ISSN 0798 1015

logo

Vol. 40 (Nº 3) Año 2019. Pág. 13

La evaluación de las tecnologías de la información usando Cobit Assurance para una auditoría de cumplimiento

The evaluation of information technologies using Cobit Assurance for a compliance audit

MURILLO PAEZ, Daniel R. 1; TINOCO DIAZ, Evelyn K. 2; CARRERA NARANJO, Clemencia G. 3

Recibido: 16/08/2018 • Aprobado: 13/12/2018 • Publicado 28/01/2019


Contenido

1. Introducción

2. Metodología

3. Resultados

4. Conclusiones

Referencias bibliográficas


RESUMEN:

Este estudio analiza el gobierno de TI, sólido y basado en prácticas para el manejo y gestión de las TIC, utilizando metodología analítica-sintética, hibrida, COBIT y Assurance Guide para la auditoría del control de procesos. Los resultados son la relevancia y generación de recursos de los procesos de Marketing, Lingüística, Capacitación y Consultoría del CEC-EPN. En COBIT, se eligió 8 procesos relevantes del CEC-EPN., Luego en la auditoría se enmarcaron un estado de madurez de escala de 0 y 1.
Palabras clave: COBIT, ITIL madurez, auditoría, Assurance, TI, control, Assurance Guide

ABSTRACT:

This study analyzes the governance of IT, solid and based on practices for the management and management of ICT, using analytical-synthetic methodology, hybrid, COBIT and Assurance Guide for the audit of process control. The results are the relevance and generation of resources of the Marketing, Linguistics, Training and Consulting processes of the CEC-EPN. In COBIT, 8 relevant processes of the CEC-EPN were chosen. Then, in the audit, a state of maturity of scale of 0 and 1 was framed.
Keywords: COBIT, ITIL Maturity, Audit, Assurance, IT, Control, Assurance Guide

PDF version

1. Introducción

La educación continua en Ecuador es un mercado muy competitivo, debido a las bajas barreras de entrada del mercado y la proliferación de competidores, haciendo del Centro de Educación Continua de la Escuela Politécnica Nacional (CEC-EPN), este en constante búsqueda de ventajas competitivas que le aseguren un lugar preponderante en el mercado. Uno de los principales ejes para establecer esta ventaja es la tecnología. La alta dirección consciente de su potencial, busca darle un papel más importante dentro de la estrategia en la organización, para ello es necesario alinear a la Coordinación de Gestión Tecnológica con los objetivos del negocio de tal manera hacerla eficiente. Las tecnologías de la información (TI) se han convertido en el motor que mueve a las organizaciones, y que en muchos casos decide la supervivencia o no de las mismas, haciendo que poco a poco sea vista como un área estratégica relevante.

El CEC-EPN consciente de esta realidad ha venido integrando a su área de tecnologías de la información (Coordinación de Gestión Tecnológica), en un principio creándola como un área formal, pues en su creación era parte de la Coordinación de Capacitación y Consultoría, y luego incluyéndola dentro de su Sistema de Gestión de Calidad, con el fin de darle una mayor importancia e irla involucrando dentro de la alta gerencia organizacional. Para ello es indispensable el establecimiento de un gobierno de TI, sólido y basado en los más prestigiosos manuales de referencia para las Tecnología de la Información, que se ajuste y apuntale los objetivos de la organización., Este tipo de manuales, hoy por hoy son aplicadas en muchas de las más prestigiosas empresas en el mundo, demostrando que no solo significan una moda sino que realmente son vistos, como verdaderas armas, en la lucha por generar organizaciones más competitivas generando mayores réditos.

En función a lo anterior, este trabajo se orientó a establecer la situación inicial de la Coordinación de Gestión Tecnología del CEC-EPN, así como determinar las actividades más críticas para la Coordinación de Gestión Tecnológica del CEC-EPN, basados en la estrategia empresarial del CEC-EPN, para finalmente analizar el estado de madurez de cada uno de los procesos seleccionados de COBIT a ser propuestos al CEC-EPN. Para cumplir estos requerimientos dados, la metodología utilizada esta segregada en tres etapas: enfoque análisis- sintético, hibrido, y finalmente COBIT y su Assurance Guide para la auditoría misma del control de los procesos.

Los resultados de este trabajo son la importancia y generación de recursos en: Marketing, Lingüística e Intercambios Culturales, Capacitación y Consultoría. En cuanto a los 8 procesos de COBIT mapeados con los servicios más requeridos por sus áreas claves: DS8, AI2, PO1, AI3, PO10, PO10, AI6, PO2. El estado de madurez están cada uno de los procesos seleccionados mantienen sus procesos de madurez en una escala de 0 y 1.

Objetivo General

Establecimiento de un gobierno de TI, sólido y basado en referencias de las mejores prácticas el manejo y gestión de las tecnologías de la información y comunicación, que se ajuste y apuntale los objetivos de la organización.

Objetivos Específicos

• Analizar la situación inicial de la Coordinación de Gestión Tecnología del CEC-EPN.

• Determinar actividades más críticas para la Coordinación de Gestión Tecnológica del CEC-EPN.

• Analizar el estado de madurez, en cada uno de los procesos seleccionados de COBIT.

2. Metodología

La metodología del presente estudio esta segregada en tres etapas: enfoque análisis- sintético, hibrido, y, finalmente COBIT y su Assurance Guide para la auditoría misma del control de los procesos.

Para la primera etapa se utilizó el método análisis-sintético identificando procesos más críticos y que generan valor a la institución. En la segunda etapa el enfoque descriptivo e hibrido. Autores como (Tashakkori & Creswell, 2007 Creswell, Piano, & Published, 2007) confirman a la investigación híbrida como una metodología de integración de datos cuantitativos y cualitativos. Para, (G, 2000) menciona que la investigación descriptiva trabaja sobre realidades de hecho y su característica es la de presentar una interpretación correcta. Dado los anteriores argumentos, este artículo utilizará ambas metodologías identificando cuatro aspectos relevantes: primero, la literatura académica sugiere la localización de la unidad de análisis., (Andreú, 2002) argumenta que son aquellas porciones del universo observado que serán analizadas, En este contexto, la unidad será el Centro de Educación Continua de la Escuela Politécnica Nacional CEC-EPN, segundo, la muestra según (García-garcía, Reding-bernal, & López-alvarenga, 2013) señalan que permite saber cuántos individuos son necesarios estudiar, para estimar un parámetro determinado con el grado de confianza deseado, bajo este argumento la muestra extraída es las diversas actividades de soporte (gestión administrativa financiera, gestión de recurso humanos, sistema de gestión de calidad, desarrollo tecnológico), además de actividades principales (investigación de mercado, diseño y desarrollo, publicidad y ventas, prestación y evaluación de servicio), tercero, la entrevista para (Taylor & Bogdan, 1987) es un encuentro profundo donde el entrevistador y el entrevistado entran en una conversación hacia el entendimiento de sus perspectivas respecto al tema a tratar., En este sentido, la entrevista fue dirigida por un lado, a los coordinadores  de los procesos que más demandan del servicio de la Coordinación de Tecnología que para el caso son “Publicidad y Ventas” y “Prestación y Evaluación del Servicio que corresponden a la Coordinación de Marketing, Coordinador de Lingüística e Intercambios Culturales.

Tercero, para la evaluación se usó el checklist sugerido en el Assurance Guide de COBIT para cada uno de los procesos identificados como los más críticos para el CEC-EPN., Luego los resultados del checklist se procederán a equiparar con lo que determina COBIT para establecer en qué nivel de madurez se encuentra el proceso de COBIT en el CEC-EPN, de esta manera determinar actividades con más alta severidad bajo la siguiente escala de valoración sugerida por COBIT  (Insignificante, Bajo, Media, Alta) (Pereira & Ferreira, 2015).

Durante todo el proyecto fue importante sin duda la colaboración de la Coordinación de Gestión Tecnológica quien fue pieza clave a la hora de brindar toda la información acerca del proceso., La información requerida estuvo en el Sistema de Gestión de la Calidad del CEC-EPN, presente en el Manual de Calidad del CEC-EPN y en los registros diarios que lleva la Coordinación. Adicionalmente se usaron las siguientes herramientas utilizadas por la comunidad científica como por ejemplo: Cobit 4.1.(Mukaromah & Putra, 2016)(Shivashankarappa, Smalov, Dharmalingam, & Anbazhagan, 2012), Cobit Assurance Guide, Itil V3 (Cui, Lin, & Mo, 2012), Iso 270001 (Bernik & Prislan, 2011)

3. Resultados

3.1. Actividades Soporte y Actividades Principales

Para dar cumplimiento a nuestro objetivo se realizó el análisis basado en la cadena de valor del CEC-EPN, de manera que se describió cada uno de los procesos estableciendo su relación directa con la Coordinación de Gestión Tecnológica, detallada en la siguiente tabla las actividades de soporte y actividades principales.

Tabla 1
Actividades de soporte y actividades principales

ACTIVIDAD SOPORTE

ACTIVIDADES PRINCIPALES

Gestión Administrativa-Financiera

La tarea de esta área es el pago a proveedores y empleados, adquisiciones, pago a instructores, recolección de fondos, administración de la contabilidad y finanzas.

La Coordinación Tecnológica en este proceso, es el soporte técnico aplicativos de terceros y propios del CEC-EPN y equipos informáticos, además de la eventual compra de equipos.

La información que maneja debe ser confidencial además de ser preservada con mucha diligencia.

Investigación de Mercado

Este proceso se realiza cada vez que un curso inicia, unas veces de manera más técnica y otras veces de manera informal.  Anualmente se realiza un estudio de mercado que analiza las nuevas tendencias del mercado para programar los cursos del nuevo año. Además, diariamente se analiza los medios de comunicación para conocer la oferta que genera la competencia y definir cuáles son los competidores directos.

Gestión del Recurso Humano

La actividad en esta área se centra en la compra de equipos eventualmente, soporte a equipos informáticos a nivel de infraestructura y de ofimática.

El proceso de reclutamiento, control de asistencia y demás lo maneja directamente la Unidad de Recursos Humanos de la Escuela Politécnica Nacional., un ente superior al CEC-EPN para el efecto.

Diseño y Desarrollo

Este proceso se dedica al diseño y elaboración de los pensum académicos, metodologías de los cursos del CEC-EPN. En esta etapa se realiza la selección de los instructores a través de clases demostrativas que son la base que permiten manejar una buena base de instructores calificados.

Sistema de Gestión de la Calidad

Esta área solo la compone una persona, encargada de manejar todo el Sistema de Gestión de Calidad del CEC-EPN, revisando los procesos documentados, realizando correcciones, preparando auditorias parciales.  

Publicidad y Ventas

Este proceso comienza con el diseño y ejecución de las campañas publicitarias, para luego receptar a los potenciales clientes y cristalizar la venta de los cursos. Para este proceso el apoyo de la Coordinación de Gestión Tecnológica consiste en el desarrollo, mantenimiento y soporte de sistemas para el análisis de la publicidad y la inscripción de los participantes en los distintos cursos.

Notándose dos realidades totalmente distintas, mientras por un lado en Lingüística la inscripción de los participantes es crítica, pues maneja un promedio de 5000 alumnos por ciclo, más de la mitad de este número se inscriben en los últimos 5 días lo que genera acumulaciones y molestias de los clientes, en el otro proceso productivo que es capacitación el volumen de participantes es mucho menor sin dejar de ser importante la automatización tanto de sus preinscripciones como de las matrículas.

Desarrollo Tecnológico

Uno de los grandes problemas de la Coordinación de Gestión Tecnológica del CEC-EPN, es la poca formalización de sus actividades. Algunos esfuerzos son sumamente informales, basados en iniciativas propias., Otra actividad que se maneja de manera informal es el desarrollo de los proyectos tanto de software como de hardware., En lo que respecta al software no existe definida una metodología de desarrollo de software que permita formalizar e integrar adecuadamente los distintos proyectos de desarrollo de software que posee la institución

Prestación y Evaluación del Servicio

Este proceso consiste en la consecución de toda la cadena de valor, en el producto final, el servicio como tal y basados en la norma ISO 9001:2008, la posterior evaluación del servicio con miras a la mejora continua. En este proceso las áreas productivas tienen comportamientos totalmente distintos por sus respectivos giros de negocio.

Por un lado, Lingüística brinda sus clases sin ningún componente tecnológico, su método son las clases tradicionales., Capacitación por el contrario ocupa un gran componente tecnológico en este proceso, computadores completos, equipos de proyección, equipos de red, internet, etc.

Fuente: Elaboración de los autores

3.2. Actividades Criticas

Para dar cumplimiento con nuestro segundo objetivo las actividades más críticas para la Coordinación de Gestión Tecnológica del CEC-EPN, basados en la estrategia empresarial del CEC-EPN, se las encajó dentro de 8 procesos pertenecientes al manual de referencia COBIT, para posteriormente proceder a verificar su cumplimiento. De este primer análisis se encontró que los servicios más requeridos, eran el soporte técnico que prácticamente lo requieren todas las áreas pero hubo un par de procesos que usan servicios puntuales que demandan muchos recursos, “Publicidad y Ventas” y “Prestación y Evaluación del Servicio”; estos servicios por ejemplo son: desarrollo de software para el core del negocio y mantenimiento, otro sería la configuración y mantenimiento de equipos computacionales para sus cursos tecnológicos que consumen tiempo de la Coordinación de Gestión Tecnológica.

Los dos procesos antes mencionados engloban a coordinaciones como las de Marketing, Lingüística e Intercambios de Culturales y Capacitación y Consultoría, que son principalmente los procesos generadores de recursos económicos del negocio. Se clasifico, agrupo, y evaluó los riesgos que generan cada uno de los servicios detectados como recurrentes en todas las coordinaciones y detectar cuales son los que representan riesgos potencialmente altos para el CEC-EPN, Para la evaluación del riesgo se tomó en cuenta dos componentes: probabilidad de que ocurra el riesgo y el impacto si este ocurre, su producto dará como resultado la severidad del riesgo. La escala para la evaluación fue 1 para el más bajo y 4 para el más alto.

Fig. 1
Resumen de actividades críticas

Fuente: Elaboración de los Autores

Como se puede notar en la Fig. 1, los servicios o actividades de TI obtuvieron puntajes muy diversos, pero sin duda la mayor cantidad de actividades se agruparon desde una severidad de calificación 9 hasta 16. Tratando entonces de solucionar o prevenir la mayor cantidad de se escogió el mencionado grupo y se buscó las coincidencias con los procesos 32 procesos de COBIT, asignándolo un (1) punto si esta indirectamente relacionado y dos (2) puntos si era directa la relación entre el riesgo y el proceso. Como resultado se obtuvo una matriz con los procesos relacionados con los riesgos, de la cual se priorizo 8 en base a su relevancia.

Tabla 2
Resultado de procesos de COBIT seleccionados

Grupo

Proceso

Repetición

DS

(8) Administrar la Mesa de Servicio y los Incidentes

8

AI

(2) Adquirir y mantener software aplicativo

7

AI

(3) Adquirir y mantener infraestructura tecnológica.

5

PO

(10) Administrar los proyectos de TI,

5

PO

(9) Evaluar y Administrar los Riesgos de TI

5

PO

(1) Definir un Plan Estratégico de TI

5

PO

(2) Definir la Arquitectura de la información

5

AI

(6) Administrar Cambios

4

Elaborado por: Los Autores

3.3. Análisis Nivel de Madurez

Los resultados en cuanto al estado de madurez de los procesos: DS8, AI2, PO1, AI3, PO10, PO9, AI6, PO2 de COBIT, a ser evaluados para determinar el nivel de gestión en el CEC-EPN, a través del COBIT Assurance Guide, se procedió a realizar una evaluación de los controles, conjuntamente con personal de la Coordinación de Gestión Tecnológica del CEC-EPN, determinando objetivamente que nivel de cumplimiento poseía cada uno de los procesos. Encontrando el siguiente nivel de madurez a los procesos seleccionados:

Tabla 3
Resumen de análisis de niveles de madurez

Proceso Cobit

Puntuacion

Observaciones

0

1

PO10

 

X

Uso de técnicas y enfoques de administración en decisión de gerentes de TI.

Carencia de compromiso por parte de la gerencia hacia la propiedad de proyectos.

Poca o nula participación del cliente y del usuario para definir los proyectos de TI.

AI2

X

 

No existe un proceso de diseño y especificación de aplicaciones.

AI3

 

X

Se realizan cambios a la infraestructura para cada nueva aplicación, sin ningún plan en conjunto.

 La actividad de mantenimiento reacciona a necesidades de corto plazo.

PO1

X

 

 No existe conciencia por parte de la gerencia de que la planeación estratégica de TI es requerida para dar soporte a las metas del negocio.

AI6

 

X

La actividad de mantenimiento reacciona a necesidades de corto plazo

PO9

X

 

La evaluación de riesgos para los procesos y las decisiones de negocio no ocurre.

La organización no toma en cuenta los impactos en el negocio asociados a las vulnerabilidades de seguridad y a las incertidumbres del desarrollo de proyectos.

La administración de riesgos no se ha identificado como algo relevante para adquirir soluciones de TI y para prestar servicios de TI.

DS8

 

X

La gerencia reconoce que requiere un proceso soportado por herramientas y personal para responder a las consultas. La gerencia no monitorea las consultas de los usuarios.

No existe un proceso de escalamiento para garantizar que los problemas se resuelvan

PO2

X

 

No existe conciencia de la importancia de la arquitectura de la información para la organización.

 Fuente: Elaborado por los Autores

Es así que todos los procesos no sobrepasaron el nivel de madurez 1 de cada uno de los procesos de COBIT, demostrándose preliminarmente que el manejo de la Coordinación de Gestión Tecnología en dichos procesos es informal, es decir, no se documenta en su mayoría, por lo que las iniciativas son aisladas en cuanto a la gestión de los procesos, basado en el conocimiento y experiencia de su personal, más no en directrices, políticas y procedimientos generados por la institución.

Basado en la premisa planteada por los resultados la Tabla II, se recomendó una meta alcanzable para el CEC-EPN de llevar a los 8 procesos propuestos a un nivel de madurez 2 según COBIT, que, si bien podría parecer muy poco ambiciosa, hay que considerar que todos los procesos bases, es decir, los de planeación están en un nivel 0, por lo que mal podría aspirarse a más cuando se tienen deficiencia en la planeación del área.

Figura 2
Resultados esperados con la aplicación de los proyectos

 

Fuente: Elaborado por los Autores

4. Conclusiones

Los procesos escogidos para ser parte de este estudio, por la importancia y generación de recursos son: Marketing, Lingüística e Intercambios Culturales, Capacitación y Consultoría, mismos que consumen servicios prioritariamente de soporte técnico a usuarios internos y externos en la CEC-EPN.

La Coordinación de Tecnología según los 8 procesos de COBIT mapeados con los servicios más requeridos por sus áreas o procesos claves: DS8, AI2, PO1, AI3, PO10, PO10, AI6, PO2.

El nivel de madurez de los procesos seleccionados estuvo en una escala de 0 y 1, es decir, con un grado de informalidad y desorganización importante, lo que sin duda no le permite ser el aporte significativo que requiere el CEC-EPN para mejorar el rendimiento y cumplir sus objetivos organizacionales.

El Assurance Guide de COBIT resulto ser una herramienta sencilla de usar y que promueve un estudio completo de la aplicación de cada uno de los procesos de COBIT, es decir, gracias a sus modelos de madurez, permite obtener una realidad clara del manejo y gestión de las áreas de Tecnología de Información y Comunicación.

Referencias bibliográficas

Andreú, J. (2002). Las técnicas de Análisis de Contenido: una revisión actualizada. Fundación Centro de Estudios Andaluces, 1–34. https://doi.org/10.2307/334486

Bernik, I., & Prislan, K. (2011). Information Security in Risk Management Systems : Slovenian Perspective. Journal of Criminal Justice, (2), 208–221.

Creswell, B. J. W., Piano, V. L., & Published, C. (2007). Designing and Conducting Mixed Methods Research. Australian and New Zealand Journal of Public Health, 31(4), 388–388. https://doi.org/10.1111/j.1753-6405.2007.00096.x

Cui, X. P., Lin, B. Y., & Mo, R. F. (2012). An ITIL v3-based solution to SOA governance. Proceedings - 2012 IEEE Asia-Pacific Services Computing Conference, APSCC 2012, 325–328. https://doi.org/10.1109/APSCC.2012.17

G, P. T. G. (2000). Histórica, Descriptiva y Experimental, 4–7.

García-garcía, J. A., Reding-bernal, A., & López-alvarenga, J. C. (2013). Cálculo del tamaño de la muestra en investigación en educación médica. Investigación En Educación Médica, 2(8), 217–224. https://doi.org/10.1016/S2007-5057(13)72715-7

Mukaromah, S., & Putra, A. B. (2016). Maturity Level At University Academic Information System Linking It Goals and Business Goal Based on Cobit 4.1. 3Rd Bali International Seminar on Science & Technology (Bisstech 2015), 58. https://doi.org/10.1051/matecconf/20165803009

Pereira, C., & Ferreira, C. (2015). Identificação de Práticas e Recursos de Gestão do Valor das TI no COBIT 5. RISTI - Revista Iberica de Sistemas E Tecnologias de Informacao, (15), 17–33. https://doi.org/10.17013/risti.15.17-33

Shivashankarappa, A. N., Smalov, L., Dharmalingam, R., & Anbazhagan, N. (2012). Implementing it governance using COBIT: A case study focusing on critical success factors. World Congress on Internet Security, WorldCIS-2012, 144–149. Retrieved from http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=6280217&isnumber=6279697

Tashakkori,  a., & Creswell, J. W. (2007). Editorial: The New Era of Mixed Methods. Journal of Mixed Methods Research, 1(1), 3–7. https://doi.org/10.1177/2345678906293042

Taylor, S. J., & Bogdan, R. (1987). La observación participante en el campo. Introducción a Los Métodos Cualitativos de Investigación La Búsqueda de Significados, 50–99. https://doi.org/10.1017/CBO9781107415324.004


1. Docente Universitario. Departamento de Ciencias Administrativas y Económicas. Universidad Tecnológica Equinoccial- Sede Santo Domingo. Ingeniero en sistemas informáticos y de computación de la Escuela Politécnica Nacional. Magister en Gerencia de Sistemas. Correo electrónico de contacto: danpo19@yahoo.com

2. Docente Universitaria. Departamento de Administrativas y Económicas. Universidad Técnica Luis Vargas Torres, Extensión “La Concordia”- Ecuador y Universidad Regional Autónoma de los Andes, Extensión Santo Domingo. Master en Investigación de Empresas. Correo electrónico: kaevecris@hotmail.com

3. Coordinadora de la Carrera de Contabilidad y Auditoría. Departamento de Ciencias Administrativas y Contables Universidad Tecnológica Equinoccial Sede Santo Domingo. Licenciada en Contabilidad y Auditoría, Dra. en Contabilidad y Auditoría, MBA en Administración de Negocios. mailto:ccarrera@ute.edu.ec


Revista ESPACIOS. ISSN 0798 1015
Vol. 40 (Nº 03) Año 2019

[Índice]

[En caso de encontrar algún error en este website favor enviar email a webmaster]

revistaespacios.com