asegurar la Optimización de Recursos Área: Gobierno
Dominio: Evaluar, Orientar y Supervisar
Asegurar que las adecuadas y suficientes capacidades relacionadas con las TI (personas, procesos y tecnologías) están disponibles para soportar eficazmente los objetivos de la empresa a
un coste óptimo.
Asegurar que las necesidades de recursos de la empresa son cubiertas de un modo óptimo, que el coste TI es optimizado y que con ello se incrementa la probabilidad de la obtención de
beneficios y la preparación para cambios futuros.
El proceso apoya la consecución de un conjunto de principales metas TI:
Metas TI Métricas relacionadas Fórmula Cálculo de métricas Total
09 Agilidad de las TI Nivel de satisfacción de los ejecutivos Número de nuevos requerimientos entregados en *100 75 *100 47%
de la empresa con la capacidad de forma oportuna y satisfactoriamente en el año
respuesta de TI a nuevos
requerimientos Número de nuevos requerimientos entregados en el 160
año
Número de procesos de negocio Número de actualizaciones óptimas en las aplicaciones *100 15 *100 25%
críticos soportados por infraestructuras de software en el último año
y aplicaciones actualizadas Numero de aplicaciones de software 60
11 Optimización de los Frecuencia de evaluaciones de la Número de evaluaciones realizadas a la madurez de *100 2 *100 50%
activos, recursos y madurez de la capacidad y de la capacidad y optimización de costes
capacidades de las TI optimización de costes
Número de evaluaciones a la madurez de la capacidad 4
propuestas en el año
Niveles de satisfacción de los Número de requerimientos satisfechos relacionados *100 45 *100 38%
ejecutivos de negocio y TI con los con los costes y capacidades de TI
costes y capacidades TI Número de requerimientos relacionados con los costes 120
y capacidades de TI
16 Personal del Porcentaje del personal cuyas Número de pruebas aplicadas para la determinación *100 1 *100 25%
negocio y de las TI habilidades TI son suficientes para las del desempeño realizadas en el área de TI en el último
año
22
competente y competencias requeridas para su Número de pruebas planificadas para la determinación 4
motivado función del desempeño realizados en el área de TI en el último
año
Porcentaje del personal satisfecho con Número de trabajadores satisfechos con sus funciones *100 8 *100 44%
su función TI en el área de TI
Número de trabajadores del área de TI 18

Metas de proceso Métricas relacionadas Fórmula Cálculo de métricas Total
1. Las necesidades de Nivel de realimentación de las partes Número de reuniones realizadas para realimentación *100 4 *100 33%
recursos de la empresa interesadas sobre la optimización de los de la optimización de recursos
son cubiertos con recursos
capacidades óptimas Número de reuniones planificadas para realimentación 12
de optimización de recursos
Serie de beneficios (p.ej., ahorro de Número de beneficios logrados por la optimización de *100 6 *100 60%
costes) que se logran a través de la recursos
utilización óptima de los recursos Número de beneficios por la optimización de recursos 10
2. Los recursos se Porcentaje de proyectos con asignación Número de proyectos que se han asignado los recursos *100 5 *100 42%
asignan para satisfacer de recursos adecuados de manera adecuada y dentro del presupuesto
mejor las prioridades
de la empresa dentro Número de proyectos ejecutados en el año 12
del presupuesto y
restricciones.
3. El uso óptimo de los Porcentaje de reutilización de Número de componentes de la arquitectura reutilizados *100 54 *100 20%
recursos se logra a lo componentes de la arquitectura
largo de su completo Número de componentes de la arquitectura 272
ciclo de vida
económico.
Número de metas de rendimiento de la Número de metas cumplidas del rendimiento de la *100 6 *100 60%
gestión de recursos alcanzadas gestión de recursos
Número de metas de rendimiento de la gestión de 10
recursos
Tabla 16 Ponderación Nivel de Capacidad EDM04
Fuente: ISACA
Metas TI Total
09 Agilidad de las TI 36%
11 Optimización de los activos, recursos y capacidades de las TI 44%
16 Personal del negocio y de las TI competente y motivado 35%
TOTAL METAS TI 38%
Objetivos y métricas del proceso
Metas de proceso TOTAL

1. Las necesidades de recursos de la empresa son cubiertos con capacidades
47%
óptimas
2. Los recursos se asignan para satisfacer mejor las prioridades de la empresa
42%
dentro del presupuesto y restricciones.
3. El uso óptimo de los recursos se logra a lo largo de su completo ciclo de
40%
vida económico.
TOTAL METAS DE PROCESO 43%
PROMEDIO TOTAL 40%
11. Matriz PAM
Tabla 17 Matriz PAM EDM04

Fuente: ISACA
PA 2.2
Gestión PA 3.1 PA 3.2 PA 4.1 PA 4.2

PA 1.1 PA 2.1 PA 5.1 PA 5.2
0 del Definición Despliegue Medición Control
Rendimiento Gestión de Innovación Optimización
Proceso y (Incompleto) producto del del del del
del proceso. rendimiento. del proceso. del proceso
Descripción de proceso. proceso. proceso. proceso.
trabajo
1
2 (Gestionado) 3 (Establecido) 4 (Predecible) 5 (Optimizado)
(Ejecutado)
APO04 Gestionar
la innovación 40%
24
0% 0
1% al 20% 1
21% al 40% 2
41% al 60% 3
61% al 80% 4
81% al 100 5
atributos para alcanzar el Nivel de Capacidad siguiente
 Justificación de la capacidad del proceso
De acuerdo con la auditoría al proceso de Gobierno de TI, EDM04 Asegurar la
optimización de Recursos de la empresa Novacero S.A., se puede observar que se encuentra
en el nivel de capacidad 2 “Gestionado”, es un proceso que se encuentra ampliamente
definido y ejecutado, se gestiona mediante la identificación de los objetivos para el
rendimiento óptimo del proceso.
Al medir el nivel de capacidad se ha determinado un porcentaje del 40%, ya que se
encuentra con metas de bajo rendimiento, según los indicadores y su respectiva calificación
se evidencia porcentajes bajos con el 25% en la meta agilidad en las TI, por la falta de control
en las aplicaciones y actualizaciones del software y en la meta que se refiere al personal
motivado. En cuanto a las metas del proceso se evidencia el porcentaje más bajo el uso
óptimo de los recursos, debido a que Novacero ha adquirido nuevos equipos por lo que ha
descartado los equipos antiguos y su reutilización.

 Recomendaciones
Para que el proceso gestionado pueda pasar al siguiente nivel de capacidad establecido se
necesita implementar un plan de acción.
Para mejorar el proceso y cumpla con los atributos siguientes de la definición y la
implementación del proceso se recomienda lo siguiente:
Identificar los procesos comunes que soporten la ejecución del proceso gestionado para
documentarlo y realizar guías de trabajo a medida que proporcione información del proceso
ejecutado de forma tal que se pueda entender su funcionamiento.
Establecer el entendimiento y la conducta del proceso de manera continua en base al
análisis de la información recogida y evaluarlo de forma periódica.
Identificar y documentar los roles, responsabilidades y competencias de todos los
recursos requeridos y requerimiento de infraestructura necesarios para la implementación del
proceso.
Prever, destinar y utilizar los recursos y la infraestructura adecuada definidos para
soportar la ejecución del proceso.

PROCESOS PARA LA GESTIÓN DE TI EMPRESARIAL: ALINEAR, PLANIFICAR
Y ORGANIZAR
APO04 GESTIONAR LA INNOVACIÓN
1. Nombre del proceso: APO04 Gestionar la Innovación
Mantener un conocimiento de la tecnología de la información y las tendencias de servicios
relacionados, identificar oportunidades de innovación y planificar cómo beneficiarse de la
innovación en relación con las necesidades comerciales.
En la empresa NOVACERO existe un enfoque sobre la gestión de la innovación. La empresa
ha logrado crear un valor en avances e innovaciones tecnológicas más apropiadas con
respecto a métodos y soluciones TI utilizados.
2. Objetivo
Lograr una ventaja competitiva, eficiencia en la innovación empresarial, eficacia
operativa mejorada mediante la explotación del desarrollo tecnológico de la información.
3. Participantes
 Equipo de proyectos TI.
 Unidad de calidad.
 Unidad de soporte.
4. Diagrama de flujo
Se determina las actividades del flujo del proceso con las actividades y las tareas del
personal.
Ilustración 3 Flujograma APO04

Fuente: ISACA
5. Descripción del proceso
Tabla 18 Descripción del proceso APO04

Fuente: ISACA
Propósito Ventaja competitiva empresarial mediante la explotación de

desarrollos tecnológicos.
E Entradas Área tecnológica para desarrollar.
T Tareas 1. Presentación del proyecto.
2. Evaluación del proyecto.
3. Presentación y alcance de las limitaciones de la tecnología.
4. Evaluar las tecnologías de información.
5. Evaluar prueba de concepto.
6. Documentar el resultado y guías analizadas.
7. Elegir la propuesta a implementar.
V Validaciones Los desarrollos tecnológicos deben ser analizados, revisados y
aprobados por el equipo de proyectos TI, unidad de calidad y unidad
de evaluación.
X Salidas Innovación de las tecnologías de información de la empresa.
6. Matriz RACI
Tabla 19 Matriz RACI APO04
Fuente: ISACA
ROLES
Equipo de Unidad de Unidad de
proyectos TI Calidad evaluación
1. Presentación del proyecto. R A
2. Evaluación del proyecto. R A, I
3. Presentación y alcance de las limitaciones de R A, I
la tecnología.
4. Evaluar las tecnologías de información. I R, A, I C
5. Evaluar prueba de concepto. I R, A C
6. Documentar el resultado y guías analizadas. I R
7. Elegir la propuesta a implementar. C R, I
Tabla 20 Medición del proceso APO04
Fuente: ISACA
Área: Gestión
APO 04 GESTIONAR LA INNOVACIÓN Alinear, Planificar y
Dominio: Organizar
Mantener un conocimiento de la tecnología de la información y las tendencias relacionadas con el servicio, identificar las oportunidades de innovación y planificar la manera de beneficiarse de la
innovación en relación con las necesidades del negocio. Analizar cuáles son las oportunidades para la innovación empresarial o qué mejora puede crearse con las nuevas tecnologías, servicios o
innovaciones empresariales facilitadas por TI, así como a través de las tecnologías ya existentes y por la innovación en procesos empresariales y de TI. Influir en la planificación estratégica y en las
decisiones de la arquitectura de empresa.
Lograr ventaja competitiva, innovación empresarial y eficacia y eficiencia operativa mejorada mediante la explotación de los desarrollos tecnológicos para la explotación de la información.
El proceso apoyo a la obtención de un conjunto de objetivos relacionados con las TI:
Cálculo de
Metas TI Métricas relacionadas Fórmula métricas Total
05 Realización de Porcentaje de servicios TI en los que se Número de servicios de innovación con beneficios esperados 23
*100 *100 77%
beneficios del realizan los beneficios esperados. Número de servicios innovación de TI 30
portafolio de Número de servicios de innovación con demandas alcanzadas 18
Porcentaje de las inversiones en TI
inversiones y
donde los beneficios demandados son *100 *100 60%
servicios Número de servicios de innovación TI
alcanzados o excedidos.
relacionados con TI 30
Nivel de comprensión de los usuarios Número de usuarios que saben cómo las soluciones soportan los procesos 70
08 Uso adecuado de de negocio sobre cómo las soluciones *100 *100 88%
aplicaciones, Número de usuarios que utilizan las soluciones tecnológicas
tecnológicas soportan sus procesos. 80
información y
Nivel de satisfacción de los usuarios de Número de requerimientos solicitados y resueltos satisfactoriamente en el último año 28
soluciones
negocio con la formación y manuales *100 *100 65%
tecnológicas
de usuario. Número de requerimientos realizados en el último año 43
Nivel de satisfacción de los ejecutivos Número de requerimientos solicitados con capacidad de respuesta en el último año 30
de la empresa con la capacidad de
09 Agilidad de las TI *100 *100 70%
respuesta de TI a nuevos Número de requerimientos realizados en el último año
requerimientos 43
11 Optimización de Niveles de satisfacción de los Número de requerimiento que se ajustan al presupuesto y capacidad de TI. 30
activos, recursos y ejecutivos de negocio y TI con los *100 *100 70%
capacidades de las TI costes y capacidades TI Número de requerimientos realizados en el último año 43
30
Nivel de concienciación y comprensión Número de innovaciones promovidas por el ejecutivo 5
de las posibilidades de innovación de *100 *100 17%
TI del negocio ejecutivo Número de proyectos de innovación ejecutados. 30
17 Conocimiento,
experiencia e Nivel de satisfacción de las partes Número de soluciones que cumplen con el nivel de satisfacción de las partes interesadas 23
iniciativas para la interesadas con los niveles de *100 *100 77%
innovación de experiencia e ideas de la innovación TI Número de soluciones innovadoras de TI 30
negocio Número de ideas innovadoras de TI aprobadas 30
Número de iniciativas aprobadas
*100 *100 12%
resultantes de ideas innovadoras de TI Número de ideas innovadoras de TI 245
Cálculo de
Metas de proceso Métricas relacionadas Fórmula métricas Total
1. El valor de Número de clientes nuevos 320
empresa es creado Penetración en el mercado o
*100 *100 12%
mediante la competitividad debido a la innovación Número de clientes en el último año 2600
cualificación y puesta
en escena de los 3
avances e
Número de innovaciones de TI con realimentación
innovaciones Percepciones de las partes interesadas y
tecnológicas más realimentación sobre la innovación en *100 *100 10%
apropiadas, los TI
métodos y las
soluciones TI
utilizadas Número de innovaciones de TI 30
2. Los objetivos de la Porcentaje de las iniciativas Número de servicios con beneficios esperados 23
empresa se cumplen implementadas que dieron los *100 *100 77%
por la mejora de los beneficios previstos Número de innovaciones tecnológicas implementadas 30
beneficios de la 7
calidad y/o la Número de objetivos que se cumplieron en la aplicación de innovaciones
reducción de costes
Porcentaje de las iniciativas
como resultado de la
implementadas con un vínculo claro a *100 *100 78%
identificación e Número de objetivos empresariales
los objetivos de la empresa
implementación de
soluciones
innovadoras. 9
3. La innovación se Número de metas cumplidas por el personal de TI 14
Introducción de objetivos de
permite y se
innovación o relacionados con
promueve y forma *100 *100 82%
tecnologías emergentes en las metas de
parte de la cultura de
rendimiento para personal relevante
la empresa. Número de metas del departamento de TI 17
Tabla 21 Ponderación del proceso APO04
Fuente: ISACA
Metas TI Total
05 Realización de beneficios del portafolio de inversiones y servicios relacionados con TI 68%
08 Uso adecuado de aplicaciones, información y soluciones tecnológicas 76%
09 Agilidad de las TI 70%
11 Optimización de activos, recursos y capacidades de las TI 70%
17 Conocimiento, experiencia e iniciativas para la innovación de negocio 35%
Total, metas de TI 64%
1. El valor de empresa es creado mediante la cualificación y puesta en escena de los
avances e innovaciones tecnológicas más apropiadas, los métodos y las soluciones TI 11%
utilizadas
2. Los objetivos de la empresa se cumplen por la mejora de los beneficios de la calidad
y/o la reducción de costes como resultado de la identificación e implementación de 77%
soluciones innovadoras.
3. La innovación se permite y se promueve y forma parte de la cultura de la empresa. 82%
Total, metas del proceso 57%
Promedio total 60.39%
32
2. Matriz PAM
Tabla 22 Matriz PAM APO04
Fuente: ISACA
PA 2.2
Gestión PA 3.1 PA 4.1 PA 4.2

PA 1.1 PA 2.1 PA 3.2 PA 5.1 PA 5.2
0 del Definición Medición Control
Rendimiento Gestión de Despliegue Innovación Optimización
Proceso y
(Incompleto) producto del del del
del proceso. rendimiento. del proceso. del proceso. del proceso
Descripción
de proceso. proceso. proceso.
trabajo
APO04 Gestionar
la innovación 60.39%
0% 0
1% al 20% 1
21% al 40% 2
41% al 60% 3
61% al 80% 4
81% al 100 5
 Justificación de la capacidad del proceso
Al medir la capacidad del proceso APO04 en NOVACERO se obtuvo el 64.39%,
ubicándolo en el nivel 3 proceso establecido, lo que significa que el proceso se encuentra

definido para la empresa y es utilizado adecuadamente, en la evaluación del proceso se puede
evidenciar que los atributos de definición y despliegue se han alcanzado ampliamente.
Novacero a mantenido un conocimiento de la tecnología de la información y las
tendencias relacionadas con el servicio, fruto de ello en el año 2020 se implementó un nuevo
ERP después de 20 años, siendo este un avance importante de innovación tecnológica, así
mismo se pudo evidenciar que actualmente la empresa ha optado por adquirid servidores en
la nube, claramente el proceso APO04 ha permitido a la empresa identificar las oportunidades
de innovación y a través de ello planificar la manera de beneficiarse de la innovación en
relación con las necesidades de la empresa.
Otro aspecto que es importante dentro del nivel de capacidad del proceso es que la
empresa mejorar o crea nuevas tecnologías a través de la planificación estratégica y en las
decisiones de la arquitectura o composición de la empresa.
Con lo mencionado anteriormente se puede evidenciar que la empresa cuenta con un
enfoque reactivo de gestión de la innovación, dando valor a la empresa en avances e
innovaciones tecnológicas más apropiadas, utilizando métodos y soluciones de TI de forma
adecuada.
 Recomendaciones
Recomendamos establecer políticas que involucren a la innovación para que no solo se
consiga cumplir con la visión y misión de NOVACERO, es importante transformar no solo la
imagen, parte del crecimiento de multinacionales se debe a la innovación.
El conseguir establecer un nicho importante en el mercado local es la realización de las
metas de la empresa, sin embargo, el mantenerse o incrementar su aceptación y
productividad, dependerá de la adaptación a cambios de factores internos como externos, por

lo que recomendamos incorporar a sus procesos actividades relacionadas con innovación para
mejorar sus indicadores y promover mejoras en sus servicios.
2. Nombre del proceso: APO11 Gestionar la calidad
A través de este proceso se define y comunica los requisitos de calidad en todos los
procesos, procedimientos y resultados relacionados con la organización, incluyendo
controles, vigilancia constante y el uso de prácticas probadas y estándares de mejora continua
y esfuerzos de eficiencia.
NOVACERO posee una metodología de calidad, cuenta con un ciclo de vida de
desarrollo de los sistemas, seguridad en la calidad en proyectos de TI. La alta dirección y el
equipo de TI reconocen que un programa de calidad es necesario. La calidad de los proyectos
y operaciones se revisan periódicamente.
1. Objetivos
Cumplir con las obligaciones de calidad de los servicios, calidad en los clientes y
mantener una mejora continua.
2. Alcance
El presente proceso aplica para gestionar la calidad de soluciones y servicios la empresa
NOVACERO.
3. Participantes
 Director de Sistemas
 Asistente de Sistemas
 Consultores
 Jefe de Desarrollo
Ilustración 4 Diagrama de flujo AP011

Fuente: Novacero
5. Descripción del Proceso
Tabla 23 Descripción del proceso APO11

Fuente: ISACA
Se asegura que todas las entregas y despliegues de los servicios de la empresa cumplan con
Propósito
calidad, para que los usuarios e interesados queden satisfechos con los resultados.
E Entradas Ingreso del servicio.
Revisiones de calidad aprobadas
Requisitos de calidad del negocio y los clientes
Ingreso de documentación.
T Tareas 1. Verificar documentación completa y aprobada
2. Asignar equipo de pruebas.
3. Definir alcance y riesgos
4. Identificar los objetivos de las pruebas.
5. Integrar la gestión de la calidad en la implementación de soluciones y la entrega de servicios.
6. Implementar los métodos de prueba, la estrategia y planificación del tiempo.
7. Conseguir herramientas, recursos, personal, ambientes de prueba y presupuesto de prueba.
8. Revisión de la base de pruebas.
9. Evaluar la estabilidad de la base de prueba y objetos de prueba.
10. Establecer y priorizar condiciones de prueba.
11. Crear y priorizar casos de prueba.
12. Identificar los datos de prueba.
13. Gestionar la aplicación de objetos en la base de pruebas.
14. Registrar en la herramienta los requerimientos.
15. Registrar, priorizar, implementar y ejecutar los casos de prueba.
16. Comparar resultados reales con resultaos esperados.
17. Registro y reporte de defectos encontrados.
18. Asignación de defectos.
19. Repetición de actividades de prueba que confirme la corrección de defectos.
20. Convocar pruebas con usuarios.

21. Comprobar los registros de prueba con los criterios de salida.
22. Cerrar informes de defectos, o gestionar el ingreso de solicitudes de cambio para los que
siguen abiertos.
23. Registrar la aceptación del sistema
V Validación Supervisar y revisar regularmente que el sistema de gestión de calidad está de acuerdo con los
criterios de aceptación de la calidad.
X Salidas Resultados de las revisiones de la eficacia del SGC.
Estándares de gestión de calidad.
Requisitos de los clientes para la gestión de calidad.
Revisión de los resultados de la calidad de los servicios.
Resultados de revisiones y auditorias de calidad.
Resultados de la supervisión de la calidad de los servicios y las soluciones entregadas.
Causas raíz de los fallos en la calidad de la entrega.
Comunicación sobre las mejorar prácticas y la mejora continua
Resultados de revisiones de análisis comparativos de la calidad.
6. Matriz RACI
Tabla 24 Matriz RACI APO04

Fuente: ISACA
ROLES
Directos de Asistente de Jefe de
Sistemas sistemas Consultor desarrollo
Ingreso del servicio R I
Verificar documentación completa y aprobada C, A A, I C, R I
Asignar equipo de pruebas. C, A I C, R I
Definir alcance y riesgos C, A I C, R I
Identificar los objetivos de las pruebas. C, A I C, R I

Integrar la gestión de la calidad en la
implementación de soluciones y la entrega de
servicios. C, A I C, R I
Implementar los métodos de prueba, la
estrategia y planificación del tiempo. C, A I C, R I
Conseguir herramientas, recursos, personal,
ambientes de prueba y presupuesto de prueba. C, A I C, R, I I
Revisión de la base de pruebas. C, A A, C, R, I

Evaluar la estabilidad de la base de prueba y
objetos de prueba. C, A C, R, I
Establecer y priorizar condiciones de prueba. C, A C, R, I
Crear y priorizar casos de prueba. C, A I C, R, I
Identificar los datos de prueba. C, A I C, R, I

Gestionar la aplicación de objetos en la base de
pruebas. C, A I C, R, I
Registrar en la herramienta los requerimientos. C, A I C, R, I

Registrar, priorizar, implementar y ejecutar los
casos de prueba. C, A I C, R, I
Comparar resultados reales con resultaos
esperados. C, A I C, R, I
Registro y reporte de defectos encontrados. C, A I C, R, I
Asignación de defectos. C, A I C, R, I
Repetición de actividades de prueba que
confirme la corrección de defectos. C, A I C, R, I
Convocar pruebas con usuarios. C, A C, R, I

Comprobar los registros de prueba con los
criterios de salida. C, A C, R, I
Cerrar informes de defectos, o gestionar el
ingreso de solicitudes de cambio para los que
siguen abiertos. C, A C, R, I
Registrar la aceptación del sistema C, R, A

7. Medición Capacidad del proceso.
Tabla 25 Medición capacidad del proceso APO11

Fuente: ISACA
Área: Gestión
APO 11 GESTIONAR LA CALIDAD
Dominio: Alinear, Planificar y Organizar
Definir y comunicar los requisitos de calidad en todos los procesos, procedimientos y resultados relacionados de la organización, incluyendo controles, vigilancia constante y el uso de
prácticas probadas y estándares de mejora continua y esfuerzos de eficiencia
Propósito del proceso
Asegurar la entrega consistente de soluciones y servicios que cumplan con los requisitos de la organización y que satisfagan las necesidades de las partes interesadas.
El proceso apoya a la consecución de un conjunto de principales metas TI:

05 Realización de
Número de controles de calidad de TI desarrollados en el
beneficios del portafolio Porcentaje de servicios TI en 4
último año
de inversiones y los que se realizan los *100 *100 67%
servicios beneficios esperados. Número de controles de calidad de TI planificados en el
6
relacionados con TI último año
Número de usuarios satisfechos con los servicios que

07. Entrega de servicios Porcentaje de usuarios 129
presta TI.
de TI de acuerdo con los satisfechos con la calidad de *100 *100 68%
requisitos del negocio. servicios de TI entregados Número de usuarios que se benefician los servicios de TI.
190
40
13. Entrega de
Número de usuarios satisfechos con la calidad de los
programas que 121
programas utilizados
proporcionen beneficios Porcentaje de partes
a tiempo, dentro del interesadas satisfechas con la
*100 *100 64%
presupuesto y calidad del
satisfaciendo los programa/proyecto. Número de usuarios que utilizan los programas de TI
requisitos y normas de
calidad. 190

1. Las partes interesadas Número de usuarios que han recibido la solución a sus
Promedio de satisfacción de 123
están satisfechas con la requerimientos
las partes interesadas con las *100 *100 65%
calidad de los servicios
soluciones y servicios Número de clientes que buscan soluciones y servicios
y las soluciones. 190
2. Los resultados de los Número de metas de gestión de calidad cumplidas por el
Porcentaje de soluciones y 5
proyectos y de los departamento de TI
servicios entregados con una *100 *100 71%
servicios entregados son
certificación formal
predecibles. Número de metas de gestión de calidad planificadas 7
3. Los requisitos de Número de procesos que cumplen requisitos de calidad

6
calidad están Número de procesos con un establecidos
*100 *100 60%
implementados en todos requisito de calidad definido
los procesos. Número de procesos del departamento de TI 10
Tabla 26 Ponderación nivel de capacidad APO11

Fuente: ISACA
Metas TI Total
05 Realización de beneficios del portafolio de inversiones y servicios
67%
relacionados con TI
07. Entrega de servicios de TI de acuerdo con los requisitos del negocio. 68%
13. Entrega de programas que proporcionen beneficios a tiempo, dentro del presupuesto y
64%
satisfaciendo los requisitos y normas de calidad.
Total metas de TI 66%

1. Las partes interesadas están satisfechas con la calidad de los servicios y las soluciones. 65%
2. Los resultados de los proyectos y de los servicios entregados son predecibles. 71%
03. Los requisitos de calidad están implementados en todos los procesos. 60%
Total metas del proceso 65%

Promedio total 65.74%
2. Matriz PAM.
Tabla 27 Matriz PAM APO11
Fuente: ISACA
PA 2.2

PA 1.1 PA 2.1 PA 3.2 PA 5.1 PA 5.2
Proceso y
Descripción
trabajo
APO11 Gestionar
la calidad 65.74%
42
0% 0
1% al 20% 1
21% al 40% 2
41% al 60% 3
61% al 80% 4
81% al 100 5
 Justificación de la capacidad del proceso.
La empresa Novacero S. A. ha cuenta con un Sistema de Gestión de Calidad que ha
proporcionado una aproximación a la eficiencia de la calidad en todos sus procesos que lleva
incluida la información y la tecnología TI.
Ha definido y gestionado estándares, procesos y prácticas de calidad que han sido claves
para orientar a la organización a alcanzar los objetivos planteados y así también dar
cumplimiento a controles y normativas a las cuales está sujeta. Ha enfocado también su
gestión de calidad en satisfacer los requerimientos de clientes internos y externos haciendo
supervisiones, controles y revisiones de la calidad en los productos y servicios que ofrece al
consumidor.
Ha integrado también la gestión de la calidad en la implementación de soluciones y la
entrega de servicios, atributos que han conseguido que se mantenga una mejora continua en
sus planes de calidad.

Se ha gestionado el rendimiento y el producto del trabajo, controlando costos y tiempos,
haciendo uso eficiente de los recursos, cumpliendo los objetivos y logrando una calidad e
integridad de los productos.
Se tiene definido e implementado el proceso de gestión de calidad, el mismo que se
encuentra publicado y disponible en la organización como parte de las mejoras prácticas de la
industria.
Este proceso según la medición de la capacidad se encuentra en el nivel cuatro ya que se
gestiona y controla para que exista una comprensión por parte de los clientes y personal de
cómo se trabaja para alcanzar los objetivos de rendimiento de este y del negocio, mostrando
ser muy capaz y estable dentro de los límites que se le ha definido.
 Recomendaciones
Para que este proceso alcance un nivel de capacidad cinco se recomienda trabajar en la
innovación del proceso, estableciendo objetivos que mejoren el proceso y que se encuentren
claramente definidos en la organización, buscando y aprovechando oportunidades de mejora.
Se recomienda también optimizar el desarrollo de actividades para alcanzar los objetivos que
ayuden a mejorar los proceso, evaluar de forma periódica la efectividad de los cambios del
proceso.
Cuando se identifiquen problemas de no conformidades del usuario se debe
comunicar oportunamente a la Dirección de TI para tomar acciones correctivas.
Se recomienda la creación de una plataforma en la que los usuarios socialicen las
mejoras de prácticas que puede adoptar la organización y puedan exponer su inconformidad
sobre defectos u errores detectados.

Buscar mecanismos de retroalimentación hacia el personal que le ayude a comprender
la necesidad de una buena gestión de la calidad y problema en los procesos.
Actividad 2
En la institución que está llevando a cabo su trabajo desarrolle una Auditoría de
Producción de TI al Proceso DSS01 Gestionar las Operaciones, recuerde cumplir las 4
fases de la Auditoría (Planeación, Ejecución, Dictamen y Seguimiento)
1. Planeación
Esta sección presenta la situación actual en relación con proyectos o servicios de gestión
de riesgos de TI en Novacero, la necesidad de la empresa está enmarcada, a ser, diferente que
las demás donde la gestión de TI es el puntal o la base para lograr sus metas.
Diseñar una propuesta estratégica que permita incrementar la competitividad de la
industria Metal Mecánica en Ecuador.
La empresa ha profundizado en el conocimiento de su producto, con lo cual ha impulsado
un plan estratégico para lograr sus objetivos
 Establecer los objetivos de la auditoria
Objetivo General
 Evaluar el impacto de la gestión de las TI en NOVACERO S.A.
Objetivos específicos
 Sistematizar información acerca de la gobernanza de las TI.
 Investigar el uso y rendimiento de las TI en la empresa NOVACERO S.A

 Evaluar el uso actual de las TI en la empresa NOVACERO S.A y su perspectiva
futura.
 Determinar el proceso a ser evaluado
 El proceso para evaluar será el DSS01 Gestionar las Operaciones.
 Programa de auditoria
Tabla 28 Programa de auditoría

Fuente: Elaboración Propia
PROGRAMA DE AUDITORIA
CLIENTE: NOVACERO S. A AUDITORIA A: 01 de febrero de 2021
HORAS HORAS HECHO
No. OPERACIÓN REF P/T FECHA
ESTIMADAS REALES POR
INTRODUCCIÓN
Comprende los recursos
tecnológicos en la gestión de C.I
las operaciones.
OBJETIVOS DE
AUDITORIA
Sistematizar información
acerca de la gobernanza de las E. G
1
TI.
Investigar el uso y
rendimiento de las TI en la E. G
2
empresa NOVACERO S. A
Evaluar el uso actual de las TI
3 en la empresa NOVACERO E. G
S.A y su perspectiva futura
PROCEDIMIENTOS DE
AUDITORÍA - ETAPA
PRELIMINAR
1 Elaborar el plan de auditoria 2 2 E. G
Aplicar el cuestionario de
2 2 3 E. G
control interno
PROCEDIMIENTOS DE
AUDITORÍA - ETAPA
INTERMEDIA
Prepare una descripción del
proceso DSS01 Gestionar las 2 C.I
1 1
Operaciones.
Elaborar el flujograma del
proceso DSS01 Gestionar las 2 C.I
2 1
Operaciones.
Elaborar la matriz RACI del
3 proceso DSS01 Gestionar las
Operaciones.
Realizar la medición de
4 capacidad del proceso DSS01 3 3 C.I
Gestionar las Operaciones.
Elaborar la Matriz PAM del
5 proceso DSS01 Gestionar las 2 2 C.I
Operaciones.
PROCEDIMIENTOS DE
AUDITORÍA - ETAPA
FINAL
Informe de todas las
observaciones, hallazgos y
1 5 C.I
recomendaciones al proceso 5
auditado.
Examinar los eventos
2 posteriores que puedan afectar 5 4 C.I
los resultados de la auditoría.
 Presupuesto
Tabla 29 Presupuesto de auditoría

Fuente: Elaboración Propia
Rubros Monto
Honorarios $ 8,000.00
Computadores $ 1,900.00
Teléfono $ 50.00
Plan de Internet $ 33.60
Plan teléfono $ 7.20
Útiles de oficina $ 30.00
Tinta de impresora $ 440.00
Viáticos $ 100.00
Copias $ 10.00
Varios $ 50.00
Total $ 10,620.80
 Cronograma.
Tabla 30 Cronograma de auditoría

Fuente: Elaboración propia
Febrero Marzo
Actividades
1 2 3 4 2 2 3 4
Solicitud de Manuales y
documentaciones
Elaboración de los
cuestionarios.
Recopilación de la
información
organizacional TI:
estructura, recursos y
presupuestos
Aplicación del
cuestionario de
auditoria al personal
Entrevistas a líderes y
usuarios más relevantes
Auditoría de Producción
de TI al Proceso DSS01
Gestionar las
Operaciones
Análisis del nivel de
capacidad del proceso.
Determinación de los
hallazgos.
Elaboración dictamen y
seguimiento a los
eventos posteriores.
 Métodos
Entrevista
Se realizó una entrevista al director de TI Ing. Diego Jijón con el objetivo de evaluar el
nivel de control interno y la aplicación de los principios de COBIT 5.0.

 Herramientas
Cuestionarios
Como punto de partida se aplicaron cuestionarios uno de control interno para medir el
nivel de riesgo de la empresa y otro para medir la capacidad del proceso DSS01 Gestionar
operaciones.
 Procedimientos
Pruebas de cumplimiento
Se valida el nivel de capacidad el proceso DSS01 Gestionar operaciones mediante los
criterios de evaluación de acuerdo con COBIT 5.0.
Pruebas sustantivas
Se aplicará un análisis del nivel de capacidad del proceso DSS01 Gestionar las
Operaciones, para lo cual se aplicarán los procedimientos de verificación para confirmar:
 La presencia de acciones y procesos.
 Correcta evaluación de actividades y procesos.
 Evaluar la infraestructura tecnológica.
 Evaluar la seguridad lógica de TI.
 Evaluar la seguridad operativa de TI.
 Visualización adecuada de toda la información de TI.
 Evaluar el control, validez, exactitud, integridad, confidencialidad y disponibilidad de
la información.
2. Ejecución
 Programa de auditoría
Tabla 31 Programa de auditoría
Fuente: ISACA
PROGRAMA DE AUDITORÍA
EMPRESA AUDITADA NOVACERO

TIPO DE AUDITORÍA Auditoría de Producción de TI.
FECHA DE ELABORACIÓN 1/2/2021
ELABORADO POR A. B
SUPERVISADO POR P.C
Lograr un balance óptimo entre las oportunidades de tecnología de
Objetivo de la Auditoría información y los requerimientos de TI de la empresa NOVACERO para
asegurar los logros futuros.
Alcance de la auditoría Evaluación del proceso DSS01 Gestionar Operaciones.
Director de Sistemas
Analista de infraestructura
Jefe de desarrollo
Personas involucradas
Analista de Seguridad Informática
Jefe de operaciones TI
Analista de Sistemas
Documentos de referencia La metodología que se utilizará será COBIT 5.0
Vanessa Barrera
Miembros del Equipos Auditor Pamela Contreras
Irina Arias
Gabriela Velasco
Edwin Guevara
Cristhian Idrovo
Marco Jácome
Silvia Farinango
 Cuestionario de control interno Análisis de Riesgos.
Tabla 32 Cuestionario de control interno

Fuente: ISACA
CUESTIONARIO DE CONTROL INTERNO
EMPRESA: NOVACERO
COMPONENTE: Proceso DSS01 Gestionar Operaciones
RESPONSABLE: Vanessa Barrera
PREGUNTA
COD PREGUNTA DEBILIDAD COMENTARIO
SI NO N/A
ALTA MEDIA BAJA
SEGURIDAD FÍSICA
¿Cuenta con infraestructura e
1 instalaciones eléctricas seguras y x 3%
confiables?
¿los equipos electrónicos se
2 x 3%
encuentran actualizados?
¿Se realizan evaluaciones
3 periódicas de la seguridad física x 3%
de las instalaciones?
¿Se controla el acceso de
4 personas ajenas al departamento x 3%
de sistemas?
¿Se ha nombrado a un
responsable del área de Sistemas
5 x 3%
para el cuidado físico de los
recursos informáticos?
¿Cuenta instrumentos contra
6 x 3% Extintores caducados.
incendios?
¿Posee cámaras de seguridad y
7 cualquier otra medida de x 3%
protección?
¿Posee guardias o alarmas de
8 x 3%
seguridad?
¿Cuenta con una póliza de
9 seguros, para desastres x 3%
naturales?
¿Posee UPS, reguladores de
10 x 3%
voltaje o supervisores pico?
SEGURIDAD LÓGICA
¿Existen medidas, controles,
11 procedimientos, normas y x 3%
estándares de seguridad?
¿Las claves de los usuarios, son
12 de conocimiento personal e x 3%
intransferible?
¿Existe licencias de software
13 base para todos los equipos de x 3%
hardware?
¿Existe un grupo especializado
14 x 3%
en el control de red?
¿Existe controles para evitar
15 modificar la configuración de x 3%
una red?
¿Existen procedimientos de
realización de copias de
16 x 3%
seguridad y de recuperación de
datos?
17 ¿Cuenta con firewalls? x 3%
¿Existen medidas a adoptar
18 cuando un soporte vaya a ser x 3%
desechado o reutilizado?
¿Existe personal autorizado a
19 x 3%
acceder a los soportes de datos?
¿Existe restricciones de acceso a
20 x 3%
páginas web?
¿Existe personal autorizado para
acceder a la información de los
21 x 3%
sistemas que tratan datos
personales?
¿Cuenta con manuales para la
22 correcta utilización de los x 3%
servicios informáticos?
¿El sistema cuenta con claves de
23 acceso para las distintas x 3%
funciones?
¿La información susceptible de
robo, pérdida o daño se
24 x 3%
encuentra protegida y
resguardada?
SEGURIDAD OPERATIVA
¿Cuenta con planes que brinden
25 apoyo a los servicios entregados 3%
por TI? x
Incumplimiento de
¿Existe una programación y
actividades planificadas a
26 seguimiento de las actividades 3%
causa de la pandemia Covid-
operativas?
x 19.
¿La respuesta a usuarios por
Falla en canales de
incidencias de los
27 3% comunicación de
procedimientos operativos son
datos.
resueltas inmediatamente? x
¿Se realizan copias de seguridad
de la información en base a las
28 3%
políticas y procedimientos
establecidos? x
¿los procesos de información se
29 adhieren a los requerimientos de 3%
seguridad de la empresa? x
¿Los servicios tecnológicos
prestados por terceros se
30 3%
establecen a través de un
contrato? x
31 ¿Existen registros de eventos? x 3%
¿Existe un control en la Eventos sobrecargados con
32 3%
capacidad de los eventos? x información innecesaria.
¿Los eventos reciben revisiones No cuenta con un programa
33 3%
periódicas? x de revisiones de eventos.
¿Se entregan tiques de
34 3%
incidentes? x
SUMAS 9% 9% 82%
ELABORADO POR: A. B FECHA: 10/2/2021
SUPERVISADO POR: P.C FECHA: 11/2/2021 Firma del entrevistado

Alto Moderado Bajo
Riesgo
15%-50% 51-75% 76%-95%
Confianza Ponderada 82%
El Nivel de Riesgo en cuanto a la evaluación en el componente control interno del
proceso DSS01 Gestionar Operaciones es de un 82% bajo, 9% moderado y 9% alto, lo que
indica un riesgo bajo.
Medición Capacidad del Proceso
 Nombre del proceso: DSS01 Gestionar Operaciones
El proceso permite ejecutar las actividades y los procedimientos operativos requeridos
para entregar servicios de TI tanto internos como externalizados, incluyendo la ejecución de
procedimientos operativos estándar predefinidos las actividades requeridas.
 Objetivo
Permitir al departamento de TI de la empresa NOVACERO entregar los servicios
operativos según lo planificado.
 Alcance
Ha sido enfocado la auditoría a la Entrega, Servicio y Soporte de TI en NOVACERO
con COBIT 5, Dominio DSS, procesos: DSS01 Gestionar operaciones.
 Participantes
 Analista de infraestructura.
 Analista de la seguridad informática.
 Jefe de operaciones TI.
 Analista de sistemas.
 Diagrama de flujo
Ilustración 5 Diagrama de Flujo DSS01

Fuente: Novacero
 Descripción del proceso
Tabla 33 Descripción del proceso DSS01

Fuente: ISACA
Propósito Entregar los resultados del servicio operativo de TI, según lo planificado.
E Entradas Plan de operación y uso.
Contratos de adhesión.
Definiciones de servicio.
T Tareas 1. Ejecutar procedimientos operativos
2. Supervisar la infraestructura de TI.
3. Gestionar el entorno.
4. Identificar posibles desastres.
5. Ubicar instalaciones de TI para minimizar impactos y riesgos.
6. Gestionar instalaciones eléctricas y de red.
7. Revisar eventos.
8. Mantener lista de activos TI.
9. Gestionar Incidencias.
V Validaciones Las actividades y procedimientos operativos, tanto internos como externos
deben cumplir con los estándares predeterminados y sujetarse a
monitorización.
X Salidas Programación operativa.
Planes de aseguramiento independientes.
Regulación y supervisión de los activos.
Tiques de incidencias.
Informe de seguridad física y lógica.

 Matriz RACI
Tabla 34 Matriz RACI DSS01

Fuente: ISACA
ROLES
Jefe de Analista de Analista de Analista de
operaciones Infraestruc seguridad sistemas
de TI tura. informática.
1. Ejecutar procedimientos operativos R, A, I
2. Supervisar la infraestructura de TI. R, A, C
3. Gestionar el entorno. R, A, I
4. Identificar posibles desastres. R, A, I
5. Ubicar instalaciones de TI para R, A, I,
minimizar impactos y riesgos.
6. Gestionar instalaciones eléctricas y R, A, I
de red.
7. Revisar eventos. R, A, I, C
8. Mantener lista de activos TI. R, I
9. Gestionar Incidencias. R, A, I
 Medición de la capacidad
Tabla 35 Medición de la capacidad del proceso DSS01
Fuente: ISACA
DSS01 Gestionar Operaciones Área: Gestión

Dominio: Entrega, Servicio y Soporte
Coordinar y ejecutar las actividades y los procedimientos operativos requeridos para entregar servicios de TI tanto internos como externalizados, incluyendo la ejecución de procedimientos
operativos estándar predefinidos y las actividades de monitorización requeridas.
Entregar los resultados del servicio operativo de TI, según lo planificado.
El proceso apoyo a la obtención de un conjunto de objetivos relacionados con las TI:

•Número de incidentes significativos Número de incidentes no identificados en la

3
relacionados con las TI que no evaluación de riesgos de TI en el año
*100 *100 18%
fueron identificados en la evaluación de
riesgos Número de procedimientos para control de
17
riesgos de TI
Número de evaluaciones realizadas en control

•Porcentaje de evaluaciones de riesgo de la 12
04 Riesgos de negocio relacionados con de riesgos de TI en el año
empresa que incluyen los *100 *100 100%
las TI gestionados
riesgos relacionados con TI Número de informes emitidos por evaluación de
12
riesgos de TI
Número de procedimientos de riesgo de TI

2
•Frecuencia de actualización del perfil de actualizados en el año
*100 *100 12%
riesgo
Número de procedimientos para control de
17
riesgos de TI
58
Número de incidencias en TI solucionadas en el
3
• Número de interrupciones del negocio año
debidas a incidentes en el servicio *100 *100 100%
de TI Número de incidencias en TI reportadas por
3
capacidad inadecuada en el año
• Porcentaje de partes interesadas satisfechas Número de servicios cubiertos por un plan de

07 Entrega de servicios de TI de con el cumplimiento del 13
continuidad 76%
acuerdo con los requisitos del negocio servicio de TI entregado respecto a los niveles *100 *100
de servicio acordados Número de servicios de TI pronosticados 17
Número de usuarios satisfechos con servicios de

• Porcentaje de usuarios satisfechos con la 70
TI en el año
calidad de los servicios de TI *100 *100 88%
entregados Número de usuarios que utilizan las soluciones
80
tecnológicas
Número de reuniones para evaluación de

• Frecuencia de evaluaciones de la madurez de madurez de capacidad y optimización de costes 5
la capacidad y de la en el año 28%
*100 *100
optimización de costes
Número de reuniones de la alta dirección en el
18
año
11 Optimización de activos, recursos y
capacidades de las TI
Número de seguimientos a informes sobre
2
evaluaciones de TI en el año
• Tendencia de los resultados de las *100 *100
Número de evaluaciones efectuadas a TI 100%
evaluaciones 2
durante el año
Número de requerimientos que se ajustan al
30
•Niveles de satisfacción de los ejecutivos de presupuesto y capacidad de TI.
*100 *100 70%
negocio y TI con los costes y capacidades TI Número de requerimientos realizados en el
43
último año

Número de procedimientos operativos no

2
• Número de procedimientos operativos no estándar ejecutados en el año
*100 *100 67%
estándar ejecutados
Número de procedimientos operativos no
3
estándar
1. Las actividades operativas se realizan
según lo requerido y programado
Número de incidentes reportados por problemas
1
• Número de incidentes causados por operativos en el año
*100 *100 8%
problemas operativos Número de procedimientos de control operativo
12
de TI
 Ponderación nivel de capacidad
Tabla 36 Ponderación nivel de capacidad DSS01

Fuente: ISACA
Metas TI Total
04 Riesgos de negocio relacionados con las TI gestionados 43%
07 Entrega de servicios de TI de acuerdo con los requisitos del negocio 88%
11 Optimización de activos, recursos y capacidades de las TI 66%
Total metas de TI 66%
1. Las actividades operativas se realizan según lo requerido y programado 38%
2. Las operaciones son monitorizadas, medidas, reportadas y remediadas 20%
Total metas del proceso 29%
Promedio total 47,11%
 Matriz RACI
Tabla 37 Matriz RACI DSS01
Fuente: ISACA
PA 2.2

PA 1.1 PA 2.1 PA 3.2 PA 5.1 PA 5.2
Proceso y
Descripción
trabajo
DSS01
Gestionar
Operaciones 47.11%
61
0% 0
1% al 20% 1
21% al 40% 2
41% al 60% 3
61% al 80% 4
81% al 100 5
 Recomendaciones
Recomendamos establecer un marco de referencia para la actualización, documentación,
aprobación y difusión de las políticas y procedimientos de TI para establecer un Gobierno de
TI que permita mejorar el control interno de la organización y reforzar la calidad de los
servicios de TI.
Se recomienda la revisión y actualización de las políticas de NOVACERO ya que al
momento las que se tienen son generales, y es necesario un mayor detalle de cómo proceder y
validar los controles de estas.

 Hoja de hallazgos
Tabla 38 Hoja de hallazgos DSS01

Fuente: ISACA
HOJA DE HALLAZGOS
HA.1
Empresa: NOVACERO Elaborado por: M. J Fecha: 25/02/2021
Revisado por: P.C Fecha: 27/02/2021
Situaciones Causa Soluciones Responsable

Se recomienda implementar
un sistema de seguridad de
El departamento de TI de la
No existe un control de acceso a personas acceso y registro Analista de
empresa no cuenta con un lector
ajenas al departamento de TI. exclusivamente para el Infraestructura
de huella o tarjeta magnética.
personal del departamento de
TI.
No se ha realizado un control de
Algunos instrumentos contra incendios se la fecha de caducidad de los Sustituir o recargar los Analista de
encuentran caducados. extintores, debido a la pandemia extintores caducados. Infraestructura
Covit-19.
Recomendamos diseñar un
Plan Estratégico de TI, el cual
El área de sistemas no cuenta con una
debe considerar las
planificación estratégica formalmente
Falta de una adecuada necesidades, problemas y
documentada y aprobada que le permita Jefe de sistemas
planificación tecnológica. oportunidades futuras de la
alinearse a los objetivos estratégicos de la
organización, derivados de los
compañía.
objetivos estratégicos de la
compañía.
Se concentra actividades de paso
Realizar el mantenimiento
a nuevo ERP, por lo que no se Jefe de sistemas /
Falla en servidor que soportan el servicio preventivo completo para no
realizó un adecuado personal de
al ERP (DB, Aplicativo Hiperk) incurrir en fallas en
mantenimiento al hardware y sistemas
servidores.
software de servidores.
No se puede realizar un Reporte diario de actividades
seguimiento de las actividades ya realizadas, tiempo trabajado y
No se realiza un seguimiento de las que en gran parte de ellas no se seguimiento de los
Jefe de sistemas
actividades operativas de la empresa. han cumplido a causa de la colaboradores, ya sea por
pandemia Covid-19 y aplicación trabajo presencial o
de teletrabajo. teletrabajo.
La respuesta a usuarios por incidencias de Falla en canales de comunicación
Verificar que el canal de back Analista de
los procedimientos operativos no es de
up este operativo. Sistemas
resuelta inmediatamente. datos.
No se realiza un control de capacidad y Eventos sobrecargados con Contar con un programa de Jefe de operaciones
revisiones periódicas de los eventos. información innecesaria. revisiones de eventos. TI.
Recomendamos adoptar una
metodología para la
formulación de los planes de
continuidad institucionales, la
metodología debe contemplar:
• Conformación de referentes
No existe un marco metodológico que se líderes de las principales
aplique para la formulación de los planes unidades administrativas y de
de recuperación de TI, no identificamos tecnología.
documentación con respecto a: • Definir responsabilidades
• Definición de procesos críticos. con respecto a las estrategias
• Definición de Recursos críticos (personas de recuperación, existe
claves, sistemas de información, responsabilidad tanto a nivel
proveedores de recursos tecnológicos). de los líderes de las unidades
• Existen debilidades importantes con administrativas, líderes de
respecto a la generación de respaldos, su El plan de contingencias, sistemas y de la alta gerencia.
almacenamiento y custodia, al no observar recuperación y continuidad de los • Inventariar los procesos, y
ningún documento y/o bitácora que servicios informáticos de la catalogar con respecto a la
certifique la generación y/o pruebas de empresa no está bien estructurado criticidad desde el punto de Jefe de sistemas /
restauración que se realizan a los respaldos para la adecuada Gestión de vista de pérdidas económicas, personal de
obtenidos y que son enviados a cintas cambios a aplicaciones; Gestión y reputacionales, de imagen, de sistemas
externas y/o mecanismos alternos de ejecución de Respaldos de incumplimientos regulatorios
almacenamiento donde se evidencie: Información; Gestión y solución en caso de fallos, para esto se
fechas, responsables de ejecución, tiempos de incidentes tecnológicos. debe evaluar utilizando
de generación y restauración y firmas de criterios definidos y claros
responsabilidad, que permita validar la para todos los procesos.
integridad de la información, los respaldos • Identificar para los procesos
generados son almacenados a un disco críticos los recursos de TI que
duro externo el que es trasportado al los soportan e identificar los
domicilio del encargado del Departamento tiempos “Objetivos de Punto
de Tecnología, esta situación incrementa el de Recuperación RPO” y el
riesgo de recuperación de las operaciones “Tiempo Objetivo de
en caso de fallos. recuperación RTO”.
• Establecer un procedimiento
de envío de respaldos fuera de
las instalaciones de
NOVACERO hacia bóvedas
y/o dispositivos de seguridad
externos.
Elaboró Aprobó
3. Dictamen de Auditoría
INFORME DE AUDITORÍA
Fecha de Auditoría: Inició el 01 de febrero de 2021
Equipo auditor: Grupo 8 Auditoría
Auditado: NOVACERO
Proceso: DSS01 Gestionar las Operaciones
DEPARTAMENTO AUDITADO:
Producción de TI
OBJETIVO:
Evaluar los procedimientos de la tecnología de la información de TI de la empresa
NOVACERO.
ALCANCE:
Evaluar el proceso DSS01 Gestionar operaciones.
ANTECEDENTES:
Novacero, es una empresa ecuatoriana líder en el mercado, cuya actividad económica
es la creación, desarrollo e implementación de soluciones de acero para las construcciones; la
misma, planifica una auditoría al proceso DSS01, con el objetivo de hallar las
inconformidades y riesgos del proceso; se inicia con un análisis de las situaciones que se
presentan en el departamento de TI.
INFORME:
 No existe un control de acceso a personas ajenas del departamento de TI.

 Algunos instrumentos contra incendios se encuentran caducados.
 El área de sistemas no cuenta con una planificación estratégica formalmente
documentada y aprobada que le permita alinearse a los objetivos estratégicos de la
compañía.
 Falla un servidor que soporta el servicio al ERP (DB, Aplicativo Hiperk).
 No se realiza un seguimiento de las actividades operativas de la empresa.
 La respuesta a usuarios por incidencias de los procedimientos operativos no es
resuelta inmediatamente.
 No se realiza un control de capacidad y revisiones periódicas de los eventos.
 No existe un marco metodológico que se aplique para la formulación de los planes de
recuperación de TI, no identificamos documentación con respecto a:
 Definición de procesos críticos.
 Definición de Recursos críticos (personas claves, sistemas de información,
proveedores de recursos tecnológicos).
 Existen debilidades importantes con respecto a la generación de respaldos, su
almacenamiento y custodia, al no observar ningún documento y/o bitácora que
certifique la generación y/o pruebas de restauración que se realizan a los respaldos
obtenidos y que son enviados a cintas externas y/o mecanismos alternos de
almacenamiento donde se evidencie: fechas, responsables de ejecución, tiempos de
generación y restauración y firmas de responsabilidad, que permita validar la
integridad de la información, los respaldos generados son almacenados a un disco
duro externo el que es trasportado al domicilio del encargado del Departamento de
Tecnología, esta situación incrementa el riesgo de recuperación de las operaciones en
caso de fallos.
NO CONFORMIDADES (NCR) / OBSERVACIONES:

NCR 1: El departamento de TI de la empresa no cuenta con un lector de huella o tarjeta
magnética.
Recomendaciones: Se recomienda implementar un sistema de seguridad de acceso y registro
exclusivamente para el personal del departamento de TI.
NCR 2: No se ha realizado un control de la fecha de caducidad de los extintores, debido a la
pandemia Covit-19.
Recomendaciones: Sustituir o recargar los extintores caducados.
NCR 4: Se concentra actividades de paso a nuevo ERP, por lo que no se realizó un adecuado
mantenimiento al hardware y software de servidores.
Recomendaciones: Realizar el mantenimiento preventivo completo para no incurrir en fallas
en servidores.
NCR 5: No se puede realizar un seguimiento de las actividades ya que en gran parte de ellas
no se han cumplido a causa de la pandemia Covid-19 y aplicación de teletrabajo.
Recomendaciones: Reporte diario de actividades realizadas, tiempo trabajado y seguimiento
de los colaboradores, ya sea por trabajo presencial o teletrabajo.
NCR 6: Falla en canales de comunicación de datos.
Recomendaciones: Verificar que el canal de back up este operativo.
NCR 7: Eventos sobrecargados con información innecesaria.
Recomendaciones: Contar con un programa de revisiones de eventos.
NCR 8: El plan de contingencias, recuperación y continuidad de los servicios informáticos de
la empresa no está bien estructurado para la adecuada Gestión de cambios a aplicaciones;

Gestión y ejecución de Respaldos de Información; Gestión y solución de incidentes
tecnológicos.
Recomendaciones:
Adoptar una metodología para la formulación de los planes de continuidad institucionales, la
metodología debe contemplar:
Conformación de referentes líderes de las principales unidades administrativas y de
tecnología.
Definir responsabilidades con respecto a las estrategias de recuperación, existe
responsabilidad tanto a nivel de los líderes de las unidades administrativas, líderes de
sistemas y de la alta gerencia.
Inventariar los procesos, y catalogar con respecto a la criticidad desde el punto de vista de
pérdidas económicas, reputacionales, de imagen, de incumplimientos regulatorios en caso de
fallos, para esto se debe evaluar utilizando criterios definidos y claros para todos los
procesos.
Identificar para los procesos críticos los recursos de TI que los soportan e identificar los
tiempos “Objetivos de Punto de Recuperación RPO” y el “Tiempo Objetivo de recuperación
RTO”.
Establecer un procedimiento de envío de respaldos fuera de las instalaciones de NOVACERO
hacia bóvedas y/o dispositivos de seguridad externos.
FIRMA AUDITOR
AUDITOR: Grupo 8 AUDITADO: Novacero

INFORME FINAL
GRUPO 8 AUDITORÍA
Quito, 20 de marzo del 2021
Ing. Ramiro Garzón
Gerente General
NOVACERO S.A.
Fecha de inicio de auditoría: 01 de febrero del 2021.
Miembros de grupo auditor:
 Ing. Irina María Arias Delgado
 Ing. Angela Vanessa Barrera Díaz
 Ing. Cristhian Paul Idrovo Mantilla
 Ing. Pamela Edith Contreras Camacho
 Ing. Marco Vinicio Jácome Chancusig
 Ing. Silvia de los Ángeles Farinango Ambas
 Ing. Gabriela Salome Velasco Estrella
 Ing. Edwin Ernesto Guevara
La auditoría comprende el periodo del 01 febrero al 20 de marzo del 2021, donde se
realizó un examen de Auditoría al proceso de Entrega, Servicio y Soporte DSS01 Gestión de
Operaciones en la empresa NOVACERO S.A.
Nuestra responsabilidad es expresar una opinión sobre la gestión del proceso de
DSS01 Gestión de Operaciones, implementado en la empresa Novacero. Hemos llevado a
cabo nuestra auditoría en base a la metodología COBIT 5 (Control Objetives for Information
and related Technology), las normas ISO, así como leyes y reglamentos de seguridad
vigentes en Ecuador. Dichas normas exigen que cumplamos con los requerimientos de ética,
así como que planifiquemos y ejecutemos la auditoría con el fin de obtener nuestra opinión
sobre el proceso auditado.
La auditoría requiere la aplicación de procedimientos para obtener evidencias, los
cuales han sido aplicado de acuerdo con el juicio del auditor. Consideramos que la evidencia
de auditoría que hemos obtenido proporciona una base suficiente y adecuada para nuestra
opinión de auditoría.
En nuestra opinión el proceso DSS01 Gestión de Operaciones de Novacero S.A.
cumple con parte de los requerimientos establecidos para el cumplimiento del proceso, pero
se debe tomar en consideración las observaciones que se especifican en el Informe de
Auditoría sobre las no conformidades encontradas durante el examen de auditoría.
AUDITOR AUDITADO
Grupo 8 Novacero
4. Seguimiento de Auditoria
El grupo de auditores que participaron en la realización de esta auditoria se comprometen
a obtener informes de auditorías anteriores relacionados con la evaluación a la Gestión de las
Operaciones que lleva a cabo el Departamento de TI de la empresa Novacero, cuyo propósito
será comprobar que se están entregando los resultados del servicio operativo de TI según la
planificación que ha hecho la empresa con respecto a este proceso.
Como parte del seguimiento el auditor solicitará a los empleados involucrados las
acciones que han implementado para justificar el cumplimiento de las recomendaciones con
evidencia que lo respalde.
El auditor cuando compruebe el cumplimiento de dichas recomendaciones procederá a
comunicar de forma escrita los resultados de dicho seguimiento a las máximas autoridades de
la empresa, haciendo mención que las acciones implementadas tienden a mejorar la Gestión
de las Operaciones en el Departamento de TI de la entidad.
Siguiendo las recomendaciones hechas se deberá hacer un seguimiento sobre las
situaciones encontradas en la hoja de hallazgos a través de un seguimiento de las no
conformidades.
A continuación, se detalla la nomenclatura que se utilizará en el seguimiento de las no
conformidades:
Para el campo: ESTADO se manejará los siguientes colores:
Cuando se abre la no conformidad (NCR) ABIERTO
Cuando muestra alguna evidencia el auditado EN PROGRESO
Cuando se cierra la no conformidad (NCR) CERRADO

 SEGUIMIENTO DE CIERRE DE NO CONFORMIDADES
AUDITORÍA: DSS01 Gestión de las Operaciones
SEGUIMIENTO A LA FECHA: 28-02-2021
Tabla 39 Seguimiento de no conformidades

Fuente: ISACA
ESTADO
FECHA FECHA
(ABIERTO,
NCR AUDITADO NO-CONFORMIDADES FORMA DE CIERRE MÁXIMA DE REAL DE
PROGRESO,
CIERRE CIERRE
CERRADO)
Diseñar un sistema de Control de
No existe un control de acceso a personas ajenas al
1 NOVACERO Acceso electrónico a través de 01-07-2021 ABIERTO
departamento de TI.
huella dactilar o tarjeta RFID
Llevar un control y supervisión
Algunos instrumentos contra incendios se encuentran
2 NOVACERO periódica de los instrumentos 03-03-2021 ABIERTO
caducados.
contra incendios
El área de sistemas no cuenta con una planificación Diseñar y difundir un modelo de
estratégica formalmente documentada y aprobada que Planificación Estratégica formal
3 NOVACERO 15-04-2021 ABIERTO
le permita alinearse a los objetivos estratégicos de la que permita alinear los objetivos
compañía. con la compañía
Realizar un mantenimiento de los
Falla el servidor que soportan el servicio al ERP (DB, servidores ERP Hiperk ya que
Aplicativo Hiperk) soporta información de años
anteriores.
Implementar y difundir un manual
No se realiza un seguimiento de las actividades de procedimientos para
operativas de la empresa. seguimiento de actividades
operativas
72
Mejorar la atención a los usuarios
en el aplicativo “Mesa de ayuda",
La respuesta a usuarios por incidencias de los
para solventar con mayor
6 NOVACERO procedimientos operativos no es resuelta 01-04-2021 ABIERTO
eficiencia y rapidez las incidencias
inmediatamente.
de procedimientos operativos que
se produzcan.
Crear un plan que permita
No se realiza un control de capacidad y revisiones
7 NOVACERO controlar la capacidad y revisiones 19-05-2021 ABIERTO
periódicas de los eventos.
de los eventos de forma periódica
Implementar un Marco
No existe un marco metodológico que se aplique para Metodológico que permita
la formulación de los planes de recuperación de TI identificar los planes de
recuperación de información de TI
Llevar un registro de la
No identificamos documentación con respecto a:
9 NOVACERO documentación de procesos y 03-03-2021 ABIERTO
Definición de procesos y recursos críticos.
recursos críticos
Existen debilidades en la generación de respaldos, su
almacenamiento y custodia, al no observar ningún
documento y/o bitácora que certifique la generación
y/o pruebas de restauración que se realizan a los
respaldos obtenidos y que son enviados a cintas Implementar nuevos mecanismos
externas y/o mecanismos alternos de almacenamiento para la generación de respaldos,
donde se evidencie: fechas, responsables de ejecución, almacenamiento y custodia de la
tiempos de generación y restauración y firmas de información, mismo que brinde
responsabilidad, que permita validar la integridad de la una garantía de que la información
información, los respaldos generados son almacenados no se pierda.
a un disco duro externo el que es trasportado al
domicilio del encargado del Departamento de
Tecnología, esta situación incrementa el riesgo de
recuperación de las operaciones en caso de fallos
Tabla 40 Seguimiento de cierre de no conformidades
Fuente: ISACA
ESTADO
FECHA
FECHA REAL (ABIERTO,
NCR AUDITADO NO-CONFORMIDADES FORMA DE CIERRE MÁXIMA DE
DE CIERRE PROGRESO,
CIERRE
CERRADO)
Diseñar un sistema de Control de
No existe un control de acceso a personas ajenas al
1 NOVACERO Acceso electrónico a través de 01-07-2021 PROGRESO
departamento de TI.
huella dactilar o tarjeta RFID
Algunos instrumentos contra incendios se encuentran
2 NOVACERO periódica de los instrumentos 03-03-2021 04-03-2021 CERRADO
caducados.
contra incendios
El área de sistemas no cuenta con una planificación Diseñar y difundir un modelo de
estratégica formalmente documentada y aprobada que Planificación Estratégica formal
3 NOVACERO 15-04-2021 PROGRESO
le permita alinearse a los objetivos estratégicos de la que permita alinear los objetivos
compañía. con la compañía
Realizar un mantenimiento de los
Falla el servidor que soportan el servicio al ERP (DB, servidores ERP Hiperk ya que
4 NOVACERO 02-03-2021 02-03-2021 CERRADO
Aplicativo Hiperk) soporta información de años
anteriores.
Implementar y difundir un manual
No se realiza un seguimiento de las actividades de procedimientos para
operativas
Mejorar la atención a los usuarios
en el aplicativo “Mesa de ayuda",
para solventar con mayor eficiencia
6 NOVACERO procedimientos operativos no es resuelta 01-04-2021 PROGRESO
y rapidez las incidencias de
inmediatamente.
procedimientos operativos que se
produzcan.
Crear un plan que permita controlar
No se realiza un control de capacidad y revisiones
7 NOVACERO la capacidad y revisiones de los 19-05-2021 PROGRESO
periódicas de los eventos.
eventos de forma periódica
No existe un marco metodológico que se aplique para la Metodológico que permita
formulación de los planes de recuperación de TI identificar los planes de
recuperación de información de TI
9 NOVACERO documentación de procesos y 03-03-2021 PROGRESO
recursos críticos
Existen debilidades en la generación de respaldos, su
almacenamiento y custodia, al no observar ningún
documento y/o bitácora que certifique la generación y/o
pruebas de restauración que se realizan a los respaldos
obtenidos y que son enviados a cintas externas y/o Implementar nuevos mecanismos
mecanismos alternos de almacenamiento donde se para la generación de respaldos,
evidencie: fechas, responsables de ejecución, tiempos almacenamiento y custodia de la
de generación y restauración y firmas de informaciòn, mismo que brinde una
responsabilidad, que permita validar la integridad de la garantìa de que la información no
información, los respaldos generados son almacenados se pierda.
a un disco duro externo el que es trasportado al
domicilio del encargado del Departamento de
Tecnología, esta situación incrementa el riesgo de
recuperación de las operaciones en caso de fallos
Tabla 41 Seguimiento de cierre de no conformidades

Fuente: ISACA
ESTADO
FECHA
FECHA REAL (ABIERTO,
NCR AUDITADO NO-CONFORMIDADES FORMA DE CIERRE MÁXIMA DE
DE CIERRE PROGRESO,
CIERRE
CERRADO)
Diseñar un sistema de Control
No existe un control de acceso a personas ajenas de Acceso electrónico a través
al departamento de TI. de huella dactilar o tarjeta
RFID
Algunos instrumentos contra incendios se
2 NOVACERO periódica de los instrumentos 03-03-2021 04-03-2021 CERRADO
encuentran caducados.
contra incendios
El área de sistemas no cuenta con una Diseñar y difundir un modelo
planificación estratégica formalmente de Planificación Estratégica
documentada y aprobada que le permita alinearse formal que permita alinear los
a los objetivos estratégicos de la compañía. objetivos con la compañía
Realizar un mantenimiento de
Falla el servidor que soportan el servicio al ERP los servidores ERP Hiperk ya
(DB, Aplicativo Hiperk) que soporta información de
años anteriores.
Implementar y difundir un
No se realiza un seguimiento de las actividades manual de procedimientos para
operativas
Mejorar la atención a los
usuarios en el aplicativo “Mesa
de ayuda", para solventar con
6 NOVACERO procedimientos operativos no es resuelta 01-04-2021 18-03-2021 CERRADO
mayor eficiencia y rapidez las
inmediatamente.
incidencias de procedimientos
operativos que se produzcan.
Crear un plan que permita
No se realiza un control de capacidad y revisiones controlar la capacidad y
periódicas de los eventos. revisiones de los eventos de
forma periódica
No existe un marco metodológico que se aplique Metodológico que permita
8 NOVACERO para la formulación de los planes de recuperación identificar los planes de 19-08-2021 PROGRESO
de TI recuperación de información de
TI
9 NOVACERO documentación de procesos y 03-03-2021 16-03-2021 CERRADO
recursos críticos
Existen debilidades en la generación de
respaldos, su almacenamiento y custodia, al no
observar ningún documento y/o bitácora que
certifique la generación y/o pruebas de
restauración que se realizan a los respaldos
Implementar nuevos
obtenidos y que son enviados a cintas externas
mecanismos para la generación
y/o mecanismos alternos de almacenamiento
de respaldos, almacenamiento y
donde se evidencie: fechas, responsables de
10 NOVACERO custodia de la información, 19-09-2021 PROGRESO
ejecución, tiempos de generación y restauración y
mismo que brinde una garantía
firmas de responsabilidad, que permita validar la
de que la información no se
integridad de la información, los respaldos
pierda.
generados son almacenados a un disco duro
externo el que es trasportado al domicilio del
encargado del Departamento de Tecnología, esta
situación incrementa el riesgo de recuperación de
las operaciones en caso de fallos
A la fecha de culminación de la Auditoría quedan en proceso 5 recomendaciones que
aún no se ha concretado su finalización, por tanto estos procesos se quedan abiertos hasta
próximas auditorias en las que se verificará si se ha llegado a su cumplimiento, estas
recomendaciones son:
 Diseñar un sistema de Control de Acceso electrónico a través de huella dactilar o
tarjeta RFID.
 Diseñar y difundir un modelo de Planificación Estratégica formal que permita alinear
los objetivos con la compañía.
 Crear un plan que permita controlar la capacidad y revisiones de los eventos de forma
periódica.
 Implementar un Marco Metodológico que permita identificar los planes de
recuperación de información de TI.
 Implementar nuevos mecanismos para la generación de respaldos, almacenamiento y
custodia de la información, mismo que brinde una garantía de que la información no
se pierda.
78
Bibliografía
Armenta, L. (2014). Cómo determnar la capacidad de los procesos en COBT 5. Obtenido de
4 Fuente: COBIT® 5 Framework-Spanish.pdf Modelo de Capacidad de los Procesos
de COBIT 5© 2012
Borrazás, C. (2014). COBIT 5. Niveles de Capacidad. Obtenido de
https://www.academia.edu/31062302/COBIT_5_Niveles_de_Capacidad_Desaf%C3%
ADo_de_formalizaci%C3%B3n_de_procesos_Costos_y_Beneficios
Castillo, C., Castillo, H., & Alfonso, O. (2019). Nivel de capacidad en las empresas de
acuerdo con COBT. Obtenido de file:///C:/Users/LENOVO/Downloads/13235-
Texto%20del%20art%C3%ADculo-80173-2-10-20191213%20(9).pdf
ISACA. (2012). Procesos Catalizadores. Obtenido de
http://blplegal.net/zoneSite/RestFulApiZoneSite/uploads/1539031830-
Cobit%205%20-%20Procesos%20Catalizadores.pdf
ISACA. (2012). Un Marco de Negocio para el Gobierno y la Gestión de las TI de la
Empresa. Obtenido de https://articulosit.files.wordpress.com/2013/07/cobit5-
framework-spanish.pdf
Mora, J., León, J., Huilcapi, M., & Escobar, D. (S.F). El modelo de COBIT 5 para auditoría y
el control de los sistemas de información. Obtenido de
https://uvirtual.uce.edu.ec/pluginfile.php/1281253/mod_resource/content/8/Modelo%
20Cobit5%20para%20auditoria%20y%20control%20de%20los%20sistemas%20de%
20informaci%C3%B3n.pdf
NOVACERO. (2021). Memoriasostenibilidad. Obtenido de
https://www.novacero.com/memoria-sostenibilidad/wp-content/themes/divi-
child/pdf/MEMORIA_DE_SOSTENIBILIDAD_2018_2019.pdf
Tello, C., & Guerrero, M. (2017). Principios de auditoría informática. Quito. Obtenido de
http://www.dspace.uce.edu.ec/bitstream/25000/21030/1/Principios%20de%20auditor
%C3%ADa%20inform%C3%A1tica.pdf

Segundo Trabajo Grupal Grupo8

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Segundo Trabajo Grupal Grupo8

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD CENTRAL DEL ECUADOR

FACULTAD DE CIENCIAS ADMINISTRATIVAS

IRINA MARÍA ARIAS DELGADO 1711698678

ANGELA VANESSA BARRERA DÍAZ 1726272857

CRISTHIAN PAUL IDROVO MANTILLA 1725456683

PAMELA EDITH CONTRERAS CAMACHO 1711637957

MARCO VINICIO JACOME CHANCUSIG 1723547681

SILVIA DE LOS ANGELES FARINANGO AMBAS 1715751101

GABRIELA SALOME VELASCO ESTRELLA 1723716237

EDWIN ERNESTO GUEVARA 1001686441

Trabajo Grupal: 2do x

Profesor: PhD Patricia Jimbo Santana

Asignatura: Auditoría de Sistemas Informáticos II.

Fecha de entrega: 21 de marzo de 2021

Seleccione una institución en la que puedan realizar lo siguiente:

Seleccione 2 Procesos para la Gestión de TI y 2 Procesos de Gobierno de TI que se han

implementado en la organización, de los mismos establezca el Nivel de Capacidad de

NOVACERO se fundó en julio de 1973, es una empresa ecuatoriana, pionera y líder en el

mercado, con la mejor experiencia en la creación, desarrollo e implementación de soluciones

importantes del Ecuador y segunda en el siderúrgico del país.

Metas Corporativas de la empresa NOVACERO.

Tabla 1 Metas Corporativas Novacero

N.º Metas Corporativas

OB01 Tener una estabilidad financiera.

OB02 Ética y Transparencia sobre productos y servicios.

OB03 Facilitar la comunicación interna y externa.

OB04 Implementar un modelo de gestión estratégica que permita el

cumplimiento y el uso de los servicios con eficacia.

OB05 Establecer una estructura organizacional efectiva por procesos que

faciliten el cumplimiento de objetivos.

OB06 Certificación de productos

OB07 Difundir filosofía y valores.

buscando la mejora continua.

OB09 Cumplir las regulaciones ambientales, de seguridad y salud

El proceso de calificación utilizado en las matrices o mapeo de cascadas entre los

procesos de negocio y los procesos de TI es el siguiente:

 Principal (P), con la valoración de 2 puntos.

 Secundaria (S), con la valoración de 1 punto.

 Vacía (V) con la valoración de 0 puntos

Tomando en cuenta los objetivos estratégicos de la Empresa NOVACERO, basados en el

Tabla 2 Metas corporativas Novacero vs. Metas corporativas COBIT 5

Metas Corporativas de COBIT 5

metas relacionadas con TI.

Las metas corporativas con mayor puntaje son las siguientes:

Tabla 3 Metas relacionadas con TI

A METAS CORPORATIVAS COBIT 5

1 Valor para las partes interesadas de las Inversiones de Negocio

2 Cartera de productos y servicios competitivas

6 Cultura de servicio orientada al cliente

7 Continuidad y disponibilidad del servicio de negocio

8 Respuestas ágiles a un entorno de negocio cambiante

13 Programas gestionados de cambio en el negocio

16 Personas preparadas y motivadas

17 Cultura de innovación de producto

Tabla 4 Metas corporativas de COBIT 5 vs. Metas relacionadas con TI de COBIT 5

Tabla 5 Metas relacionadas con TI mapeadas en base a metas corporativas COBIT 5

No. Metas Relacionadas con las TI

1 Alineamiento de TI y estrategia de negocio.

4 Riesgos de negocio relacionados con las TI gestionados.

Realización de beneficios del portafolio de inversiones y servicios

6 Transparencia de los costos, beneficios y riesgos de las TI.

7 Entrega de servicios de TI de acuerdo con los requisitos de negocio.

8 Uso adecuado de aplicaciones, información y soluciones tecnológicos.

9 Agilidad de las TI.