Modelo Tesis Cobit 5

UNIVERSIDAD NACIONAL DEL SANTA
FACULTAD DE INGENIERIA
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS E

INFORMÁTICA
APLICACIÓN DEL MODELO COBIT PARA AUDITORIA DE SISTEMAS DE

INFORMACIÓN EN LA GERENCIA DE INFORMÁTICA DE LA
MUNICIPALIDAD PROVINCIAL DEL SANTA
“Informe de Prácticas Pre Profesionales para obtener el Grado Académico de

Bachiller en Ingeniería de Sistemas e Informática’’
AUTOR:
LIDIA BERENICE VELEZ COBEÑAS
ASESOR:
DR. GUILLERMO EDWARD GIL ALBARRÁN
NUEVO CHIMBOTE – PERÚ
2019

INFORMÁTICA


REVISADO Y APROBADO POR:
_______________________________________
DR. GUILLERMO EDWARD GIL ALBARRÁN
Asesor
2019

INFORMÁTICA
TÍTULO


REVISADO Y APROBADO POR EL JURADO EVALUADOR:
_________________________ _________________________
Presidente Secretario
_________________________ _________________________
Miembro Accesitario
2019
DEDICATORIA
A mis padres Tey y Mirtha, por el esfuerzo que han hecho a lo largo de mi vida, para
verme realizada como una profesional, siendo el mejor ejemplo y guía.
A Betania y Belén, mis hermanas y cómplices. A Betania por ser como una madre y
cuidarme en todo momento. A mi hermana menor Belén que irradia alegría y provoca
las más grandes sonrisas.
i
AGRADECIMIENTO
A Dios por ser fuente de sabiduría, por enseñarme en cada tropiezo y llenarme de gozo
en cada logro.
Al Ing. David Aguirre Ramírez, por brindarme la oportunidad de terminar mi formación

bajo su guía en la Municipalidad Provincial del Santa, por compartir no sólo sus
conocimientos sino también sus experiencias y sobre todo por ayudarme a encontrar el
área laboral que aspiro alcanzar.
A todos los ingenieros con los que compartí oficina, Alexis, Alin y José Luis. Por sus
aportes y disponibilidad para el desarrollo de este proyecto.
Al Ing. Pool Alayo Guimaray, por estar presto a brindarme información y acceso a la
Gerencia de Informática en la última etapa del proyecto.
Al Dr. Guillermo Gil Albarrán, por asesorarme en el desarrollo de este informe, por su
paciencia, tiempo invertido y por ser un gran profesional.
Al Blgo. Jean Baltodano, por compartir su experiencia en la sustentación de proyectos

de investigación y aconsejarme realizar mis prácticas en la Municipalidad, trayendo
consigo grandes satisfacciones en mi vida profesional y laboral.
A Yomira Miñano, gran amiga, por sus aportes y por ser aquella persona incondicional
desde que ingresé a ésta casa de estudios.
Por último, a cada uno de mis compañeros y docentes de la Universidad Nacional del
Santa, por la formación y apoyo en mi proceso de aprendizaje.
ii
PRESENTACIÓN
Señores miembros del Jurado Evaluador.
En cumplimiento a lo dispuesto por el Reglamento General de Grados y Títulos de la

Universidad Nacional del Santa, presento ante ustedes el Informe de Practicas Pre
Profesionales titulado:
“APLICACIÓN DEL MODELO COBIT PARA AUDITORIA DE SISTEMAS DE

MUNICIPALIDAD PROVINCIAL DEL SANTA”
Como requisito para Optar el Grado Académico de Bachiller en Ingeniería de Sistemas

e Informática.
El presente informe de Prácticas Pre Profesionales ha sido desarrollado para identificar,

analizar y mejorar los procesos de la Gerencia de Informática de la Municipalidad
Provincial del Santa a través de la auditoría de sistemas de información, aplicando el
modelo internacional Cobit, a fin de proponer mejoras y sistemas de control que
garanticen la seguridad del activo principal de una organización, la información.
Por lo expuesto, a ustedes señores miembros del jurado evaluador, presento mi informe,
para su revisión, esperando cumpla con los requisitos mínimos para su aprobación.
Atentamente,
LIDIA BERENICE VELEZ COBEÑAS
iii
RESUMEN
El presente informe de Prácticas Pre Profesionales tuvo como finalidad el desarrollo de
una auditoría de sistemas de información en la Gerencia de Informática de la
Municipalidad Provincial del Santa, aplicando el modelo internacional Cobit en su
versión 5.
Se realizó el levantamiento de la información en colaboración con el ingeniero

responsable de la gerencia de informática, ingenieros a cargo de los diversos sistemas de
información y la Unidad de Soporte Técnico.
Para el desarrollo de la auditoría se toma como modelo de referencia el Modelo Cobit,

seleccionando y aplicando los procesos de cada dominio a los objetivos de la auditoría.
La auditoría inicia realizando la selección de objetivos empresariales y objetivos de T.I,

donde evaluamos las 17 metas corporativas según Cobit de las cuales 10 metas
alcanzaron la ponderación mayor. Una vez evaluados los objetivos empresariales
(Municipalidad) se evalúan los objetivos de T.I(Gerencia de Informática). El propósito
de esta evaluación es para mostrar la importancia de las T.I en el cumplimiento de los
objetivos de la empresa.
Posteriormente se realizó la selección de los procesos facilitadores y prácticas de

Gobierno, donde se evaluó el cumplimiento de las Prácticas de Gobierno en la Gerencia
de Informática, esto se desarrolló a través de tablas.
Finalmente se muestran los resultados en un gráfico de radar, donde se aprecia el nivel

alcanzado de cada proceso evaluado. Donde el 37.5% de procesos se encuentran en la
escala de “Proceso No Alcanzado” y el 62.5% se encuentra “Parcialmente Alcanzado”,
por lo cual existen muchos aspectos que deben ser mejorados.
Al concluir la auditoría se detectaron hallazgos importantes y oportunidades de mejora,

asimismo se elaboraron recomendaciones de auditoría para la mejora de la Gerencia de
Informática y T.I.
iv
INTRODUCCIÓN
La Municipalidad Provincial del Santa tiene como activo importante la información y
por lo tanto tiene a su cargo la custodia de la misma, por lo tanto el objetivo de los
estándares orientados a la seguridad de información en una organización es el
establecimiento de metodologías, prácticas y procedimientos que buscan proteger la
información como activo valioso.
La correcta gestión de la información permite resolver problemas y sirve como apoyo

fundamental para la toma de decisiones, ya que su aprovechamiento racional es la base
del conocimiento.
Con el fin de mejorar diversos procesos de T.I se propone una auditoría aplicando el
Modelo Internacional Cobit, donde a través de una serie de llineamientos, pone en
evidencia el estado de la organización sobre tecnologías de la información. Para la
evaluación de los procesos se necesita información de los mismos, roles para operar
estructuras organizativas, apoyo de la institución, evaluación de infraestructura,
aplicaciones, base de datos, entre otros.
En el capítulo 1, “La empresa” se muestra reseña histórica y datos principales de la

institución en estudio.
En el capítulo 2, “Planteamiento del problema” se describe la realidad problemática de

la institución y el planteamiento del problema.
En el capítulo 3, “Marco teórico” se describen conceptos generales sobre auditoría y

herramientas de apoyo para la auditoría.
En el capítulo 4, “Desarrollo de la Auditoría” se realiza la selección de los procesos a

ser auditados y se desarrolla cada una de las prácticas de gobierno
En el capítulo 5, “Resultados”, se describe los resultados obtenidos en el desarrollo de

la auditoría.
En el capítulo 6, “Conclusiones y recomendaciones”, se muestran las conclusiones

finales y las recomendaciones para la mejora de la gestión y gobierno de T.I.
v
ÍNDICE
DEDICATORIA .............................................................................................................. i
AGRADECIMIENTO .................................................................................................... ii
PRESENTACIÓN ......................................................................................................... iii
RESUMEN ..................................................................................................................... iv
INTRODUCCIÓN .......................................................................................................... v
ÍNDICE ........................................................................................................................... vi
CAPÍTULO I .................................................................................................................. 1
LA EMPRESA ................................................................................................................ 1
1.1. RESEÑA HISTÓRICA ................................................................................... 2
1.2. PERFIL DE LA EMPRESA ........................................................................... 2
1.2.1. Datos Generales de la Empresa ............................................................... 2
1.2.2. Actividad de la Empresa .......................................................................... 3
1.2.3. Alcance de la Empresa ............................................................................. 3
1.2.4. Logotipo ..................................................................................................... 3
1.3. FILOSOFÍA CORPORATIVA ...................................................................... 3
1.4. VISIÓN Y MISIÓN DE LA EMPRESA........................................................ 3
1.4.1. Visión ......................................................................................................... 3
1.4.2. Misión ........................................................................................................ 4
1.5. VALORES ........................................................................................................ 4
1.6. OBJETIVOS ESTRATÉGICOS .................................................................... 4
1.7. ORGANIZACIÓN ACTUAL DE LA EMPRESA ....................................... 6
CAPÍTULO II ................................................................................................................. 7
PLANTEAMIENTO DEL PROBLEMA ..................................................................... 7
2.1. REALIDAD PROBLEMÁTICA .................................................................... 8
2.2. ANÁLISIS DEL PROBLEMA ....................................................................... 9
2.3. ANTECEDENTES DEL PROBLEMA ....................................................... 10

vi
2.3.1. Antecedentes Internacionales ................................................................ 10
2.3.2. Antecedentes Nacionales ........................................................................ 11
2.3.3. Antecedentes Locales .............................................................................. 11
2.4. FORMULACIÓN DEL PROBLEMA ......................................................... 12
2.5. HIPÓTESIS .................................................................................................... 12
2.6. OPERACIONALIZACIÓN DE LAS VARIABLES .................................. 13
2.7. OBJETIVOS................................................................................................... 13
2.7.1. Objetivo General .................................................................................... 13
2.7.2. Objetivos Específicos .............................................................................. 13
2.8. JUSTIFICACIÓN .......................................................................................... 14
2.8.1. Económica ............................................................................................... 14
2.8.2. Técnica ..................................................................................................... 14
2.8.3. Operativa ................................................................................................. 14
2.8.4. Social ........................................................................................................ 14
2.8.5. Personal ................................................................................................... 14
2.8.6. Tecnológica .............................................................................................. 14
2.9. IMPORTANCIA DE LA INVESTIGACIÓN ............................................. 15
2.10. LIMITACIONES ........................................................................................... 15
2.11. DISEÑO DE INVESTIGACIÓN .................................................................. 15
2.11.1. Tipo ...................................................................................................... 15
2.11.2. Población.............................................................................................. 16
2.11.3. Muestra ................................................................................................ 16
2.12. TÉCNICAS E INSTRUMENTOS DE RECOLECCIÓN DE DATOS ..... 16
CAPÍTULO III ............................................................................................................. 17
MARCO TEÓRICO ..................................................................................................... 17
3.1. CONCEPTOS GENERALES ....................................................................... 18
3.2. AUDITORÍA DE SISTEMAS DE INFORMACIÓN ................................. 23
vii
3.3. HERRAMIENTAS Y TÉCNICAS PARA LA AUDITORÍA .................... 24
3.4. ISACA ............................................................................................................. 25
3.5. COBIT............................................................................................................. 27
CAPÍTULO IV.............................................................................................................. 41
DESARROLLO DE LA AUDITORÍA ....................................................................... 41
4.1. MECANISMO PARA LA APLICACIÓN DE LA AUDITORÍA ............. 42
4.1.1. Selección de Objetivos de Gobierno y TI.............................................. 42
4.1.2. Selección de Procesos Facilitadores y Prácticas de Gobierno ............ 42
4.1.3. Definición de instrumentos para recolección de información ............ 43
4.2. APLICACIÓN DE LA AUDITORÍA .......................................................... 44
4.2.1. Selección de Procesos de Gobierno y de Gestión de Cobit 5 ............... 44
4.2.2. Desarrollo de Procesos Facilitadores y Prácticas de Gobierno .......... 50
4.2.3. Evaluación de Niveles de Capacidad .................................................... 70
CAPÍTULO V ............................................................................................................... 88
RESULTADOS ............................................................................................................. 88
5.1. HALLAZGOS IMPORTANTES ................................................................. 89
5.1.1. Positivos ................................................................................................... 90
5.1.2. Oportunidades de mejora ...................................................................... 92
5.2. RECOMENDACIONES DE AUDITORÍA................................................. 94
5.3. INFORME FINAL DE AUDITORÍA .......................................................... 97
CAPÍTULO VI.............................................................................................................. 98
CONCLUSIONES Y RECOMENDACIONES ......................................................... 98
6.1. CONCLUSIONES ......................................................................................... 99
6.2. RECOMENDACIONES ............................................................................... 99
BIBLIOGRAFÍA ........................................................................................................ 101
ANEXOS ..................................................................................................................... 103
viii
ÍNDICE DE TABLAS
Tabla 1. Operacionalización de las variables ................................................................. 13

Tabla 2. Técnicas e Instrumentos de recolección de datos ............................................. 16
Tabla 3. Selección de muestra de participantes .............................................................. 42
Tabla 4. Roles operativos en la GITIC ........................................................................... 43
Tabla 5. Ponderación de Objetivos Empresariales según Cobit ..................................... 44
Tabla 6. Ponderación de Procesos según Cobit .............................................................. 48
Tabla 7. Auditoría EDM02 ............................................................................................. 51
Tabla 8. Auditoría EDM05 ............................................................................................. 52
Tabla 9. Auditoría APO01 .............................................................................................. 53
Tabla 10. Auditoría APO04 ............................................................................................ 54
Tabla 13. Auditoría BAI01 ............................................................................................. 59
Tabla 18. Auditoría DSS01 ............................................................................................ 65
Tabla 22. Auditoría MEA01 ........................................................................................... 70
Tabla 23. Calificación de Atributos de capacidad EDM02 ............................................ 71
Tabla 24. Escala de Nivel de Capacidad EDM02 .......................................................... 71
Tabla 25. Calificación de Atributos de capacidad EDM05 ............................................ 71
Tabla 26. Escala de Nivel de Capacidad EDM05 .......................................................... 72
Tabla 27. Calificación de Atributos de capacidad APO01 ............................................. 72
Tabla 28. Tabla 26. Escala de Nivel de Capacidad APO01 ........................................... 73
Tabla 30. Escala de Nivel de Capacidad APO04 ........................................................... 74
ix
Tabla 35. Calificación de Atributos de capacidad BAI01 .............................................. 77
Tabla 36. Escala de Nivel de Capacidad BAI01 ............................................................ 78
Tabla 45. Calificación de Atributos de capacidad DSS01.............................................. 83
Tabla 46. Escala de Nivel de Capacidad DSS01 ............................................................ 83
Tabla 53. Calificación de Atributos de capacidad MEA01 ............................................ 87
Tabla 54. Escala de Nivel de Capacidad MEA01 .......................................................... 87
Tabla 55. Definición de Escalas ..................................................................................... 89
Tabla 56. Resultados de la evaluación de procesos ........................................................ 89
Tabla 57. Recomendaciones de Auditoría ...................................................................... 97
ÍNDICE DE FIGURAS
Figura 1. Logotipo de la Municipalidad ........................................................................... 3

Figura 2. Organigrama ...................................................................................................... 6
Figura 3. Logo CISA ...................................................................................................... 25
Figura 4. Logo CISM ..................................................................................................... 26
Figura 5. Logo CGEIT ................................................................................................... 26
Figura 6. Logo CRISC .................................................................................................... 26
x
Figura 7. Principios de COBIT 5 .................................................................................... 28
Figura 8. Metas corporativas de Cobit............................................................................ 30
Figura 9. Metas relacionadas con las T.I ........................................................................ 30
Figura 10. Catalizadores Cobit 5 .................................................................................... 31
Figura 11. Interacciones entre Gobierno y Gestión en Cobit 5 ...................................... 31
Figura 12. Las áreas claves de Gobierno y Gestión de Cobit 5 ...................................... 32
Figura 13. Modelo de Referencia de Procesos ............................................................... 33
Figura 14. Procesos EDM............................................................................................... 34
Figura 15. Procesos APO ............................................................................................... 36
Figura 16. Procesos BAI................................................................................................. 38
Figura 17. Procesos DSS ................................................................................................ 39
Figura 18. Procesos MEA............................................................................................... 40
Figura 19. Ponderación realizada en la MPS para los objetivos de la empresa ............. 44
Figura 20. Resultados de Objetivos de la empresa con mayor ponderación .................. 45
Figura 21. Cruce de los objetivos de la empresa seleccionados con los objetivos TI. ... 46
Figura 22. Resultado de ponderación entre Objetivos de Empresa y Objetivos TI. ....... 47
Figura 23. Objetivos de Empresa y Objetivos TI ........................................................... 48
Figura 24. Ponderación Procesos Facilitadores .............................................................. 49
Figura 25. Resultados de Ponderación de Procesos Facilitadores .................................. 50
Figura 26. Radar de atributos de capacidad EDM02 ...................................................... 71
Figura 27. Radar de atributos de capacidad EDM05 ...................................................... 72
Figura 28. Radar de atributos de capacidad APO01 ....................................................... 73
Figura 29. Radar de atributos de capacidad APO04....................................................... 74
Figura 32. Radar de atributos de capacidad BAI01 – Parte I ......................................... 77
Figura 33. Radar de atributos de capacidad BAI01 – Parte II ........................................ 78
Figura 34. Radar de atributos de capacidad BAI03 ........................................................ 79
Figura 38. Radar de atributos de capacidad DSS01 ....................................................... 83
xi
Figura 42. Radar de atributos de capacidad MEA01 ...................................................... 87
Figura 43. Resultados de la evaluación de Procesos ...................................................... 90
ANEXOS
Anexo 1: Recursos Humanos de la Gerencia de Informática y TIC ............................ 103

Anexo 2: Registro de hardware informático................................................................. 104
Anexo 3: Sistemas de Información MPS ...................................................................... 105
Anexo 4: Relación de Licencias de Software ............................................................... 106
Anexo 5: Centro de Datos MPS ................................................................................... 107
Anexo 6: Equipos en mal estado en el Centro de Datos MPS...................................... 108
Anexo 7: Lector biométrico del Centro de Datos ......................................................... 109
Anexo 8: Informe Final de Auditoría ........................................................................... 110
xii
CAPÍTULO I
LA EMPRESA
1
1.1. RESEÑA HISTÓRICA
La Municipalidad Provincial de Santa como entidad tiene su creación con el
Decreto-Ley N°11326 donde el 14 de abril de 1950 en la ciudad de Lima, la Junta
Militar de Gobierno tuvo como consideración que la Provincia del Santa posee una
gran extensión superficial de más de 7 mil metros cuadrados que comprende toda la
región costanera de la región Ancash y por lo tanto era difícil su administración
política y judicial, además de resaltar el Puerto de Chimbote y zonas aledañas;
además se consideró que la demarcación política de ese entonces no correspondía
en muchos casos a la realidad geográfica, económica y política dificultando el
progreso de las regiones que están llamadas a constituir la grandeza de la patria. Por
lo cual se vio conveniente la división de la Provincia de Santa con el fin de
impulsar el progreso regional.
Es así como el entonces Presidente de la Junta Militar de Gobierno, General de

Brigada Manuel A. Odría y sus ministros realiza la división de la Provincia de
Santa en dos provincias: Provincia del Santa cuya capital fue designada la ciudad
de Chimbote y la Provincia de Huarmey cuya provincia se eligió la ciudad de
Casma. En el Art.2 se nombra los distritos que conformaban nuestra provincia;
Cáceres del Perú, su capital Jimbe; Chimbote, su capital Chimbote; Moro, su
capital Moro; Nepeña, su capital Nepeña; Santa, su capital Santa; y Macate, su
capital Macate, que se segrega de la Provincia de Huaylas. Posteriormente se
añadiría Samanco, Coishco y Nuevo Chimbote.
Desde ese entonces se ha venido trabajando en el servicio a la comunidad, en

horario de atención de 7:30 a.m a 1:00 p.m y en las tardes de 2:00p.m a 8:00 p.m
con la finalidad de promover el desarrollo integral, sostenible y armónico de su
circunscripción, y además garantizar el ejercicio pleno de los derechos y la igualdad
de oportunidades de la población de Chimbote.
1.2. PERFIL DE LA EMPRESA

1.2.1. Datos Generales de la Empresa
1.2.1.1. Razón Social

Municipalidad Provincial del Santa.
2
1.2.1.2. Domicilio Legal
Jr. Enrique Palacios Nro. 343 Casco Urbano.
1.2.1.3. RUC
20163065330
1.2.2. Actividad de la Empresa

Gobierno Regional, Local.
1.2.3. Alcance de la Empresa

Provincia del Santa.
1.2.4. Logotipo
Figura 1. Logotipo de la Municipalidad

Fuente: Web institucional MPS
1.3. FILOSOFÍA CORPORATIVA

La Municipalidad Provincial del Santa tiene como filosofía representar al
vecindario, promover la adecuada prestación de los servicios públicos locales y el
desarrollo integral, sostenible y armónico de su circunscripción, garantizando el
ejercicio pleno de los derechos y la igualdad de oportunidades de la Población de
Chimbote.
1.4. VISIÓN Y MISIÓN DE LA EMPRESA

1.4.1. Visión
Ser una institución moderna que propicia un ambiente saludable,
equilibrado y adecuado para el pleno desarrollo de la vida, en un espacio
seguro, limpio y ordenado, aprovechando los recursos naturales y culturales
de su jurisdicción, con un alto porcentaje de desarrollo económico, con
justicia social y asociándose con los niveles de gobierno regional, nacional e
internacional, facilitando la competitividad local, utilizando sistema que
3
propicien y adquiera el perfil de una de las mejores municipalidades del
mundo.
1.4.2. Misión
La Municipalidad Provincial del Santa, representa al vecindario, promueve
la adecuada prestación de los servicios públicos locales y el desarrollo
integral, sostenible y armónico articulado con las aspiraciones de los nueve
distritos que constituyen su circunscripción.
1.5. VALORES
 Lealtad: Los empleados no deben estar sujetos a influencias, intereses ni
relaciones que entren en conflicto con los mejores intereses de la
Municipalidad, ni deben aparentarlo.
 Respeto por la normatividad: Se espera que la totalidad de los empleados
cumpla estrictamente las leyes generales y específicas rectoras de los
Gobiernos Locales.
 Cumplimiento de los principios y deberes éticos del servidor público:
Nuestros empleados deben cumplir las más exigentes normas éticas en el
ejercicio de sus deberes, establecido en la Ley N° 27815, Ley del código de
ética de la función pública.
 Comunicación: Animamos a los empleados a que consulten con Gerentes,
sub gerente y otros empleados, sobre sus actividades a fin de mejorar su
desempeño. Pero también, debe denunciar los actos que trasgredan las
normas y regulaciones.
 Honestidad: Comportamiento ético yy moral ante nosotros y hacia la
comunidad.
 Respeto: Aceptar a las demás personas y valorar sus ideas, reconociendo
sus derechos y deberes.
 Compromiso: Entregar lo mejor de sí mismo con responsabilidad en todas
las actividades, con el objetivo de lograr los mejores resultados.
1.6. OBJETIVOS ESTRATÉGICOS
a) Población desarrollada económica y sosteniblemente.
b) Población con mejor calidad de vida y acceso equitativo a oportunidades
4
c) Mejora en la calidad de vida de la población que se desarrolla en un ambiente
saludable.
d) Mayor grado de satisfacción y calidad de vida por una eficiente gestión
pública – privada y una gobernabilidad basada en una efectiva participación
social.
5
1.7. ORGANIZACIÓN ACTUAL DE LA EMPRESA
Figura 2. Organigrama
Fuente: Web institucional MPS
6
CAPÍTULO II
PLANTEAMIENTO DEL PROBLEMA
7
2.1. REALIDAD PROBLEMÁTICA
La Municipalidad Provincial del Santa realiza la gestión de toda la provincia y con
el pasar de los años la población ha ido en aumento, así como la información sobre
las diversas áreas de su competencia entre las cuáles podemos mencionar: registro
civil con las nuevas partidas de nacimiento, en transporte existen nuevos permisos
de circulación de vehículos, en participación vecinal existen nuevos proyectos, en
inmobiliaria a diario se realizan gestiones para la entrega de nuevos terrenos, títulos
de propiedad para las nuevas familias y los tributos relacionados a los predios,
vehículos, parques y jardines, entre otros. En tal sentido es indispensable y
necesaria una continua evaluación para detectar los puntos críticos donde se debe
mejorar y los aspectos positivos que se están logrando para reforzarlos y alcanzar
los objetivos estratégicos de la organización.
La Gerencia de Informática y Tecnologías de la Información y Comunicación

(GITIC) es uno de los seis órganos de apoyo de la Municipalidad encargado de
administrar actividades referidas al proceso de planificación, organización,
dirección, coordinación, comunicación y control acerca del uso de los recursos
informáticos, así como la administración, mantenimiento y desarrollo de los
sistemas de información. Actualmente no se han revisado o evaluado todos los
aspectos que componen los sistemas de información, tales como hardware software
y la gestión entre ellos con políticas que lo respalden; ya que al no estar trabajando
de forma adecuada significaría graves problemas pues todos los procesos de la
municipalidad se verían afectados.
Existen irregularidades en cuanto a que no se realiza de manera continua una

supervisión, evaluación y valorización del rendimiento y conformidad en el
desempeño de las Tecnologías de Información (T.I), lo cual genera que el personal
que labora no tenga conocimiento de todos los problemas que existen en el área y
por lo tanto no aporte para brindar una solución a los problemas que existen.
La Gerencia de Informática no controla la infraestructura tecnológica a menos que

exista un incidente relacionado, las labores del personal son asignadas a través de
Memorándums en formato físico lo cual ha ocasionado muchas veces que se
pierdan y existan conflictos entre el personal que no quiere asumir dicha función.
No existen políticas de T.I en la Gerencia sobre seguridad y cultura informática.
Los sistemas de información actúan de forma independiente uno del otro y no se
cuenta con un control de versiones, diagramas, casos de uso, entre otros tipos de
documentación. Se observa pérdida de documentos por parte de secretaría y las
actividades se realizan de acuerdo al criterio del trabajador y no siguen una norma o
estándar establecido como línea base.
La Municipalidad se proyecta como una entidad que se rige bajo la transparencia y

sirve a la comunidad adoptando las tecnologías de la información y comunicación
para todos sus procesos y actividades.
8
Las municipalidades de nuestra capital como la Municipalidad de Miraflores y San
Isidro le han dado la debida importancia a la evaluación y control de los sistemas,
así como una correcta gestión de TI y se ve reflejado en los diversos procesos que a
diario realizan los ciudadanos, como ejemplo podemos mencionar las transacciones
y pagos en línea que realizan a través de su plataforma web, consultas sobre el
estado de sus solicitudes y trámites que no involucran grandes colas en los
establecimientos.
En la Municipalidad Provincial del Santa existen problemas en las principales

áreas de enfoque de Gobierno de TI, por ejemplo no se observa un alineamiento
estratégico en su totalidad ya que algunas áreas aún no trabajan en conjunto con los
procesos de T.I, la entrega de valor no está siendo tan eficiente y eficaz como se
espera, no se está dando importancia a la gestión de riesgos, los recursos humanos y
de TI aún no están optimizados, lo cual muestra un desempaño bajo todavía. En tal
sentido se requiere la aplicación de una auditoría de sistemas basada en normas
internacionales y con marcos de trabajo de apoyo. Cobit es un marco de negocio
para el Gobierno y la Gestión de TI en la empresa garantizando un adecuado
proceso de auditoría, toda vez que centra su interés en la gobernabilidad,
aseguramiento, control y auditoría para Tecnologías de la Información, por lo que
actualmente es uno de los estándares más utilizados, como base en la realización de
una metodología de control interno en el ambiente de tecnología informática, lo
cual será aplicado en la Gerencia de Informática y Tecnologías de la Comunicación
de la Municipalidad Provincial del Santa con la finalidad de detectar los puntos
críticos y proponiendo mejoras que aseguren la calidad y control de los procesos
realizados en la gerencia.
2.2. ANÁLISIS DEL PROBLEMA

 Los procesos que se realizan dentro de esa gestión no están bien definidos:
Esto es reflejado en el personal a cargo cuando no realizan bien sus
funciones. Es decir, el personal no cumple con sus roles y responsabilidades
en su totalidad.
 Los recursos humanos del área de Gestión de Tecnologías y Sistemas de
Información no están generando nuevos servicios de T.I: Esto se ve
reflejado en que no hay innovación en los sistemas, es decir solo se
encargan de administrar los sistemas existentes sin añadirle alguna mejora,
o crear algo nuevo que pueda beneficiar a la gerencia.
 Existen continuos problemas de sistemas y redes: Se puede observar cuando
aparecen fallos en los sistemas y redes.
 Demoras en la atención de solicitudes.
 Equipos informáticos sin darle uso o en mal estado.
9
 Constantes quejas de los usuarios de áreas externas.
 Servidores afectados por cortes de fluido eléctrico.
 Pérdida de documentación clave.
2.3. ANTECEDENTES DEL PROBLEMA
2.3.1. Antecedentes Internacionales
Título: “Adaptación del Modelo de Gobierno y Gestión para la
empresa VirtIT Expert Basado en COBIT 5”
Autores: Omar Jesús Bugosen Abi-Gosen y Christian Daniel Tejada Ruiz
Año: 2015
Lugar: Quito/Ecuador
Resumen de la investigación:
En este Proyecto se planteó una solución probada de modelo de Gobierno y

Gestión de Tecnologías de Información basado en COBIT 5 enfocado en el
dominio de gestión Entregar, Dar Servicio y Soporte. Así mismo se
concluyó, que es plenamente necesario contar con un adecuado modelo de
Gobierno de TI, para garantizar la correcta operación en la entrega de
servicios de infraestructura y aplicaciones de Tecnologías de Información,
apoyado en la mitigación de riesgos y evitando los problemas expuestos.
Relación con nuestra investigación:
Esta investigación se realiza en base al Modelo COBIT 5 que se utiliza

principalmente en auditoria o buenas prácticas, en este caso nos es de mucha
ayuda ya que usa el mismo instrumento de investigación.
Título: “Auditoría a los Procesos de Desarrollo de Software del

Centro de Transferencia Tecnológica de la ESPE para el caso del
Sistema Hospitalario HB11 bajo el Marco de Referencia COBIT 5”.
Autor: Raquel Cristina Álvarez y Gladys Alexandra Guanoluisa
Año: 2015
10
Lugar: Sangolqui/Ecuador
Este trabajo se enfoca en: 1) la definición de mecanismos e instrumentos a

utilizar para la auditoría puesto que COBIT 5 sólo es una mejor práctica y
no una metodología y 2) la auditoria, para el primer enfoque se considera
que COBIT ofrece flexibilidad ya que se apega a las necesidades
particulares de cada organización.
2.3.2. Antecedentes Nacionales

Título: “Diseño de un modelo de gobierno de TI con enfoque de
seguridad de información para empresas prestadoras de
servicios de salud bajo la óptica de COBIT 5.0”
Autor: Diana Estefanía Lepage Hoces
Año: 2014
Lugar: Lima/Perú
En este Proyecto se planteó una solución integrada que brindará a la

institución un valor agregado por el lado de gestión tecnológica, pues se
garantiza el alineamiento estratégico y la entrega de beneficios a los
stakeholders siguiendo actividades y estableciendo roles y responsabilidades
de acuerdo un enfoque identificado y que se adapte a lo que la empresa
pueda alcanzar en un determinado espacio de tiempo.
2.3.3. Antecedentes Locales

Título: “Auditoría Informática de los Sistemas Informáticos de la
Unidades de Informática de la Escuela de Postgrado de la
Universidad Nacional de Huaraz”.
Autor: Víctor Carlos Quiñones Rado
Año: 2008
Lugar: Huaraz/Ancash/Perú
11
En este Proyecto se planteó diseñar un Gobierno de Tecnología de

Información con enfoque a seguridad de información, en el se consideró,
realizar copias de seguridad y llevar un registro de accesos diarios de
usuarios. También ubicar el Servidor Dedicado en el lugar apropiado donde
el acceso es restringido y alejado de personas extrañas a la Unidad. Así
como realizar el manejo de fallas para prevenir, diagnosticar y reparar
posibles fallas en los diferentes componentes de la red.
Título: “Auditoría de Sistemas Informáticos”
Autores: Christian Omar Lluén Lozano y José Nelson Delgado Gonzales
Año: 2006
Lugar: Santa/Santa/Ancash/Perú
En este Proyecto se concluyó que es necesario contar con un adecuado

sistema para garantizar la correcta operación de control de ingresos y salidas
del personal de trabajo, a la vez reestructurando la red y verificando
periódicamente el estado en que se encuentran los equipos de cómputo, así
mismo con su apropiada ubicación, la cual tiene como finalidad, contar con
una mayor seguridad de la información de la empresa.
2.4. FORMULACIÓN DEL PROBLEMA

¿De qué manera la aplicación del Modelo COBIT en auditoría, logrará determinar
el nivel alcanzado en la gestión de sistemas de información, infraestructura
tecnológica y procesos de la Gerencia de Informática de la Municipalidad
Provincial del Santa?
2.5. HIPÓTESIS
¿La aplicación del Modelo COBIT en auditoría, logra determinar el nivel alcanzado
en la gestión de sistemas de información, infraestructura tecnológica y procesos de
la Gerencia de Informática de la Municipalidad Provincial del Santa?
12
2.6. OPERACIONALIZACIÓN DE LAS VARIABLES
Variables Indicadores
Modelo Cobit Satisfacción de las necesidades de las partes
V.I: Variable Independiente Procesos Habilitadores
Procesos de Gobierno y de Gestión
Principios Cobit
Aplica un solo marco integrado.
Habilitar un enfoque holístico.
Auditoría de sistemas de Información actualizada.
información de la MPS Reportes por rubros.
V.D: Variable Dependiente Acceso a usuarios autorizados.
Nivel de Seguridad de Información.
Estado actual del hardware.
Escalabilidad de los sistemas de información.
Políticas de gestión y control.
Transparencia de la información.
Tabla 1. Operacionalización de las variables
Fuente: Elaboración Propia
2.7. OBJETIVOS
2.7.1. Objetivo General
Determinar el nivel alcanzado de los sistemas de información,
infraestructura tecnológica y gestión de procesos en la Gerencia de
Informática de la Municipalidad Provincial del Santa, mediante una
auditoría basada en el Modelo Cobit.
2.7.2. Objetivos Específicos

 Aplicar los 5 principios del Modelo COBIT en la Gerencia de
Informática de la Municipalidad Provincial del Santa.
 Identificar el nivel de seguridad de los S.I
 Evaluar los procesos de Gobierno y Gestión según Cobit en la
Gerencia de informática e identificar la escala en la que se
encuentran.
 Realizar las recomendaciones en los procesos evaluados de la
Gerencia de Informática.
 Identificar oportunidades de mejora en la Gerencia de Informática
de la Municipalidad Provincial del Santa.
 Identificar aspectos positivos después de realizar la auditoría.
 Realizar un informe final de Auditoría indicando todos los puntos
evaluados y recomendaciones.
13
2.8. JUSTIFICACIÓN
2.8.1. Económica
La ejecución del proyecto permitirá identificar los problemas informáticos y
de sistemas que existan, de esta manera se reducirán costos, los cuales
podrían ser muy elevados si no se detecta a tiempo.
2.8.2. Técnica
Realizar una correcta gestión de TI, control de sistemas de información y
recursos de la gerencia con la finalidad de optimizar los procesos de la
2.8.3. Operativa
La Auditoría Informática permitirá aumentar la eficiencia y eficacia en el
desarrollo de las operaciones, haciendo los procedimientos más seguros y
brindando mayor agilidad de las actividades de la organización.
2.8.4. Social
Detectar fallos en los sistemas, redes, equipo informático y todos los
recursos que utiliza el personal administrativo evitando demoras o
interrupciones en los procesos y optimizando el servicio que se brinda a
cientos de ciudadanos que asisten a diario a la municipalidad a realizar
diversos trámites
2.8.5. Personal
Reducir el malestar o estrés del personal administrativo previniendo futuros
fallos en los sistemas de información, red o equipos informáticos lo cual no
le permite realizar sus funciones asignadas y a la vez actuando de forma
inmediata frente a los problemas que existen actualmente.
2.8.6. Tecnológica
Aprovechar estándares internacionales y marcos de trabajo probados, para
una adecuada gestión de los recursos de Tecnologías de la Información en la
organización.
14
2.9. IMPORTANCIA DE LA INVESTIGACIÓN
Con la aplicación de la auditoría basada en el modelo Cobit se llevará a cabo la
evaluación de normas, técnicas, políticas y procedimientos para el óptimo
desempeño de los sistemas de información, siendo de gran importancia para
detectar vulnerabilidades y posteriormente obtener los controles necesarios para
que los sistemas de información sean confiables y posean el adecuado nivel de
seguridad, así como actuar oportunamente sobre los diversos problemas de gestión
de TI.
2.10. LIMITACIONES
Cambio del personal administrativo, personal de soporte técnico, administrador
de redes y gerente de la GITIC. Cuatro alcaldes nuevos en el periodo 2018 y
preocupación de los trabajadores por la transferencia 2019, lo cual retrasa la
elaboración del proyecto.
2.11. DISEÑO DE INVESTIGACIÓN

2.11.1. Tipo
 SEGÚN SU NATURALEZA
Es Descriptiva, porque, mediante la recolección de la información a
través del diagnóstico, se podrá identificar hechos y objeto del estudio en
relación a los recursos y sistemas de información de la Municipalidad
Provincial del Santa, tal como se encuentra actualmente, lo que permitirá
a través de la percepción describirlos, evaluarlos y medirlos de manera
independiente en función a sus correspondientes propiedades más
importantes, con el propósito de determinar y asegurar que las políticas y
procedimientos en la gerencia de Informática se realizan de manera
eficiente y oportuna, luego, mediante la percepción y descripción de las
características de cada una de las variables involucradas asociadas al
modelo nos inducirá a la prueba de hipótesis como causa directa de la
optimización de los procedimientos y políticas aplicadas.
 SEGÚN SU FIN O PROPÓSITO

Es Aplicada, porque para dar una alternativa de solución, a la
problemática planteada en la Gerencia de Informática de la
Municipalidad Provincial del Santa, vamos a realizar una auditoría a fin
15
de analizar la eficiencia de los Sistemas Informáticos, cumplimiento de
normativas en este ámbito y la revisión de los recursos informáticos.
2.11.2. Población
En este proyecto tenemos una población finita que está constituida por
todo el personal de la Municipalidad Provincial del Santa.
2.11.3. Muestra
Trabajadores de la Gerencia de Informática y Tecnologías de la
Información y Comunicación de la Municipalidad Provincial del Santa en
los meses de Febrero a Abril del año 2018.
2.12. TÉCNICAS E INSTRUMENTOS DE RECOLECCIÓN DE DATOS

En nuestro estudio es necesario el uso de técnicas e instrumentos de recolección
de datos ya que nos ayuda a obtener toda la información que necesitamos para el
desarrollo de la auditoría.
Técnicas Instrumentos
Checklist Inventarios
Se aplicará a fin de que el Para recopilar información, haciendo un
auditado responda clara y recuento físico de lo que se está auditando
concisamente tomando nota de y ver el estado de los recursos.
las detalles imprescindibles.
Entrevistas Cuestionarios
Mediante la petición de Para tener la información recolectada de
documentación concreta o forma documentada.
preguntas sobre alguna materia de
su responsabilidad
Observación Tablas de calificación
Permite recolectar directamente la Se usaron estas tablas de calificación para
información necesaria sobre el poder obtener los resultados de nuestra
comportamiento de los sistemas, auditoria.
la gerencia, funciones,
operaciones, acción o fenómeno
del personal y ámbito de
sistemas.
Tabla 2. Técnicas e Instrumentos de recolección de datos
16
CAPÍTULO III
MARCO TEÓRICO
17
3.1. CONCEPTOS GENERALES
3.1.1. AUDITORÍA
Según el diccionario de la Real Academia Española (RAE, 2001), auditoría
se define como la “revisión sistemática de una actividad o de una situación
para evaluar el cumplimiento de las reglas o criterios objetivos a que
aquellas deben someterse”.
La auditoría implica la revisión del cumplimiento de diversas políticas o
normas que se han establecido dentro de una organización a fin de servir
como soporte para la toma de decisiones.
3.1.2. APLICACIÓN
Según la Real Academia Española (RAE, 2001), aplicación se define como
“acción y efecto de aplicar o aplicarse”. Es decir, se llevará a cabo
determinada acción, que para nuestro proyecto consiste en utilizar el modelo
Cobit para auditoría y control de sistemas.
3.1.3. MODELO COBIT
El marco de trabajo de COBIT 5 para el gobierno y la gestión de la TI de la
empresa es una hoja de ruta de crecimiento y optimización empresarial de
vanguardia que aprovecha las prácticas comprobadas, el liderazgo global y
las herramientas innovadoras para inspirar la innovación de TI y fomentar el
éxito empresarial. El marco líder para el gobierno y la gestión de TI de la
empresa. (Isaca, 2019).
3.1.4. CONTROL
Según la Real Academia Española (RAE, 2001) [4], control también se
puede definir como “regulación, manual o automática sobre un sistema” o
también “comprobación, inspección, fiscalización, intervención”.
3.1.5. GERENCIA INFORMÁTICA
¿Qué es la Gerencia de informática?
La Gerencia de Informática es el órgano de apoyo dependiente de la
Gerencia General, encargado de administrar actividades referidas al proceso
de planificación, organización, dirección, coordinación, comunicación y
control acerca del uso adecuado de los recursos informáticos, físicos,
lógicos y la utilización de las tecnologías de la información y comunicación
en la institución, desarrollando e implementando los sistemas integrados ,
18
así como la administración y mantenimiento de los sistemas de cómputo,
procesamiento electrónico de datos, sistema de redes, soporte informático y
aplicaciones para cubrir las necesidades de información contable, logística,
laboral, estadística y de gestión en general de la comuna provincial. (ROF-
MPS-2014)
¿Qué funciones posee la Gerencia de informática de la Municipalidad
Provincial del Santa?
a) Acondicionamiento de la Unidad de Informática, la Sala de Soporte
Técnico, el Centro de Datos y la Sala de Analistas Programadores
para una eficiente labor.
b) Renovar y/o mejorar el Portal Web Institucional permitiendo un
flexible crecimiento con el uso de nuevas aplicaciones informáticas,
como ELearning y Streaming.
c) Continuar desarrollando las actividades de coordinación y servicio
de asistencia técnica de manera rápida y eficiente.
d) Reforzar y/o ampliar la capacidad profesional de la Unidad de
Informática mediante un adecuado perfil de profesionales.
e) Capacitación al personal de la Unidad de Informática en las nuevas
tecnologías adquiridas.
f) Establecer la estandarización en la adquisición de equipos y uso de
software licenciados.
g) Fortalecer la infraestructura tecnológica con tecnologías emergente a
fin de innovar servicios y garantizar la seguridad de la información.
h) Elaborar informe para el mejoramiento de los procesos de negocio
de las funciones más importantes de la Municipalidad Provincial del
Santa.
i) Implementar sistemas funcionales, innovadores e informativos para
mejorar los procesos de negocio de la Municipalidad Provincial del
Santa.
j) Mejoramiento en las telecomunicaciones con las sedes de la
Municipalidad Provincial del Santa. (ROF-MPS-2014 )
3.1.6. SISTEMAS DE INFORMACIÓN
Conjunto coordinado de contenidos y servicios, basados en tecnologías
digitales y en red, que una organización pone a disposición de sus
19
stakeholders (personas con intereses en la misma) internos y externos, para
facilitarles la producción y el consumo de conjuntos estructurados y selectos
de datos, orientados a convertirse en información de valor para la actividad
de la organización. Cobarsi, J.,(2011) Sistemas de información en la
empresa, Editorial UOC.
Conjunto de recursos técnicos, humanos y económicos interrelacionados
dinámicamente y organizados en torno al objetivo de satisfacer las
necesidades de información de una organización para la gestión y la correcta
adopción de decisiones. Ruiz, E.,(2017) Nuevas tendencias en los sistemas
de información, Editorial Centro de Estudios Ramon Areces SA.
Tipos de sistemas de información
Una posible clasificación de los sistemas de información está relacionada

con el área funcional en que se utiliza el S.I. Según éste criterio se dividen
en: sistemas del área financiera, sistemas del área de producción, sistemas
del área de recursos humanos y sistemas del área de comercialización.
Sin embargo, la clasificación más clásica es la que relaciona los SI con los
niveles de gestión de las organizaciones. Estos niveles son: dirección
operativa, dirección táctica y dirección estratégica. Ruiz, E.,(2017) Nuevas
tendencias en los sistemas de información, Editorial Centro de Estudios
Ramon Areces SA.
a) Nivel de dirección operativa

El nivel directivo más bajo es el que se encarga de las operaciones
cotidianas de la empresa, y está integrado por los mandos que se
responsabilizan de la planificación, programación y control de las
actividades básicas de la empresa.
Normalmente se conocen como Sistemas de Procesamiento de
Transacciones (TPS, Transaction Process Systems). En la década de
los sesenta nacieron los TPS por su facilidad de programación.
Producen información inmediata de alta precisión y detalle para el
resto del sistema. Ruiz, E.,(2017) Nuevas tendencias en los sistemas
de información, Editorial Centro de Estudios Ramon Areces SA.
20
b) Nivel de dirección táctica
Es el nivel directivo intermedio y está formado por directivos
encargados de la planificación táctica, es decir, de la planificación a
medio plazo (1 año), cuyo objetivo es el logro de las metas marcadas
por el nivel estratégico. Básicamente los sistemas de gestión de la
información de este nivel son los MIS(Management Information
Systems) y los DSS(Decision Support Systems).
Los MIS o sistemas de información para la dirección proporcionan
informes a los niveles directivos tácticos o de administración para
controlar el desarrollo de planes y programas.
Los DSS o sistemas de apoyo a las decisiones se sitúan entre los
niveles táctico y estratégico, proporcionando apoyo a ambos. Si a un
DSS se le dota de la posibilidad de imitar el razonamiento humano se
obtiene un sistema experto. Ruiz, E.,(2017) Nuevas tendencias en los
sistemas de información, Editorial Centro de Estudios Ramon Areces
SA.
c) Nivel de dirección estratégica
Este nivel está asociado con la alta dirección, cuyos ejecutivos tienen
que formular los objetivos, fines y planes a largo plazo para que la
organización sea capaz de aprovecharse de los cambios del entorno y
obtener ventaja competitiva.
Los sistemas para este nivel son los EIS (Executive Information
Systems) o SI para ejecutivos. Estos sistemas se alimentan de la
información proporcionada por los TPS, MIS y DSS y permiten
incorporar datos externos. Ruiz, E.,(2017) Nuevas tendencias en los
sistemas de información, Editorial Centro de Estudios Ramon Areces
SA.
3.1.7. MUNICIPALIDAD
Es la institución del estado, con personería jurídica, facultada para ejercer el
gobierno de un distrito o provincia, promoviendo la satisfacción de las
necesidades de la población y el desarrollo de su ámbito. LEY Nº 27972 -
Diario Oficial el Peruano.
21
Misión de la municipalidad
Se encuentra manifiesta en la Ley Orgánica de Municipalidades, definida
por tres elementos:
 Ser una instancia de representación: Son los ciudadanos y
ciudadanas, quienes democráticamente deciden otorgar un
mandato para que tanto alcaldes como regidores asuman su
representación en la conducción del gobierno local, dicho
mandato, está sujeto a un conjunto de reglas, que, si no son
cumplidas pueden generar el retiro de la confianza ciudadana y
por tanto el resquebrajamiento de la legitimidad para ejercer
dicha representación.
 Ser una instancia promotora del desarrollo integral
sostenible: Entendiendo por desarrollo integral sostenible un
proceso de mejora de la calidad de vida de la población, en donde
la persona, especialmente aquella en condiciones de pobreza y
exclusión, se convierta en el centro de atención de todos los
esfuerzos siempre y cuando ello no comprometa la calidad de
vida de las poblaciones futuras.
 Ser una instancia prestadora de servicios públicos: Entendidos
como aquellos servicios brindados por la municipalidad, que
permitan a los ciudadanos, individual o colectivamente ser
atendidos en determinadas necesidades que tengan carácter de
interés público y sirvan al bienestar de todos.
Tipos de Municipalidad
a) Municipalidades Provinciales: Ejercen el gobierno local en las

demarcaciones provinciales.
b) Municipalidades Distritales: Ejercen el gobierno local en las
demarcaciones distritales
c) Municipalidades de Centros Poblados: Se crean por ordenanza
municipal provincial y ejercen funciones delegadas, las que se
establecen en la ordenanza que las crea. Para el cumplimiento de sus
funciones las municipalidades provinciales y distritales deben
asignarles recursos económicos de manera mensual.
22
Existen municipalidades que, por sus características particulares, se
sujetan a regímenes especiales como la Municipalidad de Lima
Metropolitana, las ubicadas en zonas de frontera y las
Municipalidades ubicadas en zonas rurales. La Ley Orgánica de
Municipalidades 27972 establece un título especial – el Título XI- ,
con el objeto de promover el desarrollo municipal en zonas rurales.
3.2. AUDITORÍA DE SISTEMAS DE INFORMACIÓN

La auditoría de sistemas se encarga de la evaluación de todos aquellos aspectos
relacionados con los recursos informáticos de la organización como son software,
hardware, talento humano, funciones y procedimientos, enfocados todos ellos desde
el punto de vista administrativo, técnico y de seguridad; y propende por prevenir a
la empresa de aquellos riesgos originados por omisiones, errores, violaciones, actos
mal intencionados, desastres naturales, etc, asesorando y proporcionando
recomendaciones y sugerencias a nivel directivo para lograr un adecuado control
interno en la empresa. Pacheco, E,.(2018) Auditoría de Sistemas, Lima 1era
Edición.
En el marco esquemático de la auditoría de sistemas computacionales se realiza la

evaluación a: Hardware, software, Gestión Informática, información, diseño de
sistemas, bases de datos, seguridad, redes de cómputo y especializadas.
La auditoría de sistemas abarca diversos aspectos del área de TI entre los cuales
tenemos:
 Evaluación de controles existentes.

 Cumplimiento de metodología de sistemas.
 Evaluación de la seguridad en el área informática.
 Evaluación de suficiencia en los planes de contingencia.
 Utilización de los recursos informáticos para el resguardo y protección de
activos.
 Control de modificaciones de las aplicaciones existentes contra fraudes u
otros problemas.
 Negociaciones de contratos con los proveedores.
 Revisión del sistema operativo y los programas.
23
 Auditoria de la base de datos.
 Auditoría de la red y procesos.
3.3. HERRAMIENTAS Y TÉCNICAS PARA LA AUDITORÍA
Se utilizan métodos de identificación (incluyendo herramientas) para realizar la
evaluación. El auditor de SI debe traducir el objetivo de la auditoría en objetivos
más específicos y determinar el nivel de cumplimiento y/o pruebas sustantivas
requeridas para cumplir con el objetivo de la auditoría. Las herramientas de
auditoría pueden ser tan simples como cuestionarios o tan complejos como scripts
que interrogan a los sistemas con el fin de recoger información del sistema.
Ejemplos de herramientas de auditoría: Cuestionarios, Guiones, Bases de datos
relacionales, Hojas de cálculo, Herramientas de auditoría asistidas por computadora
(CAATs), Metodologías de muestreo para la auditoría, actas, etc. Isaca.
(2016)Information Systems Auditing: Tools and Techniques.
El apartado 6.2.1 Técnicas de Auditoría - Guía de Auditoría de la Contraloría

General de la República indica que son los métodos prácticos de investigación y
prueba que el auditor utiliza para obtener evidencia necesaria que le permita
fundamentar su opinión profesional. Su empleo se basa en el criterio o juicio
profesional, según las circunstancias.
Por el tipo de evidencia obtenida, las técnicas de auditoría se clasifican en técnicas
de obtención de evidencias físicas, documental, testimonial o analítica. Contraloría
General de la República.,(2015) Guía Técnicas de Auditoría.
a) Técnicas de obtención de evidencias físicas:

- Inspección
- Observación
b) Técnicas de obtención de evidencia documental:
- Relevamiento
- Comprobación
- Rastreo
- Revisión selectiva
c) Técnicas de obtención de evidencia testimonial:
- Indagación
- Entrevista
24
- Encuesta
- Cuestionario
- Declaración
- Confirmación
d) Técnicas de obtención de evidencia analítica:
- Análisis
- Conciliación
- Tabulación
- Cálculo
- Comparación
3.4. ISACA
Es una asociación global, independiente y sin fines de lucro, ISACA se dedica al
desarrollo, adopción y uso de conocimientos y prácticas líderes en la industria y
aceptados a nivel mundial para los sistemas de información. Anteriormente
conocida como la Asociación de Control y Auditoría de Sistemas de Información,
ISACA ahora solo se usa por sus siglas, para reflejar la amplia gama de
profesionales de gobierno de TI a los que sirve.
ISACA proporciona orientación práctica, puntos de referencia y otras herramientas

efectivas para todas las empresas que utilizan sistemas de información. A través de
su guía y servicios integrales, ISACA define los roles de los profesionales de la
gobernanza de sistemas de información, seguridad, auditoría y aseguramiento en
todo el mundo. El marco COBIT y las certificaciones CISA, CISM, CGEIT y
CRISC son marcas de ISACA respetadas y utilizadas por estos profesionales en
beneficio de sus empresas.
Certificaciones:
 CISA
Figura 3. Logo CISA

Fuente: Isaca Website
25
CISA (Certified Information Security Auditor), en español “Auditor de
sistemas de información certificado”, es reconocido mundialmente como
el estándar de logros para aquellos que auditan, controlan, monitorean y
evalúan la tecnología de la información y los sistemas empresariales.
 CISM
Figura 4. Logo CISM

CISM(Certified Information Security Manager) en español “Gerente

Certificado de Seguridad de la Información” está centrada
exclusivamente en la gestión promueve las prácticas de seguridad
internacional y reconoce a la persona que administra, diseña, supervisa y
evalúa la seguridad de la información de una empresa.
 CGEIT
Figura 5. Logo CGEIT

CGEIT(Certified in the Governance of Enterprise IT) en español

“Certificado en la Gobernanza de TI Empresarial” reconoce a una amplia
gama de profesionales por su conocimiento y aplicación de los principios
y prácticas de gobierno de TI de la empresa. Como profesional
certificado por CGEIT, demuestra que es capaz de llevar el gobierno de
TI a una organización, que capta el tema complejo de manera integral y,
por lo tanto, aumenta el valor para la empresa.
 CRISC
Figura 6. Logo CRISC

26
CRISC (Certified in Risk and Information Systems Control ) en español
“Certificado en Control de Riesgos y Sistemas de Información” es la
certificación que prepara y capacita a los profesionales de TI para los
desafíos únicos de TI y la gestión de riesgos empresariales, y los
posiciona para convertirse en socios estratégicos de la empresa.
Marco COBIT
COBIT (Control Objectives for Information and related Technology) en español

“Objetivos de Control para Información y Tecnologías Relacionadas” es una guía
de mejores prácticas presentada como framework, dirigida al control y supervisión
de tecnología de la información (TI), tiene una serie de recursos que pueden servir
de modelo de referencia para la gestión de TI, incluyendo un resumen ejecutivo, un
framework, objetivos de control, mapas de auditoría, herramientas para su
implementación y principalmente, una guía de técnicas de gestión.
3.5. COBIT
Como vimos en el apartado anterior, Cobit es un marco de referencia internacional
para la auditoría de sistemas, probada por expertos a nivel mundial y elaborado por
el organismo más grande de auditoría, ISACA, del cual hablamos también con
anterioridad.
Cobit logra un equilibrio entre beneficios, gestión de riesgos, uso óptimo de

recursos y satisfacción de necesidades de las partes interesadas, apoyando el logro
de objeticos y requerimientos del negocio.
3.5.1. Principios de COBIT 5

Cobit 5 se basa en cinco principios para el gobierno y gestión de TI en las
empresas.
27
Figura 7. Principios de COBIT 5
A) Satisfacción de necesidades de los interesados: Las empresas existen

para crear valor para sus partes interesadas manteniendo el equilibrio
entre la realización de beneficios y la optimización de los riesgos y el
uso de recursos. COBIT 5 provee todos los procesos necesarios y otros
catalizadores para permitir la creación de valor del negocio mediante el
uso de TI. Dado que toda empresa tiene objetivos diferentes, una
empresa puede personalizar COBIT 5 para adaptarlo a su propio
contexto mediante la cascada de metas, traduciendo metas corporativas
de alto nivel en otras metas más manejables, específicas, relacionadas
con TI y mapeándolas con procesos y prácticas específicos.
B) Cubrir una organización de extremo a extremo: COBIT 5 integra el
gobierno y la gestión de TI en el gobierno corporativo: – Cubre todas las
funciones y procesos dentro de la empresa; COBIT 5 no se enfoca sólo
en la “función de TI”, sino que trata la información y las tecnologías
relacionadas como activos que deben ser tratados como cualquier otro
activo por todos en la empresa. – Considera que los catalizadores
relacionados con TI para el gobierno y la gestión deben ser a nivel de
toda la empresa y de principio a fin, es decir, incluyendo a todo y todos
28
– internos y externos – los que sean relevantes para el gobierno y la
gestión de la información de la empresa y TI relacionadas.
C) Marco integrado: Hay muchos estándares y buenas prácticas relativos a
TI, ofreciendo cada uno ayuda para un subgrupo de actividades de TI.
COBIT 5 se alinea a alto nivel con otros estándares y marcos de trabajo
relevantes, y de este modo puede hacer la función de marco de trabajo
principal para el gobierno y la gestión de las Ti de la empresa.
D) Enfoque holístico: Un gobierno y gestión de las TI de la empresa
efectivo y eficiente requiere de un enfoque holístico que tenga en cuenta
varios componentes interactivos. COBIT 5 define un conjunto de
catalizadores (enablers) para apoyar la implementación de un sistema de
gobierno y gestión global para las TI de la empresa. Los catalizadores se
definen en líneas generales como cualquier cosa que puede ayudar a
conseguir las metas de la empresa. El marco de trabajo COBIT 5 define
siete categorías de catalizadores:
1. Principios, Políticas y Marcos de Trabajo
2. Procesos
3. Estructuras Organizativas
4. Cultura, Ética y Comportamiento
5. Información
6. Servicios, Infraestructuras y Aplicaciones
7. Personas, Habilidades y Competencias
E) Identificación clara entre Gobierno y Gestión: El marco de trabajo
COBIT 5 establece una clara distinción entre gobierno y gestión. Estas
dos disciplinas engloban diferentes tipos de actividades, requieren
diferentes estructuras organizativas y sirven a diferentes propósitos.
 Gobierno: Cobit nos dice que el Gobierno asegura que se
evalúen las necesidades, condiciones y opciones de las partes
interesadas para determinar que se alcanzan las metas
corporativas equilibradas y acordadas; estableciendo la dirección
a través de la priorización y la toma de decisiones; y midiendo el
rendimiento y el cumplimiento respecto a la dirección y metas
acordadas.
29
 Gestión: Por otro lado, la gestión planifica, construye, ejecuta y
controla actividades alineadas con la dirección establecida por el
cuerpo de gobierno para alcanzar las metas empresariales.
3.5.2. Metas corporativas de COBIT 5
Figura 8. Metas corporativas de Cobit

Fuente Isaca Website
3.5.3. Metas relacionadas con las TI
Figura 9. Metas relacionadas con las T.I

Fuente Isaca Website
30
3.5.4. Catalizadores de COBIT 5
Son factores que, individual y colectivamente, influyen sobre si algo
funcionará – en este caso, el gobierno y la gestión de la empresa TI. Los
catalizadores son guiados por la cascada de metas, es decir, objetivos de alto
nivel relacionados con TI definen lo que los diferentes catalizadores
deberían conseguir.
Figura 10. Catalizadores Cobit 5

3.5.5. Interacciones entre Gobierno y Gestión en Cobit 5
Figura 11. Interacciones entre Gobierno y Gestión en Cobit 5

31
3.5.6. Modelo de Referencia de Procesos de Cobit 5
El modelo de referencia de procesos de COBIT 5 divide los procesos de
gobierno y de gestión de la TI empresarial en dos dominios principales de
procesos:
Gobierno: Contiene cinco procesos de gobierno; dentro de cada proceso se
definen prácticas de evaluación, orientación y supervisión (EDM)
Gestión: Contiene cuatro dominios, en consonancia con las áreas de
responsabilidad de planificar, construir, ejecutar y supervisar (Plan, Build,
Run and Monitor - PBRM), y proporciona cobertura extrema a extremo de
las TI.
Los nombres de estos dominios han sido elegidos de acuerdo a estas
designaciones de áreas principales, pero contienen más verbos para
describirlos:
 Alinear, Planificar y Organizar (Align, Plan and Organise, APO)
 Construir, Adquirir e Implementar (Build, Acquire and Implement,
BAI)
 Entregar, dar Servicio y Soporte (Deliver, Service and Support,
DSS)
 Supervisar, Evaluar y Valorar (Monitor, Evaluate and Assess, MEA)
Figura 12. Las áreas claves de Gobierno y Gestión de Cobit 5

Cada dominio contiene un número de procesos los cuáles requieren de
actividades de planificación, implementación, ejecución y supervisión,
siendo en total 37 procesos de gobierno y gestión de Cobit 5.
32
Figura 13. Modelo de Referencia de Procesos
3.5.6.1. Procesos EDM (Evaluate, Direct and Monitor)

El dominio de Gobierno de TI Empresarial contempla 05 procesos de gobierno
EDM, en español “Evaluar, Orientar y Supervisar”. Cada uno de estos procesos
cuenta con algunas prácticas de Gobierno, como se puede observar en la Figura
14. Procesos EDM.
33
Procesos Nombre Descripción Prácticas de Gobierno
Analiza y articula los requerimientos para el gobierno de TI de la EDM01.01 Evaluar el sistema de gobierno.
Asegurar el
empresa y pone en marcha y mantiene efectivas las estructuras,
Establecimiento y
EDM01 procesos y prácticas facilitadores, con claridad de las EDM01.02 Orientar el sistema de gobierno
Mantenimiento del
responsabilidades y la autoridad para alcanzar la misión, las metas y
Marco de Gobierno
objetivos de la empresa. EDM01.03 Supervisar el sistema de gobierno
EDM02.01 Evaluar la optimización del valor

Optimizar la contribución al valor del negocio desde los procesos de
Asegurar la Entrega
EDM02 negociom de los servicios TI y activos de TI resultado de la inversión EDM02.02 Orientar la optimización del valor
de Beneficios
Evaluar, Oientar y supervisar
hecha por TI a unos costes aceptables.

EDM02.03 Supervisar la optimización del valor
Asegurar que el apetito de tolerancia al riesgo de la emprea son

Asegurar la EDM03.01 Evaluar la gestión de riesgos.
entendidos, articulados y comunicados y que el riesgo para el valor de
EDM03 Optimización del
la empresa relacionado con el uso de als TI es identificado y EDM03.02 Orientar la gestión de riesgos
Riesgo
gestionado EDM03.03 Supervisar la gestión de riesgos
Asegurar la Aegurar que la adecuadas y suficientes capacidades relacionadas con EDM04.01 Evaluar la gestión de recursos
EDM04 Optimización de los las TI(personas, procesos y tecnologías) están disponibles para
Recursos soportar eficazmente los objetivos de la empresa a un coste óptimo. EDM04.02 Orientar la gestión de recursos
EDM04.03 Supervisar la gestión de recursos.
Evaluar los requisitos de elaboración de
EDM05.01
Asegurar la Asegurar que la medición y la elaboración de informes en cuanto a informes de la partes interesadas.
Transparencia hacia conformidad y desempeño de TI de la empresa son transparentes, con
EDM05 Orientar la comunicación con las partes
las partes aprobación por parte de las partes interesadas de las metas, las EDM05.02
intersadas y la elaboración de informes.
interesadas métricas y la acciones correctivas necesarias.
Supervisar la comunicación con las partes
EDM05.03
interesadas.
Figura 14. Procesos EDM

3.5.6.2. Procesos APO (Align, Plan and Organise)

Tenemos los procesos para la Gestión de TI empresarial APO, Alinear,
Planificar y Organizar, tal como se observa en la Figura 15. Procesos APO.
34
APO01.01 Definir la estructura organizativa
APO01.02 Esstablecer roles y responsabilidades.
Mantener los elementos catalizadores del
APO01.03
sistema de gestión
Aclarar y mantener el gobierno de la misión y la visión corporativa Comunicar los objetivos y la dirección de
APO01.04
Gestionar el de TI. Implementar y mantener mecanismos y autoridades para la gestión.
APO01 Marco de gestión de la información y el uso de TI en la empresa para apoyar APO01.05 Optimizar la ubicación de la función de TI.
Gestión de TI los objetivos de gobierno en consonancia con la políticas y los Definir la propiedad de la información
APO01.06
principios rectores. (datos) y del sistema
Gestionar la mejora continua de los
APO01.07
procesos.
Mantener el cumplimiento con las políticas
APO01.08
y procedimientos.
APO02.01 Comprender la dirección de la empresa.
Proporcionar una visión holística del negocio actual y del entorno de
Evaluar el entorno, capacidades y
TI, la dirección futura, y las iniciativa necesarias para migrar al APO02.02
rendimiento actuales.
Gestionar la entorno deseado. Aprovechar los bloques y componentes de la
APO02 APO02.03 Definir el objetivo de las capacidades de TI
Estrategia estructura empresarial, incluyendo los servicios externallizados y
APO02.04 Realizar un análisis de diferencias
las capacidades relacionadas que permitan una respuesta ágil,
APO02.05 Definir el plan estratégico y la hoja de ruta
confiable y eficiente a los objetivos estratégicos.
APO02.06 Comunicar la estrategia y la dirección de TI
Desarrollar la visión de la arquitectura de
APO03.01
Establecer una arquitectura común compuesta por los procesos de empresa.
negocio, la información, los datos, las aplicaciones y la capas de la APO03.02 Definir la arquitectura de referencia.
Gestionar la
arquitectura tecnológica de manera eficaz y eficiente para la Seleccionar las oportunidades y las
APO03 Arquitectura APO03.03
realización de las estrategias de la empresa y de TI mediante la soluciones
Empresarial
creación de modelosclave y prácticas que describan las líneas de APO03.04 Definir la implantación de la arquitectura
partida. Proveer los servicios de arquitectura
APO03.05
empresarial.
Crear un entorno favorable para la
APO04.01
Mantener un conocimiento de la tecnología de la información y las innovación.
Construcción, Adquisisción e Implementación
tendencias relacionadas con el servicio, identificar las Mantener un entendimiento del entorno de
APO04.02
oportunidades de innovación y planificar la manera de beneficiarse la empresa.
de la innovación en relación con las necesidades del negocio. Supervisar y explorar el entorno
APO04.03
Gestionar la Analizar cuáles son las oportunidades para la innovación tecnológico.
APO04
Innovación empresarial o qué mejora puede crearse con las nuevas tecnologías, Evaluar el potencial de las tecnologías
APO04.04
servicios o innovaciones empresariales facilitadas por TI, así como a emergentes y las ideas innovadoras.
través de las tecnologías ya existentes y por la innovación en Recomendar iniciativas apropiadas
APO04.05
procesos empresariales y de TI. Influir en la planificación estratégica adicionales.
y en las decisiones de la arquitectura de empresa. Supervisar la implementación y el uso de la
APO04.06
innovación.
Ejecutar el conjunto de direcciones estratégicas para la inversión Establecer la mezcla del objetivo de
APO05.01
alineada con la visión de la arquitectura empresarial, las inversión.
características deseadas de inversión, los portafolios de servicios Determinar la disponibilidad y las fuentes
APO05.02
relacionados, considerar las diferentes categorías de inversión y de fondos.
recursos y las restricciones de financiación. Evaluar, priorizar y
Evaluar y seleccionar los programas a
equilibrar programas y servicios, gestionar la demanda con los APO05.03
Gestionar el financiar.
APO05 recursos y restricciones de fondos, basados en su alineamiento con
portafolio Supervisar, optimizar e informar sobre el
los objetivos estratégicos así como en su valor y riesgo corporativo. APO05.04
Mover los programas seleccionados al portafolio de servicios activos rendimiento del portafolio de inversiones.
listos para ser ejecutados. Supervisar el rendimiento global del
APO05.05 APO05.05 Mantener los portafolios.
portafolio de servicios y programas, proponiendo ajustes si fuesen
necesarios en respuesta al rendimiento de programas y servicios o
al cambio en las prioridades corporativas APO05.06 Gestionar la consecución de beneficios.
APO06.01 Gestionar las finanzas y la contabilidad.

Gestionar las actividades financieras relacionadas con las TI tanto en
el negocio como en las funciones de TI, abarcando presupuesto, APO06.02 Priorizar la asignación de recursos.
coste y gestión del beneficio, y la priorización del gasto mediante el
Gestionar el
uso de prácticas presupuestarias formales y un sistema justo y APO06.03 Crear y mantener presupuestos.
APO06 Presupuesto
equitativo de reparto de costes a la empresa. Consultar a las partes
y los Costes
interesadas para identificar y controlar los costes totales y los APO06.04 Modelar y asignar costes.
beneficios en el contexto de los planes estratégicos y tácticos de TI,
e iniciar acciones correctivas cuando sea necesario.
APO06.05 Gestionar costes.
Mantener la dotación de personal suficiente

APO07.01
y adecuada
Proporcionar un enfoque estructurado para garantizar una óptima APO07.02 Identificar personal clave de TI.
estructuración, ubicación, capacidades de decisión y habilidades de Mantener las habilidades y competencias
Gestionar los APO07.03
los recursos humanos. Esto incluye la comunicación de las funciones del personal.
APO07 Recursos
y responsabilidades definidas, la formación y planes de desarrollo Evaluar el desempeño laboral de los
Humanos APO07.04
personal y las expectativas de desempeño, con el apoyo de gente empleados.
competente y motivada. Planificar y realizar un seguimiento del uso
APO07.05
de recursos humanos de TI y del negocio.
APO07.06 Gestionar el personal contratado.
35
APO08.01 Entender las expectativas del negocio.
Gestionar las relaciones entre el negocio y TI de modo formal y
transparente, enfocándolas hacia el objetivo común de obtener Identificar oportunidades, riesgos y
APO08.02
resultados empresariales exitosos apoyando los objetivos imitaciones de TI para mejorar el negocio.
Gestionar las
APO08 estratégicos y dentro de las restricciones del presupuesto y los APO08.03 Gestionar las relaciones con el negocio.
Relaciones
riesgos tolerables. Basar la relación en la confianza mutua, usando APO08.04 Coordinar y comunicar.
términos entendibles, lenguaje común y voluntad de asumir la
Proveer datos de entrada para la mejora
propiedad y responsabilidad en las decisiones claves. APO08.05
continua de los servicios.
APO09.01 Identificar servicios TI.
Alinear los servicios basados en TI y los niveles de servicio con las
APO09.02 Catalogar servicios basados en TI.
Gestionar los necesidades y expectativas de la empresa, incluyendo
APO09.03 Definir y preparar acuerdos de servicio.
APO09 Acuerdos de identificación, especificación,
Supervisar e informar de los niveles de
Servicio diseño, publicación, acuerdo y supervisión de los servicios TI, APO09.04
servicio.
niveles de servicio e indicadores de rendimiento.
APO09.05 Revisar acuerdos de servicio y contratos.
Identificar y evaluar las relaciones y
APO10.01
contratos con proveedores.
Administrar todos los servicios de TI prestados por todo tipo de
Construcción, Adquisisción e Implementación
APO10.02 Seleccionar proveedores.

proveedores para satisfacer las necesidades del negocio,
Gestionar los Gestionar contratos y relaciones con
APO10 incluyendo la selección de los proveedores, la gestión de las APO10.03
Proveedores proveedores.
relaciones, la gestión de los contratos y la revisión y supervisión del
APO10.04 Gestionar el riesgo en el suministro.
desempeño, para una eficacia y cumplimiento adecuados.
Supervisar el cumplimiento y el
APO10.05
rendimiento del proveedor.
Establecer un sistema de gestión de la
APO11.01
calidad (SGC).
Definir y gestionar los estándares, procesos
APO11.02
y prácticas de calidad.
Enfocar la gestión de la calidad en los
Definir y comunicar los requisitos de calidad en todos los procesos, APO11.03
clientes.
Gestionar la procedimientos y resultados relacionados de la organización,
APO11 Supervisar y hacer controles y revisiones de
Calidad incluyendo controles, vigilancia constante y el uso de prácticas APO11.04
calidad.
probadas y estándares de mejora continua y esfuerzos de eficiencia.
Integrar la gestión de la calidad en la
implementación de soluciones y la entrega
APO11.05
de
servicios.
APO11.06 Mantener una mejora continua
APO12.01 Recopilar datos.
APO12.02 Analizar el riesgo.
Identificar, evaluar y reducir los riesgos relacionados con TI de
APO12.03 Mantener un perfil de riesgo.
Gestionar el forma continua, dentro de niveles de tolerancia establecidos por la
APO12 APO12.04 Expresar el riesgo.
Riesgo dirección ejecutiva de
Definir un portafolio de acciones para la
la empresa. APO12.05
gestión de riesgos.
APO12.06 Responder al riesgo.
APO13.01 Establecer y mantener un SGSI.
Gestionar la Definir, operar y supervisar un sistema para la gestión de la Definir y gestionar un plan de tratamiento
APO13 APO13.02
Seguridad seguridad de la información. del riesgo de la seguridad de la información.
APO13.03 Supervisar y revisar el SGSI.

Figura 15. Procesos APO
36
3.5.6.3. Procesos BAI (Build, Acquire and Implement)
Mantener un enfoque estándar para la gestión de
BAI01.01
programas y proyectos.
BAI01.02 Iniciar un programa.
Gestionar el compromiso de las partes
BAI01.03
interesadas.
BAI01.04 Desarrollar y mantener el plan de programa.
BAI01.05 Lanzar y ejecutar el programa.
Supervisar, controlar e informar de los resultados
BAI01.06
Gestionar todos los programas y proyectos del portafolio del programa.
Gestionar los de inversiones de forma coordinada y en línea con la
BAI01.07 Lanzar e iniciar proyectos dentro de un programa.
BAI01 Programas y estrategia corporativa. Iniciar, planificar,
Proyectos controlar y ejecutar programas y proyectos y cerrarlos con BAI01.08 Planificar proyectos.
una revisión post-implementación.
BAI01.09 Gestionar la calidad de los programas y proyectos.
BAI01.10 Gestionar el riesgo de los programas y proyectos.
BAI01.11 Supervisar y controlar proyectos.

Gestionar los recursos y los paquetes de trabajo
BAI01.12
del proyecto.
BAI01.13 Cerrar un proyecto o iteración.
BAI01.14 Cerrar un programa.
Identificar soluciones y analizar requerimientos antes de Definir y mantener los requerimientos técnicos y
BAI02.01
la adquisición o creación para asegurar que estén en línea funcionales de negocio.
con los requerimientos
estratégicos de la organización y que cubren los procesos Realizar un estudio de viabilidad y proponer
Gestionar la BAI02.02
de negocios, aplicaciones, información/datos, soluciones alternativas.
BAI02 Definición de
Entregar, dar Servicio y Soporte
infraestructura y servicios. Coordinar con las partes

Requisitos BAI02.03 Gestionar los riesgos de los requerimientos.
interesadas afectadas la revisión de las opciones viables,
incluyendo costes y beneficios relacionados, análisis de
riesgo y aprobación de los requerimientos y soluciones Obtener la aprobación de los requerimientos y
BAI02.04
propuestas. soluciones.
BAI03.01 Diseñar soluciones de alto nivel.
Diseñar los componentes detallados de la
BAI03.02
solución
Establecer y mantener soluciones identificadas en línea
BAI03.03 Desarrollar los componentes de la solución
con los requerimientos de la empresa que abarcan el
BAI03.04 Obtener los componentes de la solución
Gestionar la diseño, desarrollo, compras/contratación y asociación con
BAI03.05 Construir soluciones.
Identificación y proveedores/fabricantes. Gestionar la configuración,
BAI03 BAI03.06 Realizar controles de calidad.
la Construcción preparación de pruebas, realización de pruebas, gestión
BAI03.07 Preparar pruebas de la solución
de Soluciones de requerimientos y
BAI03.08 Ejecutar pruebas de la solución
mantenimiento de procesos de negocio, aplicaciones,
BAI03.09 Gestionar cambios a los requerimientos.
datos/información, infraestructura y servicios.
BAI03.10 Mantener soluciones.
Definir los servicios TI y mantener el catálogo de
BAI03.11
servicios.
Evaluar la disponibilidad, rendimiento y
Equilibrar las necesidades actuales y futuras de BAI04.01
capacidad actual y crear una línea de referencia.
disponibilidad, rendimiento y capacidad con una
BAI04.02 Evaluar el impacto en el negocio.
provisión de servicio efectiva en costes. Incluye la
Gestionar la Planificar requisitos de servicio nuevos o
evaluación de las capacidades actuales, la previsión de BAI04.03
BAI04 Disponibilidad modificados.
necesidades futuras basadas en los requerimientos del
y la Capacidad Supervisar y revisar la disponibilidad y la
negocio, el análisis del impacto en el negocio y la BAI04.04
capacidad.
evaluación del riesgo para planificar e implementar
Investigar y abordar cuestiones de disponibilidad,
acciones para alcanzar los requerimientos identificados. BAI04.05
rendimiento y capacidad.
BAI05.01 Establecer el deseo de cambiar.
BAI05.02 Formar un equipo de implementación efectivo.
Maximizar la probabilidad de la implementación exitosa
Gestionar la BAI05.03 Comunicar la visión deseada.
en toda la empresa del cambio organizativo de forma
introducción de Facultar a los que juegan algún papel e identificar
BAI05 rápida y con riesgo reducido, cubriendo el ciclo de vida BAI05.04
Cambios ganancias en el corto plazo.
completo del cambio y todos las partes interesadas del
Organizativos BAI05.05 Facilitar la operación y el uso.
negocio y de TI.
BAI05.06 Integrar nuevos enfoques.
BAI05.07 Mantener los cambios.
37
Gestione todos los cambios de una forma controlada, Evaluar, priorizar y autorizar peticiones de
BAI06.01
incluyendo cambios estándar y de mantenimiento de cambio.
emergencia en relación con los procesos de BAI06.02 Gestionar cambios de emergencia.
Gestionar los
BAI06 negocio, aplicaciones e infraestructura. Esto incluye
Cambios Hacer seguimiento e informar de cambios de
normas y procedimientos de cambio, análisis de impacto, BAI06.03
estado.
priorización y autorización, cambios de emergencia,
seguimiento, reporte, cierre y documentación. BAI06.04 Cerrar y documentar los cambios.
BAI07.01 Establecer un plan de implementación.
Aceptar formalmente y hacer operativas las nuevas Planificar la conversión de procesos de negocio,
BAI07.02
soluciones, incluyendo la planificación de la sistemas y datos.
Gestionar la implementación, la conversión de los datos y los BAI07.03 Planificar pruebas de aceptación.
Aceptación del sistemas, las pruebas de aceptación, la comunicación, la BAI07.04 Establecer un entorno de pruebas.
BAI07
Cambio y de la preparación del lanzamiento, el paso a producción de BAI07.05 Ejecutar pruebas de aceptación.
Transición procesos de negocio o servicios TI nuevos o modificados, BAI07.06 Pasar a producción y gestionar los lanzamientos.
el soporte temprano en producción y una revisión post- Proporcionar soporte en producción desde el
BAI07.07
implementación. primer momento.
BAI07.08 Ejecutar una revisión postimplantación.
Entregar, dar Servicio y Soporte
Cultivar y facilitar una cultura de intercambio de

BAI08.01
Mantener la disponibilidad de conocimiento relevante, conocimientos.
actual, validado y fiable para dar soporte a todas las
BAI08.02 Identificar y clasificar las fuentes de información.
Gestionar el actividades de los procesos y facilitar la toma
BAI08
Conocimiento de decisiones. Planificar la identificación, recopilación, Organizar y contextualizar la información,
BAI08.03
organización, mantenimiento, uso y retirada de transformándola en conocimiento.
conocimiento. BAI08.04 Utilizar y compartir el conocimiento.
BAI08.05 Evaluar y retirar la información.
Gestionar los activos de TI a través de su ciclo de vida para
BAI09.01 Identificar y registrar activos actuales.
asegurar que su uso aporta valor a un coste óptimo, que
se mantendrán en funcionamiento
(acorde a los objetivos), que están justificados y BAI09.02 Gestionar activos críticos
protegidos físicamente, y que los activos que son
Gestionar los
BAI09 fundamentales para apoyar la capacidad del servicio BAI09.03 Gestionar el ciclo de vida de los activos.
Activos
son fiables y están disponibles. Administrar las licencias
de software para asegurar que se adquiere el número BAI09.04 Optimizar el coste de los activos.
óptimo, se mantienen y despliegan en relación con el uso
necesario para le negocio y que el software instalado
BAI09.05 Administrar licencias.
cumple con los acuerdos de licencia.
Definir y mantener las definiciones y relaciones entre los Establecer y mantener un modelo de
BAI10.01
principales recursos y capacidades necesarios para la configuración.
Establecer y mantener un repositorio de
prestación de los servicios BAI10.02
configuración y una base de referencia.
Gestionar la proporcionados por TI, incluyendo la recopilación de Mantener y controlar los elementos de
BAI10 BAI10.03
Configuración información de configuración, el establecimiento de configuración.
líneas de referencia, la verificación y auditoría BAI10.04 Generar informes de estado y configuración.
de la información de configuración y la actualización del
Verificar y revisar la integridad del repositorio de
repositorio de configuración. BAI10.05
configuración.
Figura 16. Procesos BAI
38
3.5.6.4. Procesos DSS (Deliver, Service and Support)
Coordinar y ejecutar las actividades y los procedimientos DSS01.01 Ejecutar procedimientos
operativos requeridos para entregar servicios de TI tanto DSS01.02 Gestionar servicios
Gestionar las
DSS01 internos como externalizados, incluyendo la ejecución de DSS01.03 Supervisar la infraestructura
Operaciones DSS01.04 Gestionar el entorno
procedimientos operativos estándar predefinidos y las
actividades de monitorización requeridas. DSS01.05 Gestionar las instalaciones
Definir esquemas de clasificación de
DSS02.01
incidentes y peticiones de servicio.
Proveer una respuesta oportuna y efectiva a las Registrar, clasificar y priorizar peticiones e
Gestionar las DSS02.02
peticiones de usuario y la resolución de todo tipo de incidentes.
Peticiones y
DSS02 incidentes. Recuperar el servicio normal; registrar y DSS02.03 Verificar, aprobar y resolver
los Incidentes
completar las peticiones de usuario; y registrar, DSS02.04 Investigar, diagnosticar y localizar incidentes.
del Servicio
investigar, diagnosticar, escalar y resolver incidentes. DSS02.05 Resolver y recuperarse de incidentes.
DSS02.06 Cerrar peticiones de servicio e incidentes.
DSS02.07 Seguir el estado y emitir informes.
Identificar y clasificar problemas y sus causas raíz y DSS03.01 Identificar y clasificar problemas.
Gestionar los proporcionar resolución en tiempo para prevenir DSS03.02 Investigar y diagnosticar problemas.
DSS03 DSS03.03 Levantar errores conocidos.
Problemas incidentes recurrentes. Proporcionar recomendaciones DSS03.04 Resolver y cerrar problemas.
de mejora. DSS03.05 Realizar una gestión de problemas proactiva.
Definir la política de continuidad del
DSS04.01
negocio, objetivos y alcance.
DSS04.02 Mantener una estrategia de continuidad.
Establecer y mantener un plan para permitir al negocio y DSS04.03 Desarrollar e implementar una respuesta a la
a TI responder a incidentes e interrupciones de servicio continuidad del negocio.
Ejercitar, probar y revisar el plan de
Gestionar la para la operación continua de los procesos críticos para el DSS04.04
Alinear, Planificar y Organizar
DSS04 continuidad.
Continuidad negocio y los servicios TI requeridos y mantener la
Revisar, mantener y mejorar el plan de
disponibilidad de la información a un nivel aceptable DSS04.05
continuidad.
para la empresa. Proporcionar formación en el plan de
DSS04.06
continuidad.
DSS04.07 Gestionar acuerdos derespaldo.
DSS04.08 Ejecutar revisiones postreanudación
Proteger contra software malicioso
DSS05.01
(malware).
Gestionar la seguridad de la red y las
DSS05.02
conexiones.
Proteger la información de la empresa para mantener Gestionar la seguridad de los puestos de
DSS05.03
aceptable el nivel de riesgo de seguridad de la usuario final.
Gestionar los
información de acuerdo con la política de seguridad. Gestionar la identidad del usuario y el acceso
DSS05 Servicios DSS05.04
Establecer y mantener los roles de seguridad y privilegios lógico.
de Seguridad
de acceso de la información y realizar la supervisión de la
DSS05.05 Gestionar el acceso físico a los activos de TI.
seguridad.
Gestionar documentos sensibles y
DSS05.06
dispositivos de salida.
Supervisar la infraestructura para detectar
DSS05.07
eventos relacionados con la seguridad.
Alinear las actividades de control embebidas
DSS06.01 en los procesos de negocio con los objetivos
Definir y mantener controles apropiados de proceso de corporativos.
negocio para asegurar que la información relacionada y Controlar el procesamiento de la
DSS06.02
Gestionar los procesada dentro de la organización o de forma externa información.
Controles de satisface todos los requerimientos relevantes para el Gestionar roles, responsabilidades,
DSS06
los Procesos control de la información. Identificar los requisitos de DSS06.03 privilegios de acceso y niveles de
del Negocio control de la información y gestionar y operar los autorización.
controles adecuados para asegurar que la información y DSS06.04 Gestionar errores y excepciones.
su procesamiento satisfacen estos requerimientos. Asegurar la trazabilidad de los eventos y
DSS06.05
responsabilidades de información.
DSS06.06 Asegurar los activos de información.
Figura 17. Procesos DSS
39
3.5.6.5. Procesos MEA (Monitor, Evaluate and Assess)
MEA01.01 Establecer un enfoque de la supervisión.
Recolectar, validar y evaluar métricas y Establecer los objetivos de cumplimiento y
MEA01.02
objetivos de negocio, de TI y de procesos. rendimiento.
Supervisar,
Supervisar que los procesos se están Recopilar y procesar los datos de cumplimiento
Evaluar y Valorar MEA01.03
MEA01 realizando acorde al rendimiento y rendimiento.
Rendimiento y
acordado y conforme a los objetivos y
Conformidad MEA01.04 Analizar e informar sobre el rendimiento.
métricas y se proporcionan informes de
forma sistemática y planificada. Asegurar la implantación de medidas
MEA01.05
correctivas.
Supervisión, Evaluación y Verificación
MEA02.01 Supervisar el control interno.

Supervisar y evaluar de forma continua el Revisar la efectividad de los controles sobre los
MEA02.02
entorno de control, incluyendo tanto procesos de negocio.
autoevaluaciones como revisiones MEA02.03 Realizar autoevaluaciones de control.
Supervisar, externas independientes. Facilitar a la Identificar y comunicar las deficiencias de
MEA02.04
Evaluar y Valorar Dirección la identificación de deficiencias control.
MEA02
el Sistema de e ineficiencias en el control y el inicio de Garantizar que los proveedores de
Control Interno acciones de mejora. Planificar, organizar MEA02.05 aseguramiento son independientes y están
y mantener normas para la evaluación del cualificados.
control interno y las actividades de MEA02.06 Planificar iniciativas de aseguramiento.
aseguramiento. MEA02.07 Estudiar las iniciativas de aseguramiento.
MEA02.08 Ejecutar las iniciativas de aseguramiento.
Evaluar el cumplimiento de requisitos Identificar requisitos externos de
Supervisar, regulatorios y contractuales tanto en los MEA03.01 cumplimiento.
Evaluar y Valorar procesos de TI como en los procesos de
MEA03.02 Optimizar la respuesta a requisitos externos.
la Conformidad negocio dependientes de las tecnologías
MEA03
con los de la información. Obtener garantías de Confirmar el cumplimiento de requisitos
MEA03.03
Requerimientos que se han identificado, se cumple con externos.
Externos los requisitos y se ha integrado el Obtener garantía de cumplimiento de
MEA03.04
cumplimiento de TI en el requisitos externos.
Figura 18. Procesos MEA
40
CAPÍTULO IV
DESARROLLO DE LA AUDITORÍA
41
4.1. MECANISMO PARA LA APLICACIÓN DE LA AUDITORÍA
4.1.1. Selección de Objetivos de Gobierno y TI
Se realizó la selección de los objetivos de la institución para luego cruzarlos
con los objetivos de TI que ayudan al cumplimiento de la municipalidad
Provincial del Santa.
Entidad N° Personas Rol de N° Personas Función

con acuerdo a a aplicar la dentro del
conocimiento COBIT 5 encuesta proyecto
del proyecto
GITIC- 7 Director de 7 Coordinador
MPS Informática general
(CIO)
Tabla 3. Selección de muestra de participantes
4.1.2. Selección de Procesos Facilitadores y Prácticas de Gobierno

Se realizó una identificación de los roles que propone COBIT 5 con los
roles que desempeñan las personas en la Gerencia de informática y
Tecnologías de la Información y comunicación (GITIC). A continuación
veremos los roles según Cobit de las partes involucradas, quienes serán la
pieza fundamental para el desarrollo de la auditoría.
N° Personas Rol de Descripción N° Función

con acuerdo a del rol Persona dentro del
conocimient COBIT 5 sa proyecto
o del aplicar
proyecto la
encuesta
1 Director de Gerente de la 1 Coordinador
Informática GITIC- MPS general
(CIO)
1 Auditor Desarrollo de 0 Coordinador
auditoría a de
Auditoría
3 Desarrollador Desarrolla 3 Analista
requerimientos programador
solicitados por
las áreas
externas,
gestiona
sistemas de
información
1 Administrado Gestiona las 1 Responsable
r de Redes redes y de redes
radioenlaces
42
de la
municipalidad.
4 Responsable Brinda soporte 1 Responsable
Soporte técnico a las Soporte
Técnico áreas externas, Técnico
gestiona
hardware a su
cargo.
1 Secretaría Organiza y 1 Secretaría
gestiona la
documentació
n de la
gerencia
Tabla 4. Roles operativos en la GITIC
La Gerencia de Informática de la Municipalidad Provincial del Santa,

comprende el área de Sistemas y la Unidad de Soporte Técnico, esto no obedece
al organigrama institucional sin embargo en la práctica existe dicha unidad para
brindar soporte a las diversas áreas de la municipalidad que de manera
recurrente solicitan sus servicios, ya sea por algún fallo de hardware o en
muchos casos por desconocimiento del usuario. Es por ello que se pidió la
colaboración de toda la gerencia para que los trabajadores puedan brindar
información que sea útil para el desarrollo de la auditoría, respondiendo de
manera positiva tratando de no afectar sus labores diarias.
El total de participantes corresponde a 11, pues todos brindaron apoyo, a través

de las diversas técnicas aplicadas, siendo el 100% de la Gerencia.
4.1.3. Definición de instrumentos para recolección de información

Para la captura de información se utilizaron encuestas, entrevistas, acceso a la
documentación de la Gerencia de Informática y acceso a las instalaciones de la
municipalidad como el Centro de Datos principal.
Las entrevistas se realizaron en función a la disponibilidad de los trabajadores

del área y siempre se mostraron prestos a responder y despejar las dudas.
Una vez obtenida la información se utilizó tablas para la evaluación de los

diversos procesos indicando si disponía de la documentación necesaria, fecha
de última versión, fuente consultada, personas responsables de la elaboración
del documento, entre otros aspectos.
43
Luego de la evaluación de los procesos sobre la disponibilidad de la
documentación se realizó una valoración de atributos para ver en qué estado se
encuentra cada proceso.
4.2. APLICACIÓN DE LA AUDITORÍA

4.2.1. Selección de Procesos de Gobierno y de Gestión de Cobit 5
4.2.1.1. Selección de Objetivos Empresariales y Objetivos TI

En el Capítulo 3 donde vimos todo lo relacionado al marco teórico,
en el apartado 3.5.2 Metas corporativas de Cobit 5 se encuentra la
relación de las 17 metas que están alineadas a la empresa según Cobit,
obviamente es un modelo de referencia que se puede ajustar según la
empresa. Para evaluar las metas que se ajustan a la Municipalidad
Provincial del Santa realizaremos una ponderación donde los objetivos
de dividirán en:
P = Primarios S = Secundarios,
Y donde la ponderación será de acuerdo a la siguiente escala:
Ponderación de Objetivos Empresariales

3 Importancia Alta
2 Importancia Media
1 Importancia Baja
Tabla 5. Ponderación de Objetivos Empresariales según Cobit
Relación con los Objetivos del Gobierno

Dimensión Realización
Meta Corporativa Optimización Optimización Ponderación
del CMI de
de Riesgos de Recursos
Beneficios
1. Valor para las partes interesadas de las inversiones de Negocio P S 2
2. Cartera de productos y servicios competitivos P P S 3
Financiera 3. Riesgos de negocio gestionados(salvaguardia de activos) P S 2
4. Cumplimiento de leyes y regulaciones externas P 3
5. Transparencia financiera P S S 3
6. Cultura de servicio orientada al cliente P S 3
7. Continuidad y disponibilidad del servicio de negocio P 3
Cliente 8. Respuestas ágiles a un entorno de negocio cambiante P S 2
9. Toma estratégica de Decisiones basada en información P P P 3
10. Optimización de costes de entrega del servicio P P 3
11. Optimización de la funcionalidad de los procesos de negocio P P 2
12. Optimización de los costes de los procesos de negocio P P 2
Interna 13. Programas gestionados de cambio en el negocio P P S 2
14. Productividad operacional y de los empleados P P 2
15. Cumplimiento de las políticas internas P 3
Aprendizaje y 16. Persona preparadas y motivadas S P P 3
Crecimiento 17. Cultura de innovación de producto y negocio P 3
Figura 19. Ponderación realizada en la MPS para los objetivos de la empresa
44
Relación con los Objetivos del Gobierno
Dimensión Realización
Meta Corporativa Optimización Optimización Ponderación
del CMI de
de Riesgos de Recursos
Beneficios
2. Cartera de productos y servicios competitivos P P S 3
Financiera 4. Cumplimiento de leyes y regulaciones externas P 3
5. Transparencia financiera P S S 3
6. Cultura de servicio orientada al cliente P S 3
7. Continuidad y disponibilidad del servicio de negocio P 3
Cliente
9. Toma estratégica de Decisiones basada en información P P P 3
10. Optimización de costes de entrega del servicio P P 3
Interna 15. Cumplimiento de las políticas internas P 3
Aprendizaje y 16. Persona preparadas y motivadas S P P 3
Crecimiento 17. Cultura de innovación de producto y negocio P 3
Figura 20. Resultados de Objetivos de la empresa con mayor ponderación
Se realizó la ponderación tomando como referencia los objetivos institucionales,

dando como resultado 10 objetivos con ponderación mayor, con importancia Alta
según la escala vista en la Tabla 5. Luego de realizar la ponderación de los objetivos
de la empresa, realizamos el cruce de los objetivos de la empresa con los objetivos de
TI como muestra la Figura 21.
45
Toma estratégica de Decisiones basada en información
Continuidad y disponibilidad del servicio de negocio
Cumplimiento de leyes y regulaciones externas
Meta Corporativa
Cartera de productos y servicios competitivos
Optimización de costes de entrega del servicio
Cultura de innovación de producto y negocio

Cultura de servicio orientada al cliente
Cumplimiento de las políticas internas
Persona preparadas y motivadas
Ponderación
Transparencia financiera
Inter Aprendizaje
Financiera Cliente
Meta Relacionada con las TI na Crecimiento
Alineamiento de TI y la estrategia de
1 P P S P S S S 2
negocio
Cumplimiento y soporte de la TI al
2 cumplimiento del negocio de las leyes y P P 3
regulaciones externas.
Compromiso de la dirección ejecutiva para
Financiera
3 P S S S 2
tomar decisiones relacionadas con TI
Riesgos de negocio relacionados con las TI
4 S P P S S 3
gestionados.
Realización de beneficios del portafolio de
5 inversiones y servicios relacionados con las P S S S 3
TI
Transparencia de los costes, beneficios y
6 P S P 3
riesgos de las TI.
Entrega de servicio de TI de acuerdo a los
7 P S P S S S S 2
Cliente
requisitos del negocio.

Uso adecuado de aplicaciones, información y
8 S S S S S S S 3
soluciones tecnológicas.
9 Agilidad de las TI. S S S P 3
Seguridad de la información,
10 infraestructuras de procesamiento y P P P 3
aplicaciones.
Obtimización de activos, recursos y
11 P P S 2
capacidades de las TI.
Capacitación y soporte de procesos de
12 negocio integrando aplicaciones y tecnología S S S S 2
Interna
en procesos de negocio.
Entrega de Programas que proporcionen
beneficios a tiempo, dentro del presupuesto
13 P S S 2
y satisfaciendo los requisitos y normas de
calidad.
Disponibilidad de información útil y
14 S S P P 3
relevante para la toma de decisiones.
Cumplimiento de las políticas internas por
15 S P 2
parte de las TI.
Personal del negocio y de las TI competente
Crecimiento
Aprendizaje
16 S S P S 2
y motivado.
y
17 Conocimiento, experiencia e iniciativas para P S S S P 2

la innovación de negocio
Figura 21. Cruce de los objetivos de la empresa seleccionados con los objetivos TI.
46
Toma estratégica de Decisiones basada en información
Continuidad y disponibilidad del servicio de negocio
Cumplimiento de leyes y regulaciones externas
Meta Corporativa
Cartera de productos y servicios competitivos
Optimización de costes de entrega del servicio
Cultura de innovación de producto y negocio

Cultura de servicio orientada al cliente
Cumplimiento de las políticas internas
Persona preparadas y motivadas
Ponderación
Transparencia financiera
Inter Aprendizaje
Financiera Cliente
Meta Relacionada con las TI na Crecimiento
Cumplimiento y soporte de la TI al
2 cumplimiento del negocio de las leyes y P P 3
regulaciones externas.
Riesgos de negocio relacionados con las TI
Financiera
4 S P P S S 3
gestionados.
Realización de beneficios del portafolio de
5 inversiones y servicios relacionados con las P S S S 3
TI
Transparencia de los costes, beneficios y
6 P S P 3
riesgos de las TI.
Clien
Uso adecuado de aplicaciones, información y

te
8 S S S S S S S 3
soluciones tecnológicas.
9 Agilidad de las TI. S S S P 3
Seguridad de la información,
Interna
10 infraestructuras de procesamiento y P P P 3
aplicaciones.
Disponibilidad de información útil y
14 S S P P 3
relevante para la toma de decisiones.
Figura 22. Resultado de ponderación entre Objetivos de Empresa y Objetivos TI.
En la Figura 21 se realizó el cruce de los objetivos de la Empresa con los objetivos

de TI; de los 17 objetivos empresariales sólo obtuvieron ponderación alta 10
objetivos, lo cual representa el 58.82% del total.
Posteriormente en la Figura 22 podemos apreciar que de los 17 objetivos de TI sólo

obtuvieron ponderación alta 8 objetivos de TI, lo cual se traduce en el 47.06%.
El propósito de la selección de metas de la empresa y las metas relacionadas con las

TI es para mostrar la gran importancia que tienen las tecnologías de la información
para la toma de decisiones y el cumplimiento de los objetivos de la Municipalidad
Provincial del Santa. A continuación, se presenta la Figura 23 donde se aprecia mejor
los resultados.
47
Figura 23. Objetivos de Empresa y Objetivos TI
4.2.1.2. Selección de Procesos Facilitadores y Prácticas de Gobierno

Para la realización de la auditoría en la Gerencia de Informática de
la Municipalidad Provincial del Santa se seleccionó los procesos
facilitadores según Cobit, de los cuáles se trató en el Capítulo 3, en
el apartado 3.5.6. Modelo de Referencia de Procesos de Cobit 5.
Para evaluar los procesos que se ajustan a la Municipalidad

Provincial del Santa realizaremos una ponderación donde los
objetivos de dividirán en:
P = Primarios S = Secundarios,
Y donde la ponderación será de acuerdo a la siguiente escala:
Ponderación de Procesos Facilitadores Cobit 5

3 Importancia Alta
2 Importancia Media
1 Importancia Baja
Tabla 6. Ponderación de Procesos según Cobit
48
4.Riesgos de negocio relacionados con las TI gestionados
8.Uso adecuado de aplicaciones, información y soluciones tec
14.Disponibilidad de información útil y relevante para la toma

6.Transparencia de los costes, beneficios y riesgos de las
2.Cumplimiento y soporte de la TI al cumplimiento del n
5.Realización de beneficios del portafolio de inversiones
10.Seguridad de la información, infraestructuras de procesa

Meta Corporativa
Ponderación
9.Agilidad de las TI.
Clie
Financiera Interna
Meta Relacionada
Asegurar con las TI
el Establecimiento y nte
EDM01 Mantenimiento del Marco de Gobierno S S S S S S S 2
Evaluar, Oientar y
EDM02 Asegurar la Entrega de Beneficios P P S S 3

supervisar
EDM03 Asegurar la Optimización del Riesgo S P P S P S 2

EDM04
S S S S P 2
Asegurar la Optimización de los Recursos
EDM05 Asegurar la Transparencia hacia las partes
S P S 3
interesadas
APO01 Gestionar el Marco de Gestión de TI P S P S S 3
APO02 Gestionar la Estrategia S S S S S 2
Alinear, Planificar y Organizar
APO03 Gestionar la Arquitectura Empresarial S S S S P S S 2

APO04 Gestionar la Innovación S P P P S 3
APO05 Gestionar el portafolio S P S S S 2
APO06 Gestionar el Presupuesto y los Costes S P P S 2
APO07 Gestionar los Recursos Humanos S S S S 3
APO08 Gestionar las Relaciones S S S S 2
APO09 Gestionar los Acuerdos de Servicio S S S S S S P 2
APO10 Gestionar los Proveedores S P S S S P S S 2
APO11 Gestionar la Calidad S S P S S S 2
APO12 Gestionar el Riesgo P P P S S P S 2
APO13 Gestionar la Seguridad P P P P P P 3
BAI01 Gestionar los Programas y Proyectos P P S S 3
BAI02 Gestionar la Definición de Requisitos S S S S S S S 2
BAI03 Gestionar la Identificación y la
Construcción, Adquisisción e
S S S S 3
Construcción de Soluciones
BAI04 Gestionar la Disponibilidad y la
Implementación
S S S S P 2
Capacidad
BAI05 Gestionar la introducción de Cambios
S P S 2
Organizativos
BAI06 Gestionar los Cambios P S S S P S 3
BAI07 Gestionar la Aceptación del Cambio y de
S S P S S 2
la Transición
BAI08 Gestionar el Conocimiento S S P S S 2
BAI09 Gestionar los Activos S S P S S S 3
BAI10 Gestionar la Configuración P S S S S P 3
DSS01 Gestionar las Operaciones S P S S S S S 3
Entregar, dar Servicio y
DSS02 Gestionar las Peticiones y los Incidentes

P S S S 3
del Servicio
DSS03 Gestionar los Problemas S P S S S P 3
Soporte
DSS04 Gestionar la Continuidad S P S S S S P 3

DSS05 Gestionar los Servicios
P P S P S 2
de Seguridad
DSS06 Gestionar los Controles de los Procesos
S P S S S 2
del Negocio
MEA01 Supervisar, Evaluar y Valorar
S P S S S S S S 3
Rendimiento y Conformidad
Evaluación y
Supervisión,
Verificación
MEA02 Supervisar, Evaluar y Valorar el Sistema

P P S S S S 2
de Control Interno
MEA03 Supervisar, Evaluar y Valorar la
Conformidad con los Requerimientos P P S S 2
Externos
Figura 24. Ponderación Procesos Facilitadores
49
5.Realización de beneficios del portafolio de inversi
8.Uso adecuado de aplicaciones, información y solucion
14.Disponibilidad de información útil y relevante para la

10.Seguridad de la información, infraestructuras de pro
4.Riesgos de negocio relacionados con las TI gestio
2.Cumplimiento y soporte de la TI al cumplimiento
6.Transparencia de los costes, beneficios y riesgos

Meta Corporativa
Ponderación
9.Agilidad de las TI.
Clie
Financiera Interna
Meta Relacionada con las TI nte
EDM02 Asegurar la Entrega de Beneficios P P S S 3
Alinear, Evaluar,
Planificar y Oientar
EDM05 Asegurar la Transparencia hacia las partes

y
S P S 3
interesadas
APO01 Gestionar el Marco de Gestión de TI P S P S S 3
Organizar
APO04 Gestionar la Innovación S P P P S 3

APO07 Gestionar los Recursos Humanos S S S S 3
APO13 Gestionar la Seguridad P P P P P P 3
BAI01 Gestionar los Programas y Proyectos P P S S 3
Implementación
Adquisisción e
Construcción,
BAI03 Gestionar la Identificación y la

S S S S 3
Construcción de Soluciones
BAI06 Gestionar los Cambios P S S S P S 3
BAI09 Gestionar los Activos S S P S S S 3
BAI10 Gestionar la Configuración P S S S S P 3
DSS01 Gestionar las Operaciones S P S S S S S 3
Supe Entregar, dar
Servicio y
DSS02 Gestionar las Peticiones y los Incidentes

Soporte
P S S S 3
del Servicio
DSS03 Gestionar los Problemas S P S S S P 3
DSS04 Gestionar la Continuidad S P S S S S P 3
rvisió
MEA01 Supervisar, Evaluar y Valorar

n,
S P S S S S S S 3
Rendimiento y Conformidad
Figura 25. Resultados de Ponderación de Procesos Facilitadores
Después de realizar la ponderación de los Procesos Facilitadores se

seleccionaron 16 procesos relacionados con las TI y la empresa, la cual
corresponde a la Municipalidad Provincial del Santa. De cada proceso se
seleccionaron las prácticas de Gobierno a ser aplicadas en la auditoría.
4.2.2. Desarrollo de Procesos Facilitadores y Prácticas de Gobierno

En el apartado anterior se seleccionaron los procesos y prácticas de
gobierno, por lo tanto, es momento de dar paso al desarrollo de cada uno de
los procesos y analizar en qué medida se está dando cumplimiento a las
prácticas de Gobierno.
50
EDM02 Asegurar la Entrega de Beneficios
PROCESO EDM02 - Asegurar la Entrega de Beneficios

Subprocesos Documento Dispone Última Participantes Fuente Observaciones
SI/NO versión
EDM02.01 Evaluación de la NO N/A N/A Ing. -
Evaluar la alienación David
optimización Estratégica. Aguirre
del valor Evaluación de NO N/A N/A Ing. -
inversiones David
Aguirre
Portafolio de NO N/A N/A Ing. -
servicios David
Aguirre
EDM02.02 Tipos de NO N/A N/A Ing. -
Orientar la inversiones y David
optimización criterios Aguirre
del valor Requerimientos NO N/A N/A Ing. -
para las David
revisiones de Aguirre
cambio de fase
EDM02.03 Rendimiento de NO N/A N/A Ing. -
Supervisar la la cartera y del David
optimización programa Aguirre
del valor Acciones para NO N/A N/A Ing. -
mejorar la David
entrega de valor Aguirre
Tabla 7. Auditoría EDM02
EDM05 Asegurar la Transparencia hacia las partes interesadas
PROCESO EDM05 - Asegurar la Transparencia hacia las partes interesadas

SI/NO versión
EDM05.01 Evaluación de NO N/A N/A Ing. -
Evaluar los los requisitos David
requisitos de corporativos Aguirre
elaboración de de elaboración
informes de de informes
las partes Principios de NO N/A N/A Ing. -
interesadas. elaboración de David
informes y de Aguirre
comunicación
EDM05.02 Reglas de SI 26/11/2010 Gerencia de Ing. El documento
Orientar la validación Planeamiento David se encuentra en
comunicación y Presupuesto Aguirre el PTE-MPS,
con las partes con el nombre
interesadas y de ROF
la elaboración (Reglamento
de informes. de
Organización y
Funciones)
pág.63
Aprobación de SI 26/11/2010 Gerencia de Ing. El documento
informes Planeamiento David se encuentra en
obligatorios y Presupuesto Aguirre el PTE-MPS,
51
con el nombre
de ROF
(Reglamento
de
Organización y
Funciones)
pág.63
Directrices de NO N/A N/A Ing. -
escalado David
Aguirre
EDM05.03 Evaluación de NO N/A N/A Ing. -
Supervisar la la eficacia de David
comunicación la elaboración Aguirre
con las partes de informes
interesadas.
Tabla 8. Auditoría EDM05
APO01 Gestionar el Marco de Gestión de TI
PROCESO APO01 - Gestionar el Marco de Gestión de TI

SI/NO versión
APO01.01 Definición de SI 26/11/2010 Gerencia de Ing. Los
Definir la estructura y - Planeamiento David documentos se
estructura funciones 23/07/2013 y Presupuesto Aguirre encuentran en
organizativa organizativas el PTE-MPS,
con el nombre
de ROF y
MOF.
Directrices SI 31/05/2007 Gerencia de Ing. Los
operativas de la Planeamiento David documentos se
organización y Presupuesto Aguirre encuentran en
el PTE-MPS,
con el nombre
de TUPA.
Reglas básicas de NO N/A N/A Ing. -
comunicación David
Aguirre
APO01.02 Definición de SI 26/11/2010 Gerencia de Ing. Los
Establecer roles y roles y - Planeamiento David documentos se
responsabilidades. responsabilidades 23/07/2013 y Presupuesto Aguirre encuentran en
relativos a TI. el PTE-MPS,
con el nombre
de ROF y
MOF.
Definición de NO N/A N/A Ing. -
prácticas de David
supervisión Aguirre
APO01.03 Políticas relativas SI 07/2010 Gerencia de Ing. El documento
Mantener los a TI Planeamiento David se encuentra en
elementos y Presupuesto Aguirre el PTE-MPS,
catalizadores del con el nombre
sistema de gestión de Manual de
Políticas de
Gestión
Institucional
APO01.04 Comunicación de NO N/A N/A Ing. -
52
Comunicar los objetivos de TI David
objetivos y la Aguirre
dirección de
gestión.
APO01.05 Evaluación de las NO N/A N/A Ing. -

Optimizar la opciones para la David
ubicación de la organización de Aguirre
función de TI. TI
Definir la NO N/A N/A Ing. -
función David
operacional de Aguirre
las funciones de
TI
APO01.06 Directrices para NO N/A N/A Ing. -
Definir la la clasificación David
propiedad de la de datos Aguirre
información Directrices para NO N/A N/A Ing. -
(datos) y del el control y David
sistema seguridad de Aguirre
datos
Procedimientos NO N/A N/A Ing. -
de integridad de David
datos Aguirre
APO01.07 Evaluaciones de NO N/A N/A Ing. -
Gestionar la la capacidad de David
mejora continua los procesos Aguirre
de los procesos. Oportunidades de NO N/A N/A Ing. -
mejoras de David
proceso Aguirre
Objetivos y NO N/A N/A Ing. -
métricas de David
rendimiento para Aguirre
el seguimiento de
la mejora de
procesos
APO01.08 Acciones de NO N/A N/A Ing. -
Mantener el remediación por David
cumplimiento con no cumplimiento. Aguirre
las políticas y
procedimientos.
Tabla 9. Auditoría APO01
APO04 Gestionar la Innovación
PROCESO APO04 – Gestionar la Innovación

SI/NO versión
APO04.01 Plan de SI 04/2018 Ing. David Ing. El documento
Crear un Innovación Aguirre David se encuentra en
entorno Aguirre proceso de
favorable para aprobación en
la innovación. la GPP con el
nombre de
PETI
Programa de NO N/A N/A Ing. -
reconocimiento y David
recompensa Aguirre
APO04.02 Oportunidades de SI 04/2018 Ing. David Ing. El documento
53
Mantener un innovación Aguirre David se encuentra en
entendimiento vinculadas a los Aguirre proceso de
del entorno de la motivadores del aprobación en
empresa. negocio la GPP con el
nombre de
PETI
APO04.03 Análisis de SI 04/2018 Ing. David Ing. El documento
Supervisar y investigación de Aguirre David se encuentra en
explorar el las posibilidades Aguirre proceso de
entorno de innovación aprobación en
tecnológico. la GPP con el
nombre de
PETI
APO04.04 Evaluación de las NO N/A N/A Ing. -
Evaluar el ideas de David
potencial de las innovación Aguirre
tecnologías Alcance de la NO N/A N/A Ing. -
emergentes y las prueba de David
ideas concepto y Aguirre
innovadoras. descripción de los
casos de negocio
Comprobar los NO N/A N/A Ing. -
resultados de las David
iniciativas de Aguirre
pruebas de
concepto.
APO04.05 Resultados y NO N/A N/A Ing. -
Recomendar recomendaciones David
iniciativas de las pruebas de Aguirre
apropiadas concepto
adicionales. Análisis de las NO N/A N/A Ing. -
iniciativas David
rechazadas Aguirre
APO04.06 Valoración del NO N/A N/A Ing. -
Supervisar la uso de enfoques David
implementación innovadores Aguirre
y el uso de la Evaluación de los SI 04/2018 Ing. David Ing. El documento
innovación. beneficios de la Aguirre David se encuentra en
innovación Aguirre proceso de
aprobación en
la GPP con el
nombre de
PETI.
Planes de NO N/A N/A Ing. -
innovación David
ajustados Aguirre
APO07 Gestionar los Recursos Humanos
PROCESO APO07 – Gestionar los Recursos Humanos

SI/NO versión
APO07.01 Evaluaciones de SI 26/11/2010 Gerencia de Ing. El documento
Mantener la requisitos de Planeamiento David se encuentra en
dotación de personal y Presupuesto Aguirre el PTE-MPS,
personal con el nombre
suficiente y de ROF pág.63
adecuada Planes de NO N/A N/A Ing. -
54
desarrollo de David
carrera y de Aguirre
competencias
aprovisionamiento David
de personal Aguirre
APO07.02 Personal del área SI 04/2014 Gerencia de Ing. El documento
Identificar de TI y cargo que Informática y David se encuentra en
personal ocupa TIC Aguirre el PTE-MPS,
clave de TI. con el nombre
de POI (Plan
Operativo
Informático)
APO07.03 Planes de SI 04/2018 Ing. David Ing. El documento
Mantener las aprovisionamiento Aguirre David se encuentra en
habilidades y de personal. Aguirre proceso de
competencias aprobación en
del personal. la GPP con el
nombre de
PETI.
desarrollo de David
habilidades. Aguirre
Revisión de NO N/A N/A Ing. -
informes. David
Aguirre
APO07.04 Metas personales NO N/A N/A Ing. -
Evaluar el David
desempeño Aguirre
laboral de los Evaluaciones de NO N/A N/A Ing. -
empleados. desempeño David
Aguirre
Planes de mejora NO N/A N/A Ing. -
David
Aguirre
APO07.05 Inventario de SI 04/2014 Gerencia de Ing. El documento
Planificar y recursos humanos Informática y David se encuentra en
realizar un del negocio y de TIC Aguirre el PTE-MPS,
seguimiento TI con el nombre
del uso de de POI (Plan
recursos Operativo
humanos de Informático).
TI y del Y en la GRH.
negocio.
Análisis de NO N/A N/A Ing. -
deficiencias en la David
obtención de Aguirre
recursos
Registros de NO N/A N/A Ing. -
utilización de David
recursos Aguirre
APO07.06 Políticas de SI 26/11/2010 Gerencia de Ing. El documento
Gestionar el contratación de Planeamiento David se encuentra en
personal personal y Presupuesto Aguirre el PTE-MPS,
contratado. con el nombre
de ROF pág.63
Acuerdos NO N/A N/A Ing. -
contractuales David
Aguirre
Revisiones de NO N/A N/A Ing. -
55
acuerdos David
contractuales Aguirre
APO13 Gestionar la Seguridad
PROCESO APO13 – Gestionar la Seguridad

SI/NO versión
APO13.01 Política de SGSI NO N/A N/A Ing. -
Establecer y David
mantener un Aguirre
SGSI. Declaración de NO N/A N/A Ing. -
alcance del SGSI David
Aguirre
APO13.02 Plan de tratamiento NO N/A N/A Ing. -
Definir y de riesgos de David
gestionar un seguridad de la Aguirre
plan de información
tratamiento Casos de negocio NO N/A N/A Ing. -
del riesgo de de seguridad de David
la seguridad información Aguirre
de la
información.
APO13.03 Informes de NO N/A N/A Ing. -

Supervisar y auditoría del SGSI David
revisar el Aguirre
SGSI. Recomendaciones NO N/A N/A Ing. -
para mejorar el David
SGSI Aguirre
BAI01 Gestionar los Programas y Proyectos
PROCESO BAI01 – Gestionar los Programas y Proyectos

SI/NO versión
BAI01.01 Enfoques NO N/A N/A Ing. -
Mantener un actualizados de David
enfoque gestión de Aguirre
estándar para programas y
la gestión de proyectos
programas y
proyectos.
BAI01.02 Caso de negocio SI 2017 Ing. David Ing. La GITIC

Iniciar un de concepto del Aguirre David cuenta con un
programa. programa Sr. Jose Luis Aguirre ERP
Neme documentado
según
INFORME
N°008-2017-
GITIC-MPS
Mandato y SI 2017 Ing. David Ing. La GITIC
expediente del Aguirre David cuenta con un
programa Sr. Jose Luis Aguirre ERP
Neme documentado
56
según
INFORME
N°008-2017-
GITIC-MPS
Plan de realización SI 2017 Ing. David Ing. La GITIC
de beneficios del Aguirre David cuenta con un
programa Sr. Jose Luis Aguirre ERP
Neme documentado
según
INFORME
N°008-2017-
GITIC-MPS
BAI01.03 Plan de SI 2017 Ing. David Ing. La GITIC
Gestionar el involucración de Aguirre David cuenta con un
compromiso las partes Sr. Jose Luis Aguirre ERP
de las partes interesadas Neme documentado
interesadas. según
INFORME
N°008-2017-
GITIC-MPS
Resultados de la NO N/A N/A Ing. -
evaluación de David
efectividad del Aguirre
compromiso de las
partes interesadas
BAI01.04 Plan de programa SI 2017 Gerencia de Ing. El nombre del
Desarrollar y Informática y David documento es
mantener el TIC Aguirre POI (Plan
plan de Operativo
programa. Informático)
2017.
Presupuesto del SI 2017 Gerencia de Ing. El nombre del
programa y Informática y David documento es
registro de TIC Aguirre POI (Plan
beneficios Operativo
Informático)
2017.
Requerimientos de SI 2017 Ing. David Ing. La GITIC
recursos y roles Aguirre David cuenta con un
Sr. Jose Luis Aguirre ERP
Neme documentado
según
INFORME
N°008-2017-
GITIC-MPS
BAI01.05 Resultados de la NO N/A N/A Ing. -
Lanzar y supervisión de la David
ejecutar el realización de Aguirre
programa. beneficios
Resultados de la SI 2017 Gerencia de Ing. El nombre del
supervisión del Informática y David documento es
logro de metas del TIC Aguirre POI (Plan
programa Operativo
Informático)
2017.
Planes de auditoría NO N/A N/A Ing. -
del programa David
Aguirre
BAI01.06 Resultado de la NO N/A N/A Ing. -
Supervisar, revisión del David
57
controlar e rendimiento del Aguirre
informar de programa
los resultados Resultados de NO N/A N/A Ing. -
del programa. revisiones en los David
cambios de fase Aguirre
BAI01.07 Declaraciones de SI 2017 Gerencia de Ing. El nombre del
Lanzar e alcance de Informática y David documento es
iniciar proyecto TIC Aguirre POI (Plan
proyectos Operativo
dentro de un Informático)
programa. 2017.
Definiciones de SI 2017 Gerencia de Ing. El nombre del
proyecto Informática y David documento es
TIC Aguirre POI (Plan
Operativo
Informático)
2017.
BAI01.08 Planes del SI 2017 Gerencia de Ing. El nombre del
Planificar proyecto Informática y David documento es
proyectos. TIC Aguirre POI (Plan
Operativo
Informático)
2017.
Línea de NO N/A N/A Ing. -
referencia David
(baseline) del Aguirre
proyecto
Informes y SI 2017 Gerencia de Ing. Existen
comunicaciones Informática y David documentos de
del proyecto TIC Aguirre informe y
avance de cada
proyecto en la
GITIC
BAI01.09 Plan de gestión de NO N/A N/A Ing. -
Gestionar la la calidad David
calidad de los Aguirre
programas y Requerimientos NO N/A N/A Ing. -
proyectos. para la David
verificación Aguirre
independiente de
los entregables
BAI01.10 Plan de gestión de NO N/A N/A Ing. -
Gestionar el riesgos del David
riesgo de los proyecto Aguirre
programas y Resultados de la NO N/A N/A Ing. -
proyectos. evaluación de David
riesgos del Aguirre
proyecto
Registro de riesgos NO N/A N/A Ing. -
del proyecto David
Aguirre
BAI01.11 Criterios de NO N/A N/A Ing. -
Supervisar y desempeño del David
controlar proyecto Aguirre
proyectos. Informes del SI 2017 Gerencia de Ing. Existen
avance del Informática y David documentos de
proyecto TIC Aguirre informe y
avance de cada
proyecto en la
GITIC
58
Cambios SI 2017 Gerencia de Ing. Existen
acordados al Informática y David documentos de
proyecto TIC Aguirre informe y
avance de cada
proyecto en la
GITIC
BAI01.12 Requerimientos de SI 2017 Gerencia de Ing. El nombre del
Gestionar los recursos del Informática y David documento es
recursos y los proyecto. TIC Aguirre POI (Plan
paquetes de Operativo
trabajo del Informático)
proyecto. 2017.
Roles y SI 2017 Gerencia de Ing. Existen
responsabilidades Informática y David documentos de
del proyecto TIC Aguirre sobre cada
proyecto en la
GITIC
Diferencias en la NO N/A N/A Ing. -
planificación del David
proyecto Aguirre
BAI01.13 Resultados de la SI 2017 Gerencia de Ing. El nombre del
Cerrar un revisión post- Informática y David documento es
proyecto o implementación. TIC Aguirre POI (Plan
iteración. Operativo
Informático)
2017.
Lecciones NO N/A N/A Ing. -
aprendidas del David
proyecto Aguirre
Confirmaciones de SI 2017 Gerencia de Ing. Existen
aceptación de las Informática y David documentos de
partes interesadas TIC Aguirre informe y
del proyecto avance de cada
proyecto en la
GITIC
BAI01.14 Comunicación del SI 2017 Gerencia de Ing. Existen
Cerrar un retiro del Informática y David documentos de
programa. programa y TIC Aguirre informe y
rendición de avance de cada
cuentas en curso. proyecto en la
GITIC
Tabla 13. Auditoría BAI01
BAI03 Gestionar la Identificación y la Construcción de Soluciones
PROCESO BAI03 – Gestionar la Identificación y la Construcción de Soluciones

SI/NO versión
BAI03.01 Aprobación de NO N/A N/A Ing. -
Diseñar las David
soluciones de especificaciones Aguirre
alto nivel. del diseño de alto
nivel.
BAI03.02 Especificaciones NO N/A N/A Ing. -
Diseñar los de diseño David
componentes detalladas y Aguirre
detallados de la aprobadas
solución Acuerdos de NO N/A N/A Ing. -
Nivel de Servicio David
59
(ANSs) y Aguirre
Acuerdos de
Nivel Operativos
(OLAs).
BAI03.03 Documentar los SI 2017 Ing. David Ing. La GITIC
Desarrollar los componentes de Aguirre David cuenta con un
componentes de la solución Sr. Jose Luis Aguirre ERP
la solución Neme documentado
según
INFORME
N°008-2017-
GITIC-MPS
BAI03.04 Plan de SI 2017 Gerencia de Ing. El nombre del
Obtener los adquisiciones Informática y David documento es
componentes de aprobado TIC Aguirre POI (Plan
la solución Operativo
Informático)
2017.
Actualizaciones SI 2017 Gerencia de Ing. El nombre del
del inventario de Informática y David documento es
activos TIC Aguirre PETI.
BAI03.05 Componentes de NO N/A N/A Ing. -
Construir la solución David
soluciones. integrados y Aguirre
configurados
BAI03.06 Plan de NO N/A N/A Ing. -
Realizar aseguramiento de David
controles de la calidad (QA) Aguirre
calidad. Resultados de la NO N/A N/A Ing. -
revisión de David
calidad, Aguirre
excepciones y
correcciones
BAI03.07 Plan de pruebas NO
Preparar Procedimientos SI 2017 Ing. David Ing. La GITIC
pruebas de la de pruebas Aguirre David cuenta con un
solución Sr. Jose Luis Aguirre ERP
Neme documentado
según
INFORME
N°008-2017-
GITIC-MPS
BAI03.08 Registros de SI 2017 Ing. David Ing. La GITIC
Ejecutar resultados de Aguirre David cuenta con un
pruebas de la pruebas y pistas Sr. Jose Luis Aguirre ERP
solución de auditoría Neme documentado
según
INFORME
N°008-2017-
GITIC-MPS
Comunicaciones SI 2017 Ing. David Ing. Los resultados
del resultado de Aguirre David de las pruebas
las pruebas Sr. Jose Luis Aguirre se derivan a la
Neme GM
BAI03.09 Registro de todas NO N/A N/A Ing. -
Gestionar las peticiones de David
cambios a los cambio Aguirre
requerimientos. aprobadas y
aplicadas
BAI03.10 Plan de NO N/A N/A Ing. -
60
Mantener mantenimiento David
soluciones. Aguirre
Componentes de SI 2017 Ing. David Ing. La GITIC
la solución Aguirre David cuenta con un
actualizados y Sr. Jose Luis Aguirre ERP
documentación Neme documentado
relacionada según
INFORME
N°008-2017-
GITIC-MPS
BAI03.11 Definiciones de NO N/A N/A Ing. -
Definir los servicio David
servicios TI y Aguirre
mantener el Catálogo de NO N/A N/A Ing. -
catálogo de servicios David
servicios. actualizado Aguirre
BAI06 Gestionar los Cambios
PROCESO BAI06 – Gestionar los Cambios

SI/NO versión
BAI06.01 Evaluaciones NO N/A N/A Ing. -
Evaluar, de impacto David
priorizar y Aguirre
autorizar Peticiones de SI 2018 Sr. José Luis Ing. Existen
peticiones de cambio Neme David documentos de
cambio. aprobadas Aguirre modificaciones
de cada
proyecto en la
GITIC
Plan de cambio NO N/A N/A Ing. -
y cronograma David
Aguirre
BAI06.02 Revisión de SI 2018 Sr. José Luis Ing. Existen
Gestionar cambios de Neme David documentos de
cambios de emergencia tras Aguirre modificaciones
emergencia. su de cada
implementación proyecto en la
GITIC
BAI06.03 Reporte del NO N/A N/A Ing. -
Hacer estado de David
seguimiento e cambio de una Aguirre
informar de petición
cambios de
estado.
BAI06.04 Documentación SI 2018 Gerencia de Ing. Existen

Cerrar y del cambio Informática y David documentos de
documentar TIC Aguirre modificaciones
los cambios. de cada
proyecto en la
GITIC
BAI09 Gestionar los Activos
61
PROCESO BAI09 – Gestionar los Activos
SI/NO versión
BAI09.01 Registro de SI 2018 Departamento Ing. Existe un
Identificar y activos de Patrimonio David documento del
registrar Ing. David Aguirre Inventario
activos Aguirre Ing. Físico de
actuales. Ing. Pool Pool Bienes por
Alayo Alayo ubicación y
uso y un
documento de
activos de
software
incluidos en el
PETI 2018.
Resultados de SI 2018 Departamento Ing. Existe un
comprobaciones de Patrimonio David documento del
físicas de Ing. David Aguirre Inventario
inventario Aguirre Ing. Físico de
Ing. Pool Pool Bienes por
uso y un
documento de
activos de
software
incluidos en el
PETI 2018.
Resultados de NO N/A N/A Ing. -
revisiones de David
adecuación al Aguirre
objetivo
BAI09.02 Comunicación de NO N/A N/A Ing. -
Gestionar tiempo de David
activos inactividad Aguirre
críticos planificado para
mantenimiento
Contratos de NO N/A N/A Ing. -
mantenimiento David
Aguirre
BAI09.03 Solicitudes de SI 2017 Gerencia de Ing. El nombre del
Gestionar el adquisición de Informática y David documento es
ciclo de vida activos TIC Aguirre PETI.
de los activos. aprobadas.
Registro de SI 2018 Departamento Ing. Existe un
activos de Patrimonio David documento del
actualizado. Ing. David Aguirre Inventario
Aguirre Ing. Físico de
Ing. Pool Pool Bienes por
uso y un
documento de
activos de
software
incluidos en el
PETI 2018.
Retirada SI 2018 Departamento Ing. Existe un
autorizada de de Patrimonio David documento
activos Ing. David Aguirre para la salida
Aguirre Ing. de activos
Ing. Pool Pool tanto en el área
62
Alayo Alayo de Sistemas
como en la
Unidad de
Soporte
Técnico.
BAI09.04 Resultados de las NO N/A N/A Ing. -
Optimizar el revisiones de David
coste de los optimización de Aguirre
activos. costes
Oportunidades NO N/A N/A Ing. -
para reducir el David
coste de activos o Aguirre
aumentar su valor
BAI09.05 Registro de SI 2018 Ing. David Ing. Existe un
Administrar licencias de Aguirre David documento de
licencias. software Aguirre licencias de
software
incluidos en el
PETI 2018.
Resultado de NO N/A N/A Ing. -
auditorías de David
licencias Aguirre
instaladas
Plan de acción NO N/A N/A Ing. -
para ajustar el David
número de Aguirre
licencias y su
asignación
BAI10 Gestionar la Configuración
PROCESO BAI10 – Gestionar la Configuración

SI/NO versión
BAI10.01 Ámbito de NO N/A N/A Ing. -
Establecer y aplicación del David
mantener un modelo de Aguirre
modelo de gestión de la
configuración. configuración
Modelo de NO N/A N/A Ing. -
configuración David
lógica Aguirre
BAI10.02 Repositorio de NO N/A N/A Ing. -
Establecer y Configuración David
mantener un Aguirre
repositorio de Base de NO N/A N/A Ing. -
configuración y Referencia de David
una base de configuración Aguirre
referencia.
BAI10.03 Repositorio NO N/A N/A Ing. -

Mantener y actualizado con David
controlar los los elementos Aguirre
elementos de de
configuración. configuración.
Cambios NO N/A N/A Ing. -
aprobados a la David
base de Aguirre
63
referencia.
BAI10.04 Informes de NO N/A N/A Ing. -
Generar estado de David
informes de configuración Aguirre
estado y
configuración.
BAI10.05 Resultados de NO N/A N/A Ing. -

Verificar y la verificación David
revisar la física de Aguirre
integridad del elementos de
repositorio de configuración
configuración. Desviaciones NO N/A N/A Ing. -
de licencias David
Aguirre
Resultados de NO N/A N/A Ing. -
exámenes de David
completitud del Aguirre
repositorio
DSS01 Gestionar las Operaciones
PROCESO DSS01 – Gestionar las Operaciones

Subprocesos Documento Dispon Última Participante Fuente Observaciones
e SI/NO versión s
DSS01.01 Programación NO
"Ejecutar operativa
procedimiento Registro de SI 2018 Ing. Alexis Ing. Realizan
s copia de Abanto Alexis backups de los
operativos" respaldo Sr. Jose Luis Abanto sistemas de
Neme Sr. información
Jose
Luis
Neme
Ing.
David
Aguirr
e
DSS01.02 Planes de NO N/A N/A Ing. -
"Gestionar aseguramiento David
servicios independientes Aguirr
externalizados e
de TI"
DSS01.03 Reglas de NO N/A N/A Ing. -

"Supervisar la monitorización David
infraestructura de activos y Aguirr
de TI" condiciones de e
eventos
Registro de NO 2018 Ing. Alexis Ing. Cuando existe
eventos Abanto Alexis algún evento se
Sr. Jose Luis Abanto comunica al
Neme Sr. gerente, pero no
Ing. Alin Blas Jose existe un
Luis registro.
Neme
Ing.
Alin
64
Blas
Ing.
David
Aguirr
e
Tiques NO N/A N/A Ing. -
(tickets) de David
incidentes Aguirr
e
DSS01.04 Políticas de SI 2018 Ing. David Ing. El documento
Gestionar el entorno Aguirre David está incluido en
entorno Aguirr el PETI 2018.
e
Informes de NO N/A N/A Ing. -

pólizas de David
seguro Aguirr
e
DSS01.05 Informes de SI 2018 Ing. David Ing. Cada ingeniero
Gestionar las evaluación de Aguirre Alexis emite un
instalaciones instalaciones Ing. Pool Abanto documento para
Alayo Sr. informar sobre
Ing. Alexis Jose las instalaciones
Abanto Luis realizadas.
Sr. Jose Luis Neme
Neme Ing.
David
Aguirr
e
Concienciació SI 30/06/201 Ing. Ing. El documento se
n en salud y 7 David David encuentra en la
seguridad en el Aguirre Aguirr GITIC con el
trabajo e nombre de
Directiva para el
uso de los
Recursos
computacionales
, internet y
correo
electrónico
Tabla 18. Auditoría DSS01
DSS02 Gestionar las Peticiones y los Incidentes del Servicio
PROCESO DSS02 – Gestionar las Peticiones y los Incidentes del Servicio

SI/NO versión
DSS02.01 Esquemas y SI 2018 Ing. David Ing. El documento
Definir modelos de Aguirre David está incluido
esquemas de clasificación de Aguirre en el PETI
clasificación incidentes y 2018.
de incidentes y peticiones de
peticiones de servicio
servicio. Reglas para SI 2018 Ing. David Ing. El documento
escalado de Aguirre David está incluido
incidentes Aguirre en el PETI
2018.
Criterios para NO N/A N/A Ing. -
registro de David
65
problemas Aguirre
DSS02.02 Registro de NO N/A N/A Ing. -
Registrar, incidentes y David
clasificar y peticiones de Aguirre
priorizar servicio
peticiones e Incidentes y NO N/A N/A Ing. -
incidentes. peticiones de David
servicio Aguirre
clasificados y
priorizados
DSS02.03 Peticiones de SI 2018 Áreas MPS Ing. El área
"Verificar, servicio David solicitante
aprobar y aprobadas Aguirre emite un
resolver documento de
peticiones de petición de
servicio." servicio
Peticiones de SI 2018 Ing. David Ing. Los ingenieros
servicio Aguirre David emiten un
completas Aguirre documento
Ing. indicando que
Alexis se ha
Abanto. finalizado el
Sr. Jose servicio
Luis solicitado.
Neme
Ing.
Alin
Blas
Ing.
Pool
Alayo
DSS02.04 Síntomas de NO N/A N/A Ing. -

Investigar, incidentes David
diagnosticar y Aguirre
localizar Registro de NO N/A N/A Ing. -
incidentes. problemas David
Aguirre
DSS02.05 Resoluciones SI 2018 Ing. David Ing. Los ingenieros
Resolver y de incidentes Aguirre David emiten un
recuperarse de Ing. Alexis Aguirre documento
incidentes. Abanto. indicando que
Sr. Jose Luis se ha resuelto o
Neme recuperado de
Ing. Alin Blas algún incidente
Ing. Pool Alayo
DSS02.06 Peticiones de SI 2018 Ing. David Ing. Los ingenieros

Cerrar servicio e Aguirre David emiten un
peticiones de incidentes Ing. Alexis Aguirre documento
servicio e cerrados Abanto. indicando que
incidentes. Sr. Jose Luis se ha resuelto o
Neme recuperado de
Ing. Alin Blas algún incidente
Ing. Pool Alayo
Confirmación NO N/A N/A Ing. -

del usuario de David
resolución o Aguirre
cumplimiento
66
satisfactorios
DSS02.07 Informe de NO N/A N/A Ing. -
Seguir el estado y David
estado y emitir tendencias de Aguirre
informes. incidentes
Informes de NO N/A N/A Ing. -
estado de David
cumplimiento Aguirre
de peticiones y
tendencias
DSS03 Gestionar los Problemas
PROCESO DSS03 – Gestionar los Problemas

SI/NO versión
DSS03.01 Esquema de NO N/A N/A Ing. -
Identificar y clasificación de David
clasificar problemas Aguirre
problemas. Informes de SI 2018 Ing. David Ing. Los ingenieros
estado de Aguirre David al identificar
problemas Ing. Alexis Aguirre un problema
Abanto. emiten un
Sr. Jose Luis informe.
Neme
Ing. Alin Blas
Ing. Pool
Alayo
Registro de NO N/A N/A Ing. -

problemas David
Aguirre
DSS03.02 Causas raíz de SI 2018 Ing. David Ing. Los ingenieros
Investigar y los problemas Aguirre David al identificar
diagnosticar Ing. Alexis Aguirre un problema
problemas. Abanto. emiten un
Sr. Jose Luis informe.
Neme
Ing. Alin Blas
Ing. Pool
Alayo
Informes de SI 2018 Ing. David Ing. Los ingenieros

resolución de Aguirre David al resolver un
problemas Ing. Alexis Aguirre problema
Abanto. Ing. emiten un
Sr. Jose Luis Alexis informe.
Neme Abanto.
Ing. Alin Blas Sr. Jose
Ing. Pool Luis
Alayo Neme
Ing.
Alin
Blas
Ing.
Pool
Alayo
67
DSS03.03 Registros de NO N/A N/A Ing. -
Levantar errores David
errores conocidos Aguirre
conocidos. Soluciones NO N/A N/A Ing. -
propuestas para David
errores Aguirre
conocidos
Resolver y problemas David
cerrar cerrados Aguirre
problemas. Comunicación NO N/A N/A Ing. -
del David
conocimiento Aguirre
aprendido
Realizar una monitorización David
gestión de de resolución de Aguirre
problemas problemas
proactiva. Identificar SI 2018 Ing. David Ing. Los ingenieros
soluciones Aguirre David emiten un
sostenibles Ing. Alexis Aguirre informe sobre
Abanto. Ing. la
Sr. Jose Luis Alexis identificación
Neme Abanto. de soluciones
Ing. Alin Blas Sr. Jose sostenibles
Ing. Pool Luis
Alayo Neme
Ing.
Alin
Blas
Ing.
Pool
Alayo
DSS04 Gestionar la Continuidad
PROCESO DSS04 – Gestionar la Continuidad

SI/NO versión
DSS04.01 Política y NO N/A N/A Ing. -
Definir la objetivos de David
política de continuidad de Aguirre
continuidad negocio
del negocio, Escenarios de SI 2018 Ing. David Ing. El documento
objetivos y incidentes que Aguirre David está incluido
alcance. causan una Aguirre en el PETI
interrupción 2018.
Valoraciones de NO N/A N/A Ing. -
las capacidades David
actuales y lagunas Aguirre
de continuidad
DSS04.02 Análisis de NO N/A N/A Ing. -
Mantener una impacto en el David
estrategia de negocio Aguirre
continuidad. Requerimientos de NO N/A N/A Ing. -
continuidad David
Aguirre
68
Opciones NO N/A N/A Ing. -
estratégicas David
aprobadas Aguirre
DSS04.03 Acciones y SI 2018 Ing. David Ing. Los ingenieros
Desarrollar e comunicaciones Aguirre David emiten un
implementar de respuesta a Ing. Alexis Aguirre informe sobre
una respuesta incidentes Abanto. Ing. los incidentes
a la Sr. Jose Luis Alexis suscitados.
continuidad Neme Abanto.
del negocio. Ing. Alin Blas Sr. Jose
Ing. Pool Luis
Alayo Neme
Ing.
Alin
Blas
Ing.
Pool
Alayo
Plan de NO N/A N/A Ing. -

Continuidad de David
Negocio (BCP Aguirre
DSS04.04 Pruebas de NO N/A N/A Ing. -
Ejercitar, objetivos David
probar y Aguirre
revisar el plan Pruebas de NO N/A N/A Ing. -
de ejercicios David
continuidad. Aguirre
Pruebas de NO N/A N/A Ing. -
resultados y David
recomendaciones Aguirre
DSS04.05 Resultados de las NO N/A N/A Ing. -
Revisar, revisiones de los David
mantener y planes Aguirre
mejorar el Cambios NO N/A N/A Ing. -
plan de recomendados a David
continuidad. los planes Aguirre
DSS04.06 Requerimientos de NO N/A N/A Ing. -

Proporcionar formación David
formación en Aguirre
el plan de Resultados de la NO N/A N/A Ing. -
continuidad. supervisión de David
habilidades y Aguirre
competencias
DSS04.07 Probar los NO N/A N/A Ing. -
Gestionar resultados de las David
acuerdos de copias de Aguirre
respaldo. seguridad de los
datos
DSS04.08 Informe de NO N/A N/A Ing. -
Ejecutar revisión post David
revisiones reanudación Aguirre
post Cambios NO N/A N/A Ing. -
reanudación aprobados a los David
planes Aguirre
MEA01 Supervisar, Evaluar y Valorar Rendimiento y Conformidad
69
PROCESO MEA01 – Supervisar, Evaluar y Valorar Rendimiento y Conformidad
SI/NO versión
MEA01.01 Requisitos de NO N/A N/A Ing. -
Establecer un supervisión David
enfoque de la Aguirre
supervisión. Métricas y NO N/A N/A Ing. -
objetivos de David
supervisión Aguirre
aprobado.
MEA01.02 Objetos de SI 26/11/2010 Gerencia de Ing. El documento se
Establecer los supervisión Planeamiento David encuentra en el
objetivos de y Presupuesto Aguirre PTE-MPS, con
cumplimiento el nombre de
y rendimiento. ROF
(Reglamento de
Organización y
Funciones)
pág.63
MEA01.03 Datos de NO N/A N/A Ing. -
Recopilar y supervisión David
procesar los procesados Aguirre
datos de
cumplimiento
y rendimiento.
MEA01.04 Informes de SI 2018 Ing. David Ing. El funcionario

Analizar e desempeño Aguirre David del OCI emite
informar sobre Aguirre documento
el informando el
rendimiento. rendimiento.
MEA01.05 Acciones y SI 2018 Ing. David Ing. La GITIC emite

Asegurar la asignaciones Aguirre David documento
implantación correctivas Aguirre informando que
de medidas se han
correctivas. realizados las
acciones
correspondientes
Estado y SI 2018 Ing. David Ing. La GITIC emite
resultado de Aguirre David documento
las acciones Aguirre informando que
se han
realizados las
acciones
correspondientes
Tabla 22. Auditoría MEA01
4.2.3. Evaluación de Niveles de Capacidad

En este apartado evaluamos el nivel de capacidad de los procesos seleccionados,
aquellos que cuentan con documentación, para lo cual se mostrarán los
resultados a través de gráficos de radar y se apreciará el avance del proceso.
70
 EDM02
Atributos de Capacidad del Proceso
Proce Práctica Definic Desplie Gesti Contr Rendimi Gestión Gestión Innovac Optimiza
so de ión del gue de ón de ol de ento del del de los ión de ción de
Gobier proceso proceso Proce Proce Proceso Rendimi Resulta Proceso Procesos
no sos sos ento dos s
EDM02 0 0 0 0 0 0 0 0 0
.01
EDM 02
EDM02 0 0 0 0 0 0 0 0 0
.02
EDM02 0 0 0 0 0 0 0 0 0
.03
Tabla 23. Calificación de Atributos de capacidad EDM02
Prácticas de Gobierno con atributos de

capacidad 0
Definición del
proceso
1
Optimización Despliegue de
0.8
de Procesos procesos
0.6 EDM02.01 Evaluar la
0.4 optimización del valor
Innovación de Gestión de
0.2
Procesos Procesos EDM02.02 Orientar la
0
optimización del valor
Gestión de los Control de EDM02.03 Supervisar la

Resultados Procesos optimización del valor
Gestión del Rendimiento
Rendimiento del Proceso
Figura 26. Radar de atributos de capacidad EDM02
Descripción Valor
Puntuación Óptima 27
Puntuación obtenida 0
Porcentaje alcanzado 0.00
Escala para alcanzar el Nivel de Capacidad 1 N
Tabla 24. Escala de Nivel de Capacidad EDM02
 EDM05
EDM05 0 0 0 0 0 0 0 0 0
.01
EDM 05
EDM05 1 1 1 1 1 1 0 0 0
.02
EDM05 0 0 0 0 0 0 0 0 0
.03
Tabla 25. Calificación de Atributos de capacidad EDM05
71
EDM 05.02 Orientar la comunicación con las Prácticas de Gobierno con atributos de
partes intersadas y la elaboración de informes. capacidad 0
Definición del Definición del
proceso proceso
1 1
Optimización Despliegue de Optimización Despliegue de
0.8 0.8 EDM05.01 Evaluar los
de Procesos procesos de Procesos procesos
0.6 0.6 requisitos de elaboración
0.4 0.4 de informes de la partes
Innovación de Gestión de EDM05.02 Orientar la Innovación de Gestión de
0.2 0.2 interesadas.
Procesos Procesos comunicación con las Procesos Procesos
0 0
partes intersadas y la EDM05.03 Supervisar la
elaboración de informes. Gestión de los Control de comunicación con las
Gestión de los Control de
Resultados Procesos Resultados Procesos partes interesadas.
Gestión del Rendimiento Gestión del Rendimiento
Rendimiento del Proceso Rendimiento del Proceso
Figura 27. Radar de atributos de capacidad EDM05
Descripción Valor
Porcentaje alcanzado 22.2%
Tabla 26. Escala de Nivel de Capacidad EDM05
 APO01
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión Innovac Optimiza
so a de ión del gue de n de ol de ento del del de los ión de ción de
APO01 1 1 1 1 1 1 0 0 0
.01
APO01 1 1 1 1 1 0 0 0 0
.02
APO01 1 1 1 1 1 1 1 1 1
APO01
.03
APO01 0 0 0 0 0 0 0 0 0
.04
APO01 0 0 0 0 0 0 0 0 0
.05
APO01 0 0 0 0 0 0 0 0 0
.06
APO01 0 0 0 0 0 0 0 0 0
.07
APO01 0 0 0 0 0 0 0 0 0
.08
Tabla 27. Calificación de Atributos de capacidad APO01
72
APO01.01 Evaluar la optimización del valor APO01.02 Establecer roles y responsabilidades
Definición del
Definición del
proceso
1 proceso
Optimización Despliegue de 1
0.8 Optimización Despliegue de
de Procesos procesos 0.8
0.6 de Procesos procesos
0.6
0.4 0.4
Innovación de Gestión de Innovación de Gestión de
0.2 0.2
Procesos Procesos APO01.01 Evaluar la Procesos Procesos APO01.02 Establecer
0 0
optimización del valor roles y responsabilidades
Gestión de los Control de Gestión de los Control de

Resultados Procesos Resultados Procesos
APO01.03 Mantener los elementos catalizadores Prácticas de Gobierno con atributos de

del sistema de gestión capacidad 0
proceso proceso APO01.04 Comunicar los
1 1 objetivos y la dirección
0.8 0.8 de gestión.
0.6 0.6
0.4 0.4
Innovación de Gestión de Innovación de Gestión de APO01.05 Optimizar la
0.2 APO01.03 Mantener los 0.2
Procesos Procesos Procesos Procesos ubicación de la función
0 elementos catalizadores 0
de TI.
del sistema de gestión
Resultados Procesos Resultados Procesos APO01.06 Definir la
Gestión del Rendimiento Gestión del Rendimiento propiedad de la
Rendimiento del Proceso Rendimiento del Proceso información (datos) y del
sistema
Figura 28. Radar de atributos de capacidad APO01
Descripción Valor
Tabla 28. Tabla 26. Escala de Nivel de Capacidad APO01
 APO04
APO04 1 1 1 1 1 0 0 0 0
.01
APO04 1 1 1 1 1 1 1 1 1
.02
APO04 1 1 1 1 1 1 1 1 1
APO04
.03
APO04 0 0 0 0 0 0 0 0 0
.04
APO04 0 0 0 0 0 0 0 0 0
.05
APO04 1 1 1 0 0 0 0 0 0
.06
73
APO04.01 Crear un entorno favorable para la APO04.02 Mantener un entendimiento del
innovación. entorno de la
proceso proceso
1 1
0.8 0.8
0.6 0.6
0.4 0.4
0.2 APO04.01 Crear un 0.2 APO04.02 Mantener un
Procesos Procesos Procesos Procesos
0 entorno favorable para la 0 entendimiento del
innovación. entorno de la empresa.
APO04.03 Supervisar y explorar el entorno APO04.06 Supervisar la implementación y el uso

tecnológico. de la innovación.
proceso proceso
1 1
0.8 0.8
0.6 0.6
0.4 0.4
0.2 APO04.03 Supervisar y 0.2 APO04.06 Supervisar la
Procesos Procesos Procesos Procesos
0 explorar el entorno 0 implementación y el uso
tecnológico. de la innovación.

capacidad 0
Definición del
proceso
1
0.8 APO04.04 Evaluar el
0.6 potencial de las
0.4 tecnologías emergentes y
0.2 las ideas innovadoras.
Procesos Procesos
0
APO04.05 Recomendar
Gestión de los Control de iniciativas apropiadas
Resultados Procesos adicionales.
Descripción Valor
Escala para alcanzar el Nivel de Capacidad 1 P
Tabla 30. Escala de Nivel de Capacidad APO04
 APO07
APO07 1 1 1 0 0 0 0 0 0
.01
APO07
APO07 1 1 1 1 1 1 1 1 1
.02
APO07 1 1 1 0 0 0 0 0 0
.03
APO07 0 0 0 0 0 0 0 0 0
74
.04
APO07 1 1 1 0 0 0 0 0 0
.05
APO07 1 1 1 0 0 0 0 0 0
.06
APO07.01 Mantener la dotación de personal APO07.02 Identificar personal clave de TI.

suficiente y adecuada Definición del
Definición del proceso
proceso 1
1 0.8
Optimización Despliegue de de Procesos procesos
0.8 0.6
0.6 0.4
0.4 Innovación de Gestión de
0.2
Innovación de Gestión de Procesos Procesos APO07.02 Identificar
0.2 APO07.01 Mantener la 0
Procesos Procesos personal clave de TI.
0 dotación de personal
suficiente y adecuada
Gestión de los Control de Resultados Procesos
Resultados Procesos
APO07.03 Mantener las habilidades y APO07.05 Planificar y realizar un seguimiento

competencias del personal. del uso de recursos humanos de TI y del
Definición del negocio.
proceso Definición del
1 proceso
Optimización Despliegue de 1
0.8 Optimización Despliegue de
0.6 de Procesos procesos
0.4 0.6
Innovación de Gestión de APO07.03 Mantener las 0.4 APO07.05 Planificar y
Procesos Procesos habilidades y 0.2 realizar un seguimiento
0 Procesos Procesos
competencias del 0 del uso de recursos
personal. humanos de TI y del
Resultados Procesos Gestión de los Control de negocio.
Resultados Procesos
Rendimiento del Proceso Gestión del Rendimiento
APO07.06 Gestionar el personal contratado. Prácticas de Gobierno con atributos de

capacidad 0
Definición del
proceso Definición del
1 proceso
0.8 1
de Procesos procesos Optimización Despliegue de
0.6 0.8
0.4 0.6
Innovación de Gestión de 0.4
Procesos Procesos APO07.06 Gestionar el 0.2 APO07.04 Evaluar el
0 Procesos Procesos
personal contratado. 0 desempeño laboral de los
empleados.
Resultados Procesos
Resultados Procesos
Descripción Valor
 APO13
APO13 0 0 0 0 0 0 0 0 0
13
O
A
P
.01
75
APO13 0 0 0 0 0 0 0 0 0
.02
APO13 0 0 0 0 0 0 0 0 0
.03

capacidad 0
Definición del APO13.01 Establecer y
proceso mantener un SGSI.
1
0.8
0.6
0.4 APO13.02 Definir y
0.2 gestionar un plan de
Procesos Procesos
0
tratamiento del riesgo
de la seguridad de la
Gestión de los Control de información.
Resultados Procesos
APO13.03 Supervisar y
Gestión del Rendimiento revisar el SGSI.
Descripción Valor
 BAI01
BAI01 0 0 0 0 0 0 0 0 0
.01
BAI01 1 1 1 1 1 1 1 1 1
.02
BAI01 1 1 1 1 1 0 0 0 0
.03
BAI01 1 1 1 1 1 1 1 1 1
.04
BAI01 1 1 1 0 0 0 0 0 0
.05
BAI01
BAI01 0 0 0 0 0 0 0 0 0
.06
BAI01 1 1 1 1 1 1 1 1 1
.07
BAI01 1 1 1 1 1 1 0 0 0
.08
BAI01 0 0 0 0 0 0 0 0 0
.09
BAI01 0 0 0 0 0 0 0 0 0
.10
BAI01 1 1 1 1 1 1 0 0 0
.11
76
BAI01 1 1 1 1 1 1 0 0 0
.12
BAI01 1 1 1 1 1 1 0 0 0
.13
BAI01 1 1 1 1 1 1 1 1 1
.14
Tabla 35. Calificación de Atributos de capacidad BAI01
BAI01.02 Iniciar un programa. BAI01.03 Gestionar el compromiso de las

partes interesadas.
Definición del
proceso Definición
1 del proceso
Optimización Despliegue
0.8 1
de Procesos de procesos Optimización Despliegue
0.6 0.8
de Procesos de procesos
0.4 0.6
Innovación Gestión de 0.4
0.2 Innovación Gestión de
de Procesos Procesos BAI01.02 Iniciar un 0.2 BAI01.03 Gestionar el
0 de Procesos Procesos
programa. 0 compromiso de las
Gestión de Control de partes interesadas.
Gestión de Control de
los… Procesos
los… Procesos
BAI01.04 Desarrollar y mantener el plan de BAI01.05 Lanzar y ejecutar el programa.

programa.
Definición
del proceso Optimización 1 Despliegue
Optimizació 1 Despliegue 0.8
0.8 de Procesos de procesos
n de… de procesos 0.6
0.6 0.4
Innovación Gestión de 0.2 BAI01.05 Lanzar y
0.2 BAI01.04 Desarrollar y de Procesos 0 Procesos
de Procesos 0 Procesos mantener el plan de ejecutar el programa.
programa. Gestión de Control de
Gestión de Control de los… Procesos
los… Procesos Gestión del Rendimiento
Gestión del Rendimiento Rendimiento del Proceso
BAI01.07 Lanzar e iniciar proyectos dentro BAI01.11 Supervisar y controlar proyectos.

de un programa.
Definición del Definición
proceso del proceso
1 Optimización 1 Despliegue
Optimización Despliegue de 0.8
0.6
0.4
Innovación de Gestión de BAI01.07 Lanzar e 0.2 BAI01.11 Supervisar y
0.2 de Procesos 0 Procesos
Procesos Procesos iniciar proyectos controlar proyectos.
0
dentro de un
programa. Gestión de Control de
Gestión de los Control de los… Procesos
Resultados Procesos Gestión del Rendimiento
BAI01.12 Gestionar los recursos y los BAI01.13 Cerrar un proyecto o iteración.

paquetes de trabajo del proyecto.
Definición
del proceso Optimización 1 Despliegue
Optimizació 1 Despliegue 0.8
0.8 0.6
n de… de procesos
0.6 0.4
Innovación Gestión de BAI01.12 Gestionar los 0.2 BAI01.13 Cerrar un
0.2 de Procesos 0 Procesos
de Procesos Procesos recursos y los proyecto o iteración.
0
paquetes de trabajo
del proyecto. Gestión de Control de
los… Procesos
Figura 32. Radar de atributos de capacidad BAI01 – Parte I
77
BAI01.14 Cerrar un programa.
Definición del
proceso
1
0.8
0.6
0.4
Innovación Gestión de
0.2
de Procesos Procesos BAI01.14 Cerrar un
0
programa.
los… Procesos
Prácticas de Gobierno con atributos de capacidad 0

Definición del
proceso
1
Optimización de Despliegue de BAI01.01 Mantener un enfoque
0.8 estándar para la gestión de
Procesos procesos
0.6 programas y proyectos.
0.4
Innovación de Gestión de BAI01.06 Supervisar, controlar e
0.2 informar de los resultados del
Procesos Procesos
0 programa.
BAI01.09 Gestionar la calidad de
Gestión de los Control de los programas y proyectos.
Resultados Procesos
BAI01.10 Gestionar el riesgo de
Gestión del Rendimiento del
los programas y proyectos.
Rendimiento Proceso
Figura 33. Radar de atributos de capacidad BAI01 – Parte II
Descripción Valor
Tabla 36. Escala de Nivel de Capacidad BAI01
 BAI03
BAI03 0 0 0 0 0 0 0 0 0
.01
BAI03 0 0 0 0 0 0 0 0 0
.02
BAI03 1 1 1 1 1 1 1 1 1
.03
BAI03 1 1 1 1 1 1 1 1 1
.04
BAI03
BAI03 0 0 0 0 0 0 0 0 0
.05
BAI03 0 0 0 0 0 0 0 0 0
.06
BAI03 1 1 1 1 1 0 0 0 0
.07
BAI03 1 1 1 1 1 1 1 1 1
.08
BAI03 0 0 0 0 0 0 0 0 0
.09
78
BAI03 1 1 1 1 1 0 0 0 0
.10
BAI03 0 0 0 0 0 0 0 0 0
.11
BAI03.03 Desarrollar los componentes de la BAI03.04 Obtener los componentes de la

solución solución
Definición Definición
del proceso del proceso
1 Optimización 1 Despliegue
Optimizació Despliegue
0.8 0.8
n de… de procesos de Procesos de procesos
0.6 0.6
0.4 0.4
Innovación Gestión de BAI03.03 Desarrollar Innovación Gestión de BAI03.04 Obtener los
0.2 0.2
de Procesos 0 Procesos los componentes de la de Procesos 0 Procesos componentes de la
solución solución
Gestión de Control de Gestión de Control de
los… Procesos los… Procesos
BAI03.07 Preparar pruebas de la solución BAI03.08 Ejecutar pruebas de la solución
Optimizació 1 Despliegue Optimizació 1 Despliegue
0.8 0.8
n de… de procesos n de… de procesos
0.6 0.6
0.4 0.4
Innovación Gestión de Innovación Gestión de
0.2 BAI03.07 Preparar 0.2 BAI03.08 Ejecutar
de Procesos 0 Procesos de Procesos 0 Procesos
pruebas de la solución pruebas de la solución
BAI03.10 Mantener soluciones.

Definición del
proceso
Optimización 1 Despliegue
0.8
0.6
0.4
0.2 BAI03.10 Mantener
de Procesos 0 Procesos
soluciones.
los… Procesos

Definición del
BAI03.01 Diseñar soluciones de
proceso
1 alto nivel.
Optimización de Despliegue de
0.8 BAI03.02 Diseñar los componentes
Procesos procesos
0.6 detallados de la solución
0.4 BAI03.05 Construir soluciones.
0.2
Procesos Procesos
0
BAI03.06 Realizar controles de
calidad.
Resultados Procesos BAI03.09 Gestionar cambios a los
requerimientos.
Rendimiento Proceso BAI03.11 Definir los servicios TI y
mantener el catálogo de servicios.
Figura 34. Radar de atributos de capacidad BAI03
Descripción Valor
79
 BAI06
BAI06 1 1 1 0 0 0 0 0 0
.01
BAI06 1 1 1 1 1 1 1 1 1
BAI06
.02
BAI06 0 0 0 0 0 0 0 0 0
.03
BAI06 1 1 1 1 1 1 1 1 1
.04
BAI06.01 Evaluar, priorizar y autorizar BAI06.02 Gestionar cambios de emergencia.

peticiones de cambio.
Definición del
Definición proceso
del proceso 1
1 0.8
Optimización Despliegue de Procesos de procesos
0.8 0.6
0.6 0.4
0.4 Innovación Gestión de BAI06.02 Gestionar
Innovación Gestión de 0.2
0.2 BAI06.01 Evaluar, de Procesos 0 Procesos cambios de
de Procesos 0 Procesos priorizar y autorizar emergencia.
peticiones de cambio. Gestión de Control de
los… Procesos
BAI06.04 Cerrar y documentar los cambios. Prácticas de Gobierno con atributos de

capacidad 0
Definición del
proceso Definición
1 del proceso
0.8 Optimización 1 Despliegue
0.6 0.8
0.4 0.6
Innovación de Gestión de BAI06.04 Cerrar y 0.4
0.2 Innovación Gestión de BAI06.03 Hacer
Procesos Procesos documentar los 0.2
0 de Procesos Procesos seguimiento e
cambios. 0
informar de cambios
Gestión de los Control de de estado.
Resultados Procesos Gestión de Control de
los… Procesos
Descripción Valor
80
 BAI09
BAI09 1 1 1 1 1 1 0 0 0
.01
BAI09 0 0 0 0 0 0 0 0 0
.02
BAI09
BAI09 1 1 1 1 1 1 1 1 1
.03
BAI09 0 0 0 0 0 0 0 0 0
.04
BAI09 1 1 1 0 0 0 0 0 0
.05
BAI09.01 Identificar y registrar activos BAI09.03 Gestionar el ciclo de vida de los

actuales. activos.
Optimización 1 Despliegue 1
0.8 0.8
de Procesos de procesos de Procesos de procesos
0.6 0.6
0.4 0.4
Innovación Gestión de BAI09.01 Identificar y Innovación Gestión de BAI09.03 Gestionar el
0.2 0.2
de Procesos 0 Procesos registrar activos de Procesos Procesos ciclo de vida de los
0
actuales. activos.
BAI09.05 Administrar licencias. Prácticas de Gobierno con atributos de

capacidad 0
Definición
del proceso Definición
Optimización 1 Despliegue del proceso
0.8 1
de Procesos de procesos Optimización Despliegue
0.6 0.8
0.6
0.2 BAI09.05 Administrar 0.4 BAI09.02 Gestionar
de Procesos Procesos Innovación Gestión de
0 0.2 activos críticos
licencias. de Procesos Procesos
0
Gestión de Control de BAI09.04 Optimizar el
los… Procesos Gestión de Control de coste de los activos.
Gestión del Rendimiento los… Procesos
Descripción Valor
81
 BAI10
BAI10 0 0 0 0 0 0 0 0 0
.01
BAI10 0 0 0 0 0 0 0 0 0
.02
BAI10
BAI10 0 0 0 0 0 0 0 0 0
.03
BAI10 0 0 0 0 0 0 0 0 0
.04
BAI10 0 0 0 0 0 0 0 0 0
.05
Definición del BAI10.01 Establecer y mantener

proceso un modelo de configuración.
1
Optimización de Despliegue de
0.8 BAI10.02 Establecer y mantener
Procesos procesos
0.6 un repositorio de configuración
0.4 y una base de referencia.
0.2 BAI10.03 Mantener y controlar
Procesos Procesos
0 los elementos de configuración.
Gestión de los Control de BAI10.04 Generar informes de

Resultados Procesos estado y configuración.

BAI10.05 Verificar y revisar la
Rendimiento Proceso
integridad del repositorio de
configuración.
Descripción Valor
 DSS01
DSS01 1 1 1 1 1 0 0 0 0
.01
DSS01 0 0 0 0 0 0 0 0 0
DSS01
.02
DSS01 0 0 0 0 0 0 0 0 0
.03
DSS01 1 1 1 1 1 0 0 0 0
82
.04
DSS01 1 1 1 1 1 1 1 1 1
.05
Tabla 45. Calificación de Atributos de capacidad DSS01
DSS01.01 Ejecutar procedimientos DSS01.04 Gestionar el entorno

operativos
Definición
Definición del
del proceso
proceso 1
1 Optimización Despliegue
Optimización Despliegue de 0.8
0.6 0.4
Innovación de Gestión de 0.2 DSS01.04 Gestionar el
0.2 DSS01.01 Ejecutar de Procesos 0 Procesos
Procesos 0 Procesos procedimientos entorno
operativos Gestión de Control de
Gestión de los Control de los… Procesos
Resultados Procesos Gestión del Rendimiento
DSS01.05 Gestionar las instalaciones Prácticas de Gobierno con atributos de

capacidad 0
Definición
del proceso Definición
Optimizació 1 Despliegue del proceso
0.8 Optimizació 1 Despliegue
n de… de procesos 0.8
0.6 n de… de procesos
0.4 0.6
Innovación Gestión de 0.4 DSS01.02 Gestionar
0.2 DSS01.05 Gestionar las Innovación Gestión de
de Procesos 0 Procesos 0.2 servicios
instalaciones de Procesos 0 Procesos
Gestión de Control de DSS01.03 Supervisar la
los… Procesos Gestión de Control de infraestructura
Gestión del Rendimiento los… Procesos
Figura 38. Radar de atributos de capacidad DSS01
Descripción Valor
Tabla 46. Escala de Nivel de Capacidad DSS01
 DSS02
DSS02 1 1 1 1 1 1 0 0 0
.01
DSS02 0 0 0 0 0 0 0 0 0
.02
DSS02 1 1 1 1 1 1 1 1 1
.03
DSS02
DSS02 0 0 0 0 0 0 0 0 0
.04
DSS02 1 1 1 1 1 1 1 1 1
.05
DSS02 1 1 1 1 1 0 0 0 0
.06
DSS02 0 0 0 0 0 0 0 0 0
83
.07
DSS02.01 Definir esquemas de DSS02.03 Verificar, aprobar y resolver

clasificación de incidentes y peticiones
de servicio. Definición
Definición del…
Optimizaci 1 Despliegue
del proceso 0.8
Optimizaci 1 Despliegue ón de… 0.6 de…
0.8 0.4
ón de… 0.6 de… DSS02.01 Definir Innovación Gestión de
0.2 DSS02.03 Verificar,
Innovación 0.4 Gestión de esquemas de de… 0 Procesos
0.2 aprobar y resolver
de… Procesos clasificación de
0 Gestión de Control de
incidentes y
los… Procesos
Gestión de Control de peticiones de Gestión Rendimien
los… Procesos servicio. del… to del…
Gestión del Rendimient
Rendimie… o del…
DSS02.05 Resolver y recuperarse de DSS02.06 Cerrar peticiones de servicio

incidentes. e incidentes.
del… del proceso
Optimizaci 1 Despliegue Optimizació 1 Despliegue
0.8 0.8
ón de… 0.6 de… n de… 0.6 de…
Innovación 0.4 Gestión de Innovación 0.4 Gestión de DSS02.06 Cerrar
0.2 DSS02.05 Resolver 0.2
de… Procesos de… Procesos peticiones de
0 y recuperarse de 0
servicio e
incidentes.
Gestión de Control de Gestión de Control de incidentes.
Gestión Rendimien Gestión del Rendimient
del… to del… Rendimie… o del…

capacidad 0
Definición DSS02.02 Registrar,
del proceso clasificar y priorizar
Optimizació 1 Despliegue peticiones e
0.8
n de… de procesos incidentes.
0.6
0.4 DSS02.04 Investigar,
0.2 diagnosticar y localizar
de Procesos 0 Procesos
incidentes.
los… Procesos DSS02.07 Seguir el
Gestión del Rendimiento estado y emitir
Rendimiento del Proceso informes.
Descripción Valor
84
 DSS03
DSS03 1 1 1 0 0 0 0 0 0
.01
DSS03 1 1 1 1 1 1 1 1 1
.02
DSS03
DSS03 0 0 0 0 0 0 0 0 0
.03
DSS03 0 0 0 0 0 0 0 0 0
.04
DSS03 1 1 1 1 1 0 0 0 0
.05
DSS03.01 Identificar y clasificar DSS03.02 Investigar y diagnosticar

problemas. problemas.
Optimizació 1 Despliegue 1
Optimizació Despliegue
0.8 0.8
n de… 0.6 de procesos n de… de procesos
0.6
0.4 DSS03.01 0.4 DSS03.02
0.2 Identificar y 0.2 Investigar y
de Procesos 0 Procesos de Procesos 0 Procesos
clasificar diagnosticar
Gestión de Control de problemas. Gestión de Control de problemas.
DSS03.05 Realizar una gestión de Prácticas de Gobierno con atributos de

problemas proactiva. capacidad 0
del… del…
Optimizaci 1 Despliegue Optimizaci 1 Despliegue
0.8 0.8
ón de… 0.6 de… ón de… 0.6 de…
0.4 DSS03.05 Realizar 0.4 DSS03.03 Levantar
0.2 una gestión de 0.2 errores conocidos.
de… 0 Procesos de… 0 Procesos
problemas DSS03.04 Resolver
Gestión de Control de proactiva. Gestión de Control de y cerrar problemas.
Gestión del Rendimien Gestión Rendimien
Rendimie… to del… del… to del…
Descripción Valor
85
 DSS04
DSS04 1 1 1 0 0 0 0 0 0
.01
DSS04 1 1 1 1 1 0 0 0 0
.02
DSS04 0 0 0 0 0 0 0 0 0
.03
DSS04 0 0 0 0 0 0 0 0 0
DSS04
.04
DSS04 0 0 0 0 0 0 0 0 0
.05
DSS04 0 0 0 0 0 0 0 0 0
.06
DSS04 0 0 0 0 0 0 0 0 0
.07
DSS04 0 0 0 0 0 0 0 0 0
.08
DSS04.01 Definir la política de DSS04.02 Mantener una estrategia de

continuidad del negocio, objetivos y continuidad.
alcance. Definición
del… Optimizaci 1 Despliegue
1 0.8
Optimizaci Despliegu ón de… 0.6 de…
0.8
ón de… 0.6 e de… Innovación 0.4 Gestión de DSS04.02
DSS04.01 Definir 0.2
Innovació 0.4 Gestión de de… Procesos Mantener una
0.2 la política de 0
n de… Procesos estrategia de
0 continuidad del
Gestión de Control de continuidad.
negocio, objetivos
y alcance. Gestión del Rendimient
los… Procesos
Gestión Rendimien Rendimie… o del…
del… to del…

1 DSS04.03 Desarrollar e implementar una
Optimización de Despliegue de respuesta a la continuidad del negocio.
0.8
Procesos procesos
0.6 DSS04.04 Ejercitar, probar y revisar el
plan de continuidad.
0.4
Innovación de 0.2 DSS04.05 Revisar, mantener y mejorar el
Gestión de Procesos
Procesos plan de continuidad.
0
DSS04.06 Proporcionar formación en el
plan de continuidad.
Gestión de los DSS04.07 Gestionar acuerdos derespaldo.
Control de Procesos
Resultados
DSS04.08 Ejecutar revisiones

Gestión del Rendimiento del postreanudación
Rendimiento Proceso
Descripción Valor
86
 MEA01
MEA01 0 0 0 0 0 0 0 0 0
.01
MEA01 1 1 1 1 1 1 1 1 1
.02
MEA01
MEA01 0 0 0 0 0 0 0 0 0
.03
MEA01 1 1 1 1 1 1 1 1 1
.04
MEA01 1 1 1 1 1 1 1 1 1
.05
Tabla 53. Calificación de Atributos de capacidad MEA01
MEA01.02 Establecer los objetivos de MEA01.04 Analizar e informar sobre

cumplimiento y rendimiento. el rendimiento.
del proceso del…
Optimizaci 1 Despliegue
0.8 Optimizaci 1 Despliegu
ón de… 0.6 de… 0.8
MEA01.02 ón de… 0.6 e de…
Innovación 0.4 Gestión de Innovació 0.4 Gestión de
0.2 Establecer los 0.2 MEA01.04 Analizar
de… 0 Procesos objetivos de n de… 0 Procesos e informar sobre
cumplimiento y el rendimiento.
rendimiento.
Gestión del Rendimient Gestión Rendimien
Rendimie… o del… del… to del…
MEA01.05 Asegurar la implantación Prácticas de Gobierno con atributos

de medidas correctivas. de capacidad 0
del… del… MEA01.01
1 Establecer un
Optimizaci
0.8
Despliegue Optimizaci 1 Despliegu
ón de… 0.6 de… 0.8 enfoque de la
ón de… 0.6 e de…
MEA01.05 supervisión.
Innovación 0.4 Gestión de Innovació 0.4 Gestión de
0.2 Asegurar la 0.2
de… 0 Procesos implantación de n de… 0 Procesos
medidas MEA01.03
Gestión de Control de Gestión de Control de Recopilar y
correctivas. los… Procesos
los… Procesos procesar los datos
Gestión del Rendimien Gestión Rendimien
del… to del… de cumplimiento y
Rendimie… to del…
rendimiento.
Figura 42. Radar de atributos de capacidad MEA01
Descripción Valor
Tabla 54. Escala de Nivel de Capacidad MEA01
87
CAPÍTULO V
RESULTADOS
88
5.1. HALLAZGOS IMPORTANTES
En el capítulo anterior se realizó la Calificación de Atributos de capacidad de cada
uno de los procesos seleccionados de aquellos subprocesos que cumplían con la
documentación mínima, donde pudimos observar a través del gráfico de radar que
algunos procesos no han alcanzado la escala de Proceso Parcialmente Alcanzado (P),
esto debido a que la Municipalidad Provincial del Santa no está desarrollando las
Prácticas de Gobierno mínimas para el correcto Gobierno de TI. A continuación, se
presenta un Consolidado de Escalas de todos los procesos antes vistos.
Escala Definición
N Proceso No alcanzado, debido a que la GITIC no cuenta con
documentación en ningunas de las prácticas de gobierno que le
corresponde a este proceso.
Proceso No alcanzado, debido a que la GITIC no cuenta con la
documentación suficiente en las prácticas de gobierno que le
corresponde a este proceso.
P Proceso Parcialmente alcanzado, la GITIC se encuentra en
proceso del logro del proceso ya que existe evidencia del avance.
L Proceso Ampliamente alcanzado, la GITIC ha alcanzado el
logro del proceso ya que existe evidencia del cumplimiento de
las prácticas de gobierno casi al 100%.
Tabla 55. Definición de Escalas
Proceso % Alcanzado Escala Definición

en la GITIC
EDM02 0.0% N Proceso No alcanzado
EDM05 22.2% N Proceso No alcanzado
APO01 27.7% N Proceso No alcanzado
APO04 48.14% P Proceso Parcialmente alcanzado
APO07 38.8% P Proceso Parcialmente alcanzado
APO13 0.0% N Proceso No alcanzado
BAI01 53.96% P Proceso Parcialmente alcanzado
BAI10 0.0% N Proceso No alcanzado
DSS01 42.2% P Proceso Parcialmente alcanzado
DSS04 11.1% N Proceso No alcanzado
MEA01 60.0% P Proceso Parcialmente alcanzado
Tabla 56. Resultados de la evaluación de procesos
89
La tabla 56 muestra un resumen de los resultados obtenidos en cada proceso
evaluado, indicando el porcentaje alcanzado, evidenciando que aún existe mucho
por mejorar.
Resultados de la Evaluación de Procesos según Cobit en la

GITIC - MPS
70.00%
58.30% 60.00%
60.00% 53.96%
Logro del Proceso(%)
48.14% 46.00%
50.00% 42.20%
38.80% 40.04% 37.70%
37.30%
40.00%
27.70%
30.00% 22.20%
20.00%
11.10%
10.00%
0.00% 0.00% 0.00%
0.00%
Procesos Evaluados
% Proceso No Alcanzado % Proceso Parcialmente Alcanzado % Proceso Ampliamente Alcanzado
Figura 43. Resultados de la evaluación de Procesos
Se realizó la evaluación de 16 procesos de gobierno y de gestión según el Modelo

Cobit en su versión 5, con la finalidad de auditar diversos aspectos de la Gerencia de
Informática y TIC. En el desarrollo de la auditoría se utilizó diversas herramientas de
para la captura de información, dando como resultado que del 100% de los procesos
evaluados, 6 procesos se encuentran en la escala de “Proceso No Alcanzado”, lo
cual representa el 37.5% del total. Los procesos que obtuvieron la escala de
“Proceso Parcialmente Alcanzado” fueron 10, siendo el 62.5% del total.
Finalmente se observa que no existe proceso alguno que haya obtenido la escala de
“Proceso Ampliamente Alcanzado”.
5.1.1. Positivos
 Al realizar la auditoría se detectó que muchos de los documentos de
gestión, planes y políticas se encuentran accesibles para la
comunidad a través del Portal de Transparencia Estándar alojado la
página web institucional, de esta manera representa un valioso
aporte para la comunidad y a su vez le exigirá propuestas de mejora
continua a la página web institucional.
90
 La institución cuenta con documentación de estructura
organizacional, del cual se rigen todas las gerencias, siendo éste el
Manual de Organización y Funciones de la institución (MOF), y
Reglamento de Organización y Funciones (ROF), Texto Único de
Procedimientos Administrativos (TUPA), Plan Estratégico De
Tecnologías De Información (PETI) y el Plan Operativo Informático
(POI) .
 Cada año se plantean proyectos de Innovación para la mejora de los
servicios de los trabajadores y la comuna en general, estando
debidamente plasmados en el PETI.
 En la mayoría de documentación disponible se detectó que las
versiones de los mismos tienen fechas del 2017 y 2018.
 Se obtuvo un 62.5% de procesos que se encuentran en “Proceso
Parcialmente Alcanzado”, lo que significa que existe evidencia de
que se está trabajando para la mejora y logro de los procesos de TI
en la Gerencia.
 El ROF regula los requisitos mínimos que debe cumplir el
profesional del área de TI, teniendo consigo políticas de contratación
de personal.
 La GITIC lleva un control del personal que labora en la gerencia, ver
Anexo1.Recursos Humanos de la Gerencia, sus funciones
asignadas al cargo a través de Memorándum, lo cual ayuda a
identificar el personal clave del área y generar estrategias de apoyo y
mejora.
 Existe un presupuesto asignado para la ejecución de planes y
proyectos de TI, el cual es supervisado para ver el cumplimiento de
las metas, siendo documentado todo avance de proyecto.
 La GITIC cuenta con un S.I de control de equipos informáticos en la
Unidad de Soporte Técnico, donde llevan un registro del hardware
de la entidad, Ver Anexo2. Registro de hardware informático.
 Se observó que el personal de la GITIC sigue un proceso adecuado
en cuanto a las solicitudes de cambio o modificación de registro de
datos y sistemas.
91
 Los ingenieros y técnicos de la GITIC realizan instalación de
software y equipos informáticos presentando un informe al finalizar
sus labores en otras áreas de la municipalidad.
 En el proceso de Auditoría se detectó que la GITIC cuenta con una
Directiva para el uso de los Recursos computacionales, internet y
correo electrónico, lo cual es fundamental para el conocimiento de
todos los trabajadores de la municipalidad.
 Se observó que el PETI incluye clasificación de incidentes y riesgos
que podrían suscitarse en la Gerencia, lo cual ayuda para que se
refuercen todos esos puntos.
 Se detectó que el personal de TI tiene una respuesta rápida para la
solución de problemas e incidentes, dando como resultado que la
continuidad del servicio no se vea tan afectada.
 El Órgano de Control Interno (OCI) evalúa el rendimiento y
cumplimiento de las políticas sobre Transparencia y Acceso a la
Información Pública, siendo un punto para mejorar y mantener
actualizado el PTE, documentos y optimizando los servicios.
5.1.2. Oportunidades de mejora
 En el desarrollo de la auditoría se detectó que ningún proceso se
encuentra logrado al 100%, donde el 62.5% está parcialmente
alcanzado y el 37.5 está en la escala de Proceso No Alcanzado.
 La GITIC no tiene reglamentado la elaboración de informes, debido
a ello se detectó que el personal nuevo a veces no realizaba informes
de las labores encomendadas.
 La Municipalidad Provincial del Santa cuenta con el Manual de
Políticas de Gestión Institucional, sin embargo, la GITIC no cuenta
con documentación sobre Políticas Relativas a TI, siendo los
responsables de la elaboración del mismo.
 Se detectó que existen Planes y Proyectos de TI, sin embargo,
muchos de ellos no se han llevado a cabo por falta de personal
especializado.
 Con la auditoría se observó que sólo se ha logrado implantar 01
solución informática desarrollada por un trabajador de la GITIC en
92
el periodo 2015-2017, ya que mayormente se recurre a la
contratación de terceros.
 La GITIC cuenta con 17 sistemas de información, ver Anexo.3
Sistemas de Información MPS, los cuales administra, sin embargo,
solo 1 está documentado y tiene Manual de Usuario.
 Los S.I trabajan de forma independiente, no están integrados.
 Los funcionarios de otras áreas no se involucran en reuniones de
planeamiento de nuevas soluciones de TI, existe falta de interés de
las áreas usuarias.
 Se detectó que no existe un registro de tiempo de inactividad de los
activos(equipos), lo cual ha provocado que se tenga en desuso y no
se le dé el respectivo mantenimiento.
 No existe un control para el proceso de backups, algunos
trabajadores realizan backups semanalmente, otros lo realizan a
diario y otros no realizan.
 Se observó que cuando ocurre un problema, sólo algunos emiten
informes de lo ocurrido y de la solución aplicada.
 Se observó que las conexiones y el cableado de red no cumple con
los estándares establecidos y que el Centro de Datos necesita
mantenimiento. Ver Anexo5. Centro de Datos MPS, Anexo6.
Equipos en mal estado en el Centro de Datos MPS.
 El Centro de Datos no cuenta con las medidas de seguridad y el
acceso no se encuentra restringido ya que anteriormente contaba con
un lector biométrico de huella digital, sin embargo, actualmente se
encuentra malogrado. Ver Anexo7. Lector biométrico del Centro
de Datos
 La GITIC no cuenta con acciones para la mejorar la entrega de valor
de sus servicios, no realizan evaluaciones para saber si están
alineados con la estrategia institucional.
 Se detectó que La GITIC no tiene Directrices para el control y
seguridad de datos.
 No hay Gestión para la mejora de Procesos, siendo los procesos
fundamentales de la Municipalidad, el Proceso que abarca Rentas y
el proceso de Logística.
93
 No se realizan evaluaciones del desempeño de los Recursos
Humanos de la Gerencia de Informática.
 No se ha establecido ni iniciado el proceso para el desarrollo de un
SGSI Sistema de Gestión de Seguridad de la Información.
 No existe un registro de eventos o incidentes y no cuenta con un
Plan de Contingencia de TI, ni con actividades de concientización en
salud y seguridad en el trabajo.
 No existe mucho trabajo en equipo, y se detectó que cuando sucede
un problema, no hay una comunicación entre el grupo de trabajo
para adquirir el conocimiento aprendido al resolver el problema.
5.2. RECOMENDACIONES DE AUDITORÍA
Con los resultados obtenidos en la Auditoría realizada, se elaboraron las siguientes
recomendaciones, con el fin de que la Gerencia ponga en marcha las actividades
necesarias para el cumplimiento de los procesos que faltan lograr y apoyar los
procesos que se encuentran en su etapa inicial.
Proceso Recomendación
EDM02 1. Comprender los requerimientos de las partes interesadas,
Asegurar la trabajadores de la municipalidad y usuarios externos para
Entrega de realizar los S.I.
Beneficios 2. Establecer reuniones de trabajo con los funcionarios de las
distintas áreas de la Municipalidad para
3. Definir y comunicar la cartera de proyectos y los tipos de
inversión, categorías, criterios y ponderaciones.
4. Crear un grupo dedicado al desarrollo de aplicaciones y S.I
EDM05 1. Examinar y juzgar los requisitos actuales y futuros de
Asegurar la elaboración de informes respecto al uso de TI dentro de la
Transparencia empresa (regulación, legislación, leyes generales, requisitos
hacia las contractuales), incluyendo alcance y frecuencia.
partes 2. Establecer mecanismos de validación y aprobación de la
interesadas elaboración obligatoria de informes.
3. Establecer políticas que regulen la entrega de informes a
través de medios físicos o digitales dentro de la Gerencia.
APO01 1. Establecer un Comité Estratégico de TI y Comité Directivo
Gestionar el de TI.
Marco de 2. Definir reglas básicas de comunicación en la Gerencia.
Gestión de TI 3. Delimitar claramente las responsabilidades y la rendición de
cuentas, especialmente para la aprobación y toma de
decisiones.
4. Implementar prácticas de supervisión adecuadas para
garantizar que los roles y las responsabilidades se pongan
en práctica de forma correcta
5. Alinearse con los estándares y códigos de práctica de
94
gobierno y gestión aplicables a nivel nacional e
internacional.
6. Crear un conjunto de políticas para conducir las
expectativas de control de TI en temas clave relevantes,
como calidad, seguridad, confidencialidad, controles
internos, uso de activos de TI, ética y derechos de propiedad
intelectual.
7. Evaluar y actualizar las políticas, como mínimo una vez al
año, para ajustarlas a los cambiantes entornos operativos o
de negocio.
APO04 1. Crear un plan de innovación con el respectivo equipo de
Gestionar la trabajo
Innovación 2. Crear un entorno que fomente la innovación manteniendo
iniciativas de recursos humanos relevantes, tales como el
reconocimiento de la innovación y programas de
reconocimiento, una rotación apropiada en los puestos de
trabajo y tiempo prudencial para la experimentación.
3. Mantener un programa que permita a los empleados
presentar ideas innovadoras y crear una estructura adecuada
de toma de decisiones para evaluar y aplicar estas ideas.
Animar a Innovar a todo el personal.
APO07 1. Evaluar las necesidades de personal de forma regular.
Gestionar los 2. Mantener los procesos de contratación y de retención del
Recursos personal de TI y del negocio en línea con las políticas y
Humanos procedimientos de personal globales de la empresa.
3. Capacitación y Evaluación del Personal de TI .
4. Minimizar la dependencia en una sola persona en la
realización de una función crítica de trabajo mediante la
captura de conocimiento (documentación), el intercambio
de conocimientos, la planificación de la sucesión, el
respaldo (backup) del personal, el entrenamiento cruzado e
iniciativas de rotación de puestos.
5. Incentivar una cultura de trabajo en equipo.
APO13 1. Establecer un SGSI definiendo el alcance y los límites del
Gestionar la SGSI en términos de las características de la empresa, la
Seguridad organización, su localización, activos y tecnología. Incluir
detalles de y justificación para, cualquier exclusión del
alcance.
2. Invertir en la Seguridad de la Información.
3. Renovar los equipos de seguridad de la institución.
4. Mejorar la seguridad de los S.I y Base de Datos.
BAI01 1. Mantener y reforzar un enfoque estándar de la gestión de
Gestionar los programas y proyectos alineados al entorno específico de la
Programas y empresa y a las buenas prácticas basadas en procesos
Proyectos definidos y el uso de tecnología apropiada.
2. Identificar, comprometer y gestionar a las partes
interesadas, estableciendo y manteniendo niveles
apropiados de coordinación, comunicación y vinculación
para asegurar que estén involucrados en los
programas/proyectos.
95
3. Definir y documentar los programas y proyectos. Manuales
de Usuario. Casos de Uso, entre otros.
BAI03 1. Establecer especificaciones de diseño a alto nivel que
Gestionar la traduzcan la solución propuesta en procesos de negocio,
Identificación servicios soportados, aplicaciones, infraestructura y
y la repositorios de información capacidades de cumplir con los
Construcción requerimientos de arquitectura de negocio y empresa.
de Soluciones 2. Establecer un equipo de desarrollo de soluciones de T.I.
3. Planeamiento dela integración de los S.I en la
Municipalidad.
BAI06 1. Utilizar peticiones de cambio formales para posibilitar que
Gestionar los los propietarios de procesos de negocio y TI soliciten
Cambios cambios en procesos de negocio, infraestructura, sistemas o
aplicaciones
2. Supervisar todos los cambios de emergencia y realizar
revisiones post-implantación involucrando a todas las partes
interesadas.
3. Elaborar informes de cambios de estado.
BAI09 1. Verificar la existencia de todos los activos en propiedad
Gestionar los mediante la realización periódica de controles de inventario
Activos físicos y lógicos y su conciliación,
2. Determinar de forma regular si cada activo continúa
proporcionando valor y, si es así, estimar la vida útil
prevista de dicha validez.
3. Supervisar el rendimiento de los activos críticos
examinando las tendencias de incidentes y, en caso
necesario, tomar medidas para reparar o reemplazar.
4. Establecer un registro de inactividad del hardware para que
se realice el mantenimiento en el tiempo adecuado.
5. Establecer un plan de mantenimiento preventivo para todo
el hardware, considerando un análisis coste-beneficio,
recomendaciones del proveedor, el riesgo de interrupción
del servicio, personal cualificado y otros factores relevantes.
6. Elaborar un cronograma de mantenimiento de rutina
periódico.
7. Mejorar y actualizar constantemente el software de
inventario.
8. Realizar el cableado estructurado en el Edificio Municipal y
en las sedes externas.
BAI10 1. Establecer y mantener un modelo lógico para la gestión de
Gestionar la la configuración, incluyendo información sobre los tipos de
Configuración elementos de configuración, atributos de los elementos de
configuración, tipos de relaciones, atributos de relación y
códigos de estado.
2. Implantar políticas para el proceso y control de backups de
Base de Datos y S.I
DSS01 1. Desarrollar y mantener procedimientos operativos y
Gestionar las actividades relacionadas para dar apoyo a todos los
Operaciones servicios entregados
2. Programar, realizar y registrar las copias de respaldo de
96
acuerdo con las políticas y procedimientos establecidos.
3. Identificar y mantener una lista de activos de infraestructura
que necesiten ser monitorizados en base a la criticidad del
servicio y la relación entre los elementos de configuración y
los servicios que de ellos dependen.
4. Producir registros de eventos y retenerlos por un periodo
apropiado para asistir en investigaciones futuras
5. Identificar desastres naturales y causados por el ser humano
que puedan ocurrir en el área donde se encuentran las
instalaciones de TI. Evaluar el efecto potencial en las
instalaciones de TI.
6. Establecer un Plan de Contingencia en la GITIC.
DSS02 1. Definir esquemas de clasificación y priorización de
Gestionar las incidentes y peticiones de servicio y criterios para el
Peticiones y registro de problemas, para asegurar enfoques consistentes
los Incidentes en el tratamiento, informando a los usuarios y realizando
del Servicio análisis de tendencias.
2. Definir modelos de incidentes para errores conocidos con el
fin de facilitar su resolución eficiente y efectiva
DSS03 1. Manejar formalmente todos los problemas con acceso a
Gestionar los todos los datos relevantes, incluyendo información sobre el
Problemas sistema de gestión de cambios y los detalles de incidentes
sobre configuración/activos TI.
2. Mantener un catálogo de gestión de problemas único para
registrar e informar sobre problemas identificados y para
establecer pistas de auditoría sobre los procesos de gestión
de problemas, incluyendo el estado de cada problema (p. ej.,
abierto, reabierto, en progreso o cerrado).
DSS04 1. Identificar procesos de soporte al negocio esenciales y
Gestionar la servicios TI relacionados.
Continuidad 2. Realizar un análisis de impacto en el negocio para evaluar el
impacto en tiempo de una disrupción en funciones críticas
del negocio y el efecto que tendría en ellas
MEA01 1. Definir y revisar periódicamente los objetivos y métricas
Supervisar, con las partes interesadas para identificar cualquier detalle
Evaluar y significativo omitido y definir la razonabilidad de metas y
Valorar tolerancias
Rendimiento y 2. Utilizar herramientas y sistemas apropiados para el
Conformidad procesamiento y formateo de datos para análisis.
Tabla 57. Recomendaciones de Auditoría
5.3. INFORME FINAL DE AUDITORÍA

Ver Anexo8.Informe Final de Auditoría.
97
CAPÍTULO VI
CONCLUSIONES Y
RECOMENDACIONES
98
6.1. CONCLUSIONES
 Se aplicó los 5 principios del Modelo Cobit en la Gerencia de Informática
de la Municipalidad Provincial del Santa, donde se detectó deficiencias en
los procesos de evaluación siguientes: Proceso EDM, Proceso APO,
Proceso BAI, Proceso DSS y Proceso MEA.
 La Gerencia de Informática de la Municipalidad Provincial del Santa posee
sistemas de información con niveles de seguridad muy bajos,
documentación de software escasa y a su vez los S.I necesitan soporte.
 Se evaluaron 16 procesos de Gobierno y Gestión de los cuales, 6 se
encuentran en la escala de “Proceso No Alcanzado”, lo cual representa el
37.5%, 10 procesos se encuentran en la escala de “Proceso Parcialmente
Alcanzado” siendo el 62.5% del total y ningún proceso se encuentra
“Ampliamente Alcanzado”.
 Se han redactado las recomendaciones para cada proceso evaluado, tomando
como base las pautas del Modelo Cobit y las necesidades de la
 Se detectaron oportunidades de mejora en la Gerencia de Informática en
diversos aspectos como infraestructura, procesos y recursos humanos y
tecnológicos.
 Como aspectos positivos la organización cuenta con la mayoría de sus
documentos de gestión actualizados, planes y políticas. La Gerencia cuenta
con un presupuesto para ejecución de planes y proyectos de T.I los cuales se
encuentran plasmados en el PETI (Plan Estratégico de Tecnologías de la
Información).
 Se realizó un informe Final de Auditoría donde se detalló todos los
resultados y recomendaciones para la mejora de los procesos, S.I e
infraestructura.
6.2. RECOMENDACIONES
Después de haber realizado la auditoría se recomienda establecer reuniones de
trabajo que involucren a los funcionarios de la Municipalidad Provincial del Santa
para asegurar la entrega de beneficios con el adecuado uso de las tecnologías de T.I,
donde puedan exponer sus requerimientos para la elaboración de nuevos S.I e
integrar los que ya existen.
99
Implantar un Gobierno de TI donde se trabaje de la mano con la correcta gestión de
los Sistemas de información, preservando y resguardando la información como
activo valioso de la Municipalidad.
Establecer un Sistema de Gestión de Seguridad de la Información (SGSI) con su

respectivo Comité de SGSI para asegurar el correcto uso de la información,
proteger la información de los diversos procesos que se realizan a diario, evitar fuga
de información a terceros y asegurar la transparencia.
Mejorar los procesos de contratación y retención de personal de TI alineados a las

políticas y perfil global requerido, asimismo evitar la dependencia en una sola
persona de una función crítica de trabajo fomentando el intercambio de
conocimiento y trabajo en equipo.
Gestionar los programas y proyectos del área de TI, gestionar la identificación y

construcción de soluciones, definir y documentar todos los proyectos y programas,
supervisar las peticiones de cambio en los S.I de la Municipalidad.
Realizar la gestión de activos de la Municipalidad lo que incluye los activos de T.I,

utilizar un S.I relacionado al sistema de logística, verificando su existencia en
almacén o áreas del palacio municipal y anexos, supervisar su rendimiento,
establecer planes preventivos del hardware y cronogramas de mantenimiento.
Finalmente se recomienda realizar un cronograma de auditorías internas para

evaluar los procesos de la Gerencia de Informática y el cumplimiento de las
normas.
100
BIBLIOGRAFÍA
Álvarez, R. y Guanoluisa, G. (2015). Tesis: Auditoría a los Procesos de Desarrollo de

Software del Centro de Transferencia Tecnológica de la ESPE para el caso del
Sistema Hospitalario HB11 bajo el Marco de Referencia COBIT 5. Recuperado
de: http://repositorio.espe.edu.ec/bitstream/21000/10302/1/T-ESPE-048482.pdf
Melo, J. (2013). Auditoría de sistemas aplicada al sistema de información de la

cooperativa del Magisterio de Tuquerres Coacremat. Recuperado de:
http://biblioteca.udenar.edu.co:8085/atenea/biblioteca/89740.pdf
Rosero, S. y Bonilla, J. (2015). Auditoría al Sistema de Información Alpwin 2.0 en el

rubro cuentas por cobrar del módulo de ventas de la compañía SYSCOMPSA
S.A. Recuperado de: https://dspace.ups.edu.ec/bitstream/123456789/9974/1/UPS-
GT001092.pdf
Isaca. (2012) COBIT 5- Un marco de Negocio para el Gobierno y la Gestión de las TI

de la Empresa. Recuperado de:
http://cotana.informatica.edu.bo/downloads/COBIT5-Framework-Spanish.pdf
José Peña Ibarra (2012) COBIT 5. Recuperado de:

https://www.isaca.org/chapters7/Monterrey/Events/Documents/20120305%20Cob
iT%205.pdf
Isaca. Recuperado de: http://www.isaca.org/about-isaca/Pages/default.aspx
Isaca. (2019) Cobit. Recuperado de: http://www.isaca.org/COBIT/pages/cobit-5.aspx
Gerencia de informática.(2014) ROF-MPS. Recuperado de:

http://transparencia.gob.pe/enlaces/pte_transparencia_enlaces.aspx?id_entidad=11
144&id_tema=5&ver=#.XSTYkGdYYiQ
Cobarsi, J.,(2011) Sistemas de información en la empresa, Editorial UOC.
101
Ruiz, E.,(2017) Nuevas tendencias en los sistemas de información, Editorial Centro
de Estudios Ramon Areces SA.
Ley Orgánica de Municipalidades LEY Nº 27972 - Diario Oficial el Peruano.

Recuperado de :https://municipioaldia.com/wp-content/uploads/1/2017/05/LOM-
20190522.pdf
Municipalidad. Municipio al día – PCM. Recuperado

de:https://municipioaldia.com/municipalidades-del-peru/#2-section
Pacheco, E,.(2018) Auditoría de Sistemas, Lima 1era Edición. Recuperado de:

https://issuu.com/orlandopachecocuri/docs/libro_de_auditoria_de_sistemas_mar2
_92b6043b88d2c0
Isaca. (2016)Information Systems Auditing: Tools and Techniques. Recuperado de:

http://www.isaca.org/Knowledge-Center/Research/Documents/IS-auditing-
creating-audit-programs_whp_eng_0316.PDF?regnum=508829
Contraloría General de la República.,(2015) Guía Técnicas de Auditoría. Recuperado

de: http://doc.contraloria.gob.pe/libros/2/pdf/guia_tecnicas_auditoria.pdf
102
ANEXOS
Anexo 1: Recursos Humanos de la Gerencia de Informática y TIC
103
Anexo 2: Registro de hardware informático.
104
Anexo 3: Sistemas de Información MPS
105
Anexo 4: Relación de Licencias de Software
106
Anexo 5: Centro de Datos MPS
107
Anexo 6: Equipos en mal estado en el Centro de Datos MPS
108
Anexo 7: Lector biométrico del Centro de Datos
109
Anexo 8: Informe Final de Auditoría
110
111

Modelo Tesis Cobit 5

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Modelo Tesis Cobit 5

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD NACIONAL DEL SANTA

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS E

APLICACIÓN DEL MODELO COBIT PARA AUDITORIA DE SISTEMAS DE

“Informe de Prácticas Pre Profesionales para obtener el Grado Académico de

LIDIA BERENICE VELEZ COBEÑAS

DR. GUILLERMO EDWARD GIL ALBARRÁN

NUEVO CHIMBOTE – PERÚ

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS E

APLICACIÓN DEL MODELO COBIT PARA AUDITORIA DE SISTEMAS DE

“Informe de Prácticas Pre Profesionales para obtener el Grado Académico de

REVISADO Y APROBADO POR:

NUEVO CHIMBOTE – PERÚ

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS E

APLICACIÓN DEL MODELO COBIT PARA AUDITORIA DE SISTEMAS DE

“Informe de Prácticas Pre Profesionales para obtener el Grado Académico de

REVISADO Y APROBADO POR EL JURADO EVALUADOR:

NUEVO CHIMBOTE – PERÚ

Al Ing. David Aguirre Ramírez, por brindarme la oportunidad de terminar mi formación

Al Blgo. Jean Baltodano, por compartir su experiencia en la sustentación de proyectos

Señores miembros del Jurado Evaluador.

En cumplimiento a lo dispuesto por el Reglamento General de Grados y Títulos de la

“APLICACIÓN DEL MODELO COBIT PARA AUDITORIA DE SISTEMAS DE

Como requisito para Optar el Grado Académico de Bachiller en Ingeniería de Sistemas

El presente informe de Prácticas Pre Profesionales ha sido desarrollado para identificar,

LIDIA BERENICE VELEZ COBEÑAS

Se realizó el levantamiento de la información en colaboración con el ingeniero

Para el desarrollo de la auditoría se toma como modelo de referencia el Modelo Cobit,

La auditoría inicia realizando la selección de objetivos empresariales y objetivos de T.I,

Posteriormente se realizó la selección de los procesos facilitadores y prácticas de

Finalmente se muestran los resultados en un gráfico de radar, donde se aprecia el nivel

Al concluir la auditoría se detectaron hallazgos importantes y oportunidades de mejora,

La correcta gestión de la información permite resolver problemas y sirve como apoyo

En el capítulo 1, “La empresa” se muestra reseña histórica y datos principales de la

En el capítulo 2, “Planteamiento del problema” se describe la realidad problemática de

En el capítulo 3, “Marco teórico” se describen conceptos generales sobre auditoría y

En el capítulo 4, “Desarrollo de la Auditoría” se realiza la selección de los procesos a

En el capítulo 5, “Resultados”, se describe los resultados obtenidos en el desarrollo de

En el capítulo 6, “Conclusiones y recomendaciones”, se muestran las conclusiones

PRESENTACIÓN ......................................................................................................... iii

1.1. RESEÑA HISTÓRICA ................................................................................... 2

1.2. PERFIL DE LA EMPRESA ........................................................................... 2

1.2.1. Datos Generales de la Empresa ............................................................... 2

1.2.2. Actividad de la Empresa .......................................................................... 3

1.2.3. Alcance de la Empresa ............................................................................. 3

1.2.4. Logotipo ..................................................................................................... 3

1.3. FILOSOFÍA CORPORATIVA ...................................................................... 3

1.4. VISIÓN Y MISIÓN DE LA EMPRESA........................................................ 3

1.4.1. Visión ......................................................................................................... 3

1.4.2. Misión ........................................................................................................ 4

1.5. VALORES ........................................................................................................ 4

1.6. OBJETIVOS ESTRATÉGICOS .................................................................... 4

1.7. ORGANIZACIÓN ACTUAL DE LA EMPRESA ....................................... 6

PLANTEAMIENTO DEL PROBLEMA ..................................................................... 7

2.1. REALIDAD PROBLEMÁTICA .................................................................... 8

2.2. ANÁLISIS DEL PROBLEMA ....................................................................... 9

2.3. ANTECEDENTES DEL PROBLEMA ....................................................... 10

2.3.2. Antecedentes Nacionales ........................................................................ 11

2.3.3. Antecedentes Locales .............................................................................. 11

2.4. FORMULACIÓN DEL PROBLEMA ......................................................... 12

2.5. HIPÓTESIS .................................................................................................... 12

2.6. OPERACIONALIZACIÓN DE LAS VARIABLES .................................. 13

2.7.1. Objetivo General .................................................................................... 13

2.7.2. Objetivos Específicos .............................................................................. 13