INTRODUCCIÓN

Los sistemas de información son base primordial para el desarrollo empresarial, los sistemas de información transcurrido los años han sufrido transformaciones los cuales han proporcionado beneficios, y las formas de auditar han sido modificadas en función de las necesidades que se van presentando una a continuación de otra.

En tal sentido, el Cobit es un aporte a través de un modelo que permite revisar cuidadosamente el trabajo realizado por los sistemas informáticos en relación a las necesidades empresariales. La tecnología de la información está avanzando cada vez más y se ha generalizado en las empresas y en entornos sociales, públicos y de negocios.

CobiT, es un marco de referencia y un juego de herramientas de soporte que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas técnicos y riesgos de negocio, y comunicar ese nivel de control a los participantes. CobiT, permite el desarrollo de políticas claras y de buenas prácticas para el control de TI por parte de las empresas. CobiT constantemente se actualiza y armoniza con otros estándares; por lo tanto, CobiT se ha convertido en el integrador de las mejores prácticas de TI y el marco de referencia general para el gobierno de TI que ayuda a comprender y administrar los riesgos y beneficios asociados con TI. Con lo cual, la estructura de procesos de CobiT y su enfoque de alto nivel orientado al negocio brindan una visión completa de TI y de las decisiones a tomar.

El objetivo de COBIT es brindar buenas prácticas a través de un marco de trabajo de dominios y procesos, y presentar las actividades de una manera manejable y lógica. Estas prácticas están enfocadas más al control que a la ejecución.

Asimismo COBIT 5 ayuda a las empresas de todos los tamaños aportando beneficios tales como: Mantener la información de alta calidad para apoyar las decisiones de negocios, Alcanzar los objetivos estratégicos y obtener los beneficios de negocio a través del uso efectivo e innovador de las TI, Lograr la excelencia operativa a través de una aplicación fiable, eficiente de la tecnología, Mantener los riesgos relacionados con TI a un nivel aceptable, Optimizar los servicios y el coste de las TI y la tecnología, Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y las políticas.

El objetivo de esta investigación es estructurar los lineamientos para la aplicación del modelo cobit 5, a los sistemas de información académica de la universidad nacional Jorge Basadre Grohmann los que componen los siguientes módulos. (Aplicativo informático web de gestión del sistema de admisión, Sistema de escalafón, Aplicativo informático web de gestión del sistema de bienestar universitario, Sistema de tutoría, Aplicativo informático de gestión y seguimiento de egresados, Aplicativo informático web de gestión de la bolsa de trabajo y capacitación, Aplicativo informático web de sistema de matrícula, Aplicativo informático web de gestión docente, Sistema de intranet, Aplicativo informático web de gestión de registro académico, Aplicativo informático web de gestión de aprendizaje virtual, Aplicativo informático web de gestión institucional con base a indicadores, Aplicativo informático web de gestión de proyectos de investigación - ogin, Aplicativo informático web de gestión del comedor universitario, Aplicativo informático web de gestión de cooperación nacional e intercambio académico, Website facultad, Website de escuela de pregrado,website de instituto de informática y telecomunicaciones-itel, Aplicativo informático web de gestión de equipo informático, Aplicativo informático web de gestión de biblioteca ), para el control de los sistemas de información.

Problemática

Por todo lo anteriormente expuesto nos planteamos la siguiente pregunta de investigación:

La universidad nacional Jorge Basadre Grohmann en la ejecución del Proyecto “MEJORAMIENTO DEL SERVICIO INFORMÁTICO DE LA PLATAFORMA WEB DE LA UNIVERSIDAD NACIONAL JORGE BASADRE GROHMANN DE TACNA”, en la fase de entrega del sistema de información requerido se ha evidenciado que actualmente no cuenta con los lineamientos y controles necesarios para su posterior mantenimiento a fin de lograr la excelencia operativa a través de una aplicación fiable y uso eficiente de la tecnología.

Marco teórico y Referencial

Definición de Auditoría.

Según Manual Latinoamericano de Auditoría Profesional en el sector Público define a la Auditoría como: Es el examen objetivo, sistemático y profesional de las operaciones ejecutadas con la finalidad de evaluarlas, verificarlas y emitir un informe que contenga comentarios, conclusiones y recomendaciones. (Instituto Latinoamericano de Ciencias Fiscalizadores - ILACIF, 1981, pág. 44)

Para Auditing Concepts Committee es Un proceso sistemático para obtener y evaluar evidencia de una manera objetiva respecto de las afirmaciones concernientes a actos económicos y eventos para determinar el grado de correspondencia entre estas afirmaciones y criterios establecidos y comunicar los resultados a los usuarios interesados. (Osorio Sanchez, 1999, pág. 22)

Definición de Auditoría de Sistemas.

La Auditoría de Sistema tiene varias definiciones, para el caso se tomaron en cuenta las siguientes definiciones:

Es un conjunto de procedimientos y técnicas para evaluar y controlar total o parcialmente un sistema informático, con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente y de acuerdo con la normativa informática y general existente en cada empresa y para conseguir la eficacia exigida en el marco de la organización correspondiente. (González Gallego , 2004)

Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e información utilizados en una empresa, sean individuales, compartidos y/o de redes, así como a sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás componentes. (Muñoz Razo, 2002, pág. 19)

Es una función que ha sido desarrollada para asegurar la salvaguarda de los activos de los sistemas de computadoras, mantener la integridad de los datos y lograr los objetivos de la organización en forma eficaz y eficiente. (Weber, 2016)

Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los dalos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. (Piattini, 2001, pág. 28)

Auditoria Informática.

La Auditoría Informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos ya que esta lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, cumple con las leyes y regulaciones establecidas

Sistemas de Información.

Un sistema de información es un conjunto de componentes que interactúan entre sí con un fin común. En informática, los sistemas de información ayudan a administrar, recolectar, recuperar, procesar, almacenar y distribuir información relevante para los procesos fundamentales y las particularidades de cada organización.

La importancia de un sistema de información radica en la eficiencia en la correlación de una gran cantidad de datos ingresados a través de procesos diseñados para cada área con el objetivo de producir información válida para la posterior toma de decisiones.

Sistema de Información Académica.

El SIA es el Sistema de Información Académica que proporciona una plataforma informática de trabajo para la interacción de usuarios y equipo computacional que facilita la captura, almacenamiento, procesamiento, acceso y salida de información confiable y actualizada sobre programas, proyectos y actividades académicas.

COBIT

COBIT (Control Objectives for Information and Related Technologies / Objetivos de Control Para la Información y Tecnologías Relacionadas) creado por ISACA (Information Systems Audit and Control Association /Asociación de Auditoría y Control de Sistemas de Información) una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades auditoría y control en sistemas de información.

Es un enfoque que permite la auditoría y evaluación de los servicios informáticos de una organización, para apreciar el rendimiento y robustez en términos de seguridad y conformidad. Constituye un repositorio completo que permite controlar el conjunto de las operaciones relacionadas con la información. Ayuda a los dirigentes a entender y gestionar los riesgos relativos a la informática. (Baud, 2015, pág. 24)

Permite auditar y evaluar los servicios informáticos de una empresa para valorar el rendimiento y la robustez en términos de seguridad y conformidad. Forma toda una disciplina completa que permite controlar el conjunto de operaciones relacionadas con la información. Ayuda a los responsables a entender y gestionar los riesgos relativos a la informática. (Baud, 2015, pág. 28)

Como complemento a lo anterior, COBIT enfatiza el cumplimiento regulatorio de los lineamientos y buenas prácticas de control de las tecnologías, ayuda a las organizaciones a incrementar su valor a través de las TI, y permite su alineamiento con los objetivos del negocio.

Figura 1
Evolución Del Alcance De COBIT
En: (Information Systems Audit and Control Association - ISACA, 2012)

COBIT 5

COBIT 5 es el resultado de la mejora estratégica de ISACA, el cual Provee de un marco de trabajo integral que ayuda a las empresas a alcanzar sus objetivos para el gobierno y la gestión de las TI corporativas. Dicho de una manera sencilla, ayuda a las empresas a crear el valor óptimo desde IT manteniendo el equilibrio entre la generación de beneficios y la optimización de los niveles de riesgo y el uso de recursos. (Isaca.org, 2016)

COBIT 5 permite a las TI ser gobernadas y gestionadas de un modo holístico para toda la empresa, abarcando al negocio completo de principio a fin y las áreas funcionales de responsabilidad de TI, considerando los intereses relacionados con TI de las partes interesadas internas y externas. COBIT 5 es genérico y útil para empresas de todos los tamaños, tanto comerciales, como sin ánimo de lucro o del sector público. (Information Systems Audit and Control Association - ISACA, 2012).

Materiales y métodos o Metodología computacional

Materiales

Encuestas

Se utilizarán encuestas, dirigidas al responsable de la administración de sistemas y el equipo de ingeniería del área de informática y sistemas de la Universidad Jorge Basadre Grohmann. Estas encuestas tienen el objetivo de conocer los siguientes aspectos:

• Frecuencia de prácticas de auditoría

  Nivel de definición de objetivos

  Nivel de consideración de las partes interesadas en la toma de decisiones

  Factores que influyen en el desarrollo empresarial

  Metas de la organización

Objetivos de Control

En base a los CUATRO (04) dominios que posee el modelo COBIT 5: Planeación y Organización, Adquisición e Implementación, Entrega de Servicios y Soporte, y Monitoreo se definirá su aplicación para el caso propuesto en relación a los 34 procesos del referido modelo y su impacto sobre los Criterios de Información y Recursos de TI.

Métodos

Considerando la problemática identificada, se ha definido los siguientes objetivos de control relacionados a los dominios del modelo COBIT 5

Dominios del COBIT 5.

Como se ha señalado, el modelo COBIT 5 presenta CUATRO (04) dominios, de los cuales, para nuestro caso de estudio, vamos a aplicar el segundo que corresponde al de Adquisición e Implementación (AI) y específicamente a DOS (02) procesos:

AI1: Identificar soluciones de automatización

AI2: Adquirir y Mantener Software de Aplicación

DOMINIO: Adquisición e Implementación (AI)

AI1 Identificar Soluciones de automatización:

El objetivo es asegurar el mejor enfoque para cumplir con los requerimientos del usuario, mediante un análisis claro de las oportunidades alternativas comparadas contra los requerimientos de los usuarios.

AI2 Adquirir y Mantener Software de Aplicación:

El objetivo es proporcionar funciones automatizadas que soporten efectivamente la organización mediante declaraciones específicas sobre requerimientos funcionales y operacionales, y una implementación estructurada con entregables claros.

AI3 Adquirir y Mantener Arquitectura de TI:

El objetivo es proporcionar las plataformas apropiadas para soportar aplicaciones de negocios mediante la realización de una evaluación del desempeño del hardware y software, la provisión de mantenimiento preventivo de hardware y la instalación, seguridad y control del software del sistema.

AI4 Desarrollar y Mantener Procedimientos relacionados con TI:

El objetivo es asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas, mediante la realización de un enfoque estructurado del desarrollo de manuales de procedimientos de operaciones para usuarios, requerimientos de servicio y material de entrenamiento.

AI5 Instalar y Acreditar Sistemas:

El objetivo es verificar y confirmar que la solución sea adecuada para el propósito deseado mediante la realización de una migración de instalación, conversión y plan de aceptaciones adecuadamente formalizadas.

AI6 Administrar Cambios:

El objetivo es minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores, mediante un sistema de administración que permita el análisis, implementación y seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual.

Sin embargo, también se tiene una identificación más holística del caso de estudio, aun cuando su tratamiento en específico va a corresponder al dominio Adquisición e Implementación (AI)

Procedimiento

De acuerdo a lo expuesto anteriormente, como parte específica del problema identificado, se plantea la aplicación de los siguientes dominios: Adquisición e implementación.

Se elaboró un modelo de evaluación considerando el dominio de Adquisición e Implementación ya que la Universidad Nacional Jorge Basadre Grohmann en su proyecto “MEJORAMIENTO DEL SERVICIO INFORMÁTICO DE LA PLATAFORMA WEB DE LA UNIVERSIDAD NACIONAL JORGE BASADRE GROHMANN DE TACNA”, ha adquirido el software y adecuado a los procedimientos de la universidad. Este modelo de evaluación está basado en COBIT 5, se diseñó una tabla la cual se orienta al departamento de sistemas como indica el COBIT 5.

Este modelo de evaluación consta de una tabla con los campos de preguntas, respuesta y calificación. Se acordó con los integrantes del grupo de investigación determinar que la calificación será de 1(uno) si posee la documentación pertinente y 0 (cero) si no posee. Dentro de este formato no se consideran los puntos intermedios.

A continuación se visualizan las tablas a emplear para dicha evaluación.

Adquisición e Implementación (AI)

Resultados y discusión

Los resultados que se obtengan luego de la aplicación de las encuestas, que representan la verificación del cumplimiento del modelo COBIT 5 planteado para el problema identificado, evidenciarán de forma objetiva las condiciones actuales en que se está implementando el software adquirido como parte del proyecto “MEJORAMIENTO DEL SERVICIO INFORMÁTICO DE LA PLATAFORMA WEB DE LA UNIVERSIDAD NACIONAL JORGE BASADRE GROHMANN DE TACNA”.

El resultado ideal es que se cumpla con la mayor cantidad de requisitos propuestos por el modelo COBIT 5; sin embargo, conociendo parte de la realidad ya expuesta en el presente artículo, se trata de evidenciar las falencias que se tiene a fin de recomendar los aspectos a subsanar previo al despliegue de la solución adquirida como parte del proyecto.

En ese sentido, si del total de calificaciones adquiridas por cada uno de los dominios y procesos relacionados, más del 30% están en el espacio de no cumplimiento, se deberá de recomendar a la alta dirección su subsanación, antes del despliegue de la solución, caso contrario, se pondría en alto riesgo el funcionamiento integral de la misma y en consecuencia la actividad operativa, estratégica de la organización, que para el caso es el área académica de la Universidad Jorge Basadre Grohmann de Tacna.

Conclusiones

La aplicación del modelo COBIT 5, es aplicable antes y después de iniciado el proceso de adquisición de una solución para la atención de una necesidad y mejora de las actividades de una organización.

El marco de trabajo COBIT 5, es una guía a seguir para evaluar el desempeño en la gestión de las tecnologías de la información, tanto en organizaciones públicas como privadas. Para el caso, en la ciudad de Tacna y el ámbito educativo de nivel superior, sería una primera experiencia en su aplicación.

Los criterios definidos en el modelo COBIT 5, deben conciliarse con las regulaciones y exigencias de cumplimiento que regulan las adquisiciones en el sector público del estado peruano, debiendo adecuarse a etapas previas y posteriores según sea el caso.

Referencias

[1] Jose Luis Aro Maquera, “Auditoría Informática Del Sistema De Administración Tributaria De La Municipalidad Distrital De Pilcuyo” (2021), [Online] http://repositorio.unap.edu.pe/bitstream/handle/UNAP/15399/Aro_Maquera_Jose_Luis.pdf?sequence=3&isAllowed=y

[2] Medina Christian Javier, “Aplicación De Cobit 5.0 En El Diseño De Un Gobierno Y Gestión De Ti Para El Centro De Educación Contínua” (2015), [Online] https://drive.google.com/file/d/1JmJyNYONvAzvbS_TqZcMhvDnTQiYNyaT/view?usp=sharing

[3] /Joffre V. León-Acurio, COBIT como modelo para auditorías y control de los sistemas de información, (2018). [Online]. https://drive.google.com/file/d/1VofgFPQT6elSvJcp7LO7lZpY-Y0X_S1n/view?usp=sharing

Información adicional

Tipo de artículo:: Artículos originales

Temática:: Gestión de software

Enlace alternativo

https://revistas.ulasalle.edu.pe/innosoft/article/view/56 (html)

https://revistas.ulasalle.edu.pe/innosoft/article/view/56/97 (pdf)

https://revistas.ulasalle.edu.pe/innosoft/article/view/56/98 (html)

https://n2t.net/ark:/42411/s11/a56 (html)

https://purl.org/42411/s11/a56 (html)