Cobit 5

UNIVERSIDAD NACIONAL DE INGENIERÍA
Facultad de Ciencias y Sistemas

Ingeniería de sistemas
Auditoría de sistema
Tema:
Propuesta para la gestión de la TI basada en COBIT 5 aplicada a la empresa
Nicaragua Agroindustrial S.A (NAISA).
Integrantes:
Br. Barberena Fuentes Samuel Mohasir 2016-0721U
Br. Mario José Ramos Mejía. 2015-0818U
Docente:
MSC. MBA. ING. EVELYN DEL CARMEN ESPINOZA ARAGON.
Grupo:
5TN1-IS
Managua, junio de 2021

Introducción
Actualmente los sistemas de información, los datos contenidos en ellas y la información
son los activos más valiosos para las organizaciones empresariales y se hace necesario
brindarles una protección adecuada frente a las posibles intrusiones derivadas de las
vulnerabilidades existentes en sus sistemas de seguridad.
Se hace de vital importancia que dentro de una organización se den a conocer las
vulnerabilidades y amenazas en contra de la información, a través de procesos que
permitan establecer un diagnóstico del estado actual de la seguridad de la información en
la organización, para esto se debe tener en cuenta las normativas vigentes y los procesos
de análisis y evaluación de riesgos, verificación de controles de seguridad existentes,
pruebas y monitoreo.
El presente trabajo tiene como objetivo realizar una evaluación sobre la gestión de la
tecnología de la información en la empresa Nicaragua Agroindustrial S.A, para esto se
utilizará la metodología COBIT 5 la cual permite establecer buenas prácticas y un marco
de trabajo para mantener una buena gestión de TI y gobierno TI.
1.- Contexto organizacional
1.1.- Descripción de la empresa

Actualmente la empresa cuenta con 3 líneas de Producción: Jugos ,Snacks, Salsas
y Aderezos, en las cuales se elaboran un total de 24 productos que son los
siguientes : Salsa Inglesa, Vinagres, Salsa de Tomate, Encurtidos en Vinagre,
Vainilla, Frambuesa, Pepinillos Agridulce, Achiote en pasta, Salsa China,
Chiles(Jalapeños y Cabro), Plátanos fritos, Papas fritas, Chicharrones, Maní
(Salado y Picante), Pasas y Nueces, Jugos (Naranja, Limón, Naranja Agria, Piña,
Te con limón, Ponche de frutas Y Toronja).
Estos Productos están dirigidos para comercializarse en el mercado Nacional, pero
pronto lo estarán para el extranjero. La categoría de la planta podría ubicarse entre
lo que es una planta artesanal y una semi-Industrial.
La empresa ya inicio el establecimiento del sistema de calidad, podría decirse que
se encuentra en un proceso de KAIZEN (Mejoramiento continuo). Entre los
avances alcanzados podemos citar los manuales de buenas prácticas
manufactureras, capacitación de personal y la introducción de nuevos equipos.
También la empresa se encuentra mejorando las instalaciones y otros aspectos
basándose en las recomendaciones realizadas por la consultoría del proyecto de
establecimiento de las BPM: IICA/EPAD/CONAFRUVE.
1.2.- Reseña histórica
La empresa nacida en 1948 en la ciudad de granada como una pequeña industria
casera produciendo en aquel entonces. Salsa inglesa, Salsa de tomate, Chile y
otros, con los cuales se dio a conocer en la cocina nacional.

En 1975 se industrializa y se introduce en gran parte del mercado nacional compitiendo
con productos extranjeros, para entonces la empresa se conocía como “Industrias Doña
Coco”.
En 1998 cambia la razón social a “Nicaragua agroindustrial, S.A.” (NAISA) debido al
aumento de las nuevas líneas de productos Jugos “Real”, Snacks “Don Montos”
conservando las salsas y aderezos con la marca “Doña coco”.
1.3.- Ubicación geográfica
Nicaragua Agroindustrial se encuentra ubicada en el Bo. Altagracia de la Comercial
Zumen 3 c. al Norte, 1 c al oeste y ½ c. al norte.

1.4.- Perfil estratégico
1.4.1.- Objetivos de la empresa
Fomentar el desarrollo agro-industrial y dar valor agregado a los productos
provenientes del agro.
1.4.2.- Misión
Ofrecer productos al público consumidor con los estándares de calidad
internacional, basados exclusivamente en la naturaleza de los productos
1.4.3.- Visión
Se considera a sí mismo como una empresa que promueve el desarrollo agro-
industrial, basándose principalmente en la explotación, proceso y conservación
de frutas y vegetales, así mismo la comercialización y exportación con valor
agregado y con un enfoque de desarrollo integral sostenible.
1.4.4.- Valores
Trabajo en equipo, con honestidad y respeto para sus trabajadores, clientes y
proveedores. Manteniendo un ambiente de trabajo, relación Ganar – Ganar
donde nuestra institución mantiene un trato equitativo y justo.
1.4.5.- Organigrama
La dirección de la empresa Nicaragua Agroindustrial S.A (NAISA) está a cargo
de una junta directiva y un gerente general los cuales se encuentran establecidos
estatuaria y reglamentaria mente como los órganos de dirección. A partir de aquí

se establecen tres áreas de operación y se desprende la estructura organizacional
como tal.
2.- Metodología COBIT 5
El COBIT es un modelo para auditar la gestión y control de los sistemas de

información y tecnología, orientado a todos los sectores de una organización, es decir,
administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. El
COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y
la seguridad IT y que abarca controles específicos de IT desde una perspectiva de
negocios.
Las siglas COBIT significan Objetivos de Control para Tecnología de Información y
Tecnologías relacionadas (Control Objectives for Information Systems and related
Technology). El modelo es el resultado de una investigación con expertos de varios
países, desarrollado por ISACA (Information Systems Audit and Control Association).
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma
en que trabajan los profesionales de tecnología. Vinculando tecnología informática y
prácticas de control, el modelo COBIT consolida y armoniza estándares
de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales
de control y los auditores.
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los
computadores personales y las redes. Está basado en la filosofía de que los recursos TI
necesitan ser administrados por un conjunto de procesos naturalmente agrupados para
proveer la información pertinente y confiable que requiere una organización para lograr
sus objetivos.
Estructura
La estructura del modelo COBIT propone un marco de acción donde se evalúan los
criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos
que comprenden la tecnología de información, como por ejemplo el recurso humano,
instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los
procesos involucrados en la organización.
"La adecuada implementación de un modelo COBIT en una organización, provee una
herramienta automatizada, para evaluar de manera ágil y consistente el cumplimiento de
los objetivos de control y controles detallados, que aseguran que los procesos y recursos
de información y tecnología contribuyen al logro de los objetivos del negocio en
un mercado cada vez más exigente, complejo y diversificado.
Dominios COBIT
El conjunto de lineamientos y estándares internacionales conocidos como COBIT, define
un marco de referencia que clasifica los procesos de las unidades de tecnología de
información de las organizaciones en cuatro "dominios" principales, a saber:
 PLANIFICACION Y ORGANIZACION: Este dominio cubre la estrategia y

las tácticas y se refiere a la identificación de la forma en que la tecnología de
información puede contribuir de la mejor manera al logro de los objetivos del
negocio. Además, la consecución de la visión estratégica necesita ser planeada,
comunicada y administrada desde diferentes perspectivas. Finalmente, deberán
establecerse una organización y una infraestructura tecnológica apropiadas.
 ADQUISION E IMPLANTACION: Para llevar a cabo la estrategia de TI,
las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como
implementadas e integradas dentro del proceso del negocio. Además, este dominio
cubre los cambios y el mantenimiento realizados a sistemas existentes.
 SOPORTE Y SERVICIOS: En este dominio se hace referencia a la entrega de
los servicios requeridos, que abarca desde las operaciones tradicionales hasta
el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de
proveer servicios, deberán establecerse los procesos de soporte necesarios. Este
dominio incluye el procesamiento de los datos por sistemas de aplicación,
frecuentemente clasificados como controles de aplicación.
 MONITOREO: Todos los procesos necesitan ser evaluados regularmente a
través del tiempo para verificar su calidad y suficiencia en cuanto a los
requerimientos de control.
Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos
de información, como de la tecnología que la respalda. Estos dominios y objetivos de
control facilitan que la generación y procesamiento de la información cumplan con las
características de efectividad, eficiencia, confidencialidad, integridad, disponibilidad,
cumplimiento y confiabilidad.
PLANEAR Y ORGANIZAR
 Definir el plan estratégico de TI.
Un plan estratégico es un plan de acción que define todo aquello que quiere
conseguir en tu empresa y como lo vas a conseguir
El presente plan estratégico está alineado con lo que es la empresa y con lo que
quiere ser. Se desarrolla sobre la base de cuatro áreas de actuación.
 Planificación financiera
 Cliente
 Organización interna
 Personal
Planificación financiera
Objetivos Acciones Indicadores Fechas
Aumentar  Determinar cada mes de Enero el Objetivo Anual
ingresos Comercial del año Enero a
 Elaborar en el último trimestre del año, diciembre
dentro del plan de gestión, un Plan de
Ventas con actuaciones concretas.
 Seguimiento mensual sobre el plan de
ventas
 Importe de ventas realizadas
 Desviaciones
Mantener  Elaboración de presupuesto anual de Anual

rentabilidad explotación Enero a
 Establecer un sistema de control de costes diciembre
 Planificar cada mes de enero la utilización
de recursos
 Elaboración de los estados financieros
Mantener el  Establecer criterios de venta Anual

margen  Seguimiento de márgenes Enero a
 Seguimiento del % margen bruto diciembre
Cliente
Agilidad  Establecer tiempos máximos de Abril a
de respuesta a los clientes Junio
respuesta  Identificar y clasificar las consultas,
precios, obras, etc.
 Analizar las causas de no resolver a
tiempo las consultas
 Numero de respuestas no satisfechas
Relación  Crear una base de datos con nuestra N de Anual
calidad- gama de productos y similares que reclamaciones
precio hay en el mercado de calidad
 Comparar nuestros productos con
los de la competencia, tanto en
calidad como en precio
Gama de  Decidir los productos que se van a Enero a
producto comercializar y cuales no Septiembre
 Número de reclamaciones por mal
servicio
 Objetivos mínimos para cada gama
de producto
Organización Interna
Conocimiento  Realizar una encuesta a los Encuesta de Anual
de la clientes, comparándonos con la clientes
competencia competencia
 Preparar una base de datos con
productos similares a los nuestros,
suministrados por la competencia
Impulsar la  Identificar y clasificar a los Incremento Febrero a
gestión clientes esporádicos de ingresos julio
comercial  Concretar un plan de visitas por clientes
concertadas con clientes esporádicos
esporádicos
Impulso de la  Identificar e implantar los Anual
calidad procesos necesarios para el enero a
funcionamiento de la empresa diciembre
 N de procesos implantados al
cabo del año
 N de sugerencias de mejora en los
procesos
Gestión del  Identificar la información que Anual
conocimiento aporta el programa de gestión
 N de demandas no satisfechas con
la información
 N de sugerencias de mejora del
sistema de información
Personal
Formación  Identificar las áreas de formación Anual
necesarias
 Impulsar la realización de acciones que
ya están diseñadas en los distintos
objetivos y procesos programados
 Aplicación comercial de dichos
conocimientos.
 Horas de formación en
productos/personas año.
Potenciar la  Elaborar un manual de Anual
comunicación comportamientos para la comunicación
 Recepción de información: recoger
iniciativas del personal
 Envío de información sobre planes de
actuación.
 Nº de reuniones del comité de dirección
 Nº de reuniones de los equipos de
procesos
 Nº de reuniones con el personal
 Definir la arquitectura de la información

Una vez recolectada la información sobre la existencia, administración y operación de los
sistemas de información, y de la identificación de necesidades de comunicación de la
organización se diseña la arquitectura de sistemas de información en la cual se pretende
organizar los sistemas de acuerdo a su carácter: misional, apoyo, direccionamiento y de
servicios de información, y en los diferentes modelos de arquitectura, de tal manera que
se garantice el flujo de información para la gestión, control y toma de decisiones.
Arquitectura de Sistemas de Información: Describe cada uno de los sistemas de

información y las relaciones existentes entre estos. Se realiza una ficha técnica que debe
incluir las tecnologías y productos sobre los cuales está construido el sistema, su
arquitectura de software, su modelo de datos, la información de desarrollo y de soporte,
y los requerimientos de servicios tecnológicos, entre otros elementos que se consideren
pertinentes.
Arquitectura de Integración: permite detallar las relaciones entre los sistemas de
información, y permite describir la manera en que los sistemas comparten información y
se sincronizan entre ellos. Esta arquitectura debe expresar además la forma como los
sistemas de información se relacionan con el software de integración (buses de servicios),
de sincronización (motores de procesos), de datos (manejadores de bases de datos) y de
interacción (portales), entre otros.
Arquitectura de Sistemas de Referencia: Es un diseño de alto nivel, que se utiliza como
una plantilla para guiar el bosquejo de otras arquitecturas más específicas. Esta plantilla
incluye los principios de diseño que la guían, las decisiones de alto nivel que se deben
respetar, los componentes que hacen parte de la solución, sus relaciones tanto estáticas
como dinámicas, las recomendaciones tecnológicas y de desarrollo, las herramientas
específicas de apoyo a la construcción y los componentes existentes reutilizables. El
concepto de Arquitectura de Referencia se puede utilizar como base del diseño detallado
de arquitecturas de solución, de software, de información o de plataforma tecnológica.
Arquitectura de Sistemas de Solución: Define la manera en que se deben ajustar las
arquitecturas actuales (información, servicios tecnológicos y sistemas de información)
para resolver cuando aparece un nuevo requerimiento que afecta varios sistemas de
información o varias arquitecturas, se elabora una arquitectura de solución. Esta
arquitectura de solución debe respetar las arquitecturas de referencia seleccionadas.
Permite avalar que los problemas se solucionan con una visión amplia y de alto nivel, y
que se tiene en cuenta el impacto de las decisiones que se toman.
 Determinar la dirección tecnológica.

Objetivo: Aprovechar al máximo de la tecnología disponible o tecnología emergente,
satisfaciendo los requerimientos de negocio, a través de la creación y mantenimiento de
un plan de infraestructura tecnológica, tomando en consideración:
 La capacidad de adecuación y evolución de la infraestructura actual, que deberá
concordar con los planes a largo y corto plazo de tecnología de información y
debiendo abarcar aspectos tales como arquitectura de sistemas, dirección
tecnológica y estrategias de migración.
 El monitoreo de desarrollos tecnológicos que serán tomados en consideración
durante el desarrollo y mantenimiento del plan de infraestructura tecnológica.
 Las contingencias (por ejemplo, redundancia, resistencia, capacidad de
adecuación y evolución de la infraestructura), con lo que se evaluará
sistemáticamente el plan de infraestructura tecnológica.
 Planes de adquisición, los cuales deberán reflejar las necesidades identificadas en
el plan de infraestructura tecnológica.
 Definir procesos, organización y relaciones de TI.

Una institución que debe arraigarse a un área de Tecnología de la Información TI, se debe
definir tomando en cuenta los requerimientos de personal, funciones, rendición de
cuentas, autoridad, roles, responsabilidades y supervisión. NAISA está impregnada en un
marco de trabajo de procesos de Tecnología de la Información TI que debe asegurar la
transparencia y el control, así como el involucramiento de los altos ejecutivos y directivos
de la empresa. Deben existir procesos, políticas de administración y procedimientos para
todas las funciones, con atención específica en el control, el aseguramiento de la calidad,
la administración de riesgos, la seguridad de la información, la propiedad de datos y de
sistemas y la segregación de funciones.
Objetivos:
 Establecer un Marco de Trabajo de Procesos de Tecnológica de la Información.
 Crear un Comité Estratégico de Tecnológica de la Información.
 Instituir un Comité Directivo de Tecnológica de la Información.
 Ubicación Organizacional de la Función de Tecnológica de la Información.
 Definir la Estructura Organizacional.
 Establecimiento de Roles y Responsabilidades.
 Responsabilidad de Aseguramiento de Calidad de Tecnológica de la
Información.
 Segregación de Funciones.
 Designar personal del área de Tecnología de la Información.
 Delegar personal Clave de Tecnología de la Información.
 Realizar Manual de Políticas y Procedimientos para Personal Contratado.
 Administrar la inversión en TI.

Objetivo: tiene como finalidad la satisfacción de los requerimientos de negocio,
asegurando el financiamiento y el control de desembolsos de recursos financieros.
 Su realización se concreta a través presupuestos periódicos sobre inversiones y
operaciones establecidas y aprobados por el negocio, teniendo en cuenta:
 Las alternativas de financiamiento, se deberán investigar diferentes alternativas
de financiamiento.
 El control del gasto real, se deberá tomar como base el sistema de contabilidad
de la organización, mismo que deberá registrar, procesar y reportar
rutinariamente los costos asociados con las actividades de la función de servicios
de información
 La justificación de costos y beneficios, deberá establecerse un control gerencial
que garantice que la prestación de servicios por parte de la función de servicios
de información se justifique en cuanto a costos. Los beneficios derivados de las
actividades de TI deberán ser analizados en forma similar.
 Comunicar las aspiraciones y la dirección de la gerencia.

Objetivo: Asegura el conocimiento y comprensión de los usuarios sobre las aspiraciones
del alto nivel (gerencia), se concreta a través de políticas establecidas y transmitidas a la
comunidad de usuarios, necesitándose para esto estándares para traducir las opciones
estratégicas en reglas de usuario prácticas y utilizables. Toma en cuenta:
 Los códigos de ética / conducta, el cumplimiento de las reglas de ética, conducta,
seguridad y estándares de control interno deberá ser establecido por la Alta
Gerencia y promoverse a través del ejemplo.
 Las directrices tecnológicas
 El cumplimiento, la Gerencia deberá también asegurar y monitorear la duración
de la implementación de sus políticas.
 El compromiso con la calidad, la Gerencia de la función de servicios de
información deberá definir, documentar y mantener una filosofía de calidad,
debiendo ser comprendidos, implementados y mantenidos por todos los niveles
de la función de servicios de información.
 Las políticas de seguridad y control interno, la alta gerencia deberá asegurar que
esta política de seguridad y de control interno especifique el propósito y los
objetivos, la estructura gerencial, el alcance dentro de la organización, la
definición y asignación de responsabilidades para su implementación a todos los
niveles y la definición de multas y de acciones disciplinarias asociadas con la
falta de cumplimiento de estas políticas
Directriz Estratégica 1: Afianzar un modelo institucional flexible, ágil y eficaz.
1. Internalizar la misión, la visión y los valores.
2. Involucrar a los colaboradores en la implementación y gestión del plan
estratégico.
3. Ajustar y alinear la estructura organizacional y su funcionamiento a los
objetivos de la institución.
4. Fortalecer la comunicación interna.
5. Promover el enfoque sistémico, la transversalidad, la articulación inter
programática y la integración de disciplinas.
6. Mejorar los mecanismos de prospección de las diferentes demandas
tecnológicas y tener una gestión activa de los mismos.
7. Establecer planes anuales de gestión que permitan definir con claridad
prioridades institucionales, equipos de trabajo y personas, alineando y
flexibilizando la asignación de todos los recursos a las prioridades
establecidas.
8. Generar mecanismos más flexibles en la aplicación de recursos en la
investigación.
9. Consolidar el sistema integrado de gestión, incorporando la definición
de metas e indicadores para las distintas áreas de actuación del
instituto, y en particular un sistema de planeamiento, seguimiento y
evaluación en los procesos de investigación.
10. Mejorar el proceso de gestión de desarrollo y mantenimiento de la
infraestructura y de los servicios.
11. Profundizar la Política de Calidad de la Institución, promoviendo su
aplicación y gestión en todas las áreas de actividad, y con énfasis en la
orientación a los usuarios, el impacto en la sociedad y en el medio
ambiente.
12. Desarrollar sistemas de promoción, gestión y evaluación de los activos
intangibles del Instituto, en particular en lo referente a la gestión del
conocimiento y del capital intelectual.
13. Desarrollar y potenciar el uso de la infraestructura informática y de
telecomunicaciones, asegurando la disponibilidad y la calidad de los
diferentes servicios prestados.
Directriz Estratégica 2: Fortalecer la imagen de la empresa y su vinculación con
la sociedad.
1. Preservar y fortalecer el reconocimiento institucional y la
transparencia de la gestión.
2. Sistematizar la rendición de cuentas institucional al conjunto de los
actores sociales, incluyendo la evaluación de los impactos
económicos, sociales y ambientales de la producción de tecnología,
así como de su calidad científica.
3. Desarrollar una política de responsabilidad social empresarial y
promover acciones consecuentes y coordinadas con distintos actores
del sistema.
4. Mejorar la participación de los actores relevantes del agro negocio
nacional, entre otras formas, a través del fortalecimiento de los
Consejos Asesores Regionales y los Grupos de Trabajo, en el proceso
de planeamiento, seguimiento y evaluación de la investigación y en
las actividades de difusión y transferencia de tecnología.
5. Potenciar el valor de la marca doña coco y la promoción de sus
productos.
6. Establecer mecanismos ágiles de difusión del conocimiento generado.
7. Implementar la Política Integrada de Comunicación, Transferencia y
Vinculación Tecnológica, generando modalidades dinámicas e
interactivas de relacionamiento con los diferentes perfiles de usuarios.
8. Contribuir a la comprensión de las temáticas agroalimentarias y
ambientales en distintos sectores de la sociedad.
Directriz Estratégica 3: Incentivar el desarrollo integral de los colaboradores, para
gestionar la estrategia de la organización y adaptarse a los cambios del entorno.
1. Establecer prioridades de trabajo alineadas con la planificación
estratégica y los planes anuales.
2. Promover el desarrollo de masas críticas en áreas prioritarias para la
organización.
3. Promover la interdisciplinariedad e integración de perfiles
profesionales complementarios.
4. Fomentar la capacidad individual y colectiva de articulación con
centros de excelencia a nivel internacional.
5. Profundizar los planes de capacitación y formación continua.
6. Generar acciones que ayuden al desarrollo de los liderazgos y la
capacidad de trabajo en equipo.
7. Alinear la política de remuneraciones con la política institucional, las
disponibilidades y la realidad del mercado.
8. Consolidar y ajustar el sistema de evaluación de desempeño.
9. Establecer una política consistente y sistemática de reclutamiento,
retención y desarrollo del capital humano.
10. Estimular la cultura participativa como eje del aprendizaje
institucional.
11. Consolidar los avances de la política de salud ocupacional.
Directriz Estratégica 4: Asegurar la sostenibilidad económica de la Institución y
su equilibrio dinámico de largo plazo.
1. Promover la utilización de instrumentos y plataformas tecnológicas
que apoyen la gestión dinámica de la estrategia institucional, tales
como mapas estratégicos y cuadros de mando integral.
2. Incentivar la mejora de gestión, calidad y eficiencia de los procesos.
3. Profundizar la planificación de las inversiones para sustentar el
mantenimiento de las capacidades y el desarrollo de nuevas
plataformas.
4. Propender a la diversificación de la estructura de financiamiento.
5. Fortalecer y promover instrumentos de incentivo y financiamiento de
la investigación, atendiendo en particular al desarrollo de las alianzas
público - privadas.
6. Flexibilizar y dinamizar la estructura de aplicación de recursos.
Directriz Estratégica 5: Desarrollar modelos proactivos de cooperación.
1. Fortalecer las acciones en inteligencia competitiva y vigilancia
tecnológica.
2. Potenciar las asociaciones con generadores y/o oferentes, públicos o
privados, de tecnologías de punta.
3. Contribuir a articular la institucionalidad local para trabajar con un
enfoque de desarrollo territorial.
4. Desarrollar redes nacionales e internacionales en investigación,
desarrollo e innovación.
5. Potenciar vínculos permanentes con centros académicos de excelencia
para la formación continua e intercambio académico en áreas
estratégicas.
6. Enfatizar liderazgo técnico institucional para generar acuerdos con
organizaciones nacionales e internacionales que oferten tecnología en
plaza o en la región.
7. Afianzar asociaciones para la transferencia de tecnologías protegidas.
Directriz Estratégica 6: Fortalecer la calidad científico - técnica de la
investigación.
1. Establecer prioridades claras en la agenda de investigación.
2. Mejorar y generalizar la evaluación de la calidad científica y técnica
de los proyectos de investigación.
3. Fomentar el uso intensivo de herramientas de modelación y
simulación.
4. Promover la jerarquización de la investigación institucional a través de
su comunicación en publicaciones arbitradas.
5. Propender a la acreditación de los laboratorios de acuerdo a normas
técnicas nacionales e internacionales.
6. Impulsar procedimientos para lograr la acreditación de productos y
procesos tecnológicos.
P06: Comunicar las aspiraciones y la dirección de la gerencia
Cumple(1)
cumple(0)
Niveles de los modelos de madurez

No
Nivel 0 No La gerencia no ha establecido un ambiente positivo de

existente control de información. No hay reconocimiento de la
necesidad de establecer un conjunto de políticas
procedimientos, estándares y procesos de
cumplimiento.
La gerencia es reactiva al resolver los requerimientos

Nivel 1 del ambiente de información. Los procesos de
Inicial elaboración, comunicación y cumplimiento son
informales e inconsistentes.
La gerencia tiene un entendimiento implícito de las

necesidades y de los requerimientos de un ambiente de
control de información efectivo, aunque las prácticas
Nivel 2
son en su mayoría informales. La gerencia ha
Repetible
comunicado la necesidad de políticas, procedimientos
pero intuitiva
y estándares de control, pero la elaboración se delega
la discreción de gerentes y áreas de negocio
individuales.
La gerencia ha elaborado, documentado y comunicado

un ambiente completo de administración de calidad y
control de la información, que incluye un marco para
las políticas, procedimientos y estándares. El proceso
Nivel 3 de elaboración de políticas es estructurado, mantenido
Proceso y conocido por el personal, y las políticas,
Definido procedimientos y estándares existentes son
razonablemente sólidos y cubren temas clave. La
gerencia ha reconocido la importancia de la conciencia
de la seguridad de TI y ha iniciado programas de
concientización.
La gerencia asume la responsabilidad de comunicar las

políticas de control interno y delega la responsabilidad
y asigna suficientes recursos para mantener el
ambiente en línea con los cambios significativos. Se ha
Nivel 4 establecido un ambiente de control de información
Administrado positivo y proactivo. Se ha establecido un juego
y medible completo de políticas 70 procedimientos y estándares,
los cuales se mantienen y comunican, y forman un
componente de buenas prácticas internas. Se ha
establecido un marco de trabajo para la implantación y
las verificaciones subsiguientes de cumplimiento.
El ambiente de control de la información está alineado

con el marco administrativo estratégico y con la visión,
y con frecuencia se revisa, actualiza y mejora. Se
asignan expertos internos y externos para garantizar
Nivel 5 que se adoptan las mejores prácticas de la industria,
Optimizado con respecto a las guías de control y a las técnicas de
comunicación. El monitoreo, la auto-evaluación y las
verificaciones de cumplimiento están extendidas en la
organización. La tecnología se usa para mantener
bases de conocimiento de políticas y de
concientización y para optimizar la comunicación,
usando herramientas de automatización de oficina y de
entrenamiento basado en computadora.
GRADO DE MADUREZ: El proceso de comunicación de los

objetivos y las aspiraciones se encuentran en el nivel 0.
Observación OBJETIVOS NO CUMPLIDOS La gerencia no reconoce la

necesidad de implementar políticas, procedimientos, estándares y
pasos a seguir para el manejo de las TI, los mismos que serían
impartidos a los usuarios de la empresa.
Recomendaciones PO6: El objetivo primordial de un modelo de madurez es el ascender

a un grado de madurez superior, por esto para que el proceso PO6 ascienda a un grado de
madurez 1, como estrategia a corto plazo y conforme lo establece COBIT, se recomienda
lo siguiente:
La Gerencia General debe plantear políticas, procedimientos y estándares sobre los
objetivos de la empresa, los mismos que deberían ser siempre impartidos a todos los
miembros de la empresa, siendo estos elaborados eficientemente y comunicados
formalmente, para que de esta manera el usuario sea consciente de todo lo que la empresa
brinda y también para que las aspiraciones de la compañía sean reconocidas. La estrategia
a largo plazo tener las directivas tecnológicas vinculadas con aspiraciones de negocios
sean claramente establecidas, definidas en código de ética/conducta para que el personal
de la empresa conozca, un buen compromiso con la calidad de los servicios prestados,
políticas de seguridad y de control interno. Se definan correctamente programas continuos
de comunicaciones y que se provean de guías y verificaciones de cumplimiento sobre las
actividades realizadas dentro de la empresa.
 Administrar recursos humanos de TI.

Objetivo: Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo
así los requerimientos de negocio, a través de técnicas sólidas para administración de
personal, tomando en consideración:
 El reclutamiento y promoción, deberá tener como base criterios objetivos,
considerando factores como la educación, la experiencia y la responsabilidad.
 Los requerimientos de calificaciones, el personal deberá estar calificado,
tomando como base una educación, entrenamiento y o experiencia apropiados,
según se requiera
 La capacitación, los programas de educación y entrenamiento estarán dirigidos a
incrementar los niveles de habilidad técnica y administrativa del personal.
 La evaluación objetiva y medible del desempeño, se deberá asegurar que dichas
evaluaciones sean llevadas a cabo regularmente según los estándares establecidos
y las responsabilidades específicas del puesto. Los empleados deberán recibir
asesoría sobre su desempeño o su conducta cuando esto sea apropiado.
Para maximizar las contribuciones del personal la dirección de recursos humanos deberá:
 Crear, mantener y desarrollar un contingente de Recursos Humanos con habilidad y mo-

tivación para realizar los objetivos de la organización.
 Desarrollar condiciones organizacionales de aplicación, ejecución satisfacción plena de
Recursos Humanos y alcance de objetivos individuales.
 Alcanzar eficiencia y eficacia con los Recursos Humanos disponibles.
 Contribuir al éxito de la empresa.
 Responder ética y socialmente a los desafíos que presenta la sociedad en general y reducir
al máximo las tensiones o demandas negativas que la sociedad pueda ejercer sobre la
organización.
 Apoyar las aspiraciones de los miembros de la empresa.
 Cumplir con las obligaciones legales.
 Rediseñar la función corporativa de Recursos Humanos para convertirla en una consul-
taría de la dirección de la empresa sobre contratación, formación, gestión, retribución,
conservación y desarrollo de los activos humanos de la organización
 Administrar calidad.
Se debe elaborar y mantener un sistema de administración de calidad, el cual incluya
procesos y estándares probados de desarrollo y de adquisición. Esto se facilita por medio
de la planeación, implantación y mantenimiento del sistema de administración de calidad,
proporcionando requerimientos, procedimientos y políticas claras de calidad.
Objetivos de Control:
 Implementar un Sistema de Administración de Calidad.
 Evaluar con Estándares y Prácticas de Calidad.
 Implementar Estándares de Desarrollo y de Adquisición.
 Implementar el proceso de Mejora Continua.
 Realizar Medición, Monitoreo y Revisión de la Calidad.
Hoy en día disponer de un Sistema de Gestión de Calidad que garantice el control de la
empresa, es una necesidad. La norma ISO 9001 está pensada para implicar a todo el
personal en la gestión de la empresa, con el principal objetivo de conseguir la satisfacción
del cliente. Las empresas que consiguen cumplir con las expectativas del cliente de los
servicios contratados, sin duda conseguirán una mayor fidelización de los mismos.
P08: Administrar la Calidad

Cumple(1)
cumple(0)
No
La administración carece de un sistema de un proceso

de planeación y de una metodología de ciclo de vida
Nivel 0 No de desarrollo de sistemas. La alta dirección y el
existente equipo de TI no reconocen que un programa de
calidad es necesario. Nunca se revisa la calidad de los
proyectos y las operaciones.
Existe conciencia por parte de la dirección de la

Nivel 1 Inicial necesidad de QMS (Sistema de Gestión de Calidad).
La dirección realiza juicios informales sobre calidad.
Nivel 2 Se establece un programa para definir y monitorear

Repetible las actividades de QMS dentro de TI. Las actividades
pero intuitiva de QMS que ocurren están enfocadas en iniciativas
orientadas a procesos, no a procesos de toda la
organización
La dirección ha comunicado un proceso definido de

QMS e involucra a TI a la gerencia del usuario final.
Un programa de educación y entrenamiento está
surgiendo para instruir a todos los niveles de la
Nivel 3 organización sobre el tema de la calidad. Se han
Proceso definido expectativas básicas de calidad y estas se
Definido comparten dentro de los proyectos y la organización
de TI. Están surgiendo herramientas y prácticas
comunes para administrarla calidad. Las encuestas de
73 satisfacción de la calidad se planean y
ocasionalmente se aplican
El QMS está incluido en todos los procesos,

incluyendo aquellos que dependen de terceros. Se
está estableciendo una base de conocimiento
estandarizada para las métricas de calidad. Se usan
métodos de análisis de costo/beneficio para justificar
las iniciativas de QMS. Surge el uso de bechmarking
Nivel 4 contrala industria y con los competidores. Se ha
Administrado institucionalizado un programa de educación y
y medible entrenamiento para educar a todos los niveles de la
organización en el tema de la calidad. Se conduce
encuestas de satisfacción de calidad de manera
consistente. Existe un programa bien estructurado y
estandarizado para medir la calidad. La gerencia está
construyendo una base de conocimiento para las
métricas de calidad.
El QMS está integrado y se aplica a todas las
actividades de TI. Los procesos de QMS son flexibles
y adaptables a los cambios en el ambiente de TI. Se
mejora la base de conocimientos para métricas de
calidad con las mejores prácticas externas. Se realiza
Nivel 5
bechmarking contra estándares externos
Optimizado
rutinariamente. Las encuestas de satisfacción de la
calidad constituyen un proceso constante y conducen
al análisis de causas raíz y medidas de mejora. Existe
aseguramiento formal sobre el nivel de los procesos
de administración de la calidad.
GRADO DE MADUREZ. El proceso de asegurar el 74

cumplimiento de los requerimientos externos se encuentra en el nivel
1.
Observación
OBJETIVOS NO CUMPLIDOS. En la empresa no se siguen
procesos formales para mantener el cumplimiento de las
reglamentaciones, contratos y leyes que impacten en la empresa
Recomendaciones PO8: Para que el proceso PO8 ascienda a un grado de madurez 2, como
estrategia a corto plazo y conforme lo establece la metodología COBIT 4.1.
Se debe establecer procesos para el cumplimiento de las reglamentaciones, contratos y

leyes que impacten a la empresa y que sean conocidos por toda la empresa.
La empresa debe dar cumplimiento a las leyes, regulaciones y contratos establecidos para
las compañías. También que exista un monitoreo de los procesos legales y regulatorios
que se van llevando en la empresa, se deberá llevar un control sobre la propiedad
intelectual de los miembros en la empresa.
 Evaluar y administrar riesgos de TI

Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la
provisión de servicios de TI
Para ello se logra la participación de la propia organización en la identificación de riesgos
de TI y en el análisis de impacto, tomando medidas económicas para mitigar los riesgos
y se toma en consideración:
 Identificación, definición y actualización regular de los diferentes tipos de riesgos
de TI (por ej.: tecnológicos, de seguridad, etc.) de manera de que se pueda
determinar la manera en la que los riesgos deben ser manejados a un nivel
aceptable.
 Definición de alcances, límites de los riesgos y la metodología para las
evaluaciones de los riesgos.
 Actualización de evaluación de riesgos
 Metodología de evaluación de riesgos
 Medición de riesgos cualitativos y/o cuantitativos
 Definición de un plan de acción contra los riesgos para asegurar que existan
controles y medidas de seguridad económicas que mitiguen los riesgos en forma
continua.
 Aceptación de riesgos dependiendo de la identificación y la medición del riesgo,
de la política organizacional, de la incertidumbre incorporada al enfoque de
evaluación de riesgos y de que tan económico resulte implementar protecciones
y controles.
PO9: Evaluar y administrar los riesgos de TI.

Cumple(1)
cumple(0)

No
La evaluación de riesgos para los procesos y las

decisiones de negocio no ocurre. La organización no
toma en cuenta los impactos en el negocio asociados
Nivel 0 No a las vulnerabilidades de seguridad y las
existente incertidumbres del desarrollo de proyectos. La
administración de riesgos no se ha identificado como
algo relevante para adquirir soluciones de TI y para
prestar servicios de TI.
La organización está consciente de sus
responsabilidades y obligaciones legales y
contractuales, pero considera los riesgos de TI de
manera ad hoc, sin seguir procesos o políticas
definidas. Tienen lugar evaluaciones informales del
riesgo de proyecto a medida que lo determina cada
proyecto. No es probable que las evaluaciones de
riesgo sean identificadas específicamente dentro del
plan de un proyecto o a ser asignado a
administradores específicos involucrados en el
Nivel 1 Inicial proyecto. La administración de TI no especifica
responsabilidad por la administración del riesgo en
las descripciones de puestos de trabajo u otro medio
informal. Los riesgos específicos relacionados con TI
como son la seguridad, disponibilidad e integridad
son ocasionalmente 76 consideradas por proyecto.
Los riesgos relacionados con TI que afectan las
operaciones cotidianas se discuten con poca
frecuencia en las reuniones de la administración.
Cuando se han considerado los riesgos, la mitigación
es inconsistente.
Ha surgido un entendimiento de que los riesgos de TI

son importantes y que es necesario considerarlos.
Existe algún enfoque de evaluación de riesgos, pero
el proceso es todavía inmaduro y está en desarrollo.
La evaluación es usualmente a un nivel elevado y
típicamente se aplica sólo a los proyectos
Nivel 2
importantes. La evaluación de las operaciones en
Repetible
curso depende principalmente de los administradores
pero intuitiva
de TI que lo presentan como un punto de la agenda,
lo cual a menudo sólo ocurre cuando surgen
problemas. La administración de TI generalmente no
tiene definidos procedimientos o descripciones de
puestos de trabajo que se encarguen de la
administración del riesgo.
La política de manejo del riesgo a nivel de toda una

organización define cuándo y cómo llevar a cabo
evaluaciones de riesgo. La evaluación del riesgo
sigue un proceso definido que está documentado y
disponible para todo el personal a través de
Nivel 3 entrenamiento. Las decisiones de seguir el proceso y
Proceso recibir entrenamiento se dejan a la discreción de las
Definido personas. La metodología es convincente y saludable,
y asegura que los riesgos clave del negocio
probablemente sean identificados. Las decisiones de
seguir el proceso se dejan a los administradores
individuales de TI y no hay procedimiento para
asegurar que todos los proyectos 77 estén cubiertos o
que la operación en curso es examinada en busca de
riesgos de manera regular.
La evaluación del riesgo es un procedimiento

estándar y las excepciones a seguir el procedimiento
serían anunciadas por la administración de TI. Es
probable que la administración del riesgo sea una
función definida de la administración con
responsabilidad a nivel general. El proceso es
adelantado y el riesgo es evaluado a nivel del
proyecto individual y también regularmente respecto
a la operación general de TI. Se advierte a la
administración sobre los cambios en el entorno de TI
que podrían afectar significativamente los escenarios
Nivel 4
de riesgo como por ejemplo una mayor amenaza
Administrado
proveniente de la red o tendencias técnicas que
y medible
afectan la integridad de la estrategia de TI. La
administración puede monitorear la posición de
riesgo y tomar decisiones inteligentes respecto a la
exposición que está dispuesta a aceptar. La gerencia
general ha determinado los niveles de riesgo que la
organización tolerará y tiene medidas estándar de
proporciones de riesgo / rendimiento. Presupuestos
de administración para proyectos de administración
de riesgos operativos para reevaluar los riesgos
regularmente. Está establecida una base de datos de
administración de riesgos
La evaluación de los riesgos se ha desarrollado hasta

una etapa en que un proceso estructurado, en toda la
organización, es ejecutado, seguido y bien
administrado. La tormenta de ideas y el análisis de la
causa que originó el riesgo, que involucra a personas
expertas, se aplican en toda la organización. La
captura, análisis y reporte de datos de administración
Nivel 5
de riesgos están altamente automatizados. El
Optimizado
asesoramiento se obtiene de los jefes en el terreno y
la organización de TI participa en grupos colegas para
intercambiar experiencias. La administración del
riesgo está verdaderamente integrada en todas las
operaciones y negocios de TI, es bien aceptada e
involucra extensamente a los usuarios de servicios de
TI.
GRADO DE MADUREZ. El proceso de evaluar y administrar los

riesgos de TI se encuentra en el nivel 0.
Observación OBJETIVOS NO CUMPLIDOS. En la empresa no existe,

administración de riesgos que le permita identificar problemas,
llevando a la misma a incumplir con ciertos objetivos y metas
establecidas en la empresa.
Recomendaciones PO9: El proceso se encuentra en el Nivel 0, como estrategia a corto
plazo y conforme lo establece COBIT, La empresa deberá tomar en cuenta a los riesgos
de TI de manera inicial. Se debe evaluar un plan de riesgo, en el cual se debe analizar la
seguridad, disponibilidad e integridad. Como estrategia a largo Plazo se debe tener una
administración del riesgo, tener un control en los tipos de riesgos de TI. Tener un plan de
acción de riesgos y que exista un compromiso con el análisis y evaluación de los mismos,
logrando con ello que la empresa pueda responder a las amenazas que se podría presentar.
 Administrar proyectos
Objetivo: Establecer prioridades y entregar servicios oportunamente y de acuerdo al
presupuesto de inversión
Para ello se realiza una identificación y priorización de los proyectos en línea con el plan
operacional por parte de la misma organización. Además, la organización deberá adoptar
y aplicar sólidas técnicas de administración de proyectos para cada proyecto emprendido
y se toma en consideración:
 Definición de un marco de referencia general para la administración de proyectos
que defina el alcance y los límites del mismo, así como la metodología de
administración de proyectos a ser adoptada y aplicada para cada proyecto
emprendido. La metodología deberá cubrir, como mínimo, la asignación de
responsabilidades, la determinación de tareas, la realización de presupuestos de
tiempo y recursos, los avances, los puntos de revisión y las aprobaciones.
 El involucramiento de los usuarios en el desarrollo, implementación o
modificación de los proyectos.
 Asignación de responsabilidades y autoridades a los miembros del personal
asignados al proyecto.
 Aprobación de fases de proyecto por parte de los usuarios antes de pasar a la
siguiente fase.
 Presupuestos de costos y horas hombre
 Planes y metodologías de aseguramiento de calidad que sean revisados y
acordados por las partes interesadas.
 Plan de administración de riesgos para eliminar o minimizar los riesgos.
 Planes de prueba, entrenamiento, revisión post-implementación.
PO10: Administrar Proyectos

Cumple(1)
cumple(0)

No
Las técnicas de administración de proyectos no se

usan y la organización no toma en cuenta los impactos
Nivel 0 No
al negocio asociados con la mala administración de
existente
los proyectos y con las fallas de desarrollo en el
proyecto
El uso de técnicas y enfoques de administración de

Nivel 1 Inicial proyectos dentro de TI es una decisión individual que
se deja a los gerentes de TI. Existe una carencia de
compromiso por parte de la gerencia hacia la
propiedad de proyectos y hacia la administración de
proyectos. Las decisiones críticas sobre
administración de proyectos se realizan sin la
intervención de la gerencia usuaria ni del cliente. Los
roles y responsabilidades para la administración de
proyectos no están definidas. Los proyectos,
calendarios y puntos clave están definidos
pobremente, si es que lo están. No se hace 1 80
seguimiento al tiempo y a los gastos del proyecto y
no se comparan con el presupuesto.
La alta dirección ha obtenido y comunicado la

conciencia de la necesidad de una administración de
los proyectos de TI. La organización está en proceso
de desarrollar y utilizar algunas técnicas y métodos de
Nivel 2 proyecto a proyecto. Los proyectos de TI han definido
Repetible objetivos y de negocio de manera informal. Hay
pero intuitiva participación limitada de los interesados en la
administración de los proyectos de TI. Las directrices
aplicación a proyectos de las directrices
administrativas se deja a discreción del gerente de
proyecto
El proceso y la metodología de administración de

proyectos de TI han sido establecidos y comunicados.
Los proyectos de TI se definen con los objetos
técnicos y de negocio adecuados. La alta dirección del
negocio y de TI, empieza a comprometerse y a
Nivel 3
participar en la administración de los proyectos de TI.
Proceso
Se ha establecido una oficina de administración de
Definido
proyectos dentro de TI, con los roles y
responsabilidades iníciales definidas. Los proyectos
de Ti se monitorean, con puntos clave, calendarios y
mediciones de presupuesto y desempeño definidos y
actualizados
La gerencia requiere que se revisen métricas y

lecciones aprendidas estandarizadas y formales
después de terminar cada proyecto. La administración
de proyectos se mide y evalúa a través de la
Nivel 4 organización y no solo en TI. Las mejoras al proceso
Administrado de administración de proyectos se formalizan y
y medible comunican y los miembros del equipo reciben
entrenamiento sobre estas mejoras. La gerencia ha
implantado una estructura organizacional de
proyectos con roles, responsabilidades y criterios de
desempeño 81 documentados
Nivel 5 Se encuentra implantada una metodología

Optimizado comprobada de ciclo de vida de proyectos, la cual se
refuerza y se integra en la cultura de la organización
completa. Se ha implantado una iniciativa continua
para identificar e institucionalizar las mejores
prácticas de administración de proyectos. Se ha
definido e implantado una estrategia de TI para
contratar el desarrollo y los proyectos operativos. La
planeación de proyectos en toda la organización
garantiza que los recursos de TI y el usuario se
utilizan de la mejor manera para apoyar las iniciativas
estratégicas.
GRADO DE MADUREZ. El proceso de administración de
proyectos se encuentra en el nivel 2.
Observación OBJETIVOS NO CUMPLIDOS: En la empresa no existen
establecidos métodos, ni técnicas para la administración de
proyectos.
Recomendaciones P10: El proceso se encuentra en el nivel 2 de madurez 3, como

estrategia a corto plazo, la empresa debe manejar una administración de proyectos, en el
cual se facilita el monitoreo de los riesgos y los avances de los proyectos. Se debe asignar
a los miembros que administraran los proyectos que les permita existir un control como
seguimiento de los proyectos para que sean comunicados a la gerencia de TI.
Para mejoras a corto plazo se recomienda, que por parte de la gerencia de negocio exista
apoyo a los proyectos
 Exista una buena coordinación como asignación de tareas, definiendo los puntos
de control en os proyectos
 Manejar costo y presupuesto de mano de obra, balanceando con los recursos
internos y externos.
 Tener métodos y planes de aseguramiento de calidad sean también parte en cada
proyecto, el análisis de riesgo de programas y proyectos sea tomado en cuenta
para su culminación.
 Administración de Calidad
Objetivo: Satisfacer los requerimientos del cliente
Para ello se realiza una planeación, implementación y mantenimiento de estándares y
sistemas de administración de calidad por parte de la organización y se toma en
consideración:
 Definición y mantenimiento regular del plan de calidad, el cual deberá promover
la filosofía de mejora continua y contestar a las preguntas básicas de qué, quién
y cómo.
 Responsabilidades de aseguramiento de calidad que determine los tipos de
actividades de aseguramiento de calidad tales como revisiones, auditorias,
inspecciones, etc. que deben realizarse para alcanzar los objetivos del plan
general de calidad.
 Metodologías del ciclo de vida de desarrollo de sistemas que rija el proceso de
desarrollo, adquisición, implementación y mantenimiento de sistemas de
información.
Documentación de pruebas de sistemas y programas
Revisiones y reportes de aseguramiento de calidad
DOMINIO 3: ADQUIRIR E IMPLANTAR

 Identificar soluciones automatizadas.
Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario
Para ello se realiza un análisis claro de las oportunidades alternativas comparadas contra
los requerimientos de los usuarios y toma en consideración:
 Definición de requerimientos de información para poder aprobar un proyecto de
desarrollo.
 Estudios de factibilidad con la finalidad de satisfacer los requerimientos del
negocio establecidos para el desarrollo de un proyecto.
 Arquitectura de información para tener en consideración el modelo de datos al
definir soluciones y analizar la factibilidad de las mismas.
 Seguridad con relación de costo-beneficio favorable para controlar que los costos
no excedan los beneficios.
 Pistas de auditoria para ello deben existir mecanismos adecuados. Dichos
mecanismos deben proporcionar la capacidad de proteger datos sensitivos (ej.
Identificación de usuarios contra divulgación o mal uso)
 Contratación de terceros con el objeto de adquirir productos con buena calidad y
excelente estado.
 Aceptación de instalaciones y tecnología a través del contrato con el Proveedor
donde se acuerda un plan de aceptación para las instalaciones y tecnología
específica a ser proporcionada.
A12:Identificar Soluciones Automatizadas

Cumple(1)
cumple(0)
No
La organización no requiere de la identificación de

los requerimientos funcionales y operativos para el
desarrollo, implantación o modificación de
Nivel 0 No
soluciones, tales como sistemas, servicios,
existente
infraestructura y datos. La organización no está
consciente de las soluciones tecnológicas disponibles
que son potencialmente relevantes para su negocio
Existe conciencia de la necesidad de definir

requerimientos y de identificar soluciones
tecnológicas. Grupos individuales se reúnen para
Nivel 1 Inicial analizar las necesidades de manera informal y los
requerimientos se documentan algunas veces. Los
individuos identifican soluciones con base en una
conciencia limitada de mercadeo o como respuesta a
ofertas de proveedores. Existe una investigación o
análisis estructurado mínimo de la tecnología
disponible.
Existen algunos enfoques intuitivos para identificar

que existen soluciones de Ti y éstos varían a lo largo
del negocio. Las soluciones se identifican de manera
informal con base en la experiencia interna y en el
Nivel 2 conocimiento de la función de TI. EL éxito de cada
Repetible proyecto depende de la experiencia de unos cuantos
pero intuitiva individuos clave. La calidad de la documentación y
de la toma de decisiones varía de forma considerable
Se usan enfoques no estructurados para definir los
requerimientos e identificar las soluciones
tecnológicas.
Existen enfoques claros y estructurados para

determinar las soluciones de TI. El enfoque para la
determinación evaluada contra los requerimientos del
negocio o del usuario, las oportunidades tecnológicas,
la factibilidad económica, las evaluaciones de riesgo
Nivel 3 y otros factores. El 84 proceso para determinar las
Proceso soluciones de TI se aplica para algunos proyectos con
Definido base en factores tales como las decisiones tomadas
por el personal involucrado, la cantidad de tiempo
administrativo dedicado, y el tamaño y prioridad del
requerimiento de negocio original. Se usan enfoques
estructurados para definir requerimientos e identificar
soluciones de TI
Existe una metodología establecida para la

identificación y la evaluación de las soluciones de TI
y se usa para la mayoría de los proyectos. La
documentación de los proyectos es de buena calidad
Nivel 4
y cada etapa se aprueba adecuadamente. Los
Administrado
requerimientos están bien articulados y de acuerdo
y medible
con las estructuras predefinidas. Se consideran
soluciones alternativas, incluyendo el análisis de
costos y beneficios. La metodología es clara, definida
generalmente entendida y medible.
La metodología para la identificación y evaluación de

las soluciones de TI está sujeta a una mejora continua.
La metodología de adquisición e implantación tiene
la flexibilidad para proyectos de grande y de pequeña
Nivel 5 escala. La metodología está soportada en bases de
Optimizado datos de conocimiento internas y externas que
contienen material de referencia sobre soluciones
tecnológicas. La metodología en sí misma genera
documentación en una estructura predefinida que
hace que la producción y el mantenimiento sean
eficientes. Con frecuencia, se identifican
oportunidades de uso de la tecnología para ganar una
ventaja competitiva, y mejorar la eficiencia en
general. La gerencia detecta y toma medidas si las
soluciones de TI se aprueban sin considerar
tecnologías 85 alternativas o los requerimientos
funcionales del negocio.
GRADO DE MADUREZ. El proceso de administración de

proyectos se encuentra en el nivel 2.
Observación OBJETIVOS NO CUMPLIDOS: En la empresa no existen
establecidos métodos, ni técnicas para la administración de
proyectos.
Recomendaciones A12: El grado de madurez para este proceso se encuentra en el nivel

2 para ascender al grado de madurez 3 se recomienda:
Establecer la mejor metodología para la implementación de
soluciones de TI, que sean bien estructurados, la factibilidad económica, las evaluaciones
de riesgo y otros factores que podrían influir en las mismas
Como estrategia a largo plazo se recomienda:

Se realice una metodología que analice la adquisición de software que se encuentre dis-
ponible en el mercado y que este alineado a las necesidades del negocio. Debe existir un
análisis de estudios de factibilidad (costo-beneficio, alternativas, etc.)
 Adquirir y mantener el software aplicativo.
Objetivo: Proporciona funciones automatizadas que soporten efectivamente al negocio.

Para ello se definen declaraciones específicas sobre requerimientos funcionales y
operacionales y una implementación estructurada con entregables claros y se toma en
consideración:
 Requerimientos de usuarios, para realizar un correcto análisis y obtener un
software claro y fácil de usar.
 Requerimientos de archivo, entrada, proceso y salida.
 Interface usuario-maquina asegurando que el software sea fácil de utilizar y que
sea capaz de auto documentarse.
 Personalización de paquetes
 Realizar pruebas funcionales (unitarias, de aplicación, de integración y de carga
y estrés), de acuerdo con el plan de prueba del proyecto y con los estándares
establecidos antes de ser aprobado por los usuarios.
 Controles de aplicación y requerimientos funcionales
 Documentación (materiales de consulta y soporte para usuarios) con el objeto de
que los usuarios puedan aprender a utilizar el sistema o puedan sacarse todas
aquellas inquietudes que se les puedan presentar.
AI3: Adquirir y mantener software aplicativo
Cumple(1)
cumple(0)
No
No existe un proceso de diseño y especificación de
aplicaciones. Típicamente, las aplicaciones se obtiene
Nivel 0 No con base en ofertas de proveedores, en el
existente reconocimiento de la marca o en la familiaridad del
personal de TI con productos específicos,
considerando poco o nada los requerimientos actuales
Existe conciencia de la necesidad de contar con un

proceso de adquisición y mantenimiento de
aplicaciones. Los enfoques para la adquisición y
mantenimientos de software aplicativo varían de un
proyecto a otro. Es probable que se haya adquirido en
Nivel 1 Inicial forma independiente una variedad de soluciones
individuales para requerimientos particulares del
negocio, teniendo como resultado ineficiencias en el
mantenimiento y soporte. Se tiene poca consideración
hacia la seguridad y disponibilidad de la aplicación en
el diseño o adquisición de software aplicativo.
Existen procesos de adquisición y mantenimiento de

aplicaciones, con diferencias, pero similares en base
a la experiencia dentro de la operación de TI. El
Nivel 2
mantenimiento es a menudo problemático y se
Repetible
resiente cuando se pierde el conocimiento interno de
pero intuitiva
la organización. Se tiene poca consideración hacia la
seguridad y disponibilidad de aplicación en el diseño
o adquisición de software aplicativo
Existe un proceso claro, definido y de comprensión

general para la adquisición y mantenimiento de
software aplicativo. Este proceso va de acuerdo con
Nivel 3 la estrategia de TI y del negocio. Se intenta aplicar los
Proceso procesos de manera consistente a través de diferentes
Definido aplicaciones y proyectos. Las metodologías son por
lo general, inflexibles y difíciles de aplicar en todos
los casos, por lo que es muy probable que se salten
pasos.
Existe una metodología formal y bien comprendida

que incluye un proceso de diseño y especificación, un
Nivel 4 criterio de adquisición, un proceso de prueba y
Administrado requerimientos para la documentación. Existen
y medible mecanismos de aprobación documentados y acordar
dos, para garantizar que se sigan todos los pasos y se
autoricen las excepciones. Han evolucionado
prácticas y procedimientos para ajustarlos a la medida
de la organización, los utilizan todo el personal y son
apropiados para la mayoría de los requerimientos de
aplicación.
Las prácticas de adquisición y mantenimiento de

software aplicativo se alinean con el proceso
definido. EL enfoque es con base en componentes,
con aplicaciones predefinidas y estandarizadas que
corresponden a las necesidades del negocio. El
Nivel 5
enfoque se extiende para toda la empresa. La
Optimizado
metodología de adquisición y mantenimiento
presenta un buen avance y permite un
posicionamiento estratégico rápido, que permite un
alto grado de reacción y flexibilidad para responder a
requerimientos cambiantes del negocio.
GRADO DE MADUREZ. El proceso de adquirir y dar

mantenimiento al software aplicativo se encuentra en el nivel 0.
Observación OBJETIVOS NO CUMPLIDOS: En la compañía no cuentan con

un proceso para diseñar ni especificar aplicaciones; sino que
simplemente cuentan con software aplicativo que es instalado según
la familiaridad del personal
Recomendaciones AI3: El grado de madurez para este proceso se encuentra en el nivel

0 para ascender al grado de madurez 1 se recomienda: Diseñar y especificar aplicaciones
de software para que la empresa pueda lograr una mejor productiva y no exista problemas
de desempeño. Como estrategia a largo plazo se recomienda:
 La adquisición de aplicativos se realice pruebas funcionales y de aceptación en
cada proyecto.
 Tener un control del ciclo de vida de las aplicaciones de software.
 Tener un control a nivel de usuario que identifique el cumplimiento de las
aplicaciones de software que cumpla con las necesidades del negocio.
 Adquirir y mantener la infraestructura tecnológica

Objetivo: Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios
Para ello se realizará una evaluación del desempeño del hardware y software, la provisión
de mantenimiento preventivo de hardware y la instalación, seguridad y control del
software del sistema y toma en consideración:
 Evaluación de tecnología para identificar el impacto del nuevo hardware o
software sobre el rendimiento del sistema general.
 Mantenimiento preventivo del hardware con el objeto de reducir la frecuencia y
el impacto de fallas de rendimiento.
 Seguridad del software de sistema, instalación y mantenimiento para no arriesgar
la seguridad de los datos y programas ya almacenados en el mismo.
 Administrar cambios
Objetivo: Minimizar la probabilidad de interrupciones, alteraciones no autorizadas y
errores.
Esto se hace posible a través de un sistema de administración que permita el análisis,
implementación y seguimiento de todos los cambios requeridos y llevados a cabo a la
infraestructura de TI actual y toma en consideración:
 Identificación de cambios tanto internos como por parte de proveedores
 Procedimientos de categorización, priorización y emergencia de solicitudes de
cambios.
 Evaluación del impacto que provocaran los cambios.
 Autorización de cambios
 Manejo de liberación de manera que la liberación de software este regida por
procedimientos formales asegurando aprobación, empaque, pruebas de regresión,
entrega, etc.
 Distribución de software, estableciendo medidas de control específicas para
asegurar la distribución de software correcto al lugar correcto, con integridad y
de manera oportuna.
MONITOREAR Y EVALUAR
 Monitorear y evaluar el control interno
Establecer un programa de control interno efectivo para TI requiere un proceso bien
definido de monitoreo. Este proceso incluye el monitoreo y el reporte de las excepciones
de control, resultados de las auto-evaluaciones y revisiones por parte de terceros. Un
beneficio clave del monitoreo de control interno es proporcionar seguridad respecto a las
operaciones eficientes y efectivas y el cumplimiento de las leyes y regulaciones
aplicables.
Objetivo ME2: Brindar transparencia y entendimiento de los costos, beneficios,

estrategia, políticas y niveles de servicio de TI de acuerdo con los requisitos de gobierno
enfocándose en monitorear y reportar las métricas del proceso e identificar e implantar
acciones de mejoramiento del desempeño
ME2: Monitorear y evaluar el control interno

Cumple(1)
cumple(0)

No
La organización carece de procedimientos para

monitorear la efectividad de los controles internos.
Nivel 0 No Los métodos de reporte de control interno gerenciales
existente no existen. Existe una falta generalizada de
conciencia sobre la seguridad operativa y el
aseguramiento del control interno de TI. La gerencia
y los empleados no tienen conciencia general sobre el
control interno.
La gerencia reconoce la necesidad de administrar y

asegurar el control de TI de forma regular. La
experiencia individual para evaluar la suficiencia del
control interno se aplica de forma ad hoc. La gerencia
de TI no ha asignado de manera formal las
Nivel 1 Inicial responsabilidades para monitorear la efectividad de
los controles internos. Las evaluaciones de control
interno de TI se realizan como parte de las auditorías
financieras tradicionales, con metodologías y
habilidades que no reflejan las necesidades de la
función de los servicios de información.
La organización utiliza reportes de control informales

para comenzar iniciativas de acción correctiva. La
evaluación del control interno depende de las
habilidades de individuos clave. La organización
tiene una mayor conciencia sobre el monitoreo de los
Nivel 2 controles internos. La gerencia de servicios de
Repetible información realiza monitoreo periódico sobre la
pero intuitiva efectividad de lo que considera controles internos
críticos. Se están empezando a usar metodologías y
herramientas para monitorear los controles internos,
aunque no se basan en un plan. Los factores de riesgo
específicos del ambiente de TI se identifican con base
en las habilidades de individuos.
La gerencia apoya y ha institucionalizado el

monitoreo del control interno. Se han desarrollado
políticas y procedimientos para evaluar y reportar las
actividades de monitoreo del control interno. Se ha
definido un programa de educación y entrenamiento
para el monitoreo del control interno. Se ha definido
también un proceso para auto-evaluaciones y
Nivel 3 revisiones de aseguramiento del control interno, con
Proceso roles definidos para los responsables de la
Definido administración del negocio y de TI. Se usan
herramientas, aunque no necesariamente están
integradas en todos los procesos. Las políticas de
evaluación de riesgos de los procesos de TI se utilizan
dentro de los marcos de trabajo desarrollados de
manera específica para la función de TI. Se han
definido políticas para el manejo y mitigación de
riesgos específicos de procesos.
La gerencia tiene implantado un marco de trabajo
Nivel 4 para el monitoreo del control interno de TI. La
Administrado organización ha establecido niveles de tolerancia para
y medible el proceso de monitoreo del control interno. Se han
implantado herramientas para estandarizar
evaluaciones y para detectar de forma automática las
excepciones de control. Se ha establecido una función
formal para el control interno de TI, con profesionales
especializados y certificados que utilizan un marco de
trabajo de control formal avalado por la alta
dirección. Un equipo calificado de TI participa de
forma rutinaria en las evaluaciones de control interno.
Se ha establecido una base de datos de métricas para
información histórica sobre el monitoreo del control
interno. Se realizan revisiones entre pares para
verificar el monitoreo del control interno.
La gerencia ha implantado un programa de mejora

continua en toda la organización que toma en cuenta
las lecciones aprendidas y las mejores prácticas de la
industria para monitorear el control interno. La
organización utiliza herramientas integradas y
actualizadas, donde es apropiado, que permiten una
Nivel 5
evaluación efectiva de los controles críticos de TI y
Optimizado
una detección rápida de incidentes de control de TI.
La compartición del conocimiento, específico de la
función de servicios de información, se encuentra
implantada de manera formal. El benchmarking con
los estándares de la industria y las mejores prácticas
está formalizado.
GRADO DE MADUREZ. El proceso de Monitorear y evaluar el

control interno, se encuentra en el nivel 0.
OBJETIVOS NO CUMPLIDOS: La gerencia carece de
Observación procedimientos para monitorear la efectividad de los controles
internos a través de actividades administrativas y de supervisión,
comparaciones, reconciliaciones y otras acciones rutinarias. Estas
actividades de monitoreo continuo por parte de la gerencia deberán
revisar la existencia de puntos vulnerables y problemas de seguridad.
Recomendaciones ME2: El proceso ME2 se encuentra en el nivel 1 para poder acceder

al siguiente grado de Madurez, como estrategia a corto plazo: Monitorear de forma
continua, comparar y mejorar el ambiente de control de TI y el marco de trabajo de control
de TI para satisfacer los objetivos organizacionales. Como estrategia a largo plazo:
 Monitorear y evaluar la eficiencia y efectividad de los controles internos de
revisión de la gerencia de TI.
 Identificar las excepciones de control, y analizar e identificar sus causas raíz
subyacente.
Escalar las excepciones de control y reportar a los interesados apropiadamente. Establecer

acciones correctivas necesarias.
 Garantizar cumplimiento regulatorio.
Una supervisión efectiva del cumplimiento requiere del establecimiento de un proceso de
revisión para garantizar el cumplimiento de las leyes, regulaciones y requerimientos
contractuales. Este proceso incluye la identificación de requerimientos de cumplimiento,
optimizado y evaluando la respuesta, obteniendo aseguramiento que los requerimientos
se han cumplido y, finalmente integrando los reportes de cumplimiento de TI con el resto
del negocio.
Objetivo ME3: Cumplir las leyes y regulaciones enfocándose en la identificación de
todas las leyes y regulaciones aplicables y el nivel correspondiente de CV cumplimiento
de TI y la optimización de los procesos de TI para reducir el riesgo de no cumplimiento.
ME3: Garantizar el cumplimiento regulatorio
Cumple(1)
cumple(0)
No
Existe poca conciencia respecto a los requerimientos
Nivel 0 No externos que afectan a TI, sin procesos referentes al
existente cumplimiento de requisitos regulatorios, legales y
contractuales.
Existe conciencia de los requisitos de cumplimiento
regulatorio, contractual y legal que tienen impacto en
la organización. Se siguen procesos informales para
Nivel 1 Inicial
mantener el cumplimiento, pero solo si la necesidad
surge en nuevos proyectos o como respuesta a
auditorías o revisiones.
Existe el entendimiento de la necesidad de cumplir

con los requerimientos externos y la necesidad se
comunica. En los casos en que el cumplimiento se ha
convertido en un requerimiento recurrente., como en
los reglamentos regulatorios o en la legislación de
Nivel 2 privacidad, se han desarrollado procedimientos
Repetible individuales de cumplimiento y se siguen año con
pero intuitiva año. No existe, sin embargo, un enfoque estándar.
Hay mucha confianza en el conocimiento y
responsabilidad de los individuos, y los errores son
posibles. Se brinda entrenamiento informal respecto
a los requerimientos externos y a los temas de
cumplimiento
Se han desarrollado, documentado y comunicado

políticas, procedimientos y procesos, .para garantizar
el cumplimiento de los reglamentos y de las
obligaciones contractuales y legales, pero algunas
Nivel 3 quizá no se sigan y algunas quizá estén
Proceso desactualizadas o sean poco prácticas de implantar.
Definido Se realiza poco monitoreo y existen requisitos de
cumplimiento que no han sido resueltos. Se brinda
entrenamiento sobre requisitos legales y regulatorios
externos que afectan a la organización y se instruye
respecto a los procesos de cumplimiento definidos.
Existen contratos pro forma y procesos legales
estándar para minimizar los riesgos asociados con las
obligaciones contractuales
Existe un entendimiento completo de los eventos y de

la exposición a requerimientos externos, y la
necesidad de asegurar el cumplimiento a todos los
niveles. Existe un esquema formal de entrenamiento
que asegura que todo el equipo esté consciente de sus
obligaciones de cumplimiento. Las responsabilidades
son claras y el empoderamiento de los procesos es
entendido. El proceso incluye una revisión del
Nivel 4 entorno para identificar requerimientos externos y
Administrado cambios recurrentes. Existe un mecanismo
y medible implantado para monitorear el no cumplimiento de
los requisitos externos, reforzar las prácticas internas
e implantar acciones correctivas. Los eventos de no
cumplimiento se analizan de forma estándar en busca
de las causas raíz, con el objetivo de identificar
soluciones sostenibles. Buenas prácticas internas
estandarizadas se usan para necesidades específicas
tales como reglamentos vigentes y contratos
recurrentes de servicio
Existe un proceso bien organizado, eficiente e

implantado para cumplir con los requerimientos
externos, basado en una sola función central que
brinda orientación y coordinación a toda la
organización. Hay un amplio conocimiento de los
requerimientos externos aplicables, incluyendo sus
tendencias futuras y cambios anticipados, así como la
necesidad de nuevas soluciones. La organización
participa en discusiones externas con grupos
regulatorios y de la industria para entender e
influenciar los requerimientos externos que la puedan
afectar. Se han desarrollado mejores prácticas que
Nivel 5 aseguran el cumplimiento de los requisitos externos,
Optimizado y esto ocasiona que haya muy pocos casos de
excepciones de cumplimiento. Existe un sistema
central de rastreo para toda la organización, que
permite a la gerencia documentar el flujo de trabajo,
medir y mejorar la calidad y efectividad del proceso
de monitoreo del cumplimiento. Un proceso externo
de auto-evaluación de requerimientos existe y se ha
refinado hasta alcanzar el nivel de buena práctica. El
estilo y la cultura administrativa de la organización
referente al cumplimiento es suficientemente fuerte,
y se elaboran los procesos suficientemente bien para
que el entrenamiento se limite al nuevo personal y
siempre que ocurra un cambio significativo.
GRADO DE MADUREZ. El proceso de Monitorear y evaluar el
control interno, se encuentra en el nivel 0.
OBJETIVOS NO CUMPLIDOS: La gerencia carece de
Observación procedimientos para monitorear la efectividad de los controles
internos a través de actividades administrativas y de supervisión,
comparaciones, reconciliaciones y otras acciones rutinarias. Estas
actividades de monitoreo continuo por parte de la gerencia deberán
revisar la existencia de puntos vulnerables y problemas de seguridad
Recomendaciones ME3: El proceso ME3 se encuentra en el nivel 0 para poder acceder

al siguiente grado de Madurez, como estrategia a corto plazo: Identificar, sobre una base
continua, leyes locales e internacionales, regulaciones, y otros requerimientos externos
que se deben de cumplir para incorporar en las políticas, estándares, procedimientos y
metodologías de TI de la organización. Como estrategia a largo plazo:
 Revisar y ajustar las políticas, estándares, procedimientos y metodologías de TI
para garantizar que los requisitos legales, regulatorios y contractuales son
direccionados y comunicados.
 Confirmar el cumplimiento de políticas, estándares, procedimientos y
metodologías de TI con requerimientos legales y regulatorios.
DOMINIO 3: Entrega y Dar Soporte

DS1 - Definir y administrar niveles de servicio.
Para tener una buena comunicación efectiva entre la gerencia de TI y los clientes
de negocios de los servicios requeridos, se debe contar con una definición
documentada y un acuerdo de servicios de TI y de niveles de servicio. Este
proceso también incluye el monitoreo y la notificación oportuna a los interesados
sobre el cumplimiento de los niveles de servicio.
Objetivos DS1: Definir y manejar niveles de servicio que satisfacen el requerimiento del
negocio de TI para asegurar la alineación de los servicios claves de TI con los objetivos
del negocio.
Entregar y Dar Soporte

DS1: Difinir y administrar los niveles de servicio.
No
Nivel de madurez Cumple
cumple
No Existente La gerencia no reconoce la necesidad de un proceso

para definir los niveles de servicio.
Inicial / Ad Hoc Hay conciencia de la necesidad de administrar los

niveles de servicio, pero el proceso es informal y
reactivo.
Repetible pero Los niveles de servicio están acordados pero son
Intuitivo informales y no están revisados
Definido Las responsabilidades están bien definidas pero con

autoridad discrecional.
Administrado y Aumenta la definición de los niveles de servicio en la

Medible fase de definición de requerimientos del sistema y se
incorporan en el diseño de la aplicación y de los
ambientes de operación.
Optimizado Los niveles de servicio son continuamente reevaluados

para asegurar la alineación de TI y los objetivos del
negocio, mientras se toma ventaja de la tecnología
incluyendo le relación costo-beneficio.
Nivel de madurez: el proceso de difinir y administrar los niveles de servicios se encuentra

el nivel 1.
Recomendaciones: para pasar al siguiente nivel de madurez, de debe definir un marco de
trabajo que brinde un proceso formal de administración de niveles de servicio entre el cliente
y el prestado de servicio.
DS2 - Administrar servicios de terceros.
La necesidad de asegurar que los servicios provistos por terceros cumplan con los
requerimientos del negocio, requiere de un proceso efectivo de administración de
terceros. Este proceso se logra a través de la asignación de roles, responsabilidades
y expectativas en los acuerdos con los terceros, así como la revisión y monitoreo
de la efectividad y cumplimiento de dichos acuerdos.
Objetivo DS2: Administrar servicios de terceros, a través del establecimiento de

relaciones y responsabilidades bilaterales con proveedores calificados de servicios
tercerizados y el monitoreo de la prestación del servicio para verificar y asegurar
la adherencia a los convenios.
NAISA cuenta con servicios de terceros tales como: paquetes de office, el que
cuál es utilizado para la utilización de los programas informáticos Word y Excel;
otros servicios de terceros que utiliza es el proveedor de internet, el cuál se cuentan
con los debido documentos que la empresa distribuidora ofrece como parte de la
adquisición del servicio, este documento es el contrato de adquisición del servicio;
finalmente otro de los servicios de tercero que cuenta la empresa es un sistema de
control de inventario.
A continuación se presenta la tabla del proceso de administrar servicios de
terceros, con el fin de evaluar el nivel de madurez que se encuentra la empresa
con respecto a dicho proceso.

DS2: Administrar servicios de terceros.
No
cumple
No Existente Las responsabilidades y la rendición de cuentas no

están definidas. No hay políticas y procedimientos
formales respecto a la contratación con terceros.
Inicial / Ad Hoc La gerencia está consciente de la importancia de la

necesidad de tener políticas y procedimientos
documentados para la administración de los servicios
de terceros, incluyendo la firma de contratos.
Repetible pero El proceso de supervisión de los proveedores de

Intuitivo servicios de terceros, de los riesgos asociados y de la
prestación de servicios es informal.
Definido Hay procedimientos bien documentados para controlar

los servicios de terceros con procesos claros para tratar
y negociar con los proveedores.
Administrado y Se establecen criterios formales y estandarizados para

Medible definir los términos de un acuerdo, incluyendo.
alcance del trabajo, servicios/entregables a
suministrar, suposiciones, cronograma, costos,
acuerdos de facturación y responsabilidades.
Optimizado Los contratos firmados con los terceros son revisados

de forma periódica en intervalos predefinidos.
Nivel de madurez: el proceso de administrar servicios de terceros se encuentra el nivel 1.

Recomendaciones: para pasar al siguiente nivel de madurez, se recomienda establecer
criterios formales y estandarizados para realizar la definición de los términos del acuerdo en
la adquisición de software de terceros, así como mantener acuerdos de confidencialidad con
los proveedores.
DS3 - Administrar desempeño y capacidad.

La necesidad de administrar el desempeño y la capacidad de los recursos de TI
requiere de un proceso para revisar periódicamente el desempeño actual y la
capacidad de los recursos de TI. Este proceso incluye el pronóstico de las
necesidades futuras, basadas en los requerimientos de carga de trabajo,
almacenamiento y contingencia. Este proceso brinda la seguridad de que los
recursos de información que soportan los requerimientos del negocio están
disponibles de manera continua.
Objetivo DS3: Cumplir con los requerimientos de tiempo de respuesta de los

acuerdos de niveles de servicio, minimizando el tiempo sin servicio y haciendo
mejoras continuas de desempeño y capacidad de TI a través del monitoreo y la
medición.

DS3: Administrar desempeño y capacidad.
No
cumple
No Existente La gerencia no reconoce que los procesos clave del

negocio pueden requerir altos niveles de desempeño de
TI o que el total de los requerimientos de servicios de
TI del negocio pueden exceder la capacidad. No se
lleva cabo un proceso de planeación de la capacidad.
Inicial / Ad Hoc Los usuarios, con frecuencia, tienen que llevar acabo
soluciones alternas para resolver las limitaciones de
desempeño y capacidad.
Repetible pero Los responsables del negocio y la gerencia de TI está

Intuitivo n concientes del impacto de no administrar el
desempeño y la capacidad.
Definido Los requerimientos de desempeño y capacidad están

definidos a lo largo del ciclo de vida del sistema.
Administrado y Hay procesos y herramientas disponibles para medir el

Medible uso del sistema, el desempeño y la capacidad, y los
resultados se comparan con metas definidas.
Optimizado La gerencia no reconoce que los procesos clave del

negocio pueden requerir altos niveles de desempeño de
TI o que el total de los requerimientos de servicios de
TI del negocio pueden exceder la capacidad. No se
lleva cabo un proceso de planeación de la capacidad.
Nivel de madurez: el proceso de administrar desempeño y capacidad se encuentra el nivel 2

de madurez.
Recomendaciones: establecer métricas de desempeño y evaluación de la capacidad y realizar
revisiones de forma periódica de la demanda del negocio con menor costo. A corto plazo se
recomienda la realización de pronósticos de la capacidad y el desempeño futuros de los
recursos de TI en intervalos regulares.
DS4 - Garantizar la continuidad del servicio.
La necesidad de brindar continuidad en los servicios de TI requiere desarrollar, mantener

y probar planes de continuidad de TI, almacenar respaldos fuera de las instalaciones y
entrenar de forma periódica sobre los planes de continuidad. Un proceso efectivo de
continuidad de servicios, minimiza la probabilidad y el impacto de materialización de
riesgos en cuanto servicios de TI se refiere, sobre funciones y procesos claves del
negocio.
Objetivos: Garantizar la continuidad de los servicios para asegurar el mínimo impacto al

negocio en caso de interrupción de servicios de TI. El desarrollo de resistencia en las
soluciones automatizadas y desarrollando, manteniendo y probando los planes de
continuidad de TI.

DS4: Garantizar la continuidad del servicio.
No
cumple
No Existente No hay entendimiento de los riesgos, vulnerabilidades

y amenazas a las operaciones de TI o del impacto en el
negocio por la pérdida de los servicios de TI. No se
considera que la continuidad en los servicios deba
tener atención de la gerencia.
Inicial / Ad Hoc Las responsabilidades sobre la continuidad de los

servicios son informales y la autoridad para ejecutar
responsabilidades es limitada.
Repetible pero Se asigna la responsabilidad para mantener la

Intuitivo continuidad del servicio. Los enfoques para asegurar
la continuidad están fragmentados. Los reportes sobre
la disponibilidad son esporádicos, pueden estar
incompletos y no toman en cuenta el impacto en el
negocio
Definido La responsabilidad sobre la administración de la

continuidad del servicio es clara. Las
responsabilidades de la planeación y de las pruebas de
la continuidad de los servicios están claramente
asignadas y definidas. El plan de continuidad de TI
está documentado y basado en la criticidad de los
sistemas y el impacto al negocio.
Administrado y Se hacen cumplir las responsabilidades y los
Medible estándares para la continuidad de los servicios. Se
asigna la responsabilidad de mantener un plan de
continuidad de servicios. Las actividades de
mantenimiento están basadas en los resultados de las
pruebas de continuidad, en las buenas prácticas
internas y en los cambios en el ambiente del negocio y
de TI.
Optimizado Los procesos integrados de servicio continuo toman en

cuenta referencias de la industria y las mejores
prácticas externas. El plan de continuidad de TI está
integrado con los planes de continuidad del negocio y
se le da mantenimiento de manera rutinaria.
Nivel de madurez: el proceso de garantizar la continuidad del servicio se encuentra el nivel

0.
Recomendaciones: establecer un marco de trabajo de continuidad de TI para soportar la
continuidad del negocio con un proceso consistente a los largo de toda la organización.
DS5 - Garantizar la seguridad de los sistemas.
La necesidad de mantener la integridad de la información y de proteger los activos de TI,

requiere de un proceso de administración de la seguridad. Este proceso incluye el
establecimiento y mantenimiento de roles y responsabilidades de seguridad, políticas,
estándares y procedimientos de TI. La administración de la seguridad también incluye
realizar monitoreos de seguridad y pruebas periódicas así como realizar acciones
correctivas sobre las debilidades o incidentes de seguridad identificadas.
Objetivo DS5: Mantener la integridad de la información y de la infraestructura de

procedimiento y minimizar el impacto de las vulnerabilidades e incidentes de seguridad.

DS5: Garantizar la seguridad de los sistemas.
No
cumple
No Existente La organización no reconoce la necesidad de la

seguridad para TI. Las responsabilidades y la rendición
de cuentas no están asignadas para garantizar la
seguridad.
Inicial / Ad Hoc La organización reconoce la necesidad de seguridad

para TI. La conciencia de la necesidad de seguridad
depende principalmente del individuo. La seguridad de
TI se lleva a cabo de forma reactiva. No se mide la
seguridad de TI.
Repetible pero Las responsabilidades y la rendición de cuentas sobre

Intuitivo la seguridad, están asignadas a un coordinador de
seguridad de TI, pero la autoridad gerencial del
coordinador es limitada.
Definido Existe conciencia sobre la seguridad y ésta es

promovida por la gerencia. Los procedimientos de
seguridad de TI están definidos y alineados con la
política de seguridad de TI.
Administrado y Las responsabilidades sobre la seguridad de TI son

Medible asignadas, administradas e implementadas de forma
clara. Regularmente se lleva a cabo un análisis de
impacto y de riesgos de seguridad. Las políticas y
prácticas de seguridad se complementan con
referencias de seguridad específicas.
Optimizado La seguridad en TI es una responsabilidad conjunta del

negocio y de la gerencia de TI y está integrada con los
objetivos de seguridad del negocio en la corporación.
Nivel de madurez: el proceso de garantizar la seguridad de los sistemas se encuentra el nivel

2.
Recomendaciones: a un largo plazo se recomienda realizar pruebas a la implementación de
la seguridad, así como monitorearla.
DS6 - Identificar y asignar costos.
La necesidad de un sistema justo y equitativo para asignar costos de TI al negocio,

requiere de una medición precisa y aun acuerdo con los usuarios del negocio sobre una
asignación justa. Este proceso incluye la construcción y operación de un sistema para
capturar, distribuir y reportar costos de TI a los usuarios servidos.
Objetivo DS6: Transparentar y entender los costos de TI y mejorar la rentabilidad a

través del uso bien informado de los servicios de TI.

DS6: Garantizar la seguridad de los sistemas.
No
cumple
No Existente La organización no reconoce la necesidad de la
seguridad para TI. Las responsabilidades y la rendición
de cuentas no están asignadas para garantizar la
seguridad.
Inicial / Ad Hoc La organización reconoce la necesidad de seguridad

para TI. La conciencia de la necesidad de seguridad
depende principalmente del individuo. La seguridad de
TI se lleva a cabo de forma reactiva. No se mide la
seguridad de TI.
Repetible pero Las responsabilidades y la rendición de cuentas sobre

Intuitivo la seguridad, están asignadas a un coordinador de
seguridad de TI, pero la autoridad gerencial del
coordinador es limitada.
Definido Existe conciencia sobre la seguridad y ésta es

promovida por la gerencia. Los procedimientos de
seguridad de TI están definidos y alineados con la
política de seguridad de TI.
Administrado y Las responsabilidades sobre la seguridad de TI son

Medible asignadas, administradas e implementadas de forma
clara. Regularmente se lleva a cabo un análisis de
impacto y de riesgos de seguridad. Las políticas y
prácticas de seguridad se complementan con
referencias de seguridad específicas.
Optimizado La seguridad en TI es una responsabilidad conjunta del

negocio y de la gerencia de TI y está integrada con los
objetivos de seguridad del negocio en la corporación.
Nivel de madurez: el proceso de garantizar la seguridad de los sistemas se encuentra el nivel

2.
Recomendaciones: a un largo plazo se recomienda realizar pruebas a la implementación de
la seguridad, así como monitorearla.
DS7 - Educar y entrenar a los usuarios.
Para una educación efectiva de todos los usuarios de sistemas de TI, incluyendo
aquellos dentro de TI , se requieren identificar las necesidades de entrenamiento
de cada grupo de usuarios. Además de identificar las necesidades, este proceso
incluye la definición y ejecución de una estrategia par a llevar a cabo un
entrenamiento efectivo y para medir los resultados. Un programa efectivo de
entrenamiento incrementa el uso efectivo de la tecnología al disminuir los errores,
incrementando la productividad y el cumplimiento de los controles clave tales
como las medidas de seguridad de los usuarios.
Objetivo DS7: Entrenar y educar a los usuarios en el uso efectivo y eficiente de

soluciones y aplicaciones tecnológicas y el cumplimiento del usuario con las
políticas procedimientos.

DS7: Educar y entrenar a los usuarios
No
cumple
No Existente Hay una total falta de programas de entrenamiento y

educación. La organización no reconoce que hay un
problema a ser atendido respecto al entrenamiento y no
hay comunicación sobre el problema.
Inicial / Ad Hoc Hay evidencia de que la organización ha reconocido la

necesidad de contar con un programa de entrenamiento
y educación, pero no hay procedimientos
estandarizados. A falta de un proceso organizado, los
empleados han buscado y asistido a cursos de
entrenamiento por su cuenta.
Repetible pero El entrenamiento está comenzando a identificarse en

Intuitivo los planes de desempeño individuales de los
empleados. Los procesos se han desarrollado hasta la
fase en la cual se imparte entrenamiento informal por
parte de diferentes instructores, cubriendo los mismos
temas de materias con diferentes puntos de vista.
Definido El programa de entrenamiento y educación se

institucionaliza y comunica, y los empleados y
gerentes identifican y documentan las necesidades de
entrenamiento. Los procesos de entrenamiento y
educación se estandarizan y documentan
Administrado y Las responsabilidades son claras y se establece la

Medible propiedad sobre los procesos. El entrenamiento y la
educación son componentes de los planes de carrera de
los empleados. La gerencia apoya y asiste a sesiones
de entrenamiento y de educación.
Optimizado El entrenamiento y la educación dan como resultado la

mejora del desempeño individual. El entrenamiento y
la educación son componentes críticos de los planes de
carrera de los empelados. Se asignan suficientes
presupuestos, recursos, instalaciones e instructores
para los programas de entrenamiento y educación.
Nivel de madurez: el proceso de entrenar educar y entrenar a los usuarios se encuentra el

nivel 1.
Recomendaciones: establecer valores corporativos, implementación de nuevo software y
infraestrucura.
DS11 - Administrar los datos.
Una efectiva administración de datos requiere de la identificación de requerimientos de

datos. El proceso de administración de información también incluye el establecimiento
de procedimientos efectivos para administrar la librería de medios, el respaldo y la
recuperación de datos y la eliminación apropiada de medios.
Objetivo: Administración de datos para optimizar el uso de la información y garantizar

la disponibilidad de la información cuando se requiera. Enfocándose en mantener la
integridad, exactitud, disponibilidad y protección.

DS11: Administrar los datos
No
cumple
No Existente Los datos no son reconocidos como parte de los

recursos y los activos de la empresa. No está asignada
la propiedad sobre los datos o sobre la rendición de
cuentas individual sobre la administración de los datos.
Inicial / Ad Hoc Hay un método adecuado para especificar

requerimientos de seguridad en la administración de
datos, pero no hay procedimientos implementados de
comunicación formal.
Repetible pero A lo largo de toda la organización existe conciencia

Intuitivo sobre la necesidad de una adecuada administración de
los datos. A un alto nivel empieza a observarse la
propiedad o responsabilidad sobre los datos.
Definido Se establece la responsabilidad s obre la

administración de los datos. Se asigna la propiedad
sobre los datos a la parte responsable que controla la
integridad y la seguridad.
Administrado y La responsabilidad de la propiedad y la administración
Medible de los datos están definidas, asignada y comunicada de
forma clara en la organización.
Optimizado Los procedimientos se formalizan y se conocen

ampliamente, la compartición del conocimiento es una
práctica estándar. Se utilizan herramientas sofisticadas
con un máximo de automatización de la
administración de los datos.
Nivel de madurez: el proceso de administrar datos se encuentra el nivel 1.

Recomendaciones: definir e implementar procedimientos para mantener un inventario de
medios almacenados y archivados para asegurar su usabilidad e integridad.
DS12 - Administrar el ambiente físico.
La protección del equipo de cómputo y del personal, requiere de instalaciones bien

diseñadas y bien administradas. El proceso de administrar el ambiente físico
incluye la definición de los requerimientos físicos del centro de datos (site), la
selección de
instalaciones apropiadas y el diseño de procesos efectivos para monitorear
factores ambientales y administrar el acceso físico. La administración efectiva del
ambiente físico reduce las interrupciones del negocio ocasionadas por daños al
equipo de cómputo y al personal.
Objetivo: Proteger los activos de cómputo y la información del negocio u

organización minimizando el riesgo de una incorrupción el riesgo.

DS11: Administrar los datos
No
cumple
No Existente No hay conciencia sobre la necesidad de proteger las

instalaciones o la inversión en recursos de cómputo.
Los factores ambientales tales como protección contra
fuego, polvo, tierra y exceso de calor y humedad no se
controlan ni se monitorean.
Inicial / Ad Hoc La organización reconoce la necesidad de contar con

un ambiente físico que proteja los recursos y el
personal contra peligros naturales y causados por el
hombre. La administración de instalaciones y de
equipo depende de las habilidades de individuos clave
Repetible pero Los controles ambientales se implementan y

Intuitivo monitorean por parte del personal de operaciones. La
seguridad física es un proceso informal, realizado por
un pequeño grupo de empleados con alto nivel de
preocupación por asegurar las instalaciones físicas.
Definido Los controles ambientales, el mantenimiento

preventivo y la sugerido ad física cuentan con
presupuesto autorizado y rastreado por la gerencia. Se
aplican restricciones de acceso, permitiendo el ingreso
a las instalaciones de cómputo sólo al personal
aprobado.
Administrado y Los requerimientos del servicio están definidos y

Medible alineados con los objetivos del negocio. Existe un
proceso para comparar el desempeño contra.los
términos contractuales, lo cual proporciona
información para evaluar los servicios actuales y
futuros del tercero
Optimizado Hay un plan acordado a largo plazo para las

instalaciones requeridas para soportar el ambiente
cómputo de la organización.

Recomendaciones: definir e implementar procedimientos para mantener un inventario de
medios almacenados y archivados para asegurar su usabilidad e integridad.
DOMINIO 4: MONITOREAR Y EVALUAR

EM1 - Monitorear y evaluar el desempeño de TI.
Una efectiva administración del desempeño de Ti requiere un proceso de

monitoreo. EL proceso incluye la definición de indicadores de desempeño
relevantes, reportes sistemáticos y oportunos de desempeño y tomar medidas
expeditas cuando existan desviaciones. El monitoreo se requiere para garantizar
que las cosas correctas se hagan y que estén de acuerdo con el conjunto de
direcciones y políticas.
Objetivo ME1: transparencia y entendimiento de los costos, beneficios,

estrategias, políticas y niveles de servicio de TI de acuerdo con los requisitos de
gobierno, monitoreando y reportando las métricas del proceso e identificar
acciones de mejoramiento del desempeño.
Monitorear y Evaluar
EM1: Monitorear y evaluar el desempeño de TI
No
cumple
No Existente La organización no cuenta con un proceso implantado

de monitoreo. TI no lleva a cabo monitoreo de
proyectos o procesos de forma independiente. No se
cuenta con reportes útiles, oportunos y precisos.
Inicial / Ad Hoc La gerencia reconoce una necesidad de recolectar y

evaluar información sobre los procesos de monitoreo.
No se han identificado procesos estándar de
recolección y evaluación.
Repetible pero Se han identificado algunas mediciones básicas a ser

Intuitivo monitoreadas. Los métodos y las técnicas de
recolección y evaluación existen, pero los procesos no
se han adoptado en toda la organización.
Definido e ha desarrollado una base de conocimiento

formalizada del desempeño histórico. Las
evaluaciones todavía se realizan al nivel de procesos y
proyectos individuales de TI y no están integradas a
través de todos los procesos. Se han definido
herramientas para monitorear los procesos y los
niveles de servicio de TI.
Administrado y Hay una integración de métricas a lo largo de todos los

Medible proyectos y procesos de TI. Los sistemas de reporte de
la administración de TI están formalizados.
Optimizado Un proceso de mejora continua de la calidad se ha

desarrollado para actualizar los estándares y las
políticas de monitoreo a nivel organizacional
incorporando mejores prácticas de la industria. Todos
los procesos de monitoreo están optimizados y dan
soporte a los objetivos de toda la organización.
Nivel de madurez: el proceso de monitorear y evaluar el desempeño TI se encuentra el nivel

1.
Recomendaciones: se recomienda a corto plazo la realización de un marco de trabajo de
monitoreo general garantizado por la gerencia, a largo plazo se recomienda identificar e
iniciar medidas correctivas sobre el desempeño de TI.
EM2 - Monitorear y evaluar el control interno
Establecer un programa de control interno efectivo para TI requiere un proceso

bien definido de monitoreo. Este proceso incluye el monitoreo y el reporte de las
excepciones de control, resultados de las auto-evaluaciones y revisiones por parte
de los terceros. Un beneficio clave del monitoreo del control interno es
proporcionar seguridad respecto a las operaciones eficientes y efectivas y el
cumplimiento de las leyes y regulaciones.
Objetivo EM2: proteger el logro de los objetivos TI y cumplir las leyes y

reglamentos relacionados con TI, a través del monitoreo de los procesos de control
interno para las actividades relacionadas con TI e identificar las acciones de
mejoramiento.
EM2: Monitorear y evaluar el control interno
No
cumple
No Existente La organización carece de procedimientos para

monitorear la efectividad de los controles internos. Los
métodos de reporte de control interno gerenciales no
existen.
Inicial / Ad Hoc La gerencia reconoce la necesidad de administrar y

asegurar el control de TI de forma regular. La
experiencia individual para evaluar la suficiencia del
control interno se aplica de forma ad hoc. La gerencia
de TI no ha asignado de manera formal las
responsabilidades para monitorear la efectividad de los
controles internos.
Repetible pero La organización utiliza reportes de control informales

Intuitivo para comenzar iniciativas de acción correctiva. La
evaluación del control interno depende
Definido Se ha definido un programa de educación y

entrenamiento para el monitoreo del control interno.
Se ha definido también un proceso para auto-
evaluaciones y revisiones de aseguramiento del
control interno, con roles definidos para los
responsables de la administración del negocio y de TI
Administrado y Se han implantado herramientas para estandarizar

Medible evaluaciones y para detectar de forma automática las
excepciones de control. Se ha establecido una función
formal para el control interno de TI, con profesionales
especializados y certificados que utilizan un marco de
trabajo de control formal avalado por la alta dirección.
Optimizado La gerencia tiene implantado un marco de trabajo para

el monitoreo del control interno de TI. La organización
ha establecido niveles
de tolerancia para el proceso de monitoreo del control
interno.

Recomendaciones: Monitorear de forma continua, comparar y mejorar el ambiente de
control de TI y el marco de trabajo control de TI para satisfacer los objetivos
organizacionales. A largo plazo se recomienda identificar e iniciar correctivas sobre el
desempeños de TI.
EM3 - Garantizar cumplimiento regulatorio.
Una supervisión efectiva del cumplimiento regalatorio requiere del

establecimiento de un proceso independiente de revisión para garantizar el
cumplimiento de las leyes y regulaciones. Este proceso incluye la definición de
un declaración de auditoría, independencia de los auditores, ética y estándares
profesionales, planeación, desempeño del trabajo de auditoría y reportes y
seguimientos a las actividades de auditoría.
Objetivo EM3: la identificación de todas las leyes y regulaciones aplicables y el

nivel de correspondiente de cumplimiento de TI y la optimización de los procesos
de TI para reducir el riesgo de no cumplimiento.
EM3: Garantizar cumplimiento regulatorio
No
cumple
No Existente Existe poca conciencia respecto a los requerimientos

externos que afectan a TI, sin procesos referentes al
cumplimiento de requisitos regulatorios, legales y
contractuales.
Inicial / Ad Hoc Existe conciencia de los requisitos de cumplimiento

regulatorio, contractual y legal que tienen impacto en
la organización. Se siguen procesos informales para
mantener el cumplimiento, pero solo si la necesidad
surge en nuevos proyectos o como respuesta a
auditorías o revisiones.
Repetible pero Existe el entendimiento de la necesidad de cumplir con
Intuitivo los requerimientos externos y la necesidad se
comunica. En los casos en que el cumplimiento se ha
convertido en un requerimiento recurrente., como en
los reglamentos regulatorios o en la legislación de
privacidad, se han desarrollado procedimientos
individuales de cumplimiento y se siguen año con año.
Definido Se han desarrollado, documentado y comunicado

políticas, procedimientos y procesos, .para garantizar
el cumplimiento de los reglamentos y de las
obligaciones contractuales y legales, pero algunas
quizá no se sigan y algunas quizá estén desactualizadas
o sean poco prácticas de implementar.
Administrado y Existe un esquema formal de entrenamiento que

Medible asegura que todo el equipo esté consciente de sus
obligaciones de cumplimiento. Las responsabilidades
son claras y se entiende el empoderamiento de los
procesos. El proceso incluye una revisión del entorno
para identificar requerimientos externos y cambios
recurrentes.
Optimizado Existe un proceso bien organizado, eficiente e

implantado para cumplir con los requerimientos
externos, basado en una sola función central que
brinda orientación y coordinación a toda la
organización.

Recomendaciones: Identificar, sobre una base continua, leyes locales e internacionales,
regulaciones, y otros requerimientos y metodologías de TI de la organización. A largo plazo
se recomienda evaluar el cumplimiento de las políticas, estándares y procedimientos de TI.

Cobit 5

Cargado por

Cobit 5

Cargado por

UNIVERSIDAD NACIONAL DE INGENIERÍA

Facultad de Ciencias y Sistemas

Br. Barberena Fuentes Samuel Mohasir 2016-0721U

Br. Mario José Ramos Mejía. 2015-0818U

MSC. MBA. ING. EVELYN DEL CARMEN ESPINOZA ARAGON.

Managua, junio de 2021

1.1.- Descripción de la empresa

y Aderezos, en las cuales se elaboran un total de 24 productos que son los

siguientes : Salsa Inglesa, Vinagres, Salsa de Tomate, Encurtidos en Vinagre,

Vainilla, Frambuesa, Pepinillos Agridulce, Achiote en pasta, Salsa China,

Chiles(Jalapeños y Cabro), Plátanos fritos, Papas fritas, Chicharrones, Maní

Te con limón, Ponche de frutas Y Toronja).

Estos Productos están dirigidos para comercializarse en el mercado Nacional, pero

pronto lo estarán para el extranjero. La categoría de la planta podría ubicarse entre

lo que es una planta artesanal y una semi-Industrial.

La empresa ya inicio el establecimiento del sistema de calidad, podría decirse que

se encuentra en un proceso de KAIZEN (Mejoramiento continuo). Entre los

avances alcanzados podemos citar los manuales de buenas prácticas

manufactureras, capacitación de personal y la introducción de nuevos equipos.

También la empresa se encuentra mejorando las instalaciones y otros aspectos

basándose en las recomendaciones realizadas por la consultoría del proyecto de

establecimiento de las BPM: IICA/EPAD/CONAFRUVE.

1.2.- Reseña histórica

La empresa nacida en 1948 en la ciudad de granada como una pequeña industria

casera produciendo en aquel entonces. Salsa inglesa, Salsa de tomate, Chile y

otros, con los cuales se dio a conocer en la cocina nacional.

En 1998 cambia la razón social a “Nicaragua agroindustrial, S.A.” (NAISA) debido al

conservando las salsas y aderezos con la marca “Doña coco”.

1.3.- Ubicación geográfica

Nicaragua Agroindustrial se encuentra ubicada en el Bo. Altagracia de la Comercial

Zumen 3 c. al Norte, 1 c al oeste y ½ c. al norte.

1.4.1.- Objetivos de la empresa

Fomentar el desarrollo agro-industrial y dar valor agregado a los productos

provenientes del agro.

Ofrecer productos al público consumidor con los estándares de calidad

internacional, basados exclusivamente en la naturaleza de los productos

Se considera a sí mismo como una empresa que promueve el desarrollo agro-

industrial, basándose principalmente en la explotación, proceso y conservación

de frutas y vegetales, así mismo la comercialización y exportación con valor

agregado y con un enfoque de desarrollo integral sostenible.

Trabajo en equipo, con honestidad y respeto para sus trabajadores, clientes y

proveedores. Manteniendo un ambiente de trabajo, relación Ganar – Ganar

donde nuestra institución mantiene un trato equitativo y justo.

La dirección de la empresa Nicaragua Agroindustrial S.A (NAISA) está a cargo

de una junta directiva y un gerente general los cuales se encuentran establecidos

estatuaria y reglamentaria mente como los órganos de dirección. A partir de aquí

2.- Metodología COBIT 5

El COBIT es un modelo para auditar la gestión y control de los sistemas de

 PLANIFICACION Y ORGANIZACION: Este dominio cubre la estrategia y

Mantener  Elaboración de presupuesto anual de Anual

Mantener el  Establecer criterios de venta Anual

 Definir la arquitectura de la información

Arquitectura de Sistemas de Información: Describe cada uno de los sistemas de

 Determinar la dirección tecnológica.

 Definir procesos, organización y relaciones de TI.

 Administrar la inversión en TI.

 Comunicar las aspiraciones y la dirección de la gerencia.

Niveles de los modelos de madurez

Nivel 0 No La gerencia no ha establecido un ambiente positivo de

La gerencia es reactiva al resolver los requerimientos

La gerencia tiene un entendimiento implícito de las

La gerencia ha elaborado, documentado y comunicado

La gerencia asume la responsabilidad de comunicar las

El ambiente de control de la información está alineado

GRADO DE MADUREZ: El proceso de comunicación de los

Observación OBJETIVOS NO CUMPLIDOS La gerencia no reconoce la

Recomendaciones PO6: El objetivo primordial de un modelo de madurez es el ascender

 Administrar recursos humanos de TI.

 Crear, mantener y desarrollar un contingente de Recursos Humanos con habilidad y mo-

P08: Administrar la Calidad

La administración carece de un sistema de un proceso

Existe conciencia por parte de la dirección de la

Nivel 2 Se establece un programa para definir y monitorear

La dirección ha comunicado un proceso definido de

El QMS está incluido en todos los procesos,

GRADO DE MADUREZ. El proceso de asegurar el 74