Documentos de Académico
Documentos de Profesional
Documentos de Cultura
FACULTAD DE INGENIERIA
AUTOR:
ASESOR:
2019
UNIVERSIDAD NACIONAL DEL SANTA
FACULTAD DE INGENIERIA
_______________________________________
DR. GUILLERMO EDWARD GIL ALBARRÁN
Asesor
2019
UNIVERSIDAD NACIONAL DEL SANTA
FACULTAD DE INGENIERIA
TÍTULO
_________________________ _________________________
Presidente Secretario
_________________________ _________________________
Miembro Accesitario
2019
DEDICATORIA
A mis padres Tey y Mirtha, por el esfuerzo que han hecho a lo largo de mi vida, para
verme realizada como una profesional, siendo el mejor ejemplo y guía.
A Betania y Belén, mis hermanas y cómplices. A Betania por ser como una madre y
cuidarme en todo momento. A mi hermana menor Belén que irradia alegría y provoca
las más grandes sonrisas.
i
AGRADECIMIENTO
A Dios por ser fuente de sabiduría, por enseñarme en cada tropiezo y llenarme de gozo
en cada logro.
A todos los ingenieros con los que compartí oficina, Alexis, Alin y José Luis. Por sus
aportes y disponibilidad para el desarrollo de este proyecto.
Al Ing. Pool Alayo Guimaray, por estar presto a brindarme información y acceso a la
Gerencia de Informática en la última etapa del proyecto.
Al Dr. Guillermo Gil Albarrán, por asesorarme en el desarrollo de este informe, por su
paciencia, tiempo invertido y por ser un gran profesional.
A Yomira Miñano, gran amiga, por sus aportes y por ser aquella persona incondicional
desde que ingresé a ésta casa de estudios.
Por último, a cada uno de mis compañeros y docentes de la Universidad Nacional del
Santa, por la formación y apoyo en mi proceso de aprendizaje.
ii
PRESENTACIÓN
Por lo expuesto, a ustedes señores miembros del jurado evaluador, presento mi informe,
para su revisión, esperando cumpla con los requisitos mínimos para su aprobación.
Atentamente,
iii
RESUMEN
El presente informe de Prácticas Pre Profesionales tuvo como finalidad el desarrollo de
una auditoría de sistemas de información en la Gerencia de Informática de la
Municipalidad Provincial del Santa, aplicando el modelo internacional Cobit en su
versión 5.
iv
INTRODUCCIÓN
La Municipalidad Provincial del Santa tiene como activo importante la información y
por lo tanto tiene a su cargo la custodia de la misma, por lo tanto el objetivo de los
estándares orientados a la seguridad de información en una organización es el
establecimiento de metodologías, prácticas y procedimientos que buscan proteger la
información como activo valioso.
Con el fin de mejorar diversos procesos de T.I se propone una auditoría aplicando el
Modelo Internacional Cobit, donde a través de una serie de llineamientos, pone en
evidencia el estado de la organización sobre tecnologías de la información. Para la
evaluación de los procesos se necesita información de los mismos, roles para operar
estructuras organizativas, apoyo de la institución, evaluación de infraestructura,
aplicaciones, base de datos, entre otros.
v
ÍNDICE
DEDICATORIA .............................................................................................................. i
AGRADECIMIENTO .................................................................................................... ii
RESUMEN ..................................................................................................................... iv
INTRODUCCIÓN .......................................................................................................... v
ÍNDICE ........................................................................................................................... vi
CAPÍTULO I .................................................................................................................. 1
LA EMPRESA ................................................................................................................ 1
CAPÍTULO II ................................................................................................................. 7
2.7. OBJETIVOS................................................................................................... 13
2.11.2. Población.............................................................................................. 16
vii
3.3. HERRAMIENTAS Y TÉCNICAS PARA LA AUDITORÍA .................... 24
3.5. COBIT............................................................................................................. 27
CAPÍTULO IV.............................................................................................................. 41
CAPÍTULO V ............................................................................................................... 88
RESULTADOS ............................................................................................................. 88
CAPÍTULO VI.............................................................................................................. 98
viii
ÍNDICE DE TABLAS
ix
Tabla 33. Calificación de Atributos de capacidad APO13 ............................................. 76
Tabla 34. Escala de Nivel de Capacidad APO13 ........................................................... 76
Tabla 35. Calificación de Atributos de capacidad BAI01 .............................................. 77
Tabla 36. Escala de Nivel de Capacidad BAI01 ............................................................ 78
Tabla 37. Calificación de Atributos de capacidad BAI03 .............................................. 79
Tabla 38. Escala de Nivel de Capacidad BAI03 ............................................................ 80
Tabla 39. Calificación de Atributos de capacidad BAI06 .............................................. 80
Tabla 40. Escala de Nivel de Capacidad BAI06 ............................................................ 80
Tabla 41. Calificación de Atributos de capacidad BAI09 .............................................. 81
Tabla 42. Escala de Nivel de Capacidad BAI09 ............................................................ 81
Tabla 43. Calificación de Atributos de capacidad BAI10 .............................................. 82
Tabla 44. Escala de Nivel de Capacidad BAI10 ............................................................ 82
Tabla 45. Calificación de Atributos de capacidad DSS01.............................................. 83
Tabla 46. Escala de Nivel de Capacidad DSS01 ............................................................ 83
Tabla 47. Calificación de Atributos de capacidad DSS02.............................................. 84
Tabla 48. Escala de Nivel de Capacidad DSS02 ............................................................ 84
Tabla 49. Calificación de Atributos de capacidad DSS03.............................................. 85
Tabla 50. Escala de Nivel de Capacidad DSS03 ............................................................ 85
Tabla 51. Calificación de Atributos de capacidad DSS04.............................................. 86
Tabla 52. Escala de Nivel de Capacidad DSS04 ............................................................ 86
Tabla 53. Calificación de Atributos de capacidad MEA01 ............................................ 87
Tabla 54. Escala de Nivel de Capacidad MEA01 .......................................................... 87
Tabla 55. Definición de Escalas ..................................................................................... 89
Tabla 56. Resultados de la evaluación de procesos ........................................................ 89
Tabla 57. Recomendaciones de Auditoría ...................................................................... 97
ÍNDICE DE FIGURAS
x
Figura 7. Principios de COBIT 5 .................................................................................... 28
Figura 8. Metas corporativas de Cobit............................................................................ 30
Figura 9. Metas relacionadas con las T.I ........................................................................ 30
Figura 10. Catalizadores Cobit 5 .................................................................................... 31
Figura 11. Interacciones entre Gobierno y Gestión en Cobit 5 ...................................... 31
Figura 12. Las áreas claves de Gobierno y Gestión de Cobit 5 ...................................... 32
Figura 13. Modelo de Referencia de Procesos ............................................................... 33
Figura 14. Procesos EDM............................................................................................... 34
Figura 15. Procesos APO ............................................................................................... 36
Figura 16. Procesos BAI................................................................................................. 38
Figura 17. Procesos DSS ................................................................................................ 39
Figura 18. Procesos MEA............................................................................................... 40
Figura 19. Ponderación realizada en la MPS para los objetivos de la empresa ............. 44
Figura 20. Resultados de Objetivos de la empresa con mayor ponderación .................. 45
Figura 21. Cruce de los objetivos de la empresa seleccionados con los objetivos TI. ... 46
Figura 22. Resultado de ponderación entre Objetivos de Empresa y Objetivos TI. ....... 47
Figura 23. Objetivos de Empresa y Objetivos TI ........................................................... 48
Figura 24. Ponderación Procesos Facilitadores .............................................................. 49
Figura 25. Resultados de Ponderación de Procesos Facilitadores .................................. 50
Figura 26. Radar de atributos de capacidad EDM02 ...................................................... 71
Figura 27. Radar de atributos de capacidad EDM05 ...................................................... 72
Figura 28. Radar de atributos de capacidad APO01 ....................................................... 73
Figura 29. Radar de atributos de capacidad APO04....................................................... 74
Figura 30. Radar de atributos de capacidad APO07 ....................................................... 75
Figura 31. Radar de atributos de capacidad APO13 ....................................................... 76
Figura 32. Radar de atributos de capacidad BAI01 – Parte I ......................................... 77
Figura 33. Radar de atributos de capacidad BAI01 – Parte II ........................................ 78
Figura 34. Radar de atributos de capacidad BAI03 ........................................................ 79
Figura 35. Radar de atributos de capacidad BAI06 ........................................................ 80
Figura 36. Radar de atributos de capacidad BAI09 ........................................................ 81
Figura 37. Radar de atributos de capacidad BAI10 ........................................................ 82
Figura 38. Radar de atributos de capacidad DSS01 ....................................................... 83
Figura 39. Radar de atributos de capacidad DSS02 ....................................................... 84
Figura 40. Radar de atributos de capacidad DSS03 ....................................................... 85
xi
Figura 41. Radar de atributos de capacidad DSS04 ....................................................... 86
Figura 42. Radar de atributos de capacidad MEA01 ...................................................... 87
Figura 43. Resultados de la evaluación de Procesos ...................................................... 90
ANEXOS
xii
CAPÍTULO I
LA EMPRESA
1
1.1. RESEÑA HISTÓRICA
La Municipalidad Provincial de Santa como entidad tiene su creación con el
Decreto-Ley N°11326 donde el 14 de abril de 1950 en la ciudad de Lima, la Junta
Militar de Gobierno tuvo como consideración que la Provincia del Santa posee una
gran extensión superficial de más de 7 mil metros cuadrados que comprende toda la
región costanera de la región Ancash y por lo tanto era difícil su administración
política y judicial, además de resaltar el Puerto de Chimbote y zonas aledañas;
además se consideró que la demarcación política de ese entonces no correspondía
en muchos casos a la realidad geográfica, económica y política dificultando el
progreso de las regiones que están llamadas a constituir la grandeza de la patria. Por
lo cual se vio conveniente la división de la Provincia de Santa con el fin de
impulsar el progreso regional.
2
1.2.1.2. Domicilio Legal
Jr. Enrique Palacios Nro. 343 Casco Urbano.
1.2.1.3. RUC
20163065330
1.2.4. Logotipo
1.4.2. Misión
La Municipalidad Provincial del Santa, representa al vecindario, promueve
la adecuada prestación de los servicios públicos locales y el desarrollo
integral, sostenible y armónico articulado con las aspiraciones de los nueve
distritos que constituyen su circunscripción.
1.5. VALORES
Lealtad: Los empleados no deben estar sujetos a influencias, intereses ni
relaciones que entren en conflicto con los mejores intereses de la
Municipalidad, ni deben aparentarlo.
Respeto por la normatividad: Se espera que la totalidad de los empleados
cumpla estrictamente las leyes generales y específicas rectoras de los
Gobiernos Locales.
Cumplimiento de los principios y deberes éticos del servidor público:
Nuestros empleados deben cumplir las más exigentes normas éticas en el
ejercicio de sus deberes, establecido en la Ley N° 27815, Ley del código de
ética de la función pública.
Comunicación: Animamos a los empleados a que consulten con Gerentes,
sub gerente y otros empleados, sobre sus actividades a fin de mejorar su
desempeño. Pero también, debe denunciar los actos que trasgredan las
normas y regulaciones.
Honestidad: Comportamiento ético yy moral ante nosotros y hacia la
comunidad.
Respeto: Aceptar a las demás personas y valorar sus ideas, reconociendo
sus derechos y deberes.
Compromiso: Entregar lo mejor de sí mismo con responsabilidad en todas
las actividades, con el objetivo de lograr los mejores resultados.
1.6. OBJETIVOS ESTRATÉGICOS
a) Población desarrollada económica y sosteniblemente.
b) Población con mejor calidad de vida y acceso equitativo a oportunidades
4
c) Mejora en la calidad de vida de la población que se desarrolla en un ambiente
saludable.
d) Mayor grado de satisfacción y calidad de vida por una eficiente gestión
pública – privada y una gobernabilidad basada en una efectiva participación
social.
5
1.7. ORGANIZACIÓN ACTUAL DE LA EMPRESA
Figura 2. Organigrama
Fuente: Web institucional MPS
6
CAPÍTULO II
PLANTEAMIENTO DEL PROBLEMA
7
2.1. REALIDAD PROBLEMÁTICA
La Municipalidad Provincial del Santa realiza la gestión de toda la provincia y con
el pasar de los años la población ha ido en aumento, así como la información sobre
las diversas áreas de su competencia entre las cuáles podemos mencionar: registro
civil con las nuevas partidas de nacimiento, en transporte existen nuevos permisos
de circulación de vehículos, en participación vecinal existen nuevos proyectos, en
inmobiliaria a diario se realizan gestiones para la entrega de nuevos terrenos, títulos
de propiedad para las nuevas familias y los tributos relacionados a los predios,
vehículos, parques y jardines, entre otros. En tal sentido es indispensable y
necesaria una continua evaluación para detectar los puntos críticos donde se debe
mejorar y los aspectos positivos que se están logrando para reforzarlos y alcanzar
los objetivos estratégicos de la organización.
8
Las municipalidades de nuestra capital como la Municipalidad de Miraflores y San
Isidro le han dado la debida importancia a la evaluación y control de los sistemas,
así como una correcta gestión de TI y se ve reflejado en los diversos procesos que a
diario realizan los ciudadanos, como ejemplo podemos mencionar las transacciones
y pagos en línea que realizan a través de su plataforma web, consultas sobre el
estado de sus solicitudes y trámites que no involucran grandes colas en los
establecimientos.
9
Constantes quejas de los usuarios de áreas externas.
Servidores afectados por cortes de fluido eléctrico.
Pérdida de documentación clave.
2.3. ANTECEDENTES DEL PROBLEMA
2.3.1. Antecedentes Internacionales
Título: “Adaptación del Modelo de Gobierno y Gestión para la
empresa VirtIT Expert Basado en COBIT 5”
Año: 2015
Lugar: Quito/Ecuador
Resumen de la investigación:
Año: 2015
10
Lugar: Sangolqui/Ecuador
Resumen de la investigación:
Año: 2014
Lugar: Lima/Perú
Resumen de la investigación:
Año: 2008
Lugar: Huaraz/Ancash/Perú
11
Resumen de la investigación:
Año: 2006
Lugar: Santa/Santa/Ancash/Perú
Resumen de la investigación:
2.5. HIPÓTESIS
¿La aplicación del Modelo COBIT en auditoría, logra determinar el nivel alcanzado
en la gestión de sistemas de información, infraestructura tecnológica y procesos de
la Gerencia de Informática de la Municipalidad Provincial del Santa?
12
2.6. OPERACIONALIZACIÓN DE LAS VARIABLES
Variables Indicadores
Modelo Cobit Satisfacción de las necesidades de las partes
V.I: Variable Independiente Procesos Habilitadores
Procesos de Gobierno y de Gestión
Principios Cobit
Aplica un solo marco integrado.
Habilitar un enfoque holístico.
Auditoría de sistemas de Información actualizada.
información de la MPS Reportes por rubros.
V.D: Variable Dependiente Acceso a usuarios autorizados.
Nivel de Seguridad de Información.
Estado actual del hardware.
Escalabilidad de los sistemas de información.
Políticas de gestión y control.
Transparencia de la información.
Tabla 1. Operacionalización de las variables
Fuente: Elaboración Propia
2.7. OBJETIVOS
2.7.1. Objetivo General
Determinar el nivel alcanzado de los sistemas de información,
infraestructura tecnológica y gestión de procesos en la Gerencia de
Informática de la Municipalidad Provincial del Santa, mediante una
auditoría basada en el Modelo Cobit.
13
2.8. JUSTIFICACIÓN
2.8.1. Económica
La ejecución del proyecto permitirá identificar los problemas informáticos y
de sistemas que existan, de esta manera se reducirán costos, los cuales
podrían ser muy elevados si no se detecta a tiempo.
2.8.2. Técnica
Realizar una correcta gestión de TI, control de sistemas de información y
recursos de la gerencia con la finalidad de optimizar los procesos de la
Municipalidad Provincial del Santa.
2.8.3. Operativa
La Auditoría Informática permitirá aumentar la eficiencia y eficacia en el
desarrollo de las operaciones, haciendo los procedimientos más seguros y
brindando mayor agilidad de las actividades de la organización.
2.8.4. Social
Detectar fallos en los sistemas, redes, equipo informático y todos los
recursos que utiliza el personal administrativo evitando demoras o
interrupciones en los procesos y optimizando el servicio que se brinda a
cientos de ciudadanos que asisten a diario a la municipalidad a realizar
diversos trámites
2.8.5. Personal
Reducir el malestar o estrés del personal administrativo previniendo futuros
fallos en los sistemas de información, red o equipos informáticos lo cual no
le permite realizar sus funciones asignadas y a la vez actuando de forma
inmediata frente a los problemas que existen actualmente.
2.8.6. Tecnológica
Aprovechar estándares internacionales y marcos de trabajo probados, para
una adecuada gestión de los recursos de Tecnologías de la Información en la
organización.
14
2.9. IMPORTANCIA DE LA INVESTIGACIÓN
Con la aplicación de la auditoría basada en el modelo Cobit se llevará a cabo la
evaluación de normas, técnicas, políticas y procedimientos para el óptimo
desempeño de los sistemas de información, siendo de gran importancia para
detectar vulnerabilidades y posteriormente obtener los controles necesarios para
que los sistemas de información sean confiables y posean el adecuado nivel de
seguridad, así como actuar oportunamente sobre los diversos problemas de gestión
de TI.
2.10. LIMITACIONES
Cambio del personal administrativo, personal de soporte técnico, administrador
de redes y gerente de la GITIC. Cuatro alcaldes nuevos en el periodo 2018 y
preocupación de los trabajadores por la transferencia 2019, lo cual retrasa la
elaboración del proyecto.
15
de analizar la eficiencia de los Sistemas Informáticos, cumplimiento de
normativas en este ámbito y la revisión de los recursos informáticos.
2.11.2. Población
En este proyecto tenemos una población finita que está constituida por
todo el personal de la Municipalidad Provincial del Santa.
2.11.3. Muestra
Trabajadores de la Gerencia de Informática y Tecnologías de la
Información y Comunicación de la Municipalidad Provincial del Santa en
los meses de Febrero a Abril del año 2018.
Técnicas Instrumentos
Checklist Inventarios
Se aplicará a fin de que el Para recopilar información, haciendo un
auditado responda clara y recuento físico de lo que se está auditando
concisamente tomando nota de y ver el estado de los recursos.
las detalles imprescindibles.
Entrevistas Cuestionarios
Mediante la petición de Para tener la información recolectada de
documentación concreta o forma documentada.
preguntas sobre alguna materia de
su responsabilidad
Observación Tablas de calificación
Permite recolectar directamente la Se usaron estas tablas de calificación para
información necesaria sobre el poder obtener los resultados de nuestra
comportamiento de los sistemas, auditoria.
la gerencia, funciones,
operaciones, acción o fenómeno
del personal y ámbito de
sistemas.
Tabla 2. Técnicas e Instrumentos de recolección de datos
16
CAPÍTULO III
MARCO TEÓRICO
17
3.1. CONCEPTOS GENERALES
3.1.1. AUDITORÍA
Según el diccionario de la Real Academia Española (RAE, 2001), auditoría
se define como la “revisión sistemática de una actividad o de una situación
para evaluar el cumplimiento de las reglas o criterios objetivos a que
aquellas deben someterse”.
La auditoría implica la revisión del cumplimiento de diversas políticas o
normas que se han establecido dentro de una organización a fin de servir
como soporte para la toma de decisiones.
3.1.2. APLICACIÓN
Según la Real Academia Española (RAE, 2001), aplicación se define como
“acción y efecto de aplicar o aplicarse”. Es decir, se llevará a cabo
determinada acción, que para nuestro proyecto consiste en utilizar el modelo
Cobit para auditoría y control de sistemas.
3.1.3. MODELO COBIT
El marco de trabajo de COBIT 5 para el gobierno y la gestión de la TI de la
empresa es una hoja de ruta de crecimiento y optimización empresarial de
vanguardia que aprovecha las prácticas comprobadas, el liderazgo global y
las herramientas innovadoras para inspirar la innovación de TI y fomentar el
éxito empresarial. El marco líder para el gobierno y la gestión de TI de la
empresa. (Isaca, 2019).
3.1.4. CONTROL
Según la Real Academia Española (RAE, 2001) [4], control también se
puede definir como “regulación, manual o automática sobre un sistema” o
también “comprobación, inspección, fiscalización, intervención”.
3.1.5. GERENCIA INFORMÁTICA
¿Qué es la Gerencia de informática?
La Gerencia de Informática es el órgano de apoyo dependiente de la
Gerencia General, encargado de administrar actividades referidas al proceso
de planificación, organización, dirección, coordinación, comunicación y
control acerca del uso adecuado de los recursos informáticos, físicos,
lógicos y la utilización de las tecnologías de la información y comunicación
en la institución, desarrollando e implementando los sistemas integrados ,
18
así como la administración y mantenimiento de los sistemas de cómputo,
procesamiento electrónico de datos, sistema de redes, soporte informático y
aplicaciones para cubrir las necesidades de información contable, logística,
laboral, estadística y de gestión en general de la comuna provincial. (ROF-
MPS-2014)
¿Qué funciones posee la Gerencia de informática de la Municipalidad
Provincial del Santa?
a) Acondicionamiento de la Unidad de Informática, la Sala de Soporte
Técnico, el Centro de Datos y la Sala de Analistas Programadores
para una eficiente labor.
b) Renovar y/o mejorar el Portal Web Institucional permitiendo un
flexible crecimiento con el uso de nuevas aplicaciones informáticas,
como ELearning y Streaming.
c) Continuar desarrollando las actividades de coordinación y servicio
de asistencia técnica de manera rápida y eficiente.
d) Reforzar y/o ampliar la capacidad profesional de la Unidad de
Informática mediante un adecuado perfil de profesionales.
e) Capacitación al personal de la Unidad de Informática en las nuevas
tecnologías adquiridas.
f) Establecer la estandarización en la adquisición de equipos y uso de
software licenciados.
g) Fortalecer la infraestructura tecnológica con tecnologías emergente a
fin de innovar servicios y garantizar la seguridad de la información.
h) Elaborar informe para el mejoramiento de los procesos de negocio
de las funciones más importantes de la Municipalidad Provincial del
Santa.
i) Implementar sistemas funcionales, innovadores e informativos para
mejorar los procesos de negocio de la Municipalidad Provincial del
Santa.
j) Mejoramiento en las telecomunicaciones con las sedes de la
Municipalidad Provincial del Santa. (ROF-MPS-2014 )
3.1.6. SISTEMAS DE INFORMACIÓN
Conjunto coordinado de contenidos y servicios, basados en tecnologías
digitales y en red, que una organización pone a disposición de sus
19
stakeholders (personas con intereses en la misma) internos y externos, para
facilitarles la producción y el consumo de conjuntos estructurados y selectos
de datos, orientados a convertirse en información de valor para la actividad
de la organización. Cobarsi, J.,(2011) Sistemas de información en la
empresa, Editorial UOC.
Conjunto de recursos técnicos, humanos y económicos interrelacionados
dinámicamente y organizados en torno al objetivo de satisfacer las
necesidades de información de una organización para la gestión y la correcta
adopción de decisiones. Ruiz, E.,(2017) Nuevas tendencias en los sistemas
de información, Editorial Centro de Estudios Ramon Areces SA.
Tipos de sistemas de información
Sin embargo, la clasificación más clásica es la que relaciona los SI con los
niveles de gestión de las organizaciones. Estos niveles son: dirección
operativa, dirección táctica y dirección estratégica. Ruiz, E.,(2017) Nuevas
tendencias en los sistemas de información, Editorial Centro de Estudios
Ramon Areces SA.
20
b) Nivel de dirección táctica
Es el nivel directivo intermedio y está formado por directivos
encargados de la planificación táctica, es decir, de la planificación a
medio plazo (1 año), cuyo objetivo es el logro de las metas marcadas
por el nivel estratégico. Básicamente los sistemas de gestión de la
información de este nivel son los MIS(Management Information
Systems) y los DSS(Decision Support Systems).
Los MIS o sistemas de información para la dirección proporcionan
informes a los niveles directivos tácticos o de administración para
controlar el desarrollo de planes y programas.
Los DSS o sistemas de apoyo a las decisiones se sitúan entre los
niveles táctico y estratégico, proporcionando apoyo a ambos. Si a un
DSS se le dota de la posibilidad de imitar el razonamiento humano se
obtiene un sistema experto. Ruiz, E.,(2017) Nuevas tendencias en los
sistemas de información, Editorial Centro de Estudios Ramon Areces
SA.
c) Nivel de dirección estratégica
Este nivel está asociado con la alta dirección, cuyos ejecutivos tienen
que formular los objetivos, fines y planes a largo plazo para que la
organización sea capaz de aprovecharse de los cambios del entorno y
obtener ventaja competitiva.
Los sistemas para este nivel son los EIS (Executive Information
Systems) o SI para ejecutivos. Estos sistemas se alimentan de la
información proporcionada por los TPS, MIS y DSS y permiten
incorporar datos externos. Ruiz, E.,(2017) Nuevas tendencias en los
sistemas de información, Editorial Centro de Estudios Ramon Areces
SA.
3.1.7. MUNICIPALIDAD
Es la institución del estado, con personería jurídica, facultada para ejercer el
gobierno de un distrito o provincia, promoviendo la satisfacción de las
necesidades de la población y el desarrollo de su ámbito. LEY Nº 27972 -
Diario Oficial el Peruano.
21
Misión de la municipalidad
Se encuentra manifiesta en la Ley Orgánica de Municipalidades, definida
por tres elementos:
Ser una instancia de representación: Son los ciudadanos y
ciudadanas, quienes democráticamente deciden otorgar un
mandato para que tanto alcaldes como regidores asuman su
representación en la conducción del gobierno local, dicho
mandato, está sujeto a un conjunto de reglas, que, si no son
cumplidas pueden generar el retiro de la confianza ciudadana y
por tanto el resquebrajamiento de la legitimidad para ejercer
dicha representación.
Ser una instancia promotora del desarrollo integral
sostenible: Entendiendo por desarrollo integral sostenible un
proceso de mejora de la calidad de vida de la población, en donde
la persona, especialmente aquella en condiciones de pobreza y
exclusión, se convierta en el centro de atención de todos los
esfuerzos siempre y cuando ello no comprometa la calidad de
vida de las poblaciones futuras.
Ser una instancia prestadora de servicios públicos: Entendidos
como aquellos servicios brindados por la municipalidad, que
permitan a los ciudadanos, individual o colectivamente ser
atendidos en determinadas necesidades que tengan carácter de
interés público y sirvan al bienestar de todos.
Tipos de Municipalidad
22
Existen municipalidades que, por sus características particulares, se
sujetan a regímenes especiales como la Municipalidad de Lima
Metropolitana, las ubicadas en zonas de frontera y las
Municipalidades ubicadas en zonas rurales. La Ley Orgánica de
Municipalidades 27972 establece un título especial – el Título XI- ,
con el objeto de promover el desarrollo municipal en zonas rurales.
La auditoría de sistemas abarca diversos aspectos del área de TI entre los cuales
tenemos:
23
Auditoria de la base de datos.
Auditoría de la red y procesos.
3.3. HERRAMIENTAS Y TÉCNICAS PARA LA AUDITORÍA
Se utilizan métodos de identificación (incluyendo herramientas) para realizar la
evaluación. El auditor de SI debe traducir el objetivo de la auditoría en objetivos
más específicos y determinar el nivel de cumplimiento y/o pruebas sustantivas
requeridas para cumplir con el objetivo de la auditoría. Las herramientas de
auditoría pueden ser tan simples como cuestionarios o tan complejos como scripts
que interrogan a los sistemas con el fin de recoger información del sistema.
Ejemplos de herramientas de auditoría: Cuestionarios, Guiones, Bases de datos
relacionales, Hojas de cálculo, Herramientas de auditoría asistidas por computadora
(CAATs), Metodologías de muestreo para la auditoría, actas, etc. Isaca.
(2016)Information Systems Auditing: Tools and Techniques.
24
- Encuesta
- Cuestionario
- Declaración
- Confirmación
d) Técnicas de obtención de evidencia analítica:
- Análisis
- Conciliación
- Tabulación
- Cálculo
- Comparación
3.4. ISACA
Es una asociación global, independiente y sin fines de lucro, ISACA se dedica al
desarrollo, adopción y uso de conocimientos y prácticas líderes en la industria y
aceptados a nivel mundial para los sistemas de información. Anteriormente
conocida como la Asociación de Control y Auditoría de Sistemas de Información,
ISACA ahora solo se usa por sus siglas, para reflejar la amplia gama de
profesionales de gobierno de TI a los que sirve.
Certificaciones:
CISA
25
CISA (Certified Information Security Auditor), en español “Auditor de
sistemas de información certificado”, es reconocido mundialmente como
el estándar de logros para aquellos que auditan, controlan, monitorean y
evalúan la tecnología de la información y los sistemas empresariales.
CISM
CGEIT
CRISC
26
CRISC (Certified in Risk and Information Systems Control ) en español
“Certificado en Control de Riesgos y Sistemas de Información” es la
certificación que prepara y capacita a los profesionales de TI para los
desafíos únicos de TI y la gestión de riesgos empresariales, y los
posiciona para convertirse en socios estratégicos de la empresa.
Marco COBIT
3.5. COBIT
Como vimos en el apartado anterior, Cobit es un marco de referencia internacional
para la auditoría de sistemas, probada por expertos a nivel mundial y elaborado por
el organismo más grande de auditoría, ISACA, del cual hablamos también con
anterioridad.
27
Figura 7. Principios de COBIT 5
Fuente: Isaca Website
28
– internos y externos – los que sean relevantes para el gobierno y la
gestión de la información de la empresa y TI relacionadas.
C) Marco integrado: Hay muchos estándares y buenas prácticas relativos a
TI, ofreciendo cada uno ayuda para un subgrupo de actividades de TI.
COBIT 5 se alinea a alto nivel con otros estándares y marcos de trabajo
relevantes, y de este modo puede hacer la función de marco de trabajo
principal para el gobierno y la gestión de las Ti de la empresa.
D) Enfoque holístico: Un gobierno y gestión de las TI de la empresa
efectivo y eficiente requiere de un enfoque holístico que tenga en cuenta
varios componentes interactivos. COBIT 5 define un conjunto de
catalizadores (enablers) para apoyar la implementación de un sistema de
gobierno y gestión global para las TI de la empresa. Los catalizadores se
definen en líneas generales como cualquier cosa que puede ayudar a
conseguir las metas de la empresa. El marco de trabajo COBIT 5 define
siete categorías de catalizadores:
1. Principios, Políticas y Marcos de Trabajo
2. Procesos
3. Estructuras Organizativas
4. Cultura, Ética y Comportamiento
5. Información
6. Servicios, Infraestructuras y Aplicaciones
7. Personas, Habilidades y Competencias
E) Identificación clara entre Gobierno y Gestión: El marco de trabajo
COBIT 5 establece una clara distinción entre gobierno y gestión. Estas
dos disciplinas engloban diferentes tipos de actividades, requieren
diferentes estructuras organizativas y sirven a diferentes propósitos.
Gobierno: Cobit nos dice que el Gobierno asegura que se
evalúen las necesidades, condiciones y opciones de las partes
interesadas para determinar que se alcanzan las metas
corporativas equilibradas y acordadas; estableciendo la dirección
a través de la priorización y la toma de decisiones; y midiendo el
rendimiento y el cumplimiento respecto a la dirección y metas
acordadas.
29
Gestión: Por otro lado, la gestión planifica, construye, ejecuta y
controla actividades alineadas con la dirección establecida por el
cuerpo de gobierno para alcanzar las metas empresariales.
3.5.2. Metas corporativas de COBIT 5
30
3.5.4. Catalizadores de COBIT 5
Son factores que, individual y colectivamente, influyen sobre si algo
funcionará – en este caso, el gobierno y la gestión de la empresa TI. Los
catalizadores son guiados por la cascada de metas, es decir, objetivos de alto
nivel relacionados con TI definen lo que los diferentes catalizadores
deberían conseguir.
31
3.5.6. Modelo de Referencia de Procesos de Cobit 5
El modelo de referencia de procesos de COBIT 5 divide los procesos de
gobierno y de gestión de la TI empresarial en dos dominios principales de
procesos:
Gobierno: Contiene cinco procesos de gobierno; dentro de cada proceso se
definen prácticas de evaluación, orientación y supervisión (EDM)
Gestión: Contiene cuatro dominios, en consonancia con las áreas de
responsabilidad de planificar, construir, ejecutar y supervisar (Plan, Build,
Run and Monitor - PBRM), y proporciona cobertura extrema a extremo de
las TI.
Los nombres de estos dominios han sido elegidos de acuerdo a estas
designaciones de áreas principales, pero contienen más verbos para
describirlos:
Alinear, Planificar y Organizar (Align, Plan and Organise, APO)
Construir, Adquirir e Implementar (Build, Acquire and Implement,
BAI)
Entregar, dar Servicio y Soporte (Deliver, Service and Support,
DSS)
Supervisar, Evaluar y Valorar (Monitor, Evaluate and Assess, MEA)
32
Figura 13. Modelo de Referencia de Procesos
Fuente: Isaca Website
33
Procesos Nombre Descripción Prácticas de Gobierno
Analiza y articula los requerimientos para el gobierno de TI de la EDM01.01 Evaluar el sistema de gobierno.
Asegurar el
empresa y pone en marcha y mantiene efectivas las estructuras,
Establecimiento y
EDM01 procesos y prácticas facilitadores, con claridad de las EDM01.02 Orientar el sistema de gobierno
Mantenimiento del
responsabilidades y la autoridad para alcanzar la misión, las metas y
Marco de Gobierno
objetivos de la empresa. EDM01.03 Supervisar el sistema de gobierno
Asegurar la Aegurar que la adecuadas y suficientes capacidades relacionadas con EDM04.01 Evaluar la gestión de recursos
EDM04 Optimización de los las TI(personas, procesos y tecnologías) están disponibles para
Recursos soportar eficazmente los objetivos de la empresa a un coste óptimo. EDM04.02 Orientar la gestión de recursos
EDM04.03 Supervisar la gestión de recursos.
Evaluar los requisitos de elaboración de
EDM05.01
Asegurar la Asegurar que la medición y la elaboración de informes en cuanto a informes de la partes interesadas.
Transparencia hacia conformidad y desempeño de TI de la empresa son transparentes, con
EDM05 Orientar la comunicación con las partes
las partes aprobación por parte de las partes interesadas de las metas, las EDM05.02
intersadas y la elaboración de informes.
interesadas métricas y la acciones correctivas necesarias.
Supervisar la comunicación con las partes
EDM05.03
interesadas.
34
Procesos Nombre Descripción Prácticas de Gobierno
APO01.01 Definir la estructura organizativa
APO01.02 Esstablecer roles y responsabilidades.
Mantener los elementos catalizadores del
APO01.03
sistema de gestión
Aclarar y mantener el gobierno de la misión y la visión corporativa Comunicar los objetivos y la dirección de
APO01.04
Gestionar el de TI. Implementar y mantener mecanismos y autoridades para la gestión.
APO01 Marco de gestión de la información y el uso de TI en la empresa para apoyar APO01.05 Optimizar la ubicación de la función de TI.
Gestión de TI los objetivos de gobierno en consonancia con la políticas y los Definir la propiedad de la información
APO01.06
principios rectores. (datos) y del sistema
Gestionar la mejora continua de los
APO01.07
procesos.
Mantener el cumplimiento con las políticas
APO01.08
y procedimientos.
APO02.01 Comprender la dirección de la empresa.
Proporcionar una visión holística del negocio actual y del entorno de
Evaluar el entorno, capacidades y
TI, la dirección futura, y las iniciativa necesarias para migrar al APO02.02
rendimiento actuales.
Gestionar la entorno deseado. Aprovechar los bloques y componentes de la
APO02 APO02.03 Definir el objetivo de las capacidades de TI
Estrategia estructura empresarial, incluyendo los servicios externallizados y
APO02.04 Realizar un análisis de diferencias
las capacidades relacionadas que permitan una respuesta ágil,
APO02.05 Definir el plan estratégico y la hoja de ruta
confiable y eficiente a los objetivos estratégicos.
APO02.06 Comunicar la estrategia y la dirección de TI
Desarrollar la visión de la arquitectura de
APO03.01
Establecer una arquitectura común compuesta por los procesos de empresa.
negocio, la información, los datos, las aplicaciones y la capas de la APO03.02 Definir la arquitectura de referencia.
Gestionar la
arquitectura tecnológica de manera eficaz y eficiente para la Seleccionar las oportunidades y las
APO03 Arquitectura APO03.03
realización de las estrategias de la empresa y de TI mediante la soluciones
Empresarial
creación de modelosclave y prácticas que describan las líneas de APO03.04 Definir la implantación de la arquitectura
partida. Proveer los servicios de arquitectura
APO03.05
empresarial.
Crear un entorno favorable para la
APO04.01
Mantener un conocimiento de la tecnología de la información y las innovación.
Construcción, Adquisisción e Implementación
tendencias relacionadas con el servicio, identificar las Mantener un entendimiento del entorno de
APO04.02
oportunidades de innovación y planificar la manera de beneficiarse la empresa.
de la innovación en relación con las necesidades del negocio. Supervisar y explorar el entorno
APO04.03
Gestionar la Analizar cuáles son las oportunidades para la innovación tecnológico.
APO04
Innovación empresarial o qué mejora puede crearse con las nuevas tecnologías, Evaluar el potencial de las tecnologías
APO04.04
servicios o innovaciones empresariales facilitadas por TI, así como a emergentes y las ideas innovadoras.
través de las tecnologías ya existentes y por la innovación en Recomendar iniciativas apropiadas
APO04.05
procesos empresariales y de TI. Influir en la planificación estratégica adicionales.
y en las decisiones de la arquitectura de empresa. Supervisar la implementación y el uso de la
APO04.06
innovación.
Ejecutar el conjunto de direcciones estratégicas para la inversión Establecer la mezcla del objetivo de
APO05.01
alineada con la visión de la arquitectura empresarial, las inversión.
características deseadas de inversión, los portafolios de servicios Determinar la disponibilidad y las fuentes
APO05.02
relacionados, considerar las diferentes categorías de inversión y de fondos.
recursos y las restricciones de financiación. Evaluar, priorizar y
Evaluar y seleccionar los programas a
equilibrar programas y servicios, gestionar la demanda con los APO05.03
Gestionar el financiar.
APO05 recursos y restricciones de fondos, basados en su alineamiento con
portafolio Supervisar, optimizar e informar sobre el
los objetivos estratégicos así como en su valor y riesgo corporativo. APO05.04
Mover los programas seleccionados al portafolio de servicios activos rendimiento del portafolio de inversiones.
listos para ser ejecutados. Supervisar el rendimiento global del
APO05.05 APO05.05 Mantener los portafolios.
portafolio de servicios y programas, proponiendo ajustes si fuesen
necesarios en respuesta al rendimiento de programas y servicios o
al cambio en las prioridades corporativas APO05.06 Gestionar la consecución de beneficios.
35
APO08.01 Entender las expectativas del negocio.
Gestionar las relaciones entre el negocio y TI de modo formal y
transparente, enfocándolas hacia el objetivo común de obtener Identificar oportunidades, riesgos y
APO08.02
resultados empresariales exitosos apoyando los objetivos imitaciones de TI para mejorar el negocio.
Gestionar las
APO08 estratégicos y dentro de las restricciones del presupuesto y los APO08.03 Gestionar las relaciones con el negocio.
Relaciones
riesgos tolerables. Basar la relación en la confianza mutua, usando APO08.04 Coordinar y comunicar.
términos entendibles, lenguaje común y voluntad de asumir la
Proveer datos de entrada para la mejora
propiedad y responsabilidad en las decisiones claves. APO08.05
continua de los servicios.
APO09.01 Identificar servicios TI.
Alinear los servicios basados en TI y los niveles de servicio con las
APO09.02 Catalogar servicios basados en TI.
Gestionar los necesidades y expectativas de la empresa, incluyendo
APO09.03 Definir y preparar acuerdos de servicio.
APO09 Acuerdos de identificación, especificación,
Supervisar e informar de los niveles de
Servicio diseño, publicación, acuerdo y supervisión de los servicios TI, APO09.04
servicio.
niveles de servicio e indicadores de rendimiento.
APO09.05 Revisar acuerdos de servicio y contratos.
Identificar y evaluar las relaciones y
APO10.01
contratos con proveedores.
Administrar todos los servicios de TI prestados por todo tipo de
Construcción, Adquisisción e Implementación
36
3.5.6.3. Procesos BAI (Build, Acquire and Implement)
Procesos Nombre Descripción Prácticas de Gobierno
Mantener un enfoque estándar para la gestión de
BAI01.01
programas y proyectos.
BAI01.02 Iniciar un programa.
Gestionar el compromiso de las partes
BAI01.03
interesadas.
BAI01.04 Desarrollar y mantener el plan de programa.
BAI01.05 Lanzar y ejecutar el programa.
Supervisar, controlar e informar de los resultados
BAI01.06
Gestionar todos los programas y proyectos del portafolio del programa.
Gestionar los de inversiones de forma coordinada y en línea con la
BAI01.07 Lanzar e iniciar proyectos dentro de un programa.
BAI01 Programas y estrategia corporativa. Iniciar, planificar,
Proyectos controlar y ejecutar programas y proyectos y cerrarlos con BAI01.08 Planificar proyectos.
una revisión post-implementación.
BAI01.09 Gestionar la calidad de los programas y proyectos.
37
Gestione todos los cambios de una forma controlada, Evaluar, priorizar y autorizar peticiones de
BAI06.01
incluyendo cambios estándar y de mantenimiento de cambio.
emergencia en relación con los procesos de BAI06.02 Gestionar cambios de emergencia.
Gestionar los
BAI06 negocio, aplicaciones e infraestructura. Esto incluye
Cambios Hacer seguimiento e informar de cambios de
normas y procedimientos de cambio, análisis de impacto, BAI06.03
estado.
priorización y autorización, cambios de emergencia,
seguimiento, reporte, cierre y documentación. BAI06.04 Cerrar y documentar los cambios.
BAI07.01 Establecer un plan de implementación.
Aceptar formalmente y hacer operativas las nuevas Planificar la conversión de procesos de negocio,
BAI07.02
soluciones, incluyendo la planificación de la sistemas y datos.
Gestionar la implementación, la conversión de los datos y los BAI07.03 Planificar pruebas de aceptación.
Aceptación del sistemas, las pruebas de aceptación, la comunicación, la BAI07.04 Establecer un entorno de pruebas.
BAI07
Cambio y de la preparación del lanzamiento, el paso a producción de BAI07.05 Ejecutar pruebas de aceptación.
Transición procesos de negocio o servicios TI nuevos o modificados, BAI07.06 Pasar a producción y gestionar los lanzamientos.
el soporte temprano en producción y una revisión post- Proporcionar soporte en producción desde el
BAI07.07
implementación. primer momento.
BAI07.08 Ejecutar una revisión postimplantación.
Entregar, dar Servicio y Soporte
38
3.5.6.4. Procesos DSS (Deliver, Service and Support)
Procesos Nombre Descripción Prácticas de Gobierno
Coordinar y ejecutar las actividades y los procedimientos DSS01.01 Ejecutar procedimientos
operativos requeridos para entregar servicios de TI tanto DSS01.02 Gestionar servicios
Gestionar las
DSS01 internos como externalizados, incluyendo la ejecución de DSS01.03 Supervisar la infraestructura
Operaciones DSS01.04 Gestionar el entorno
procedimientos operativos estándar predefinidos y las
actividades de monitorización requeridas. DSS01.05 Gestionar las instalaciones
Definir esquemas de clasificación de
DSS02.01
incidentes y peticiones de servicio.
Proveer una respuesta oportuna y efectiva a las Registrar, clasificar y priorizar peticiones e
Gestionar las DSS02.02
peticiones de usuario y la resolución de todo tipo de incidentes.
Peticiones y
DSS02 incidentes. Recuperar el servicio normal; registrar y DSS02.03 Verificar, aprobar y resolver
los Incidentes
completar las peticiones de usuario; y registrar, DSS02.04 Investigar, diagnosticar y localizar incidentes.
del Servicio
investigar, diagnosticar, escalar y resolver incidentes. DSS02.05 Resolver y recuperarse de incidentes.
DSS02.06 Cerrar peticiones de servicio e incidentes.
DSS02.07 Seguir el estado y emitir informes.
Identificar y clasificar problemas y sus causas raíz y DSS03.01 Identificar y clasificar problemas.
Gestionar los proporcionar resolución en tiempo para prevenir DSS03.02 Investigar y diagnosticar problemas.
DSS03 DSS03.03 Levantar errores conocidos.
Problemas incidentes recurrentes. Proporcionar recomendaciones DSS03.04 Resolver y cerrar problemas.
de mejora. DSS03.05 Realizar una gestión de problemas proactiva.
Definir la política de continuidad del
DSS04.01
negocio, objetivos y alcance.
DSS04.02 Mantener una estrategia de continuidad.
Establecer y mantener un plan para permitir al negocio y DSS04.03 Desarrollar e implementar una respuesta a la
a TI responder a incidentes e interrupciones de servicio continuidad del negocio.
Ejercitar, probar y revisar el plan de
Gestionar la para la operación continua de los procesos críticos para el DSS04.04
Alinear, Planificar y Organizar
DSS04 continuidad.
Continuidad negocio y los servicios TI requeridos y mantener la
Revisar, mantener y mejorar el plan de
disponibilidad de la información a un nivel aceptable DSS04.05
continuidad.
para la empresa. Proporcionar formación en el plan de
DSS04.06
continuidad.
DSS04.07 Gestionar acuerdos derespaldo.
DSS04.08 Ejecutar revisiones postreanudación
Proteger contra software malicioso
DSS05.01
(malware).
Gestionar la seguridad de la red y las
DSS05.02
conexiones.
Proteger la información de la empresa para mantener Gestionar la seguridad de los puestos de
DSS05.03
aceptable el nivel de riesgo de seguridad de la usuario final.
Gestionar los
información de acuerdo con la política de seguridad. Gestionar la identidad del usuario y el acceso
DSS05 Servicios DSS05.04
Establecer y mantener los roles de seguridad y privilegios lógico.
de Seguridad
de acceso de la información y realizar la supervisión de la
DSS05.05 Gestionar el acceso físico a los activos de TI.
seguridad.
Gestionar documentos sensibles y
DSS05.06
dispositivos de salida.
Supervisar la infraestructura para detectar
DSS05.07
eventos relacionados con la seguridad.
Alinear las actividades de control embebidas
DSS06.01 en los procesos de negocio con los objetivos
Definir y mantener controles apropiados de proceso de corporativos.
negocio para asegurar que la información relacionada y Controlar el procesamiento de la
DSS06.02
Gestionar los procesada dentro de la organización o de forma externa información.
Controles de satisface todos los requerimientos relevantes para el Gestionar roles, responsabilidades,
DSS06
los Procesos control de la información. Identificar los requisitos de DSS06.03 privilegios de acceso y niveles de
del Negocio control de la información y gestionar y operar los autorización.
controles adecuados para asegurar que la información y DSS06.04 Gestionar errores y excepciones.
su procesamiento satisfacen estos requerimientos. Asegurar la trazabilidad de los eventos y
DSS06.05
responsabilidades de información.
DSS06.06 Asegurar los activos de información.
Figura 17. Procesos DSS
Fuente: Elaboración Propia
39
3.5.6.5. Procesos MEA (Monitor, Evaluate and Assess)
Procesos Nombre Descripción Prácticas de Gobierno
MEA01.01 Establecer un enfoque de la supervisión.
Recolectar, validar y evaluar métricas y Establecer los objetivos de cumplimiento y
MEA01.02
objetivos de negocio, de TI y de procesos. rendimiento.
Supervisar,
Supervisar que los procesos se están Recopilar y procesar los datos de cumplimiento
Evaluar y Valorar MEA01.03
MEA01 realizando acorde al rendimiento y rendimiento.
Rendimiento y
acordado y conforme a los objetivos y
Conformidad MEA01.04 Analizar e informar sobre el rendimiento.
métricas y se proporcionan informes de
forma sistemática y planificada. Asegurar la implantación de medidas
MEA01.05
correctivas.
Supervisión, Evaluación y Verificación
40
CAPÍTULO IV
DESARROLLO DE LA AUDITORÍA
41
4.1. MECANISMO PARA LA APLICACIÓN DE LA AUDITORÍA
4.1.1. Selección de Objetivos de Gobierno y TI
Se realizó la selección de los objetivos de la institución para luego cruzarlos
con los objetivos de TI que ayudan al cumplimiento de la municipalidad
Provincial del Santa.
42
de la
municipalidad.
4 Responsable Brinda soporte 1 Responsable
Soporte técnico a las Soporte
Técnico áreas externas, Técnico
gestiona
hardware a su
cargo.
1 Secretaría Organiza y 1 Secretaría
gestiona la
documentació
n de la
gerencia
Tabla 4. Roles operativos en la GITIC
43
Luego de la evaluación de los procesos sobre la disponibilidad de la
documentación se realizó una valoración de atributos para ver en qué estado se
encuentra cada proceso.
P = Primarios S = Secundarios,
44
Relación con los Objetivos del Gobierno
Dimensión Realización
Meta Corporativa Optimización Optimización Ponderación
del CMI de
de Riesgos de Recursos
Beneficios
2. Cartera de productos y servicios competitivos P P S 3
Financiera 4. Cumplimiento de leyes y regulaciones externas P 3
5. Transparencia financiera P S S 3
6. Cultura de servicio orientada al cliente P S 3
7. Continuidad y disponibilidad del servicio de negocio P 3
Cliente
9. Toma estratégica de Decisiones basada en información P P P 3
10. Optimización de costes de entrega del servicio P P 3
Interna 15. Cumplimiento de las políticas internas P 3
Aprendizaje y 16. Persona preparadas y motivadas S P P 3
Crecimiento 17. Cultura de innovación de producto y negocio P 3
Figura 20. Resultados de Objetivos de la empresa con mayor ponderación
45
Toma estratégica de Decisiones basada en información
Continuidad y disponibilidad del servicio de negocio
Cumplimiento de leyes y regulaciones externas
Meta Corporativa
Ponderación
Transparencia financiera
Inter Aprendizaje
Financiera Cliente
Meta Relacionada con las TI na Crecimiento
Alineamiento de TI y la estrategia de
1 P P S P S S S 2
negocio
Cumplimiento y soporte de la TI al
2 cumplimiento del negocio de las leyes y P P 3
regulaciones externas.
Compromiso de la dirección ejecutiva para
Financiera
3 P S S S 2
tomar decisiones relacionadas con TI
Riesgos de negocio relacionados con las TI
4 S P P S S 3
gestionados.
Realización de beneficios del portafolio de
5 inversiones y servicios relacionados con las P S S S 3
TI
Transparencia de los costes, beneficios y
6 P S P 3
riesgos de las TI.
Entrega de servicio de TI de acuerdo a los
7 P S P S S S S 2
Cliente
en procesos de negocio.
Entrega de Programas que proporcionen
beneficios a tiempo, dentro del presupuesto
13 P S S 2
y satisfaciendo los requisitos y normas de
calidad.
Disponibilidad de información útil y
14 S S P P 3
relevante para la toma de decisiones.
Cumplimiento de las políticas internas por
15 S P 2
parte de las TI.
Personal del negocio y de las TI competente
Crecimiento
Aprendizaje
16 S S P S 2
y motivado.
y
46
Toma estratégica de Decisiones basada en información
Continuidad y disponibilidad del servicio de negocio
Cumplimiento de leyes y regulaciones externas
Meta Corporativa
Ponderación
Transparencia financiera
Inter Aprendizaje
Financiera Cliente
Meta Relacionada con las TI na Crecimiento
Cumplimiento y soporte de la TI al
2 cumplimiento del negocio de las leyes y P P 3
regulaciones externas.
Riesgos de negocio relacionados con las TI
Financiera
4 S P P S S 3
gestionados.
Realización de beneficios del portafolio de
5 inversiones y servicios relacionados con las P S S S 3
TI
Transparencia de los costes, beneficios y
6 P S P 3
riesgos de las TI.
Clien
8 S S S S S S S 3
soluciones tecnológicas.
9 Agilidad de las TI. S S S P 3
Seguridad de la información,
Interna
10 infraestructuras de procesamiento y P P P 3
aplicaciones.
Disponibilidad de información útil y
14 S S P P 3
relevante para la toma de decisiones.
Figura 22. Resultado de ponderación entre Objetivos de Empresa y Objetivos TI.
47
Figura 23. Objetivos de Empresa y Objetivos TI
P = Primarios S = Secundarios,
48
4.Riesgos de negocio relacionados con las TI gestionados
Ponderación
9.Agilidad de las TI.
Clie
Financiera Interna
Meta Relacionada
Asegurar con las TI
el Establecimiento y nte
EDM01 Mantenimiento del Marco de Gobierno S S S S S S S 2
Evaluar, Oientar y
S S S S 3
Construcción de Soluciones
BAI04 Gestionar la Disponibilidad y la
Implementación
S S S S P 2
Capacidad
BAI05 Gestionar la introducción de Cambios
S P S 2
Organizativos
BAI06 Gestionar los Cambios P S S S P S 3
BAI07 Gestionar la Aceptación del Cambio y de
S S P S S 2
la Transición
BAI08 Gestionar el Conocimiento S S P S S 2
BAI09 Gestionar los Activos S S P S S S 3
BAI10 Gestionar la Configuración P S S S S P 3
DSS01 Gestionar las Operaciones S P S S S S S 3
Entregar, dar Servicio y
Verificación
49
5.Realización de beneficios del portafolio de inversi
Ponderación
9.Agilidad de las TI.
Clie
Financiera Interna
Meta Relacionada con las TI nte
EDM02 Asegurar la Entrega de Beneficios P P S S 3
Alinear, Evaluar,
Planificar y Oientar
S P S 3
interesadas
APO01 Gestionar el Marco de Gestión de TI P S P S S 3
Organizar
P S S S 3
del Servicio
DSS03 Gestionar los Problemas S P S S S P 3
DSS04 Gestionar la Continuidad S P S S S S P 3
rvisió
S P S S S S S S 3
Rendimiento y Conformidad
Figura 25. Resultados de Ponderación de Procesos Facilitadores
Fuente: Elaboración Propia
50
EDM02 Asegurar la Entrega de Beneficios
51
con el nombre
de ROF
(Reglamento
de
Organización y
Funciones)
pág.63
Directrices de NO N/A N/A Ing. -
escalado David
Aguirre
EDM05.03 Evaluación de NO N/A N/A Ing. -
Supervisar la la eficacia de David
comunicación la elaboración Aguirre
con las partes de informes
interesadas.
Tabla 8. Auditoría EDM05
52
Comunicar los objetivos de TI David
objetivos y la Aguirre
dirección de
gestión.
53
Mantener un innovación Aguirre David se encuentra en
entendimiento vinculadas a los Aguirre proceso de
del entorno de la motivadores del aprobación en
empresa. negocio la GPP con el
nombre de
PETI
APO04.03 Análisis de SI 04/2018 Ing. David Ing. El documento
Supervisar y investigación de Aguirre David se encuentra en
explorar el las posibilidades Aguirre proceso de
entorno de innovación aprobación en
tecnológico. la GPP con el
nombre de
PETI
APO04.04 Evaluación de las NO N/A N/A Ing. -
Evaluar el ideas de David
potencial de las innovación Aguirre
tecnologías Alcance de la NO N/A N/A Ing. -
emergentes y las prueba de David
ideas concepto y Aguirre
innovadoras. descripción de los
casos de negocio
Comprobar los NO N/A N/A Ing. -
resultados de las David
iniciativas de Aguirre
pruebas de
concepto.
APO04.05 Resultados y NO N/A N/A Ing. -
Recomendar recomendaciones David
iniciativas de las pruebas de Aguirre
apropiadas concepto
adicionales. Análisis de las NO N/A N/A Ing. -
iniciativas David
rechazadas Aguirre
APO04.06 Valoración del NO N/A N/A Ing. -
Supervisar la uso de enfoques David
implementación innovadores Aguirre
y el uso de la Evaluación de los SI 04/2018 Ing. David Ing. El documento
innovación. beneficios de la Aguirre David se encuentra en
innovación Aguirre proceso de
aprobación en
la GPP con el
nombre de
PETI.
Planes de NO N/A N/A Ing. -
innovación David
ajustados Aguirre
Tabla 10. Auditoría APO04
54
desarrollo de David
carrera y de Aguirre
competencias
Planes de NO N/A N/A Ing. -
aprovisionamiento David
de personal Aguirre
APO07.02 Personal del área SI 04/2014 Gerencia de Ing. El documento
Identificar de TI y cargo que Informática y David se encuentra en
personal ocupa TIC Aguirre el PTE-MPS,
clave de TI. con el nombre
de POI (Plan
Operativo
Informático)
APO07.03 Planes de SI 04/2018 Ing. David Ing. El documento
Mantener las aprovisionamiento Aguirre David se encuentra en
habilidades y de personal. Aguirre proceso de
competencias aprobación en
del personal. la GPP con el
nombre de
PETI.
Planes de NO N/A N/A Ing. -
desarrollo de David
habilidades. Aguirre
Revisión de NO N/A N/A Ing. -
informes. David
Aguirre
APO07.04 Metas personales NO N/A N/A Ing. -
Evaluar el David
desempeño Aguirre
laboral de los Evaluaciones de NO N/A N/A Ing. -
empleados. desempeño David
Aguirre
Planes de mejora NO N/A N/A Ing. -
David
Aguirre
APO07.05 Inventario de SI 04/2014 Gerencia de Ing. El documento
Planificar y recursos humanos Informática y David se encuentra en
realizar un del negocio y de TIC Aguirre el PTE-MPS,
seguimiento TI con el nombre
del uso de de POI (Plan
recursos Operativo
humanos de Informático).
TI y del Y en la GRH.
negocio.
Análisis de NO N/A N/A Ing. -
deficiencias en la David
obtención de Aguirre
recursos
Registros de NO N/A N/A Ing. -
utilización de David
recursos Aguirre
APO07.06 Políticas de SI 26/11/2010 Gerencia de Ing. El documento
Gestionar el contratación de Planeamiento David se encuentra en
personal personal y Presupuesto Aguirre el PTE-MPS,
contratado. con el nombre
de ROF pág.63
Acuerdos NO N/A N/A Ing. -
contractuales David
Aguirre
Revisiones de NO N/A N/A Ing. -
55
acuerdos David
contractuales Aguirre
Tabla 11. Auditoría APO07
56
según
INFORME
N°008-2017-
GITIC-MPS
Plan de realización SI 2017 Ing. David Ing. La GITIC
de beneficios del Aguirre David cuenta con un
programa Sr. Jose Luis Aguirre ERP
Neme documentado
según
INFORME
N°008-2017-
GITIC-MPS
BAI01.03 Plan de SI 2017 Ing. David Ing. La GITIC
Gestionar el involucración de Aguirre David cuenta con un
compromiso las partes Sr. Jose Luis Aguirre ERP
de las partes interesadas Neme documentado
interesadas. según
INFORME
N°008-2017-
GITIC-MPS
Resultados de la NO N/A N/A Ing. -
evaluación de David
efectividad del Aguirre
compromiso de las
partes interesadas
BAI01.04 Plan de programa SI 2017 Gerencia de Ing. El nombre del
Desarrollar y Informática y David documento es
mantener el TIC Aguirre POI (Plan
plan de Operativo
programa. Informático)
2017.
Presupuesto del SI 2017 Gerencia de Ing. El nombre del
programa y Informática y David documento es
registro de TIC Aguirre POI (Plan
beneficios Operativo
Informático)
2017.
Requerimientos de SI 2017 Ing. David Ing. La GITIC
recursos y roles Aguirre David cuenta con un
Sr. Jose Luis Aguirre ERP
Neme documentado
según
INFORME
N°008-2017-
GITIC-MPS
BAI01.05 Resultados de la NO N/A N/A Ing. -
Lanzar y supervisión de la David
ejecutar el realización de Aguirre
programa. beneficios
Resultados de la SI 2017 Gerencia de Ing. El nombre del
supervisión del Informática y David documento es
logro de metas del TIC Aguirre POI (Plan
programa Operativo
Informático)
2017.
Planes de auditoría NO N/A N/A Ing. -
del programa David
Aguirre
BAI01.06 Resultado de la NO N/A N/A Ing. -
Supervisar, revisión del David
57
controlar e rendimiento del Aguirre
informar de programa
los resultados Resultados de NO N/A N/A Ing. -
del programa. revisiones en los David
cambios de fase Aguirre
BAI01.07 Declaraciones de SI 2017 Gerencia de Ing. El nombre del
Lanzar e alcance de Informática y David documento es
iniciar proyecto TIC Aguirre POI (Plan
proyectos Operativo
dentro de un Informático)
programa. 2017.
Definiciones de SI 2017 Gerencia de Ing. El nombre del
proyecto Informática y David documento es
TIC Aguirre POI (Plan
Operativo
Informático)
2017.
BAI01.08 Planes del SI 2017 Gerencia de Ing. El nombre del
Planificar proyecto Informática y David documento es
proyectos. TIC Aguirre POI (Plan
Operativo
Informático)
2017.
Línea de NO N/A N/A Ing. -
referencia David
(baseline) del Aguirre
proyecto
Informes y SI 2017 Gerencia de Ing. Existen
comunicaciones Informática y David documentos de
del proyecto TIC Aguirre informe y
avance de cada
proyecto en la
GITIC
BAI01.09 Plan de gestión de NO N/A N/A Ing. -
Gestionar la la calidad David
calidad de los Aguirre
programas y Requerimientos NO N/A N/A Ing. -
proyectos. para la David
verificación Aguirre
independiente de
los entregables
BAI01.10 Plan de gestión de NO N/A N/A Ing. -
Gestionar el riesgos del David
riesgo de los proyecto Aguirre
programas y Resultados de la NO N/A N/A Ing. -
proyectos. evaluación de David
riesgos del Aguirre
proyecto
Registro de riesgos NO N/A N/A Ing. -
del proyecto David
Aguirre
BAI01.11 Criterios de NO N/A N/A Ing. -
Supervisar y desempeño del David
controlar proyecto Aguirre
proyectos. Informes del SI 2017 Gerencia de Ing. Existen
avance del Informática y David documentos de
proyecto TIC Aguirre informe y
avance de cada
proyecto en la
GITIC
58
Cambios SI 2017 Gerencia de Ing. Existen
acordados al Informática y David documentos de
proyecto TIC Aguirre informe y
avance de cada
proyecto en la
GITIC
BAI01.12 Requerimientos de SI 2017 Gerencia de Ing. El nombre del
Gestionar los recursos del Informática y David documento es
recursos y los proyecto. TIC Aguirre POI (Plan
paquetes de Operativo
trabajo del Informático)
proyecto. 2017.
Roles y SI 2017 Gerencia de Ing. Existen
responsabilidades Informática y David documentos de
del proyecto TIC Aguirre sobre cada
proyecto en la
GITIC
Diferencias en la NO N/A N/A Ing. -
planificación del David
proyecto Aguirre
BAI01.13 Resultados de la SI 2017 Gerencia de Ing. El nombre del
Cerrar un revisión post- Informática y David documento es
proyecto o implementación. TIC Aguirre POI (Plan
iteración. Operativo
Informático)
2017.
Lecciones NO N/A N/A Ing. -
aprendidas del David
proyecto Aguirre
Confirmaciones de SI 2017 Gerencia de Ing. Existen
aceptación de las Informática y David documentos de
partes interesadas TIC Aguirre informe y
del proyecto avance de cada
proyecto en la
GITIC
BAI01.14 Comunicación del SI 2017 Gerencia de Ing. Existen
Cerrar un retiro del Informática y David documentos de
programa. programa y TIC Aguirre informe y
rendición de avance de cada
cuentas en curso. proyecto en la
GITIC
Tabla 13. Auditoría BAI01
59
(ANSs) y Aguirre
Acuerdos de
Nivel Operativos
(OLAs).
BAI03.03 Documentar los SI 2017 Ing. David Ing. La GITIC
Desarrollar los componentes de Aguirre David cuenta con un
componentes de la solución Sr. Jose Luis Aguirre ERP
la solución Neme documentado
según
INFORME
N°008-2017-
GITIC-MPS
BAI03.04 Plan de SI 2017 Gerencia de Ing. El nombre del
Obtener los adquisiciones Informática y David documento es
componentes de aprobado TIC Aguirre POI (Plan
la solución Operativo
Informático)
2017.
Actualizaciones SI 2017 Gerencia de Ing. El nombre del
del inventario de Informática y David documento es
activos TIC Aguirre PETI.
BAI03.05 Componentes de NO N/A N/A Ing. -
Construir la solución David
soluciones. integrados y Aguirre
configurados
BAI03.06 Plan de NO N/A N/A Ing. -
Realizar aseguramiento de David
controles de la calidad (QA) Aguirre
calidad. Resultados de la NO N/A N/A Ing. -
revisión de David
calidad, Aguirre
excepciones y
correcciones
BAI03.07 Plan de pruebas NO
Preparar Procedimientos SI 2017 Ing. David Ing. La GITIC
pruebas de la de pruebas Aguirre David cuenta con un
solución Sr. Jose Luis Aguirre ERP
Neme documentado
según
INFORME
N°008-2017-
GITIC-MPS
BAI03.08 Registros de SI 2017 Ing. David Ing. La GITIC
Ejecutar resultados de Aguirre David cuenta con un
pruebas de la pruebas y pistas Sr. Jose Luis Aguirre ERP
solución de auditoría Neme documentado
según
INFORME
N°008-2017-
GITIC-MPS
Comunicaciones SI 2017 Ing. David Ing. Los resultados
del resultado de Aguirre David de las pruebas
las pruebas Sr. Jose Luis Aguirre se derivan a la
Neme GM
BAI03.09 Registro de todas NO N/A N/A Ing. -
Gestionar las peticiones de David
cambios a los cambio Aguirre
requerimientos. aprobadas y
aplicadas
BAI03.10 Plan de NO N/A N/A Ing. -
60
Mantener mantenimiento David
soluciones. Aguirre
Componentes de SI 2017 Ing. David Ing. La GITIC
la solución Aguirre David cuenta con un
actualizados y Sr. Jose Luis Aguirre ERP
documentación Neme documentado
relacionada según
INFORME
N°008-2017-
GITIC-MPS
BAI03.11 Definiciones de NO N/A N/A Ing. -
Definir los servicio David
servicios TI y Aguirre
mantener el Catálogo de NO N/A N/A Ing. -
catálogo de servicios David
servicios. actualizado Aguirre
Tabla 14. Auditoría BAI03
61
PROCESO BAI09 – Gestionar los Activos
Subprocesos Documento Dispone Última Participantes Fuente Observaciones
SI/NO versión
BAI09.01 Registro de SI 2018 Departamento Ing. Existe un
Identificar y activos de Patrimonio David documento del
registrar Ing. David Aguirre Inventario
activos Aguirre Ing. Físico de
actuales. Ing. Pool Pool Bienes por
Alayo Alayo ubicación y
uso y un
documento de
activos de
software
incluidos en el
PETI 2018.
Resultados de SI 2018 Departamento Ing. Existe un
comprobaciones de Patrimonio David documento del
físicas de Ing. David Aguirre Inventario
inventario Aguirre Ing. Físico de
Ing. Pool Pool Bienes por
Alayo Alayo ubicación y
uso y un
documento de
activos de
software
incluidos en el
PETI 2018.
Resultados de NO N/A N/A Ing. -
revisiones de David
adecuación al Aguirre
objetivo
BAI09.02 Comunicación de NO N/A N/A Ing. -
Gestionar tiempo de David
activos inactividad Aguirre
críticos planificado para
mantenimiento
Contratos de NO N/A N/A Ing. -
mantenimiento David
Aguirre
BAI09.03 Solicitudes de SI 2017 Gerencia de Ing. El nombre del
Gestionar el adquisición de Informática y David documento es
ciclo de vida activos TIC Aguirre PETI.
de los activos. aprobadas.
Registro de SI 2018 Departamento Ing. Existe un
activos de Patrimonio David documento del
actualizado. Ing. David Aguirre Inventario
Aguirre Ing. Físico de
Ing. Pool Pool Bienes por
Alayo Alayo ubicación y
uso y un
documento de
activos de
software
incluidos en el
PETI 2018.
Retirada SI 2018 Departamento Ing. Existe un
autorizada de de Patrimonio David documento
activos Ing. David Aguirre para la salida
Aguirre Ing. de activos
Ing. Pool Pool tanto en el área
62
Alayo Alayo de Sistemas
como en la
Unidad de
Soporte
Técnico.
BAI09.04 Resultados de las NO N/A N/A Ing. -
Optimizar el revisiones de David
coste de los optimización de Aguirre
activos. costes
Oportunidades NO N/A N/A Ing. -
para reducir el David
coste de activos o Aguirre
aumentar su valor
BAI09.05 Registro de SI 2018 Ing. David Ing. Existe un
Administrar licencias de Aguirre David documento de
licencias. software Aguirre licencias de
software
incluidos en el
PETI 2018.
Resultado de NO N/A N/A Ing. -
auditorías de David
licencias Aguirre
instaladas
Plan de acción NO N/A N/A Ing. -
para ajustar el David
número de Aguirre
licencias y su
asignación
Tabla 16. Auditoría BAI09
63
referencia.
BAI10.04 Informes de NO N/A N/A Ing. -
Generar estado de David
informes de configuración Aguirre
estado y
configuración.
64
Blas
Ing.
David
Aguirr
e
Tiques NO N/A N/A Ing. -
(tickets) de David
incidentes Aguirr
e
DSS01.04 Políticas de SI 2018 Ing. David Ing. El documento
Gestionar el entorno Aguirre David está incluido en
entorno Aguirr el PETI 2018.
e
65
problemas Aguirre
DSS02.02 Registro de NO N/A N/A Ing. -
Registrar, incidentes y David
clasificar y peticiones de Aguirre
priorizar servicio
peticiones e Incidentes y NO N/A N/A Ing. -
incidentes. peticiones de David
servicio Aguirre
clasificados y
priorizados
DSS02.03 Peticiones de SI 2018 Áreas MPS Ing. El área
"Verificar, servicio David solicitante
aprobar y aprobadas Aguirre emite un
resolver documento de
peticiones de petición de
servicio." servicio
Peticiones de SI 2018 Ing. David Ing. Los ingenieros
servicio Aguirre David emiten un
completas Aguirre documento
Ing. indicando que
Alexis se ha
Abanto. finalizado el
Sr. Jose servicio
Luis solicitado.
Neme
Ing.
Alin
Blas
Ing.
Pool
Alayo
66
satisfactorios
DSS02.07 Informe de NO N/A N/A Ing. -
Seguir el estado y David
estado y emitir tendencias de Aguirre
informes. incidentes
Informes de NO N/A N/A Ing. -
estado de David
cumplimiento Aguirre
de peticiones y
tendencias
Tabla 19. Auditoría DSS02
67
DSS03.03 Registros de NO N/A N/A Ing. -
Levantar errores David
errores conocidos Aguirre
conocidos. Soluciones NO N/A N/A Ing. -
propuestas para David
errores Aguirre
conocidos
DSS03.04 Registros de NO N/A N/A Ing. -
Resolver y problemas David
cerrar cerrados Aguirre
problemas. Comunicación NO N/A N/A Ing. -
del David
conocimiento Aguirre
aprendido
DSS03.05 Registros de NO N/A N/A Ing. -
Realizar una monitorización David
gestión de de resolución de Aguirre
problemas problemas
proactiva. Identificar SI 2018 Ing. David Ing. Los ingenieros
soluciones Aguirre David emiten un
sostenibles Ing. Alexis Aguirre informe sobre
Abanto. Ing. la
Sr. Jose Luis Alexis identificación
Neme Abanto. de soluciones
Ing. Alin Blas Sr. Jose sostenibles
Ing. Pool Luis
Alayo Neme
Ing.
Alin
Blas
Ing.
Pool
Alayo
68
Opciones NO N/A N/A Ing. -
estratégicas David
aprobadas Aguirre
DSS04.03 Acciones y SI 2018 Ing. David Ing. Los ingenieros
Desarrollar e comunicaciones Aguirre David emiten un
implementar de respuesta a Ing. Alexis Aguirre informe sobre
una respuesta incidentes Abanto. Ing. los incidentes
a la Sr. Jose Luis Alexis suscitados.
continuidad Neme Abanto.
del negocio. Ing. Alin Blas Sr. Jose
Ing. Pool Luis
Alayo Neme
Ing.
Alin
Blas
Ing.
Pool
Alayo
69
PROCESO MEA01 – Supervisar, Evaluar y Valorar Rendimiento y Conformidad
Subprocesos Documento Dispone Última Participantes Fuente Observaciones
SI/NO versión
MEA01.01 Requisitos de NO N/A N/A Ing. -
Establecer un supervisión David
enfoque de la Aguirre
supervisión. Métricas y NO N/A N/A Ing. -
objetivos de David
supervisión Aguirre
aprobado.
MEA01.02 Objetos de SI 26/11/2010 Gerencia de Ing. El documento se
Establecer los supervisión Planeamiento David encuentra en el
objetivos de y Presupuesto Aguirre PTE-MPS, con
cumplimiento el nombre de
y rendimiento. ROF
(Reglamento de
Organización y
Funciones)
pág.63
MEA01.03 Datos de NO N/A N/A Ing. -
Recopilar y supervisión David
procesar los procesados Aguirre
datos de
cumplimiento
y rendimiento.
70
EDM02
Atributos de Capacidad del Proceso
Proce Práctica Definic Desplie Gesti Contr Rendimi Gestión Gestión Innovac Optimiza
so de ión del gue de ón de ol de ento del del de los ión de ción de
Gobier proceso proceso Proce Proce Proceso Rendimi Resulta Proceso Procesos
no sos sos ento dos s
EDM02 0 0 0 0 0 0 0 0 0
.01
EDM 02
EDM02 0 0 0 0 0 0 0 0 0
.02
EDM02 0 0 0 0 0 0 0 0 0
.03
Tabla 23. Calificación de Atributos de capacidad EDM02
Descripción Valor
Puntuación Óptima 27
Puntuación obtenida 0
Porcentaje alcanzado 0.00
Escala para alcanzar el Nivel de Capacidad 1 N
Tabla 24. Escala de Nivel de Capacidad EDM02
EDM05
Atributos de Capacidad del Proceso
Proce Práctica Definic Desplie Gesti Contr Rendimi Gestión Gestión Innovac Optimiza
so de ión del gue de ón de ol de ento del del de los ión de ción de
Gobier proceso proceso Proce Proce Proceso Rendimi Resulta Proceso Procesos
no sos sos ento dos s
EDM05 0 0 0 0 0 0 0 0 0
.01
EDM 05
EDM05 1 1 1 1 1 1 0 0 0
.02
EDM05 0 0 0 0 0 0 0 0 0
.03
Tabla 25. Calificación de Atributos de capacidad EDM05
71
EDM 05.02 Orientar la comunicación con las Prácticas de Gobierno con atributos de
partes intersadas y la elaboración de informes. capacidad 0
Definición del Definición del
proceso proceso
1 1
Optimización Despliegue de Optimización Despliegue de
0.8 0.8 EDM05.01 Evaluar los
de Procesos procesos de Procesos procesos
0.6 0.6 requisitos de elaboración
0.4 0.4 de informes de la partes
Innovación de Gestión de EDM05.02 Orientar la Innovación de Gestión de
0.2 0.2 interesadas.
Procesos Procesos comunicación con las Procesos Procesos
0 0
partes intersadas y la EDM05.03 Supervisar la
elaboración de informes. Gestión de los Control de comunicación con las
Gestión de los Control de
Resultados Procesos Resultados Procesos partes interesadas.
Gestión del Rendimiento Gestión del Rendimiento
Rendimiento del Proceso Rendimiento del Proceso
Descripción Valor
Puntuación Óptima 27
Puntuación obtenida 6
Porcentaje alcanzado 22.2%
Escala para alcanzar el Nivel de Capacidad 1 N
Tabla 26. Escala de Nivel de Capacidad EDM05
APO01
Atributos de Capacidad del Proceso
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión Innovac Optimiza
so a de ión del gue de n de ol de ento del del de los ión de ción de
Gobier proceso proceso Proce Proce Proceso Rendimi Resulta Proceso Procesos
no sos sos ento dos s
APO01 1 1 1 1 1 1 0 0 0
.01
APO01 1 1 1 1 1 0 0 0 0
.02
APO01 1 1 1 1 1 1 1 1 1
APO01
.03
APO01 0 0 0 0 0 0 0 0 0
.04
APO01 0 0 0 0 0 0 0 0 0
.05
APO01 0 0 0 0 0 0 0 0 0
.06
APO01 0 0 0 0 0 0 0 0 0
.07
APO01 0 0 0 0 0 0 0 0 0
.08
Tabla 27. Calificación de Atributos de capacidad APO01
72
APO01.01 Evaluar la optimización del valor APO01.02 Establecer roles y responsabilidades
Definición del
Definición del
proceso
1 proceso
Optimización Despliegue de 1
0.8 Optimización Despliegue de
de Procesos procesos 0.8
0.6 de Procesos procesos
0.6
0.4 0.4
Innovación de Gestión de Innovación de Gestión de
0.2 0.2
Procesos Procesos APO01.01 Evaluar la Procesos Procesos APO01.02 Establecer
0 0
optimización del valor roles y responsabilidades
Descripción Valor
Puntuación Óptima 72
Puntuación obtenida 20
Porcentaje alcanzado 27.7%
Escala para alcanzar el Nivel de Capacidad 1 N
Tabla 28. Tabla 26. Escala de Nivel de Capacidad APO01
APO04
Atributos de Capacidad del Proceso
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión Innovac Optimiza
so a de ión del gue de n de ol de ento del del de los ión de ción de
Gobier proceso proceso Proce Proce Proceso Rendimi Resulta Proceso Procesos
no sos sos ento dos s
APO04 1 1 1 1 1 0 0 0 0
.01
APO04 1 1 1 1 1 1 1 1 1
.02
APO04 1 1 1 1 1 1 1 1 1
APO04
.03
APO04 0 0 0 0 0 0 0 0 0
.04
APO04 0 0 0 0 0 0 0 0 0
.05
APO04 1 1 1 0 0 0 0 0 0
.06
Tabla 29. Calificación de Atributos de capacidad APO04
73
APO04.01 Crear un entorno favorable para la APO04.02 Mantener un entendimiento del
innovación. entorno de la
Definición del Definición del
proceso proceso
1 1
Optimización Despliegue de Optimización Despliegue de
0.8 0.8
de Procesos procesos de Procesos procesos
0.6 0.6
0.4 0.4
Innovación de Gestión de Innovación de Gestión de
0.2 APO04.01 Crear un 0.2 APO04.02 Mantener un
Procesos Procesos Procesos Procesos
0 entorno favorable para la 0 entendimiento del
innovación. entorno de la empresa.
Gestión de los Control de Gestión de los Control de
Resultados Procesos Resultados Procesos
Gestión del Rendimiento Gestión del Rendimiento
Rendimiento del Proceso Rendimiento del Proceso
Descripción Valor
Puntuación Óptima 54
Puntuación obtenida 26
Porcentaje alcanzado 48.14%
Escala para alcanzar el Nivel de Capacidad 1 P
Tabla 30. Escala de Nivel de Capacidad APO04
APO07
Atributos de Capacidad del Proceso
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión Innovac Optimiza
so a de ión del gue de n de ol de ento del del de los ión de ción de
Gobier proceso proceso Proce Proce Proceso Rendimi Resulta Proceso Procesos
no sos sos ento dos s
APO07 1 1 1 0 0 0 0 0 0
.01
APO07
APO07 1 1 1 1 1 1 1 1 1
.02
APO07 1 1 1 0 0 0 0 0 0
.03
APO07 0 0 0 0 0 0 0 0 0
74
.04
APO07 1 1 1 0 0 0 0 0 0
.05
APO07 1 1 1 0 0 0 0 0 0
.06
Tabla 31. Calificación de Atributos de capacidad APO07
Descripción Valor
Puntuación Óptima 54
Puntuación obtenida 21
Porcentaje alcanzado 38.8%
Escala para alcanzar el Nivel de Capacidad 1 P
Tabla 32. Escala de Nivel de Capacidad APO07
APO13
Atributos de Capacidad del Proceso
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión Innovac Optimiza
so a de ión del gue de n de ol de ento del del de los ión de ción de
Gobier proceso proceso Proce Proce Proceso Rendimi Resulta Proceso Procesos
no sos sos ento dos s
APO13 0 0 0 0 0 0 0 0 0
13
O
A
P
.01
75
APO13 0 0 0 0 0 0 0 0 0
.02
APO13 0 0 0 0 0 0 0 0 0
.03
Tabla 33. Calificación de Atributos de capacidad APO13
Descripción Valor
Puntuación Óptima 27
Puntuación obtenida 0
Porcentaje alcanzado 0.0%
Escala para alcanzar el Nivel de Capacidad 1 N
Tabla 34. Escala de Nivel de Capacidad APO13
BAI01
Atributos de Capacidad del Proceso
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión Innovac Optimiza
so a de ión del gue de n de ol de ento del del de los ión de ción de
Gobier proceso proceso Proce Proce Proceso Rendimi Resulta Proceso Procesos
no sos sos ento dos s
BAI01 0 0 0 0 0 0 0 0 0
.01
BAI01 1 1 1 1 1 1 1 1 1
.02
BAI01 1 1 1 1 1 0 0 0 0
.03
BAI01 1 1 1 1 1 1 1 1 1
.04
BAI01 1 1 1 0 0 0 0 0 0
.05
BAI01
BAI01 0 0 0 0 0 0 0 0 0
.06
BAI01 1 1 1 1 1 1 1 1 1
.07
BAI01 1 1 1 1 1 1 0 0 0
.08
BAI01 0 0 0 0 0 0 0 0 0
.09
BAI01 0 0 0 0 0 0 0 0 0
.10
BAI01 1 1 1 1 1 1 0 0 0
.11
76
BAI01 1 1 1 1 1 1 0 0 0
.12
BAI01 1 1 1 1 1 1 0 0 0
.13
BAI01 1 1 1 1 1 1 1 1 1
.14
Tabla 35. Calificación de Atributos de capacidad BAI01
77
BAI01.14 Cerrar un programa.
Definición del
proceso
1
Optimización Despliegue
0.8
de Procesos de procesos
0.6
0.4
Innovación Gestión de
0.2
de Procesos Procesos BAI01.14 Cerrar un
0
programa.
Gestión de Control de
los… Procesos
Gestión del Rendimiento
Rendimiento del Proceso
Descripción Valor
Puntuación Óptima 126
Puntuación obtenida 68
Porcentaje alcanzado 53.96%
Escala para alcanzar el Nivel de Capacidad 1 P
Tabla 36. Escala de Nivel de Capacidad BAI01
BAI03
Atributos de Capacidad del Proceso
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión Innovac Optimiza
so a de ión del gue de n de ol de ento del del de los ión de ción de
Gobier proceso proceso Proce Proce Proceso Rendimi Resulta Proceso Procesos
no sos sos ento dos s
BAI03 0 0 0 0 0 0 0 0 0
.01
BAI03 0 0 0 0 0 0 0 0 0
.02
BAI03 1 1 1 1 1 1 1 1 1
.03
BAI03 1 1 1 1 1 1 1 1 1
.04
BAI03
BAI03 0 0 0 0 0 0 0 0 0
.05
BAI03 0 0 0 0 0 0 0 0 0
.06
BAI03 1 1 1 1 1 0 0 0 0
.07
BAI03 1 1 1 1 1 1 1 1 1
.08
BAI03 0 0 0 0 0 0 0 0 0
.09
78
BAI03 1 1 1 1 1 0 0 0 0
.10
BAI03 0 0 0 0 0 0 0 0 0
.11
Tabla 37. Calificación de Atributos de capacidad BAI03
Definición Definición
del proceso del proceso
Optimizació 1 Despliegue Optimizació 1 Despliegue
0.8 0.8
n de… de procesos n de… de procesos
0.6 0.6
0.4 0.4
Innovación Gestión de Innovación Gestión de
0.2 BAI03.07 Preparar 0.2 BAI03.08 Ejecutar
de Procesos 0 Procesos de Procesos 0 Procesos
pruebas de la solución pruebas de la solución
Gestión de Control de Gestión de Control de
los… Procesos los… Procesos
Gestión del Rendimiento Gestión del Rendimiento
Rendimiento del Proceso Rendimiento del Proceso
Descripción Valor
Puntuación Óptima 99
79
Puntuación obtenida 37
Porcentaje alcanzado 37.3%
Escala para alcanzar el Nivel de Capacidad 1 P
Tabla 38. Escala de Nivel de Capacidad BAI03
BAI06
Atributos de Capacidad del Proceso
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión Innovac Optimiza
so a de ión del gue de n de ol de ento del del de los ión de ción de
Gobier proceso proceso Proce Proce Proceso Rendimi Resulta Proceso Procesos
no sos sos ento dos s
BAI06 1 1 1 0 0 0 0 0 0
.01
BAI06 1 1 1 1 1 1 1 1 1
BAI06
.02
BAI06 0 0 0 0 0 0 0 0 0
.03
BAI06 1 1 1 1 1 1 1 1 1
.04
Tabla 39. Calificación de Atributos de capacidad BAI06
Descripción Valor
Puntuación Óptima 36
Puntuación obtenida 21
Porcentaje alcanzado 58.3%
Escala para alcanzar el Nivel de Capacidad 1 P
Tabla 40. Escala de Nivel de Capacidad BAI06
80
BAI09
Atributos de Capacidad del Proceso
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión Innovac Optimiza
so a de ión del gue de n de ol de ento del del de los ión de ción de
Gobier proceso proceso Proce Proce Proceso Rendimi Resulta Proceso Procesos
no sos sos ento dos s
BAI09 1 1 1 1 1 1 0 0 0
.01
BAI09 0 0 0 0 0 0 0 0 0
.02
BAI09
BAI09 1 1 1 1 1 1 1 1 1
.03
BAI09 0 0 0 0 0 0 0 0 0
.04
BAI09 1 1 1 0 0 0 0 0 0
.05
Tabla 41. Calificación de Atributos de capacidad BAI09
Descripción Valor
Puntuación Óptima 45
Puntuación obtenida 18
Porcentaje alcanzado 40.0%
Escala para alcanzar el Nivel de Capacidad 1 P
Tabla 42. Escala de Nivel de Capacidad BAI09
81
BAI10
Atributos de Capacidad del Proceso
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión Innovac Optimiza
so a de ión del gue de n de ol de ento del del de los ión de ción de
Gobier proceso proceso Proce Proce Proceso Rendimi Resulta Proceso Procesos
no sos sos ento dos s
BAI10 0 0 0 0 0 0 0 0 0
.01
BAI10 0 0 0 0 0 0 0 0 0
.02
BAI10
BAI10 0 0 0 0 0 0 0 0 0
.03
BAI10 0 0 0 0 0 0 0 0 0
.04
BAI10 0 0 0 0 0 0 0 0 0
.05
Tabla 43. Calificación de Atributos de capacidad BAI10
Descripción Valor
Puntuación Óptima 45
Puntuación obtenida 0
Porcentaje alcanzado 0.0%
Escala para alcanzar el Nivel de Capacidad 1 N
Tabla 44. Escala de Nivel de Capacidad BAI10
DSS01
Atributos de Capacidad del Proceso
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión Innovac Optimiza
so a de ión del gue de n de ol de ento del del de los ión de ción de
Gobier proceso proceso Proce Proce Proceso Rendimi Resulta Proceso Procesos
no sos sos ento dos s
DSS01 1 1 1 1 1 0 0 0 0
.01
DSS01 0 0 0 0 0 0 0 0 0
DSS01
.02
DSS01 0 0 0 0 0 0 0 0 0
.03
DSS01 1 1 1 1 1 0 0 0 0
82
.04
DSS01 1 1 1 1 1 1 1 1 1
.05
Tabla 45. Calificación de Atributos de capacidad DSS01
Descripción Valor
Puntuación Óptima 45
Puntuación obtenida 19
Porcentaje alcanzado 42.2%
Escala para alcanzar el Nivel de Capacidad 1 P
Tabla 46. Escala de Nivel de Capacidad DSS01
DSS02
Atributos de Capacidad del Proceso
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión Innovac Optimiza
so a de ión del gue de n de ol de ento del del de los ión de ción de
Gobier proceso proceso Proce Proce Proceso Rendimi Resulta Proceso Procesos
no sos sos ento dos s
DSS02 1 1 1 1 1 1 0 0 0
.01
DSS02 0 0 0 0 0 0 0 0 0
.02
DSS02 1 1 1 1 1 1 1 1 1
.03
DSS02
DSS02 0 0 0 0 0 0 0 0 0
.04
DSS02 1 1 1 1 1 1 1 1 1
.05
DSS02 1 1 1 1 1 0 0 0 0
.06
DSS02 0 0 0 0 0 0 0 0 0
83
.07
Tabla 47. Calificación de Atributos de capacidad DSS02
Descripción Valor
Puntuación Óptima 63
Puntuación obtenida 29
Porcentaje alcanzado 46.0%
Escala para alcanzar el Nivel de Capacidad 1 P
Tabla 48. Escala de Nivel de Capacidad DSS02
84
DSS03
Atributos de Capacidad del Proceso
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión Innovac Optimiza
so a de ión del gue de n de ol de ento del del de los ión de ción de
Gobier proceso proceso Proce Proce Proceso Rendimi Resulta Proceso Procesos
no sos sos ento dos s
DSS03 1 1 1 0 0 0 0 0 0
.01
DSS03 1 1 1 1 1 1 1 1 1
.02
DSS03
DSS03 0 0 0 0 0 0 0 0 0
.03
DSS03 0 0 0 0 0 0 0 0 0
.04
DSS03 1 1 1 1 1 0 0 0 0
.05
Tabla 49. Calificación de Atributos de capacidad DSS03
Descripción Valor
Puntuación Óptima 45
Puntuación obtenida 17
Porcentaje alcanzado 37.7%
Escala para alcanzar el Nivel de Capacidad 1 P
Tabla 50. Escala de Nivel de Capacidad DSS03
85
DSS04
Atributos de Capacidad del Proceso
Proce Práctic Definic Desplie Gestió Contr Rendimi Gestión Gestión Innovac Optimiza
so a de ión del gue de n de ol de ento del del de los ión de ción de
Gobier proceso proceso Proce Proce Proceso Rendimi Resulta Proceso Procesos
no sos sos ento dos s
DSS04 1 1 1 0 0 0 0 0 0
.01
DSS04 1 1 1 1 1 0 0 0 0
.02
DSS04 0 0 0 0 0 0 0 0 0
.03
DSS04 0 0 0 0 0 0 0 0 0
DSS04
.04
DSS04 0 0 0 0 0 0 0 0 0
.05
DSS04 0 0 0 0 0 0 0 0 0
.06
DSS04 0 0 0 0 0 0 0 0 0
.07
DSS04 0 0 0 0 0 0 0 0 0
.08
Tabla 51. Calificación de Atributos de capacidad DSS04
Descripción Valor
Puntuación Óptima 72
Puntuación obtenida 8
Porcentaje alcanzado 11.1%
Escala para alcanzar el Nivel de Capacidad 1 N
Tabla 52. Escala de Nivel de Capacidad DSS04
86
MEA01
Atributos de Capacidad del Proceso
Proce Práctica Definic Desplie Gesti Contr Rendimi Gestión Gestión Innovac Optimiza
so de ión del gue de ón de ol de ento del del de los ión de ción de
Gobier proceso proceso Proce Proce Proceso Rendimi Resulta Proceso Procesos
no sos sos ento dos s
MEA01 0 0 0 0 0 0 0 0 0
.01
MEA01 1 1 1 1 1 1 1 1 1
.02
MEA01
MEA01 0 0 0 0 0 0 0 0 0
.03
MEA01 1 1 1 1 1 1 1 1 1
.04
MEA01 1 1 1 1 1 1 1 1 1
.05
Tabla 53. Calificación de Atributos de capacidad MEA01
Descripción Valor
Puntuación Óptima 45
Puntuación obtenida 27
Porcentaje alcanzado 60.0%
Escala para alcanzar el Nivel de Capacidad 1 P
Tabla 54. Escala de Nivel de Capacidad MEA01
87
CAPÍTULO V
RESULTADOS
88
5.1. HALLAZGOS IMPORTANTES
En el capítulo anterior se realizó la Calificación de Atributos de capacidad de cada
uno de los procesos seleccionados de aquellos subprocesos que cumplían con la
documentación mínima, donde pudimos observar a través del gráfico de radar que
algunos procesos no han alcanzado la escala de Proceso Parcialmente Alcanzado (P),
esto debido a que la Municipalidad Provincial del Santa no está desarrollando las
Prácticas de Gobierno mínimas para el correcto Gobierno de TI. A continuación, se
presenta un Consolidado de Escalas de todos los procesos antes vistos.
Escala Definición
N Proceso No alcanzado, debido a que la GITIC no cuenta con
documentación en ningunas de las prácticas de gobierno que le
corresponde a este proceso.
Proceso No alcanzado, debido a que la GITIC no cuenta con la
documentación suficiente en las prácticas de gobierno que le
corresponde a este proceso.
P Proceso Parcialmente alcanzado, la GITIC se encuentra en
proceso del logro del proceso ya que existe evidencia del avance.
L Proceso Ampliamente alcanzado, la GITIC ha alcanzado el
logro del proceso ya que existe evidencia del cumplimiento de
las prácticas de gobierno casi al 100%.
Tabla 55. Definición de Escalas
89
La tabla 56 muestra un resumen de los resultados obtenidos en cada proceso
evaluado, indicando el porcentaje alcanzado, evidenciando que aún existe mucho
por mejorar.
48.14% 46.00%
50.00% 42.20%
38.80% 40.04% 37.70%
37.30%
40.00%
27.70%
30.00% 22.20%
20.00%
11.10%
10.00%
0.00% 0.00% 0.00%
0.00%
Procesos Evaluados
5.1.1. Positivos
Al realizar la auditoría se detectó que muchos de los documentos de
gestión, planes y políticas se encuentran accesibles para la
comunidad a través del Portal de Transparencia Estándar alojado la
página web institucional, de esta manera representa un valioso
aporte para la comunidad y a su vez le exigirá propuestas de mejora
continua a la página web institucional.
90
La institución cuenta con documentación de estructura
organizacional, del cual se rigen todas las gerencias, siendo éste el
Manual de Organización y Funciones de la institución (MOF), y
Reglamento de Organización y Funciones (ROF), Texto Único de
Procedimientos Administrativos (TUPA), Plan Estratégico De
Tecnologías De Información (PETI) y el Plan Operativo Informático
(POI) .
Cada año se plantean proyectos de Innovación para la mejora de los
servicios de los trabajadores y la comuna en general, estando
debidamente plasmados en el PETI.
En la mayoría de documentación disponible se detectó que las
versiones de los mismos tienen fechas del 2017 y 2018.
Se obtuvo un 62.5% de procesos que se encuentran en “Proceso
Parcialmente Alcanzado”, lo que significa que existe evidencia de
que se está trabajando para la mejora y logro de los procesos de TI
en la Gerencia.
El ROF regula los requisitos mínimos que debe cumplir el
profesional del área de TI, teniendo consigo políticas de contratación
de personal.
La GITIC lleva un control del personal que labora en la gerencia, ver
Anexo1.Recursos Humanos de la Gerencia, sus funciones
asignadas al cargo a través de Memorándum, lo cual ayuda a
identificar el personal clave del área y generar estrategias de apoyo y
mejora.
Existe un presupuesto asignado para la ejecución de planes y
proyectos de TI, el cual es supervisado para ver el cumplimiento de
las metas, siendo documentado todo avance de proyecto.
La GITIC cuenta con un S.I de control de equipos informáticos en la
Unidad de Soporte Técnico, donde llevan un registro del hardware
de la entidad, Ver Anexo2. Registro de hardware informático.
Se observó que el personal de la GITIC sigue un proceso adecuado
en cuanto a las solicitudes de cambio o modificación de registro de
datos y sistemas.
91
Los ingenieros y técnicos de la GITIC realizan instalación de
software y equipos informáticos presentando un informe al finalizar
sus labores en otras áreas de la municipalidad.
En el proceso de Auditoría se detectó que la GITIC cuenta con una
Directiva para el uso de los Recursos computacionales, internet y
correo electrónico, lo cual es fundamental para el conocimiento de
todos los trabajadores de la municipalidad.
Se observó que el PETI incluye clasificación de incidentes y riesgos
que podrían suscitarse en la Gerencia, lo cual ayuda para que se
refuercen todos esos puntos.
Se detectó que el personal de TI tiene una respuesta rápida para la
solución de problemas e incidentes, dando como resultado que la
continuidad del servicio no se vea tan afectada.
El Órgano de Control Interno (OCI) evalúa el rendimiento y
cumplimiento de las políticas sobre Transparencia y Acceso a la
Información Pública, siendo un punto para mejorar y mantener
actualizado el PTE, documentos y optimizando los servicios.
5.1.2. Oportunidades de mejora
En el desarrollo de la auditoría se detectó que ningún proceso se
encuentra logrado al 100%, donde el 62.5% está parcialmente
alcanzado y el 37.5 está en la escala de Proceso No Alcanzado.
La GITIC no tiene reglamentado la elaboración de informes, debido
a ello se detectó que el personal nuevo a veces no realizaba informes
de las labores encomendadas.
La Municipalidad Provincial del Santa cuenta con el Manual de
Políticas de Gestión Institucional, sin embargo, la GITIC no cuenta
con documentación sobre Políticas Relativas a TI, siendo los
responsables de la elaboración del mismo.
Se detectó que existen Planes y Proyectos de TI, sin embargo,
muchos de ellos no se han llevado a cabo por falta de personal
especializado.
Con la auditoría se observó que sólo se ha logrado implantar 01
solución informática desarrollada por un trabajador de la GITIC en
92
el periodo 2015-2017, ya que mayormente se recurre a la
contratación de terceros.
La GITIC cuenta con 17 sistemas de información, ver Anexo.3
Sistemas de Información MPS, los cuales administra, sin embargo,
solo 1 está documentado y tiene Manual de Usuario.
Los S.I trabajan de forma independiente, no están integrados.
Los funcionarios de otras áreas no se involucran en reuniones de
planeamiento de nuevas soluciones de TI, existe falta de interés de
las áreas usuarias.
Se detectó que no existe un registro de tiempo de inactividad de los
activos(equipos), lo cual ha provocado que se tenga en desuso y no
se le dé el respectivo mantenimiento.
No existe un control para el proceso de backups, algunos
trabajadores realizan backups semanalmente, otros lo realizan a
diario y otros no realizan.
Se observó que cuando ocurre un problema, sólo algunos emiten
informes de lo ocurrido y de la solución aplicada.
Se observó que las conexiones y el cableado de red no cumple con
los estándares establecidos y que el Centro de Datos necesita
mantenimiento. Ver Anexo5. Centro de Datos MPS, Anexo6.
Equipos en mal estado en el Centro de Datos MPS.
El Centro de Datos no cuenta con las medidas de seguridad y el
acceso no se encuentra restringido ya que anteriormente contaba con
un lector biométrico de huella digital, sin embargo, actualmente se
encuentra malogrado. Ver Anexo7. Lector biométrico del Centro
de Datos
La GITIC no cuenta con acciones para la mejorar la entrega de valor
de sus servicios, no realizan evaluaciones para saber si están
alineados con la estrategia institucional.
Se detectó que La GITIC no tiene Directrices para el control y
seguridad de datos.
No hay Gestión para la mejora de Procesos, siendo los procesos
fundamentales de la Municipalidad, el Proceso que abarca Rentas y
el proceso de Logística.
93
No se realizan evaluaciones del desempeño de los Recursos
Humanos de la Gerencia de Informática.
No se ha establecido ni iniciado el proceso para el desarrollo de un
SGSI Sistema de Gestión de Seguridad de la Información.
No existe un registro de eventos o incidentes y no cuenta con un
Plan de Contingencia de TI, ni con actividades de concientización en
salud y seguridad en el trabajo.
No existe mucho trabajo en equipo, y se detectó que cuando sucede
un problema, no hay una comunicación entre el grupo de trabajo
para adquirir el conocimiento aprendido al resolver el problema.
5.2. RECOMENDACIONES DE AUDITORÍA
Con los resultados obtenidos en la Auditoría realizada, se elaboraron las siguientes
recomendaciones, con el fin de que la Gerencia ponga en marcha las actividades
necesarias para el cumplimiento de los procesos que faltan lograr y apoyar los
procesos que se encuentran en su etapa inicial.
Proceso Recomendación
EDM02 1. Comprender los requerimientos de las partes interesadas,
Asegurar la trabajadores de la municipalidad y usuarios externos para
Entrega de realizar los S.I.
Beneficios 2. Establecer reuniones de trabajo con los funcionarios de las
distintas áreas de la Municipalidad para
3. Definir y comunicar la cartera de proyectos y los tipos de
inversión, categorías, criterios y ponderaciones.
4. Crear un grupo dedicado al desarrollo de aplicaciones y S.I
EDM05 1. Examinar y juzgar los requisitos actuales y futuros de
Asegurar la elaboración de informes respecto al uso de TI dentro de la
Transparencia empresa (regulación, legislación, leyes generales, requisitos
hacia las contractuales), incluyendo alcance y frecuencia.
partes 2. Establecer mecanismos de validación y aprobación de la
interesadas elaboración obligatoria de informes.
3. Establecer políticas que regulen la entrega de informes a
través de medios físicos o digitales dentro de la Gerencia.
APO01 1. Establecer un Comité Estratégico de TI y Comité Directivo
Gestionar el de TI.
Marco de 2. Definir reglas básicas de comunicación en la Gerencia.
Gestión de TI 3. Delimitar claramente las responsabilidades y la rendición de
cuentas, especialmente para la aprobación y toma de
decisiones.
4. Implementar prácticas de supervisión adecuadas para
garantizar que los roles y las responsabilidades se pongan
en práctica de forma correcta
5. Alinearse con los estándares y códigos de práctica de
94
gobierno y gestión aplicables a nivel nacional e
internacional.
6. Crear un conjunto de políticas para conducir las
expectativas de control de TI en temas clave relevantes,
como calidad, seguridad, confidencialidad, controles
internos, uso de activos de TI, ética y derechos de propiedad
intelectual.
7. Evaluar y actualizar las políticas, como mínimo una vez al
año, para ajustarlas a los cambiantes entornos operativos o
de negocio.
APO04 1. Crear un plan de innovación con el respectivo equipo de
Gestionar la trabajo
Innovación 2. Crear un entorno que fomente la innovación manteniendo
iniciativas de recursos humanos relevantes, tales como el
reconocimiento de la innovación y programas de
reconocimiento, una rotación apropiada en los puestos de
trabajo y tiempo prudencial para la experimentación.
3. Mantener un programa que permita a los empleados
presentar ideas innovadoras y crear una estructura adecuada
de toma de decisiones para evaluar y aplicar estas ideas.
Animar a Innovar a todo el personal.
APO07 1. Evaluar las necesidades de personal de forma regular.
Gestionar los 2. Mantener los procesos de contratación y de retención del
Recursos personal de TI y del negocio en línea con las políticas y
Humanos procedimientos de personal globales de la empresa.
3. Capacitación y Evaluación del Personal de TI .
4. Minimizar la dependencia en una sola persona en la
realización de una función crítica de trabajo mediante la
captura de conocimiento (documentación), el intercambio
de conocimientos, la planificación de la sucesión, el
respaldo (backup) del personal, el entrenamiento cruzado e
iniciativas de rotación de puestos.
5. Incentivar una cultura de trabajo en equipo.
APO13 1. Establecer un SGSI definiendo el alcance y los límites del
Gestionar la SGSI en términos de las características de la empresa, la
Seguridad organización, su localización, activos y tecnología. Incluir
detalles de y justificación para, cualquier exclusión del
alcance.
2. Invertir en la Seguridad de la Información.
3. Renovar los equipos de seguridad de la institución.
4. Mejorar la seguridad de los S.I y Base de Datos.
BAI01 1. Mantener y reforzar un enfoque estándar de la gestión de
Gestionar los programas y proyectos alineados al entorno específico de la
Programas y empresa y a las buenas prácticas basadas en procesos
Proyectos definidos y el uso de tecnología apropiada.
2. Identificar, comprometer y gestionar a las partes
interesadas, estableciendo y manteniendo niveles
apropiados de coordinación, comunicación y vinculación
para asegurar que estén involucrados en los
programas/proyectos.
95
3. Definir y documentar los programas y proyectos. Manuales
de Usuario. Casos de Uso, entre otros.
BAI03 1. Establecer especificaciones de diseño a alto nivel que
Gestionar la traduzcan la solución propuesta en procesos de negocio,
Identificación servicios soportados, aplicaciones, infraestructura y
y la repositorios de información capacidades de cumplir con los
Construcción requerimientos de arquitectura de negocio y empresa.
de Soluciones 2. Establecer un equipo de desarrollo de soluciones de T.I.
3. Planeamiento dela integración de los S.I en la
Municipalidad.
BAI06 1. Utilizar peticiones de cambio formales para posibilitar que
Gestionar los los propietarios de procesos de negocio y TI soliciten
Cambios cambios en procesos de negocio, infraestructura, sistemas o
aplicaciones
2. Supervisar todos los cambios de emergencia y realizar
revisiones post-implantación involucrando a todas las partes
interesadas.
3. Elaborar informes de cambios de estado.
BAI09 1. Verificar la existencia de todos los activos en propiedad
Gestionar los mediante la realización periódica de controles de inventario
Activos físicos y lógicos y su conciliación,
2. Determinar de forma regular si cada activo continúa
proporcionando valor y, si es así, estimar la vida útil
prevista de dicha validez.
3. Supervisar el rendimiento de los activos críticos
examinando las tendencias de incidentes y, en caso
necesario, tomar medidas para reparar o reemplazar.
4. Establecer un registro de inactividad del hardware para que
se realice el mantenimiento en el tiempo adecuado.
5. Establecer un plan de mantenimiento preventivo para todo
el hardware, considerando un análisis coste-beneficio,
recomendaciones del proveedor, el riesgo de interrupción
del servicio, personal cualificado y otros factores relevantes.
6. Elaborar un cronograma de mantenimiento de rutina
periódico.
7. Mejorar y actualizar constantemente el software de
inventario.
8. Realizar el cableado estructurado en el Edificio Municipal y
en las sedes externas.
BAI10 1. Establecer y mantener un modelo lógico para la gestión de
Gestionar la la configuración, incluyendo información sobre los tipos de
Configuración elementos de configuración, atributos de los elementos de
configuración, tipos de relaciones, atributos de relación y
códigos de estado.
2. Implantar políticas para el proceso y control de backups de
Base de Datos y S.I
DSS01 1. Desarrollar y mantener procedimientos operativos y
Gestionar las actividades relacionadas para dar apoyo a todos los
Operaciones servicios entregados
2. Programar, realizar y registrar las copias de respaldo de
96
acuerdo con las políticas y procedimientos establecidos.
3. Identificar y mantener una lista de activos de infraestructura
que necesiten ser monitorizados en base a la criticidad del
servicio y la relación entre los elementos de configuración y
los servicios que de ellos dependen.
4. Producir registros de eventos y retenerlos por un periodo
apropiado para asistir en investigaciones futuras
5. Identificar desastres naturales y causados por el ser humano
que puedan ocurrir en el área donde se encuentran las
instalaciones de TI. Evaluar el efecto potencial en las
instalaciones de TI.
6. Establecer un Plan de Contingencia en la GITIC.
DSS02 1. Definir esquemas de clasificación y priorización de
Gestionar las incidentes y peticiones de servicio y criterios para el
Peticiones y registro de problemas, para asegurar enfoques consistentes
los Incidentes en el tratamiento, informando a los usuarios y realizando
del Servicio análisis de tendencias.
2. Definir modelos de incidentes para errores conocidos con el
fin de facilitar su resolución eficiente y efectiva
DSS03 1. Manejar formalmente todos los problemas con acceso a
Gestionar los todos los datos relevantes, incluyendo información sobre el
Problemas sistema de gestión de cambios y los detalles de incidentes
sobre configuración/activos TI.
2. Mantener un catálogo de gestión de problemas único para
registrar e informar sobre problemas identificados y para
establecer pistas de auditoría sobre los procesos de gestión
de problemas, incluyendo el estado de cada problema (p. ej.,
abierto, reabierto, en progreso o cerrado).
DSS04 1. Identificar procesos de soporte al negocio esenciales y
Gestionar la servicios TI relacionados.
Continuidad 2. Realizar un análisis de impacto en el negocio para evaluar el
impacto en tiempo de una disrupción en funciones críticas
del negocio y el efecto que tendría en ellas
MEA01 1. Definir y revisar periódicamente los objetivos y métricas
Supervisar, con las partes interesadas para identificar cualquier detalle
Evaluar y significativo omitido y definir la razonabilidad de metas y
Valorar tolerancias
Rendimiento y 2. Utilizar herramientas y sistemas apropiados para el
Conformidad procesamiento y formateo de datos para análisis.
Tabla 57. Recomendaciones de Auditoría
97
CAPÍTULO VI
CONCLUSIONES Y
RECOMENDACIONES
98
6.1. CONCLUSIONES
Se aplicó los 5 principios del Modelo Cobit en la Gerencia de Informática
de la Municipalidad Provincial del Santa, donde se detectó deficiencias en
los procesos de evaluación siguientes: Proceso EDM, Proceso APO,
Proceso BAI, Proceso DSS y Proceso MEA.
La Gerencia de Informática de la Municipalidad Provincial del Santa posee
sistemas de información con niveles de seguridad muy bajos,
documentación de software escasa y a su vez los S.I necesitan soporte.
Se evaluaron 16 procesos de Gobierno y Gestión de los cuales, 6 se
encuentran en la escala de “Proceso No Alcanzado”, lo cual representa el
37.5%, 10 procesos se encuentran en la escala de “Proceso Parcialmente
Alcanzado” siendo el 62.5% del total y ningún proceso se encuentra
“Ampliamente Alcanzado”.
Se han redactado las recomendaciones para cada proceso evaluado, tomando
como base las pautas del Modelo Cobit y las necesidades de la
Municipalidad Provincial del Santa.
Se detectaron oportunidades de mejora en la Gerencia de Informática en
diversos aspectos como infraestructura, procesos y recursos humanos y
tecnológicos.
Como aspectos positivos la organización cuenta con la mayoría de sus
documentos de gestión actualizados, planes y políticas. La Gerencia cuenta
con un presupuesto para ejecución de planes y proyectos de T.I los cuales se
encuentran plasmados en el PETI (Plan Estratégico de Tecnologías de la
Información).
Se realizó un informe Final de Auditoría donde se detalló todos los
resultados y recomendaciones para la mejora de los procesos, S.I e
infraestructura.
6.2. RECOMENDACIONES
Después de haber realizado la auditoría se recomienda establecer reuniones de
trabajo que involucren a los funcionarios de la Municipalidad Provincial del Santa
para asegurar la entrega de beneficios con el adecuado uso de las tecnologías de T.I,
donde puedan exponer sus requerimientos para la elaboración de nuevos S.I e
integrar los que ya existen.
99
Implantar un Gobierno de TI donde se trabaje de la mano con la correcta gestión de
los Sistemas de información, preservando y resguardando la información como
activo valioso de la Municipalidad.
100
BIBLIOGRAFÍA
101
Ruiz, E.,(2017) Nuevas tendencias en los sistemas de información, Editorial Centro
de Estudios Ramon Areces SA.
102
ANEXOS
Anexo 1: Recursos Humanos de la Gerencia de Informática y TIC
103
Anexo 2: Registro de hardware informático.
104
Anexo 3: Sistemas de Información MPS
105
Anexo 4: Relación de Licencias de Software
106
Anexo 5: Centro de Datos MPS
107
Anexo 6: Equipos en mal estado en el Centro de Datos MPS
108
Anexo 7: Lector biométrico del Centro de Datos
109
Anexo 8: Informe Final de Auditoría
110
111