MODELOS DE MADUREZ En la actualidad se pide a los directivos y ejecutivos de la Organización que tomen muy en cuenta una correcta administración de las TI. Para esto se debe realizar un plan de negocio para alcanzar un nivel óptimo de administración y control control de la Tecnolog ías de la Información. Estos modelos de madurez están diseñados como perfiles de procesos de TI que una Organización los reconocería como estados posiblemente actuales y futuros, estos modelos no están diseñados para ser limitantes, donde no se puede pasar a los niveles superiores sin haber cumplido antes los niveles antecesores, al usar los modelos de madurez para los 34 procesos de TI de COBIT, COBIT, la administración podrá identificar:
El desempeño real de la Organización: Donde se encuentra la Organización hoy.
El Status actual de la Organiz Organi zación: ación : La comparación
EL objetivo de la mejora de la Organización: Donde desea estar la Organización.
Se ha definido un modelo de madurez para cada uno de los 34 procesos de TI, con una escala de medición creciente a partir de 0, no existente, hasta 5, optimizado, la ventaja es que es relativamente fácil para la dirección ubicarse a sí misma en una escala y de esta forma evaluar que se debe hacer si se requiere una mejora.
0 NO EXISTENTE
Carencia completa de cualquier proceso reconocible. La Organización no ha reconocido siquiera que existe un problema a resolver. Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo;
1 INICIAL
no existen procesos estándar en su lugar existen enfoques que tienden a ser aplicados de forma individual o
ad hoc
caso por caso. El enfoque general hacia la administración es desorganizado. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que
2 REPETIBLE
realizan
la
misma
tarea.
No
hay
entrenamiento
o
comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables. Los procedimientos se han estandarizado y documentado, y se han difundido a través de entrenamiento. Sin embargo,
3 DEFINIDO
se deja que el individuo decida utilizar estos procesos, y es poco
probable
que
se
detecten
desviaciones.
Los
procedimientos en sí no son sofisticados pero formalizan las prácticas existentes. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no
4
estén trabajando de forma efectiva. Los procesos están bajo
ADMINISTRADO
constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera limitada o fragmentada. Los procesos se han refinado hasta el nivel de mejor
5
práctica, se basan en los resultados de mejoras continuas y
OPTIMIZADA
en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo,
brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida.
Los criterios están formados por: La Efectividad: Tiene que ver con que la información sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable.
La Eficiencia: Consiste en que la información sea generada con el óptimo (más productivo y económico) uso de los recursos.
La Confidencialidad: Se refiere a la protección de información sensitiva contra revelación no autorizada.
La Integridad: Está relacionada con la precisión y completitud de la información, así como con su validez de acuerdo a los valores expectativas del negocio.
La Disponibilidad: Se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. También concierne a la protección de los recursos y las capacidades necesarias asociadas.
El Cumplimiento: Tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocio, es decir, criterios de negocios impuestos externamente, así como políticas internas.
La Confiabilidad: Se refiere a proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno
Los recursos son: Las aplicaciones: Incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información.
La información: Son los datos en todas sus formas, de entrada, procesados y generados por los sistemas de información, en cualquier forma en que sean utilizados por el negocio.
La infraestructura: Es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones.
Las personas (Recursos Humanos): Son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información.
Modelos de Madurez a nivel Cualitativo (COSO) A continuación se representa en una tabla el impacto de los objetivos de control de COBIT 4.1 sobre los criterios y recursos de TI. La manera como les afecta a cada uno de los procesos está identificada por:
El grado de impacto Primario (P): Que es el grado al cual el objetivo de control definido impacta directamente al requerimiento de información de interés.
El grado de impacto Secundario (S): Que es el grado al cual el objetivo de control definido satisface únicamente de forma indirecta o en menor medida al requerimiento de i nformación de interés.
Espacio Blanco (Vacío): Que no tiene impacto alguno sobre los requerimientos de información.
La selección de los recursos administrativos en forma específica por cada proceso es mediante una X. Véase tabla 1.1.
CRITERIO DE INFORMACIÓN
O I N I M O D
S O S E C O R P
P01 P02
N Ó I C A E N A L P
Definir el estratégico de TI Definir la arquitectura de información
d a d i v i t c e f E
a i c n e i c i f E
P
S
S
P
P03
Determinar la dirección tecnológica.
P
P
P04
Definir procesos, organización y relaciones de TI.
P
P
P05
Administrar las inversiones en TI
P
P
P06
Comunicar las aspiraciones y la dirección de la Gerencia Administrar los recursos humanos de TI
P P
P
P08
Administrar Calidad
P
P
P09
Evaluar y administrar riesg os de TI
S
S
P10
Administrar proyectos
P
P
P07
d a d i l a i c n e d i f n o C
S
d a d i r g e t n I
d a d i l i b i n o p s i D
o t n e i m i l p m u C
RECURSOS DE TI
d a d i l i b a i f n o C
P
s e n o i c a c i l p A
n ó i c a m r o f n I
a r u t c u r t s e a r f n I
s a n o s r e P
X
X
X
X
X
X
X
X X
S
X
S
X X
X X X
S P
P
P
S
S
X
X
X
X
S
X
X
X
X
X
X
X
N Ó I E N C A Ó I T N S I E U M Q E D L A P M I
E T R O P O S Y O I C I V R E S E D A G E R T N E
A01
Identificar soluciones automatizadas
P
S
AI2
Adqui rir y mantener software de aplicación Adqui rir y mantener la infraestructura tecnológica
P
P
S
S
P
S
S
AI4
Facilitar la operación y el uso
P
P
S
S
AI5
Adqui rir recursos de TI
S
P
AI6
Definir niveles de servicio
P
P
AI7
Instalar y acreditar s oluciones y cambios
P
S
DS1
Definir niveles de servicio
P
P
DS2
Administrar servicios de terceros
P
P
DS3
Administrar desempeño y capacidad
P
P
DS4
Asegurar continuidad de se rvicio
P
S
DS5
Garantizar la seguridad de sistemas
DS6
Identificar y asi gnar costos
DS7
Educar y entrenar a usu arios
P
S
DS8
Administrar la mesa de servicios y los incidentes
P
P
DS9
Administrar la configuración
P
S
S
P
P
S
AI3
DS10 Administrar problemas
S
S
Proporcionar gobierno de TI
X
X
X
X
X
X
X
X
X
X
X
X
X
S
S
S
S
S
X
X
X
X
S
X
X
X
X
P
X
X
X
X
S
X
X
X
X
P
X
X
X
X
S
S
X X S
P
P
S
S
S
S
P
P
S
S
S
S
X
X
X
X
X
S
X
X X
P
S
X
X
P
P
P
X
S
P
P
X
S
S
M4
X
S
S
Garantizar cumplimiento regula torio
X
S
P
S
X
S
P
S
X
S
P
M3
S
S
P
M2
S
S
DS12 Administrar el ambiente físico
Monitorear y evaluar el desempeño de TI Monitorear y evaluar el control interno
X
S
P
M1
X
X
S
DS11 Administrar los datos
DS13 Administrar las operaciones
O E R O T I N O M
X
X
X
X
X
S
X
X
X
X
S
S
X
X
X
X
P
S
X
X
X
X
S
S
X
X
X
X
TABLA 1.1 RESUMEN DE CUADRO DE OBJETIVOS DE CONTROL COBIT
Para obtener los porcentajes de los criterios de información o el porcentaje de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la Universidad Nacional José Faustino Sánchez Carrión se asignara un valor al grado de impacto Primario cuyo efecto es alto o fuerte, Secundario cuyo efecto es leve o medio y Blanco (vacio) el cual no tiene ningún impacto. Este porcentaje se establece en base a una propuesta me todológica establecida por una metodología de manejo de riesgos como es COSO.
COSO (Sponsoring Organizations of the Treadway) establece una ponderación para el grado de impacto que tienen los criterios de información dentro de un proceso, además de permitir determinar el nivel de riesgo que tendría dicho proceso, para lo cual establece rangos de calificación para los niveles bajo, medio alto; como se p uede apreciar en la siguiente tabla.
CALIF%
IMPACTO
15%
50%
Bajo
51%
75%
Medio
76%
95%
Alto
-
-
Vacio
TABLA 1.2 Promedio de Impactos, fuente COBIT 4.1
MODELOS DE MADUREZ DE LOS PROCESOS Se mostrara a continuación una ficha por cada uno de los objetivos haciendo un análisis de los modelos de madurez de COBIT 4.1, para determinar el nivel mínimo que no cumple la Organizació n que a su vez califica el nivel en dicho objeti vo.
DOMINIO: PLANIFICAR Y ORGANIZAR PO1: Definir el Plan Estratégico de Tecnolog ía de la Información
NIVEL DE MADUREZ
Nivel 0
Nivel 1
Nivel 2
Nivel 3
Nivel 4
No existe conciencia por parte de la gerencia de que la planeación estratégica de TI es requerida para dar soporte a las metas del negocio. La planeación estratégica de TI se discute de forma ocasional en las reuniones de la gerencia. Las decisiones estratégicas se toman proyecto por proyecto, sin ser consistentes con una estrategia global de la organización. La planeación estratégica de TI sigue un enfoque estructurado, el cual se documenta y se da a conocer a todo el equipo. Las estrategias de recursos humanos, técnicos y financieros de TI influencian cada vez más la adquisición de nuevos productos y tecnologías. Existen procesos bien definidos para determinar e uso de recursos internos y externos requeridos en el desarrollo y las operaciones de los sistemas .
E E L L P O P M N M U U C C
OBSERVACIONES
GRADO DE MADUREZ El proceso de Definir el Plan Estratégico de Tecnología Información está en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS Que no existe un plan estratégico de TI y estrategias de recursos de la Organización. No se realizar planes a largo plazo de TI.
√
√
√
√
√
Se desarrollan planes realistas a largo plazo de TI y se actualizan de Nivel manera constante para reflejar los √ 5 cambiantes avances tecnológicos RECOMENDACIONES Para el proceso PO1 de COBIT estable los siguientes objetivos de control:
Planes a largo plazo de TI. Tomar decisiones estratégicas.
Definir los recursos internos y externos necesarios. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: Evaluar el desempeño actual, es decir realizar una evaluación de los planes existentes, así
como de los sistemas de información y su impacto de los objetivos de la Universidad Nacional José Faustino Sánchez Carrión. En el Largo Plazo:
Crear planes táctico de TI a futuro, que resulten del plan estratégico de TI, estos planes deben ser bien detallados para poder realizar la definición de planes proyectados.
DOMINIO: PLANIFICAR Y ORGANIZAR PO2: Definir la Arquitectura de la Información
NIVEL DE MADUREZ
El conocimiento, la experiencia y las Nivel responsabilidades necesarias para 0 desarrollar esta arquitectura no existen en la organización.
Nivel 1
Nivel 2
Nivel 3
La gerencia reconoce la necesidad de una arquitectura de información. El desarrollo de algunos componentes de una arquitectura de información ocurre de manera ad hoc. Las personas obtienen sus habilidades al construir la arquitectura de información por medio de experiencia práctica y la aplicación repetida de técnicas. Existe una función de administración de datos definida formalmente, que establece estándares para toda la organización, y empieza a reportar sobre la aplicación y uso de la arquitectura de la información.
E E L L P O P M N M U U C C
√
√
√
√
OBSERVACIONES
GRADO DE MADUREZ El proceso de Definir la Arquitectura de la Información está en el nivel de madurez 0. OBJETIVOS NO CUMPLIDOS Que no se resolvió necesidades futuras del negocio realizando el proceso de la arquitectura de la información. Aprovechar las habilidades personales para la construcción de la arquitectura de la información.
Nivel 4
Nivel 5
El proceso de definición de la arquitectura de información es proactivo y se enfoca en resolver necesidades futuras del negocio. El personal de TI cuenta con la experiencia y las habilidades necesarias para desarrollar y dar mantenimiento a una arquitectura de información robusta y sensible que refleje todos los requerimientos del negocio.
√
√
RECOMENDACIONES Para el proceso PO2 de COBIT estable los siguientes objetivos de control: Desarrollar y mantener la arquitectura de la información. Tener en claro la definición del proceso de la arquitectura de la información. Ser partícipe de la construcción de la arquitectura de la información para incrementar sus habilidades. Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias: En el Corto Plazo: Establecer y mantener un modelo de arquitectura de la información para facilitar el desarrollo de aplicaciones y actividades de soporte a la toma de decisiones, este modelo será útil para la creación, uso y compartición óptimas de la información vital. En el Largo Plazo: Definir e implementar procedimientos para brindar integridad y consistencia de todos los datos que se encuentran almacenado en formato electrónico, como bases de datos, almacenamiento de datos y archivos. DOMINIO: PLANIFICAR Y ORGANIZAR PO3: Determinar la Dirección Tecnología
NIVEL DE MADUREZ
Nivel 0
Nivel 1
Nivel 2
No existe conciencia sobre la importancia de la planeación de la infraestructura tecnológica para la entidad. La gerencia reconoce la necesidad de planear la infraestructura tecnológica. El desarrollo de componentes tecnológicos y la implantación de tecnologías emergentes son ad hoc y aisladas. La evaluación de los cambios tecnológicos se delega a individuos que siguen procesos intuitivos, ue similares.
E E L L P O P M N M U U C C
√
√
√
OBSERVACIONES
GRADO DE MADUREZ El proceso de Determinar la Dirección Tecnología está en el nivel de madurez 2. OBJETIVOS NO CUMPLIDOS Desarrollar las habilidades para la elaboración del plan de la infraestructura tecnológica. Realizar un plan de infraestructura tecnológica.
Nivel 3
Existe un plan de infraestructura tecnológica definido, documentado y bien difundido, aunque se aplica de forma inconsistente.
√
El área de informática cuenta con Nivel la experiencia y las habilidades √ 4 necesarias para desarrollar un plan de infraestructura tecnológica. La dirección del plan de infraestructura tecnológica está impulsada por los estándares y Nivel avances industriales e √ 5 internacionales, en lugar de estar orientada por los proveedores de tecnología. RECOMENDACIONES Para el proceso PO3 de COBIT estable los siguientes objetivos de control: Elaborar un plan de infraestructura tecnológica. Impulsar la orientación de la infraestructura tecnológica hacia los proveedores. No delegar los cambios tecnológicos a personas que no tienen la debida experiencia. Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias: En el Corto Plazo:
Planear la dirección tecnológica, es decir analizar las tecnol ogías existentes y emergentes, para tomar en cuenta cual dirección tecnológica es apropiada para lograr cumplir con las estrategias de TI, y la arquitectura de sistemas del negocio. En el Largo Plazo: Realizar un proceso de monitoreo de tendencias tecnológicas, si es posible establecer un foro tecnológico, para de esta forma brindar directrices tecnológicas.
REPORTE GENERAL DE GRADOS DE MADUREZ O I N I M O D
PROCESOS
E Z E D R L U E D V A I N M
R R A A Z C I I F I Y N A N G A L R P O
P01
Definir el Plan Estratégico de Tecnología de la Información
1
P02
Definir la Arquitectura de la Información
0
P03 P04
Determinar la Dirección Tecnología Definir los Procesos, Organización y Relaciones de TI
2 2
R E A R T I N R I E U M Q E L D P A M I
AI1 AI2
Identificar Soluciones Automatizadas Adquirir y Mantener Software Aplicativo
1 1
AI3
Adquirir y Mantener Infraestructura Tecnológica
3
AI4 AI5
Facilitar la Operación y el Uso Adquirir Recursos de TI
1 2
DS1 DS2
Definir y Adminis trar los Niveles de Servicio Administrar los Servicios de Terceros
1 3
DS3
Administrar el Desempeño y la Capacidad
1
DS4 DS5
Garantizar la Continuidad del Servicio Garantizar la Seguridad de los Sistemas
0 2
ME1 ME2
Monitorear y Evaluar el Desempeño de TI Monitorear y Evaluar el Control Interno
2 1
ME3
Garantizar el Cumplimiento Regulatorio
0
ME4
Proporcionar Gobierno de TI
1
Y R A G E R T N E
R A T R O P O S R A D
R A R E A R U O L T I A N V E O Y M
RESUMEN DE ANÁLISIS POR DOMINIOS: Dominio: Planear y Organizar (PO)
Dominio: Adquirir e Implementar (AI)
Dominio: Entrega y Dar Soporte (DS) Dominio: Monitorear y Evaluar (ME)
RESUMEN DE PROCESOS Y CRITERIOS DE INFORMACIÓN POR IMPACTO CRITERIOS DE INFORMACIÓN O I N I M O D
d a d i l i b a i f n o C
0.86
0.63
Total ideal (impacto * Nivel Ideal)
0.86 4.3
0.63 3.15
P02
0.63
0.86
0.63
0.86
0 3.15 0.86
0 4.3 0.86
0 3.15
0 4.3
Total ideal (impacto * Nivel Ideal)
1.72 4.3
1.72 4.3
P04
0.86
0.86
1.72 4.3 0.86
1.72 4.3 0.63
2 5
Total real (impacto * Nivel Real) Total ideal (impacto * Nivel Ideal)
0.86 4.3
0.63 3.15
1
AI2
0.86
0.86
0.63
0.63
0.86 4.3 0.63
0.86 4.3 0.86
0.63 3.15 0.63
0.63 3.15 0.63
Total real (impacto * Nivel Real) Total ideal (impacto * Nivel Ideal)
0
0
0
0
0
3.15
4.3
3.15
3.15
5
AI4
0.86 0.86 4.3 0.63
0.86 0.86 4.3 0.86
0.63 0.63 3.15
0.63 0.63 3.15
1.26 3.15 0.86
1.72 4.3 0.86
0.63
0.63
0.86
0.86
0.63
0.63
PROCESOS
Defini r el Plan Estratégic o de Tecnol ogía de l a Información
Defini r la Arquitectura de la Información
Total real (impacto * Nivel Real) Total ideal (impacto * Nivel Ideal) P03
Determina r la Dir ección Tecnológica
Total real (impacto * Nivel Real) Defini r los Procesos, la Organización y las Relaciones de TI
Total real (impacto * Nivel Real) Total ideal (impacto * Nivel Ideal) AI1
Identificar Soluciones
d a d i r g e t n I
1 5
0 5
2 5
Automatizadas
Adquirir y Mantener Software Aplicativo
Total real (impacto * Nivel Real) Total ideal (impacto * Nivel Ideal) AI3
Adquirir y Mantener Infraestructura Tecnológica
Facilitar la Operación y el Uso
Total real (impacto * Nivel Real) Total ideal (impacto * Nivel Ideal) AI5
Adquirir Recursos de TI
Total real (impacto * Nivel Real) Total ideal (impacto * Nivel Ideal) R A G E R T N
o t n e i m i l p m u C
a i c n e i c i f E
Total real (impacto * Nivel Real)
R A T N E M E L P M I E R I R I U Q D A
d a d i l i b i n o p s i D
d a d i v i t c e f E
P01
R A Z I N A G R O Y R A C I F I N A L P
d a d i l a i c n e d i f n o C
z e r u d a M e d l e v i N
DS1
Defini r y Adminis trar los Niveles de Servic io
Total real (impacto * Nivel Real)
5
0.63 0.63 3.15 0.63
0.63 0.63 3.15
0.63
1.26 3.15 0.63
0.63
0.63
0.63
0.63
1 5
1 5 2 5
1
Total ideal (impacto * Nivel Ideal)
4.3 0.86
4.3 0.86
3.15 0.63
3.15 0.63
3.15 0.63
3.15 0.63
3.15 0.63
5
Total real (impacto * Nivel Real) Total ideal (impacto * Nivel Ideal)
2.58
2.58
1.89
1.89
1.89
1.89
1.89
3
4.3
4.3
3.15
3.15
3.15
3.15
3.15
5
DS3
Admini strar el Desempeño y la Capacidad Total real (impacto * Nivel Real)
0.86
0.86
0.63
0.86
0.86
0.63
1
Total ideal (impacto * Nivel Ideal)
4.3 0.86
4.3 0.63
3.15 0.86
5
1.72
1.26
1.72
2
4.3
3.15
5
0.63
0.63
DS2
DS4
Admini strar los Servicios de Terceros
Garantizar la Continuidad del Servicio
Total real (impacto * Nivel Real) Total ideal (impacto * Nivel Ideal)
0.86
0.86
4.3 0.63
Total real (impacto * Nivel Real)
0.86
0.86
0.63
0.63
0.63
1
Total ideal (impacto * Nivel Ideal)
4.3 0.63
3.15 0.63
3.15 0.63
3.15 0.63
5
DS5
Garantizar la Seguri dad de los Sistemas
Monitorear y Evaluar el Desempeño d e TI
0.86
0.86
4.3 0.63
Total real (impacto * Nivel Real) Total ideal (impacto * Nivel Ideal)
1.72 4.3 0.86
1.72 4.3 0.86
1.26 3.15 0.63
1.26 3.15 0.63
1.26 3.15 0.63
1.26 3.15 0.63
1.26 3.15 0.63
2
0.86 4.3
0.86 4.3
0.63 3.15
0.63 3.15
0.63 3.15
0.63 3.15
0.63 3.15
1
0.86
0.63
0
0
0
3.15 0.63 0.63
5
3.15
5
ME1 R A U L A V E Y R A E R O T I N O M
ME2
Monitorear y Evaluar el Control Interno
Total real (impacto * Nivel Real) Total ideal (impacto * Nivel Ideal) ME3
Garantizar el Cumplimi ento Regulatorio
Total real (impacto * Nivel Real) Total ideal (impacto * Nivel Ideal) Total real (impacto * Nivel Real)
0.86 0.86
0.86 0.86
0.63 0.63
0.63 0.63
0.63 0.63
4.3 0.63 0.63
Total ideal (impacto * Nivel Ideal)
4.3
4.3
3.15
3.15
3.15
3.15
ME4
Proporcionar Gobierno de TI
5
5
1
RESULTADOS FINALES DEL IMPACTO SOBRE LOS CRITERIOS DE INFORMACIÓN Total real (impacto*Nivel real) Total ideal (impacto*Nivel ideal) Porcentaje Alcanzado
17.6
17.14
5.9
7.16
8.65
7.56
6.93
65.35
65.35
23.2
33.8
32.65
31.95
28.35
26.93
26.23
25.43
23.66
24.44
21.18
26.49
24.9
A continuación analizamos cada uno de los criterios de la información:
EFECTIVIDAD.- Para este criterio de información se obtuvo un porcentaje del 26.93% sobre 100%, es decir que la información que es de importancia para “La EMPRESA ”, que tiene incidencia en los procesos del negocio y
debe ser entregada de forma oportuna, consistente, y veraz tiene un porcentaje del 26.93%.
EFICIENCIA.- Para este criterio de información se obtuvo un porcentaje del 26.23% sobre el 100%, es decir que la información que debe generar el uso óptimo de los recursos de “ La EMPRESA ” tiene un porcentaje del 26.23%.
CONFIDENCIALIDAD.-
INTEGRIDAD.-
DISPONIBILIDAD.-
CUMPLIMIENTO.-
CONFIABILIDAD.-
16
RECOMENDACIONES
17