Después de varios intentos, que realice para poder publicar este documento, finalmente lo he terminado, por motivos de tiempo, no lo logre publicar antes, pero aquí va esta documentación.
Este documento no lo realice solo, sino fue hecho por:
Jorge Luis Arroyo Pérez
Francisco Alfonso Pineda Jiménez
Y por su Servidor: Alexander Otoniel Lemus Suarez
Descripción de la Herramienta de Software
El software MEYCOR COBIT (MG) fue desarrollado por DATASEC. Además de incluir el Modelo de Maduración de COBIT® 4.0, contiene otras funcionalidades que facilitan la tarea del gerenciamiento de los recursos de TI, como la evaluación de múltiples centros de análisis o el seguimiento de varios períodos de evaluación.
Esto constituye un elemento diferenciador, MEYCOR COBIT (MG) no sólo sirve para realizar un diagnóstico de la situación actual y generación de recomendaciones y proyectos, sino que permite realizar evaluaciones periódicas, las cuales pueden ser comparadas entre sí para medir los avances alcanzados de un período a otro. Nuestra empresa siempre esta abierta a las sugerencias o solicitudes de nuestros clientes, incorporando en la medida de lo posible, sus requerimientos en las nuevas versiones.
Se encuentra desarrollado totalmente en español, con la terminología utilizada en la región, a fin de facilitar su compresión. Además, los autores del software son especialistas en informática en materia de seguridad, calidad, eficacia y eficiencia, contando todos con el título de auditor CISA emitido por la Information Systems Audit and Control Association (ISACA).Este producto debería ser usado con MEYCOR COBIT DELPHOS que incluye los Factores Críticos de Éxito (CSFs), los Indicadores Clave de Meta (KGIs) y los Indicadores Clave de Desempeño (KPIs) de las guías de gerenciamiento de COBIT.
Características del Software
Permite definir diferentes niveles de acceso para cada propietario o usuario asignándole un login y una contraseña, posibilitando un acceso selectivo para cada uno de los 34 procesos de COBIT® 4.0.
Incluye cuestionarios que permiten sugerir el nivel actual en el que se encuentra la organización de acuerdo a los niveles del Modelo de Maduración, lo que facilita su evaluación.
Genera automáticamente las recomendaciones de las acciones que deberán ser llevadas a cabo para lograr el nivel objetivo deseado, a las cuales además se les puede asignar un importe numérico, que sirve para cuantificarlas.
Las recomendaciones pueden ser agrupas en proyectos que facilitan la administración y seguimiento del proceso de implementación de las mismas.
Permite evaluar grandes corporaciones con recursos de TI distribuidos en diferentes ubicaciones, a través de la creación de varios centros de análisis, con la posibilidad de consolidar los resultados en forma global o local.
Permite una revisión periódica de la evolución de las decisiones efectuadas por la Dirección a través de gráficas de comparación de los diagnósticos de los diferentes períodos evaluados.
Funcionalidades
· El Modelo de Maduración.
· Acceso multi-usuario y sincronización de respuestas para evaluaciones efectuadas fuera de línea (off-line).
· Gráficas de la evaluación del Modelo de Maduración, los Proyectos y las Recomendaciones.
· Reportes detallados del Modelo de Maduración y los Proyectos en formato RTF, XLS y HTML.
· Formularios para la evaluación del Modelo de Maduración en formato HTML, que pueden ser evaluados en cualquier momento, enviados vía e-mail al Administrador del producto y luego incorporados al software.
· Ayuda en línea.
Requerimientos Mínimos
PC con un procesador Pentium 300 MHz (o superior).
Windows® 98/ME/NT 4.0/2000/XP/2003.
64 MB de RAM mínimo (se recomienda 128 MB o más).
Unidad de disco duro con un mínimo de 20 MB de espacio libre para el programa y todos los archivos relacionados.
Unidad de CD-ROM.
Internet Explorer 6 (o superior) u Outlook 2000 para utilizar los Formularios de Evaluación en formato HTML.
Información Técnica
El producto utiliza Microsoft® Access.
La aplicación está diseñada para funcionar en red o en un PC local. Esto se logra configurando un parámetro que indica al producto en qué lugar reside la base de datos. Este parámetro indicará una carpeta del disco local, en caso de una instalación en un PC local, o una carpeta de un disco compartido, en caso de una instalación en red. Cabe destacar que aunque se posea una sola licencia del producto, siempre se puede utilizar en red. La restricción estará dada por el hecho de que solo un usuario podrá acceder al sistema en forma concurrente.
Primero nos autenticamos como usuarios, Para efectos de este tutorial, usamos el usuario: ADMIN, y el área de password la dejamos en BLANCO.
Tras habernos logueado al sistema, este nos preguntara algo muy esencial , el nombre de nuestra Empresa, a Administrar.
Para efectos de este tutorial, usaremos el nombre “PARETO SOFT”. Lo ingresamos y presionamos aceptar.
Ahora procedemos a Configurar la Aplicación en base a los datos que deseemos trabajar.
Quedando de la siguiente manera, Damos click en: Archivo >> Configuracion
Seguimos configurando los parametros de directorios, donde escogemos que editor de texto vamos a usar, para nuestro caso en particular usaremos WINWORD.EXE
Tambien nos disponemos a configurar los colores de las opciones de cómo queremos mostrar los datos:
Seguidamente de esto, también podemos configurar los usuarios, de los cuales queremos que usen la aplicación, y asignarles un proceso para trabajar.
Click en : Auditores >> Usuarios
En la siguiente ventana, que mostramos a continuación, podemos agregar los usuarios que creamos necesarios para la administración de nuestra Empresa, o bien de los procesos que creamos convenientes manejar.
Lo siguiente es escoger o bien crear un grupo de trabajo, eso lo realizamos dando click en el menú contextual: Auditores >> Grupos de Trabajo
Estos grupos de trabajo se crean para asignar tareas, a un conjunto de usuarios, los cuales se dispondrán a trabajar con determinado conjunto de procesos o proceso, de la lógica del negocio.
Una vez ya definidos los usuarios y grupos de trabajo que se dispondrán a trabajar, lo consiguiente será, elegir los objetivos de control a trabajar, los cuales se escogen en la siguiente opción:
Damos click en el menú contextual Objetivos de Control >> Asignacion de Procedimientos de Auditoria.
Donde nos saldrá una ventana como la que se muestra a continuación:
En la cual, nos disponemos a seleccionar los objetivos de controlo que consideremos pertinentes, así mismo del proceso el cual analizar, y a qué grupo de trabajo se le va a asignar cada y determinado proceso.
Acá se nos presenta una serie de opciones las cuales, debemos de saber seleccionar en base a los criterios pertinentes que nos dicte el área, y lógica actual de nuestro negocio, cabe resaltar, que no debemos de seleccionar solo por seleccionar los objetivos de control a trabajar, ya que esto influirá de manera directa en nuestras decisiones ejecutivas y gerenciales del área de IT. Por lo que tampoco se recomienda seleccionar una gran cantidad de objetivos de control para trabajar, es mucho mejor, seleccionar pocos y saber cómo Auditarlos y revisarlos, para llegar a obtener mejores resultados y llevar un mejor control de desarrollo de cada uno de ellos.
A continuación nos dispondremos a seleccionar los Procedimientos a realizar, dependiendo de los objetivos de control seleccionados: Acá se escoge que Grupo se va a encargar de determinado proceso, y como se dispondrá a manejarlo, se marcan los lineamientos base, para que el grupo lo sepa administrar.
Pero a su vez, cada proceso tiene dentro de sí determinadas tareas a realizar, es decir cada objetivo de control tiene varios procesos asociados, y cada proceso tiene más de una tarea asociada a cada uno de ellos, por lo que debemos así como asignamos determinados procesos a un grupo de trabajo, también asignar determinadas tareas concernientes a un mismo grupo de trabajo, cuidando que las tareas que asignamos sean coherentes y estén asociadas y estas pertenezca al proceso que previamente hemos asignado al grupo de trabajo.
En la ventana anterior, escogemos el grupo al cual queremos asignarles las tareas. Asignando parámetros como la fecha de inicio, las horas invertidas para cada tarea, que usuario será el responsable de verificar y llevar el control de la tarea, y algunos comentarios que el auditor considere relevantes, tales como observaciones sobre las tareas en específico.
Chequeo de Procedimientos
Si deseamos hacer consultas sobre los procedimientos en específicos asignados para los grupos de trabajo, o bien queres saber que Clases o Etapas se están trabajando , se nos presenta la opción en el menú contextual de Procedimientos: en donde podemos realizar una de las siguientes acciones:
1. Mantenimiento de Procedimientos
2. Mantenimiento de Clases
3. Mantenimiento de Etapas
4. Mantenimiento de Acciones
1)
2) 
3) 
4) 
Para lo cual en cada una de las ventanas anteriormente presentadas, podemos Agregar nuevas entradas, Modificar las ya existentes para su trabajo, o bien eliminar alguna que consideremos no necesaria.
Presentación de Informes
Meycor nos brinda la ventaja de presentar los informes en base al avance del trabajo realizado, y de los parámetros previamente ingresados por los usuarios, para determinada tarea o proceso.
Papeles de Trabajo
En esta opción de papeles de trabajo, se elabora un reporte de cada proceso, de las tareas que tiene relacionadas, que grupo está a cargo de cada una de ellas, y el avance en tiempo y recursos que se tiene. Se describe brevemente que es lo que se pretende y espera de cada procedimiento y se muestra el tiempo invertido en cada una de ellas.
Resumen de avance de la revisión
Acá se muestra un diagrama de árbol, indicando las revisiones por grupos de trabajo, o bien por procesos trabajados, los cuales se indica que objetivos de control se tienen asociados, y que periodos o intervalos de tiempo ha sido asignado a cada uno de ellos.
A su vez se muestra el avance, que se tiene de cada uno de los procesos o bien tareas relacionadas a los procesos, y se marca el estado de cada uno de ellos. Los cuales puede ser: Finalizado, en Proceso, o no Iniciado.
Desviación de la Calificación de los Procesos
En esta parte se le asigna una puntuación a los procesos que se están manejando, esto en base o con referencia los dominios que se tiene para cada proceso.
De lo cual se puede escoger si se quiere un análisis global o bien Local, así mismo nos dejan la libertad de escoger el tipo de formato en el cual queremos escribir el informe con el detalle. El cual puede ser: Documento RTF, Documento en HTML, o un Documento en EXCEL.
Primeras Graficas
Desviación de la Calificación en RADAR
Esta consideramos es una de las características más importantes, ya que se nos presenta de manera significativa, entendible y más amigable, los resultados para poder compararlos e interpretarlos y llegar a tomar decisiones. Acá se muestra la Grafica tipo Radar, en la cual se muestran los datos comparados en base a los 4 dominios que se cubren:
Planificación y Organización, Adquisición e Implementación, Entrega y Soporte, Monitoreo y Evaluación. Y que tanto avance se ha tenido en cada uno de los mismos.
Si en dado caso no se llegara a comprender muy bien la grafica de RADAR se nos presenta la opción de la grafica de barras, la cual hasta cierto punto tiende a ser más interpretativa.
Desviación de las Calificaciones BARRAS
Acá se muestra el avance de la misma forma, en cada uno de los 4 dominios, pero podemos elegir en que clasificación deseamos mostrar los resultados. Y se nos muestra en forma de una grafica de barras.
Algunas de las clasificaciones posibles son:
Novell NetWare
Unix
Windows NT/2000
COBIT
DataWarehouse
Oracle
ISO 17799
Cierre de Periodos
Con esta opción que nos presenta la herramienta, podemos dar por finalizado o bien cerrar un periodo de Evaluación.
En el menú contextual de Meycor, podes realizar las siguientes acciones:
Resumen Calificación de Procesos (S1)
Esta opción nos permite Listar los procesos que están siendo evaluados, mostrando una breve descripción de cada uno de ellos, el objetivo que se pretende alcanzar y la Calficacion asignada a cada uno de los procesos.
Acá también se nos pregunta, en que formato deseamos escribir nuestro reporte:
Si en formato de Documento RTF, Documento en HTML, o bien en una Plantilla de EXCEL.
Detalle de las Recomendaciones (M1)
En el detalle de las Recomendaciones, se nos presenta un listado de las posibles recomendaciones para cada objetivo de control trabajado, en donde se nos describe brevemente la recomendación, el objetivo que pretende alcanzar, el propósito y costo asociado a cada recomendación. Estas recomendaciones pueden ser varias asociadas a un proceso en particular, y depende de que tan grande o que tan mayor sea el alcance del proceso a analizar.
La pantalla que se muestra es como la que se presenta a continuación:
Informe Cuantitativo de Recomendaciones (L1)
Acá se nos presenta una vista alternativa de la característica anterior, acá se le asocia a cada recomendación una ponderación, y a la vez se muestra el numero del proceso asociado o relativo a cada recomendación. De igual forma se puede escoger el formato de salida para la elaboración del informe o reporte final.
Evaluación de Controles
En base a los 34 posibles controles, se nos muestra una grafica de barras, con escala en porcentaje de 0 a 100, con el peso o ponderación a cada control en específico. Tomando cada uno de los diferentes valores, los cuales tienen asociado un color, para identificar una de las diferentes clasificaciones, las cuales son 5:
Bueno
Bueno Regular
Malo
No aplicable
Sin responder
La grafica que se nos muestra, es como la siguiente:
Evaluación de Respuesta de Controles
Esta característica de la aplicación nos permite evaluar o interpretar las respuestas asociadas a cada uno de los controles, para lo cual se presenta un botón para cada uno de los 34 controles, y la cual nos muestra una grafica de barras comparativa de los valores reales y máximos que pueden tomar.
Esta grafica cabe mencionar que es bastante intuitiva, y que es fácil de leer e interpretar, para poder elaborar los reportes, de igual forma que en las ventanas anteriores, se nos presenta 3 posibles formatos de salida.
Comparación de Evaluación de Procesos
Acá se realiza una comparación de los procesos, en base a dos periodos distintos de tiempo. En la pantalla de esta característica, se nos presenta el Proceso (No. De Proceso), una breve descripción del proceso , y el objetivo el cual se pretende alcanzar o completar, seguidamente de dos columnas las cuales contienen la ponderación asociada a cada uno de los dos diferentes periodos a evaluar.
Acá también se puede elaborar un reporte, el cual será presentado a las autoridades pertinentes que nos lo soliciten.
Al final obtendremos una ventana como la que se nos muestra a continuación:
Luego de haber realizado todas las operaciones pertinente, y tras haber generado los reportes que hayamos considerado necesarios para presentar a las autoridades que nos lo soliciten (Gerentes de la Empresa, Agentes auditores externos, etc.). Podemos visualizar los reportes elaborados por día, los cuales se pudieron haber ido generando a lo largo del periodo de trabajo de los distintos grupos de trabajo, para lo cual, si queremos visualizar el listado de los reportes, en forma de un árbol, hacemos click en la parte superior derecha de nuestra ventana principal, en el Botón que dice REPORTES. Para lo cual nos saldrá una ventana, donde se nos enlistara los reportes disponibles y elaborados, y donde para poder visualizarlos en el formato que elegimos al momento de su creación; solamente tenemos que dar doble click, sobre cada uno de ellos. La ventana que nos dispone cada uno de los reportes realizados, es como la que se nos presenta a continuación:
