UNIVERSIDAD ALAS PERUANAS

FACULTAD DE INGENIERÍAS Y ARQUITECTURA

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS E INFORMÁTICA

CONTROL DE LOS SISTEMAS DE NEGOCIO

TRABAJO N° 2
COBIT – APLICANDO A LA MUNICIPALIDAD DISTRITAL DE SAN JUAN BAUTISTA

PRESENTADO POR:

CLAUDIA, HUAMAN VILCHEZ

EDWIN, MANCILLA LLALLAHUI

DOCENTE

ING. CARLOS MANUEL RODRIGUEZ PALOMINO

AYACUCHO – PERÚ

2019
 Índice
I. DATOS GENERALES DE LA ORGANIZACIÓN .......................................................................................................................... 4
1.1. DESCRIPCIÓN DE LA ORGANIZACIÓN ............................................................................................................................... 4
1.2. MISIÓN Y VISIÓN DE LA ORGANIZACIÓN ......................................................................................................................... 4
II. PROBLEMÁTICAS DE LA INVESTIGACIÓN ............................................................................................................................. 8
2.1. REALIDAD PROBLEMÁTICA .............................................................................................................................................. 8
2.2. FORMULACIÓN DEL PROBLEMA ...................................................................................................................................... 8
2.3. JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN ................................................................................................. 9
2.4. OBJETIVOS DE LA INVESTIGACIÓN ................................................................................................................................. 10
III. MARCO TEÓRICO ........................................................................................................................................................... 11
3.1. ANTECEDENTES DE LA INVESTIGACIÓN ......................................................................................................................... 11
3.2. COBIT 5:.......................................................................................................................................................................... 11
3.3. NIVELES DE COBIT .......................................................................................................................................................... 12
A. Dominios: ................................................................................................................................................................... 12
B. Procesos: .................................................................................................................................................................... 12
C. Actividades: ................................................................................................................................................................ 12
3.4. COMPONENTES DE COBIT.............................................................................................................................................. 12
A. Resumen Ejecutivo:.................................................................................................................................................... 12
B. Marco de Referencia (Framework): ........................................................................................................................... 12
C. Objetivos de Control: ................................................................................................................................................. 12
3.5. LOS 5 PROCESOS DEL DOMINIO DE COBIT..................................................................................................................... 12
IV. MARCO METODOLÓGICO .............................................................................................................................................. 14
4.1. EL ESTÁNDAR COBIT COMO METODOLOGÍA ................................................................................................................. 14
3.6. METODOLOGÍA DE COBIT 5 ........................................................................................................................................... 15
3.7. PRINCIPIOS DE COBIT 5 .................................................................................................................................................. 16
3.8. DOMINIO – EVALUAR, DIRIGIR Y MONITOREAR ............................................................................................................ 19
V. DESARROLLO DE LA PROPUESTA ....................................................................................................................................... 20
5.1. PLAN PARA LA IMPLEMENTACIÓN DEL MARCO DE TRABAJO COBIT 5 PARA LA GESTIÓN DE TI .................................. 20
5.2. DETERMINACIÓN DE LOS PROCESOS COBIT APLICABLE A TI ......................................................................................... 21
5.3 OBJETIVOS DE CONTROL EFECTIVOS ............................................................................................................................. 27
5.4 BENEFICIOS DE COBIT .................................................................................................................................................... 28
VI. CONCLUSIONES .............................................................................................................................................................. 29
VII. RECOMENDACIONES ...................................................................................................................................................... 30
VIII. REFERENCIAS BIBLIOGRÁFICAS ...................................................................................................................................... 31
 INTRODUCCIÓN
A través de las encuestas, y entrevistas aplicadas, se determinó diversos problemas en lo
que concierne a gestión de TI, entre los principales hallamos la congestión de problemas en los
sistemas y redes, que se presentan a diario en las diferentes áreas Municipalidad Distrital de San
Juan Bautista (informática),

Como objetivos en este trabajo tenemos el realizar la auditoría informática en el Centro de

Sistemas de Información de la Municipalidad Distrital de San Juan Bautista, utilizando el
estándar COBIT (Control Objectives For Information and Related Technology), con el fin de
mejorar la gestión de TI en la empresa, luego tenemos el describir la situación actual del área a
auditar, respecto a los procesos TI que se ejecutan en el área, especificar los controles del estándar
COBIT que se aplicarán, con respecto a los procesos de Gestión de TI y emitir recomendaciones
que permitan mejorar la gestión en el área del CSI bajo el estándar COBIT en el Municipalidad
Distrital de San Juan Bautista.

Al aplicar esta auditoría, permitirá aumentar la eficiencia y eficacia en el desarrollo de las

operaciones, haciendo los procedimientos más seguros y brindando mayor agilidad de las
actividades de la organización.
Posteriormente se elaboró el INFORME FINAL de la auditoría, detallando cada uno de los
10 Observaciones de los objetivos de control no efectivos en la empresa, permitiendo generar
recomendaciones, el cual ha sido presentado al Coordinador del CSI. El documento incluye un
resumen gerencial junto con las conclusiones y recomendaciones obtenidas
 I. DATOS GENERALES DE LA ORGANIZACIÓN

1.1. DESCRIPCIÓN DE LA ORGANIZACIÓN

La Municipalidad Distrital de San Juan Bautista, es el órgano de Gobierno Local
que emana de la voluntad popular. Tiene Personería Jurídica de derecho público
y aplica las leyes y disposiciones de conformidad con las facultades establecidas
por la Constitución Política del Perú, Ley Orgánica de Municipalidades y otras
disposiciones legales.

Las competencias y funciones generales de la Municipalidad Distrital de San Juan

Bautista se encuentran establecidas en la ley orgánica de municipalidades Nº
27972. Es una entidad básica de la organización territorial del Estado, con canales
inmediatos de participación vecinal en los asuntos públicos, que institucionalizan
y gestionan con autonomía los intereses propios del Distrito de San Juan Bautista.

En base al Cuadro de Asignación de Personal (CAP) se elaboró el presente Manual

de Organización y Funciones (MOF), documento normativo que se describe las
funciones específicas a nivel de cargo o puesto de trabajo, desarrolladas a partir de
la estructura orgánica y funciones establecidas en el Reglamento de Organización y
Funciones.
La Municipalidad Distrital de San Juan Bautista se encuentra ubicado en Jr.
España N° 119 – Parque principal del Distrito de San Juan Bautista - Huamanga
– Ayacucho – Perú.

1.2. MISIÓN Y VISIÓN DE LA ORGANIZACIÓN

1.1.1 VISIÓN
Ser una municipalidad modelo y sostenible en la prestación de servicios
públicos de calidad, promotor de desarrollo económico y humano,
asegurando el uso responsable, racionales y transparentes de los recursos
con efectividad.

1.1.2 MISIÓN
Brindar servicios de calidad con transparencia y tecnología en beneficio de
ciudadano logrando el desarrollo integral y sostenible de la ciudad, a través
de una gestión participativa en innovadora.
1.1.3 ORGANIGRAMA DE LA INSTITUCIÓN

5
1.1.4 OBJETIVOS ESTRATÉGICOS DEL ÁREA INFORMATICA
La organización TIC actual comprende a la Gerencia de Informática y varias
“instancias” en los distintos órganos administrativos, jurisdiccionales y de
control, tiene como objetivo brindar soporte Técnico para la comunicación,
sistematización y administración de Hardware de las gerencias,
subgerencias y Áreas administrativas para el cumplimiento de la misión y
objetivos de la Municipalidad Distrital de San Juan Bautista, promoviendo
así mismo el uso y la aplicación de la informática para la simplificación y
mayor eficacia de los procesos que desarrollan.

1.1.5 FUNCIONES DE LA OFICINA DE TIC

Según el Artículo 9 del Decreto 4108, las funciones de la Oficina de
Tecnologías de la Información y la Comunicación – TIC, son las siguientes:

a) Formular, proponer y evaluar las políticas y planes de gestión en

materia de tecnologías de la información en el Ministerio, en
concordancia con las políticas nacionales y los principios de buen
gobierno sobre la materia.

b) Desarrollar el planeamiento estratégico de tecnologías de la

información, en concordancia con los objetivos trazados por la Alta
Dirección y las necesidades de los órganos del Ministerio.

c) Diseñar, desarrollar, implantar, capacitar y mantener los sistemas de

información que sirvan de apoyo a las actividades operativas y de
gestión del Ministerio, así como de los sistemas transversales a su
cargo.

d) Formular y proponer políticas y normas de seguridad informática, e

implementar soluciones de protección de las redes, equipos y
sistemas de información del Ministerio, en concordancia con las
políticas de seguridad establecidas.

e) Efectuar la gestión técnica de los activos de tecnologías de

información del Ministerio, coordinando con la Oficina General de
Administración el mantenimiento y actualización de los respectivos
inventarios.

6
f) Brindar soporte técnico a los usuarios de equipos y sistemas
informáticos del Ministerio, así como el asesoramiento técnico a los
órganos que requieran disponer de nuevas soluciones de tecnología o
servicios acordes a sus necesidades.

g) Administrar la infraestructura tecnológica informática y de

comunicación de datos del Ministerio, garantizando su operatividad,
disponibilidad y seguridad.

h) Promover y dirigir la innovación tecnológica de las infraestructuras,

plataformas y sistemas informáticos del Ministerio.

i) Implementar, gestionar y promover el uso de herramientas de

inteligencia de negocios y gestión del conocimiento para la toma de
decisiones de los diferentes órganos del Ministerio.

j) Efectuar la implementación y gestión del Plan de Contingencia

Informático y el Plan de Continuidad de Negocios del Ministerio, en el
ámbito de su competencia, y en coordinación con la Dirección de
Gestión de Riesgos de la Dirección General de Endeudamiento y
Tesoro Público.

k) Registrar y actualizar la información contenida en el portal institucional

y el portal de transparencia del Ministerio, conforme a las normas
sobre la materia y en coordinación con los órganos correspondientes,
velando por la operatividad, disponibilidad y seguridad de los mismos.

l) Coordinar, dirigir y supervisar el uso de los recursos informáticos y de

comunicaciones del Ministerio, proponiendo las directivas y
lineamientos necesarios para garantizar su disponibilidad, legalidad y
racionalidad.

m) Supervisar los trabajos encargados a terceros relacionados a

infraestructura tecnológica y aplicativos del Ministerio; y,

7
 II. PROBLEMÁTICAS DE LA INVESTIGACIÓN

2.1. REALIDAD PROBLEMÁTICA

En el siguiente punto se detallará los problemas o inconvenientes hallados en el
área de Informática de la Municipalidad Distrital de San Juan Bautista.

2.1.1 PLANTEAMIENTO DEL PROBLEMA

Debido al avance tecnológico de los sistemas, las telecomunicaciones han
logrado posicionarse tanto en los sectores públicos como privados en todo
el mundo, teniendo un crecimiento muy acelerado, esto ha dado paso a que
los sistemas informáticos necesiten un adecuado control.

Las Tecnologías de Información constituyen actualmente, una herramienta

estratégica para el desarrollo institucional global, y es precisamente de la
importancia de su adecuada gestión y desempeño, de donde surge la
necesidad de verificar que las políticas y procedimientos establecidos para
su desarrollo, se lleven a cabo de manera oportuna y eficiente permitiendo
un mejoramiento continuo. Hoy en día los sistemas de información
constituyen herramientas indispensables para el desarrollo empresarial
general. Las Tecnologías de Información se involucran directamente con la
gestión integral de la empresa, por esta razón deben estar sujetas a
lineamientos, normas y estándares que vayan de acuerdo con las políticas
empresariales.
Hoy en día, el desarrollo de una auditoría informática está basada en la
aplicación de normas, técnicas, estándares y procedimientos que garanticen
el éxito del proceso. El estándar COBIT es una de estas normas que
garantizan el más adecuado proceso de auditoría, toda vez que centra su
interés en la gobernabilidad, aseguramiento, control y auditoría para
Tecnologías de la Información, por lo que actualmente es uno de los
estándares más utilizados, como base en la realización de una metodología
de control interno en el ambiente de tecnología informática.

2.2. FORMULACIÓN DEL PROBLEMA

¿La realización de una Auditoría Informática permitirá aumentar la eficiencia y
eficacia en el área Informática de la Municipalidad Distrital de San Juan Bautista?

8
2.3. JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN
Seguidamente explicaremos a detalle la justificación e importancia de la presente
investigación.

2.3.1 JUSTIFICACIÓN
 La metodología que se va proponer para el mejoramiento de la gestión
de las TI en la Municipalidad Distrital de San Juan Bautista, permitirá
aprovechar los recursos tecnológicos que actualmente existe. Ayudará
a mejorar la gestión de gobierno de las tecnologías y a utilizar las
buenas prácticas empleando técnicas y procesos que la metodología
propuesta guiará.

 Mejorando la gestión del proceso con calidad de servicio y gobierno

que COBIT 5 establece como base para el desarrollo de la
metodología a proponer. Es de gran importancia que las necesidades
que existe de gestionar las TI, con mecanismos que proliferen las
deficiencias que impiden el mejor desempeño de la planificación,
organización y gestión de gobierno de las tecnologías de la
Municipalidad Distrital de San Juan Bautista tiene para su desempeño
tecnológico y así poder alcanzar un alto estándar de calidad
tecnológica, que mediante la metodología COBIT se logrará conseguir
al hacer aplicada y gestionada como los mejores para el beneficio de
la Institución.

2.3.2 IMPORTANCIA
Como método de estudio de investigación en La Municipalidad Distrital de
San Juan Bautista, que es órgano de Gobierno Local nos permite realizar
un conjunto de procedimientos, técnicas para evaluar y controlar los
sistemas de información en las oficinas del área informática, con el fin de
constatar si sus procesos y actividades son correctos y se encuentran
enmarcados y en conformidad con las mejores normativas y generales de
la organización; es importante ya que proporcionará controles necesarios
y harán las operaciones más confiables y tendrán un buen nivel de
seguridad, equipos tecnológicos y personal capacitado; aumentando la
eficiencia y eficacia en el desarrollo de estas, propiciando mayor
rendimiento en la institución.

9
2.4. OBJETIVOS DE LA INVESTIGACIÓN
Analizar la metodología COBIT 5 y su aplicabilidad en el uso de las TI en el área
informática de la Municipalidad Distrital de San Juan Bautista para mejorar los
procesos tecnológicos de gobierno y gestión.

2.4.1. OBJETIVO GERENAL

Realizar la auditoria informática en el área de Informática de la
Municipalidad Distrital de San Juan Bautista, usando las normas COBIT
como marco de trabajo COBIT, con el fin de aumentar la eficiencia y
eficacia en el área indicada.

2.4.2. OBJETIVOS ESPECÍFICOS

 Describir la situación actual del área de Informática de la Municipalidad
Distrital de San Juan Bautista, con respecto a los procesos de
tecnologías de Información que se ejecutan en el área.

 Identificar los posibles riesgos en el área de Informática; tanto físicas

como lógicos, como también detallar cada uno de ellos y en los
formatos definir la matriz de probabilidad de impacto de riesgo.

 Analizar la metodología COBIT 5 aplicadas a las TI para el desarrollo

del marco teórico en el área informática de la Municipalidad Distrital de
San Juan Bautista.

 Proponer la metodología para mejorar la gestión de las TI en la

Municipalidad, utilizando técnicas y procesos que la metodología del
Marco de COBIT 5 establece.

10
 III. MARCO TEÓRICO

3.1. ANTECEDENTES DE LA INVESTIGACIÓN

A continuación, se detallarán los antecedentes de contexto internacional, nacional
y local.

3.1.1 ANTEDEDENTES EN EL CONTEXTO INTERNACIONAL

a) TEMA:
“Auditoría de la Gestión de Seguridad en la Red de Datos de Swissotel
Basada en COBIT”.

b) Institución: Escuela Politécnica Nacional.

c) Lugar / País: Quito – Ecuador.

d) Conclusiones:
En este proyecto de tesis se realizó la revisión de los planes
estratégicos de la institución para conocer el estado interno en cuanto
a Tecnologías de Información concierne. Tomando en cuenta que
COBIT no proporciona una estructura formal y especifica de cómo
desarrollar un plan de auditoría y su ejecución posterior, en su lugar,
ofrece una serie de guías de cómo realizar el análisis y evaluación de
los controles existentes en la empresa en el área de tecnologías de
información y que están relacionados con el alcance de los objetivos
de la empresa.

3.2. COBIT 5:
Es la última edición del framework mundialmente aceptado, el cual proporciona
una visión empresarial del Gobierno de TI que tiene a la tecnología y a la
información como protagonistas en la creación de valor para las empresas.
COBIT (Objetivos de Control para Tecnología de Información y Tecnologías
relacionadas) es precisamente un modelo para auditar la gestión y control de los
sistemas de información y tecnología, orientado a todos los sectores de una
organización, es decir, administradores TI, usuarios y por supuesto, los auditores
involucrados en el proceso. El COBIT es un modelo de evaluación y monitoreo

11
 que enfatiza en el control de negocios y la seguridad TI y que abarca controles
específicos de TI desde una perspectiva de negocios.

3.3. NIVELES DE COBIT

Se divide en 3 niveles, los cuales son los siguientes:

A. Dominios:
Agrupación natural de procesos, normalmente corresponden a un dominio o
una responsabilidad organizacional.

B. Procesos:
Conjuntos o series de actividades unidas con delimitación o cortes de control.

C. Actividades:
Acciones requeridas para lograr un resultado medible.

3.4. COMPONENTES DE COBIT

A. Resumen Ejecutivo:
Es un documento dirigido a la alta gerencia presentando los antecedentes y
la estructura básica de COBIT, Además, describe de manera general los
procesos, los recursos y los criterios de información, los cuales conforman la
"Columna Vertebral" de COBIT.

B. Marco de Referencia (Framework):

Incluye la introducción contenida en el resumen ejecutivo y presenta las guías
de navegación para que los lectores se orienten en la exploración del material
de COBIT haciendo una presentación detallada de los 34 procesos
contenidos en los cuatro dominios.

C. Objetivos de Control:
Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en
el marco de referencia y presenta los objetivos de control detallados para cada
uno de los 34 procesos.

3.5. LOS 5 PROCESOS DEL DOMINIO DE COBIT

A. ALINEAR, PLANIFICAR Y ORGANIZAR (APO)

 APO01 Gestionar el Marco de Gestión de TI.

12
  APO02 Gestionar la Estrategia.
 APO03 Gestionar la Arquitectura Empresarial.
 APO04 Gestionar la Innovación.
 APO05 Gestionar el portafolio.
 APO06 Gestionar el Presupuesto y los Costes.
 APO07 Gestionar los Recursos Humanos.
 APO08 Gestionar las Relaciones.
 APO09 Gestionar los Acuerdos de Servicio.
 APO10 Gestionar los Proveedores.
 APO11 Gestionar la Calidad.
 APO12 Gestionar el Riesgo.
 APO13 Gestionar la Seguridad

B. ENTREGAR, DAR SERVICIO Y SOPORTE (DSS)

 DSS01 Gestionar las Operaciones.
 DSS02 Gestionar las Peticiones y los Incidentes del Servicio.
 DSS03 Gestionar los Problemas.
 DSS04 Gestionar la continuidad.
 DSS05 Gestionar los servicios de seguridad.
 DSS06 Gestionar los Controles de los Procesos del Negocio.

C. SUPERVISAR, EVALUAR Y VALORAR (MEA)

 MEA01 Supervisar, Evaluar y Valorar Rendimiento y Conformidad.
 MEA02Supervisar, Evaluar y Valorar el Sistema de Control Interno.
 MEA03Supervisar, Evaluar y Valorar la Conformidad con los
Requerimientos Externos. (ISACA, COBIT 5, 2013).

D. CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI)

 BAI01Gestionar los Programas y Proyectos.
 BAI02 Adquirir y mantener el software aplicativo.
 BAI03 Gestionar la Identificación y la Construcción de Soluciones.
 BAI04 Gestionar la Disponibilidad y la Capacidad.
 BAI05 Gestionar la introducción de Cambios Organizativos.
 BAI06 Gestionar los Cambios.
 BAI07 Gestionar la Aceptación del Cambio y de la Transición.

13
  BAI08 Gestionar el Conocimiento.
 BAI09 Gestionar los Activos.
 BAI10 Gestionar la Configuración.

E. SUPERVISAR, EVALUAR Y ORIENTAR (EDM)

 EDM01Asegurar el Establecimiento y Mantenimiento del Marco de
Gobierno.
 EDM02 Asegurar la Entrega de Beneficios
 EDM03 Asegurar la Optimización del Riesgo
 EDM04 Asegurar la Optimización de los Recursos
 EDM05 Asegurar la Transparencia hacia las partes interesadas

IV. MARCO METODOLÓGICO

4.1. EL ESTÁNDAR COBIT COMO METODOLOGÍA

Como Metodología usaremos el COBIT (Control Objetives Information
Tecnologies – Objetivo de Control para Tecnología de Información) cuyo editor
principal fue el Instituto de Gobierno TI, creando así una herramienta de Gobierno

14
 de TI, que vincula la tecnología informática y prácticas de control, además
consolida estándares de fuentes globales confiables en un recurso esencial para
la gerencia, los profesionales de control y auditores.

COBIT está basado en la filosofía de que los recursos de TI necesitan ser

administrados por un conjunto de procesos naturalmente agrupados para proveer
la información pertinente y confiable que requiere una organización para lograr
sus objetivos.

COBIT

Es un conjunto de mejores prácticas para el manejo

de información creado por la Asociación para la
DESCRIPCIÓN Auditoría y Control de Sistemas de Información,
(ISACA) y el Instituto de Administración de las
Tecnologías de la Información (ITGI).

-Proporciona las mejores prácticas y herramientas

para monitorear y gestionar las actividades de TI.
VENTAJAS
-Mejor alineación de una empresa, enfocándose en
sus recursos de TI.

- Se requiere de un esfuerzo de la organización

DESVENTAJAS para adoptar los estándares.

3.6. METODOLOGÍA DE COBIT 5

COBIT 5 acopla los 5 principios que admiten a la Institución desarrollar de forma
segura el marco de Gobierno y Administración enfocado en una sucesión de 7
habilitadores que tienen relación, que perfeccionan el financiamiento en
información como también en tecnología mediante lo cual la utilización va en
beneficio de los interesados.

COBIT 5 es adaptable a todas las dimensiones de organizaciones incluidas a las

pequeñas empresas, al conglomerado de grupos de diversos vendedores,
entornos de tecnología, manufacturas, tradiciones y campos colectivos. Se lo
puede utilizar en:
 Seguridad de la información.
 Gestión de riesgo.

15
  Gobierno y administración de TI en la empresa.
 Actividades de aseguramiento.
 Cumplimiento financiero o informe de responsabilidad Social Corporativa.
 Toma de decisiones sobre el manejo de tendencias actuales.

3.7. PRINCIPIOS DE COBIT 5

El marco de COBIT 5 favorece a crear valor óptimo de Tecnologías de la
Información por mantener un equilibrio entre la optimización de los niveles de
riesgo, la obtención de beneficios y el uso de recursos, lo que permite que la
información y la tecnología concerniente sean gobernadas y gestionadas de
manera completa para toda la empresa, incluyendo de principio a fin el negocio y
áreas funcionales, teniendo en cuenta los intereses de las partes interesadas
internas y externas. Los facilitadores, sus 5 principios de COBIT son de carácter
genérico y útil para las empresas.

1. Satisfacer
las
necesidades
de las partes
interesadas

5. Separar el 2. Cubrir la
Gobierno de la Organización de
Administración forma integral

Principios de
COBIT 5

4. Habilitar un 3. Aplicar un
enfoque solo marco
holistico integrado de tecnologías de
COBIT 5 se encamina en la dirección de organizaciones
información, orientado especialmente al gobierno de Tecnologías de la
Información. Se enumeran los puntos que muestran las diferencias
primordiales, para luego expresar en qué se basa cada uno de estos:

 Cinco principios.

16
  Dominio “Evaluar, dirigir y monitorear”.
 Modelo de referencia de procesos.
 Modelo de madurez de procesos.

3.7.1. PRINCIPIO 1: Satisface los requerimientos de los beneficiarios.

La empresa existe para crear valor para sus interesados.

Necesidades
de las partes
interesadas

Objectivos del Gobierno: Creación de Valor

Realización Optimización Optimización

de Beneficios de Riesgos de Recursos

3.7.2. PRINCIPIO 2: Cubrir la empresa de forma integral.

COBIT 5 se concentra en el gobierno y la administración de la tecnología
de la información y relacionadas desde una perspectiva integral a nivel de
toda la organización.
COBIT 5 Integra el gobierno de la TI, el sistema de gobierno para la TI
corporativa propuesto por COBIT 5 se integra, de una manera fluida, en
cualquier sistema de gobierno, toda vez que COBIT 5 está alineado a los
últimos desarrollos en gobierno corporativo.

17
 Componentes Claves de un sistema de Gobierno.

Objectivo del Gobierno: Creación de Valor

Realización Optimización Optimización

de Beneficios de Riesgos de Recursos

Habilitadores Alcance del

de Gobierno Gobierno

Roles, Actividades y Relaciones

3.7.3. PRINCIPIO 3: Aplicar un único marco integrado.

COBIT 5 está alineado con los últimos marcos y normas relevantes usados
por las organizaciones.

3.7.4. PRINCIPIO 4: Habilitar un enfoque Holístico.

Los Habilitadores de COBIT 5 son: siete categorías.

2. Procesos 3. Estructuras 4. Cultura, Ética

Organizacional y
es Comportamient

1. Principios, Políticas y Marcos

6. Servicios, 7. Personas,
5.Información Infraestructura Habilidades
y Aplicaciones y
Competencia
RECURSOS

3.7.5. PRINCIPIO 5: Separar gobierno de administración.

18
 El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y
la Administración.

Necesidades del
Negocio
Gobierno

Evaluar

Dirijir Monitorear
Retroalimentación
Gerencial

Administración

Planificar Construir Operar Monitorear

(APO) (BAI) (DSS) (MEA)

3.8. DOMINIO – EVALUAR, DIRIGIR Y MONITOREAR

Las Tecnologías de la Información con en la guía de la dirección, que domina 5
campos de orientación de Tecnologías de Información.

a. Formación importante se transformó en el método uno de este dominio

nuevo: En el marco de gobierno “definir y mantener”, mediante las
experiencias de valoración, habilidades y orientación de métodos.

b. Método 2: Conceder valor resultado como el “Garantizar la entrega de

beneficios”.

c. Método 4: Desarrollo de gestión de recursos “Garantizar la optimización de

los recursos”.

d. Método 3: Gestion de peligros - riesgos “Asegurar la optimización de los

niveles de riesgos”.

e. Método 5: Comprobación del ejercicio “Asegurar la transparencia para los

interesados.

19
 V. DESARROLLO DE LA PROPUESTA

5.1. PLAN PARA LA IMPLEMENTACIÓN DEL MARCO DE TRABAJO COBIT 5

PARA LA GESTIÓN DE TI
En este punto se desarrollará la propuesta del Marco de Trabajo COBIT 5, en la
Municipalidad Distrital de San Juan Bautista.

5.1.1 ALCANCE DEL MARCO DE TRABAJO COBIT 5

El Marco de trabajo COBIT 5 se aplicará a la Municipalidad Distrital de San
Juan Bautista en el Área Informática para la Seguridad de la Información y
prevenir riesgo en cuanto a los bienes Digitales y Físicas. Dado que la
tecnología de la Información está avanzando cada vez más y se ha
generalizado en las empresas, instituciones y entornos sociales, públicos y
de negocios.

A pesar de que COBIT es una herramienta que trabaja conjuntamente con

los objetivos principales de la organización, la auditoría se centrará en el
análisis de las tecnologías de la información, aplicada actualmente en el
área Informática de la Municipalidad Distrital de San Juan Bautista.

De aquí partirá el análisis donde se identificarán las debilidades existentes

y sus riesgos potenciales, se expondrán una serie de conclusiones sobre los
actuales procedimientos en lo que refiere a TI, el cual nos ayudará a emitir
recomendaciones para el mejoramiento de gestión TI.

5.1.2 OBJETIVOS DEL MARCO DE TRABAJO COBIT 5

 Analizar y diagnosticar la actual gestión de Control de Seguridad
Informática en la Municipalidad Distrital de San Juan Bautista.

 Plantear las mejoras para la gestión de TI.

 Proponer nuevos procesos y actividades que ayudaran a identificar los

controles que se requieren para garantizar la gestión del Control de
Seguridad Informática.

20
5.2. DETERMINACIÓN DE LOS PROCESOS COBIT APLICABLE A TI
La determinación de los procesos COBIT 5 involucrados dentro de la gestión de
procesos TI que permitirá llevar a cabo el desarrollo de la presente auditoria,
siguiendo las recomendaciones del Marco de trabajo COBIT 5, en la Municipalidad
Distrital de San Juan Bautista.

Del estudio de estos, se ha seleccionado aquellos que tienen relación con la

gestión de TI del área de Informática, de acuerdo a la encuesta realizada en dicha
área, las cuales contribuirá alcanzar los objetivos de la institución.

5.2.1 IDENTIFICACIÓN DE LOS PROCESOS DE COBIT RELACIONADOS

CON CADA PROCESO DE TI IDENTIFICADO EN LA MUNICIPALIDAD
DISTRITAL DE SAN JUAN BAUTISTA
Dado que la evaluación de los procesos de TI, mediante el modelo COBIT,
se realiza de los procesos del Modelo de Referencia de Proceso COBIT 5,
es necesario identificar, cuáles de los 34 procesos COBIT están
relacionados con los procesos de TI que actualmente están implementados
en la Municipalidad.
Para ello elaboró la Tabla N° 1, que muestra los resultados de este análisis:

21
 A. PROCESOS DEL DOMINIO ALINEAR, PLANIFICAR Y ORGANIZAR (APO)

DOMINIO ALINEAR, PLANIFICAR Y ORGANIZAR (APO)

APO01 Gestionar el Marco de Gestión de TI
Optimizar las capacidades de recursos para cumplir los objetivos de la institución.
OBJETIVO DE CONTROL DETALLADO FACTORES DE RIESGO

APO01 Mantener la capacitación de encargado del área de informática

 Riesgo de no poder corregir

 Evaluar las necesidades de personal de forma regular o ante cambios importantes. algún incidente ocurrido en
 Mantener los procesos de contratación y de retención del personal TI y del negocio en una de las áreas por falta de
línea con las políticas y procedimientos de personal globales de la empresa. personal TI.
 Incluir controles de antecedentes en el proceso de contratación de TI para empleados.  No contar con el personal
 Establecer mecanismos flexibles de dotación de recursos para apoyar a las necesidades capacitado para las
cambiantes del negocio, tales como el uso de transferencias y acuerdos de servicio con actividades que se requieren.
terceras partes.

22
 B. PROCESO DE DOMINIO: ENTREGAR, DAR SERVICIO Y SOPORTE (DSS)

DOMINIO ENTREGA DE SERVICIOS Y SOPORTE (DSS)

DSS02. Gestionar Peticiones e Incidentes de Servicio
DESCRIPCION
OBJETIVO DE CONTROL DETALLADO REVISION A TRAVES DE:
DE LA PRUEBA

DSS02. Definir esquemas de clasificación de incidentes y peticiones de Evaluación de Controles:  Checklist.

servicio. Verificar que cuente con un esquema  Entrevista al
 Definir esquemas de clasificación y priorización de incidentes y de clasificación para priorizar Responsable
peticiones de servicio y criterios para el registro de problemas peticiones de servicio e incidentes de Soporte
 Definir modelos de incidentes para errores conocidos con el fin de que se presentan diariamente. Técnico –
facilitar su resolución eficiente y efectiva. Probando que: CSI.
 Definir modelos de peticiones de servicio según el tipo de petición de La definición de modelos de
servicio correspondiente para facilitar la auto-ayuda y el servicio incidentes para errores ya conocidos,
eficiente para las peticiones estándar. nos facilitará su resolución de

 Definir fuentes de conocimiento de incidentes y peticiones y su uso. manera eficiente y eficaz.

23
 C. PROCESO DE DOMINIO: SUPERVISAR, EVALUAR Y VALORAR (MEA)

DOMINIO: SUPERVISAR, EVALUAR Y VALORAR (MEA)

MEA01 -Supervisar, Evaluar y Valorar el Rendimiento y la Conformidad.

Proporcionar transparencia de rendimiento y conformidad y conducción hacia la obtención de los objetivos.
OBJETIVOS DE CONTROL DETALLADO FACTORES DE RIESGO

MEA01.01: Establecer un enfoque de la supervisión.  Conflicto con los objetivos y requisitos

 Involucrar a las partes interesadas y comunicar los objetivos y requisitos empresariales de la empresa ante una
empresariales para la supervisión, consolidación e información, utilizando supervisión que se realice al área del CSI
definiciones comunes.  La falta de eficiencia, efectividad y
 Acordar un proceso de control de cambios y de gestión del ciclo de vida de confidencialidad en los procesos realizados
la supervisión y la presentación de informes. dentro de la empresa debido a la no
 Solicitar, priorizar y reservar recursos para la supervisión (considerando priorización y reserva de recursos.
oportunidad, eficiencia, efectividad y confidencialidad).

24
 D. PROCESO DE DOMINIO: CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI)

CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI)

BAI10. Gestionar la Configuración
DESCRIPCION DE LA
OBJETIVO DE CONTROL DETALLADO REVISION A TRAVES DE:
PRUEBA

BAI10: Gestionar la Configuración. Evaluación de Controles:  Checklist.

 Configurar los sistemas operativos de forma segura. Verificar que exista protección física  Entrevista al
 Gestionar la configuración de la red de forma segura. y mecanismos de bloqueo a los Responsable de Soporte
 Realizar mecanismos de bloqueo de los dispositivos. dispositivos de los usuarios finales Técnico – CSI.
 Proteger la integridad del sistema. Probando que:  Revisión del Plan de
 Proveer de protección física a los dispositivos de Mediante la protección física de los Contingencia.
usuario final. dispositivos se logrará proteger la
integridad del sistema y de la red.

25
 E. PROCESO DE DOMINIO: SUPERVISAR, EVALUAR Y ORIENTAR (EDM)

DOMINIO: SUPERVISAR, EVALUAR Y ORIENTAR (EDM)

EDM05 – Asegurar la transparencia hacia las partes interesadas.

Ofrecer transparencia a las partes interesadas claves respecto de la adecuación del sistema de control interno para generar confianza
en las operaciones, en el logro de los objetivos de la compañía y un entendimiento adecuado del riesgo residual.

OBJETIVOS DE CONTROL DETALLADO FACTORES DE RIESGO

EDM05 Asegurar la transparencia hacia las partes interesadas.
 Evaluaciones y supervisiones no eficaces
 Considerar las evaluaciones independientes hacia las partes interesadas. si es que no se basan en estándares.
 Identificar los límites del sistema de control interno de TI hacia las partes  Limitaciones en la trasparencia.
interesadas.
 No se adecuen a la Tencnología.
 Asegurar que las actividades de control están operativas y que las excepciones
 Falta de un óptimo rendimiento del sistema
son comunicadas puntualmente, seguidas y analizadas.
de control de TI, por falta de evaluaciones
constantes.

26
5.3 OBJETIVOS DE CONTROL EFECTIVOS
A continuación, se detalla el funcionamiento actual de los controles encontrados
efectivos:

ALINEAR, PLANIFICAR Y ORGANIZAR (APO)

APO01 Gestionar el Marco de Gestión de TI

Actualmente, existen documentos que consideran los objetivos funcionales de la

institución, al establecer las metas individuales, también se implementa y
comunica un proceso disciplinario en el área del Servicio Informático, por parte
del Coordinador de dicha área. Según la entrevista realizada al Responsable de
área Informática, recalca que existe un proceso de evaluación y se dan
instrucciones del uso y almacenamiento de información del sistema, además se
recopila los resultados de las evaluaciones de desempeño en la gestión de
Tecnología de Información.

ENTREGA DE SERVICIO Y SOPORTE (DSS)

DSS02. Gestionar Peticiones e Incidentes de Servicio
Existen registros de los principales incidentes identificados en el área de Servicio
de Informática, los cuales se localizan y se corrigen oportunamente, según lo
mencionado en la entrevista al Responsable de Soporte Técnico, señala que en
los documentos del área del CSI, se registran los diagnósticos de incidentes en
las diferentes áreas de la empresa, consignando las causas más probables que
pudieron ocasionarlos, registrando no solo lo más relevante sino todos los datos
que sean necesarios para diagnosticar y localizar dichos incidentes, para ello se
asignan especialistas con un buen nivel de gestión para lograr la resolución
idónea e inmediata de los problemas que se presenten de forma eficiente.

SUPERVISAR, EVALUAR Y VALORAR (MEA)

MEA01 -Supervisar, Evaluar y Valorar el Rendimiento y la Conformidad.

El personal del área de Servicio Informático no tiene conocimiento sobre todos

los objetivos de la empresa. Además de que no existe un proceso de control de
cambios y de gestión en la supervisión del área de CSI, solo está documentado.

27
 Se encuentra documentado la supervisión que se debe realizar, pero por falta de
tiempo y por el poco personal con el que cuenta el área de CSI, no se da de
manera continua.

CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI)

BAI10. Gestionar la Configuración

Existe protección física y mecanismos de bloqueo a los dispositivos de los
trabajadores, mediante la protección física de los dispositivos se logra proteger
la integridad del sistema y de la red, para esto se configura los sistemas
operativos y se gestiona la configuración de la red de forma segura, asignándose
un IP diferente a cada ordenador para evitar conflictos entre estos y sobretodo
caídas de red en todas las áreas de la Municipalidad Distrital de San Juan
Bautista.

EVALUAR, ORIENTAR Y SUPERVISAR (EDM)

EDM05 – Asegurar la transparencia hacia las partes interesadas.
Se documenta las actividades de control en los procesos del negocio de la
MDSJB, pero no se supervisa que dichas actividades ayuden a identificar
oportunidades de mejora en la Institución.

Se tiene documentación de las actividades de control en los procesos del

negocio sin embargo no se realizan supervisiones que permitan hallar
oportunidades de mejora para Municipalidad Distrital de San Juan Bautista.

5.4 BENEFICIOS DE COBIT

 Mejor alineación basada en una focalización sobre el negocio.
 Visión comprensible de TI para su administración.
 Clara definición de propiedad y responsabilidades.
 Aceptabilidad general con terceros y entes reguladores.
 Entendimiento compartido entre todos los interesados basados en un
lenguaje común.
 Cumplimiento global de los requerimientos de TI planteados en el Marco de
Control Interno de Negocio COSO.

28
 VI. CONCLUSIONES

 Aplicando encuestas y entrevistas, se pudo determinar cuál es la

situación problemática del área de Informática de la Municipalidad
Distrital de San Juan Bautista, encontrándose como principales
problemas el no mantener la dotación de personal suficiente en el área,
así mismo no existe un proceso que permita mantener las habilidades y
competencias del personal TI.

 No se tienen esquemas definidos de clasificación de incidentes y

peticiones de servicio, los cuales permitan priorizarlos de manera que se
les dé una eficiente y eficaz resolución. Tampoco se analiza, ni se
informa sobre el rendimiento del área de Servicio de Información a la
Gerencia de manera constante. Por otro lado, no se planifican ni estudian
iniciativas de aseguramiento que permitan diagnosticar el riesgo e
identificar los procesos críticos de TI.

 Utilizando el estándar COBIT 5, se determinó que de los 37 objetivos de

control que tiene COBIT, 5 se aplica a nuestro proyecto, los cuales se
detallaron a lo largo de la auditoría.

29
 VII. RECOMENDACIONES

 Se recomienda aplicar controles en lo que respecta al área Informática,

específicamente al personal TI, el cual debe ser suficiente y adecuado para
poder cumplir con todas las actividades que se les asigne, además de
mantener las habilidades y competencias de dicho personal.

 Se sugiere supervisar las actividades de control constantemente en la

institución, ya que estas actividades solo se encuentran documentadas, más
no se realizan dichas supervisiones, tales como las de verificar que todos los
puertos de las computadoras de la empresa no estén activos, con el fin de
que ninguna persona pueda grabar información por medio de algún
dispositivo, ni tampoco adjuntar información de las computadoras mediante
correos electrónicos.

 Es recomendable aplicar controles, referente al proceso de control de

cambios y de gestión en la supervisión del área de Sistema
Informático, ya que uno de los objetivos de control de COBIT 5, señala
que se debe establecer un enfoque en la supervisión, lo cual
actualmente no se realiza en el área.

30
 VIII. REFERENCIAS BIBLIOGRÁFICAS

1) BUGOSEN, O. y TEJADA, CH. (2015). Adaptación de Modelo de

Gobierno y Gestión para la empresa VirtIT Expert Basado en COBIT
5. Universidad Peruana de Ciencias Aplicadas. Lima, Perú.

2) LEPAGE, D. (2014). Diseño de un modelo de gobierno de TI con

enfoque de seguridad de información para empresas prestadoras de
servicios de salud bajo la óptica de cobit 5.0. Pontificia Universidad
Católica del Perú. Lima, Perú.

3) QUINTUÑA, V. (2012). Auditoría Informática a la Superintendencia de

Telecomunicaciones. Universidad de Cuenca. Ecuador.

31
ANEXO: 1

INFORME

Municipalidad Distrital de San Juan Bautista de Ayacucho 2019

Señores:
Municipalidad Distrital de San Juan

De nuestra consideración:

Nos dirigirnos a Ud. a efectos de poner a consideración el Informe

de Auditoría aplicada a la Gestión de Tecnologías de Información,

bajo el Estándar COBIT (Control Objetives Information Technologies)

practicada en el Centro de Sistemas de Información, y en base al

análisis y procedimientos aplicados a las informaciones recopiladas

se emite el presente informe.

Fecha de Inicio de la Auditoría: Junio del 2019

Fecha de Redacción del Informe de la Auditoría: Junio del 2020

Equipo Auditor:

 Claudia, Huamán Vílchez

 Edwin, Mancilla Llallahui

32
33