UNIVERSIDAD TÉCNICA DE AMBATO

FACULTAD DE TECNOLOGÍAS DE LA INFORMACIÓN,

TELECOMUNICACIONES E INDUSTRIAL

CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES E

INFORMÁTICOS

Tema:

MODELO COBIT 5.0 (CONTROL OBJECTIVES FOR INFORMATION AND

RELATED TECHNOLOGY) DE AUDITORÍA INFORMÁTICA Y LA GESTIÓN
DE LAS TECNOLOGÍAS DE LA INFORMACIÓN PARA LA EMPRESA DS
CONSTRUCCIONES Y SERVICIOS.

Trabajo de Graduación. Modalidad: Proyecto de Investigación, presentado previo

la obtención del título de Ingeniero en Sistemas Computacionales e Informáticos.

SUBLÍNEA DE INVESTIGACIÓN: Administración de recursos

AUTOR: Yessenia Raquel Carrillo Lalaleo

TUTOR: PhD. Víctor Hugo Guachimbosa Villalba

Ambato – Ecuador

Enero 2020
APROBACIÓN DEL TUTOR

ii
AUTORÍA

iii
APROBACIÓN DEL TRIBUNAL DE GRADO

iv
DERECHOS DE AUTOR

v
 DEDICATORIA

Dedico este proyecto primeramente a Dios por darme la sabiduría y fuerza para
continuar con este anhelado e importante momento para mi vida profesional.
A la memoria de mi padre Francisco, por su esfuerzo y sacrificio, aunque ya no éste
físicamente tengo en mi mente y corazón cada palabra o consejo que me daba con su
eterna sonrisa.
A mi madre Angélica, una mujer excepcional y el pilar más importante en mi vida, le
dedico este proyecto por velar siempre por mi bienestar, educación y brindarme su
amor incondicional.
A mis hermanos Diego y Albita, por sus palabras de aliento para seguir con este
proyecto de investigación.
A mis tíos Carmela y Geovani, unas personas maravillosas que me han demostrado
su apoyo sincero durante esta etapa.

vi
 AGRADECIMIENTO

Agradezco en primer lugar a Dios por haberme otorgado la sabiduría, inteligencia y

humildad para aprovechar las enseñanzas y conocimientos que me han impartidos
mis padres y profesores en cada una de mis etapas.

A mis padres por ser pilar más fuerte a lo largo de mi vida, por su amor y apoyo
incondicional, paciencia, tiempo y por haber confiado en mí, sé que mi padre estará
orgulloso y aunque ya no esté presente sé que disfrutaría al igual como lo está
haciendo mi madre.

A mis hermanos que a pesar de la distancia de una u otra manera han sabido llenar
ese espacio con cada palabra, consejo para llegar a tan anhelado acontecimiento.

A mis compañeros y amigos por afrontar cada reto con la debida obligación y
responsabilidad venciendo juntos cada obstáculo que se nos presentaba, luchando
siempre por nuestro sueño.

Por último y no menos importante a todos mis profesores y tutor de tesis, por la
paciencia, el tiempo y la profesionalidad que ha invertido para que este trabajo de
titulación culmine de la mejor manera.

vii
 ÍNDICE GENERAL DE CONTENIDOS

APROBACIÓN DEL TUTOR ................................................................................................ ii

AUTORÍA ............................................................................................................................. iii

APROBACIÓN DEL TRIBUNAL DE GRADO ................................................................... iv

DERECHOS DE AUTOR....................................................................................................... v

DEDICATORIA .................................................................................................................... vi

AGRADECIMIENTO .......................................................................................................... vii

RESUMEN EJECUTIVO ..................................................................................................... xv

CAPÍTULO I.- MARCO TEÓRICO ....................................................................................... 1

1.1 Antecedentes Investigativos .................................................................................... 1

1.2 Objetivos ................................................................................................................. 4

CAPÍTULO II.- METODOLOGÍA ......................................................................................... 5

2.1 Materiales ................................................................................................................ 5

2.1.1 Humanos ......................................................................................................... 5

2.1.2 Institucionales.................................................................................................. 5

2.1.3 Otros ................................................................................................................ 5

2.2 Métodos................................................................................................................... 5

CAPITULO III.- RESULTADOS Y DISCUSIÓN ............................................................... 21

3.1 Análisis y discusión de los resultados.................................................................... 21

3.1.1 Generalidades Empresariales ......................................................................... 21

3.1.1.1 Información de la empresa ............................................................................ 21

3.1.1.2 Antecedentes históricos ................................................................................. 21

3.1.1.3 Localización y datos referentes a la empresa ..................................................... 22

3.1.1.4 Aspectos legales ................................................................................................ 22

3.1.1.5 Personería Jurídica ............................................................................................ 25

3.1.1.6 Características de operación y funcionamiento.................................................. 25

viii
 3.1.2 Características específicas empresariales ............................................................. 26

3.1.2.1 Actividades de la empresa en su entorno ........................................................... 26

3.1.2.2 Estructura organizacional .................................................................................. 28

3.1.2.2.1 Organigrama Estructural................................................................................. 28

3.1.2.2.2 Organigrama Posicional ................................................................................. 29

3.1.2.2.3 Organigrama Funcional .................................................................................. 30

3.1.2.3 Direccionamiento Estratégico............................................................................ 31

3.1.2.3.1 Misión ............................................................................................................ 31

3.1.2.3.2 Visión ............................................................................................................. 31

3.1.2.3.3 Objetivos ........................................................................................................ 31

3.1.2.3.4 Valores Corporativos ...................................................................................... 32

3.1.2.3.5 Análisis FODA ............................................................................................... 32

3.1.2.3.6 Recursos informáticos empresariales .............................................................. 33

3.1.2.3.7 Mapa de procesos ........................................................................................... 38

3.1.2.3.8 Diseño de red .................................................................................................. 42

3.1.3 Desarrollo de la propuesta .................................................................................... 44

3.1.3.1 Plan de auditoría de gestión de TI ..................................................................... 44

3.1.3.1.1 Alcance de la auditoría de gestión de TI ......................................................... 44

3.1.3.1.2 Objetivos de Auditoria ....................................................................................... 44

3.1.3.1.3 Procesos de COBIT 5.0 que serán aplicados en la auditoría informática ........ 44

3.1.3.1.4 Determinación de brechas para los procesos a evaluarse según los dominios de
gestión de TI de Cobit 5.0 ............................................................................................. 46

3.1.3.1.5 Determinación de brechas mediante el nivel de capacidad para los procesos de

gestión de TI ................................................................................................................. 48

3.1.3.1.6 Análisis de la evaluación de resultados de la determinación de brechas y

niveles observados de procesos seleccionados .............................................................. 58

3.1.3.1.7 Informe de Auditoría Informática ................................................................. 101

ix
 3.1.3.1.8 Planteamiento de soluciones en base a los resultados del informe de auditoría
informática de la gestión de TI .................................................................................... 104

CAPITULO IV.- CONCLUSIONES Y RECOMENDACIONES ...................................... 116

4.1 Conclusiones ....................................................................................................... 116

4.2 Recomendaciones ................................................................................................ 117

Referencia Bibliográfica ..................................................................................................... 118

Anexos ................................................................................................................................ 120

x
 ÍNDICE DE TABLAS

Tabla 1. Elementos de una auditoría ........................................................................... 6

Tabla 2. Fases de la Auditoría Informática ................................................................. 8
Tabla 3. Pasos para el desarrollo de la auditoría informática.................................... 12
Tabla 4. Dominios de Gestión COBIT 5.0 ................................................................ 15
Tabla 5. Procesos para las TI con respecto al modelo COBIT 5.0 ........................... 16
Tabla 6. Indicadores de evaluación ........................................................................... 19
Tabla 7. Aspectos legales de la empresa ................................................................... 22
Tabla 8. Análisis FODA de la empresa ..................................................................... 32
Tabla 9. Hardware disponible dentro de la empresa ................................................. 33
Tabla 10. Descripción específica de Hardware ......................................................... 34
Tabla 11. Software disponible dentro de la empresa ................................................ 37
Tabla 12. Descripción específica de software ........................................................... 37
Tabla 13. Caracterización del proceso Captación al cliente...................................... 40
Tabla 14. Caracterización del proceso Planificación ................................................ 40
Tabla 15. Caracterización del proceso Aprobación .................................................. 41
Tabla 16. Caracterización del proceso Construcción ................................................ 42
Tabla 17. Criterios de evaluación de procesos TI para determinar las brechas ........ 47
Tabla 18. Resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0 ........................ 48
Tabla 19. Evaluación del proceso APO01 (Gestionar el marco de gestión de TI) con
nivel de capacidad 1 ................................................................................................... 61
Tabla 20. Evaluación del proceso APO02 (Gestionar la estrategia) con nivel de
capacidad 1 ................................................................................................................. 62
Tabla 21. Evaluación del proceso APO03 (Gestionar la arquitectura empresarial) con
nivel de capacidad 1 ................................................................................................... 63
Tabla 22. Evaluación del proceso APO04 (Gestionar la innovación) con nivel de
capacidad 1 ................................................................................................................. 65
Tabla 23. Evaluación del proceso APO07 (Gestionar los recursos humanos) con nivel
de capacidad 1 ............................................................................................................ 67
Tabla 24. Evaluación del proceso APO08 (Gestionar las relaciones) con nivel de
capacidad 1 ................................................................................................................. 68

xi
Tabla 25. Evaluación del proceso APO09 (Gestionar los acuerdos de servicio) con
nivel de capacidad 1 ................................................................................................... 70
Tabla 26. Evaluación del proceso APO010 (Gestionar los proveedores) con nivel de
capacidad 1 ................................................................................................................. 71
Tabla 27. Evaluación del proceso APO011 (Gestionar la calidad) con nivel de
capacidad 1 ................................................................................................................. 73
Tabla 28. Evaluación del proceso APO012 (Gestionar el riesgo) con nivel de
capacidad 1 ................................................................................................................. 74
Tabla 29. Evaluación del proceso APO013 (Gestionar la seguridad) con nivel de
capacidad 1 ................................................................................................................. 76
Tabla 30. Evaluación del proceso BAI02 (Gestionar la definición de requisitos) con
nivel de capacidad 1 ................................................................................................... 77
Tabla 31. Evaluación del proceso BAI03 (Gestionar la identificación y construcción
de soluciones) con nivel de capacidad 1 .................................................................... 78
Tabla 32. Evaluación del proceso BAI04 (Gestionar la disponibilidad y la capacidad)
con nivel de capacidad 1 ............................................................................................ 80
Tabla 33. Evaluación del proceso BAI06 (Gestionar los cambios) con nivel de
capacidad 1 ................................................................................................................. 82
Tabla 34. Evaluación del proceso BAI09 (Gestionar los activos) con nivel de
capacidad 1 ................................................................................................................. 83
Tabla 35. Evaluación del proceso DSS01 (Gestionar operaciones) con nivel de
capacidad 1 ................................................................................................................. 85
Tabla 36. Evaluación del proceso DSS02 (Gestionar peticiones e incidentes de
servicio) con nivel de capacidad 1 ............................................................................. 87
Tabla 37. Evaluación del proceso DSS03 (Gestionar problemas) con nivel de
capacidad 1 ................................................................................................................. 88
Tabla 38. Evaluación del proceso DSS04 (Gestionar la continuidad) con nivel de
capacidad 1 ................................................................................................................. 90
Tabla 39. Evaluación del proceso DSS05 (Gestionar servicios de seguridad) con nivel
de capacidad 1 ............................................................................................................ 92
Tabla 40. Evaluación del proceso DSS06 (Gestionar controles de proceso de negocio)
con nivel de capacidad 1 ............................................................................................ 94

xii
Tabla 41. Evaluación del proceso MEA01 (Supervisar, evaluar y valorar el
rendimiento y la conformidad) con nivel de capacidad 1 .......................................... 95
Tabla 42. Evaluación del proceso MEA02 (Supervisar, evaluar y valorar el sistema de
control interno) con nivel de capacidad 1 .................................................................. 97
Tabla 43. Evaluación del proceso MEA03 (Supervisar, evaluar y valorar la
conformidad con los requerimientos externos) con nivel de capacidad 1 ................. 99
Tabla 44. Soluciones de gestión y control de las TI................................................ 104
Tabla 45. Roles de usuarios propuestos……………………...……………………108

xiii
 ÍNDICE DE FIGURAS

Figura 1. Dominios de Gestión del Modelo COBIT 5.0 ........................................... 14

Figura 2. Nivel de capacidad del proceso según PAM (Process Assessment Model)
.................................................................................................................................... 18
Figura 3. Atributos de proceso .................................................................................. 19
Figura 4. Escala de evaluación .................................................................................. 20
Figura 5. Mapa de procesos .................................................................................... 39
Figura 6. Elementos para cableado de red ................................................................ 42
Figura 7. Topología de red ........................................................................................ 43

xiv
 RESUMEN EJECUTIVO

La importancia de esta investigación radica en la existencia de empresas que

comúnmente no realizan una auditoria informática lo que puede generar la incorrecta
toma decisiones, generando una serie de resultados inesperados, afectando la
integridad de la organización.

Debido a esta situación se pretende generar un aporte importante para dichas

empresas, permitiendo establecer políticas y procedimientos bien definidos, para ello
se basará en el modelo de gestión y control Cobit 5.0 según los subprocesos que
corresponden a la gestión de las Tecnologías de la Información (TI), que es una de las
más utilizadas en todo el mundo para auditar las tecnologías informáticas
empresariales; generando calidad, confiabilidad y control de las mismas, permitiendo
la factibilidad en la evaluación y gestión de las TI, así como la presentación de
propuestas de mejoras a los procesos involucrados.

Todo esto basándose en la línea de investigación como es la administración de

recursos que relaciona la gestión en cuanto al rendimiento y funcionamiento de todo
lo que conforma la entidad, estableciendo la satisfacción en sus intereses.

Al realizarse los procesos adecuados los beneficiarios indirectos serán los clientes,
brindando un mejor servicio y protección a sus datos, y por otra parte quienes se
benefician directamente serán todos los que conforman la compañía limitada “DS
Construcciones y Servicios”, en virtud de ya que mediante una correcta auditoría
informática podrán decidir de mejor manera qué hacer frente a un problema respecto
a las TI.

Para DS Construcciones y Servicios el desarrollo de una auditoria informática

también ayudaría a su imagen corporativa que les permitiría destacarse y diferenciarse
de las demás, obteniendo un valor alto con respecto a otras empresas dedicadas a esta
labor, que no llevan este tipo de procesos para el control de todas las herramientas
tecnológicas usadas en la entidad

xv
 CAPÍTULO I.- MARCO TEÓRICO

1.1 Antecedentes Investigativos

Según el trabajo presentado en la Universidad Nacional de Chimborazo por Rosa
Alexandra Gálvez Morocho con el título de “Auditoría Informática de la Cooperativa
de Ahorro y Crédito Fernando Daquilema aplicando el marco de trabajo COBIT”
concluye lo siguiente:
Al aplicar el marco de trabajo Cobit en una auditoría informática se logró analizar la
incidencia de los objetivos de la cooperativa a través de los indicadores
correspondientes a la variable dependiente [1].
Realizando la gestión de los recursos tecnológicos, se identificó el estado funcional
y físico de los equipos con los que cuenta la cooperativa, para invertir en
mantenimiento o para adquirir nuevos equipos [1].
En el estudio realizado bajo el título “Modelo de auditoria para el mejoramiento del
sistema de control interno de instituciones financieras en Colombia basado en
lineamientos de la ley Sarbanes Oxley sección 404”, en la Universidad Católica de
Colombia; Daniel Arturo Alejo Blanco y Erika Alejandra García Hernández,
manifiestan que al realizar una evaluación de riesgos del área Financiera y del área de
Tecnología se logró comprender el proceso de la gestión de riesgos como parte
fundamental de la auditoria [2].
Mediante el desarrollo del análisis de auditoría se logró identificar el nivel de
madurez de los controles internos dentro de las áreas de la entidad, emitiendo sus
respectivas directrices [2].
De manera similar, en la Universidad Regional Autónoma de los Andes, Miguel
Gerardo Guapulema Martínez mediante el trabajo desarrollado con el título
“Implementar el sistema Cobit 5 en los procesos de Auditoría Informática en la
Corporación Jarrín Herrera Cía. Ltda. Agencia Babahoyo”, expone que al implementar
una herramienta tecnológica basada en el modelo Cobit 5 se logra mejorar los
procesos, el control y la evaluación, para cumplir los objetivos de la empresa [3].
Agrega también que, la Auditoría Informática ayuda a evaluar las necesidades de la

1
entidad en cuanto a los recursos tecnológicos, permitiendo lograr un adecuado al
control interno de la información, para alcanzar las propuestas planteadas [3].
En el Instituto Científico y Tecnológico del Ejército, con la investigación presentada
por Bach Jhair Villa Pozo, titulada “La implementación de tecnologías de la
información y comunicaciones y su relación con la gestión administrativa en la 5ta
brigada de servicios, el 2016”, se refleja que al momento de realizar el análisis de las
encuestas sobre el uso de las tecnologías de la información y comunicaciones por parte
del personal, se comprobó que carecen de capacitaciones para tener claro las funciones
de cada una de las TI [4].
Agrega, que al implementar en la quinta brigada de servicios una herramienta de
gestión, se logró optimizar la calidad de las TI, que nos ayuda a la toma de decisiones
en el caso de realizar su mantenimiento o para la adquisición de nuevos dispositivos
informáticos. Los empleados de la 5ta Brigada de servicios deberán asistir a talleres
en los cuales adquirirán el conocimiento suficiente de las herramientas para emplearlos
de la manera adecuada, mejorando la satisfacción de los usuarios [4].
En análisis parecidos y expuestos en el trabajo presentado en la Universidad de Chile
por Juan Carlos Febres Barahona, Daniel Libuy Mena y Pamela Tapia Grandón bajo
el título “Análisis del uso de las tecnologías de la información y comunicación en los
establecimientos educacionales de Chile: Caso del Colegio Santo Tomás de la Comuna
de Ñuñoa”, estos autores concuerdan en que en la comuna antes referida existe una
cantidad considerable de estudiantes y la instalación de hardware no es suficiente para
el desarrollo de aprendizaje, es decir previo al análisis de las TI, se requiere
implementar más hardware y un buen software que esté relacionado con su educación
[5].
Por lo anterior, recomiendan se realicen capacitaciones a encargados, docentes y se
culminará con los estudiantes considerando que este tipo de preparación ayudaría a
estar más al tanto que las TI junto con las herramientas de educación son necesarias e
importantes para su desempeño institucional [5].
Pablo Guachamín en el trabajo presentado en la Universidad Andina Simón Bolívar
con el tema “Propuesta de un modelo de gestión por procesos de los servicios de
tecnologías de la información de la dirección de desarrollo tecnológico de la secretaria
de movilidad del municipio del Distrito Metropolitano de Quito”, concluye que la
Dirección Metropolitana de Desarrollo Tecnológico de la Movilidad, no cuenta con

2
una planificación estratégica, a su vez carece de su misión, visión y los procedimientos,
siendo una parte importante que toda entidad ya sea pública o privada debe plantear
[6].
Agregan en sus conclusiones que para el análisis de gestión se trabajó con el modelo
Cobit, el cual permite determinar el nivel de madurez de las TI, y que en cuanto a la
fase inicial se obtuvo como resultado que las mejoras continuas de planeación,
organización, adquisición, implementación, entrega y soporte que este modelo abarca
están presentes, pero en la parte administrativa no la gestionan de la manera adecuada,
por lo cual implementar estándares y marco de referencia para la gestión de procesos
es primordial para esta entidad, así tendría un mejor manejo en cuanto a los procesos
de servicios de las tecnologías de la información [6].
Con el tema “El modelo cobit 5 para auditoría y el control de los sistemas de
información” los autores Ing. Ernesto Mora Aristega, Joffre Vicente León Acurio,
Magdalena Rosario Huilcapi Masacon y Diana Carolina Escobar Mayorga quienes
pertenecen a la Universidad Técnica de Babahoyo, durante su estudio concluye que al
aplicar el modelo Cobit 5.0 ayuda a tener una visión clara en relación a los sistemas
de gestión de las tecnologías de la información así como como las actividades y
funciones que hacen cada una de ellas evaluando su eficacia [13].
Además, menciona que los administradores de sistemas son los que deben estar al
tanto de las metas tanto tecnológicas como corporativas para cumplir con los objetivos
[13].
En la Universidad de Holguín Oscar Lucero Moya los autores Dalilis Escobar Rivera,
Mayra Rosario Moreno Pino y Luis Cuevas Rodríguez presentan el tema “La calidad
de la auditoría en Sistemas de Gestión. Software”, después de hacer su respectivo
análisis dan a conocer sus conclusiones con respecto a la gestión de calidad la misma
que debe basarse en métodos y principios favoreciendo su desarrollo y el nivel de
eficacia [14].

Dan a conocer la falta de control de los problemas que han sido detectados, los cuales
han provocado deficiencias en los procesos de sistema de gestión, ya que los
indicadores no son los adecuados para medir la calidad tecnológica [14].

3
1.2 Objetivos

Objetivo General
• Implementar el modelo COBIT 5.0 (Control Objetives for Information and
related Technology) de Auditoría Informática para la Gestión de las
Tecnologías de la Información para la empresa DS construcciones y servicios.
Objetivos Específicos
1. Evaluar la situación actual de las tecnologías informáticas en la empresa DS
Construcciones y Servicios.
2. Aplicar el modelo Cobit 5.0 con procedimientos estructurados y actividades de
manera lógica y manejable
3. Plantear soluciones de gestión y control de las TI que ayude a la correcta toma
de decisiones en la empresa DS construcciones y servicios.

4
 CAPÍTULO II.- METODOLOGÍA

2.1 Materiales
2.1.1 Humanos
• Investigador.
• Docente tutor de la investigación de la Universidad Técnica de Ambato,
Facultad de Ingeniería en Sistemas, Electrónica e Industrial, Carrera de
Ingeniería en Sistemas Computacionales e Informáticos.
2.1.2 Institucionales
• Bibliotecas y repositorios virtuales de la Universidad Técnica de
Ambato.
• Acceso a Internet.
2.1.3 Otros

No Detalle Valor
1 Materiales de oficina $30
Copias e Impresiones $20
2 Laptop $1000
4 Internet $80
5 Transporte $100
6 Imprevistos $50
$1280

2.2 Métodos
En el desarrollo del presente estudio se aplicó como metodología del proyecto el
Modelo COBIT 5.0 “Control objectives for information and related technology”.
Modelo que se describe a continuación y que tiene su punto de partida en la realización
de una auditoría informática dentro de una organización como proceso de gran
importancia, en virtud de que ayuda al estudio de los mecanismos de control,
determinando si son correctos y que están cumpliendo con los objetivos planteados
dentro de la entidad.
Una auditoría de carácter general se basa en procesos sistemáticos comprendidos en
una serie de pasos estructurados y organizados los cuales evalúan cada una de las

5
actividades que la empresa realiza, además ayuda a verificar que la información ya sea
financiera, operacional o administrativa sea real y oportuna [2].
Entre sus objetivos está el control de lo que corresponde a la función informática,
todo lo que tiene que ver con la eficiencia de los sistemas, evaluación de las normas
frente al ámbito que se trabaje, y la revisión de gestión de recursos humanos,
mejorando así el desempeño, rentabilidad, fiabilidad, seguridad, eficacia, privacidad.
Existen diferentes tipos de auditorías, como son entre otros: Externa, interna,
operacional de sistemas o especiales, informática, pública gubernamental, integral,
forense, fiscal, financiera, de recursos humanos, ambiental [2].
Se las puede aplicar en diferentes organizaciones y son realizadas por profesionales,
que emitan el análisis previo a la evaluación y así poder emitir recomendaciones para
llevar de manera correcta dichos procesos; evaluación propia a partir de [2].
Para dicha aplicación o en el desarrollo de una auditoría se establecen elementos que
se deben tener en cuenta, especificados en la Tabla 1.

Tabla 1. Elementos de una auditoría

Elemento Descripción

Independencia El desarrollo de una auditoría no debe tener

restricciones, se realizará basado en su propio criterio.
Establecida Cuando la entidad otorga el permiso para que sea
realizada sin impedimento alguno.
Examinadora Evaluar toda la información obtenida durante la primera
fase, examinándola de la mejor manera.
Actividades Referente a todas las actividades establecidas por la
entidad y aplicables para su alcance jurisdiccional.
Servicios Una vez finalizada la auditoría se tendrá el resultado de
crecimiento dentro de la entidad.
Intervención de la Forman parte todo el personal, tanto la parte
entidad administrativa y en caso de ser una organización
dedicada a servicios varios serían los accionistas, para
comprobar el alcance que se obtuvo gracias al
desarrollo de la auditoría.

6
 Elemento Descripción

Prevención y control Se planteará mecanismos de control elaborados por el

auditor, mediante la implementación de actividades y
procesos para dar una mejor gestión de riesgos en la
empresa.
Fuente: Elaboración propia a partir de [7]

Dentro de la Auditoría se debe tener claro su alcance y la persona quien será el auditor
dentro de la organización. Cuando nos referimos al alcance de la auditoria o a los
objetivos que fueron planteados, cabe resaltar que son de mayor importancia ya que se
determinará el tiempo que será tomado para la auditoría, si se logrará cumplir lo
propuesto, que profundidad tiene, y el número de empleados que será requerido. Si
el alcance u objetivo fue correcto, entonces se concluirá que la auditoría fue de calidad
[7].

Concomitantemente, el auditor en cambio es la persona encargada de la auditoría de

la empresa pública o privada y deberá realizarla de manera profesional; así mismo
tendrá la libertad al momento de su desarrollo, sin ninguna restricción, y al momento
de presentar los resultados, éstos deberán ser precisos y eficientes. Comúnmente esto
se lo hace con un grupo de personas especializadas en auditorías, siempre y cuando
estén lideradas por el director, el mismo que verificará si se lo hace con
responsabilidad, tomando en cuenta algunas interrogantes como:

• ¿Qué es lo correcto?
• ¿Qué responsable fue la decisión?
• ¿Son válidos los resultados?
• ¿Se puede añadir algo más?

Los mecanismos de apoyo que se hallarán durante el proceso serán de ayuda para el
incremento y mejora dentro de la entidad sin dar importancia si es a fines de lucro o
no[7].

De lo anterior, como parte importante de la Auditoría, encontramos que se define

como un proceso evolutivo de control en el área de informática de las empresas e
instituciones, en virtud de que cada vez existen nuevos riesgos relacionados con la

7
tecnología que va avanzando día tras día y de que personal especializado es el
encargado de realizar las tareas de control interno mediante técnicas, procedimientos
y metodologías, con el fin de brindar un valor agregado, para su evaluación, emitiendo
así opiniones y recomendaciones para cumplir los objetivos de la entidad [8]. Es
aplicada a diferentes recursos como:

• Talento humano
• Tecnológicos
• Software
• Procedimientos

Para el procedimiento de aplicación existen 7 fases en el desarrollo de la auditoría

informática. Mediante estas fases se realiza las auditorías informáticas, logrando un
análisis del control interno de la organización, de la manera como se describe a
continuación, en la Tabla 2:

Tabla 2. Fases de la Auditoría Informática

Fases Clasificación Descripción

1. Conocimientos Aspectos legales y Basado en las políticas de

del sistema políticas internas. seguridad, para la toma de
decisiones, regido en
mecanismos informáticos.

Conocimientos del sistema Optar por el organigrama

operativo y aplicaciones de la empresa, el manual de
del ordenador. las actividades que son
asignadas a los empleados
quienes hacen uso de los
sistemas, aplicaciones y,
por lo tanto, los que están al
tanto de los procesos.
Es importante tener los
manuales técnicos de las
aplicaciones, lista de los

8
 Fases Clasificación Descripción

equipos tecnológicos, tener

claro la seguridad de
acceso a los programas y
del almacenamiento de
datos e información que es
relevante.
2. Análisis de Definición de Se refiere a todos los
transacciones y transacciones. procesos y subprocesos
recursos asignados por
administradores.
Análisis de transacciones. Para proceder a este paso se
usan los flujogramas los
mismos que permiten
visualizar el
funcionamiento paso a
paso de los procesos.
Análisis de recursos. Identificar las herramientas
que se usan para los
sistemas que hacen
relación con las
transacciones.
3. Análisis de Identificación de riesgos. Chequeo de los problemas
riesgos y físicos de los recursos,
amenazas pérdida de información y
de documentos (archivos,
informes), de dispositivos
de almacenamiento, fallos
en la operatividad de tareas
y su déficit, así como el
hallazgo de errores.

9
 Fases Clasificación Descripción

Identificación de Todo lo que relaciona a los

amenazas. equipos, informes y
aplicaciones, partiendo
desde la observación del
funcionamiento de sus
recursos.
4. Análisis de Codificación de controles. Programación basada a los
controles grupos que pertenece cada
uno de los recursos
identificados.
Se comienza con el análisis
de los controles
identificados por el auditor
para brindar una seguridad
correcta.
5. Evaluación de Objetivos de evaluación. Observar las operaciones
controles. de control que existen, así
como los que son
requeridos.
Pruebas de controles. Elección de la prueba que
se va a realizar, el lugar, es
decir el área especificada
con todos los elementos
para que se proceda de la
forma adecuada.
6. Informe de Informe de Mediante los resultados
auditoría recomendaciones. obtenidos de los análisis
realizados se hace su
respectiva evaluación y se
procede a emitir un
informe de resumen para la

10
 Fases Clasificación Descripción

gerencia, detallando los

objetivos, alcance, puntos
de vista acerca del control
interno, resultados y
recomendaciones.
7. Seguimiento de Evaluación de controles Relacionado con el
recomendaciones que serán implantados. informe de un seguimiento
que comprende las
revisiones, medidas de
seguridad y objetivos.
Fuente: Elaboración propia a partir de [9]

Por otra parte, el beneficio que aporte este proceso es la confianza en la información
almacenada por TI, por lo cual, el auditor de sistemas debe mantenerse actualizado, en
la técnica o metodología de auditoría informática, gestión planificación y organización
de las TI, infraestructura técnica, protección de activos informáticos, planes de
contingencias de los procesos, entre otros [8]. Razón por la cual, a continuación, se
detallan los principales beneficios:
• Verificar que todos los procesos de las tecnologías de la información presentes en
la organización pueden soportar de forma efectiva las funciones establecidas.
• Comprobar que dentro de la entidad se cumpla con los requerimientos y
regulaciones según el control de TI.
• Recomendar sobre los posibles riesgos, los cuales pueden ocasionar fallos en la
información o datos relevantes y a la continuidad de la entidad.
• Proveer confianza a los clientes, sabiendo que sus datos están seguros y
controlados, en caso de no serlo se procederá al uso de algún plan estratégico.
Por otra parte, están los problemas que pueden ocasionar riesgos en la empresa, ya
que muchos de ellos suceden sin anticipación, por lo mismo no se debe dejar pasar por
alto, y encontrar los posibles peligros.
En el mismo sentido, para el procedimiento de aplicación existen los siguientes pasos
en el desarrollo de la auditoría informática, como se describen en la Tabla 3.

11
 Tabla 3. Pasos para el desarrollo de la auditoría informática

Pasos Descripción

1. Análisis Se debe identificar cuál es el objetivo con el que se

procede a iniciar la auditoría, para dar paso al inventario
de la empresa con los métodos que tienen los sistemas
en relación al uso informático. Las personas que
intervienen en este paso son el gerente, empleadores y
el auditor.
2. Planificación Una vez que se obtuvo la lista de los equipos
informáticos y se tiene claro los objetivos de la
organización, se procederá a planificar la auditoría con
las herramientas para su análisis. Se tomará medidas de
previsión y mejora.
3. Incidencias y En este paso no solo se debe analizar la cantidad de
riesgos incidencias que se están dando en ese instante, sino los
probables riesgos que pueden existir y se den en un
futuro. Por todo esto para prevenir los riesgos se debe
realizar prácticas de mantenimiento las cuales deben ser
concretas y efectivas, aún más cuando se trate de la
seguridad informática que es un tema muy importante
dentro de cualquier empresa.
4. Ejecución Después del análisis, mediante los resultados obtenidos
se tomará medidas las cuales ayudarán a la resolución
de problemas que se están originando y los que pueden
ser prevenidos. Todos los cambios que se harán serán
dirigidos al mejoramiento de la seguridad informática y
a la eficacia de los servicios.
Fuente: Elaboración propia a partir de [10]

Para una adecuada auditoría se debe tener en cuenta algunos aspectos de relevancia
en su desarrollo, los mismos que serán aplicados por el auditor, como son: las técnicas,
peligros y medidas de control y seguridad a continuación se detallan cada una de éstas:

12
a. Técnicas

Este tipo de auditoría también tiene sus técnicas:

• Lotes de Prueba: cuando se ingresa a un sistema el cual permite

verificar su función, incluyendo datos ilógicos y de excepción, así como
transacciones con errores [10].
• Para los ordenadores: comprueba que el uso de los equipos
informáticos son los correctos [10].
b. Peligros

Se debe mencionar los peligros a los que se expone una auditoría entre los
que cabe destacar a los incendios ya que los equipos son muy vulnerables a
este tipo de riesgos, inundaciones ya que debe estar en un piso alto ya que los
pisos bajos son propensos a este tipo de peligros, los robos que pueden ser
provocados intencionalmente y se perdería datos confidenciales y por último
los fraudes que suelen darse por medio de las aplicaciones informáticas [9].

c. Medidas de control y de seguridad

Se tomará algunas medidas garantizando la seguridad de la información

entre los sistemas ya que deberá tener sus normas de clave de acceso a los
datos, estar especificados por los roles ya que algunos sistemas restringen
algunas acciones a los empleados que hacen uso de estos, y mediante el
análisis se irá añadiendo los controles necesarios, algunas de estas son:

• De contingencia: se usa mecanismos que se relacionen con la

información para no sufrir riesgos como son la pérdida de datos o robo
de información, un ejemplo son las copias de seguridad (Backup) las
mismas que pueden ser completas o por partes y en períodos según la
importancia que genere la información de la organización [10].
• De protección: el elemento que más se usa para este tipo de
protecciones es un UPS el cual es un suministro eléctrico generador
de energía eléctrica, cuando se da el caso de que exista una
interrupción eléctrica [10].

13
 Finalmente, como ya se mencionó, en el desarrollo del presente estudio se aplicará
como metodología del proyecto el Modelo COBIT 5.0 “Control objectives for
information and related technology”, que constituye un modelo que ayuda a obtener
un valor óptimo de las TI, además administra y gobierna la información relacionada
con la entidad.

Este modelo se basa en dominios, los cuales son claves para la gestión de las TI dentro
de una entidad [11], como se puede observar en la siguiente Figura 1.

Figura 1. Dominios de Gestión del Modelo COBIT 5.0

Fuente: [11]
Estos dominios de gestión se describen en toda su magnitud en la siguiente Tabla 4.

14
 Tabla 4. Dominios de Gestión COBIT 5.0

Dominios Descripción
N°
1 Alinear, planear y organizar Ayuda para que los procesos de las TI se
adhieran a los objetivos que se ha
planteado en el negocio, así como la
estrategia para que la organización
empresarial y tecnológica sea adecuada,
promoviendo beneficios para la entidad,
así como la reducción de riesgos en caso
de que los haya.
2 Construir, adquirir e implementar Permite cubrir a la organización
generando soluciones al implementarse
nuevos proyectos que satisfagan las
necesidades de la entidad, por lo que
deben ser desarrollados y entregados de
acuerdo con un tiempo establecido y con
un presupuesto correcto.
3 Entregar, dar servicio y soporte Este dominio consiste en la entrega y
asistencia de servicios, teniendo como
fin un único que los sistemas brinden la
integridad y confidencialidad a la
información.
4 Supervisar, evaluar y valorar Todos los procesos serán analizados para
saber el cumplimiento de los mismos,
evaluándolos oportunamente para
detectar posibles anomalías y a la vez
planteando soluciones.

Fuente: Elaboración propia a partir de [11]

Mediante estos dominios se posibilita ayudar a las empresas a la toma de decisiones

con respecto a las tecnologías de la información, además beneficia al generar valor con
relación a la información de activos de la entidad [11].

15
 Estos dominios se aplican en diferentes organizaciones ya que ayuda en actividades
de gobernar y la gestión correcta en su información y la tecnología. Además, beneficia
a las empresas sin tener en cuenta su tamaño o ubicación en la que se encuentra la
entidad [11].
A todo esto, se suma los procesos que son una parte importante a tomarse en cuenta
para una auditoría de sistemas u otro tipo de auditoría, debido a que posee un conjunto
de estándares y alineamientos internacionales como dentro de Cobit 5.0, en el cual se
encuentran los procesos de gestión, permitiendo lograr un resultado medible.
La aplicación de los dominios ayuda a la toma de decisiones dentro de la
organización, en caso de que se haya encontrado algún tipo de riesgo, así las empresas
podrán salir victoriosas frente a cualquier problema previo al control interno que se
hace mediante los dominios [11].
Se otorga relevancia a la gestión de TI, por lo cual se detalla los 4 dominios que se
relacionan con lo antes mencionado, en especial con áreas en las que se necesite de
este proceso, en la siguiente Tabla 5 se especifica los dominios junto con los procesos
del modelo Cobit 5.0.

Tabla 5. Procesos para las TI con respecto al modelo COBIT 5.0

Dominio Procesos Descripción

1.1 APO01 Gestionar el marco de gestión de TI.
1. Alinear,
1.2 APO02 Gestionar estrategia.
Planificar y
1.3 APO03 Gestionar la Arquitectura Empresarial.
Organizar
1.4 APO04 Gestionar la Innovación.
(APO)
1.5 APO05 Gestionar Portafolio.
1.6 APO06 Gestionar el presupuesto y costos.
1.7 APO07 Gestionar los recursos humanos.
1.8 APO08 Gestionar las relaciones.
1.9 APO09 Gestionar los Acuerdos de servicios.
1.10 APO010 Gestionar los proveedores.
1.11 APO011 Gestionar la calidad.
1.12 APO012 Gestionar el riesgo.
1.13 APO013 Gestionar la seguridad.

16
 Dominio Procesos Descripción
2.1 BAI01 Gestionar los programas y proyectos.
2. Construir,
2.2 BAI02 Gestionar la definición de requisitos.
Adquirir e
2.3 BAI03 Gestionar la identificación y la construcción de
Implementar
soluciones.
(BAI)
2.4 BAI04 Gestionar la disponibilidad y capacidad.
2.5 BAI05 Gestionar la introducción de cambios
organizativos.
2.6 BAI06 Gestionar los cambios.
2.7 BAI07 Gestionar la aceptación del cambio y la transición.
2.8 BAI08 Gestionar el conocimiento.
2.9 BAI09 Gestionar los activos.
2.10 BAI010 Gestionar la configuración.
3.1 DSS0 Gestionar las operaciones.
3. Entregar,
3.2 DSS02 Gestionar las peticiones e incidentes de servicio.
dar Servicio
3.3 DSS03 Gestionar los problemas.
y Soporte
3.4 DSS04 Gestionar la continuidad.
(DSS)
3.5 DSS05 Gestionar los servicios de seguridad.
3.6 DSS06 Gestionar los controles de los procesos del negocio.
4.1 MEA01 Supervisar, evaluar y valorar el rendimiento y
4. Supervisar,
conformidad.
Evaluar y
4.2 MEA02 Supervisar, evaluar y valorar el sistema de control
Valorar
interno.
(MEA)
4.3 MEA03 Supervisar, evaluar y valorar la conformidad con
los requerimientos externos.
Fuente: Elaboración propia a partir de [11]

La Tabla 5 menciona los procesos que los auditores ejecutan según las actividades
que realice la empresa, particularmente con el tema de la gestión de las tecnologías de
la información.

Es por eso por lo que de acuerdo a lo que se desee analizar se irán escogiendo lo
procesos con los que se trabajará dentro de la organización, una vez finalizado con

17
todos los procesos seleccionados, se hallarán posibles soluciones en caso de haber
encontrado riesgos, y se tomarán decisiones que beneficien a la empresa para que sea
más eficiente en sus procesos, y tenga un control adecuado del control de las TI con
las que cuente.
Para la medición de los procesos se cuenta con un marco el cual indica los niveles
para su evaluación determinando la calificación para cada uno de los procesos, el rango
de escala para la medición será de 0 a 5 (Incompleto, realizado, gestionado,
establecido, predecible, optimización) como se presenta en la Figura 2 [12].
El nivel de capacidad 1, evalúa si se ha cumplido con su propósito, y los niveles de 2
a 5 se relaciona con los indicadores de desempeño de los procesos del modelo COBIT.

Figura 2. Nivel de capacidad del proceso según PAM (Process Assessment

Model)

Fuente: [12]
La escala de procesos presentada en la Figura 2 se basa en el modelo de evaluación
de procesos con sus siglas PAM, el cual puede ser aplicado para cualquier modelo de
auditoría como lo es COBIT con su versión 5.0, el mismo que permite identificar el
nivel de madurez del análisis de los procesos.
Este modelo evalúa los procesos de gestión informática verificando si se cumple con
los indicadores y atributos especificados en la Figura 3, los mismos que son
clasificados por el nivel de capacidad de procesos, determinando la eficacia y
eficiencia de éstos [15].

18
 Figura 3. Atributos de proceso

Fuente: [15]

Cabe destacar a los indicadores de evaluación los cuales se usan para calificar a los
atributos antes mencionados, entre los cuales están de desempeño y de capacidad.

Tabla 6. Indicadores de evaluación

Indicadores Descripción

1. De desempeño Ayuda a la identificación de procesos para

determinar si mantiene el nivel de capacidad 1.
2. De capacidad Evalúan el nivel del 1 al 5. De capacidad 1, si el
atributo es logrado su implementación, y del 2
al 5 estima el rendimiento genérico aplicable en
cada uno de los procesos.

Fuente: Elaboración propia a partir de [15]

Es importante reconocer que, si el nivel de capacidad que alcanza un proceso es

mayor, el riesgo de no cumplir con su meta es menor y el costo de operación es
elevado.

Los atributos tienen una escala de calificación estándar, la cual se detalla en la

siguiente Figura 4.

19
 Figura 4. Escala de evaluación

Fuente: [15]

El nivel N quiere decir que no se ha logrado en su totalidad el atributo, P significa

que está próximo a cumplirse, L existen pequeñas debilidades que afectan a su
cumplimiento, F su meta es concluida y el proceso evaluado sin debilidad alguna.

La escala presentada anteriormente la usa los evaluadores para determinar la

capacidad correspondiente a cada uno de los procesos analizados. [15]

Una regla clave para la calificación es cuando al menos todos los atributos son
cubiertos y los atributos de un nivel anterior ya han sido completados en su totalidad,
en este caso irá la letra L o F.

20
 CAPITULO III.- RESULTADOS Y DISCUSIÓN

3.1 Análisis y discusión de los resultados

3.1.1 Generalidades Empresariales
3.1.1.1 Información de la empresa
DS Construcciones y Servicios es una empresa cien por ciento ecuatoriana, fundada
y establecida en la ciudad de Ambato, provincia de Tungurahua para ser una firma
especializada en la Ingeniería Civil y Arquitectura Urbanista e Interiorista. Con la
finalidad de atender las necesidades crecientes del mercado constructivo de la
provincia y del país en el área de: diseño, planificación, presupuestos, aprobación y
construcción de proyectos, contando con profesionales responsables y con amplia
experiencia.

3.1.1.2 Antecedentes históricos

➢ MAYO 2016.- Nace Grupo Empresarial DS como micronegocio de asesoría

contable, planimetrías y aprobación de planos de construcción.
➢ ENERO 2017.- Apertura su primera oficina en la ciudad de Ambato, en la calle
Rio Palora entre rio Cutuchi y rio Papallacta.
➢ MAYO 2017.- Se realiza una ampliación de las oficinas en la misma dirección
y se cambia el nombre a DS CONSTRUCCIONES Y SERVICIOS
➢ OCTUBRE 2017.- La empresa arranca sus primeras ejecuciones de
construcción con 1 proyecto de Cerramiento y continuando con las
contrataciones hasta llegar a contar con más de 12 funcionarios entre
administrativos y operativos.
➢ NOVIEMBRE 2017.- Nace la figura jurídica formando una compañía de
responsabilidad limitada con el nombre de DELACRUZ SANCHEZ
CONSTRUCCIONES Y SERVICIOS DS&JV CIA. LTDA.
➢ ENERO 2018.- La empresa asume mayor cantidad de proyectos llegando a
mantener hasta 20 funcionarios entre administrativos y operativos.
➢ FEBRERO 2018.- Se realiza el cambio de ubicación de las oficinas a la ciudad
de Ambato a la Avenida Atahualpa y Rio Salado esquina.

21
 ➢ OCTUBRE 2018.- Arranca un proyecto en la ciudad del Tena con un plazo de
seis meses y llegando a una capacidad de 36 funcionarios entre el personal
administrativo y operativo tanto del personal de matriz y oficinas de obra.
➢ HOY EN DÍA DELACRUZ SANCHEZ CONSTRUCCIONES Y
SERVICIOS DS&JV CIA. LTDA. cuenta con 12 funcionarios de planta,
profesionales en cada una de las ramas técnicas, son consultores y
constructores comprometidos con el cumplimiento eficaz de todas las normas
de seguridad industrial, ambiental y calidad del producto final, buscan
posesionarse entre las mejores empresas, por brindar oportunamente las
soluciones técnicas con un asesoramiento personalizado.

3.1.1.3 Localización y datos referentes a la empresa

DS CONSTRUCCIONES Y SERVICIOS CIA. LTDA. Se encuentra localizada en
la provincia: Tungurahua, cantón: Ambato, parroquia: Huachi Chico, Calle: Rio
Salado, Número: S/N, Intersección: Av. Atahualpa, Referencia: Diagonal Al Mall De
Los Andes, Edificio Esquinero de Tres Pisos, colores rojo y beige, celular:
0995625883, teléfono oficina: 032847054, celular: 0984054814, email:
[email protected].

3.1.1.4 Aspectos legales

La compañía de responsabilidad limitada está sometida a las disposiciones de la Ley
de Compañías, el código de comercio, los convenios de las partes y a las normas del
código civil.

El nombre y demás características de la compañía se rigen por las leyes ecuatorianas

y el Estatuto, como que consta a continuación en la Tabla 7:

Tabla 7. Aspectos legales de la empresa

N.- Artículo Resumen

Dos DOMICILIO La compañía es de nacionalidad ecuatoriana y

tendrá su domicilio principal en la parroquia
La matriz de la ciudad de Ambato, provincia
de Tungurahua.

22
 N.- Artículo Resumen

Tres OBJETO SOCIAL Construcción de todo tipo de edificios

PRINCIPAL
residenciales de alturas elevadas. Obras de
construcción distintas de las de edificios,
construcción de sistemas de alcantarillado y de
otras obras de Ingeniería Civil. Construcción
de túneles, carreteras, calles y otras vías para
vehículo o peatones. La compraventa,
importación, distribución y comercialización
de materiales de construcción, en general.
Cuarto PLAZO Es de cincuenta años, contados desde la fecha
de inscripción de su escritura en el Registro
Mercantil. Podrá disolverse antes del
vencimiento del plazo indicado por resolución
de la Junta General de Socios, o por las
causales previstas en la Ley de Compañías, y
podrá prorrogarlo, sujetándose a las
disposiciones legales aplicables.
Cinco CAPITAL Y El capital social fue de mil dólares de los
PARTICIPANTES
estados unidos del norte América, dividido en
mil participaciones iguales acumulativas e
indivisibles de valor nominal de un dólar
americano cada una.
Seis CERTIFICADO DE La compañía entregará a cada uno de los socios
APORTACIÓN
un certificado de aportación en el que constará
su carácter de no negociable, y el número de
participaciones que por su aporte le
corresponda.
Siete PARTICIPACIONES Las participaciones que tiene un socio pueden
cederse por acto entre vivos, a otro u otros
socios de la compañía o de terceros, siempre
que se obtenga el consentimiento unánime del

23
 N.- Artículo Resumen

capital social, y cumpliendo con los requisitos

previstos en la ley de compañías.
Ocho NORMA GENERAL El gobierno de la compañía corresponde a la
Junta General de Socios y a su administración
al Gerente General y al presidente.
Nueve LA JUNTA Está constituida por los socios legalmente
GENERAL DE
convocados y reunidos. Es el órgano supremo
SOCIOS
de la compañía y tiene poderes para resolver
todos los asuntos relativos a los negocios y
aspectos sociales de la compañía.
Diez CLASES DE Las reuniones de junta general serán ordinarias
JUNTAS
y extraordinarias y se reunirán en el domicilio
GENERALES
principal de la compañía para su validez.
Once CONVOCATORIAS La convocatoria a junta general la efectuará el
gerente general de la compañía, mediante la
publicación en uno de los diarios de mayor
circulación con al menos ocho días de
anticipación.
Doce QUORUM DE La Junta General se instalará en primera
INSTALACIÓN
convocatoria con la concurrencia de cincuenta
y uno por ciento del capital social
Trece QUORUM DE Las decisiones se tomarán con la mayoría del
DECISIONES
capital social concurrente en la reunión, los
votos en blanco y las abstenciones se sumarán
a la mayoría.
Catorce FACULTADES DE Corresponde a la junta general de socios el
LA JUNTA
ejercicio de todas las facultades que la ley
confiere a órgano de gobierno de la compañía
de responsabilidad limitada
Quince JUNTA La junta se entenderá convocada y quedará
UNIVERSAL
válidamente constituida en cualquier tiempo y

24
 N.- Artículo Resumen

en cualquier lugar dentro del territorio

nacional, para tratar cualquier asunto siempre
que esté presente todo el capital pagado
Diecisiete PRESIDENTE DE El presidente deberá ser socio de la compañía
LA COMPAÑÍA
y será nombrado por la junta general de socios
para un período de tres años a cuto término
podrá ser reelegido.
Dieciocho GERENTE El gerente general será nombrado por la junta
GENERA DE LA
general de socios para un período de tres años,
COMPAÑÍA.
puede ser socio o no de la compañía, a cuyo
término podrá ser reelegido.
Veinte AUDITORÍA Sin perjuicio de la de fiscalización, la junta
cinco
general de accionistas podrá contratar la
asesoría contable o auditoría de cualquier
persona natural o jurídica especializada,
observando las disposiciones legales sobre esta
materia.

Veinte AUDITORÍA Se regirá a lo que dispone la ley para los

seis EXTERNA
períodos señalados en los artículos respectivos
del estatuto

Fuente: Elaboración propia a partir de la Escritura de Constitución de la

Compañía

3.1.1.5 Personería Jurídica

Aprobado por el Registro Mercantil del Cantón Ambato, Repertorio N°9943 a 27 de
noviembre de 2011, Inscripción N°605.

3.1.1.6 Características de operación y funcionamiento

DS CONSTRUCCIONES Y SERVICIOS CIA. LTDA. cuenta con personal
capacitado para asesorar oportunamente en todo lo relacionado con la construcción de
infraestructura civil y arquitectónica en el momento que lo requiera. Es una empresa

25
donde la política principal es la de servir al cliente, dando todo para seguir trabajando
con eficiencia en el servicio, en la calidad y con precios competitivos.

Cada una de las decisiones es analizada por el equipo administrativo y operativo que
provee soluciones de acuerdo a las necesidades y presupuestos de cada uno de los
proyectos presentados.

Las Sub Gerencias Administrativas están conformadas por personal responsable,

integro y comprometido con proporcionar sus conocimientos para la mejora constante
de la empresa.

3.1.2 Características específicas empresariales

3.1.2.1 Actividades de la empresa en su entorno
Entre las actividades que se dedica la empresa, se tienen:

➢ Atención a los sectores públicos y privados

Asesoramiento personalizado y acompañamiento durante todo el proceso a personas

que desean construir su vivienda propia.

Servicio integral del proceso de construcción a empresas del sector privado y público,
cumpliendo con las garantías técnicas y cabales del proceso contractual.

➢ Planificación y diseño Arquitectónico

La empresa ha cumplido con 60 proyectos de planificación, contemplando desde el

diseño de interiores hasta la aprobación completa de los planos de construcción;
contando con un equipo de profesionales con los criterios necesarios como para
solventar e interpretar los requerimientos del cliente, así como en cumplir con las
normas impuestas por los entes de control.

➢ Proyectos de remodelaciones

La empresa ha realizado 10 proyectos de remodelaciones y adecuaciones

contemplando desde los trabajos de obra civil hasta la configuración de equipos de
seguridad y computación pasando por todo lo que implica a los terminados del
proyecto, contando con la mano de obra calificada en cada una de las actividades que
se requiere, además de contar con el abastecimiento oportuno de material. Proyectos
desarrollados a nivel de toda la provincia de Tungurahua; que como ejemplo se puede

26
citar uno de ellos. A si se tiene que a la fecha marzo 2019, se mantiene en ejecución el
proyecto de remodelación integral desde el diseño 3D hasta el decorado en “La
Alborada”, misma que contamos con un avance programado y cumplido del 40%.

➢ Proyectos de construcción

La constructora ha ejecutado 11 proyectos de construcción dentro de la provincia de

Tungurahua, participando fielmente con toda la capacidad técnica y mano de obra de
calidad para poder ejecutar a cabalidad los proyectos dentro de estos se encuentran
proyectos en obra gris como proyectos con acabados.

Así mismo aún mantiene dos proyectos en ejecución, entre ellos el proyecto de
construcción Tena que su monto de contratación supera los $ 400,000.00 de los estados
unidos.

➢ Compromiso social

La constructora anualmente desarrolla el proyecto solidario DS CONSTRUYENDO

SONRISAS, mismo que tiene como fin ayudar a las personas de escasos recursos
económicos en épocas navideñas, con colaboraciones de caramelos, ropa y juguetes.

27
3.1.2.2 Estructura organizacional
3.1.2.2.1 Organigrama Estructural JUNTA DE ACCIONISTAS Cuadro de Referencia
Autoridad
DEPARTAMENTO GERENCIA GENERAL Subordinación
INFORMÀTICO Coordinación

CONTABILIDAD ASESORÍA LEGAL

GERENCIA DE GERENCIA ADMINISTRATIVA GERENCIA DE

PLANIFICACIÓN PROYECTOS

ÁREA TÉCNICA RECURSOS HUMANOS SUPERINTENDENCIA DE

OBRA

ARQUITECTURA DEPARTAMENTO FINANCIERO RESIDENCIA DE OBRA

GESTIÓN MUNICIPAL
JEFATURA DE PERSONAL JEFATURA DE PERSONAL
OBRA GRIS TERMINADOS

CUADRILLAS

MAS

28
3.1.2.2.2 Organigrama Posicional
3 ACCIONISTAS

1 JEFE DE TIC 1 GERENTE GENERAL

1 CONTADOR 1 ASESOR LEGAL

1 GERENTE DE PLANIFICACION 1 GERENTE ADMINISTRATIVO 1 GERENTE DE

PROYECTOS

1 TÉCNICO 1 RECURSOS 1 SUPERINTENDENTE DE

HUMANOS OBRA

1 ARQUITECTO 1 LOGISTICA 1 RESIDENTE DE OBRA

1 GESTIÓN 1 FINANCIERO
MUNICIPAL 1 JEFE DE 1 JEFE DE PERSONAL
1 COSTOS PERSONAL OBRA TERMINADOS
GRIS
1 VENTAS
1 FACTURACIÓN 10 CUADRILLAS

29
 3.1.2.2.3 Organigrama Funcional

ACCIONISTAS
Planifica, organiza, dirige, controla,
decide, analiza, elabora, planea y
Soluciones delega todas las funciones internas de
informáticas 1 JEFE DE TIC GERENTE GENERAL la empresa.

Controla, aprueba,
programa, facilita
y define procesos y Controla las
GERENTE DE GERENTE GERENTE DE Planifica y controla el
estrategias del actividades del área de
ADMINISTRATIVO avance de la obra
área. PLANIFICACIÓN recursos humanos, PROYECTOS
logística, financiero y
contabilidad. Delega funciones a
Crea, especifica y SUPERINTENDENTE
RECURSOS residentes
define los archivos DE OBRA
TÉCNICO Controla la asistencia HUMANOS
de información.
del personal.
RESIDENTE DE Manejo de libro de
Diseña láminas ARQUITECTO LOGÍSTICA OBRA obra
arquitectónicas. Solicita cotizaciones de
material
JEFE DE PERSONAL
GESTIÓN FINANCIERO OBRA Delega funciones a las
Sigue los procesos Controla el inventario
(GRIS/TERMINADOS) cuadrillas.
municipales MUNICIPAL

MIEMBROS DE Ejecución de obra

Asesora a los VENTAS CUADRILLAS
clientes.

30
3.1.2.3 Direccionamiento Estratégico
3.1.2.3.1 Misión
DELACRUZ SANCHEZ CONSTRUCCIONES Y SERVICIOS DS&JV CIA.
LTDA tiene como Misión:

Proveer las soluciones técnicas de planificación y construcción con calidad,

responsabilidad y cumplimiento para nuestros clientes de los sectores privados y
públicos, con relación de mutuo respeto dentro del marco de sus obligaciones
contractuales, para beneficio de su entorno social, cultural y económico.

3.1.2.3.2 Visión
DELACRUZ SANCHEZ CONSTRUCCIONES Y SERVICIOS DS&JV CIA.
LTDA tiene como Visión:

Ser una empresa líder en el sector de la construcción nacional ofreciendo la mejor

calidad, servicio y precio, logrando el entusiasmo y satisfacción de nuestros distintos
clientes, posicionándonos como una de las mejores empresas Tungurahuenses en
nuestra rama, guiada por el trabajo en equipo y participación de nuestros
colaboradores.

3.1.2.3.3 Objetivos
a. Objetivo General

• Construir todo tipo de edificios residenciales, casas familiares individuales,

edificios multifamiliares, incluso edificios de alturas elevadas, viviendas para
ancianatos, casas para beneficencia, orfanatos, cárceles, cuarteles, convenios,
casas religiosas, incluye remodelación, renovación o rehabilitación de
estructuras existentes.

b. Objetivos Específicos

• Ofertar la compraventa, importación, distribución, y comercialización de

materiales de construcción, en general.
• Adquirir acciones de otras compañías y asociar la empresa a otras sociedades,
empresas o personas naturales,
• Representar comercialmente a empresas y productos, ya sea de origen nacional
o extranjero.

31
 • Realizar toda clase de actos y contratos civiles y mercantiles permitidos por la
ley, relacionados con el objeto social principal.

3.1.2.3.4 Valores Corporativos

La compañía de responsabilidad limitada se basa en los siguientes valores
corporativos:

✓ Trabajo en equipo
✓ Responsabilidad
✓ Honestidad
✓ Compromiso
✓ Optimismo
✓ Puntualidad
✓ Lealtad
✓ Profesionalismo

3.1.2.3.5 Análisis FODA

Tabla 8. Análisis FODA de la empresa

Fortalezas Oportunidades

•El servicio a los clientes es de alto nivel. •Los nuevos proyectos que se pondrán en
marcha satisfagan las necesidades del
•Cada cierto tiempo, los equipos
negocio.
informáticos son evaluados, es decir el
técnico da el respectivo mantenimiento. •Las propuestas se entregarán a tiempo y
dentro del presupuesto.
•La compañía alcanza un uso óptimo de
los recursos. •Cuando los sistemas sean
implementados éstos trabajarán
•Los funcionarios (empleados) tienen
normalmente.
claro los objetivos de las TI.
•Crecimiento en la industria.
•La ubicación geográfica de la empresa
permite el acceso oportuno a los clientes.

32
 Debilidades Amenazas

•No tienen otras opciones antes que •No tiene un plan estratégico para las TI
suceda algún problema con el para los posibles riesgos que puedan
desempeño de las TI. existir.

•Existe deficiencia en los controles •A diferencia de otras compañías, en ésta

internos de la compañía. no se ha realizado auditorías de gestión
de TI.
•No se miden los riesgos y el control con
lo que respecta a las TI. •No existe el personal encargado del
funcionamiento de las TI, que trabaje en
•Los procesos TI no han sido evaluados.
horario permanente, ya que en cualquier
•La seguridad de la información y acceso momento se puede suscitar un problema
a datos es baja. y no hay manera de resolverlo en el
menor tiempo posible.

Fuente: Elaboración propia en base al análisis de la información de la empresa

3.1.2.3.6 Recursos informáticos empresariales

a. Hardware disponible

Tabla 9. Hardware disponible dentro de la empresa

Unidad Gerencia Finanzas Cont. RRHH Arq. Bodega Total

Hardware
1.Equipos principales
Computador 1 0 1 1 1 0 4
Laptop 0 1 0 0 0 0 1
Router 1 1 0 0 0 0 2
Switch 0 1 0 0 0 0 1
Servidor 1 0 0 0 0 0 1
Copiadora 0 0 0 1 0 0 1
Subtotal 3 3 1 2 1 0 10
2.Periféricos Principales

33
Unidad Gerencia Finanzas Cont. RRHH Arq. Bodega Total

Hardware
Monitor 1 1 1 1 1 0 5
Impresora 0 0 0 0 0 0 0
Teclado 1 1 1 1 1 0 5
Mouse 1 1 1 1 1 0 5
Subtotal 3 3 3 3 3 0 15
3.Otros equipos
Teléfono 1 0 0 1 0 0 2
Plotter 0 0 0 0 1 0 1
Cámaras de 0 0 0 0 0 3 3
seguridad
Subtotal 1 0 0 1 1 3 6
Total 7 6 4 6 5 3 31
Fuente: Elaboración propia en base al análisis de la información de la empresa
b. Descripción Hardware

Tabla 10. Descripción específica de Hardware

Unidad Características Características Garantía

principales descriptivas
Computador Windows 10 Pro, 64 bits, Componente para
de escritorio memoria RAM 4GB, trabajar en un lugar
1TB de almacenamiento. fijo. Las actividades La garantía no
Marca LG, procesador que se ejecutarán serán está vigente,
Core i5, cuarta en base a lo que se ya que su
generación. Monitor LG desempeña la empresa. período
20". terminó en el
Laptop Windows 10 Pro, 64 bits, Unidad de trabajo que mes de
8GB de memoria RAM, puede ser movilizada noviembre
1TB de disco duro. de un lugar a otro, 2017.
Marca LG, procesador facilitando a los
Intel Core i5, octava clientes una visión más

34
 Unidad Características Características Garantía
principales descriptivas
generación. Batería larga clara el progreso de su
duración de 72Wh, obra.
display 14" IPS.
Impresora EpsonL355, 4 colores de Impresión de La garantía no
impresión CMYK, acceso documentos que son está vigente, ya
a Wifi, resolución importantes al que su período
máxima para impresiones momento de la terminó en el
5760 x 1440 dpi captación y mes de
compatible para USB 2.0. planificación de obras. noviembre
2017.
Teclado Genius color negro, Dispositivo de entrada,
puerto USB, 8 tecas de el mismo que envía la
acceso rápido. información al
No aplica
computador.
garantía para
Mouse Genius color negro, 1.5 Dispositivo que sirve
este tipo de
metros de longitud de de apuntador, ayuda al
accesorios
cable. manejo del entorno
gráfico de la
computadora.
Switch HPE 1920-24G, 24 Permite conectar La garantía no
puertos, RJ-45, 4 puertos equipos dentro de la está vigente,
SFP 1000 Mbps, 32 MB misma red LAN o red ya que su
flash, memoria SDRAM de área local. período
128 MB, velocidad 41,7 terminó en el
Mbps. Soporta estándares mes de
de red IEEE 802.3, noviembre
802.3ab, 802.3u y 8192 2017.
direcciones MAC.
Router FiberHome modelo Permite una conexión Garantía
HG110, 4 puertos LAN inalámbrica dentro de vigente
RJ-45, tipo de modem todas las unidades de

35
 Unidad Características Características Garantía
principales descriptivas
ADSL, Interface IEEE trabajo dentro de la
802.11 b, puerto DC 12 empresa.
V.
Copiadora RICOH Mpc 2551 Color, Impresora La garantía no
25 copias/minuto, multifuncional, está vigente,
pantalla touch, 2 bandejas configurada en red ya que su
de entrada, 500 hojas. para imprimir desde período
Sistema dúplex, varios computadores, terminó en el
impresiones a doble cara, de 28 páginas por mes de
puerto de red, puerto usb, minuto. noviembre
Sistema alimentador 2017.
automático.
Cámara de Interior y exterior con Ayuda a vigilar el área No aplica
seguridad Wifi 802.11, tiene un de trabajo para que no garantía para
sensor CMOS 1/2 se presentan este tipo de
pulgadas, lente fijo 3.6 inconvenientes, en este accesorios.
mm, iluminación 0.1 lux, caso estas cámaras
ángulo vertical de 46° y están ubicadas en la
horizontal 89°, fuente de bodega de la empresa
alimentación 12 v. ubicada en Sta. Rosa.
Teléfono Panasonic, modelo KX- Permite la No aplica
TE824, color negro, una comunicación con garantía para
línea, memoria para clientes y con los este tipo de
identificación de 100 miembros de la accesorios.
números. empresa en cualquier
momento.
Plotter HP, modelo T120, 24 Diseñado para La garantía no
pulgadas, Wifi imprimir los planos está vigente, ya
incorporado, puerto USB con buena resolución, que su período
2.0, alimentación manual, los mismos que son terminó en el
memoria de 256 MB. mes de

36
 Unidad Características Características Garantía
principales descriptivas
Compatible para MAC y realizados por el noviembre
Windows. Arquitecto. 2017.
Fuente: Elaboración propia en base al análisis de la información de la empresa
c. Software disponible

Tabla 11. Software disponible dentro de la empresa

Software
Unidad De De De De Total
Sistemas Gestión Ingeniería Computadores
Personales
Gerencia 0 3 1 1 5
Finanzas 0 1 0 1 2
Contabilidad 0 1 0 1 2
RRHH 0 1 0 1 2
Arquitectura 0 0 4 1 5
Total 0 6 5 5 16
Fuente: Elaboración propia en base al análisis de la información de la empresa

d. Descripción Software

Tabla 12. Descripción específica de software

Software Descripción Área responsable

MicroPlus Software contable para el manejo de Usado por la gerencia

inventario, emisión de documentos, general, departamento de
facturación electrónica, trámites de finanzas, contabilidad y
tributación. recursos humanos.
ProExcel Herramienta informática que sirve para
el control y administración de obra,
además ayuda a la generación de
ofertas.

37
 Software Descripción Área responsable

Project Aplicación en la que se diseña los El área de gerencia

cronogramas de ejecución de general junto con la de
proyectos. recursos humanos
organizan las actividades
que se realizarán en el
plazo acordado.
Garmin Base Sirve para el monitoreo mediante GPS, La gerencia general tiene
Camp por medio de su dispositivo móvil. a cargo la responsabilidad
Intisign 2.0 Aplicación diseñada para firmar de vigilancia de bodega
electrónicamente. ubicado en Sta. Rosa.

ArchiCAD Permite diseñar en el ordenador el tipo

de edificio que desea en vez de
dibujarlo manualmente, facilitando la
actividad del arquitecto y brindando
una mejor visualización a los clientes. El área de arquitectura
AutoCAD Aplicación que dibuja planos ya se en realiza sus actividades
2D o 3D utilizando imágenes tipo diarias con estas
vectoriales para tener una vista clara. herramientas
SketchUP Es usado para modelados únicamente informáticas.
en 3D con una interfaz manejable y
sencilla.
Photoshop Utilizado para la edición de todo tipo
de imágenes con diseños creativos.
Fuente: Elaboración propia en base al análisis de la información de la empresa

3.1.2.3.7 Mapa de procesos

La empresa DS Construcciones y Servicios ha establecido un mapa de procesos
establecidos por el Gerente General, Gerente de Planificación junto con el área de
Recursos Humanos.

38
 Para la ejecución de cualquier tipo de obra de construcción se basa en 4 procesos, los
mismos que están conformados por subprocesos, en la Figura 5 se especifica cada uno
de éstos detallándose las actividades que serán realizadas de inicio a fin.

Figura 5. Mapa de procesos

DS CONSTRUCCIONES Y SERVICIOS

Procesos

•Seguimiento al cliente.
•Establecer contacto directo en las oficinas.
Subprocesos •Negociación del presupuesto.
•Enganche mediante beneficios para el cliente.
•Términos de contratación.

•Levantamiento planimétrico.
•Panificación-distribución de espacios.
•Aprobación, diseño de fachadas internas y
Subprocesos
externas.
•Dibujo de láminas arquitectónicas.
•Cálculo de láminas estructurales.

•Tramitología municipal.
•Aprobación de láminas arquitectónicas.
Subprocesos
•Aprobación de láminas estructurales.
•Permiso de construcción.

•Limpieza general del predio.

•Trazado de replanteo.
•Excavación.
Subprocesos •Estructura.
•Mampostería de enlucidos.
•Acabados en general y obra exterior.

Fuente: Elaboración propia en base al análisis de la información de la empresa

39
 La siguiente Tabla 13 especifica la caracterización del proceso Captación al cliente
con cada uno de sus subprocesos.

Tabla 13. Caracterización del proceso Captación al cliente

Empresa DS PROCESO:
Construcciones y Servicios
Captación al cliente

Subprocesos Seguimiento al cliente. Objetivo Captar clientes nuevos

Establecer contacto directo en brindando asesoría
las oficinas. tanto a los existentes
Negociación del presupuesto. como a los que hacen su
Enganche mediante ingreso en la empresa,
beneficios para el cliente. gestionando e
Términos de contratación. innovando la
publicidad digital.
Responsable Gerente de Planificación Alcance Desde el seguimiento al
cliente hasta los
términos de
contratación.
Fuente: Elaboración propia en base al análisis de la información de la empresa
En la Tabla 14 se detalla el proceso de Planificación que es una de las actividades en
las que se emplea más tiempo en ser terminada.

Tabla 14. Caracterización del proceso Planificación

Empresa DS PROCESO:
Construcciones y Servicios
Planificación
Subprocesos Levantamiento planimétrico. Objetivo Gestionar y enviar los
Panificación-distribución de archivos respectivos
espacios. para el diseño y calculo
Aprobación, diseño de estructural, incluye
fachadas internas y externas. contacto directo con el
Dibujo de láminas profesional.
arquitectónicas.

40
 Empresa DS PROCESO:
Construcciones y Servicios
Planificación
Cálculo de láminas
estructurales.
Responsable Arquitecto Alcance Desde el levantamiento
planimétrico hasta el
cálculo de láminas
estructurales.
Fuente: Elaboración propia en base al análisis de la información de la empresa
La Tabla 15 detalla el proceso de Aprobación, el mismo que debe ser realizado con
total responsabilidad, ya que son documentos que serán tramitados desde la
municipalidad de la ciudad en la que se procederá la construcción.

Tabla 15. Caracterización del proceso Aprobación

Empresa DS PROCESO:
Construcciones y
Aprobación
Servicios
Subprocesos Tramitología municipal. Objetivo Entregar carpetas con todos
Aprobación de láminas los requisitos en los formatos
arquitectónicas. establecidos por la empresa
Aprobación de láminas para el ingreso a la
estructurales. municipalidad, los mismos
Permiso de que deben ser entregados a
construcción. gestión municipal.
Responsable Gerente de Planificación Alcance Desde la tramitología
Gerente Administrativo municipal hasta el permiso
de construcción.
Fuente: Elaboración propia en base al análisis de la información de la empresa
Finalmente, en la Tabla 16 se presenta le proceso de construcción en el cual se
implementará cada uno de los diseños que ya fueron aprobados, para concluir con la
obra de construcción y entregar al cliente en el tiempo especificado.

41
 Tabla 16. Caracterización del proceso Construcción

Empresa DS PROCESO:
Construcciones y
Construcción
Servicios

Subprocesos Limpieza general del Objetivo Organizar y supervisar al

predio. personal operativo, controlar el
Trazado de replanteo. avance de obra y dar aviso a la
Excavación. dirección técnica de los
Estructura. proyectos.
Mampostería de
enlucidos.
Acabados en general
y obra exterior.
Responsable Comisión Técnica Alcance Desde la limpieza general del
predio hasta los acabados en
general y obra exterior.
Fuente: Elaboración propia en base al análisis de la información de la empresa
3.1.2.3.8 Diseño de red
a. Cableado

El cable usado para la comunicación dentro de la red es el par trenzado UTP el mismo
que ayuda a anular las interferencias externas e internas, con su velocidad en distancias
cortas, junto con los conectores RJ-45 diseñados para ese tipo de cables [17].
Figura 6. Elementos para cableado de red

Fuente: [17]

42
 b. Topología de red

Los dispositivos como el switch y router, éste con acceso a internet, están colocados
en el segundo piso distribuidos para los departamentos de Finanzas, Contabilidad,
Arquitectura, Recursos humanos junto con la copiadora que se encuentra funcionando
en red disponible para todas las áreas de la empresa.

En el tercer piso se encuentra el departamento de Gerencia General, conectada por

medio de un switch para comunicarse en red con las demás oficinas.

La topología que usa la entidad es en Malla ya que todos los dispositivos están
conectados entre sí, permitiendo la comunicación y transferencia de información
mediante carpetas compartidas desde la Gerencia General hacia cada una de las
oficinas y viceversa.

Figura 7. Topología de red

Fuente: Elaboración propia en base al análisis de la información de la empresa

43
3.1.3 Desarrollo de la propuesta
3.1.3.1 Plan de auditoría de gestión de TI
3.1.3.1.1 Alcance de la auditoría de gestión de TI
Este trabajo de auditoría implementa la metodología COBIT 5.0 para el análisis y
evaluación de la gestión de las tecnologías de información, como meta principal.

Se han cubierto todos los procesos y funciones de los sistemas existentes en las áreas
de la organización evaluando su situación actual, cumpliendo así uno de los objetivos
específicos planteados. Todo se lo realiza con el fin de encontrar las deficiencias
existentes y los riesgos, posteriormente se procederá a plantear las conclusiones y con
ello las respectivas recomendaciones para mejorar todo lo relacionado con la gestión
de TI.

3.1.3.1.2 Objetivos de Auditoria

Objetivo General

• Evaluar la gestión de TI dentro de la empresa DS Construcciones y Servicios.

Objetivos Específicos

• Revisar y evaluar los sistemas, procesos y equipamiento informático.

• Verificar la existencia de un plan estratégico informático.
• Verificar si la compra de tecnología se sustenta en políticas definidas por el
departamento de TI.
• Verificar si existen garantías para proteger la integridad de los recursos
informáticos.

3.1.3.1.3 Procesos de COBIT 5.0 que serán aplicados en la auditoría informática

Al momento de seleccionar los procesos relacionados con la gestión de TI se tomó
en consideración lo que sugiere la metodología COBIT 5.0, identificando el nivel de
evaluación que se usará en cada proceso con los dominios.

Cada proceso será evaluado con respecto a la situación actual mediante los niveles
de madurez basado en el modelo de evaluación de procesos PAM presentados en la
Figura 2. Nivel de capacidad de procesos junto con los atributos detallados en la Figura
3. Atributos de proceso, los procesos no necesariamente tendrán que estar en un nivel

44
máximo ya que al menos debe cumplir los requerimientos primordiales de la entidad,
así como los atributos e indicadores.

A continuación, a partir de lo especificado en la Tabla 5.; se presentan los dominios

del modelo COBIT 5.0 que serán analizados en el desarrollo de la auditoría de gestión
de tecnologías informáticas en la empresa DS Construcciones y Servicios, lo que se
evaluará serán 25 de 32 procesos de este modelo de auditoría informática.

➢ Dominio (APO) Alinear, planificar y organizar

Este dominio cubre las tácticas y estrategias, permitiendo mejorar las TI,
logrando cumplir los objetivos de la entidad, para el planteamiento de la
estrategia la cual debe ser administrada de la mejor manera con una estructura
tecnología y organizacional.
• APO01 Gestionar el marco de gestión de TI.
• APO02 Gestionar la estrategia.
• APO03 Gestionar la arquitectura empresarial.
• APO04 Gestionar la innovación.
• APO07 Gestionar los recursos humanos.
• APO08 Gestionar las relaciones.
• APO09 Gestionar los acuerdos de servicio.
• APO010 Gestionar los proveedores.
• APO011 Gestionar la calidad.
• APO012 Gestionar el riesgo.
• APO013 Gestionar la seguridad.
➢ Dominio (BAI) Construir, adquirir e implementar
Es de gran ayuda para el cambio de los sistemas informáticos o para su
mantenimiento, identificando posibles soluciones satisfactorias para el
negocio.
• BAI02 Gestionar la definición de requisitos.
• BAI03 Gestionar la identificación y construcción de soluciones.
• BAI04 Gestionar la disponibilidad y capacidad.
• BAI06 Gestionar los cambios.
• BAI09 Gestionar los activos.

45
 ➢ Dominio (DSS) Entregar, dar servicio y soporte
Incluye la prestación de los servicios, la seguridad, administración de datos e
instalaciones, dar soporte a los clientes.
• DSS01 Gestionar operaciones
• DSS02 Gestionar peticiones e incidentes de servicio.
• DSS03 Gestionar problemas.
• DSS04 Gestionar la continuidad.
• DSS05 Gestionar servicios de seguridad.
• DSS06 Gestionar Controles de proceso de negocio.
➢ Dominio (MEA) Entregar, dar servicio y soporte
• MEA01 Supervisar, evaluar y valorar el rendimiento y la conformidad.
• MEA02 Supervisar, evaluar y valorar el sistema de control interno.
• MEA03 Supervisar, evaluar y valorar la conformidad con los
requerimientos externos.

3.1.3.1.4 Determinación de brechas para los procesos a evaluarse según los

dominios de gestión de TI de Cobit 5.0
Se procede a determinar las brechas para los procesos que serán analizados, ambos
basados en la escala PAM (modelo de evaluación de procesos), el mismo que ayuda a
las evaluaciones ya que proporciona atributos especificados en la figura 3, que llevan
a orientar la interpretación de los procesos y generar resultados basados en:

• Los datos y la información recopilada para proceder a las evaluaciones.

• La determinación de los procesos que logran el propósito del cual fueron
implementados.

Posteriormente se evalúan la diferencia entre la situación actual de la empresa con el

nivel mínimo aceptable (el cual cubre los requerimientos primordiales de la entidad),
entre las brechas se tendrá mínima, moderada o según el cálculo significativa.

Para proceder al respectivo cálculo se ha asignado para el nivel mínimo aceptable el

puntaje 3 según el modelo PAM, esto será estimado para cada uno de los niveles de
capacidad de procesos.

46
La simbología de brechas es la siguiente:

• Significativa
• Moderada
• Mínima

Tabla 17. Criterios de evaluación de procesos TI para determinar las brechas

Nivel Observado NO Nivel Definición de

mínimo brechas
aceptable (NMA-NO)
NMA
Nivel 0 El proceso no es ejecutado o 3 = 3 brecha
Incompleto su propósito no se cumple. significativa
No existe certeza de los
logros establecidos.
Nivel 1 El proceso ha sido 3 = 2 brecha
Realizado implementado y logra su moderada
propósito.
Nivel 2 El proceso es implementado
Administrado y administrado de manera
que los resultados o 3 = 1 brecha mínima
productos finales sean
controlados adecuadamente.
Nivel 3 El proceso implementado es
Establecido capaz de alcanzar resultados <= 0 brecha
eficientes que han sido 3 mínima
esperados.
Nivel 4 El proceso establecido
Predecible trabaja dentro de los límites 3 <= 0 brecha
propuestos y los resultados mínima
se miden.
Nivel 5 Existen mejoras en los <= 0 brecha
Optimizado procesos con el fin de 3 mínima

47
 Nivel Observado NO Nivel Definición de
mínimo brechas
aceptable (NMA-NO)
NMA
satisfacer las necesidades del
negocio.
Fuente: Elaboración propia a partir de los niveles de capacidad y atributos de
procesos según PAM
3.1.3.1.5 Determinación de brechas mediante el nivel de capacidad para los
procesos de gestión de TI
En la siguiente Tabla 18 se redactará el análisis obtenido con la recopilación de
información de la empresa y se relacionará los procesos de los dominios de gestión de
TI del modelo COBIT 5.0; los mismos que serán evaluados según el nivel de madurez
de los procesos y la determinación de brechas presentadas en la Tabla 17.

Tabla 18. Resultado de la determinación de brechas y niveles observados de

procesos seleccionados según los dominios de gestión de TI según Cobit 5.0

Procesos para la gestión de TI según Nivel alcanzado (capacidad de

Cobit 5.0 procesos) y características
Dominio evaluado: Alinear, Planificar y Organizar (APO)

APO01 Gestionar el marco de gestión Nivel Alcanzado = 0 Proceso

de TI Incompleto
“Aclarar y mantener el gobierno de la La compañía de responsabilidad limitada
misión y la visión corporativa de TI. no tiene un plan estratégico de las
Implementar y mantener mecanismos y tecnologías de la información, ya que
autoridades para la gestión de la dentro del plan se definirían las políticas
información y el uso de TI en la empresa para la gestión de las TI.
para apoyar los objetivos de gobierno en
consonancia con las políticas y los
principios rectores.”
APO02 Gestionar la estrategia Nivel Alcanzado = 0 Proceso
Incompleto

48
Procesos para la gestión de TI según Nivel alcanzado (capacidad de
Cobit 5.0 procesos) y características
“Proporcionar una visión holística del Las estrategias de TI no son establecidas,
negocio actual y del entorno de TI, la los riesgos no son identificados por lo
dirección futura, y las iniciativas que las tecnologías podrían generar
necesarias para migrar al entorno problemas en los procesos.
deseado. Aprovechar los bloques y El plan estratégico informático debe ser
componentes de la estructura relevante, y no ha sido posible ya que los
empresarial, como los procesos ya sean objetivos de las TI no están alineados
externalizados y las capacidades con los objetivos de la empresa.
relacionadas que permitan una respuesta
ágil, confiable y eficiente a los objetivos
estratégicos.”
APO03 Gestionar la arquitectura Nivel Alcanzado = 0 Proceso
empresarial Incompleto
“Establecer una arquitectura común Las estrategias de las TI son muy
compuesta por los procesos de negocio, importantes para mejorar la arquitectura
la información, los datos, las empresarial, ya que la adquisición de
aplicaciones y las capas de la equipos o software de gestión mejorarían
arquitectura tecnológica de manera los servicios que brinda la empresa.
eficaz y eficiente para la realización de
las estrategias de la empresa y de TI
mediante la creación de modelos clave y
prácticas que describan las líneas de
partida y las arquitecturas. Definir los
requisitos para la taxonomía, las normas,
directrices, procedimientos, plantillas y
las herramientas y proporcionar un
vínculo para estos componentes.
Mejorar la adecuación, aumentar la
agilidad, mejorar la calidad de la
información y generar ahorros de costes
potenciales mediante iniciativas tales

49
Procesos para la gestión de TI según Nivel alcanzado (capacidad de
Cobit 5.0 procesos) y características
como la reutilización de bloques de
componentes para los procesos de
construcción.”
APO04 Gestionar la innovación Nivel Alcanzado = 1 Proceso
“Mantener un conocimiento de la Realizado
tecnología de la información y las Existe la innovación tecnológica con
tendencias relacionadas con el proceso, relación a las necesidades de la
identificar las oportunidades de compañía por parte del Gerente General
innovación y planificar la manera de ya que es quién está al pendiente de
beneficiarse de la innovación en relación todos los procesos y lo que podría
con las necesidades del negocio. adquirir para realzar el servicio a los
Analizar cuáles son las oportunidades clientes y que sus procesos y actividades
para la innovación empresarial o qué sean desarrolladas de la mejor manera.
mejora puede crearse con las nuevas La empresa ha adquirido nuevos equipos
tecnologías, servicios o innovaciones tecnológicos hace un año atrás, y está
empresariales facilitadas por TI, así pensando en generar más aportes en
como a través de las tecnologías ya infraestructura de las TI.
existentes y por la innovación en
procesos empresariales y de TI. Influir
en la planificación estratégica y en las
decisiones de la arquitectura de la
empresa.”

APO07 Gestionar los recursos Nivel Alcanzado = 0 Proceso

humanos Incompleto
“Proporcionar un enfoque estructurado La empresa no cuenta con el personal a
para garantizar una óptima tiempo completo para el área de
estructuración, ubicación, capacidades sistemas, siendo un recurso clave, ya que
de decisión y habilidades de los recursos en cualquier momento puedo provocarse
humanos, Esto incluye la comunicación

50
Procesos para la gestión de TI según Nivel alcanzado (capacidad de
Cobit 5.0 procesos) y características
de las funciones y responsabilidades un riesgo en operaciones de TI, y será
definidas, la formación y planes de quien logre arreglarlo.
desarrollo personal y las expectativas de No posee un plan que ayude a la
desempeño, con el apoyo de gente capacitación para el conocimiento del
competente y motivada.” área de TI.
APO08 Gestionar las relaciones Nivel Alcanzado = 1 Proceso
“Gestionar las relaciones entre el Realizado
negocio y TI de modo formal y Las TI funcionan de manera correcta
transparente, enfocándolas hacia el para las actividades del negocio.
objetivo común de obtener resultados No tienen estrategias de TI, pero los
empresariales exitosos apoyando los resultados empresariales son eficientes.
objetivos estratégicos y dentro de las
restricciones del presupuesto y los
riesgos tolerables. Basar la relación en la
confianza mutua, usando términos
entendibles, lenguaje común y voluntad
de asumir la propiedad y responsabilidad
en las decisiones claves.”
APO09 Gestionar los acuerdos de Nivel Alcanzado = 0 Proceso
servicio Incompleto
“Alinear los procesos basados en TI y los La organización no tiene políticas para
niveles relacionando con las necesidades alinear los servicios de TI, por lo tanto,
no se puede generar reportes de
y expectativas de la empresa, incluyendo
supervisión de los servicios de TI.
identificación, especificación, diseño,
publicación, acuerdo y supervisión de
los servicios de TI, niveles de servicio e
indicadores de rendimiento.”
APO010 Gestionar los proveedores Nivel Alcanzado = 1 Proceso
“Administrar todos los servicios de TI Realizado
prestados por todo tipo de proveedores

51
Procesos para la gestión de TI según Nivel alcanzado (capacidad de
Cobit 5.0 procesos) y características
para satisfacer las necesidades del Los proveedores que gestionan los
negocio, incluyendo la selección de los servicios a la empresa realizan un
proveedores, la gestión de las relaciones, proceso de comunicación adecuada,
contratos y revisión y supervisión del contratos con sus garantías anuales.
desempeño, para una eficacia y Se usan proformas con condiciones que
cumplimiento adecuado.” establecen los proveedores, para que sea
más fácil al momento de requerir sus
servicios.
APO011 Gestionar la calidad Nivel Alcanzado = 0 Proceso
“Definir y comunicar los requisitos de Incompleto
calidad en todos los procesos, No se ha realizado la gestión de calidad
procedimientos y resultados a los servicios, procesos y software que
relacionados de la organización, posee la empresa
incluyendo controles, vigilancia Por consecuencia no existe mejora
constante y el uso de prácticas probadas continua de los procesos y servicios.
y estándares de mejor continua y
esfuerzo de eficiencia.”
APO012 Gestionar el riesgo Nivel Alcanzado = 0 Proceso
“Identificar, evaluar y reducir los riesgos Incompleto
relacionados con TI de forma continua, Los riesgos en las TI son elevados ya que
dentro de niveles de tolerancia no existe políticas de seguridad a la
establecidos por la dirección ejecutiva de información.
la empresa.” No se ha dado privilegios en los sistemas
de información por lo que son
vulnerables a los ataques.
APO013 Gestionar la seguridad Nivel Alcanzado = 0 Proceso
“Definir, operar y supervisar un sistema Incompleto
para la gestión de la seguridad de la No existe protocolos de seguridad para el
información.” acceso a sistemas, políticas en la gestión
de las TI.

52
Procesos para la gestión de TI según Nivel alcanzado (capacidad de
Cobit 5.0 procesos) y características
Dominio Evaluado: Construir, Adquirir e Implementar (BAI)

BAI02 Gestionar la definición de Nivel Alcanzado = 0 Proceso

requisitos Incompleto
“Identificar soluciones y analizar Cuando se pretende adquirir nuevos
requerimientos antes de la adquisición o equipos tecnológicos, primeramente, se
creación para asegurar que estén en línea debe evaluar los servicios que deben ser
con los requerimientos estratégicos de la adicionados para la empresa, y es lo que
organización y que cubren los procesos no existe por lo que no se basa en
de negocios, aplicaciones, información, estrategias acordadas para las TI.
datos, infraestructura y servicios. El mantenimiento en la mayoría de las
Coordinar con las partes interesadas veces no se completa ya que aún existen
afectadas la revisión de las opciones fallas en los equipos informáticos que
viables, incluyendo costes y beneficios posee la empresa.
relacionados, análisis de riesgo y
aprobación de los requerimientos y
soluciones propuestas.”
BAI03 Gestionar la identificación y Nivel Alcanzado = 0 Proceso
construcción de soluciones Incompleto
“Establecer y mantener soluciones Al no existir un plan estratégico
identificadas en línea con los informático en el cual abarca lo que
requerimientos de la empresa que corresponde soluciones a los problemas
abarcan el diseño, desarrollo, compras, de las TI, no se puede solucionar
contratación y asociación con rápidamente el fallo.
proveedores.
Gestionar la configuración, preparación
de pruebas, realización de pruebas,
gestión de requerimientos y
mantenimiento de procesos de negocio,
aplicaciones, datos, información,
infraestructura y servicios.”

53
Procesos para la gestión de TI según Nivel alcanzado (capacidad de
Cobit 5.0 procesos) y características
BAI04 Gestionar la disponibilidad y Nivel Alcanzado = 0 Proceso
capacidad Incompleto
“Equilibrar las necesidades actuales y Al no existir un encargado de gestionar
futuras de disponibilidad, rendimiento y las TI, no se logra identificar el
capacidad con una provisión de servicio desempeño de las TI, y por ende no se
efectiva en costes. Incluye la evaluación puede saber si suscitaran problemas que
de las capacidades actuales, la previsión a lo largo del tiempo pondrían en riesgo
de necesidades futuras basadas en los a la capacidad y rendimiento de las TI en
requerimientos del negocio, análisis del sus procesos.
impacto en el negocio y evaluación de
riesgo para planificar e implementar
acciones para alcanzar los
requerimientos identificados que
soportan los requerimientos del negocio
están disponibles de manera continua.”
BAI06 Gestionar los cambios Nivel Alcanzado = 0 Proceso
“Gestionar todos los cambios de una Incompleto
forma controlada, incluyendo cambios Las políticas de la empresa al no ser
estándar y de mantenimiento de definidas, cuando se realice ciertos
emergencia en relación con los procesos cambios pueden causar alteraciones en
de negocio, aplicaciones e los procesos.
infraestructura. Esto incluye normas y No aplica estándares para el análisis de
procedimientos de cambio, análisis de cambios en lo que respecta a las
impacto, priorización y autorización, tecnologías de información.
cambios de emergencia, seguimiento,
reporte, cierre y documentación.”
BAI09 Gestionar los activos Nivel Alcanzado = 0 Proceso
“Gestionar los activos de TI a través de Incompleto
su ciclo de vida para asegurar que su uso Los programas que se usan brindan los
aporta valor a un coste óptimo, que se servicios necesarios a los clientes, pero

54
Procesos para la gestión de TI según Nivel alcanzado (capacidad de
Cobit 5.0 procesos) y características
mantendrán en funcionamiento (respecto la mayor parte de estos son craqueados y
a los objetivos), que están justificados y al ser analizados se encontraron
protegidos físicamente, y que los activos falencias como por ejemplo el antivirus
que son fundamentales para apoyar la no es activado.
capacidad del servicio son fiables y están
disponibles. Administrar las licencias de
software para asegurar que se adquiere el
número óptimo, se mantienen y
despliegan en relación con el uso
necesario para el negocio y que el
software instalado cumple con los
acuerdos de licencia.”
Dominio evaluado: Entregar, Dar servicio y Soporte (DSS)
DSS01 Gestionar operaciones Nivel Alcanzado = 0 Proceso
“Coordinar y ejecutar las actividades y Incompleto
los procedimientos operativos No existe un chequeo de las operaciones
requeridos para entregar servicios de TI que los sistemas realizan, en la
tanto internos como externos, actualidad los sistemas trabajan de
incluyendo la ejecución de manera estable, pero a futuro podría
procedimientos operativos estándar ocasionar conflictos en sus procesos
predefinidos y las actividades de debido a la falta de un análisis.
monitorización requeridas.”
DSS02 Gestionar peticiones e Nivel Alcanzado = 0 Proceso
incidentes de servicio Incompleto
“Proveer una respuesta oportuna y No se logra dar una respuesta inmediata
efectiva a las peticiones de usuario y la en cuanto a los problemas que puedan
resolución de todo tipo de incidentes. darse ya que la falta de un profesional a
Recuperar el servicio normal, registrar y tiempo completo perjudica a la empresa,
completar las peticiones de usuario, y por lo que la respuesta hacia una petición
sería tardía.

55
Procesos para la gestión de TI según Nivel alcanzado (capacidad de
Cobit 5.0 procesos) y características
registrar, investigar, diagnostica, escalar
y resolver incidentes.”
DSS03 Gestionar problemas Nivel Alcanzado = 0 Proceso
“Identificar y clasificar problemas y sus Incompleto
causas raíz y proporcionar resolución a El plan estratégico informático es el
tiempo para prevenir incidentes documento en el que estarán las
recurrentes. Proporcionar algunas soluciones al darse incidentes, el mismo
recomendaciones de mejora.” que la compañía no tiene definido.
DSS04 Gestionar la continuidad Nivel Alcanzado = 0 Proceso
“Establecer y mantener un plan para Incompleto
permitir al negocio y a TI responder a Para responder a cualquier tipo de
incidentes e interrupciones de servicio incidentes a las TI, la empresa debe
para la operación continua de los entablar un plan de continuidad de la
procesos críticos para el negocio y los gestión de las TI el cual no lo tiene por
servicios TI requeridos y mantener la lo que no es posible realizar una
disponibilidad de la información a un operación continua de los procesos.
nivel aceptable para la empresa.”
DSS05 Gestionar servicios de Nivel Alcanzado = 1 Proceso
seguridad Realizado
“Proteger la información de la empresa No establece roles de seguridad de la
para mantener aceptable el nivel de información, pero usa medidas
riesgo de seguridad de la información de preventivas para su protección como es
acuerdo con la política de seguridad. el acceso a los datos por medio de
Establecer y mantener los roles de contraseñas, configuración de restricción
seguridad y privilegios de acceso de la de estos, pero la seguridad es baja.
información y realizar la supervisión de
la seguridad.”
DSS06 Gestionar Controles de Nivel Alcanzado = 0 Proceso
proceso de negocio Incompleto

56
Procesos para la gestión de TI según Nivel alcanzado (capacidad de
Cobit 5.0 procesos) y características
“Definir y mantener controles que sean La compañía de responsabilidad limitada
apropiados para los procesos del negocio no ha definido controles tecnológicos
asegurando que la información para analizar el funcionamiento de los
presentada y procesada dentro de la procesos que se efectúan en ésta.
entidad satisfaga los requerimientos para
el control de los datos. Operar los
controles para que la información y los
procesos ayuden a los requerimientos.”

Dominio evaluado: Supervisar, Evaluar y Valorar (MEA)

MEA01 Supervisar, evaluar y valorar Nivel Alcanzado = 0 Proceso

el rendimiento y la conformidad Incompleto
“Recolectar, validar y evaluar métricas y La información no ha sido recolectada
objetivos de negocio de TI y de procesos. mucho menos evaluada por el hecho de
Supervisar que los procesos se están no basarse en herramientas que ayudan a
realizando acorde al rendimiento este proceso en relación las TI a su
acordado y conforme a los objetivos y rendimiento y factibilidad.
métricas y proporcionan informes de
forma sistemática y planificada.”
MEA02 Supervisar, evaluar y valorar Nivel Alcanzado = 0 Proceso
el sistema de control interno Incompleto
“Supervisar y evaluar de forma continua Al no existir un control interno de las TI
el entorno de control, incluyendo tanto las aumenta las deficiencias para
autoevaluaciones como revisiones establecer mejoras en la gestión de las
externas independientes. Facilitar a la TI.
dirección la identificación de
deficiencias e ineficiencias en el control
y el inicio de acciones de mejora.
Planificar, organizar y mantener normas

57
 Procesos para la gestión de TI según Nivel alcanzado (capacidad de
Cobit 5.0 procesos) y características
para la evaluación del control interno y
las actividades de aseguramiento.”
MEA03 Supervisar, evaluar y valorar Nivel Alcanzado = 0 Proceso
la conformidad con los requerimientos Incompleto
externos Al evaluar el proceso se ha identificado
“Evaluar el cumplimiento de requisitos que no existe un inventario de los
regulatorios y contractuales tanto los requisitos regulatorios para la gestión de
procesos de TI como los procesos de las TI.
negocio dependientes de las tecnologías
de la información. Obtener garantías de
que se han identificado, se cumple con
los requisitos y se ha integrado el
cumplimiento de TI en el cumplimiento
de la empresa.”
Fuente: Elaboración propia a partir de la situación actual de la gestión de TI y
de [16]
3.1.3.1.6 Análisis de la evaluación de resultados de la determinación de brechas y
niveles observados de procesos seleccionados
En la tabla 18 se encuentra el nivel alcanzado en los procesos de los dominios de
gestión de TI,: en el dominio APO Alinea, planificar y organizar, con respecto a sus
procesos de Gestionar el marco de gestión de TI, Gestionar la estrategia, Gestionar
la arquitectura empresarial, Gestionar los recursos humanos, Gestionar los
acuerdos de servicio, Gestionar la calidad, Gestionar el riesgo, Gestionar la
seguridad, tienen el nivel alcanzado 0, es decir el proceso es incompleto por lo que no
son implementados o no logran alcanzar su objetivo, adicionando el resultado de
brecha la cual es significativa para los procesos mencionados anteriormente, por el
contrario los procesos Gestionar la innovación, Gestionar las relaciones, Gestionar
los proveedores tienen un nivel alcanzado 1, proceso realizado, lo que respecta que a
sus funciones alcanzan el objetivo planteado de forma planificada, añadiendo el
resultado de brecha moderada, para los 3 procesos especificados anteriormente.

58
 En el domino BAI Construir, adquirir e implementar, los procesos Gestionar la
definición de requisitos, Gestionar la identificación y construcción de soluciones,
Gestionar la disponibilidad y capacidad, Gestionar los cambios, Gestionar los
activos, logran un nivel 0, proceso incompleto, lo que quiere decir que los propósitos
no son alcanzados, y el análisis de brechas la cual es significativa.

En lo que concierne al dominio DSS Entregar, dar servicio y soporte con los
procesos de Gestión de operaciones, Gestionar peticiones e incidentes de servicio,
Gestionar problemas, Gestionar la continuidad, Gestionar controles de proceso de
negocio, con un nivel observado 0 proceso incompleto, recalcando que sus objetivos
no son alcanzados y con su brecha significativa, con el mismo dominio, los procesos
Gestionar servicios de seguridad a diferencia este proceso tiene su nivel 1, realizado,
alcanzado sus objetivos o propósitos.

El ultimo dominio de gestión MEA Supervisar, evaluar y valorar, con sus 3

procesos Supervisar, evaluar y valorar el rendimiento y la conformidad, Supervisar,
evaluar y valorar el sistema de control interno, Supervisar, evaluar y valorar la
conformidad con los requerimientos externos, según su análisis su nivel es 0, proceso
incompleto, no logra su propósito, y el resultado de su brecha es significativa.

Mediante el análisis presentado en la tabla 18, se procede al desarrollo de la

evaluación de los procesos con sus criterios de TI escogidos, para lo cual se basa en la
escala de evaluación de niveles mostrados en la Figura 4 Escala de evaluación.

Para la evaluación de capacidad se usará el nivel 1 ya que el proceso debe estar

ejecutado o realizado logrando así el propósito.

59
Tabla 19. Evaluación del proceso APO01 (Gestionar el marco de gestión de TI) con nivel de capacidad 1
Proceso APO 01. Gestionar el marco de gestión de TI Escala de evaluación

Nivel Evaluar si Criterio Detalle No Logrado Logrado en Logrado

se logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

Nivel 0 El proceso Se logra lo siguiente:

no se ejecuta -APO01.01 Definir la estructura APO01.01 Se
Incompleto organizativa. cumple
o no logra su
-APO01.02 Establecer roles y APO01.02 Se
propósito. responsabilidades. cumple
-APO01.03 Mantener los elementos APO01.03 No se P
habilitadores del sistema de gestión. cumple
-APO01.04 Comunicar los objetivo y APO01.04 No se
dirección de gestión. cumple
-APO01.05 Optimizar la ubicación de la APO01.05 No se
función de TI. cumple.
-APO01.06 Definir la propiedad de la APO01.06 Se
información y del sistema. cumple
-APO01.07 Gestionar la mejora continua APO01.07 No se
de los procesos. cumple
-APO01.08 Mantener el cumplimiento APO01.08 No se
con las políticas y procedimientos. cumple

Fuente: Elaboración propia a partir de la Tabla 18. Resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0

61
El proceso APO01 Gestionar el marco de gestión de TI junto con los subprocesos evaluados en la Tabla 19, tiene como resultado:
✓ Logrado parcialmente (P) es decir entre el 15% hasta un 50% de nivel de capacidad, el proceso estaría próximo a cumplirse.
✓ Tiene su nivel de capacidad 1 que corresponde al nivel realizado o ejecutado especificado en la Figura 3, ya que los subprocesos han
sido evaluados según su rendimiento mediante 2 opciones (No se cumple o se cumple).
Tabla 20. Evaluación del proceso APO02 (Gestionar la estrategia) con nivel de capacidad 1
Proceso APO 02. Gestionar la estrategia Escala de evaluación

Nivel Evaluar si Criterio Detalle No Logrado Logrado en Logrado

se logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

Nivel 0 El proceso Se logra lo siguiente:

no se ejecuta -APO02.01 Comprender la dirección de la APO02.01 Se
Incompleto empresa. cumple
o no logra su
-APO02.02 Evaluar el entorno, APO02.02 No se
propósito. capacidades y rendimiento actuales. cumple
-APO02.03 Definir el objetivo de las APO02.03 No se P
capacidades de TI. cumple
-APO02.04 Realizar un análisis de APO02.04 No se
diferencia. cumple
-APO02.05 Definir el plan estratégico y la APO02.05 No se
hoja de ruta. cumple
-APO02.06 Comunicar la estrategia y APO02.06 No se
dirección de TI. cumple
Fuente: Elaboración propia a partir de la Tabla 18. Resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0

62
 El proceso APO02 Gestionar la estrategia junto con los subprocesos evaluados en la Tabla 20, tiene como resultado:

✓ Logrado parcialmente (P) es decir entre el 15% hasta un 50% de nivel de capacidad, el proceso estaría próximo a cumplirse.
✓ Tiene su nivel de capacidad 1 que corresponde al nivel realizado o ejecutado especificado en la Figura 3, ya que los subprocesos han
sido evaluados según su rendimiento mediante 2 opciones (No se cumple o se cumple).

Tabla 21. Evaluación del proceso APO03 (Gestionar la arquitectura empresarial) con nivel de capacidad 1
Proceso APO 03. Gestionar la arquitectura empresarial Escala de evaluación

Nivel Evaluar si Criterio Detalle No Logrado Logrado en Logrado

se logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

Nivel 0 El proceso Se logra lo siguiente:

no se ejecuta -APO03.01 Desarrollar la visión de la APO03.01 Se
Incompleto arquitectura de empresa. cumple
o no logra su
-APO03.02 Definir la arquitectura de APO03.02 No se
propósito. referencia. cumple
-APO03.03 Seleccionar las oportunidades APO03.03 Se P
y soluciones. cumple
-APO03.04 Definir la implantación de la APO03.04 No se
arquitectura. cumple

63
 Proceso APO 03. Gestionar la arquitectura empresarial Escala de evaluación

Nivel Evaluar si Criterio Detalle No Logrado Logrado en Logrado

se logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

-APO03.05 Proveer los servicios de APO03.05 No se

arquitectura empresarial. cumple
Fuente: Elaboración propia a partir de la Tabla 18. Resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0

El proceso APO03 Gestionar la arquitectura empresarial junto con los subprocesos evaluados en la Tabla 21, tiene como resultado:

✓ Logrado parcialmente (P) es decir entre el 15% hasta un 50% de nivel de capacidad, el proceso estaría próximo a cumplirse.
✓ Tiene su nivel de capacidad 1 que corresponde al nivel realizado o ejecutado especificado en la Figura 3, ya que los subprocesos han
sido evaluados según su rendimiento mediante 2 opciones (No se cumple o se cumple).

64
Tabla 22. Evaluación del proceso APO04 (Gestionar la innovación) con nivel de capacidad 1
Proceso APO 04. Gestionar la innovación Escala de evaluación

Nivel Evaluar si se Criterio Detalle No Logrado Logrado en Logrado

logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

Nivel 0 El proceso no
se ejecuta o no
Incompleto
logra su
propósito.

Nivel 1 El proceso Se logra lo siguiente:

Realizado implementado
-APO04.01 Crear un entorno favorable APO04.01 Se
logra su para la innovación. cumple F
-APO04.02 Mantener un entendimiento APO04.02 Se
propósito.
del entorno de la empresa. cumple
-APO04.03 Supervisar y explorar el APO04.03 Se
entorno tecnológico. cumple
-APO04.04 Evaluar el potencial de las APO03.03 Se
tecnologías emergentes y las ideas cumple
innovadoras.
-APO03.04 Definir la implantación de APO04.04 Se
la arquitectura. cumple
-APO04.05 Recomendar iniciativas APO04.05 Se
apropiadas adicionales. cumple

65
 Proceso APO 04. Gestionar la innovación Escala de evaluación

Nivel Evaluar si se Criterio Detalle No Logrado Logrado en Logrado

logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

-APO04.06 Supervisar la APO04.06 Se

implementación y el uso de la cumple
innovación.
Fuente: Elaboración propia a partir de la Tabla 18. Resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0

El proceso APO04 Gestionar la innovación junto con los subprocesos evaluados en la Tabla 22, tiene como resultado:

✓ Logrado totalmente (F) es decir entre el 85% a 100% de nivel de capacidad, el proceso ha sido completado
✓ Tiene su nivel de capacidad 1 que corresponde al nivel realizado o ejecutado especificado en la Figura 3, ya que los subprocesos han
sido evaluados según su rendimiento mediante 2 opciones (No se cumple o se cumple).

66
Tabla 23. Evaluación del proceso APO07 (Gestionar los recursos humanos) con nivel de capacidad 1
Proceso APO 07. Gestionar los recursos humanos Escala de evaluación

Nivel Evaluar si se Criterio Detalle No Logrado Logrado en Logrado

logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

Nivel 0 El proceso no se Se logra lo siguiente:

Incompleto ejecuta o no -APO07.01 Mantener la dotación de APO07.01 Se
logra su personal suficiente y adecuado. cumple
-APO07.02 Identificar personal clave APO07.02 No se
propósito. de TI. cumple
-APO07.03 Mantener las habilidades APO07.03 Se P
y competencias del personal. cumple
-APO07.04 Evaluar el desempeño APO07.04 No se
laborar de los empleados. cumple
-APO07.05 Planificar y realizar un APO07.05 No se
seguimiento del uso de recursos cumple.
humanos de TI y del negocio.
-APO07.06 Gestionar el personal APO07.06 Se
contratado. cumple
Fuente: Elaboración propia a partir de la Tabla 18. Resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0

67
El proceso APO 07 Gestionar los recursos humanos junto con los subprocesos evaluados en la Tabla 23, tiene como resultado:

✓ Logrado parcialmente (P) es decir entre el 15% hasta un 50% de nivel de capacidad, el proceso estaría próximo a cumplirse.
✓ Tiene su nivel de capacidad 1 que corresponde al nivel realizado o ejecutado especificado en la Figura 3, ya que los subprocesos han
sido evaluados según su rendimiento mediante 2 opciones (No se cumple o se cumple).

Tabla 24. Evaluación del proceso APO08 (Gestionar las relaciones) con nivel de capacidad 1
Proceso APO 08. Gestionar las relaciones Escala de evaluación

Nivel Evaluar si Criterio Detalle No Logrado Logrado en Logrado

se logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

Nivel 0 El proceso
no se ejecuta
Incompleto
o no logra su
propósito.

Nivel 1 El proceso Se logra lo siguiente:

Realizado implementad -APO08.01 Entender las expectativas del APO08.01 Se
o logra su negocio. cumple
-APO08.02 Identificar oportunidades, APO08.02 No se
propósito. riesgos y limitaciones de TI para mejorar cumple
el negocio.

68
 Proceso APO 08. Gestionar las relaciones Escala de evaluación

Nivel Evaluar si Criterio Detalle No Logrado Logrado en Logrado

se logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

-APO08.03 Gestionar las relaciones con APO08.03 Se L

el negocio. cumple
-APO08.04 Coordinar y comunicar APO08.04 Se
cumple
-APO08.05 Proveer datos de entrada para APO08.05 No se
la mejora continua de los servicios cumple
Fuente: Elaboración propia a partir de la Tabla 18. Resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0

El proceso APO 08 Gestionar las relaciones junto con los subprocesos evaluados en la Tabla 24, tiene como resultado:

✓ Logrado en gran parte (L) es decir entre el 50% al 85% de nivel de capacidad, el proceso ha sido completado
✓ Tiene su nivel de capacidad 1 que corresponde al nivel realizado o ejecutado especificado en la Figura 3, ya que los subprocesos han
sido evaluados según su rendimiento mediante 2 opciones (No se cumple o se cumple).

69
Tabla 25. Evaluación del proceso APO09 (Gestionar los acuerdos de servicio) con nivel de capacidad 1
Proceso APO 09. Gestionar los acuerdos de servicio Escala de evaluación

Nivel Evaluar si Criterio Detalle No Logrado Logrado en Logrado

se logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

Nivel 0 El proceso Se logra lo siguiente:

Incompleto no se ejecuta -APO09.01 Identificar servicios TI.. APO09.01 Se
o no logra su cumple
-APO09.02 Catalogar servicios en TI. APO09.02 No se
propósito. cumple P
-APO09.03 Definir y preparar acuerdos APO09.03 No se
de servicio. cumple
-APO09.04 Supervisar e informar de los APO09.04 No se
niveles de servicio. cumple
-APO09.05 Revisar acuerdos de servicio APO09.05 Se
y contratos. cumple
Fuente: Elaboración propia a partir de la Tabla 18. Resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0

70
El proceso APO 09. Gestionar los acuerdos de servicio junto con los subprocesos evaluados en la Tabla 25, tiene como resultado:

✓ Logrado parcialmente (P) es decir entre el 15% hasta un 50% de nivel de capacidad, el proceso estaría próximo a cumplirse.
✓ Tiene su nivel de capacidad 1 que corresponde al nivel realizado o ejecutado especificado en la Figura 3, ya que los subprocesos han
sido evaluados según su rendimiento mediante 2 opciones (No se cumple o se cumple).

Tabla 26. Evaluación del proceso APO010 (Gestionar los proveedores) con nivel de capacidad 1
Proceso APO 010. Gestionar los proveedores Escala de evaluación

Nivel Evaluar si Criterio Detalle No Logrado Logrado en Logrado

se logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

Nivel 0 El proceso
no se ejecuta
Incompleto
o no logra su
propósito.

Nivel 1 El proceso Se logra lo siguiente:

Realizado implementad -APO010.01 Identificar y evaluar la APO010.01 Se
o logra su relaciones y contratos con proveedores. cumple

propósito. -APO010.02 Seleccionar proveedores. APO010.02 Se P

cumple

71
 Proceso APO 010. Gestionar los proveedores Escala de evaluación

Nivel Evaluar si Criterio Detalle No Logrado Logrado en Logrado

se logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

-APO010.03 Gestionar contratos y APO010.03 Se

relaciones con proveedores. cumple
-APO010.04 Gestionar el riesgo en el APO010.04 No se
suministro. cumple
-APO010.05 Supervisar el cumplimiento APO010.05 No se
y el rendimiento del proveedor. cumple
Fuente: Elaboración propia a partir de la Tabla 18. Resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0

El proceso APO 010. Gestionar los proveedores junto con los subprocesos evaluados en la Tabla 26, tiene como resultado:

✓ Logrado parcialmente (P) es decir entre el 15% hasta un 50% de nivel de capacidad, el proceso estaría próximo a cumplirse.
✓ Tiene su nivel de capacidad 1 que corresponde al nivel realizado o ejecutado especificado en la Figura 3, ya que los subprocesos han
sido evaluados según su rendimiento mediante 2 opciones (No se cumple o se cumple).

72
Tabla 27. Evaluación del proceso APO011 (Gestionar la calidad) con nivel de capacidad 1
Proceso APO 011. Gestionar la calidad Escala de evaluación

Nivel Evaluar si se Criterio Detalle No Logrado Logrado en Logrado

logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

Nivel 0 El proceso no se Se logra lo siguiente:

Incompleto ejecuta o no logra -APO011.01 Establecer un sistema APO011.01 No se
su propósito. de gestión de la calidad (SGC). cumple.
-APO011.02 Definir y gestionar los APO011.02 No se
estándares, procesos y prácticas de cumple
calidad. P
-APO011.03 Enfocar la gestión de la APO011.03 Se
calidad de los clientes. cumple
-APO011.04 Supervisar y hacer APO011.04 No se
controles y revisiones de calidad. cumple

-APO011.05 Integrar la gestión de la APO011.05 No se

calidad en la implementación de cumple
soluciones y la entrega de servicios.

-APO011.06 Mantener una mejora APO011.06 No se

continua. cumple
Fuente: Elaboración propia a partir de la Tabla 18. Resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0

73
El proceso APO 011. Gestionar la calidad junto con los subprocesos evaluados en la Tabla 27, tiene como resultado:

✓ Logrado parcialmente (P) es decir entre el 15% hasta un 50% de nivel de capacidad, el proceso estaría próximo a cumplirse.
✓ Tiene su nivel de capacidad 1 que corresponde al nivel realizado o ejecutado especificado en la Figura 3, ya que los subprocesos han
sido evaluados según su rendimiento mediante 2 opciones (No se cumple o se cumple).

Tabla 28. Evaluación del proceso APO012 (Gestionar el riesgo) con nivel de capacidad 1
Proceso APO 012. Gestionar el riesgo Escala de evaluación

Nivel Evaluar si se Criterio Detalle No Logrado Logrado en Logrado

logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

Nivel 0 El proceso no se Se logra lo siguiente:

ejecuta o no logra -APO012.01 Recopilar datos. APO012.01 Se
Incompleto
su propósito. cumple
-APO012.02 Analizar el riesgo. APO012.02 No se
cumple
P
-APO012.03 Mantener un perfil de APO012.03 No se
riesgo. cumple

74
 Proceso APO 012. Gestionar el riesgo Escala de evaluación

Nivel Evaluar si se Criterio Detalle No Logrado Logrado en Logrado

logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

-APO012.04 Expresar el riesgo. APO012.04 No se

cumple
-APO012.05 Definir un portafolio APO012.05 No se
de acciones para la gestión de cumple
riesgos.
-APO012.06 Responder al riesgo. APO012.06 No se
cumple
Fuente: Elaboración propia a partir de la Tabla 18. Resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0

El proceso APO 012 Gestionar el riesgo junto con los subprocesos evaluados en la Tabla 28, tiene como resultado:

✓ Logrado parcialmente (P) es decir entre el 15% hasta un 50% de nivel de capacidad, el proceso estaría próximo a cumplirse.
✓ Tiene su nivel de capacidad 1 que corresponde al nivel realizado o ejecutado especificado en la Figura 3, ya que los subprocesos han
sido evaluados según su rendimiento mediante 2 opciones (No se cumple o se cumple).

75
Tabla 29. Evaluación del proceso APO013 (Gestionar la seguridad) con nivel de capacidad 1
Proceso APO 013. Gestionar la seguridad Escala de evaluación

Nivel Evaluar si se Criterio Detalle No Logrado Logrado en Logrado

logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

Nivel 0 El proceso no se Se logra lo siguiente:

Incompleto ejecuta o no logra su -APO013.01 Establecer y APO013.01 No se
propósito. mantener un SGSI. cumple.
-APO013.02 Definir y gestionar APO013.02 No se N
un plan de tratamiento de riesgo de cumple
la seguridad de la introducción.
-APO013.03 Supervisar y revisar APO013.03 No se
el SGSI. cumple

Fuente: Elaboración propia a partir de la Tabla 18. Resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0

El proceso APO 013. Gestionar la seguridad junto con los subprocesos evaluados en la Tabla 29, tiene como resultado:

✓ No es conseguido (N) es decir entre el 0% hasta un 15% de nivel de capacidad, el proceso no se cumple, tiene falencias en los procesos
para los cuales se realizan los planes de acción especificando las actividades que se debe plantear para que su rendimiento sea eficiente.
✓ Tiene su nivel de capacidad 1 que corresponde al nivel realizado o ejecutado especificado en la Figura 3, ya que los subprocesos han
sido evaluados según su rendimiento mediante 2 opciones (No se cumple o se cumple).

76
Tabla 30. Evaluación del proceso BAI02 (Gestionar la definición de requisitos) con nivel de capacidad 1
Proceso BAI02. Gestionar la definición de requisitos Escala de evaluación

Nivel Evaluar si se Criterio Detalle No Logrado Logrado en Logrado

logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

Nivel 0 El proceso no se Se logra lo siguiente:

Incompleto ejecuta o no logra -BAI02.01 Definir y mantener los BAI02.01 Se
su propósito. requerimientos técnicos y cumple
funcionales de negocio.

-BAI02.02 Realizar un estudio de BAI02.02 No se P

viabilidad y proponer soluciones cumple.
alternativas.

-BAI02.03 Gestionar los riesgos de BAI02.03 No se

los requerimientos. cumple

-BAI02.04 Obtener la aprobación de BAI02.04 No se

los requerimientos y soluciones. cumple

Fuente: Elaboración propia a partir de la Tabla 18. Resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0

77
El proceso BAI02 Gestionar la definición de requisitos junto con los subprocesos evaluados en la Tabla 30, tiene como resultado:

✓ Logrado parcialmente (P) es decir entre el 15% hasta un 50% de nivel de capacidad, el proceso estaría próximo a cumplirse.
✓ Tiene su nivel de capacidad 1 que corresponde al nivel realizado o ejecutado especificado en la Figura 3, ya que los subprocesos han
sido evaluados según su rendimiento mediante 2 opciones (No se cumple o se cumple).

Tabla 31. Evaluación del proceso BAI03 (Gestionar la identificación y construcción de soluciones) con nivel de capacidad 1

Proceso BAI03. Gestionar la identificación y construcción de soluciones Escala de evaluación

Nivel Evaluar si Criterio Detalle No Logrado Logrado en Logrado

se logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

Nivel 0 El proceso Se logra lo siguiente:

Incompleto no se ejecuta -BAI03.01 Diseñar soluciones de alto BAI03.01 No se
o no logra su nivel. cumple.

propósito. -BAI03.02 Diseñar los componentes BAI03.02 No se

detallados de la solución. cumple. P
-BAI03.03 Desarrollar los componentes BAI03.03 No se
de la solución. cumple
-BAI03.04 Obtener los componentes de la BAI03.04 No se
solución. cumple

78
 Proceso BAI03. Gestionar la identificación y construcción de soluciones Escala de evaluación

Nivel Evaluar si Criterio Detalle No Logrado Logrado en Logrado

se logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

-BAI03.05 Construir soluciones. BAI03.05 No se

cumple
-BAI03.06 Realizar controles de calidad. BAI03.06 Se
. cumple
-BAI03.07 Preparar pruebas de solución. BAI03.07 No se
cumple
-BAI03.08 Ejecutar pruebas de solución. BAI03.08 No se
cumple
-BAI03.09 Gestionar cambios a los BAI03.09 Se
requerimientos. cumple

-BAI03.10 Mantener soluciones. BAI03.10 No se

cumple
-BAI03.11 Definir los servicios de TI y BAI03.11 No se
mantener el catálogo de servicios. cumple

Fuente: Elaboración propia a partir de la Tabla 18. Resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0

79
 El proceso BAI03. Gestionar la identificación y construcción de soluciones junto con los subprocesos evaluados en la Tabla 31, tiene como
resultado:

✓ Logrado parcialmente (P) es decir entre el 15% hasta un 50% de nivel de capacidad, el proceso estaría próximo a cumplirse.
✓ Tiene su nivel de capacidad 1 que corresponde al nivel realizado o ejecutado especificado en la Figura 3, ya que los subprocesos han
sido evaluados según su rendimiento mediante 2 opciones (No se cumple o se cumple).

Tabla 32. valuación del proceso BAI04 (Gestionar la disponibilidad y la capacidad) con nivel de capacidad 1
Proceso BAI04. Gestionar la disponibilidad y la capacidad Escala de evaluación

Nivel Evaluar si Criterio Detalle No Logrado Logrado en Logrado

se logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

Nivel 0 El proceso Se logra lo siguiente:

Incompleto implementad -BAI04.01 Evaluar la disponibilidad, BAI04.01 No se
o logra su rendimiento y capacidad actual y crear cumple
una línea de referencia.
propósito. -BAI04.02 Evaluar el impacto en el BAI04.02 No se
negocio. cumple P
-BAI04.03 Planificar requisitos de BAI04.03 Se
servicios nuevos o modificados. cumple

80
 Proceso BAI04. Gestionar la disponibilidad y la capacidad Escala de evaluación

Nivel Evaluar si Criterio Detalle No Logrado Logrado en Logrado

se logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

-BAI04.04 Supervisar y revisar la BAI04.04 No se

disponibilidad y la capacidad. cumple

-BAI04.05 Investigar y abortar cuestiones BAI04.05 No se

de disponibilidad, rendimiento y cumple
capacidad.
Fuente: Elaboración propia a partir de la Tabla 18. Resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0

El proceso BAI04 Gestionar la disponibilidad y la capacidad junto con los subprocesos evaluados en la Tabla 32, tiene como resultado:

✓ Logrado parcialmente (P) es decir entre el 15% hasta un 50% de nivel de capacidad, el proceso estaría próximo a cumplirse.
✓ Tiene su nivel de capacidad 1 que corresponde al nivel realizado o ejecutado especificado en la Figura 3, ya que los subprocesos han
sido evaluados según su rendimiento mediante 2 opciones (No se cumple o se cumple).

81
Tabla 33. Evaluación del proceso BAI06 (Gestionar los cambios) con nivel de capacidad 1
Proceso BAI06. Gestionar los cambios Escala de evaluación

Nivel Evaluar si Criterio Detalle No Logrado Logrado en Logrado

se logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

Nivel 0 El proceso Se logra lo siguiente:

Incompleto no se ejecuta -BAI06.01 Evaluar, priorizar y autorizar BAI06.01 No se
o no logra su peticiones de cambio. cumple

propósito. -BAI06.02 Gestionar cambios de BAI06.02 No se N

emergencia. cumple

-BAI06.03 Hacer seguimiento e informar BAI06.03 No se

de cambios de estado. cumple

-BAI06.04 Cerrar y documentar los BAI06.04 No se

cambios. cumple

Fuente: Elaboración propia a partir de la Tabla 18. Resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0

82
El proceso BAI06. Gestionar los cambios junto con los subprocesos evaluados en la Tabla 33, tiene como resultado:

✓ No es conseguido (N) es decir entre el 0% hasta un 15% de nivel de capacidad, el proceso no se cumple, tiene falencias en los procesos
para los cuales se realizan los planes de acción especificando las actividades que se debe plantear para que su rendimiento sea eficiente.
✓ Tiene su nivel de capacidad 1 que corresponde al nivel realizado o ejecutado especificado en la Figura 3, ya que los subprocesos han
sido evaluados según su rendimiento mediante 2 opciones (No se cumple o se cumple).

Tabla 34. Evaluación del proceso BAI09 (Gestionar los activos) con nivel de capacidad 1
Proceso BAI09. Gestionar los activos Escala de evaluación

Nivel Evaluar si Criterio Detalle No Logrado Logrado en Logrado

se logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

Nivel 0 El proceso Se logra lo siguiente:

Incompleto no se ejecuta -BAI09.01 Identificar y registrar activos BAI09.01 Se
o no logra su actuales. cumple

propósito.
.-BAI09.02 Gestionar activos críticos. BAI09.02 No se L
cumple
-BAI09.03 Gestionar el ciclo de vida de BAI09.03 No se
los activos. cumple

83
 Proceso BAI09. Gestionar los activos Escala de evaluación

Nivel Evaluar si Criterio Detalle No Logrado Logrado en Logrado

se logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

-BAI09.04 Optimizar el coste de los . BAI09.04 Se

activos cumple
-BAI09.05 Administrar licencias. BAI09.05 Se
cumple

Fuente: Elaboración propia a partir de la Tabla 18. Resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0

El proceso BAI09. Gestionar los activos junto con los subprocesos evaluados en la Tabla 34, tiene como resultado:

✓ Logrado en gran parte (L) es decir entre el 50% al 85% de nivel de capacidad, el proceso ha sido completado
✓ Tiene su nivel de capacidad 1 que corresponde al nivel realizado o ejecutado especificado en la Figura 3, ya que los subprocesos han
sido evaluados según su rendimiento mediante 2 opciones (No se cumple o se cumple).

84
Tabla 35. Evaluación del proceso DSS01 (Gestionar operaciones) con nivel de capacidad 1
Proceso DSS01. Gestionar operaciones Escala de evaluación

Nivel Evaluar si se Criterio Detalle No Logrado Logrado en Logrado

logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

Nivel 0 El proceso no se Se logra lo siguiente:

Incompleto ejecuta o no logra -DSS01.01 Ejecutar procedimientos DSS01.01 Se
su propósito. operativos. cumple
-DSS01.02 Gestionar servicios DSS01.02 No se
externalizados de TI. cumple
-DSS01.03 Supervisar la DSS01.03 No se L
infraestructura de TI. cumple
-DSS01.04 Gestionar el entorno. DSS01.04 Se
cumple
-DSS01.05 Gestionar las DSS01.05 Se
instalaciones cumple

Fuente: Elaboración propia a partir de la Tabla 18. Resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0

85
El proceso DSS01 Gestionar operaciones junto con los subprocesos evaluados en la Tabla 35, tiene como resultado:

✓ Logrado en gran parte (L) es decir entre el 50% al 85% de nivel de capacidad, el proceso ha sido completado
✓ Tiene su nivel de capacidad 1 que corresponde al nivel realizado o ejecutado especificado en la Figura 3, ya que los subprocesos han
sido evaluados según su rendimiento mediante 2 opciones (No se cumple o se cumple).

86
Tabla 36. Evaluación del proceso DSS02 (Gestionar peticiones e incidentes de servicio) con nivel de capacidad 1
Proceso DSS02. Gestionar peticiones e incidentes de servicio Escala de evaluación

Nivel Evaluar si Criterio Detalle No Logrado Logrado en Logrado

se logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

Nivel 0 El proceso Se logra lo siguiente:

Incompleto no se ejecuta -DSS02.01 Definir esquemas de DSS02.01 No se
o no logra su clasificación de incidentes y peticiones de cumple
servicio.
propósito. -DSS02.02 Registrar, clasificar y DSS02.02 No se
priorizar peticiones e incidentes. cumple P
-DSS02.03 Verificar, aprobar y resolver DSS02.03 No se
peticiones de servicio. cumple
-DSS02.04 Investigar, diagnosticar y DSS02.04 Se cumple
localizar incidentes.
-DSS02.05 Resolver y recuperarse de DSS04.05 Se cumple
incidentes.
-DSS02.06 Cerrar peticiones de servicio e DSS04.06 No se
incidentes. cumple
-DSS02.07 Seguir el estado y emitir DSS04.07 Se cumple
informes.
Fuente: Elaboración propia a partir de la Tabla 18. Resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0

87
El proceso DSS02. Gestionar peticiones e incidentes de servicio junto con los subprocesos evaluados en la Tabla 36, tiene como resultado:

✓ Logrado parcialmente (P) es decir entre el 15% hasta un 50% de nivel de capacidad, el proceso estaría próximo a cumplirse.
✓ Tiene su nivel de capacidad 1 que corresponde al nivel realizado o ejecutado especificado en la Figura 3, ya que los subprocesos han
sido evaluados según su rendimiento mediante 2 opciones (No se cumple o se cumple).

Tabla 37. Evaluación del proceso DSS03 (Gestionar problemas) con nivel de capacidad 1
Proceso DSS03. Gestionar problemas Escala de evaluación

Nivel Evaluar si Criterio Detalle No Logrado Logrado en Logrado

se logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

Nivel 0 El proceso Se logra lo siguiente:

Incompleto no se ejecuta -DSS03.01 Identificar y clasificar DSS03.01 Se
o no logra su problemas. cumple

propósito. -DSS03.02 Investigar y diagnosticar DSS03.02 No se

problemas. cumple
P
-DSS03.03 Levantar errores conocidos. DSS03.03 No se
cumple

-DSS03.04 Resolver y cerrar problemas. DSS03.04 No se

cumple

88
 Proceso DSS03. Gestionar problemas Escala de evaluación

Nivel Evaluar si Criterio Detalle No Logrado Logrado en Logrado

se logran los conseguido parcialmente gran parte totalmente
¿Se cumple el o los
resultados
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

-DSS03.05 Realizar una gestión de DSS03.05 No se

problemas proactiva. cumple

Fuente: Elaboración propia a partir de la Tabla 18. Resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0

El proceso DSS03. Gestionar problemas junto con los subprocesos evaluados en la Tabla 37, tiene como resultado:

✓ Logrado parcialmente (P) es decir entre el 15% hasta un 50% de nivel de capacidad, el proceso estaría próximo a cumplirse.
✓ Tiene su nivel de capacidad 1 que corresponde al nivel realizado o ejecutado especificado en la Figura 3, ya que los subprocesos han
sido evaluados según su rendimiento mediante 2 opciones (No se cumple o se cumple).

89
Tabla 38. Evaluación del proceso DSS04 (Gestionar la continuidad) con nivel de capacidad 1
Proceso DSS04. Gestionar la continuidad Escala de evaluación

Nivel Evaluar si se Criterio Detalle No Logrado Logrado en Logrado

logran los conseguido parcialmente gran parte totalmente
¿Se cumple
resultados
el o los 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%
criterios?

Nivel 0 El proceso no se Se logra lo siguiente:

Incompleto ejecuta o no -DSS04.01 Definir la política de continuidad DSS04.01
logra su del negocio, objetivos y alcance. No se
cumple
propósito. N
-DSS04.02 Mantener una estrategia de DSS04.02
continuidad. No se
cumple

-DSS04.03 Desarrollar e implementar una DSS04.03

respuesta a la continuidad de negocio. No se
cumple

-DSS04.04 Ejercitar, probar y revisar el plan DSS04.04

de continuidad. No se
cumple

-DSS04.05 Revisar, mantener y mejorar el DSS04.05

plan de continuidad. No se
cumple

90
 Proceso DSS04. Gestionar la continuidad Escala de evaluación

Nivel Evaluar si se Criterio Detalle No Logrado Logrado en Logrado

logran los conseguido parcialmente gran parte totalmente
¿Se cumple
resultados
el o los 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%
criterios?

-DSS04.06 Proporcionar formación en el DSS04.06

plan de continuidad. No se
cumple

-DSS04.07 Gestionar acuerdos de respaldo. DSS04.07

No se
cumple

DSS04.08 Ejecutar revisiones post- DSS04.08

reanudación. No se
cumple

Fuente: Elaboración propia a partir de la Tabla 18. Resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0

El proceso DSS04 Gestionar la continuidad junto con los subprocesos evaluados en la Tabla 38, tiene como resultado:

✓ No es conseguido (N) es decir entre el 0% hasta un 15% de nivel de capacidad, el proceso no se cumple, tiene falencias en los procesos
para los cuales se realizan los planes de acción especificando las actividades que se debe plantear para que su rendimiento sea eficiente.
✓ Tiene su nivel de capacidad 1 que corresponde al nivel realizado o ejecutado especificado en la Figura 3, ya que los subprocesos han
sido evaluados según su rendimiento mediante 2 opciones (No se cumple o se cumple).

91
Tabla 39. Evaluación del proceso DSS05 (Gestionar servicios de seguridad) con nivel de capacidad 1
Proceso DSS05. Gestionar servicios de seguridad Escala de evaluación

Nivel Evaluar si se Criterio Detalle No Logrado Logrado en Logrado

logran los conseguido parcialmente gran parte totalmente
¿Se cumple el
resultados
o los 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%
criterios?

Nivel 0 El proceso no se
ejecuta o no
Incompleto
logra su
propósito.

Nivel 1 El proceso Se logra lo siguiente:

Realizado implementado -DSS05.01 Proteger contra software DSS05.01 Se
logra su malicioso (programa maligno). cumple

propósito. -DSS05.02 Gestionar la seguridad de la red y DSS05.02 Se

las conexiones. cumple

-DSS05.03 Gestionar la seguridad de los DSS05.03 Se

puestos de usuario final. cumple
L
-DSS05.04 Gestionar la identidad del usuario DSS05.04 Se
y el acceso lógico. cumple

-DSS05.05 Gestionar el acceso físico a los DSS05.05 Se

activos de TI. cumple

92
 Proceso DSS05. Gestionar servicios de seguridad Escala de evaluación

Nivel Evaluar si se Criterio Detalle No Logrado Logrado en Logrado

logran los conseguido parcialmente gran parte totalmente
¿Se cumple el
resultados
o los 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%
criterios?

-DSS05.06 Gestionar documentos sensibles y DSS05.06 No

dispositivos de salida. se cumple

-DSS05.07 Supervisar la infraestructura para DSS05.07 No

detectar eventos relacionados con la se cumple
seguridad.
Fuente: Elaboración propia a partir de la Tabla 18. Resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0

El proceso DSS05 Gestionar servicios de seguridad junto con los subprocesos evaluados en la Tabla 39, tiene como resultado:

✓ Logrado en gran parte (L) es decir entre el 50% al 85% de nivel de capacidad, el proceso ha sido completado
✓ Tiene su nivel de capacidad 1 que corresponde al nivel realizado o ejecutado especificado en la Figura 3, ya que los subprocesos han
sido evaluados según su rendimiento mediante 2 opciones (No se cumple o se cumple).

93
Tabla 40. Evaluación del proceso DSS06 (Gestionar controles de proceso de negocio) con nivel de capacidad 1
Proceso DSS06. Gestionar controles de proceso de negocio Escala de evaluación

Nivel Evaluar si se Criterio Detalle No Logrado Logrado en Logrado

logran los conseguido parcialmente gran parte totalmente
¿Se cumple el
resultados
o los 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%
criterios?

Nivel 0 El proceso no se Se logra lo siguiente:

Incompleto ejecuta o no logra su -DSS06.01 Alinear las actividades de DSS06.01 Se
propósito. control embebidas en los procesos de cumple
negocio con los objetivos corporativos.
-DSS06.02 Controlar el procesamiento de DSS06.02 No
la información. se cumple

-DSS06.03 Gestionar roles, DSS06.03 Se P

responsabilidades, privilegios de acceso y cumple
niveles de autorización.
-DSS06.04 Gestionar errores y DSS06.04 No
excepciones. se cumple

-DSS06.05 Asegurar la trazabilidad de los DSS06.05 No

eventos y responsabilidades de se cumple
información.
-DSS06.06 Asegurar los activos de DSS06.06 Se
información. cumple

Fuente: Elaboración propia a partir de la Tabla 18. Resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0

94
El proceso DSS06 Gestionar controles de proceso de negocio junto con los subprocesos evaluados en la Tabla 40, tiene como resultado:

✓ Logrado parcialmente (P) es decir entre el 15% hasta un 50% de nivel de capacidad, el proceso estaría próximo a cumplirse.
✓ Tiene su nivel de capacidad 1 que corresponde al nivel realizado o ejecutado especificado en la Figura 3, ya que los subprocesos han
sido evaluados según su rendimiento mediante 2 opciones (No se cumple o se cumple).

Tabla 41. Evaluación del proceso MEA01 (Supervisar, evaluar y valorar el rendimiento y la conformidad) con nivel de capacidad 1
Proceso MEA01. Supervisar, evaluar y valorar el rendimiento y la conformidad Escala de evaluación

Nivel Evaluar si se Criterio Detalle No Logrado Logrado en Logrado

logran los conseguido parcialmente gran parte totalmente
¿Se cumple el
resultados
o los 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%
criterios?

Nivel 0 El proceso no Se logra lo siguiente:

Incompleto se ejecuta o no -MEA01.01 Establecer un enfoque de la MEA01.01 Se
logra su supervisión. cumple
propósito.
-MEA01.02 Establecer los objetivos de MEA01.02 No
P
cumplimiento y rendimiento. se cumple

95
 Proceso MEA01. Supervisar, evaluar y valorar el rendimiento y la conformidad Escala de evaluación

Nivel Evaluar si se Criterio Detalle No Logrado Logrado en Logrado

logran los conseguido parcialmente gran parte totalmente
¿Se cumple el
resultados
o los 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%
criterios?

-MEA01.03 Recopilar y procesar los datos de MEA01.03 Se

cumplimiento y rendimiento. cumple

-MEA01.04 Analizar e informar sobre el MEA01.04 No

rendimiento. se cumple

-MEA01.05 Asegurar la implantación de MEA01.05 No

medidas correctas. se cumple

Fuente: Elaboración propia a partir de la Tabla 18. Resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0

El proceso MEA01. Supervisar, evaluar y valorar el rendimiento y la conformidad junto con los subprocesos evaluados en la Tabla 41, tiene
como resultado:

✓ Logrado parcialmente (P) es decir entre el 15% hasta un 50% de nivel de capacidad, el proceso estaría próximo a cumplirse.
✓ Tiene su nivel de capacidad 1 que corresponde al nivel realizado o ejecutado especificado en la Figura 3, ya que los subprocesos han
sido evaluados según su rendimiento mediante 2 opciones (No se cumple o se cumple).

96
Tabla 42. Evaluación del proceso MEA02 (Supervisar, evaluar y valorar el sistema de control interno) con nivel de capacidad 1
Proceso MEA02. Supervisar, evaluar y valorar el sistema de control interno Escala de evaluación

Nivel Evaluar si se Criterio Detalle No Logrado Logrado en Logrado

logran los conseguido parcialmente gran parte totalmente
¿Se cumple el
resultados
o los 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%
criterios?

Nivel 0 El proceso no Se logra lo siguiente:

Incompleto se ejecuta o no -MEA02.01 Supervisar el control interno. MEA02.01 No
logra su se cumple

propósito. -MEA02.02 Revisar la efectividad de los MEA02.02 No N

controles sobre los procesos de negocio. se cumple

-MEA02.03 Realizar autoevaluación de MEA02.03 No

control. se cumple

-MEA02.04 Identificar y comunicar las MEA02.04 No

deficiencias de control. se cumple

-MEA02.05 Garantizar que los proveedores MEA02.05 No

de aseguramiento son independientes y están se cumple
cualificados.
-MEA02.06 Planificar iniciativas de MEA02.06 Se
aseguramiento. cumple.

-MEA02.07 Estudiar las iniciativas de MEA02.07 No

aseguramiento. se cumple

97
 Proceso MEA02. Supervisar, evaluar y valorar el sistema de control interno Escala de evaluación

Nivel Evaluar si se Criterio Detalle No Logrado Logrado en Logrado

logran los conseguido parcialmente gran parte totalmente
¿Se cumple el
resultados
o los 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%
criterios?

-MEA02.08 Ejecutar las iniciativas de MEA02.08 No

aseguramiento. se cumple

Fuente: Elaboración propia a partir de la Tabla 18. Resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0

El proceso MEA02. Supervisar, evaluar y valorar el sistema de control interno junto con los subprocesos evaluados en la Tabla 42, tiene como
resultado:

✓ No es conseguido (N) es decir entre el 0% hasta un 15% de nivel de capacidad, el proceso no se cumple, tiene falencias en los procesos
para los cuales se realizan los planes de acción especificando las actividades que se debe plantear para que su rendimiento sea eficiente.
✓ Tiene su nivel de capacidad 1 que corresponde al nivel realizado o ejecutado especificado en la Figura 3, ya que los subprocesos han
sido evaluados según su rendimiento mediante 2 opciones (No se cumple o se cumple).

98
 Tabla 43. Evaluación del proceso MEA03 (Supervisar, evaluar y valorar la conformidad con los requerimientos externos) con nivel
de capacidad 1

Proceso MEA03. Supervisar, evaluar y valorar la conformidad con los Escala de evaluación
requerimientos externos

Nivel Evaluar si se logran Criterio Detalle No Logrado Logrado en Logrado

los resultados conseguido parcialmente gran parte totalmente
¿Se cumple el o los
criterios? 0 – 15 % >15 – 50 % >50 – 85 % >85 – 100%

Nivel 0 El proceso no se Se logra lo siguiente:

Incompleto ejecuta o no logra su -MEA03.01 Identificar requisitos MEA03.01 Se
propósito. externos de cumple
cumplimiento.
-MEA03.02 Optimizar la MEA03.02 Se
respuesta a requisitos cumple P
externos.
-MEA03.03 Confirmar el MEA03.03 No se
cumplimiento de cumple
requisitos externos.
-MEA03.04 Obtener garantía de MEA03.04 No se
cumplimiento de cumple
requisitos externos.

Fuente: Elaboración propia a partir de la Tabla 18. Resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0

99
 El proceso MEA03. Supervisar, evaluar y valorar la conformidad con los requerimientos externos junto con los subprocesos evaluados en la
Tabla 43, tiene como resultado:

✓ Logrado parcialmente (P) es decir entre el 15% hasta un 50% de nivel de capacidad, el proceso estaría próximo a cumplirse.
✓ Tiene su nivel de capacidad 1 que corresponde al nivel realizado o ejecutado especificado en la Figura 3, ya que los subprocesos han
sido evaluados según su rendimiento mediante 2 opciones (No se cumple o se cumple).

En el análisis de evaluación de los procesos de gestión de tecnologías de la información se han aplicado procesos estructurados de manera
lógica y manejable cumpliendo de forma adecuada el segundo objetivo específico planteado para el desarrollo del proyecto de investigación.

100
3.1.3.1.7 Informe de Auditoría Informática
INFORME DE AUDITORIA INFORMÁTICA
1. Fecha del Informe: 5 de agosto de 2019
2. Identificación del informe: Auditoria Informática
3. Identificación de la Entidad Auditada: DS Construcciones y Servicios
4. Alcance de la auditoria
Esta auditoría comprende el presente año 2019 en la Empresa DS
Construcciones y Servicios. El alcance corresponde a la evaluación de su
situación actual en el área de las tecnologías de la información.
Todo se lo realiza con el fin de encontrar las deficiencias existentes y los
riesgos en caso de hallarlos. Posteriormente se planteará las conclusiones y con
ello las respectivas recomendaciones para mejorar lo relacionado con la gestión
de las TI.
5. Objetivos
• Revisar y evaluar los sistemas, procesos y equipamiento informático.
• Verificar la existencia de un plan estratégico informático.
• Verificar si la compra de tecnología se sustenta en políticas definidas
por el departamento de TI.
• Verificar si existen garantías para proteger la integridad de los recursos
informáticos.
6. Grupo de Trabajo de Auditoría: Gerente General Edisson de la Cruz, Ing.
Milton Barrionuevo, Srta. Yessenia Carrillo.
7. Hallazgos
Con respecto a la revisión y evaluación de los sistemas, procesos y
equipamiento informático, se encuentra lo siguiente:
• Carece de licencias de software.
• Actualización de software de aplicación.
• No posee un firewall para restricción de páginas indebidas y el acceso
a redes sociales.
• Copias de seguridad no existentes o incompletas.
• Seguridad deficiente en cuanto a los accesos a la información.
• No existe asignación de roles a usuarios.

101
 • PC del área de Arquitectura en velocidad baja por falta de un
mantenimiento correctivo.
• La escasez de personal técnico para el departamento de TI.

Con relación a la verificación de un plan estratégico informático, se halla

lo siguiente:

• No existe un plan estratégico informático.

Con respecto a la verificación de compra de tecnología sustentadas en

políticas definidas por el departamento de TI, se tiene lo siguiente:

• Falta de políticas de adquisición por el departamento de TI.

En referencia a la verificación a la existencia de garantías para proteger la

integridad de los recursos informáticos, se encuentra lo siguiente:

• El equipamiento tecnológico no posee garantías.

8. Conclusiones:
Como resultado de la Auditoria se corrobora el cumplimiento de cada uno de
los objetivos planteados dentro de la auditoria.
9. Recomendaciones

Con respecto a la revisión y evaluación de los sistemas, procesos y equipamiento

informático, se recomienda:

• Activar licencias de sistemas operativos.

• Actualización del sistema operativo.
• Aplicar medidas de seguridad de datos.
• Instalar paquetes de antivirus.
• Realizar copias de seguridad.
• Asignar roles a usuarios.

Con relación a la verificación de un plan estratégico informático, se recomienda:

• Desarrollar un plan estratégico informático, el mismo que ayudará a

llevar una gestión de las TI de manera adecuada.

102
Con respecto a la verificación de compra de tecnología sustentadas en políticas
definidas por el departamento de TI, se recomienda:

• Definir políticas de adquisición por el departamento de TI.

En referencia a la verificación a la existencia de garantías para proteger la

integridad de los recursos informáticos, se recomienda:

• Establecer un calendario de mantenimiento preventivo y correctivo.

• Realizar mantenimiento preventivo y correctivo a las computadoras de
la organización.
10. . Identificación y firma del auditor

Yessenia Carrillo
Responsable de la Auditoría Informática

103
3.1.3.1.8 Planteamiento de soluciones en base a los resultados del informe de
auditoría informática de la gestión de TI
Mediante la evaluación de los procesos presentados desde la Tabla 19 hasta la 43; y
el resultado de la determinación de brechas y niveles observados de procesos
seleccionados según los dominios de gestión de TI según Cobit 5.0 establecidos en la
Tabla 18, se ha establecido los resultados y recomendaciones del informe de auditoría
informática, cumpliendo con el objetivo específico 3 el cual es plantear soluciones de
gestión y control de las TI para la empresa DS Construcciones y servicios, que se
sintetizan en la Tabla 44.

Tabla 44. Soluciones de gestión y control de las TI sugeridas

N° Descripción

1 Sistemas, procesos y equipamiento informático

2 Plan estratégico informático

3 Provisión de tecnología sustentadas en políticas definidas por el departamento

de TI

4 Garantías para proteger la integridad de los recursos informáticos

Fuente: Elaboración propia

A continuación, se detalla cada una las soluciones.

1. Sistemas, procesos y equipamiento informático

Se ha planteado soluciones para mejorar el control de las TI, con respecto a los
hallazgos encontrados en la auditoría informática.

a) Activación de licencias de sistemas operativos

El departamento de TI será el encargado de activar las licencias del S.O. instalado en

cada uno de los computadores de la compañía, debido a que los mensajes que llegan a
los ordenadores informando la activación del S.O puede ser muy molestoso para los
usuarios.

La activación se la puede hacer desde Microsoft online, por teléfono o usando

herramientas de activación alternas como KMSPico.

104
 b) Actualización del sistema operativo

Las actualizaciones serán realizadas periódicamente por el departamento de TI ya sea

manualmente o de forma automática.

Los factores de importancia para mantener el sistema operativo actualizado son los
siguientes: Aumentar la seguridad del sistema, mejorar el rendimiento, eliminar
errores de ejecución, disminuir incompatibilidades con software y hardware y mejorar
bases de datos del sistema, así como también de sus aplicaciones.

c) Aplicación de medidas de seguridad de datos

La seguridad de datos es un aspecto esencial de TI en organizaciones de cualquier

tamaño y tipo. Está relacionada con la protección de datos contra accesos no
autorizados y para la protección de posibles robos de información.

Incluye también prácticas de gestión de claves que ayudan a proteger los datos en
todas las aplicaciones y plataformas de una organización.

a. Claves

Existen contraseñas débiles que son vulnerables a los ataques y las robustas con
parámetros de seguridad altos, por lo que se debe tomar en cuenta:

✓ Combinar con letras y números

✓ Combinar entre mayúsculas y minúsculas
✓ Añadir caracteres alfanuméricos
✓ Excluir fechas de nacimiento, nombres o palabras reconocidas que
serán más fáciles de adivinar para un atacante.
✓ No se debe utilizar la misma contraseña para varios sitios.
✓ Evitar el envío de contraseñas por medio de correo de electrónico.
✓ La contraseña es secreta, por lo que dejar escrito en un papel es un
peligro
✓ Mientras más larga sea la contraseña, ésta minimiza la probabilidad a
un ataque
✓ Implementar períodos de cambio de contraseñas

105
 d) Instalación paquetes de antivirus

El antivirus es un elemento de apoyo imprescindible para el sistema operativo, ya que

protege de ser infectado por archivos ejecutables que se puede cargar sin darse cuenta
de lo que se está haciendo. También da cobertura para que la recepción de correos
electrónicos infectados no acabe con la estabilidad de la empresa y proteja a la hora de
navegar por Internet, evitando contagios online.

Entre los antivirus más eficientes están:

• Bitdefender Total Security (2019): ofrece un excelente paquete de seguridad

considerado como uno de los mejores antivirus.
• Norton Security Deluxe: examina los programas mientras están abiertos.
Además, lo hacen sin que el usuario se dé cuenta, en un segundo plano, y sólo
abre su aplicación cuando se acabas de descargar un archivo.
• ESET Internet Security 11: bloquea páginas web con contenido phishing e
incluye funciones como un bloqueador de spam y un sistema para verificar el
contenido de cuentas de correo electrónico.
• Kaspersky Security Cloud: dispone de una tecnología de seguridad que se
adapta automáticamente a su uso. Así, la configuración se ajustará según qué
actividades utilice en el Internet.
• BullGuard Premium Protection: tiene un escáner de redes que protegerá
cualquier dispositivo conectado a Internet, además ofrece una rápida detección
de malware.
• McAfee Total Protection: ofrece protección frente a páginas web y correos
sospechosos, administrador de contraseñas, seguridad para smartphones como:
iOS y Android, protección para todos sus archivos y un sistema contra estafas
y publicidad engañosa.
• AVG Ultimate (2019): esta aplicación alargará la duración de la batería,
desactivará programas no utilizados y eliminará todo aquello que ya deseé. Y
puede anticiparse y corregir pequeños fallos antes de que se conviertan en un
problema de verdad.

106
 • Avast Premier (2019): ofrece analizar todas las descargas en busca de
software malicioso. Además, se ha añadido un escudo contra este tipo de
malware para proteger las carpetas.
• Avira Antivirus Pro (2019): ofrece para escanear malware y proteger un
ordenador contra contenido malicioso, también permite analizar las redes wifi
y detectar dispositivos no autorizados conectados al router.

El departamento de TI junto con el Gerente General de la empresa, son quienes optarán

por el mejor antivirus, que sea eficiente y dentro del presupuesto, ya que Total Security
que se encuentra instalado en los ordenadores no está activado.

e) Realización de copias de seguridad

Hacer copias de seguridad de los datos que contienen los ordenadores y servidores
de la empresa con alguno de los diferentes tipos de copias de seguridad que existen,
debe ser algo rutinario. Debiendo recomendar la aplicación de copias de seguridad de
conformidad con la siguiente frecuencia.

• Copia mensual de seguridad completas: hace un respaldo de todos los

archivos del sistema, requiere de más tiempo y espacio.
Se debe disponer de una copia de seguridad de estas características, fuera de la
organización, para evitar la pérdida de la información en caso de incendio,
inundación, robo o ser víctima de un malware que borre la información o
cualquier otro caso de fuerza mayor.
• Copia semanal de seguridad diferencial: cada vez que se realiza una copia
de seguridad, se copian todos los archivos que hayan sido modificados desde
la última copia completa.
• Copia diaria de seguridad incremental: únicamente se copian los archivos
que se hayan añadido o modificado desde la última copia realizada, sea total o
incremental.
• Copia de seguridad alternativa: otra medida de seguridad de datos, que la
empresa debería analizar su implementación es el almacenamiento en la nube,
que hace referencia a los servicios de almacenamiento ofrecidos por distintos
proveedores de Internet y que funcionan de manera similar a un disco duro
remoto. Si se daña algún computador no hay ningún problema porque toda la

107
 información también está en la nube y se puede acceder a ella dónde y cuándo
quiera. La única condición es que tenga conexión a Internet.
f) Asignación de roles a usuarios

Por defecto, toda organización debe seguir el principio del mínimo privilegio, es
decir, que un usuario sólo debe tener acceso a aquella información estrictamente
necesaria para desempeñar sus funciones diarias. La asignación de permisos sobre los
recursos que contienen la información puede realizarse individualmente, por perfiles
o por grupos de usuarios, de manera que optimice su gestión, como se sugiere en la
tabla 45.

Tabla 45. Roles de usuarios propuestos

Perfiles de la organización
Actividades de la empresa
Personal Personal de Personal de Personal
directivo administración Proyectos de TI

Soporte a Clientes ✓ ✓ x x

Facturación ✓ ✓ x x

Captación al cliente ✓ ✓ x x

Planificación ✓ ✓ ✓ x

Aprobación x ✓ x x

Construcción x x ✓ x

Manipulación al servidor ✓ ✓ x ✓
Modificaciones de página web x x x ✓
Mantenimiento correctivo x x x ✓
Mantenimiento preventivo x x x ✓
Mantenimiento de la red x x x ✓
Fuente: Elaboración propia

108
2. Plan estratégico informático
a. Misión del departamento de TI
Ofrecer servicios y soluciones a todos los departamentos de la entidad,
apoyando el trabajo diario, logrando una gestión tecnológica basada en un
talento humano capacitado y comprometido con el mejoramiento continuo de
los servicios tecnológicos.
b. Visión del departamento TI
Ser un departamento que garantice la administración de recursos
informáticos, contribuyendo al desarrollo tecnológico empresarial innovando
e implementando tecnologías de información en la empresa DS Construcciones
y Servicios.
c. Objetivo del departamento de TI
✓ Proveer soluciones tecnológicas como sistemas de información,
aplicaciones, hardware, software y comunicaciones con el respectivo
soporte técnico para apoyar las operaciones de la organización.
d. Sistemas de información propuestos
Características
Sistemas de
Procesos que
información Descripción
cubriría
Lotus Notes Es un sofisticado sistema de *Contabilidad
gestión documental, especialmente *Manejo de nóminas
para entornos ofimáticos y para *Gestión de usuarios
grupos de trabajo, enfocado al en políticas de
mercado corporativo, gestión de seguridad.
usuarios e implementación de *Correo electrónico
políticas de seguridad y
confidencialidad.
Sistema de Sistema de control y *Control de la
administración administración de redes, su función navegación interna.
de redes es la de controlar y proporcionar *Manejo de archivos
servicios de red ya sea interna o compartidos.
externa entre los usuarios de la *Aseguramiento de
empresa. Además, ayuda a la la información

109
 Características
Sistemas de
Procesos que
información Descripción
cubriría
gestión de credenciales de interna de la
usuarios. empresa.
Sistema de Permite determinar la vida útil de *Control de los
control de los equipos que utiliza la empresa, activos fijos dentro
equipo y para tener en cuenta el momento en de la empresa.
depreciaciones que sea necesario la renovación de
recursos tecnológicos.

e. Hardware Propuesto
• El uso compartido de impresoras involucra pérdida de tiempo al
realizar las actividades, por lo cual es conveniente la adquisición de 1
impresora para el área de Finanzas, ya que su trabajo requiere del uso
diario y continuo de la impresión de documentos.
• Se requiere la adquisición de una tarjeta de red para la reutilización de
un computador, por lo que se encuentra sin uso, debido al inconveniente
de no acceder al internet.
• Adquisición de cámaras de seguridad para los departamentos de
Finanzas y RRHH, debido a que las cámaras que trabajan en dichas
áreas se encuentran dañadas.
f. Software Propuesto
• Adquisición del antivirus Karspersky, debido a que, anteriormente se
ha trabajado con dicho antivirus, ya que es afinidad del Gerente General
y se ajusta al presupuesto.
g. Estructura organizacional propuesta para el departamento de TI

110
Organigrama estructural

Organigrama funcional

111
 h. Propuesta de Talento Humano para el departamento de TI

Personal
Área
No Cargo Formación

Desarrollo 1 Desarrollador Ingeniero en Sistemas

Mantenimiento 1 Auxiliar de Soporte Ingeniero en Sistemas o

Técnico Técnico en Aplicaciones
Informáticas

Infraestructura 1 Especialista de Ingeniero en Sistemas

Tecnologías

Total 3

3. Provisión de tecnología sustentadas en políticas definidas por el

departamento de TI

La adquisición de tecnología cada vez cobra más importancia para las empresas de
cualquier sector productivo u objeto social, ya que la tecnología, se ha convertido en
elemento estratégico para su desarrollo y soporte fundamental en sus actividades.

a. Políticas para adquisición de nuevas tecnologías definidas por el

departamento de TI
✓ Al adquirir recursos informáticos, éstos deben ser valorados y
aprobados previamente por el departamento de TI y Gerencia.
✓ Los recursos informáticos que se pretenda adquirir, el departamento de
TI será el encargado de recomendar aquellos que ofrezcan calidad
comprobada.
✓ Las compras de equipos informáticos se fundamentarán en los
reglamentos de compra establecidos por la entidad.

112
 ✓ Si un departamento necesita adquirir nueva tecnología, el departamento
de TI hará un seguimiento que implicará la utilización de éstos por
dicho departamento.

4. Garantías para proteger la integridad de los recursos informáticos

Al no tener garantías el equipamiento tecnológico, se procederá a tomar las siguientes

medidas para prevención de fallos, solución a problemas, por parte del departamento
de TI.

a) Establecer un calendario de mantenimiento preventivo y correctivo

Dentro de la empresa este tipo de mantenimientos son importantes ya que se refiere

a una rutina para ayudar a mantener el equipo en funcionamiento, evitando cualquier
tiempo de inactividad no planificada y costos elevados por fallas imprevistas del
equipo.

Requiere de planificación y programación del mantenimiento del equipo antes de que

haya un problema real, así como mantener registros precisos de las inspecciones
pasadas y los informes de servicios, como se presenta a continuación:

113
 CRONOGRAMA MANTENIMIENTO PREVENTIVO Y
CORRECTIVO
EMPRESA: DS CONSTRUCCIONES Y SERVICIOS
ENCARGADO: Departamento de TI
MES: JUNIO DEL 2020
ÁREAS ACTIVIDADES FECHA TIEMPO

Limpieza externa de hardware.

Limpieza correcta de mouse y teclado, es
decir, abriendo dichos dispositivos.
Limpieza lógica de la computadora:
archivos basura, programas, archivos
temporales, archivos o programas que ya
no se usará.
03 y 04 de 10
GERENCIA Actualización de software.
Activación de licencias junio Horas
Escaneo de antivirus
Desfragmentación de computadores.
Si es necesario, creación de respaldos de
información.
Limpieza del lugar de ubicación del
equipo.
Limpieza externa de hardware.
Limpieza correcta de mouse y teclado, es
decir, abriendo dichos dispositivos.
Limpieza lógica de la computadora:
archivos basura, programas, archivos
temporales, archivos o programas que ya
no se usará.
10 y 11 de 10
FINANZAS Actualización de software.
Activación de licencias junio Horas
Escaneo de antivirus
Desfragmentación de computadores
Si es necesario, creación de respaldos de
información.
Limpieza del lugar de ubicación del
equipo.
Limpieza externa de hardware.
Limpieza correcta de mouse y teclado, es
decir, abriendo dichos dispositivos.
Limpieza lógica de la computadora:
archivos basura, programas, archivos
temporales, archivos o programas que ya
no se usará.
16 y 17 de 10
CONTABILIDAD Actualización de software.
Activación de licencias junio Horas
Escaneo de antivirus
Desfragmentación de computadores
Si es necesario, creación de respaldos de
información.
Limpieza del lugar de ubicación del
equipo.

114
 CRONOGRAMA MANTENIMIENTO PREVENTIVO Y
CORRECTIVO
EMPRESA: DS CONSTRUCCIONES Y SERVICIOS
ENCARGADO: Departamento de TI
MES: JUNIO DEL 2020
ÁREAS ACTIVIDADES FECHA TIEMPO

Limpieza externa de hardware.

Limpieza correcta de mouse y teclado, es
decir, abriendo dichos dispositivos.
Limpieza lógica de la computadora:
archivos basura, programas, archivos
temporales, archivos o programas que ya
no se usará.
18 y 19 de 10
RR.HH. Actualización de software.
Activación de licencias junio Horas
Escaneo de antivirus
Desfragmentación de computadores
Si es necesario, creación de respaldos de
información.
Limpieza del lugar de ubicación del
equipo.
Limpieza externa de hardware.
Limpieza correcta de mouse y teclado, es
decir, abriendo dichos dispositivos.
Limpieza lógica de la computadora:
archivos basura, programas, archivos
temporales, archivos o programas que ya
no se usará.
ARQUITECTUR 25 y 26 de 10
Actualización de software.
A junio Horas
Activación de licencias
Escaneo de antivirus
Desfragmentación de computadores
Si es necesario, creación de respaldos de
información.
Limpieza del lugar de ubicación del
equipo.

De esta manera, mediante lo sugerido como soluciones de gestión y control de las TI,
se cumple con el tercer objetivo específico de la presente investigación.

115
 CAPITULO IV.- CONCLUSIONES Y RECOMENDACIONES

4.1 Conclusiones

El modelo COBIT 5.0 fue implementado en la empresa DS Construcciones y

Servicios, facilitando la auditoría informática en la gestión de las tecnologías de la
información, obteniendo resultados en cuanto al comportamiento de las TI que posee
la compañía de responsabilidad limitada, fue de gran ayuda la participación del gerente
general ya que brindó información verídica para realizar dicho proceso.

Mediante el uso de buenas prácticas se ha evaluado las TI de la organización, al

encontrarse varias deficiencias por el hecho de ser la primera vez que se procede al
análisis de la situación actual de las tecnologías.

Al aplicar el modelo Cobit 5.0 con sus dominios, se identificaron 25 procesos que se
relacionan con la gestión de TI, los mismos que fueron evaluados mediante los niveles
de capacidad de 0 a 5 basados en el modelo de evaluación de procesos (PAM), el cual
es adaptado con el modelo Cobit 5.0.

Al definir los planes de acción para cada proceso analizado se ha planteado las
soluciones relacionadas a las tecnologías de la información, resaltando que se observó
falencias en cuanto a la gestión de las TI.

Con estos antecedentes se puede concluir en forma definitiva que con el desarrollo del
presente proyecto de investigación se ha dado cumplimiento de manera total al
objetivo general y a los objetivos específicos planteados al inicio de la investigación

116
 4.2 Recomendaciones

Aplicar normas de seguridad para la garantizar la integridad y confidencialidad de la

información de la compañía, ya que estos datos no pueden ser manipulados por
cualquier funcionario de la empresa, recalcando que los sistemas informáticos que no
tengan medidas de protección pueden llegar a ser vulnerables, como por ejemplo a la
infección de virus, el cuál si es muy potente, generaría la pérdida de información.

Dentro de compañía debe existir más de un profesional el área de sistemas que lleven
de la mejor manera la gestión de las TI, y con ello se suma las innovaciones de
tecnologías en la empresa, mediante procesos que permitan seleccionar las mejores
inversiones en TI.

Todos los que conforman la empresa deben tener claro los objetivos de las
tecnologías de la información, y cuáles son los riesgos que se pueden ocasionar, siendo
importante una capacitación básica exponiendo los puntos claves de la gestión de las
TI.

Implementar reglas en el firewall que ayude a la protección de la información,

restringiendo el acceso de intrusos a la red, brindando confidencialidad e integridad a
los datos valiosos de la empresa, por lo que en ocasiones anteriores hubo un ataque de
robo de información por no aplicar medidas de prevención en la entrada y salida de
datos en la red.

117
Referencia Bibliográfica

[1] R. A. G. Morocho, «AUDITORÍA INFORMÁTICA DE LA COOPERATIVA DE

AHORRO Y CRÉDITO “FERNANDO DAQUILEMA “APLICANDO EL MARCO
DE TRABAJO COBIT,» 2016. [En línea]. Available:
http://dspace.unach.edu.ec/handle/51000/3295. [Último acceso: 6 Noviembre 2018].

[2] E. G. DANIEL ALEJO, «MODELO DE AUDITORIA PARA EL MEJORAMIENTO

DEL SISTEMA DE CONTROL INTERNO DE INSTITUCIONES FINANCIERAS
EN COLOMBIA BASADO EN LINEAMIENTOS DE LA LEY SARBANES
OXLEY SECCIÓN 404.,» Noviembre 2017. [En línea]. Available:
https://repository.ucatolica.edu.co/bitstream/10983/15330/1/TRABAJO%20DE%20G
RADO%20FINAL%202017.pdf. [Último acceso: 6 Noviembre 2018].

[3] G. Miguel, «IMPLEMENTAR EL SISTEMA COBIT5 EN LOS PROCESOS DE

AUDITORIA INFORMÁTICA EN LA CORPORACIÓN JARR´N HERRERA CIA
LTDA AGENCIA BABAHOYO,» Junio 2017. [En línea]. Available:
http://dspace.uniandes.edu.ec/bitstream/123456789/8396/1/TUBSIS005-2017.pdf.
[Último acceso: 6 Noviembre 2018].

[4] B. J. Villa Pozo, «La implementación de tecnologías de la información y

comunicaciones y su relación con la gestión administrativa en la 5ta brigada de
servicios, el 2016,» 2017. [En línea]. Available:
http://repositorio.icte.ejercito.mil.pe/bitstream/ICTE/37/1/Tesis%20Bach%20%20Vil
la%20Pozo%20Jhair.pdf. [Último acceso: 22 Abril 209].

[5] L. M. D. T. G. P. Febres Barahona Juan Carlos, «Análisis del uso de las tecnologías de
la información y comunicación en los establecimientos educacionales de Chile: Caso
del Colegio Santo Tomás de la Comuna de Ñuñoa,» 2014. [En línea]. Available:
http://repositorio.uchile.cl/bitstream/handle/2250/116586/Fabres%2C%20Juan%20Ca
rlos.pdf?sequence=1&isAllowed=y. [Último acceso: 23 Abril 2019].

[6] G. Pablo, «Propuesta de un modelo de gestión por procesos de los servicios de

tecnologías de la información de la dirección de desarrollo tecnológico de la secretaria
de movilidad del municipio del Distrito Metropolitano de Quito,» 2014. [En línea].
Available: http://repositorio.uasb.edu.ec/bitstream/10644/4042/1/T1435-MBA-
Guachamin-Propuesta.pdf. [Último acceso: 23 Abril 2019].

[7] L. J. H. M. E. D. Mora Julio, «El modelo COBIT 5 para auditoría y el control de los
sistemas de información,» 2017. [En línea]. Available:
http://repositorio.pucesa.edu.ec/bitstream/123456789/2355/1/Modelo%20Cobit.pdf.
[Último acceso: 17 Mayo 2019].

[8] M. M. C. L. Escobar Dalilis, «La calidad de la auditoría en Sistemas de Gestión.

Software,» 29 Abril 2016. [En línea]. Available:

118
 http://www.ciencias.holguin.cu/index.php/cienciasholguin/article/view/942/1041.
[Último acceso: 17 Mayo 2019].

[9] M. S. Hugo, «Introduccion a la auditoria,» 2012. [En línea]. Available:

http://www.aliat.org.mx/BibliotecasDigitales/economico_administrativo/Introduccion
_a_la_auditoria.pdf. [Último acceso: 24 Abril 2019].

[10] E. Mora, «Auditoria Informatica,» Costa Rica, 2017.

[11] I. Forense, «Auditorías Informáticas,» 29 Mayo 2018. [En línea]. Available:

https://informatico-forense-madrid.es/como-hacer-auditoria-informatica. [Último
acceso: 24 Abril 2019].

[12] L. Carrasquero, «Fases de la auditoria Informatica,» [En línea]. Available:

https://www.academia.edu/35354616/Fases_de_la_auditoria_Informatica. [Último
acceso: 26 Abril 2019].

[13] V. Joffre, «PROPUESTA TECNOLÓGICA BASADA EN COBIT 5 APLICADA A

LA GESTIÓN DE LA TI EN LA EIS,» Riobamba, 2015.

[14] Isaca, «Isaca Journal,» Isaca, 2016. [En línea]. Available:

https://www.isaca.org/Journal/archives/2016/Volume-1/Pages/how-cobit-5-improves-
the-work-process-capability-of-auditors-spanish.aspx. [Último acceso: 16 Mayo
2019].

[15] A. Celi, «Evaluación del nivel de capacidad de los procesos de TI, mediante el marco
de referencia COBIT PAM,» 13 Junio 2017. [En línea]. Available:
https://www.academia.edu/33471057/Evaluaci%C3%B3n_del_nivel_de_capacidad_d
e_los_procesos_de_TI_mediante_el_marco_de_referencia_COBIT_PAM. [Último
acceso: 22 Mayo 2019].

[16] Isaca, COBIT 5 Procesos Catalizadores, Estados Unidos, 2009-2011.

[17] G. L. F. P. Guzmán Tania, «Doc Player,» 2016. [En línea]. Available:

https://docplayer.es/3757471-Proyecto-banco-diseno-de-una-red-de-computadoras-
redes-de-computadores-i-grupo-gb2_rc4.html. [Último acceso: 31 Julio 2019].

119
Anexos
Preguntas usadas durante la evaluación de las tecnologías de la información en la
empresa DS Construcciones y Servicios

• Se ha realizado un plan estratégico a las TI

• Los principios corporativos son definidos para los procesos TI.
• Aplican un modelo relacionado con las actividades corporativas de las TI.
• Los gastos o inversiones que se hacen para las TI son moderados.
• El gerente de TI recibe la información periódica y actual de los procesos TI
• Aplica herramientas que se usan para la gestión de TI.
• Genera entornos colaborativos.
• Posee algún sistema de gestión de TI.
• La administración en la empresa se la hace por medio de roles, y actividades
• Existen estrategias para las TI.
• Posee requerimientos para la gestión de la operación de TI.
• Se realiza evaluaciones de servicios y procesos de TI.
• Planes que se plantean para largo plazo de las TI.
• Tiene un plan para la infraestructura tecnológica
• Planteamiento de las relaciones con clientes, personal y administración de
proveedores.
• El personal de TI tiene experiencia y habilidades en el tema de inversiones en
TI.
• Se cuenta con políticas de seguridad relacionadas a las TI.
• Se definen procesos para seleccionar las mejores inversiones en TI.
• Cumple los objetivos empresariales
• Instalación de antivirus
• Configuración de firewalls
• Detección de anomalías e intrusos
• Análisis de gestión de riesgos de TI
• Usan algún sistema de gestión de calidad
• Se implementa un modelo de gestión con las acciones de: planear, construir,
evaluar y supervisar las TI.

120
 UNIVERSIDAD TÉCNICA DE AMBATO

FACULTAD DE INGENIERÍA EN SISTEMAS, ELECTRÓNICA E

INDUSTRIAL

CARRERA DE INGENIERÍA EN SISTEMAS, COMPUTACIONALES E

INFORMÁTICOS

Estas preguntas tienen como objetivo conocer el manejo de la gestión de tecnologías

de la información de la empresa, para ayudar al desarrollo de la propuesta planteada
como tema de tesis “MODELO COBIT 5.0 (CONTROL OBJECTIVES FOR
INFORMATION AND RELATED TECHNOLOGY) DE AUDITORÍA
INFORMÁTICA Y LA GESTIÓN DE LAS TECNOLOGÍAS DE LA
INFORMACIÓN PARA LA EMPRESA DS CONSTRUCCIONES Y SERVICIOS.”

Entrevista designada al Sr. Edisson Javier De La Cruz Gerente General de la

empresa DS CONSTRUCCIONES Y SERVICIOS CIA LTDA

DOMINIO: APO Alinear, planificar y organizar

1. Están alineadas las estrategias de TI y del negocio

2. La empresa está alcanzando un uso óptimo de sus recursos

3. Entienden todas las personas dentro de la organización de los objetivos de TI

4. Se entienden y administran los riesgos de TI

5. Es apropiada la calidad de los sistemas de TI para las necesidades del negocio

DOMINIO: BAI Construir, adquirir e implementar

1. ¿Es probable que los nuevos proyectos generan soluciones que satisfagan las
necesidades del negocio?

2. Es probable que los nuevos proyectos sean entregados a tiempo y dentro del
presupuesto

3. Trabajarán adecuadamente los nuevos sistemas una vez sean implementados

4. Los cambios no afectarán a las operaciones actuales del negocio

121
DOMINIO: DSS Entregar, dar servicio y soporte

1. Se están entregando los servicios de TI de acuerdo con las prioridades del negocio

2. Están optimizados los costos de TI

3. Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y

segura

4. Están implantadas de forma adecuada la confidencialidad, la integridad y la

disponibilidad

DOMINIO: MEA Supervisar, evaluar y valorar

1. Se mide el desempeño de TI para detectar los problemas antes de que sea

demasiado tarde

2. La gerencia garantiza que los controles internos son efectivos y eficientes

3. Puede vincularse el desempeño de lo que TI ha realizado con las metas del

negocio

4. Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño

122