WIXLIB

PROYECTO DE TRABAJO DE GRADOAUDITORÍA PARA EVALUAR EL PROCESO DE GESTIÓN DE LA CALIDAD DE DATOS EN LAEMPRESA GATI CONSULTORES S.A.S BASADO EN LA NORMA NTC-ISO-19011:2011SAMITH TATIANA CRUZ SÁNCHEZANDRES STEVEN FLOREZ GÓMEZUNIVERSIDAD CATÓLICA DE COLOMBIAFACULTAD DE INGENIERÍAPROGRAMA DE ESPECIALIZACIÓN EN AUDITORÍA DE SISTEMAS DE INFORMACIÓNBOGOTÁ D.C JUNIO 20181

AUDITORÍA PARA EVALUAR EL PROCESO DE GESTIÓN DE LA CALIDAD DE DATOS EN LAEMPRESA GATI CONSULTORES S.A.S BASADO EN LA NORMA NTC-ISO-19011:2011SAMITH TATIANA CRUZ SÁNCHEZANDRES STEVEN FLOREZ GÓMEZTrabajo de grado para obtener el título de especialista en Auditoría de Sistemas de InformaciónAsesor: PhD. ALEXANDRA MARÍA LÓPEZ SEVILLANOUNIVERSIDAD CATÓLICA DE COLOMBIAFACULTAD DE INGENIERÍAPROGRAMA DE ESPECIALIZACIÓN EN AUDITORÍA DE SISTEMAS DE INFORMACIÓNBOGOTÁ D.C JUNIO 20182

3

Nota de aceptaciónPresidente del JuradoJuradoJuradoBogotá D.C., junio de 2018.4

DEDICATORÍAA Dios por ser el arquitecto de mi vida, mi guía y mi fortaleza en el camino. A mis padres porser mi impulso y mi gran apoyo en todo momento. A mis sobrinos por llenar mi corazón dealegría en los momentos de dificultad. A nuestra asesora la Ing. Alexandra López por suconfianza, apoyo y su disposición para el logro de este trabajo. A mis amigos y compañeros portodos los momentos compartidos en estos espacios de aprendizaje. A los profesores de laUniversidad Católica por todos los conocimientos impartidos.Samith Tatiana Cruz SánchezA Dios por brindarme la oportunidad de vivir este proceso y cumplir un objetivo más en mi vida.A mi familia por su apoyo incondicional, esfuerzo, comprensión y confianza depositada en mípara cumplir con este objetivo. A la ingeniera Alexandra López por su dedicación, tiempo, apoyoy conocimiento brindado para el desarrollo de este trabajo. A mis amigos y compañeros que mebrindaron su apoyo durante este periodo de aprendizaje. A los docentes de la especialización quecompartieron y transmitieron sus conocimientos.Andres Steven Florez Gómez5

AGRADECIMIENTOSEste trabajo es el resultado de la dedicación y el esfuerzo por alcanzar un logro más en nuestravida profesional y personal.Agradecemos a nuestras familias y amigos quienes nos ofrecieron su apoyo constante durantetodo este proceso académico. A la ingeniera Alexandra López por brindarnos sus conocimientosy toda su dedicación durante la realización de este proyecto.Agradecemos a la Universidad Católica de Colombia por ofrecernos los espacios deconocimiento adecuados para nuestra formación académica.A los ingenieros docentes por todas sus enseñanzas en cada uno de los contenidos impartidosdurante este proceso.A la firma Gati Consultores S.A.S, por brindarnos los espacios y permitirnos desarrollar estetrabajo con sus colaboradores e información.6

TABLA DE CONTENIDORESUMEN . 16ABSTRACT . 17INTRODUCCIÓN . 1812GENERALIDADES . 191.1LÍNEA DE INVESTIGACIÓN . 191.2PLANTEAMIENTO DEL PROBLEMA . 191.2.1Antecedentes del problema . 191.2.2Pregunta de investigación . 211.2.3Variables del problema . 211.2.4Alcances y Limitaciones . 221.3JUSTIFICACIÓN . 221.4OBJETIVOS . 231.4.1Objetivo general . 231.4.2Objetivos específicos . 23MARCOS DE REFERENCIA . 242.1MARCO CONCEPTUAL . 242.2MARCO TEÓRICO . 272.2.1Modelo de Madurez y Capacidad - CMMI . 272.2.2Marco de Referencia COBIT 4.1 . 282.2.3Marco de Control Interno COSO . 292.2.4ISO 19011 – Directrices para la Auditoría de los Sistemas de Gestión . 312.2.5ITIL V3 (Information Technology Infrastructure Library) . 322.2.6MAGERIT V.3 . 332.3MARCO JURÍDICO . 362.3.1 Constitución Política de Colombia – Titulo 2: De los derechos, las garantías y los deberes,Capitulo 1: De los derechos fundamentales, Articulo 15 . 362.3.2 Ley Estatutaria 1266 de 2008 . 362.3.3 Ley 1581 de 2012 – Protección de Datos Personales . 372.4MARCO GEOGRÁFICO. 372.5ESTADO DEL ARTE. 392.5.1 Guía de Auditoría para la Evaluación del Control Interno de seguridad de la Información con7

enfoque Cobit 5: caso Universidad Católica de Cuenca. . 392.5.2 Guía de Auditoría para el Proceso de Levantamiento de Requerimientos en Deceval. . 392.5.3 Aplicación de Auditoría con Base a la Norma ISO 19011:2011 en el Área de Contabilidad(Egresos) de Omnibus de Mexico S.A de C.V. . 402.5.4 Propuesta de implementación del sistema de auditorías ISO 19011:2011 en el sistema degestión de calidad ISO 9001:2008 de la empresa Keramikos S.A. . 402.5.5 Aplicación de auditoría interna de sistema de gestión de calidad según requerimientos ISO19011 a la empresa Alfa S.A. . 402.5.6 Validación del proceso de auditorías internas de la Organización Pinturas Cóndor S.A de laciudad de Quito, en función de la norma ISO-19011: 2002. Año 2009 . 412.5.7 Aplicación de la norma ISO 19011:2002 en el proceso de auditorías de gestión de calidad de laFundación Municipal Transporte masivo urbano de Guayaquil - Metrovía. . 413METODOLOGÍA . 423.1 ETAPAS DEL TRABAJO DE GRADO . 433.1.1Etapa de Caracterización . 433.1.2Etapa de Exploración . 433.1.2.1Análisis de la literatura . 433.1.2.2Selección de la Metodología . 443.1.3Etapa de Implementación . 443.1.3.1Fase 1: Planificación de la Auditoría . 443.1.3.2Fase 2: Ejecución de la Auditoría . 443.1.3.3Fase 3: Comunicación de los Resultados de la Auditoría . 453.1.4Etapa de Evaluación . 453.2 INSTRUMENTOS O HERRAMIENTAS A UTILIZAR . 453.2.1 Entrevistas . 453.2.2 Encuestas . 463.2.3 Población y Muestra. 463.2.4 Recolección de datos . 483.2.5 Tipo de datos . 493.2.6 Selección de Participantes . 494DESARROLLO DE LA PROPUESTA . 504.1DISEÑO DE LA PROPUESTA . 504.2EJECUCIÓN DE LA PROPUESTA . 514.2.1Fase 1. Planificación de la auditoría . 528

4.2.1.1organizaciónFamiliarización con el ambiente administrativo, operativo, técnico y de riesgos de la524.2.1.1.1Antecedentes de la Empresa . 524.2.1.1.2Misión . 524.2.1.1.3Visión . 524.2.1.1.4Política de calidad. 534.2.1.1.5Objetivos organizacionales . 534.2.1.1.6Valores . 544.2.1.1.7Estructura organizacional . 544.2.1.2Establecer los Objetivos de la Auditoría . 554.2.1.2.1General . 554.2.1.2.2Específicos. 554.2.1.3Establecer el Alcance de la Auditoría . 554.2.1.3.1 Diagramas de Procesos . 564.2.1.3.2 Desglose del proceso a Auditar . 614.2.1.4Identificar y evaluar los riesgos de la auditoría . 654.2.1.4.1 Identificación de riesgos de la auditoría . 654.2.1.4.2 Valoración de riesgos de la auditoría . 714.2.1.4.3 Controles . 804.2.1.5Identificar los Recursos . 864.2.1.6Seleccionar los miembros del equipo auditor . 874.2.1.7Definición del Cronograma . 874.2.2Fase 2. Ejecución de la Auditoría . 894.2.2.1Iniciación de la Auditoría . 894.2.2.2Evaluación del Proceso . 894.2.2.3Pruebas de Auditoría . 904.2.2.3.1Guía Subproceso Análisis de Información . 914.2.2.3.2Pruebas a Ejecutar Subproceso Análisis de información . 924.2.2.3.3Guía Subproceso Diagnóstico Calidad de Datos . 974.2.2.3.4Pruebas a Ejecutar Subproceso Diagnóstico Calidad de Datos . 994.2.2.3.5Guía Subproceso Remediación de Datos . 1084.2.2.3.6Pruebas a Ejecutar Subproceso Remediación de Datos . 1094.2.2.3.7Guía Subproceso Enriquecimiento de Datos . 1204.2.2.3.8Pruebas a Ejecutar Subproceso Enriquecimiento de Datos . 1214.2.2.4Generación de Hallazgos de Auditoría . 1274.2.2.4.1 Subproceso Análisis de información . 1274.2.2.4.2 Subproceso Diagnóstico de Datos . 1284.2.2.4.3 Subproceso Remediación de Datos . 1299

4.2.2.4.4 Subproceso Enriquecimiento de Datos . 1304.2.3 Fase 3. Comunicación de los Resultados .1314.2.3.1 Informe de Auditoría . 13156PRODUCTOS A ENTREGAR . 1375.2CARACTERIZACIÓN DEL PROCESO .1375.3ANÁLISIS DE METODOLOGÍAS .1375.4SELECCIÓN DE METODOLOGÍA .1375.5INFORME DE AUDITORÍA .138RESULTADOS . 1386.1CARACTERIZACIÓN DEL PROCESO.1386.2SELECCIÓN DE LA METODOLOGÍA .1396.3IMPLEMENTACIÓN DE LA AUDITORÍA .1436.3.1 Encuestas de auditoría .1436.3.1.1 Análisis por preguntas . 1436.3.1.2 Análisis por subproceso y nivel de criticidad . 1566.3.2Hallazgos de Auditoría.1596.3.3Informe de Auditoría .1596.4EVALUACIÓN DE LA AUDITORÍA .1596.4.1 Evaluación a nivel del Proceso de Auditoría .1606.4.2 Evaluación a nivel de los Resultados Obtenidos .1617CONCLUSIONES . 1648RECOMENDACIONES . 1659TRABAJOS FUTUROS . 16610BIBLIOGRAFÍA . 167ANEXOS . 17210

LISTA DE FIGURASPág.FIGURA 1. MARCO DE TRABAJO COBIT – ELABORACIÓN PROPIA . 29FIGURA 2. CUBO DE COBIT 4.1 - FUENTE IT GOVERNANCE IT, 2007. . 29FIGURA 3. REPRESENTACIÓN DEL SISTEMA DE CONTROL INTERNO SEGÚN COSO 2013 – FUENTE INTERNET . 31FIGURA 4. ESTRUCTURA DE LA NORMA ISO 19011-2011 – ELABORACIÓN PROPIA . 32FIGURA 5. CICLO DE VIDA ENFOQUE ITIL V3 - FUENTE INTERNET . 33FIGURA 6. APORTES DE MAGERIT - FUENTE INTERNET . 34FIGURA 7. ESTRUCTURA DE MAGERIT - FUENTE INTERNET . 35FIGURA 8. RESUMEN DE ESTUDIOS. 42FIGURA 9. ETAPAS DEL PROYECTO – ELABORACIÓN PROPIA . 43FIGURA 10. FASE Y ACTIVIDADES ISO/IEC 19011 – ELABORACIÓN PROPIA . 51FIGURA 11. CADENA DE VALOR GATI CONSULTORES S.A.S – TOMADO DE INFORMACIÓN DE LA EMPRESA . 53FIGURA 12. ORGANIGRAMA GATI CONSULTORES S.A.S – TOMADO DE INFORMACIÓN DE LA EMPRESA . 54FIGURA 13. PROCESO GESTIÓN DE LA CALIDAD – ELABORACIÓN PROPIA . 57FIGURA 14. ANÁLISIS DE INFORMACIÓN – ELABORACIÓN PROPIA. 58FIGURA 15. DIAGNÓSTICO DE CALIDAD DE DATOS – ELABORACIÓN PROPIA . 59FIGURA 16. REMEDIACIÓN DE DATOS – ELABORACIÓN PROPIA . 60FIGURA 17. ENRIQUECIMIENTO DE DATOS – ELABORACIÓN PROPIA. 60FIGURA 18. DESGLOSE SUBPROCESO ANÁLISIS DE DATOS - ELABORACIÓN PROPIA . 61FIGURA 19. DESGLOSE SUBPROCESO DIAGNÓSTICO DE CALIDAD – ELABORACIÓN PROPIA . 62FIGURA 20. DESGLOSE SUBPROCESO REMEDIACIÓN DE DATOS – ELABORACIÓN PROPIA . 63FIGURA 21. DESGLOSE SUBPROCESO CONSTRUCCIÓN REGLAS DE ENRIQUECIMIENTO - ELABORACIÓN PROPIA . 64FIGURA 22. METODOLOGÍA PARA GESTIÓN DE RIESGOS NORMA ISO 31000 - FUENTE INTERNET. 65FIGURA 23. MATRIZ DE RIESGOS INHERENTES . 84FIGURA 24. MATRIZ DE RIESGOS RESIDUAL . 86FIGURA 25. PLAN DE AUDITORÍA . 88FIGURA 26. CRONOGRAMA DE AUDITORÍA . 8811

LISTA DE TABLASTABLA 1. TABLA DE VALORES UTILIZADOS EN ESTA INVESTIGACIÓN . 47TABLA 2. PUNTAJE OBTENIDO PERSONAL ÁREA DE SERVICIOS PROFESIONALES . 48TABLA 3. TIPO DE VARIABLES . 49TABLA 4. SELECCIÓN DE PARTICIPANTES . 50TABLA 5. PROCESOS GESTIÓN DE LA CALIDAD. . 56TABLA 6. IDENTIFICACIÓN DE RIESGOS - FAMILIARIZACIÓN CON EL AMBIENTE . 66TABLA 7. ANÁLISIS DE RIESGOS – ESTABLECER LOS OBJETIVOS DE LA AUDITORÍA. 66TABLA 8. ANÁLISIS DE RIESGOS - ESTABLECER EL ALCANCE . 67TABLA 9. ANÁLISIS DE RIESGOS – IDENTIFICAR LOS RECURSOS . 68TABLA 10. ANÁLISIS DE RIESGOS - SELECCIONAR MIEMBROS DEL EQUIPO AUDITOR . 68TABLA 11. ANÁLISIS DE RIESGOS - DEFINICIÓN DEL CRONOGRAMA . 69TABLA 12. ANÁLISIS DE RIESGOS - PRUEBAS DE AUDITORÍA . 70TABLA 13. ANÁLISIS DE RIESGOS - REGISTRO DE HALLAZGOS. 71TABLA 14. ANÁLISIS DE RIESGOS - INFORME DE AUDITORÍA . 71TABLA 15. MATRIZ DE VALORACIÓN DE IMPACTO . 72TABLA 16. MATRIZ DE VALORACIÓN DE PROBABILIDAD. 72TABLA 17. SEVERIDAD DEL RIESGOS . 73TABLA 18. VALORACIÓN DE RIESGOS DE AUDITORÍA. 80TABLA 19. VALORACIÓN POR TIPO DE CONTROL . 80TABLA 20. DEFINICIÓN DE CONTROLES PARA EL RIESGO R7 . 81TABLA 21. DEFINICIÓN DE CONTROLES PARA EL RIESGO R18 . 81TABLA 22. DEFINICIÓN DE CONTROLES PARA EL RIESGO R29 . 81TABLA 23. DEFINICIÓN DE CONTROLES PARA EL RIESGO R51 . 82TABLA 24. DEFINICIÓN DE CONTROLES PARA EL RIESGO R67 . 82TABLA 25. DEFINICIÓN DE CONTROLES PARA EL RIESGO R78 . 82TABLA 26. DEFINICIÓN DE CONTROLES PARA EL RIESGO R80 . 83TABLA 27. DEFINICIÓN DE CONTROLES PARA EL RIESGO 96 . 83TABLA 28. DEFINICIÓN DE CONTROLES PARA EL RIESGO 107 . 83TABLA 29. DEFINICIÓN DE CONTROLES PARA EL RIESGO R114 . 84TABLA 30. TRATAMIENTO DEL RIESGO . 85TABLA 31. VALORACIÓN DEL RIESGO DESPUÉS DE SU TRATAMIENTO . 86TABLA 32. EQUIPO AUDITOR . 8712