Sie sind auf Seite 1von 117

INFORME DE AUDITORES INDEPENDIENTES

AUDITORIA INFORMÁTICA

A LA EMPRESA ECUACOPIA CIA. LTDA.


PERIODO: 01 DE ENERO 2016 AL 31 DIEMBRE 2016

FECHA DE INICIO: 03-10-2017


FECHA DE FINALIZACIÓN: 28-12-17

RESPONSABLES:
 ESTUPIÑAN MARITZA
 RODRIGUEZ KATHERINE
 TENEMAZA VANESSA
 TOAPANTA JOHANA

1
TABLA DE CONTENIDO

Contenido
TABLA DE CONTENIDO ......................................................................................................................................... i
DATOS DE LA INSTITUCIÓN ............................................................................................................................... 1
CRONOGRAMA ....................................................................................................................................................... 5
MOTIVOS DEL EXAMEN................................................................................................................................... 6
ALCANCE ............................................................................................................................................................. 6
METODOLOGÍA .................................................................................................................................................. 6
OBJETIVO ............................................................................................................................................................ 6
OBJETIVOS ESPECÍFICOS ................................................................................................................................. 6
TÉCNICAS A UTILIZADAS ............................................................................................................................... 6
INFORMACIÓN GENERAL DEL ECUACOPIA CIA. LTDA. .......................................................................... 8
Nombre de la Compañía ........................................................................................................................................ 8
Misión .................................................................................................................................................................... 8
Visión ..................................................................................................................................................................... 8
Perfil de la empresa ................................................................................................................................................ 8
PEDI: PLAN ESTRATÉGICO DE DESARROLLO INSTITUCIONAL ................................................................. 9
OBJETIVOS ESTRATÉGICOS DE ECUACOPIA CIA. LTDA. ........................................................................ 9
USUARIOS DE LA EMPRESA............................................................................................................................ 9
PETI: PLAN ESTRATÉGICO DE TECNOLOGÍAS DE LA INFORMACIÓN ................................................... 10
Funcional ECUACOPIA CIA. LTDA. Departamento de TI ................................................................................... 12
STAKEHOLDES ..................................................................................................................................................... 13
INTERNOS .......................................................................................................................................................... 13
ALTA DIRECCIÓN ............................................................................................................................................ 13
DIRECTORES DEPARTAMENTO DE TI ........................................................................................................ 13
DEPARTAMENTO DE TI .................................................................................................................................. 13
CLIENTES Y PROVEEDORES EXTERNOS ................................................................................................... 13
ENTIDADES REGULADORAS ............................................................................................................................ 14
SOFTWARE UTILIZADO POR LA EMPRESA ................................................................................................... 33
Sistema operativo Windows 8 y Windows 10 ..................................................................................................... 33
CORREO DOMINIO ........................................................................................................................................... 33
FIREWALL SOPHOS ......................................................................................................................................... 33
ANTIVIRUS ........................................................................................................................................................ 33
PAC –ERP ........................................................................................................................................................... 33
SLA .......................................................................................................................................................................... 33
TIPOS DE REDES................................................................................................................................................... 35
VPN...................................................................................................................................................................... 35
Red LAN .............................................................................................................................................................. 35
ESQUEMA GENERICO ................................................................................................................................. 35

i
DESCRIPCIÓN DE MAPA DE PROCESOS ......................................................................................................... 36
PROCESOS DE LA EMPRESA ............................................................................................................................. 40
PROCESOS ESTRATÉGICOS ........................................................................................................................... 40
Planificación Estratégica ...................................................................................................................................... 40
Gestión y Desarrollo ............................................................................................................................................ 40
PROCESOS OPERATIVOS.................................................................................................................................... 40
Gestión de Comercialización ............................................................................................................................... 40
Gestión de Soporte Técnico ................................................................................................................................. 40
Gestión de Venta .................................................................................................................................................. 40
PROCESOS DE APOYO ........................................................................................................................................ 40
Gestión de Administración................................................................................................................................... 40
Gestión de Talento ............................................................................................................................................... 40
Gestión Contable y financiera .............................................................................................................................. 41
Gestión y logística................................................................................................................................................ 41
Informática TIC’S ................................................................................................................................................ 41
PROCESOS RELACIONADOS CON TI ............................................................................................................... 42
RESULTADOS OBTENIDOS DE ENCUESTA GENERAL ................................................................................ 44
CUESTIONARIO DE CONTROL DE RIESGO .................................................................................................... 50
MATRIZ DE RIESGO............................................................................................................................................. 52
SCORE DE RIESGO ........................................................................................................................................... 54
MATRIZ DE CONTROL INTERNO: ANEXO 1 (Anexo los cuestionarios por procesos) ............................... 55
MATRIZ DE CONTROL INTERNO...................................................................................................................... 56
METAS CORPORATIVAS EMPRESA ................................................................................................................. 57
METAS CORPORATIVAS COBIT ....................................................................................................................... 58
MAPEO DE METAS CORPORATIVAS ............................................................................................................... 59
METAS DE TI COBIT ............................................................................................................................................ 61
METAS DE TI EMPRESA...................................................................................................................................... 62
MAPEO DE METAS TI .......................................................................................................................................... 63
MAPEO DE PROCESOS TI ................................................................................................................................... 64
PROCESOS RELACIONADOS CON COBIT ....................................................................................................... 66
METAS RELACIONADAS TI ............................................................................................................................... 66
MATRIZ RACI ........................................................................................................................................................ 67
LEYENDA PARA LOS FLUJOGRAMAS............................................................................................................. 68
APO03 GESTIONAR LA ARQUITECTURA EMPRESARIAL ........................................................................... 69
MATRIZ RACI ................................................................................................................................................ 70
DIAGRAMA DE FLUJO ................................................................................................................................ 71
INDICADOR ................................................................................................................................................... 72
MATRIZ DE NIVEL DE CAPACIDAD ........................................................................................................ 72
CONCLUSIÓN Y RECOMENDACIÓN ........................................................................................................ 73
AP012 GESTIONAR EL RIESGO .......................................................................................................................... 74
ii
MATRIZ RACI ................................................................................................................................................ 75
DIAGRAMA DE FLUJO ................................................................................................................................ 76
INDICADOR ................................................................................................................................................... 77
MATRIZ DE NIVEL DE CAPACIDAD ........................................................................................................ 77
CONCLUSIÓN Y RECOMENDACIÓN ........................................................................................................ 78
APO13 GESTIONAR LA SEGURIDAD ................................................................................................................ 79
MATRIZ RACI ................................................................................................................................................ 80
DIAGRAMA DE FLUJO ................................................................................................................................ 81
INDICADOR ................................................................................................................................................... 82
MATRIZ DE NIVEL DE CAPACIDAD ........................................................................................................ 82
CONCLUSIÓN Y RECOMENDACIÓN ........................................................................................................ 83
BAI02 GESTIONAR LA DEFINICIÓN DE REQUISITOS. ................................................................................. 84
DIAGRAMA DE FLUJO ................................................................................................................................ 85
MATRIZ RACI ................................................................................................................................................ 86
INDICADOR ................................................................................................................................................... 87
MATRIZ DE NIVEL DE CAPACIDAD ........................................................................................................ 87
CONCLUSIÓN Y RECOMENDACIÓN ........................................................................................................ 88
DSS02 GESTIONAR PETICIONES E INCIDENTES DE SERVICIO ................................................................. 89
DIAGRAMA DE FLUJO ................................................................................................................................ 90
MATRIZ RACI ................................................................................................................................................ 91
INDICADOR ................................................................................................................................................... 92
MATRIZ DE NIVEL DE CAPACIDAD ........................................................................................................ 92
CONCLUSIÓN Y RECOMENDACIÓN ........................................................................................................ 93
DSS03 GESTIONAR LOS PROBLEMAS ........................................................................................................... 94
DIAGRAMA DE FLUJO ................................................................................................................................ 95
MATRIZ RACI ................................................................................................................................................ 96
INDICADOR ................................................................................................................................................... 97
MATRIZ DE NIVEL DE CAPACIDAD ........................................................................................................ 97
CONCLUSIÓN Y RECOMENDACIÓN ........................................................................................................ 98
DSS04 GESTIONAR LA CONTINUIDAD. .......................................................................................................... 99
MATRIZ RACI .............................................................................................................................................. 100
DIAGRAMA DE FLUJO .............................................................................................................................. 101
INDICADOR ................................................................................................................................................. 102
MATRIZ DE NIVEL DE CAPACIDAD ...................................................................................................... 102
CONCLUSIÓN Y RECOMENDACIÓN ...................................................................................................... 103
DSS05 GESTIONAR LOS SERVICIOS DE SEGURIDAD ................................................................................ 104
MATRIZ RACI .............................................................................................................................................. 105
DIAGRAMA DE FLUJO .............................................................................................................................. 106
INDICADOR ................................................................................................................................................. 107
MATRIZ DE NIVEL DE CAPACIDAD ...................................................................................................... 107
iii
CONCLUSIÓN Y RECOMENDACIÓN ...................................................................................................... 108
MATRIZ RESUMEN DE NIVEL DE CAPACIDAD ...................................................................................... 109
GRAFICA DE NIVELES DE CAPACIDAD.................................................................................................... 110
CONCLUSIÓN GENERAL .................................................................................................................................. 111
RECOMENDACIÓN............................................................................................................................................. 112

iv
ECUACOPIA CIA. LTDA. MRP
AUDITORIA DE INFORMÁTICA 1/1
Al 28 de diciembre del 2017
MATRIZ DE RECONOCIMIENTO
PRELIMINAR

DATOS DE LA INSTITUCIÓN
Nombre de la Institución: ECUACOPIA CIA. LTDA.
RUC: 1790189163001
Gerente General: Chediak Martínez José Javier
Distribuidor autorizado de RICOH CORPORATION
para el ECUADOR. Contamos con la representación de
Tipo de atención:
lector clasificadores y escáneres de cheques PANINI
para ECUADOR, COLOMBIA Y PERÚ.
Jornada: 08:30-17:30
Sostenimiento: Privado
Provincia: Pichincha
Cantón: Quito
Parroquia: Quito
Matriz: Eduardo Whymper N27-88 y Av. Francisco de
Agencia Específica:
Orellana.
Dirección: Eduardo Whymper N27-88 y Av. Francisco de Orellana
Teléfono: (02) 2235-936
Correo Electrónico: www.ecuacopia.ec
Proceso: Auditoria a sistemas informáticos e infraestructura de TI.
Componente: Departamento de TI
Talento Humano: Tiempo de Funcionamiento:
Número de Personal TI:
4
Número de Personal Lunes, 7 de noviembre del 1979 -
Administrativo: Actualidad
10
Total de empleados
74

Elaborado por: AUDITED S.A. Fecha Inicio: 25/Octubre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25 /Octubre/2017

1
ECUACOPIA CIA. LTDA MP
AUDITORIA DE INFORMÁTICA 1/4
Al 28 de diciembre del 2017
MEMORÁNDUM DE PLANIFICACIÓN

ÍNDICE

1.- INFORMACIÓN BÁSICA

DATOS GENERALES
Razón Social: ECUACOPIA CIA. LTDA.

Tipo de entidad: Empresa Comercial

Nacionalidad: Ecuador
Dirección: Eduardo Whymper N27-88 y Av. Francisco de Orellana

OBJETO SOCIAL
Venta al por mayor y menor de equipos de oficina

ORGANISMOS DE CONTROL

 Ley de Compañías
 Ley Orgánica de Régimen Tributario Interno
 Reglamento de la Ley Orgánica de Régimen Tributario Interno
 Ley Orgánica de Aduanas

NORMATIVA INTERNA
ECUACOPIA CIA LTDA Cuenta con el plan estratégico de desarrollo institucional (PEDI),
misión visión, objetivos, políticas, y el plan estratégico de tecnología de información (PETI).
En estos planes se detallan la planificación y actividades que se puede implantar ante
cualquier situación dentro de la organización.

NORMATIVA LEGAL
Se debe tener en cuenta el Marco Referencial de Auditoría y velar por el cumplimiento del
mismo.

Elaborado por: AUDITED S.A. Fecha Inicio: 01/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 02/Noviembre/2017

2
ECUACOPIA CIA. LTDA.
AUDITORIA DE INFORMÁTICA MP
Al 28 de diciembre del 2017 2/4
MEMORÁNDUM DE PLANIFICACIÓN

RECOPILACIÓN DE INFORMACIÓN BÁSICA

Entrevista
Antes iniciar la auditoria se realizará entrevistas físicas al Director del Departamento Informático, al
mismo que se le aplicará el cuestionario pertinente de competencia de los procesos sistematizados
de información.
En las entrevistas incluirán:
 Gerente de TI

 Gestor de TI
 Coordinador de TI interno
 Analista de TI interno

El objeto de las mismas será conocer la efectividad y eficiencia del sistema que ocupa la empresa
por medio de recopilación de evidencias necesarias.

Observación
Es una de las técnicas más utilizadas para examinar los diferentes aspectos que intervienen en el
funcionamiento del área informática y los sistemas software, permite recolectar la información
directamente sobre el comportamiento de los sistemas, del área de informática, de las funciones y
actividades, los procedimientos y operación de los sistemas, y de cualquier hecho que ocurra en el
área. En el caso específico de la auditoria se aplica para observar todo lo relacionado con el área
informática y los sistemas de una organización con el propósito de percibir, examinar, o analizar los
eventos que se presentan en el desarrollo de las actividades del área o de un sistema que permita
evaluar el cumplimiento de las funciones, operaciones y procedimientos.

Cuestionarios
Los cuestionarios son preguntas impresas en formatos o fichas en que el auditado responde de
acuerdo a su criterio, de esta manera el auditor obtiene información que posteriormente puede
clasificar e interpretar por medio de la tabulación y análisis, para evaluar lo que se está auditando y
emitir una opinión sobre el aspecto evaluado.
Encuestas
Las encuestas son utilizadas frecuentemente para recolectar información sobre aspectos como el
servicio, el comportamiento y utilidad del equipo, la actuación del personal y los usuarios, entre
otros juicios de la función informática. No existen reglas para el uso de las encuestas, solo los que
regulan los aspectos técnicos y estadísticos tales como la elección del universo y la muestra, que se
contemplan dentro de la aplicación de métodos probabilísticas y estadísticos para hacer la mejor
elección de las muestras y recolección de opiniones.

Elaborado por: AUDITED S.A. Fecha Inicio: 01/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 02/Noviembre/2017

3
ECUACOPIA CIA. LTDA. MP
AUDITORIA INFORMÁTICA 3/4
Al 28 de diciembre del 2017
MEMORANDUM DE PLANIFICACIÓN

Inventarios
Consiste en hacer el recuento físico de lo que se está auditando, con el fin de compararla con la que
existe en los documentos en la misma fecha. Consiste en comparar las cantidades reales existentes
con las que debería haber para comprobar que sean iguales, de lo contrario iniciar la investigación
de la diferencia para establecer las causas. Con la aplicación de esta herramienta de la auditoria
tradicional, el auditor de sistemas también puede examinar las existencias de los elementos
disponibles para el funcionamiento del área informática o del sistema, contabilizando los equipos
de cómputo, la información y los datos de la empresa, los programas, periféricos, consumibles,
documentos, recursos informáticos, y demás aspectos que se desee conocer, con el fin de comparar
la cantidad real con las existencias que se registra en los documentos.

IDENTIFICACIÓN DE RIESGOS POTENCIALES


En este punto se evaluará al departamento informático y su aporte en toda la organización para esto
se deberá realizar un control específico del funcionamiento de todos los equipos y software que
utiliza la entidad, tomando en cuenta las distintas necesidades que se presentan dentro de la empresa
y cada una de sus sucursales.
Durante este proceso se pueden presentar distintos riesgos como dificultades en el mantenimiento
de la seguridad del sistema y de los equipos, pudiendo presentar posibles fugas de información o
pérdidas de datos.

OBJETIVOS DE CONTROL
Tiene como objetivo central evaluar que exista una correcta seguridad de la información de la
empresa. Durante este proceso se buscará que la empresa cuente con los elementos necesarios para
ser resguardar la información, así mismo que permita un análisis y evaluación adecuada del
departamento de TI y sus relacionados. Por último, se buscará que la seguridad sea uno de los
factores más importantes a mantener durante la aplicación del mismo.

DETERMINACIÓN DE LOS PROCEDIMIENTOS DE CONTROL


Después de haber establecido los objetivos se establecerán los procedimientos para que los mismos
sean aplicados de forma adecuada.
Objetivo N 1: Existencia de normativa para departamento de TI.
 El Hardware y Software debe estar correctamente identificado.
 Se debe contar con órdenes de compra y facturas con el fin de contar con el respaldo de las
garantías ofrecidas por los fabricantes.
 Se debe presentar un plan de mantenimiento, registro de fechas, problemas y soluciones.
Objetivo N 2: Política de acceso al sistema.
 Deberá existir un nombre de usuario y contraseña para acceder al sistema.
 Las claves deberán tener características específicas (mínimo 8 caracteres, alfanuméricos y
alternando mayúsculas y minúsculas).
 Las cuentas serán cerradas de forma automática después de que el usuario presente 5
minutos de inactividad.
 Los nuevos usuarios deberán ser autorizados mediante contratos de confidencialidad.
Elaborado por: AUDITED S.A. Fecha Inicio: 01/Noviembre/2017
Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 02/Noviembre/2017

4
ECUACOPIA CIA. LTDA. MP
AUDITORIA INFORMÁTICA 4/4
Al 28 de diciembre del 2017
MEMORÁNDUM DE PLANIFICACIÓN

CRONOGRAMA
OCTUBRE NOVIEMBRE DICIEMBRE
ACTIVIDADES 1 2 3 4 1 2 3 4 1 2 3 4
CONTACTO CON EL GERENTE DE LA EMPRESA
Carta de pedido de la auditoria
Propuesta del alcance de la auditoria
Aceptación de la auditoria
Contrato
Carta compromiso
VISITA A LAS INSTALACIONES
Solicitud de información Antecedentes de la empresa.
Matriz de reconocimiento preliminar
Memorando de planificación
SOLICITUD DE INFORMACIÓN
Requerimiento de información acerca del Inventario de Hardware,
Software y tipos de Redes que usa la empresa.
Requerimiento de información de la función del departamento de TI
PLAN DE AUDITORÍA
Motivo del examen
Información general del ECUACOPIA CÍA. LTDA.
PEDI: plan estratégico de desarrollo institucional
PETI: plan estratégico de tecnologías de la información
Organigrama
Stakeholdes
Funciones gestor de proyectos TI
Inventario de hardware
PROGRAMA DE AUDITORÍA
Procesos de la empresa
Mapa de procesos
Procesos organizacionales relacionados TI
Cuestionario de control interno
Matriz de riesgo
Score de riesgo
Matriz de control interno: (anexo 1 cuestionarios de control interno)
Metas corporativas empresa
Metas corporativas COBIT 5.0
Mapeo de metas corporativas
Metas de TI COBIT 5.0
Metas de TI empresa
Mapeo de metas TI
Mapeo de procesos
Procesos relacionados con COBIT 5.0
Matriz RACI
Elaboración y aplicación de entrevistas y cuestionarios al personal TI.
Observación directa y prueba sobre los factores considerados en la
auditoria
Descripción de procesos
Matriz RACI por proceso
Medición (MÉTRICAS, MATRIZ DE NIVEL DE CAPACIDAD)
Condición, criterio, conclusiones y recomendaciones
Elaboración del informe de Auditoría
Presentación y lectura de informe de Auditoria
Elaborado por: AUDITED S.A. Fecha Inicio: 01/Noviembre/2017
Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 02/Noviembre/2017

5
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 1/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

MOTIVOS DEL EXAMEN

La presente Auditoría Informática se realizó a la Empresa ECUACOPIA CIA. LTDA con el


objeto de reducir el riesgo especialmente al departamento de TI y sus procesos relacionadas,
con el fin de analizar y evaluar los procesos y control del sistema integrado bajo la
metodología del COBIT 5.0.

ALCANCE
Este examen consistió en una serie de evaluaciones y análisis que AUDITED considero
necesarias y oportuno a fin de obtener resultados que nos permita dar a conocer la situación
del departamento de TI y sus procesos relacionados.

METODOLOGÍA

 Metodología de auditoria COBIT 5.0


 ISO 15504

OBJETIVO
Aplicar una Auditoría Informática al Departamento de TI y los procesos relacionados con el
propósito de minimizar el riesgo y salvaguardar la información de la empresa “ECUACOPIA
CIA. LTDA.” bajo la metodología COBIT 5.0.

OBJETIVOS ESPECÍFICOS
 Determinar el grado de eficiencia de los procesos relacionados de TI.
 Aplicar indicadores que permitan medir el nivel de eficiencia y eficacia de las
operaciones de TI en la empresa.
 Emitir un informe de auditoría que evidencia los resultados del examen y que permita
a las partes interesadas una mejora continua y toma de decisiones oportuna.

TÉCNICAS A UTILIZADAS
Para la ejecución del trabajo de auditoría y recolección de información se utilizarán las
siguientes técnicas de auditoría:
1. Entrevista
2. Observación
3. Cuestionarios
4. Inventario.

Elaborado por: AUDITED S.A. Fecha Inicio: 16/ Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

6
SIGMAPLAST S.A. PA
AUDITORIA INFORMÁTICA 1/33.1
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

REQUERIMIENTOS DE AUDITORÍA
Informes de Auditoría: Técnico y ejecutivo

FECHAS DE INTERVENCIÓN
Fecha de Inicio del Examen 03/10/2017
Fecha de Finalización: 28/12/2017
DÍAS PRESUPUESTADOS
Se determinaron 70 días laborables para la de auditoría.

RECURSOS
RECURSOS NECESARIOS PARA EL EXAMEN DE AUDITORÍA DE INFORMÁTICA
HUMANO
EQUIPO AUDITOR CARGOS
Estupiñan Maritza Senior
Tenemaza Vanessa Junior
Toapanta Johana Asistente
Rodríguez Katherine Auxiliar
EQUIPOS
DETALLE CANTIDAD
Computador portátil 3
Flash Memory 4
Impresora 1
MATERIALES

DETALLE U. MEDIDA CANTIDAD P. UNITARIO P TOTAL

Papel A4 Resma 1 3,5 3,5


Esferos Unidad 3 0,35 1,05
Resaltar Unidad 2 1,25 2,5
Lápiz Bicolor Unidad 2 0,35 0,7
Carpetas Unidad 6 0,35 2,1
TOTAL 9,85
FINANCIEROS
Transporte 200
Alimentación 500
TOTAL 700

Total, de la Auditoria estipulada en el contrato $3000,00 dólares americanos.


Elaborado por: AUDITED S.A. Fecha Inicio: 16/ Noviembre/2017
Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

7
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 2/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

INFORMACIÓN GENERAL DEL ECUACOPIA CIA. LTDA.


Nombre de la Compañía
COPIADORA ECUATORIANA COMPAÑÍA LIMITADA (ECUACOPIA
COMPAÑÍA LIMITADA)
Misión
ECUACOPIA es una empresa de tradición creada en 1975, con el compromiso de
brindar excelente servicio de calidad y eficiencia. Somos integradores de tecnología
que garantizamos una satisfacción probada a nuestros clientes bajo la distribución de
las marcas RICOH, PANINI Y FUJITSU reconocidas a nivel mundial, ofreciendo
soluciones de digitalización e impresión por medio de la venta o renta de nuestros
productos con un stock de suministros y repuestos brindando respaldo técnico
personalizado. Nuestra filosofía se enmarca en el trabajo compartido y servicio bajo
un código de ética empresarial. Para generar rendimientos a sus administradores y
empleados.
Visión
Nos proponemos crear una solidez sustentada en un liderazgo del Mercado, bajo
normas de disciplina, calidad y responsabilidad con identidad de empresa siempre
otorgando crecimiento humano, capacitando a su personal, con estabilidad,
garantizando un plan de carrera con remuneración justa, unidos para ser la más grande
corporación de soluciones y equipos de oficina en el Ecuador.
Perfil de la empresa
Somos el único distribuidor autorizado de RICOH CORPORATION para el
ECUADOR. Contamos con la representación de lector clasificadores y escáneres de
cheques PANINI para ECUADOR, COLOMBIA Y PERÚ.
Representamos también a FUJITSU en su línea de escáneres generales para uso
corporativo y ambientes de alta producción.
Tenemos 37 AÑOS de actividad en el ECUADOR (Desde marzo de 1975). Somos un
equipo de 150 profesionales a nivel nacional.
Toda nuestra infraestructura es directa y propia, contamos con el equipo técnico y de
soporte más grande del país con más de 30 técnicos e ingenieros a nivel nacional,
distribuidos en las ciudades de Quito, Guayaquil, Cuenca, Ambato, Manta y Santo
Domingo de los Tsáchilas. Brindamos cobertura nacional en servicio, soporte y
comercialización.
Nuestros productos, soluciones y servicios se orientan hacia la producción,
administración y distribución de documentos. Dentro de esta línea desarrollamos
consultorías, vendemos y ofrecemos servicios de outsourcing con soluciones
integradas dependiendo de las necesidades de cada cliente.

Elaborado por: AUDITED S.A. Fecha Inicio: 16/ Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

8
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 3/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

APLICACIÓN PRINCIPIO 2: CUBRIR LA EMPRESA DE EXTREMO A EXTREMO.

PEDI: PLAN ESTRATÉGICO DE DESARROLLO INSTITUCIONAL


OBJETIVOS ESTRATÉGICOS DE ECUACOPIA CIA. LTDA.

1. Entrega a tiempo a los requerimientos de negocio.


2. Optimizar los productos, servicios y atención al cliente.
3. Automatizar e integrar la cadena de valor de la empresa.
4. Registrar la información contable y financiera.
5. Controlar la cartera de clientes.
6. Optimización de costos de los productos y servicios.
7. Mantener personal motivado y capacitado.
8. Mejorar y mantener la funcionalidad de los procesos.
9. Reducir los costos de los procesos.
10. Cumplir con las leyes y regulaciones externas.
11. Administrar los riesgos de negocios.
12. Ofrecer servicios y productos competitivos en el mercado.
13. Ofrecer información útil y confiable para la toma de decisiones estratégicas.

USUARIOS DE LA EMPRESA
Los principales usuarios de la empresa ECUACOPIA CIA. LTDA., son las entidades
de regulación como SRI, Superintendencia de Compañías, SENAE, Registro mercantil,
INEN con que, el propósito de la empresa es ayudar y brindar soporte de nuestros
productos aportar al crecimiento tecnológico, mediante la distribución de las marcas
RICOH, PANINI Y FUJTISU reconocidas a nivel mundial ofreciendo soluciones de
digitalización e impresión por medio de la venta o renta de nuestros productos.

Elaborado por: AUDITED S.A. Fecha Inicio: 16/ Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

9
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 4/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

PETI: PLAN ESTRATÉGICO DE TECNOLOGÍAS DE LA INFORMACIÓN


OBJETIVOS DE ÁREA DE TECNOLOGÍAS DE INFORMACIÓN
1. Capacitar al personal de TI sobre los procesos del negocio y nuevas
tecnologías.
2. Adquirir y mantener los sistemas flexibles PAC-ERP contratado.
3. Controlar el tiempo de ejecución en del sistema contratado.
4. Simplificar la funcionalidad de los sistemas contratado.
5. Integrar los sistemas de soporte a los procesos de la cadena de valor.
6. Mantener y diseñar interfaces amigables y sencillas para los usuarios.
7. Elaborar alternativas de planes de contingencia.
8. Evaluar el mercado de tecnologías que reduzcan los costos operacionales.
9. Mantenimiento a ERP contratado.
10. Diseñar proyectos que sirvan de base al cumplimiento de la normatividad
existente.
11. Apoyar en los procesos que nos brinden una posición de competitivos.
12. Elaborar y realizar pruebas de un plan de evaluación y tratamiento de
riesgos.
13. Dotar de mejores herramientas tecnológicas al proceso de
comercialización.
14. Evaluar y proponer alternativas eficaces de las herramientas tecnológicas
para la toma de decisiones.

En relación al presupuesto este es asignado mensualmente la cantidad de $3000,


para la adquisición de hardware o software el departamento de sistemas se acoge al
proceso de compras de la compañía.

Elaborado por: AUDITED S.A. Fecha Inicio: 16/ Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

10
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 5/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

APLICACIÓN PRINCIPIO 4: HACER POSIBLE UN ENFOQUE HOLÍSTICO


CATALIZADOR 3 ESTRUCTURA ORGANIZACIONAL
Organizacional ECUACOPIA CIA. LTDA.

Gerencia General

Gerencia de Gerencia Contable Gerencia Gerencia Informática


Administración Financiera Comercialización Gerencia Logística
TIC S

Ventas nacionales -
Talento humano Contabilidad Almacen Gestor de Proyecto's (TI) Coordinador TI Interno
internacionales

Analista de TI
Tesoreria
interno

Elaborado por: AUDITED S.A. Fecha Inicio: 16/ Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017
11
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 6/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

Funcional ECUACOPIA CIA. LTDA. Departamento de TI

Gerencia Informática
TIC S

Gestor de Proyecto's (TI) Coordinador TI Interno

Analista de TI
interno

ECUACOPIA CIA. LTDA. Organigrama organizacional Departamento de TI

Encargado Cargo Rol Misión de Cargo


Autoriza, proveer de servicios informáticos y
Paul Faret Dirección Gerencia informática
tecnológicos al cliente interno.
Gestionar proyectos TI para administrar y
Paola Chávez Administra Gestor de proyectos mantener la infraestructura tecnológica,
brindar soporte a usuarios y clientes.
Coordinar e implementar software a clientes
externos dando soluciones completas en
Wilma Wilde Coordina Coordinado de TI
gestión de información y procesos
automáticos.
Brindar soporte a usuarios internos y
Boris Andino Soporte Analista de TI
externos.

El área de Tecnología está divida en dos sub-áreas para la atención de cliente interno y externo; como
parte de soporte externo se da mantenimiento y garantía a los equipos, además a partir de este año.
Como área interna está vinculado con el personal interno de la compañía, entre sus principales
funciones se encuentra el soporte a usuarios de PAC- ERP, mantenimiento de equipos,
administración de la data center, etc.
El área de Tecnología se encuentra relacionada con el área Comercial por el cambio en visión de
negocio que se está teniendo.

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

12
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 7/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

STAKEHOLDES
APLICACIÓN PRINCIPIO 1: SATISFACER LAS PARTES INTERESADAS
GRUPO ECUACOPIA
INTERNOS
ALTA DIRECCIÓN
Gerente General Chediak Martínez José Javier
Presidente Chediak Rivadeneira Enrique Adolfo
Vicepresidente Chediak Rivadeneira José Marun
Presidente Ejecutivo Chediak Bueno Felipe

DIRECTORES DEPARTAMENTO DE TI

Gerente TI Paul Faret

DEPARTAMENTO DE TI

Gestor de proyectos de TI Paola Chávez


Coordinador de TI Wilma Wilde
Analista de TI Boris Andino

SUCURSALES

Quito Oficina Comercial Pedro Ponce Carrasco E9-25 y Av. 6 de 022235936


Diciembre, Edif. Multiapoyo
Guayaquil Sucursales Carchi 601 y Quisquis Edif. Quil, 043391100
Mezzanine
Guayaquil Oficina Comercial Puerto Santa Ana, Edif. The Point 043884680
Cuenca Sucursales Muñoz Vernaza N377 y Luis Cordero 072844044
Ambato Sucursales Los Toctes 3 y Albaricoque 032525341
Manta Sucursales Av. 3 N1509, entre calle 15 y 16 056050564
Santo Domingo de los Tsáchilas Sucursales Av. Esmeraldas y Vía al Búa Santo 022750770
Domingo Plaza de Negocios y Comercio

CLIENTES Y PROVEEDORES EXTERNOS

Quito Corporación GPF Cliente


Quito Industrias Ales Cliente
RICOH Corp. Proveedor
PANINI Proveedor
FUJTISU Proveedor

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

13
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 8/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

ENTIDADES REGULADORAS

Servicio de rentas internas

Superintendencia de Compañías

Ministerio de Relaciones laborables

Servicio Nacional de Aduana del


Ecuador

Registro mercantil

Servicio ecuatoriano de
normalización

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

14
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 9/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

FUNCIONES GERENTE DE TI

IDENTIFICACIÓN GENERAL:

Nombre de Cargo: Gerente de TI


Responsable del
cargo Paúl Faret
Proceso (unidad): TI
Autorizar, proveer de servicios informáticos y tecnológicos al
Rol del Cargo: cliente.
Reporta a: Gerencia General
Reportes de: Gestor de TI

MISIÓN DEL CARGO:

Gestionar la plataforma tecnológica para la mejora e innovación de procesos y servicios


de la empresa, optimizando las capacidades de la misma mediante el uso de tecnologías
de información. Dirigir, coordinar y optimizar la utilización de los recursos informáticos,
así como también resolver las necesidades informáticas de la empresa mediante la
coordinación y la planificación estratégica.

FUNCIONES ESENCIALES DEL CARGO:

Planificar, diseñar, ejecutar y monitorear la estrategia de tecnologías de


información.
Supervisar y evaluar el alineamiento de los sistemas de información a los procesos
corporativos
Definir políticas y normas de seguridad de la información, así como
procedimientos generales de seguridad física y lógica
Formular los Términos de Referencia para la adquisición de equipos,
accesorios, repuestos, insumos y demás elementos necesarios
relacionados con el uso de tecnologías de la información
Mantener la operatividad y disponibilidad de los sistemas de información y
servicios basados en Tecnologías de Información y Comunicaciones
Elabora el Presupuesto anual de TI.
Mantener las medidas necesarias para la continuidad del negocio
Mantener un inventario actualizado de los recursos informáticos.
Información (ERP, Intranet, etc.)
Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017
Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

15
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 10/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

COMPETENCIAS REQUERIDAS

TEMAS

Liderazgo
Innovación
Trabajo En Equipo
Apertura Al Cambio
Orientación A Resultados
Autocontrol
Orientación De Servicio

INTERFAZ DEL PUESTO

RELACIONES EXTERNAS RELACIONES INTERNAS


Proveedores locales, Todas las áreas de la empresa
Proveedores internacionales
(PARTNERS)
Clientes y usuarios finales

CONOCIMIENTOS GENERALES DEL PUESTO:

TEMAS

Base de datos,
Redes y cableado estructurado
Administración de sistemas operativo
Conocimiento de procesos, procedimientos, flujos
Mapeo de procesos y procedimientos

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

16
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 11/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

CONOCIMIENTOS DE BASE LEGAL

Conocimiento en legislación derecho de autor, manejo de


confidencialidad, uso de licencias
Legislación tributaria
Legislación laboral

RESPONSABILIDADES DEL CARGO

TEMAS

Satisfacción clientes internos y externos


Generación demos clientes finales
Asesorar y recomendar a la alta dirección en las soluciones
tecnológicas

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

17
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 12/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

FUNCIONES GESTOR DE PROYECTOS TI

IDENTIFICACIÓN GENERAL:

Nombre de Cargo: Gestor de proyectos TI


Responsable: Paola Chávez
Proceso (unidad): TI
Administrar recursos tecnológicos para gestionar proyectos
Rol del Cargo: TI mediante PHVA (planificar, hacer, verificar, actuar)
Reporta a: Gerencia ti (Paul Faret)

Reportes de: Analista ti (Boris Andino)

MISIÓN DEL CARGO:

Gestionar proyectos TI para administrar y mantener la infraestructura tecnológica,


brindar soporte a usuarios y clientes mediante de la construcción de un equipo de
trabajo basado en la confianza y el empoderamiento, el mismo que apalanque los
objetivos estratégicos de la compañía.

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

18
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 13/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

FUNCIONES ESENCIALES DEL CARGO

Gestionar y mantener la infraestructura tecnológica y redes


Administrar y monitorear servidores
Gestionar el soporte a aplicaciones internas
Gestionar el soporte a usuarios
Administrar bases de datos de aplicaciones internas
Administrar y controlar accesos a recursos de la red, servicios y servidores
Preparar ambientes de pruebas
Gestionar solicitudes de gerencia sobre investigación tecnológica
Administrar aplicaciones web internas
Aplicar hackeo ético para buscar vulnerabilidad de los sistemas y controlar
accesos
Gestionar proyectos para el manejo y control de consumo mediante soluciones,
administrador de dispositivos histórico de consumos en clientes.
Gestionar el soporte a clientes
Diseño, desarrollo, implementación y mantenimiento de aplicaciones para el
apoyo de centros de copiado
Mantener relaciones con proveedores de servicio de internet, canal de datos y
firewall

COMPETENCIAS REQUERIDAS

Responsabilidad
Honestidad
Liderazgo
Trabajo En Equipo
Comunicación
Empoderamiento
Construcción De Relaciones De Confianza
Confidencialidad De La Información
Manejo De Conflictos
Negociación

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

19
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 14/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

INTERFAZ DEL PUESTO

RELACIONES EXTERNAS RELACIONES INTERNAS


CLIENTES USUARIOS A NIVEL NACIONAL

CONOCIMIENTOS GENERALES DEL PUESTO

Microsoft Exchange
Firewall
Base de datos
Sistemas operativos para servidores y PC’S
Lenguajes de programación
Servidores web
Seguridad de la información
Redes de comunicaciones
Gestión de proyectos
ITIL
Habilidades directivas

RESPONSABILIDADES DEL CARGO

Mantener el correcto funcionamiento de servidores


Mantener el correcto funcionamiento de las conexiones de red
Gestionar el soporte oportuno a usuarios y clientes
Gestionar proyectos para el manejo y control de impresiones en clientes
Monitorear y controlar proyectos y actividades
Construir relaciones de confianza con personal TI
Motivar el desarrollo personal y empoderamiento de TI

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

20
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 15/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

FUNCIONES COORDINADOR DE TI
IDENTIFICACIÓN GENERAL:

Nombre de Cargo: Coordinadora de ti


Responsable del cargo Wilma Quinde
Proceso (unidad): TI
Rol del Cargo: Coordinación e Implementación TI
Reporta a: Gerencia TI (Paul Faret)
Reportes de: Analista TI
MISIÓN DEL CARGO:

Coordinar e implementar software a clientes externos dando soluciones completas


en gestión de información y procesos automáticos que pueden o no estar
integrados a los equipos RICOH.

FUNCIONES ESENCIALES DEL CARGO:

Planifica laboratorios con escenarios de SW de PARTNERS y tipos de servicio


(arr, all) de equipos (multifuncionales)
Dirigir, gestionar y dar seguimiento a la implantación del nuevos proyectos de
clientes internos
Mantenimiento preventivo y correctivo a sistema operativo
Brindar apoyo al Área Comercial en los procesos de preventas de sistemas de
Gestión Documental.
Brindar apoyo al Área Comercial en los procesos De digitalización temporal para
documentos históricos
Definir términos, condiciones y alcance de los proyectos de Gestión Documental,
Data Variable
Administración de software de gestión documental clientes externos según contrato
de servicios profesionales
Soporte vía conferencia con clientes externos
Brindar soporte técnico de post venta al Área IT de clientes externos
Planificar con cliente la implementación de Software Gestión documental
adquiridos/ rentados
Asesorar a clientes para la identificación de procesos y/o documentos críticos

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017
\

21
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 16/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

COMPETENCIAS REQUERIDAS

TEMAS

Trabajo a presión
Innovación
Trabajo en equipo
Apertura al cambio
Orientación a resultados
Autocontrol
Orientación de servicio

INTERFAZ DEL PUESTO

RELACIONES EXTERNAS RELACIONES INTERNAS


Área contable, RRHH, técnico, ventas,
Proveedores locales, post venta
Proveedores internacionales
Clientes y usuarios finales

CONOCIMIENTOS GENERALES DEL PUESTO:

TEMAS

Base de datos,
Redes y cableado estructurado
Administración de sistemas operativo Windows
Conocimiento de procesos, procedimientos, flujos
Mapeo de procesos y procedimientos

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

22
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 17/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

CONOCIMIENTOS DE BASE LEGAL

Conocimiento en legislación derecho de autor, manejo de


confidencialidad, uso de licencias
Legislación tributaria
Legislación laboral

RESPONSABILIDADES DEL CARGO


TEMAS
mantener operativo el sistema integrado
Satisfacción clientes internos y externos
Generación demos clientes finales

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

23
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 18/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

FUNCIONES ANALISTA TI

IDENTIFICACIÓN GENERAL:

Nombre de Cargo: Analista TI


Responsabilidad: Boris Andino
Proceso (unidad): TI
Rol del Cargo: Soporte a Usuarios
Reporta a: Coordinador de TI
Reportes de: Actividades Realizadas

MISIÓN DEL CARGO:

Brindar soporte a usuarios internos y externos.

FUNCIONES DEL CARGO

Realizar mantenimientos físicos en los computadores de la empresa


Realizar mantenimientos lógicos en los computadores de la empresa
Brindar soporte a los usuarios en software
Revisar cableado estructurado de la empresa
Realizar reportes de históricos de consumos
Realizar instalaciones de software en clientes
Revisar manejo de base de datos
Revisión de perfiles de usuarios en active director
Brindar soporte de ofimática en usuarios internos
Brindar soporte a usuario externo de software instalado

COMPETENCIAS REQUERIDAS

Responsabilidad
Trabajo en equipo
Comunicación
Confidencialidad de la información

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

24
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 19/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

INTERFAZ DEL PUESTO

RELACIONES EXTERNAS RELACIONES INTERNAS


Instalación de Software requerido Instalación de Software requerido
en Clientes por el usuario

CONOCIMIENTOS GENERALES DEL PUESTO:

Mantenimiento de computadores
Manejo de herramientas de ofimática
Manejo de la herramienta Excel
Sistemas Operativos
Manejo de Base de Datos
Software

CONOCIMIENTOS GENERALES DEL PUESTO:

Mantenimiento de computadores
Manejo de herramientas de ofimática
Manejo de la herramienta EXCEL
Sistemas operativos
Manejo de base de datos

RESPONSABILIDADES DEL CARGO

Función correcto de los computadores


Función correcto de la red
Entrega de reportes de consumos
Brindar soporte a usuarios internos
Brindar soporte a usuarios externos

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

25
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 20/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

INVENTARIO DE HARDWARE
PORTÁTILES

SISTEMA
No. MARCA MODELO DESCRIPCIÓN
OPERATIVO
Windows 10
1 TOSHIBA Tecra A50 -C-16L Intel Core i5 2.3 Ghz, HD 500 GB
(64 bits)
Satellite C55D - C- Windows 10
2 TOSHIBA Intel Core i3 1.5 GHz Dual- Core
166 (64 bits)
Intel Celeron N3050 1.6 GHz Windows 10
3 HP Stream 11
Dual-Core, 2MB Cache (64 bits)
Intel N3060 Dual-Core 2.48 GHz Windows 8
4 HP HP 240 G6
500 GB. (64 bits)
Windows 8
5 HP HP 15 Touch Intel core i3 -6100u 2.3 GHz
(64 bits)
Windows 8
6 HP 15H007A Intel Core i7-7500U 3.5 GHz
(64 bits)
Windows 10
7 HP 1001440LA Intel Core i5 2.4 GHz Dual Core
(64 bits)

HP-
Windows 10
8 HP 455VE11205X500LX Intel Core i3 1.5 GHz Dual- Core
(64 bits)
CO4L4

INSPIRON I5567 - Windows 10


9 DELL Intel Core i7-7500U 3.5 GHz
7291 gry 17 (64 bits)

Windows 10
10 GATEWAY P-172FX Intel Core 2 Duo T8300
(64 bits)

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

26
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 21/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

COMPUTADORAS DE ESCRITORIO

SISTEMA
No. MARCA MODELO DESCRIPCIÓN
OPERATIVO
INTEL DUAL CORE G4400 3.3
GHZ 1151 6ta GEN, disco duro
COMPUTADOR 500 GB HITACHI SATA MB
SAMSUNG Windows 8
1 A DE GIGABYTE H110M-H LGA 1151
CASE (64 bits)
ESCRITORIO MEMORIA DDR4 4GB
KINGBSTON PC 2133, mouse
óptico, teclado.

Dimensión de 1500 x 1200, INTEL


COMPUTADOR CORE I5, software MS, Windows
Windows 8
2 HP A DE 8, Lector de tarjetas, grabadoras de
(64 bits)
ESCRITORIO DVD, mouse optico, teclado
multimedia.

DELL 0902SFi5S81TW7P3W
EQUIPO DE
Procesador Intel Core i5, cache de Windows 8
3 DELL ESCRITORIO
6MB, RAM 8 GB Disco duro 1Tb (64 bits)
COMPLETO
Monitor 18.5, DVD/RW

EQUIPO DE INTEL CORE I5-7400-3.5 GHz -


Windows 8
4 HP ESCRITORIO 6MB - 4 Núcleo - DDr4 - 2133-
(64 bits)
COMPLETO 2400, DDR3L- 1333/1600

PROYECTOR
No. MARCA SERIE DESCRIPCIÓN CARACTERÍSTICAS
Wifi opcional, se puede colocar a
72cm de la pantalla para obtener
una imagen de 178 cm y alta
1 EPSON EB - 420 PROYECTOR calidad. Equipado con tecnología
3LCD, emisión de luz blanca y en
color de hasta 25 lúmenes,
proyección de imágenes nítidas.
Tecnología 3LCD Panel LCD 0.55
Pulgadas con MLA Salida
luminosa, modo económico 2400
100-240V-
2 EPSON PROYECTOR lúmenes, Salida de imagen en
50/60HZ
blanco/negro y a color de 3000
lúmenes, contraste 3000:1 horas
de lámpara.
Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017
Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

27
ECUACOPIA CIA. LTDA.
AUDITORIA DE INFORMÁTICA 1/1
Del 01 de enero al 31 de diciembre 2016
PLAN DE AUDITORIA

SERVIDOR IBM XSERIES SYSTEM X3650 - ESPECIFICACIONES

Hasta 2 procesadores Intel Xeon de la serie


Procesador (máx.)
E5645/2,4 GHz
Memoria caché (máx.) 12 megabytes (MB) por procesador
Módulos RDIMM (Módulo de memoria en línea
dual registrado) DDR-3 (Doble velocidad de
transmisión de datos) de 192 GB a través de 18
Memoria
ranuras Memoria doble en línea Modulo (DIMM)
o UDIMM (No registrado DIMM) DDR-3 de 48
GB a través de 12 ranuras DIMM
Ranuras de expansión Cuatro
Puertos USB 2 delante /4 detrás/2 interior
Almacenamiento interno máximo Hasta 16,0 TB (SAS/SATA hot-swap)
Dos puertos integrados, además de dos puertos
Interfaz de red
opcionales Gigabit Ethernet (GbE)
Componentes hot-swap Fuentes de alimentación, módulos de ventilación y
unidades de disco duro
Fuente de alimentación 1/2 fuentes de alimentación redundantes
IBM IMM2 con presencia remota FoD opcional,
PFA, diodos emisores de luz (LED) de diagnóstico,
Gestión de sistemas panel de luz, Diagnóstico de ruta , Reinicio
automático del servidor IBM Director de Sistemas
Gerente de energía activa.
Microsoft® Windows® Server, Red Hat Enterprise
Sistemas operativos compatibles
Linux®, SUSE Linux Enterprise Server

Elaborado por: AUDITED S.A. Fecha Inicio: 25/Octubre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25 /Octubre/2017

28
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 22/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

SERVIDOR
DESCRIPCI SISTEMA
No. MARCA SERIE MODELO ÓN CARACTERÍSTICAS OPERATIVO
Procesador 1 Intel Xeon
E5645 / 2.4 GHz (2.67
Este servidor se
GHz), Soporte de
homologa para
procesador: soporta hasta
XSERIES Windows Server
KQDG 2 procesadores, Memoria
1 IBM SYSTEM SERVIDOR 2008 con
RBT RAM/ Expansión 4 GB
X3650 hardware de
(instalados) / 192 GB
marca de
(Max) - DDR3 SDRAM-
fabricante.
ECC 1333 MHz - PC3 -
10600
IMPRESORAS
No MARCA SERIE DESCRIPCIÓN CARACTERÍSTICAS

Microtropiezo punto variable, impresión


a 4 colores (CMYK) RESOLUCIÓN
HASTA 5760 x 1440 dpi de resolución,
1 EPSON LX 300 IMPRESORA
número e inyectores monocromática 180
boquillas, área e impresión máxima 21.6
cm (8.5") (ancho) x 111 cm (44") (largo)

Tipo de impresión blanco/negro y a


color, tecnología de impresión láser,
OFFICE JET IMPRESORAS
2 HP número de páginas hasta 1200, copias a
4656 MULTIFUNCIÓN
doble cara. FUNCIONES: impresión,
copia, escáner, fax.

Impresora multifuncional de tinta con


impresora, copiadora, compatible con
3 CANON E471 MODELO 2017
sistemas operativos Apple Mac OS X
10.5.8 Windows vista XP profesional

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

29
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 23/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

COPIADORAS
No MARCA SERIE DESCRIPCIÓN CARACTERÍSTICAS

20 impresiones por minuto, papel


tamaño A4, Función de scanner a
color, impresora local y de Red, saca
COPIADORA 99 copias de un mismo original, el
MP 201
1 RICOH REMANOFACTUR tóner saca 6.000 copias, aplica al 400%
SPF
ADA y reduce el 25%, saca copias de lado y
lado, bandeja automática, volumen de
copiado 15.000 impresiones
mensuales.

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

30
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 24/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

TELÉFONOS
No MARCA MODELO # DESCRIPCIÓN
INALÁMBRICO
LCD de 1.6 en color ámbar, teclado
iluminado, mejoría de alcance del
1 PANASONIC CONTE TCG 360 2 radio debido a la fabricación con 2
antenas, altavoz, identificador de
llamadas, Modo silencio, directorio
telefónico, sistema de contestadora
INALÁMBRICO
Funciona con los conmutadores
CloudCall, tienen dos puertos de
red una va al router y el otro a la
2 PANASONIC T19 2
computadora, calidad de sonido,
volumen de altavoz, indicador de
correo electrónico, historial de
llamadas
INALÁMBRICO
Tecnología 2,4 GHz, llamada en
espera, indicador luminoso y alerta
3 PANASONIC KX-TG2420B 2
de mensajes, altavoz, teclado
luminoso, montable en la pared,
más de 60mts de alcance.
INALÁMBRICO
Terminal pre-registrado con la
estación base, pantalla gráfica
iluminada, eco plus sin radiaciones,
4 SIEMENS GIGASET A 120 1
lista de llamadas con 25 entradas,
remarcación de los últimos 10
números, indicación de la fecha,
identificación de autor de llamadas.

EJECUTIVO
Compatible con el conmutador KX-
5 PANASONIC KX-DT521 2
NS500, altavoz y cascos full
dúplex, LCD gráfico de una línea.

EJECUTIVO
CloudCall, dos puertos, directorio
CLOUD
6 T19 3 telefónico, historial de llamadas o
CALL
transferencias, realiza llamadas
confidenciales, altavoz.

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

31
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 25/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

SUMADORA
No MARCA INV MODELO DESCRIPCIÓN
Sumadora
conversión métrica,
1 CASIO 2 Dr-120 TM
funcionamiento
corriente
CALCULADORAS
No MARCA INV MODELO DESCRIPCIÓN

1 CANON 12 LS-100TS Básica de escritorio

PANTALLA DE PROYECTOR
No MARCA INV MODELO DESCRIPCIÓN
pantalla para
1 LOCH 1 MS84SR proyectar 1,80 metros
de ancho
USB
No MARCA INV MODELO DESCRIPCIÓN

1 KINGSTON 5 DT108 8GB

DATA
1 KINGSTON 8 16 GB
TRAVELER

DISPENSADOR DE AGUA
No MARCA INV MODELO DESCRIPCIÓN

Agua fría y caliente,


1 WHIRLPOOL 1 WK5053Q capacidad de 11 y 19
litros

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

32
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 26/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

SOFTWARE UTILIZADO POR LA EMPRESA


Sistema operativo Windows 8 y Windows 10

La empresa cuenta con licencia actualizada de Windows 8 y Windows 10 en las


portátiles y computadora de escritorio.

CORREO DOMINIO
La empresa ECUACOPIA CIA. LTDA., cuenta con un dominio que es privado
www.ecuacopia.com, cuenta con una plataforma web y perfil institucional.

FIREWALL SOPHOS
La infraestructura de seguridad cuenta con firewall Sophos para monitorear el
tráfico de internet y correo electrónico con vigencia hasta junio del 2018.

ANTIVIRUS
La empresa cuenta con 14 portátiles y computadora de escritorio cuentan con
licencia de antivirus marca Kaspersky Anti-Virus actualizada y con vigencia hasta
junio del 2018.

PAC –ERP
Este sistema administrativo contable financiero más fuerte, completo y confiable
desarrollado en el Ecuador. A precio nacional, un sistema de nivel internacional.

Especificaciones técnicas
El sistema PAC está desarrollado en PHP, JavaScript y HTML bajo una
arquitectura Cliente – Servidor que permite la conexión a cualquier base de datos.

SLA
Service Level Agreement (SLA) es un contrato que describe el nivel de servicio
que un cliente espera de su proveedor.

Denarius: Proveedor de módulo de Facturación Electrónico, compañía relacionada


con el GRUPO ECUACOPIA.

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

33
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 27/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

MySQL Server
 El gestor de bases de datos

Provedatos: Proveedor del ERP PAC, desarrollado en PHP, Javascript y HTML bajo
una arquitectura Cliente – Servidor que permite la conexión a cualquier base de datos
(MySQL, ORACLE, MYSQL Server)

- Provedatos es la empresa encargada de la administración del ERP.


- Cuenta con cláusulas de confidencialidad de la información privada de la
empresa
- Proporciona capacitación a quienes hagan del ERP.
- Horario de soporte 24 horas
- Encargado de dar soporte y mantenimiento al ERP,
- Cuenta con las fuentes para realizar cambios

Telconet: Proveedor de enlace de datos e internet.


Contrato de servicios
- Telconet es la empresa encargada de la administración de la red
- Cuenta con cláusulas de confidencialidad: Topología de la red, ancho de
banda, protocolo, servicios, políticas.
- Es necesario que se notifique con 48 horas de anticipación al proveedor para
cualquier actividad preventiva, mantenimiento a los equipos, herramientas
de administración o monitoreo que se vaya a realizar internamente en la
empresa.
- Telconet se encarga de problemas en la red, cuando el departamento de TI
de la empresa no puede resolver el problema de la misma.
- El tiempo de movilización de Telconet es de 1 a 4 horas para el respectivo
mantenimiento.
- El horario de soporte de Telconet es de 7x24x365.
- Telconet provee a la empresa de banda ancha con una línea de compartición
1 a 1.
- Cualquier otro servicio que no se encuentre estipulado dentro del contrato
será cobrado adicionalmente.
- La empresa tiene que cumplir con exigencias de infraestructura solicitados
por Telconet (1.4.2 SLA)

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

34
ECUACOPIA CIA. LTDA.
AUDITORIA DE INFORMÁTICA 1/1
Del 01 de enero al 31 de diciembre 2016
PLAN DE AUDITORIA

Celco: Mantenimiento de UPS para el servidor

TIPOS DE REDES

VPN
(Virtual Private Network) es una tecnología de red que se utiliza para conectar una o
más computadoras a una red privada utilizando Internet. Las empresas suelen utilizar
una VPN para que sus empleados desde sus lugares alejados a la empresa, puedan
acceder a recursos corporativos que, de otro modo, no podrían.

Red LAN
La red LAN abarca el área del edificio de ECUACOPIA CIA. LTDA. Como
protección cuenta con firewall.

ESQUEMA GENÉRICO

CANALIZACIÓN DE CABLEADO

Todo el recorrido de cables, desde su salida hasta la toma final está distribuido mediante
canaletas de tal forma que ningún cable se encontró suelto.
La distribución del cableado está distribuido por canaletas adheridas al techo y paredes
para cada área de trabajo. Cuenta con ventilación apropiada.

Elaborado por: AUDITED S.A. Fecha Inicio: 25/Octubre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25 /Octubre/2017

35
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 28/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

APLICACIÓN PRINCIPIO 4: HACER POSIBLE UN ENFOQUE HOLÍSTICO


CATALIZADOR 2: PROCESOS

ECUACOPIA CIA. LTDA.

DESCRIPCIÓN DE MAPA DE PROCESOS

PROCESOS SUBPROCESOS DESCRIPCIÓN


Asegurar y potenciar el desarrollo de
la comercialización de equipos

Planificación Estratégica tecnológicos y a su correcto


funcionamiento brindando soporte
técnico a nuestros clientes.
Establecer un plan de acción para
PROCESOS
ESTRATÉGICOS contribuir a la mejora de los procesos
de toma de decisiones y establecer una

Gestión y Desarrollo base de gestión de calidad para la


mejora continua, aplicando la
eficiencia y eficacia en el desarrollo de
la dirección y gestión empresarial.

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

36
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 29/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

ECUACOPIA CIA. LTDA.

DESCRIPCIÓN DE MAPA DE PROCESOS


PROCESOS SUBPROCESOS DESCRIPCIÓN

Garantizar la satisfacción del cliente y la


participación de ECUACOPIA CIA. LTDA., en el
Gestión de Comercialización mercado desarrollando un sistema adecuado de
calidad de productos y servicios que brinda la
organización.

Garantizar y controlar, el buen funcionamiento de los


equipos de nuestros clientes brindando la reparación,
Gestión de Soporte
PROCESOS mantenimiento, servicio oportuno y dando soluciones
OPERATIVOS justo a tiempo.

Asegurar las técnicas para promover los productos y


servicios ofertados por la empresa, realizando un
Gestión de Venta análisis de canales de distribución, que permita a la
empresa mejorar sus rendimientos económicos,
incremento de ventas y la satisfacción al cliente.

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

37
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 30/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

Gestión de Administración Garantiza que los programas, metas, objetivos se realicen en


las mejores condiciones posible de manera oportuna,
eficiente, eficaz, para el cumplimiento de los
procedimientos, aplicación de estrategias, apoyando a la
invocación en nuestros productos y servicios ofertados.

Gestión Talento Humano Atraer motivar y retener a los empleados para explotar sus
habilidades y adquirir su capacidad, garantizando el
cumplimientos de las actividades y procesos de trabajo
encomendadas según sus perfiles, roles y funciones.
Gestión Contable y Procesar, controlar, asegurar y garantizar la información,
financiera
con la correcta aplicación de leyes, reglamentos y políticas
PROCESOS DE APOYO

económicas y financieras del país, determinando una


información fiable y oportuna. Para las evaluaciones de los
ingresos y gastos (rentabilidad y liquidez) en relación a
nuestra actividad y giro de negocio.
Gestión y logística Optimizar el uso de los recursos de la empresa, tomando en
cuenta su rendimiento e integración, mejorando el nivel de
calidad de los productos y servicios con nuestros clientes y
proveedores, buscando la eficiencia de las áreas productivas
que generan valor agregado a la empresa.
Informática TIC’S Controlar el uso de las Tecnologías de Información y la
Comunicación en la empresa, aplicando estrategias, para
resguardar la información y cumplir con un buen
funcionamiento de los sistemas informáticos utilizados,
garantizar la integridad y privacidad de la información, de
las redes instaladas, de la documentación y controlar el
accesos de los usuarios al sistema.

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

38
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 31/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

MAPA DE PROCESOS

Planificación Estratégica Desarrollo y Gestión

Gestión Gestión de Ventas


comercialización Nacionales
Internacionales

Gestión Gestión
Gestión de Gestión y Informática
Talento contable y
Administración logística (TI)
Humano financiera

Fuente: Mapa de procesos ECUACOPIA CIA. LTDA.


Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017
Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

39
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 32/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

PROCESOS DE LA EMPRESA
PROCESOS ESTRATÉGICOS
Planificación Estratégica
- Análisis y programa de desarrollo institucional.
Gestión y Desarrollo
- Definición de los objetivos, metas, estrategias institucionales.

PROCESOS OPERATIVOS

Gestión de Comercialización
- Compra y adquisiciones.
- Requerimiento de cotizaciones a proveedores.

Gestión de Soporte Técnico


- Mantenimientos usuarios externos.
- Instalaciones usuarias externos.

Gestión de Venta
- Requerimiento de cotizaciones a Clientes.
- Emisión de facturas.

PROCESOS DE APOYO

Gestión de Administración
- Presupuesto.
- Planes, programas y proyectos.

Gestión de Talento
- Selección y contratación de personal.
- Capacitación de personal.

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

40
ECUACOPIA CIA. LTDA. PA
AUDITORIA INFORMÁTICA 33/33
Al 28 de diciembre del 2017
PLAN DE AUDITORÍA

Gestión Contable y financiera


- Registro de información contable y financiera.
- Liquidación de gastos.
- Liquidación de impuestos.
- Declaración y presentación de la información financiera
- Control de cartera.

Gestión y logística
- Publicidad.

Informática TIC’S
- Plan de contingencia para pérdida de información.
- Requerimiento de hardware
- Soporte de usuarios internos.
- Protección de información con firewall cortafuegos para software.
- Creación de cuentas y claves de usuario
- Monitoreo de redes.
- Mantenimiento de Equipos informáticos
- Respaldos de información

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25/Noviembre/2017

41
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

PROCESOS RELACIONADOS CON TI

MACROPROCESOS No PROCESOS RELACIONADOS CON TI


FINANCIERO 1 Requerimiento de cotizaciones a proveedores.
CLIENTE 2 Mantenimiento usuarios externos.
CLIENTE 3 Requerimiento de cotizaciones a Clientes.
FINANCIERO 4 Emisión de facturas.
FINANCIERO 5 Registro de información contable y financiera.
FINANCIERO 6 Declaración y presentación de la información financiera
FINANCIERO 7 Control de cartera.
Plan de contingencia para siniestro o pérdida de
INTERNO TI 8
información.
INTERNO TI 9 Requerimiento de hardware
INTERNO TI 10 Soporte de usuarios internos.
INTERNO TI Protección de información con firewall cortafuegos para
11
software.
INTERNO TI 12 Creación de cuentas y claves de usuario
INTERNO TI 13 Monitoreo de redes
INTERNO TI 14 Mantenimiento de Equipos informáticos
INTERNO TI Respaldo y almacenamiento de la información extraída en
15
dispositivos.

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

42
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
CUESTIONARIO GENERAL ECUACOPIA CIA. LTDA.
Esta encuesta está dirigida a clientes internos de la empresa ECUACOPIA CIA. LTDA. La misma tiene la finalidad de
determinar el servicio, agilidad y cumplimiento del departamento de TI, con la cual levantaremos información del nivel de
riesgos y seguridad de la información.
1. ¿Conoce usted si cuenta la empresa con un Plan de Desarrollo Estratégico?
Si (___)
No (___)
2. ¿Conoce usted si el departamento de TI cuenta con Plan Estratégico de Tecnologías de Información?
Si (___)
No (___)
3. ¿Conoce usted si el departamento de TI cuenta con un inventario de hardware y de software?
Si (___)
No (___)
4. ¿Ha tenido usted algún problema con el funcionamiento del sistema?
Si (___)
No (___)
5. ¿Ha solicitado soporte con en algún momento en el sistema, relacionado con virus, encriptación de información u
otros?
Si (___)
No (___)
6. ¿Conoce usted si en su equipo cuenta con licencias vigentes?
Si (___)
No (___)
7. ¿Se realizan mantenimientos periódicos a sus equipos?
Si (___)
No (___)
8. ¿Se realiza mantenimiento al servidor externos en los cual se generar back-up?
Si (___)
No (___)
9. ¿Se realiza respaldos de la información en su departamento frecuentemente?
Si (___)
No (___)
10. ¿Cuenta con acceso a la información por medio de un usuario y contraseña como medida de seguridad?
Si (___)
No (___)
11. ¿Existe el tratamiento adecuado ante los posibles daños de la red LAN de la empresa?
Si (___)
No (___)
12. ¿Se cumple con el procedimiento y políticas de adquisición de activos destinados al área de TI?
Si (___)
No (___)
13. ¿El soporte técnico proporciona las soluciones inmediatas para resolver problemas en el sistema o en equipos?
Si (___)
No (___)
14. ¿Conoce usted si la empresa cuanta con algún plan de contingencia en caso de siniestro o incidentes relacionado
con la información?
Si (___)
No (___)
Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017
Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 20/Diciembre/2017

43
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

RESULTADOS OBTENIDOS DE ENCUESTA GENERAL


(9 Clientes internos casa matriz ECUACOPIA CIA. LTDA.)
1. ¿Conoce usted si cuenta la empresa con un Plan de Desarrollo Estratégico?

Interpretación de la pregunta 1.- De los 9 clientes encuestados 8 clientes (88,9%) conocen del plan de desarrollo
estratégico de la empresa y solo 1 de sus clientes (11,1%) desconoce del mismo.

2. ¿Conoce usted si el departamento de TI cuenta con Plan Estratégico de Tecnologías de Información?

Interpretación de la pregunta 2.- De los 9 clientes encuestados 4 clientes (44,4%) conocen del plan estratégico de
tecnologías de información la empresa y 5 de sus clientes (55,6%) desconoce del mismo.

3. ¿Conoce usted si el departamento de TI cuenta con un inventario de hardware y de software?

Interpretación de la pregunta 3.- De los 9 clientes encuestados 8 clientes (88,9%) conocen que el departamento de
TI cuenta con un inventario de hardware y software, y 1 de sus clientes (11,1%) desconoce de ese inventario

Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 20/Diciembre/2017

44
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
4. ¿Ha tenido usted algún problema con el funcionamiento del sistema?

Interpretación de la pregunta 4.- De los 9 clientes encuestados 8 clientes (88,9%) han tenido problemas con el
funcionamiento del sistema, y 1 de sus clientes (11,1%) no ha tenido ningún problema.
5. ¿Ha solicitado soporte con en algún momento en el sistema, relacionado con virus, encriptación de
información u otros?

Interpretación de la pregunta 5.- De los 9 clientes encuestados 8 clientes (88,9%) no han tenido problemas con
virus, encriptación u otro problema técnico, y 1 de sus clientes (11,1%) si ha tenido un problema de encriptación.
6. ¿Conoce usted si en su equipo cuenta con licencias vigentes?

Interpretación de la pregunta 5.- De los 9 clientes encuestados 9 clientes (100%) cuentan con licencias vigentes y
originales en sus equipos de trabajo (pc’s).

Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 20/Diciembre/2017

45
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
7. ¿Se realizan mantenimientos periódicos a sus equipos?

Interpretación de la pregunta 7.- De los 9 clientes encuestados 2 clientes (22.2%) si han recibido
mantenimiento de sus equipos y 7 clientes (77.8%) no han recibido mantenimiento de su equipo.
8. ¿Se realiza mantenimiento al servidor externo en los cual se genera back-up?

Interpretación de la pregunta 8.- De los 9 clientes encuestados 3 clientes (33.3%) considero que se ha
generado un mantenimiento al servidor oportunamente y 6 (66.7%) no considera que se ha generado
un mantenimiento oportuno.
9. ¿Se realiza respaldos de la información en su departamento frecuentemente?

Interpretación de la pregunta 9.- De los 9 clientes encuestados 2 clientes (22.2%) considera que si realizan
respaldos de la información frecuentemente y 7 de sus clientes (77.8%) considera que no se ha generado
respaldos frecuentemente.

Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 20/Diciembre/2017

46
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
10. ¿Cuenta con acceso a la información por medio de un usuario y contraseña como medida de seguridad?

Interpretación de la pregunta 10.- De los 9 clientes encuestados 7 clientes (77.8%) si cuenta con un usuario
y contraseña como medida de seguridad para acceder al sistema y 2 de sus clientes (22.2%) no cuenta con
su usuario, ni clave.
11. ¿Existe el tratamiento adecuado ante los posibles daños de la red LAN de la empresa?

Interpretación de la pregunta 11.- De los 9 clientes encuestados 2 clientes (22.2%) considera que si existe
un tratamiento adecuado para daños de su red local (LAN) y 7 de sus clientes (77.8%) no considera que
exista un tratamiento adecuado de la red.
12. ¿Se cumple con el procedimiento y políticas de adquisición de activos destinados al área de TI?

Interpretación de la pregunta 12.- De los 9 clientes encuestados 6 clientes (66.7%) si considera que si
cumple con procedimientos y políticas de adquisición y 3 de sus clientes (33%) considera que no cumple
con sus procedimientos y políticas.
Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017
Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 20/Diciembre/2017

47
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

13. ¿El soporte técnico proporciona las soluciones inmediatas para resolver problemas en el sistema o en
equipos?

Interpretación de la pregunta 13.- De los 9 clientes encuestados 6 clientes (66.7%) considera que no ha
tenido soporte inmediato para resolver sus problemas en el sistema o equipo y 3 de sus clientes
(33.3%) considera que si han tenido soporte inmediato.

14. ¿Conoce usted si la empresa cuanta con algún plan de contingencia en caso de siniestro o
incidentes relacionado con la información?

Interpretación de la pregunta 14.- De los 9 clientes encuestados 7 clientes (77.8%) no conoce del plan
de contingencia de TI en caso de siniestro o perdida de la información y 2 de sus clientes (22.2%) si
conoce del plan de contingencia de TI.

Elaborado por: AUDITED S.A. Fecha Inicio: 26/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 20/Diciembre/2017

48
49
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
CUESTIONARIO DE CONTROL DE RIESGO
RESPUESTA POND.
No ACTIVIDAD OBSERVACIONES
SI NO N/A C CT
¿Existe políticas para el uso de
1 X 9 10
claves de sistema?
La empresa cuenta con
2 X 8 10
planificación estratégica?
¿Se encuentran establecidas las
3 actividades, objetivos, metas y X 9 10
estrategias institucionales?
¿La empresa cuenta con políticas de
4 X 9 10
compra y adquisición?
¿Existe una política para
5 requerimiento de cotizaciones a X 7 10
proveedores y clientes?
¿Se realizan periódicamente No se realiza el
6 mantenimiento y soporte a los X 6 10 mantenimiento de acuerdo
usuarios de la empresa? al cronograma
¿Los clientes externos se sienten
7 X 8 10
satisfechos con las instalaciones?
Es sistema se demora en
¿Las facturas a los clientes son
realizar el reporte de las
8 emitidas en el momento de la X 6 10
facturas, debido a que son
compra?
facturas electrónicas
¿Se realiza una estimación de
9 X 9 10
presupuesto anual?
¿Los gastos incurridos en
10 proyectos, planes y programas son X 8 10
controlados y supervisados?
La empresa no cuenta con el
¿El departamento de talento
sistema pero cuenta con una
11 humano cuenta con una aplicación X 6 10
persona especializada para
para selección?
la contratación del personal
¿Se programan capacitaciones Las capacitaciones se
12 X 6 10
habituales para el personal? realizan 2 veces al año más.
¿Existen responsables para el uso
13 de archivos y base de datos respecto X 9 10
al sistema?
¿Han existido problemas dentro del El sistema se colapsa
14 módulo contable en el registro de X 6 10 cuando existen muchos
información? ingresos de información.
¿La liquidación de gastos, cuenta
15 con respaldo de documentos X 9 10
electrónicos legales?

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

50
ECUACOPIA CIA. LTDA. Pro
AUDITORIA INFORMÁTICA gA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
¿El software que utilizan cuenta
16 con un modelo de impuestos y X 9 10
declaraciones?
¿Se lleva periódicamente un
17 X 8 10
monitoreo de la cartera?
¿La empresa cuenta con un
18 X 8 10
software para realizar publicidad
¿El departamento de TI cuenta
19 con procedimientos X 9 10
informáticos?
¿Se realizan informes de
adquisiciones con las Se emiten los informes pero no son
20 características de los X 6 10 elaborados con todas las características
requerimientos de hardware necesarias para requeridos por TI
(infraestructura)?
¿Se ha implementado un La empresa si cuenta con antivirus pero
21 software antivirus y se realiza su X 7 10 no se le realiza las actualizaciones en
mantenimiento? los tiempos requeridos
¿El departamento de TI se realiza El departamento de TI no realiza
pruebas de verificación cuando directamente la verificación lo hace
22 X 6
se hacen soporte técnicos a los mediante vía telefónica con la persona
usuarios? perjudicada
¿Se tiene confidencialidad con No en lo absoluto debido que el gerente
23 X 5 10
las claves de los usuarios? general sabe algunas claves.
¿El departamento de TI recibe
24 notificaciones para la creación de X 8
usuarios y claves nuevas?
Si realizamos monitoreo de redes, pero
25 ¿Se realiza monitoreo de redes? X 7 10
no de forma periódica.
¿TI tiene acceso a todos los
26 módulos del software de la X 9 10
empresa?
¿La empresa cuenta con
27 respaldos de información X 9 10
externa?
La empresa cuenta con seguro
¿Cuentan con un plan de
empresarial pero TI no cuenta con plan
28 contingencia para algún siniestro X 6 10
de contingencia para siniestros
o pérdida de información?
relacionado con la información.
¿Se delegó responsables para
29 controlar el uso de información X 8 10
compartida?
La empresa si realiza los
¿Se realizan periódicamente el
mantenimiento a los equipos
30 manteniendo a los equipos X 7 10
informáticos, pero no tienen un
informáticos?
cronograma detallado.
SUMA 224 280

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

51
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

MATRIZ DE RIESGO
Valor
Aparición Gravedad Nivel de
MACROPROCESOS No PROCESOS del Optimo Porcentaje
probabilidad (Impacto) Riesgo
Riesgo
PROCESOS 1 Análisis y programa de desarrollo institucional. 3 1 3 25 12% MUY BAJO
ESTRATÉGICOS 2 Definición de los objetivos, metas, estrategias institucionales. 3 3 9 25 36% BAJO
3 Compra y adquisiciones. 3 1 3 25 12% MUY BAJO
4 Requerimiento de cotizaciones a proveedores. 3 2 6 25 24% BAJO
PROCESOS 5 Mantenimiento usuarios externos. 5 3 15 25 60% MODERADO
OPERATIVOS 6 Instalaciones usuarios externos. 4 2 8 25 32% BAJO
7 Requerimiento de cotizaciones a Clientes. 3 2 6 25 24% BAJO
8 Emisión de facturas. 3 4 12 25 48% MEDIO
9 Presupuesto. 4 3 12 25 48% MEDIO
10 Planes, programas y proyectos. 3 2 6 25 24% BAJO
11 Selección y contratación de personal. 3 3 9 25 36% BAJO
12 Capacitación de personal. 3 4 12 25 48% MEDIO
13 Registro de información contable y financiera. 5 1 5 25 20% BAJO
14 Liquidación de gastos. 5 2 10 25 40% MEDIO
15 Liquidación de impuestos. 5 3 15 26 58% MODERADO
16 Declaración y presentación de la información financiera 4 3 12 25 48% MEDIO
PROCESOS DE 17 Control de cartera. 4 2 8 25 32% BAJO
APOYO 18 Publicidad. 3 1 3 25 12% MUY BAJO
19 Plan de contingencia para siniestro o pérdida de información. 5 5 25 25 100% ALTO
20 Requerimiento de hardware 5 4 20 25 80% ALTO
21 Protección de información con firewall cortafuegos para software. 4 5 20 25 80% ALTO
22 Soporte de usuarios internos. 4 5 20 25 80% ALTO
23 Creación de cuentas y claves de usuario 4 5 20 25 80% ALTO
24 Monitoreo de redes 4 4 16 25 64% ALTO
25 Mantenimiento de Equipos informáticos 4 4 16 25 64% ALTO
26 Respaldo y almacenamiento de la información extraída en dispositivos. 4 4 16 25 64% ALTO
Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017
Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

52
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

LEYENDA
GRAVEDAD (IMPACTO)
MUY BAJO 1 BAJO 2 MEDIO 3 MODERADO 4 ALTO 5
(probabilidad)

MUY BAJO 5 5 10 15 20 25
APARICIÓN

BAJO 4 4 8 12 16 20
MEDIO 3 3 6 9 12 15
MODERADO 2 2 4 6 8 10
ALTO 1 1 2 3 4 5
PROBABILIDAD 1%-20% 21%-40% 41%-60% 61%- 80% 81%-100%

SCORE DE RIESGO
MUY BAJO 1 0-3
BAJO 2 4-9
MEDIO 3 10 - 12
MODERADO 4 13 - 15
ALTO 5 16 - 25

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

53
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

SCORE DE RIESGO
GRAVEDAD (IMPACTO)
MUY BAJO 1 BAJO 2 MEDIO 3 MODERADO 4 ALTO 5
20. Requerimiento de 19. Plan de contingencia para
hardware. siniestro o pérdida de
ALTA 5 26. Respaldos de información. información.

21. Protección de información


APARICIÓN (probabilidad)

con firewall cortafuegos.


24. Monitoreo de redes.
22. Soporte de usuarios
25. Mantenimiento de Equipos
internos.
informáticos
23. Creación de cuentas y
claves de usuario.
MODERADO 4

MEDIA 3
BAJA 2
MUY BAJA 1
PROBABILIDAD 1%-20% 21%-40% 41%-60% 61%- 80% 81%-100%

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

54
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

MATRIZ DE CONTROL INTERNO: ANEXO 1 (Anexo los cuestionarios por procesos)


ECUACOPIA CIA LTDA.

AUDITORÍA DE S IS TEMAS INFORMÁTICOS


PERÍODO: octubre - febrero
MATRÍZ DE CONTROL INTERNO
RELACIÓN ENTRE ÁREA/PROCESO Y NORM AS/PRINCIPIOS A VERIFICAR
NORMAS Y PRINCIPIOS A VERIFICAR
1 2 3 4 5 6 7 8 9 10 11 12

LEY DE SUPERINTENDENCIA

LEY DE SEGURIDAD SOCIAL


NORMAS INTERNAS DE LA

PRINCIPIOS Y NORMAS DE

GESTIÓN DE LA CALIDAD

ISO 18000 SEGURIDAD


CODIGO DE TRABAJO

ISO 27000 GESTIÓN DE


ORGANIZACIONAL

SEGURIDAD DE LA
ISO 9001 NORMA DE
PROCEDIMIENTOS
POLITICA

DE COMPAÑIAS

INFORMACIÓN
MANUAL DE

SEGURIDAD
POLITICA

EMPRESA

NIC- NIIF

FISICA
LORTI

(IESS)
PROCES OS

Análisis y programa de desarrollo


1 1,1 1,2
institucional.

Definición de los objetivos, metas,


2 2,1 2,2 2,3
estrategias institucionales.

3 Compra y adquisiciones. 3,1 3,2 3,3 3,5


Requerimiento de cotizaciones a
4 4,1 4,2 4,3
proveedores.
5 M antenimiento usuarios externos. 5,1 5,2 5,3 5,9 5,10 5,12
6 Instalaciones usuarios externos. 6,1 6,2 6,3 6,9 6,10 6,1
Requerimiento de cotizaciones a
7 7,1 7,2 7,3
Clientes.
8 Emisión de facturas. 8,1 8,2 8,3 8,4 8,11
9 Presupuesto. 9,1 9,2 9,3
10 Planes, programas y proyectos. 10,1 10,2 10,3 10,9 10,1
11 Selección y contratación de personal. 11,1 11,2 11,3 12 11,8
12 Capacitación de personal. 12,1 12,2 12,3
Registro de información contable y
13 13,3 13 14 13,11
financiera.
14 Liquidación de gastos. 14,3 14 15 14,11
15 Liquidación de impuestos. 15,1 15,2 15,3 15 16 15,11
Declaracion y presentacion de la
16 16,1 16,2 16,3 16 17 16,6 15,11
informacion financiera
17 Control de cartera. 17,1 17,2 17,11
18 Publicidad. 18,1 18,2 18,3 18,11
Plan de contingencia para siniestro o
19 19,3 19,10 19,11 19,12
pérdida de información.
20 Requerimiento de hardware 20,1 20,2 20,11 20,12
21 Soporte de usuarios internos. 21,1 21,1 21,3 21,11 21,12
Protección de información con firewall
22 22,1 22,2 22,3 22,11 22,11
cortafuegos para software.

23 Creación de cuentas y claves de usuario 23,1 23,2 23,11

24 M onitoreo de redes 24,1 24,2 24,3 24,9 24,12


M antenimiento de Equipos
25 25,1 25,2 25,3 25,9 25,1 25,11 25,12
informáticos
Respaldo y almacenamiento de la
26 26,1 26,2 26,12 26,12
informacion extraida en dispositivos.

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

55
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

MATRIZ DE CONTROL INTERNO


ECUACOPIA CIA LTDA.
AUDITORÍA DE SISTEMAS INFORMÁTICOS
PERÍODO: octubre - febrero
MATRÍZ DE CONTROL INTERNO
RELACIÓN ENTRE ÁREA/PROCESO Y NORMAS/PRINCIPIOS A VERIFICAR
NORMAS Y PRINCIPIOS A VERIFICAR
1 2 3 4 5 6 7 8 9 10 11 12

ISO 9001 NORMA DE GESTIÓN


LEY DE SUPERINTENDENCIA

LEY DE SEGURIDAD SOCIAL


NORMAS INTERNAS DE LA

PRINCIPIOS Y NORMAS DE

ISO 27000 GESTIÓN DE

ISO 18000 SEGURIDAD


CODIGO DE TRABAJO
NORMA Y PRINCIPIOS

SEGURIDAD DE LA
ORGANIZACIONAL

PROCEDIMIENTOS

DE LA CALIDAD
DE COMPAÑIAS

INFORMACIÓN
MANUAL DE

SEGURIDAD
EMPRESA
POLITICA

NIC- NIIF
LORTI

FISICA
(IESS)
PROCESOS

1 Análisis y programa de desarrollo institucional. 8.7 8.7


2 Definición de los objetivos, metas, estrategias institucionales. 8.7 8.7 8.7
3 Compra y adquisiciones. 8.0 8.0 8.0 8.0
4 Requerimiento de cotizaciones a proveedores. 8.3 8.3 8.3
5 Mantenimiento usuarios externos. 7.0 7.0 7.0 7.0 7.00 7.00
6 Instalaciones usuarios externos. 8.3 8.3 8.3 8.3 8.33 8.3
7 Requerimiento de cotizaciones a Clientes. 8.3 8.3 8.3
8 Emisión de facturas. 6.3 6.3 6.3 6.3 6.33
9 Presupuesto. 7.67 7.67 7.67
10 Planes, programas y proyectos. 8.3 8.3 8.3 8.3 8.3
11 Selección y contratación de personal. 6.50 6.50 6.50 6.50 6.50
12 Capacitación de personal. 6.67 6.67 6.67
13 Registro de información contable y financiera. 6.75 6.75 6.75 6.75 6.75
14 Liquidación de gastos. 8.67 8.67 8.67 8.67 8.67
15 Liquidación de impuestos. 7.00 7.00 7.00 7.00 7.00 7.00
16 Declaracion y presentacion de la informacion financiera 7.67 7.67 7.67 7.67 7.67 7.67 7.67
17 Control de cartera. 7.50 7.50 7.50
18 Publicidad. 9.50 9.50 9.50 9.50
19 Plan de contingencia para siniestro o pérdida de información. 6.00 6.00 6.00 6.00 6.00
20 Requerimiento de hardware 5.33 5.33 5.33 5.33
21 Soporte de usuarios internos. 6.00 6.00 6.00 6.00 6.00
22 Protección de información con firewall cortafuegos para software. 5.33 5.33 5.33 5.33 5.33
23 Creación de cuentas y claves de usuario 9.00 9.00 9.00
24 Monitoreo de redes 8 8 8 8 8
25 Mantenimiento de equipos informáticos 7 7 7 7 7 7 7
26 Respaldo y almacenamiento de la informacion extraida en dispositivos. 8.25 8.25 8.25 8.25

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

56
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

METAS CORPORATIVAS EMPRESA


METAS CORPORATIVAS ECUACOPIA CIA. LTDA.
Relación con los Objetivos de Gobierno
Dimensión del Realización
No. Meta Corporativa Optimización Optimización
CMI de
de Riesgos de Recursos
Beneficios

1 Optimización de costos de los productos y P S P


servicios.

Financiera 2 Registrar la información contable y P P P


financiera.

3 P P
Reducir los costos de los procesos

4 P S S
Controlar la cartera de clientes.

Cliente 5 Optimizar los productos, servicios y P S P


atención al cliente.

6 Ofrecer servicios y productos S S P


competitivos en el mercado

7 Entrega a tiempo a los requerimientos de P S P


negocio.

8 Mejorar y mantener la funcionalidad de P S P


los procesos.

Interna
9 Cumplir con las leyes y regulaciones P P S
externas.

10 P P S
Administrar los riesgos de negocios

11 Ofrecer información útil y confiable para P P P


la toma de decisiones estratégicas

12 Automatizar e integrar la cadena de valor P S P


Aprendizaje y de la empresa.
Crecimiento
13 Mantener personal motivado y capacitado. P S S

Principal P
Secundario S
No aplica

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

57
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

METAS CORPORATIVAS COBIT


Metas Corporativas COBIT 5
Relación con los objetivos de Gobierno
Dimensión del CMI No. Meta Corporativa Realización Optimización Optimización
de Beneficios de Riesgos de Recursos

Valor para las partes


1 interesadas de las P S S
Inversiones de Negocio
Cartera de productos y
2 P P S
servicios competitivos
Riesgos de negocio
Financiera
3 gestionados (Salvaguarda P P S
de Activos)
Cumplimiento de leyes y
4 P P S
regulaciones externas

5 Transparencia Financiera P P S

Cultura de servicio
6 P S S
orientada al cliente
Continuidad y
7 disponibilidad del servicio P S P
de negocio
Respuestas ágiles a un
Cliente 8 entorno de negocio P P
cambiante
Toma estratégica de
9 Decisiones basada en la P P S
Información.
Optimización de coste de
10 P P
entrega del servicio
Optimización de la
11 funcionalidad de los P P
procesos de negocio
Optimización de costes de
12 P P
los procesos de negocio
Interna Programas gestionados de
13 P S P
cambio en el negocio
Productividad operacional
14 P S P
y de los empleados
Cumplimiento con las
15 P P
políticas internas
Personas preparadas y
16 P S S
Aprendizaje y motivadas
Crecimiento Cultura de innovación de
17 P S P
producto y negocio

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

58
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

MAPEO DE METAS CORPORATIVAS


MAPEO DE METAS CORPORATIVAS DE COBIT 5 Y LAS METAS CORPORATIVAS

requerimientos de negocio.
Optimización de costos de

productos competitivos en

Administrar los riesgos de

Ofrecer información útil y


los productos y servicios.

confiable para la toma de

Automatizar e integrar la
Reducir los costos de los

Optimizar los productos,


Registrar la información

Cumplir con las leyes y

motivado y capacitado.
decisiones estratégicas
Controlar la cartera de

Entrega a tiempo a los

Mejorar y mantener la
servicios y atención al

regulaciones externas.
contable y financiera.

cadena de valor de la
funcionalidad de los
Ofrecer servicios y

Mantener personal
METAS CORPORATIVAS

el mercado

procesos.

negocios

empresa.
procesos

clientes.

cliente.
No.

METAS COBIT 5
N

10

11

12

13
1

9
No.
METAS CORPORATIVAS COBIT 5 Financiero Cliente Interna Aprendizaje y crecimiento

1 Valor para las partes interesadas de las Inversiones de Negocio P S P S S S P S


2 Cartera de productos y servicios competitivos S S P S P P S
3 Riesgos de negocio gestionados (Salvaguarda de Activos) P P P
4 Cumplimiento de leyes y regulaciones externas P P
5 Transparencia Financiera P P S S P
6 Cultura de servicio orientada al cliente P P S P P S P
7 Continuidad y disponibilidad del servicio de negocio P S S
8 Respuestas ágiles a un entorno de negocio cambiante S P P S P
9 Toma estratégica de Decisiones basada en la Información. P P P S S S P
10 Optimización de coste de entrega del servicio P S P S P P

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

59
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
MAPEO DE METAS CORPORATIVAS
MAPEO DE METAS CORPORATIVAS DE COBIT 5 Y LAS METAS CORPORATIVAS

11 Ofrecer información útil y confiable


Registrar la información contable

Automatizar e integrar la cadena de


Controlar la cartera de clientes.

Mantener personal motivado y


funcionalidad de los procesos.
servicios y atención al cliente.
Optimización de costos de los

Ofrecer servicios y productos


competitivos en el mercado

requerimientos de negocio.

Administrar los riesgos de


Reducir los costos de los

para la toma de decisiones


Optimizar los productos,

Cumplir con las leyes y


Entrega a tiempo a los

Mejorar y mantener la

regulaciones externas.
productos y servicios.

valor de la empresa.
y financiera.

capacitado.
estratégicas
negocios
procesos
METAS CORPORATIVAS

No.

METAS COBIT 5

10

12

13
1

9
No.
Aprendizaje y
METAS CORPORATIVAS COBIT 5
Financiero Cliente Interna crecimiento

11 Optimización de la funcionalidad de los procesos de negocio P P P

12 Optimización de costes de los procesos de negocio P P S P P P S


13 Programas gestionados de cambio en el negocio S S S P P P
14 Productividad operacional y de los empleados S P
15 Cumplimiento con las políticas internas P S S P P
16 Personas preparadas y motivadas P
17 Cultura de innovación de producto y negocio P P P S P

Principal P
Soporte S
No aplica
Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017
Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

60
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

METAS DE TI COBIT
Metas de COBIT relacionadas con TI

Dimensiones del CMI No. Meta de Información y Tecnología Relacionada

1 Alineamiento de TI y estrategia de negocio

Cumplimiento y soporte de la TI al cumplimiento del


2
negocio de las leyes y regulaciones externas
Compromiso de la dirección ejecutiva para tomar
3
decisiones relacionadas con TI
Financiera
Riesgos de negocio relacionados con las TI
4
gestionados
Realización de beneficios del portafolio de
5
Inversiones y Servicios relacionados con las TI
Transparencia de los costes, beneficios y riesgos de
6
las TI
Entrega de servicios de TI de acuerdo a los requisitos
7
del negocio
Cliente
Uso adecuado de aplicaciones, información y
8
soluciones tecnológicas
9 Agilidad de las TI
Seguridad de la información, infraestructura de
10
procesamiento y aplicaciones
Optimización de activos, recursos y capacidades de
11
las TI
Capacitación y soporte de procesos de negocio
Interna
12 integrando aplicaciones y tecnología en procesos de
negocio
Disponibilidad de información útil y fiable para la
14
toma de decisiones
Cumplimiento de las políticas internas por parte de las
15
TI
Personal del negocio y de las TI competente y
Aprendizaje y 16
motivado
Crecimiento
17 Conocimiento, experiencia e iniciativas

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

61
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

METAS DE TI EMPRESA

METAS TI ECUACOPIA CIA. LTDA.


Dimensión
No. Meta Corporativa
del CMI

Financiera 1
Evaluar el mercado de tecnologías que reduzcan los costos operacionales
Cliente 2
Dotar de mejores herramientas tecnológicas al proceso de comercialización.
3
Adquisición y requerimiento de hardware y software.
4
Reducir el tiempo de ejecución en los sistemas
5
Supervisar redes e infraestructura
6
Integrar los sistemas de soporte a los usuarios.
7
Interna Administración de cuentas y clave para usuarios.
8
Elaborar planes de contingencia
9
Mantenimiento de Equipos Informáticos
Diseñar proyectos que sirvan de base al cumplimiento de la normatividad
10
existente
Elaborar un plan de evaluación y tratamiento de incidentes y riesgos
11
informáticos.
12 Respaldo y almacenamiento de la información extraída en dispositivos.

Aprendizaje 13 Capacitar al personal de TI sobre los procesos del negocio y nuevas tecnologías.
y
crecimiento 14 Apoyar en los procesos que nos brinden una posición de competitivos

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

62
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

MAPEO DE METAS TI
MAPEO DE METAS DE LAS TI COBIT 5 Y LAS METAS RELACIONADAS CON LAS TI

Elaborar un plan de evaluación y tratamiento


DIMENSIONES

Dotar de mejores herramientas tecnológicas

Apoyar en los procesos que nos brinden una


Adquisición y requerimiento de hardware y

procesos del negocio y nuevas tecnologías.


cumplimiento de la normatividad existente
Mantenimiento de Equipos Informáticos

Diseñar proyectos que sirvan de base al


Administración de cuentas y clave para
Evaluar el mercado de tecnologías que

Reducir el tiempo de ejecución en los

Integrar los sistemas de soporte a los

informacion extraida en dispositivos.


Capacitar al personal de TI sobre los
de incidentes y riesgos informaticos.
METAS

reduzcan los costos operacionales

Respaldo y almacenamiento de la
Supervisar redes e infraestructura
TI

Elaborar planes de contingencia


al proceso de comercialización.

posición de competitivos
METAS TI COBIT 5

software.

usuarios.

usuarios.
sistemas
1 2 3 4 5 6 7 8 9 10 11 12 13 14
METAS COBIT 5 Financiero Cliente Interna Aprendizaje y
crecimiento

Financiera Alineamiento de TI y estrategia de negocio S P P P S P S P


Cumplimiento y soporte de la TI al S S P P S
cumplimiento del negocio de las leyes y
regulaciones externas
Compromiso de la dirección ejecutiva para S S P
tomar decisiones relacionadas con TI
Riesgos de negocio relacionados con las TI S P P P P P S S S
gestionados
Realización de beneficios del portafolio de S S P S S
Inversiones y Servicios relacionados con las
TI
Transparencia de los costes, beneficios y S P P
riesgos de las TI
Clientes Entrega de servicios de TI de acuerdo a los S P P S P P P P P P P
requisitos del negocio
Uso adecuado de aplicaciones, información y P S S P S P
soluciones tecnológicas
Interna Agilidad de las TI P S P P P P P P P S
Seguridad de la información, P P P P P P P P
infraestructura de procesamiento y
aplicaciones
Optimización de activos, recursos y S S P S P S S P P S S
capacidades de las TI
Capacitación y soporte de procesos de negocio S P P S P S S P
integrando aplicaciones y tecnología en
procesos de negocio
Disponibilidad de información útil y fiable P P P P P S P P
para la toma de decisiones
Cumplimiento de las políticas internas por P S P S P
parte de las TI
Aprendizaje y Personal del negocio y de las TI competente y S P
Crecimiento motivado
Conocimiento, experiencia e iniciativas P S S S P P P S

Principal P
Soporte S
No aplica

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

63
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
MAPEO DE PROCESOS TI
MAPEO ENTRE LAS METAS RELACIONADAS CON LAS TI DE COBIT 5 Y LOS PROCESOS

Mantenimiento usuarios externos.

Respaldo y almacenamiento de la
Registro de información contable

Declaración y presentación de la
Requerimiento de cotizaciones a

Requerimiento de cotizaciones a

Creación de cuentas y claves de


Protección de información con
Soporte de usuarios internos.
Requerimiento de hardware

de Equipos
Plan de contingencia para

firewall cortafuegos para

información extraída en
información financiera

siniestro o pérdida de
Emisión de facturas.

Monitoreo de redes
PROCESOS RELACIONADOS TI

Control de cartera.

información.
proveedores.

dispositivos.
informáticos
y financiera.

software.
Clientes.

usuario

Mantenimiento
METAS COBIT 5

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
PROCESOS DE COBIT 5 Financiero Cliente Interna
SUPERVISAR
ORIENTAR Y

P S S S P S p
EVALUAR,

EDM01 Asegurar el Establecimiento y Mantenimiento del Marco de Gobierno


EDM02 Asegurar la Entrega de Beneficios P P P S P S S P P S P S S p
EDM03 Asegurar la Optimización del Riesgo S P P S P P S P S
EDM04 Asegurar la Optimización de los Recursos P S P S
EDM05 Asegurar la Transparencia hacia las partes interesadas S P S P S P S S
APO01 Gestionar el Marco de Gestión de TI P P P P P P P S P
APO02 Gestionar la Estrategia S P
APO03 Gestionar la Arquitectura Empresarial P P P P P P P P P
ALINEAR, PLANIFICAR,

APO04 Gestionar la Innovación S S P


APO05 Gestionar el portafolio P S P S P
ORGANIZAR

APO06 Gestionar el Presupuesto y los Costes S P P P S S P


APO07 Gestionar los Recursos Humanos S
APO08 Gestionar las Relaciones P S S P S S
APO09 Gestionar los Acuerdos de Servicio P S S P S
APO010 Gestionar los Proveedores P S P S S S
APO011 Gestionar la Calidad P P S P S S S P S P S
APO012 Gestionar el Riesgo S P P P P P S P P P P P P P
APO013 Gestionar la Seguridad P P S P P S S P P P P P

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

64
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
MAPEO DE PROCESOS TI

MAPEO ENTRE LAS METAS RELACIONADAS CON LAS TI DE COBIT 5 Y LOS PROCESOS

Plan de contingencia para

información con firewall


Registro de información

Mantenimiento usuarios

de en
cotizaciones a Clientes.
información financiera
PROCESOS RELACIONADOS TI

Creación de cuentas y

almacenamiento de la
contable y financiera.

siniestro o pérdida de

Equipos informáticos
extraída
Emisión de facturas.

Monitoreo de redes
Soporte de usuarios
Control de cartera.
presentación de la
Requerimiento de

Requerimiento de

Requerimiento de

claves de usuario
cortafuegos para

Mantenimiento
cotizaciones a

Declaración y

Protección de
información.
proveedores.

dispositivos.
informacion
Respaldo y
hardware

software.
externos.

internos.
METAS COBIT 5
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
PROCESOS DE COBIT 5 Financiero Cliente Interna
BAI01 Gestionar los Programas y Proyectos S S S
BAI02 Gestionar la Definición de Requerimiento P S P P P P
IMPLEMENTACIÓN
CONSTRUCCIÓN,

BAI03 Gestionar la Identificación y la Construcción S


ADQUISICIÓN E

BAI04 Gestionar la Disponibilidad y la Capacidad S


BAI05 Gestionar la introducción de Cambios Organizativos P P
BAI06 Gestionar los Cambios S
BAI07 Gestionar la Aceptación del Cambio y de la Transición P P
BAI08 Gestionar el Conocimiento S P
BAI09 Gestionar los Activos P S S P P P S S P P P
BAI10 Gestionar la Configuración S
ENTREGAR, DAR

DSS01 Gestionar las Operaciones P S S S S P S S P S


SERVICIOS Y

DSS02 Gestionar las Peticiones y los Incidentes del Servicio P P P S P S P P P P S P P P


SOPORTE

DSS03 Gestionar los Problemas S S P S S P P P P P P P


DSS04 Gestionar la Continuidad S P P P P P P P P
DSS05 Gestionar los Servicios de Seguridad P S P P P P P P P P
DSS06 Gestionar los Controles de los Procesos del Negocio P P S P S S P
SUPERVIS

VERIFICA

P S P P P
EVALUA

MEA01 Supervisar, Evaluar y Valorar Rendimiento y Conformidad


CIÓN, Y

CIÓN
IÓN,

MEA02 Supervisar, Evaluar, y Valorar el Sistema de Control Interno P P P P P

MEA03 Supervisar, Evaluar y Valorar la conformidad con los Requisitos Externos P P S S P P

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

65
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

PROCESOS RELACIONADOS CON COBIT

PROCESOS RELACIONADOS CON COBIT 5


PROCESOS RELACIONADOS CON EL
DOMINIOS DEPARTAMENTO DE TI
No. DOMINIO PROCESOS COBIT PROCESOS ECUACOPIA CIA. LTDA.
1 APO03 Gestionar la Arquitectura Empresarial Monitoreo de redes
Protección de información con firewall cortafuegos para
APO12 Gestionar el Riesgo
2 software.
Respaldo y almacenamiento de la información extraída en
8 APO13 Gestionar la Seguridad dispositivos.
Gestionar la Definición de
4 BAI02 Requerimiento Requerimiento de hardware
Gestionar las Peticiones y los Incidentes
5 DSS02 del Servicio Mantenimiento de Equipos Informáticos
6 DSS03 Gestionar los Problemas Soporte de usuarios internos.
7 DSS04 Gestionar la Continuidad Plan de contingencia para siniestro o pérdida de información.
3 DSS05 Gestionar los Servicios de Seguridad Creación de cuentas y claves de usuario

METAS RELACIONADAS TI

METAS TI RELACIONADAS COBIT METAS ECUACOPIA CIA. LTDA.


Entrega de servicios de TI de acuerdo a los
requisitos del negocio Adquisición y requerimiento de hardware y software.
Agilidad de TI Supervisar redes e infraestructura
Entrega de servicios de TI de acuerdo a los
requisitos del negocio Integrar los sistemas de soporte a los usuarios.
Seguridad de la información, infraestructura de
procedimiento y aplicaciones Administración de cuentas y clave para usuarios.
Seguridad de la información, infraestructura de
procesamiento y aplicaciones Elaborar planes de contingencia
Entrega de servicios de TI de acuerdo a los
requisitos del negocio Mantenimiento de Equipos Informáticos
Seguridad de la información, infraestructura de Elaborar un plan de evaluación y tratamiento de
procedimiento y aplicaciones incidentes y riesgos informáticos.
Disponibilidad de información útil y fiable para la Respaldo y almacenamiento de la información extraída
toma de decisiones en dispositivos.

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

66
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

MATRIZ RACI (8 PROCESOS A EVALUAR TI)

GERENCIA CONTABLE- FINANCIERA

GERENCIA DE COMERCIALIZACIÓN
GERENTE DE ADMINISTRACIÓN

GERENCIA DE LOGÍSTICA
GERENTE GENERAL

GERENCIA TI
MATRIZ RACI

N R CEO CFO CCO CLO CIO


o. PROCESOS
1 Monitoreo de redes A C I R
Protección de información con firewall cortafuegos
A C I R
2 para software.
Respaldo y almacenamiento de la información
A C I R
3 extraída en dispositivos.
4 Requerimiento de hardware A C I R
5 Mantenimiento de hardware y software A C I R
6 Soporte de usuarios internos. A C I R
Plan de contingencia para siniestro o pérdida de
A C I R
7 información.
8 Creación de cuentas y claves de usuario A C I R

LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

67
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

LEYENDA PARA LOS FLUJOGRAMAS.

INICIO

PROCESO

SUBPROCESO

DATOS

DOCUMENTO

DECISIÓN

FIN

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

68
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

DOMINIO
ALINEAR, PLANIFICAR Y ORGANIZAR

PROCESO RELACIONADO CON TI MONITOREO DE REDES

NOMBRE DEL SUBPROCESO APO03 GESTIONAR LA


ARQUITECTURA EMPRESARIAL
GERENCIA RESPONSABLE DEL
GERENCIA DE TI
PROCESO
DESCRIPCIÓN DEL PROCESO
Establecer una arquitectura común compuesta por los procesos de negocio , la información los
datos, aplicaciones y las capas de arquitectura tecnológica de manera eficaz y eficiente para la
realización de las estrategias de la empresa y de TI mediante creación de modelos clave y
prácticas que describan las líneas de partida y las arquitecturas objetivo .Definir los requisitos,
las normas, las directrices los procedimientos, las plantillas y las herramientas proporcionando
un vínculo para estos componentes. Mejorar la adecuación, aumentar la agilidad, mejorar la
calidad de la información y generar ahorros de costes potenciales mediante iniciativas tales
como la reutilización de bloques de componentes para los procesos de construcción.
DECLARACIÓN DEL PROPÓSITO DEL PROCESO
Representar a los diferentes módulos que componen la empresa y sus interrelaciones, así
como los principios rectores de su diseño y evolución en el tiempo, permitiendo una entrega
estándar, sensible y eficiente de los objetivos operativos y estratégicos.
OBJETIVO DEL PROCESO
Se utiliza un marco de arquitectura de empresa y una metodología común, así como un
repositorio de arquitectura integrado con el fin de permitir la reutilización de eficiencias
dentro de la empresa.
RESPONSABLE
Gerencia TI, Coordinador Interno TI y Analista de TI.
ENTRADAS DEL PROCESO
Solicitudes de monitoreo de red.
ACTIVIDADES DEL PROCESO
1. Recibir las solicitudes de monitoreo.
2. Autorizar el monitoreo.
3. Validar las alertas de monitoreo.
4. Soporte de primer nivel.
4.1. Verificar las conexiones eléctricas.
4.2. Revisar las conexiones físicas a la red.
5. Prueba de funcionamiento.
6. Emitir un informe.
SALIDAS DEL PROCESO
 Informe de monitoreo de redes
INDICADOR DE ÉXITO
- Numero de revisión de red.
DOCUMENTACIÓN DE REFERENCIA
- Manual Organizacional
- Manual de Procesos
- Manual de Tecnología Informática.
Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017
Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

69
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

COORDINADOR DE TI

ANALISTA DE TI
GERENTE DE TI
MATRIZ RACI

No
. ACTIVIDADES
1 Recibir las solicitudes de monitoreo. R
2 Autorizar el monitoreo. A
3 Validar las alertas de monitoreo. A R C
4 Soporte de primer nivel. A R
5 Verificar las conexiones eléctricas. A R
6 Revisar las conexiones físicas a la red. A R
7 Prueba de funcionamiento. A R
Emitir un informe. I R

LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

70
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
DIAGRAMA DE FLUJO
APO 03 GESTIONAR LA ARQUITECTURA EMPRESARIAL
(MONITOREO DE REDES)
DESARROLLO OPERACION

INICIO

Recibe las solicitud


GERENTE DE TI

de monitores

Solicitud de alertas

Autoriza el
monitoreo

Valida las alertas en


el monitoreo.

Soporte de primer
COORDINADOR DE TI

nivel.

Verificar las
conexiones
eléctricas.

Revisar la
NO
conexión fisica a
la red.

Prueba de
funcionamiento.

¿Esta correcto?

SI
ANALISTA DE TI

Emite un reporte

Informe

FIN

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

71
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
MÉTRICAS RELACIONADAS

DOMINIO: ALINEAR, PLANIFICAR Y ORGANIZAR


PROCESO: APO03 GESTIONAR LA ARQUITECTURA EMPRESARIAL
METAS TI MÉTRICAS RELACIONADAS INDICADOR TOTAL

Números de procesos de negocios críticos soportados por 2


Agilidad de TI Número de solicitudes de monitoreo de red solucionados *100
16,67%
infraestructuras y aplicaciones actualizadas. 𝑋100
Total de solicitudes de monitoreo de red recibido 12

MATRIZ DE NIVEL DE CAPACIDAD


INCOMPLETO EJECUTADO GESTIONADO ESTABLECIDO PREDECIBLE OPTIMIZADO
NIVELES
0% 1% - 25% 26% - 50% 51%- 70% 71% - 89% 90% - 100%
El proceso no se El proceso
El proceso El proceso
encuentra El proceso realizado se El proceso
PORCENTAJE gestionado se predecible se
implementado o logra su implementa de definido opera
implementa de mejora
no logra el propósito manera en los límites
manera definitiva continuamente
propósito gestionada
PROCESO
DOMINIO
APO 03 Gestionar la Arquitectura Empresarial 16,67% 16,67%

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

72
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

CONCLUSIÓN Y RECOMENDACIÓN
APO 03 GESTIONAR LA ARQUITECTURA EMPRESARIAL

Monitoreo de redes

Condición:
El monitoreo de red respondió a solo dos solicitudes, debido a que el personal está
atendiendo otros requerimientos, por lo que no cumple con la totalidad de lo requerido.

Criterio:
Establecer una arquitectura común compuesta por los procesos de negocio , la
información los datos, aplicaciones y las capas de arquitectura tecnológica de manera
eficaz y eficiente para la realización de las estrategias de la empresa y de TI mediante
creación de modelos clave y prácticas que describan las líneas de partida y las
arquitecturas objetivo. Definir los requisitos, las normas, las directrices los
procedimientos, las plantillas y las herramientas proporcionando un vínculo para estos
componentes. Mejorar la adecuación, aumentar la agilidad, mejorar la calidad de la
información y generar ahorros de costes potenciales mediante iniciativas tales como la
reutilización de bloques de componentes para los procesos de construcción.

Conclusión:
Se identifica que no se respondió de una manera eficaz a las 12 solicitudes de monitoreo
de las cuales solo 2 fueron atendidas, ya que estas solo se realizan cada trimestre y no
se toma en cuenta la importancia de requerimientos técnicos y una revisión continua.

Recomendación:
Cambiar la política de monitoreo de red cada a cada vez que sea necesario (o de forma
periódica) dicho monitoreo, además realizar un plan claro y detallado para que los
usuarios se sientan seguros de que si existe un desajuste en la red en cualquier momento
será atendido.

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

73
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

DOMINIO
ALINEAR, PLANIFICAR Y ORGANIZAR

Protección de información con firewall


PROCESO RELACIONADO CON TI
Sophos para software.
NOMBRE DEL SUBPROCESO
AP012 GESTIONAR EL RIESGO
GERENCIA RESPONSABLE DEL
GESTOR DE TI
PROCESO
DESCRIPCIÓN DEL PROCESO
Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles
de tolerancia establecidos por la dirección ejecutiva de la empresa.
DECLARACIÓN DEL PROPÓSITO DEL PROCESO
Integrar la gestión de riesgos empresariales relacionados con TI con la gestión de riesgos
empresarial general (ERM) y equilibrar los costes y beneficios de gestionar riesgos empresariales
relacionados con TI.
OBJETIVO DEL PROCESO
4. Las acciones de gestión de riesgos están efectivamente implementados.
RESPONSABLE
 Gestor de Proyectos (Sistema), Analista de TI (Seguridad).
ENTRADAS DEL PROCESO
Revisión de eficiencia de firewall Sophos en el sistema de la empresa.
ACTIVIDADES DEL PROCESO
1. Revisar políticas de TI
2. Verificar puertos en el sistema
3. Informar el funcionamiento del firewall
4. Revisar la eficiencia de firewall Sophos
5. Extraer comandos de pc’s
6. Verificar comandos maliciosos
7. Ejecutar firewall
SALIDAS DEL PROCESO
 Elaboración de informe a la Gerencia de TI de funcionamiento de Firewall Sophos.
INDICADOR DE ÉXITO
- Numero de servicios de TI con los requisitos de seguridad pendientes.
DOCUMENTACIÓN DE REFERENCIA
- Manual de Organizacional.
- Manual de Procesos.
- Manual de Tecnología Informática.

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

74
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

GESTOR DE PROYECTOS DE TI

ANALISTA DE TI
MATRIZ RACI

No. ACTIVIDADES
1 Revisar políticas de TI R
2 Verificar puertos en el sistema R C
3 Informar el funcionamiento del firewall R C
4 Revisar la eficiencia de firewall Sophos R
5 Extraer comandos de pc’s R
6 Verificar comandos maliciosos R
7 Ejecutar firewall R

LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

75
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
DIAGRAMA DE FLUJO
APO12 GESTI ONAR EL RIESGO

SISTEMA SEGURIDAD

Inicio

Revisar
políticas de
TI
Gestor de Proyectos

Verificar puertos
del sistema

Informar el
funcionamiento de
Firewall Sophos

Revisar la eficiencia
FIREWALL
SOPHOS

Extraer NO
comandos de
PC s

Comandos
maliciosos

SI
Analista TI

Eliminar comandos
maliciosos

Ejecutar Firewall

Elaborar informe

FIN

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

76
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
MÉTRICAS RELACIONADAS

DOMINIO: ALINEAR, PLANIFICAR Y ORGANIZAR


PROCESO AP012 GESTIONAR EL RIESGO
METAS TI MÉTRICAS RELACIONADAS INDICADOR Porcentaje
10. Seguridad de la información,
Numero de servicios de TI con los requisitos No. De requerimientos atendidos con firewall x 100 1
infraestructura de procesamiento y No. Requerimientos solicitados con firewall 𝑥100 8,33%
aplicaciones de seguridad pendientes. 12

MATRIZ DE NIVEL DE CAPACIDAD


INCOMPLETO EJECUTADO GESTIONADO ESTABLECIDO PREDECIBLE OPTIMIZADO
NIVELES
0% 1% - 25% 26% - 50% 51%- 70% 71% - 89% 90% - 100%

PORCENTAJE El proceso no se El proceso realizado se El proceso gestionado El proceso


El proceso logra El proceso definido
encuentra implementado implementa de manera se implementa de predecible se mejora
su propósito opera en los límites
o no logra el propósito gestionada manera definitiva continuamente
PROCESO
DOMINIO 0 1 2 3 4 5
APO12 Gestionar el Riesgo 8,33% 8.33%

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

77
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

CONCLUSIÓN Y RECOMENDACIÓN
AP012 GESTIONAR EL RIESGO

Protección de información con firewall Sophos para software.

Condición:
No se llevó a cabo la actualización del Firewall Shopos por esta situación se presentó
fallas el en 1 pc. Llevando hasta la encriptación de la información de la misma
Criterio:
Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro
de niveles de tolerancia establecidos por la dirección ejecutiva de la empresa.
Conclusión:
1. Al revisar y analizar la eficiencia del firewall Sophos en el sistema TI, identificó
incidentes en evaluaciones y procesos específicamente en software e Internet por
ello se llevó a cabo el control al acceso de la información con la finalidad de
monitorear el tráfico en internet, acceso a correos electrónicos y descargas no
permitidas en ECUACOPIA CIA. LTDA. con (contrafuegos) Firewall Sophos
adquirido por la empresa.
Recomendación:
1. Integrar a todas las pc’s de la empresa con un firewall en su hardware.
2. Verificar constantemente la eficiencia de Firewall en su software, para evitar
malware, virus informáticos y riesgos de perdida de información en los sistemas
de ECUACOPIA CIA. LTDA.
3. Asegurar que la información que se extraiga en los medios electrónicos, puertos
USB y otros dispositivos de entrada externos sea supervisada y controlada.

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

78
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

DOMINIO ALINEAR, PLANIFICAR Y


ORGANIZAR

PROCESO RELACIONADO CON TI Respaldos de información

NOMBRE DEL SUBPROCESO APO13 GESTIONAR LA


SEGURIDAD
GERENCIA RESPONSABLE DEL
INFORMÁTICA
PROCESO
DESCRIPCIÓN DEL PROCESO
Definir, operar y supervisar un sistema para la gestión de la seguridad de la información.
DECLARACIÓN DEL PROPÓSITO DEL PROCESO
Entregar los respaldos de información requeridos por el servicio operativo de TI, según lo
planificado.
OBJETIVO DEL PROCESO
Garantizar y salvaguardar la recuperación de toda la información relevante de la
organización que ha sido generada en los servidores, en caso de que haya sido eliminada,
dañada o alterada al presentarse alguna contingencia.
RESPONSABLE
Gerencia Técnica, Seguridad informática.
ENTRADAS DEL PROCESO
Información guardada en los computadores.
ACTIVIDADES DEL PROCESO
1. Se determina e identifica la información que se va a respaldar en los equipos de las diferentes áreas.
2. Obtener una autorización de la gerencia técnica para operar, implementar y operar el sistema de
seguridad de información.
3. Se define un sistema de seguridad de información de acuerdo con la política de la empresa.
4. Alinear el sistema de seguridad de la información con el enfoque global de la gestión de la seguridad
de la empresa.
5. Prepara una declaración de la información que será respaldada.
6. Verifica la información para las copias de restauración.
7. Si el archivo del servidor indica un error se realiza una copia por segunda vez.
8. Se graba las copias de respaldos de acuerdo a las políticas, en un dispositivo de almacenamiento.
9. Se almacena la copia y para el caso de ser magnético se marca con la fecha respectiva, usuario y
nombre del equipo.
10. Comunicar el enfoque del sistema de seguridad de la información.
SALIDAS DEL PROCESO
 Respaldos de información disponible para su recuperación.
INDICADOR DE ÉXITO
- Número de incidentes relacionados con la seguridad.
DOCUMENTACIÓN DE REFERENCIA
- Manual de Organizacional.
- Manual de Procesos.
- Manual de Tecnología Informática.

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

79
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

COORDINADOR DE TI

ANALISTA DE TI
GERENTE DE TI
MATRIZ RACI

No. ACTIVIDADES
Se determina e identifica la información que se va a
1 A
respaldar en los equipos de las diferentes áreas.
Obtener una autorización de la gerencia técnica para operar,
2 implementar y operar el sistema de seguridad de C R
información.
Se define un sistema de seguridad de información de acuerdo
3 C R
con la política de la empresa.
Alinear el sistema de seguridad de la información con el
4 C R
enfoque global de la gestión de la seguridad de la empresa.
Prepara una declaración de la información que será
5 C R
respaldada.
6 Verifica la información para las copias de restauración. C
Si el archivo del servidor indica un error se realiza una copia
7 C R
por segunda vez.
Se graba las copias de respaldos de acuerdo a las políticas, en
8 C R
un dispositivo de almacenamiento.
Se almacena la copia y para el caso de ser magnético se
9 C
marca con la fecha respectiva, usuario y nombre del equipo.
Comunicar el enfoque del sistema de seguridad de la
10 C R
información.

LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA
.

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

80
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
DIAGRAMA DE FLUJO
APO 13 GESTIONAR LA SEGURIDAD
GERENCIA TÉCNICA SEGURIDAD INFORMÁTICA

INICIO
GERENTE DE TI

Identificar archivos de
respaldo

Autorización

Definición de sistema de
seguridad
COORDINADOR DE TI

Alineación del sistema

Recibe el enfoque de Declaración de información NO


seguridad
Verificar copias de
restauración
Aprueba

¿Existe error de
FIN
información?

SI

Grabar Copias

Almacena Copias
ANALISTA DE TI

Comunicar el enfoque del


sistema

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

81
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
MÉTRICAS RELACIONADAS

DOMINIO: ALINEAR, PLANIFICAR Y ORGANIZAR


PROCESO: APO13 Gestionar la Seguridad
METAS TI MÉTRICAS RELACIONADAS INDICADOR TOTAL

14 Disponibilidad de
Nivel de satisfacción de los usuarios del negocio y 52
información útil y relevante Número de respaldos realizados X 100 𝑥100 14,69%
para la toma de decisiones disponibilidad de la información de gestión. Número de respaldos planificados 354

MATRIZ DE NIVEL DE CAPACIDAD


INCOMPLETO EJECUTADO GESTIONADO ESTABLECIDO PREDECIBLE OPTIMIZADO
NIVELES
0% 1% - 25% 26% - 50% 51%- 70% 71% - 89% 90% - 100%
El proceso no se El proceso
El proceso El proceso
PORCENTAJE encuentra El proceso realizado se El proceso
gestionado se predecible se
implementado o logra su implementa de definido opera
implementa de mejora
no logra el propósito manera en los límites
manera definitiva continuamente
PROCESO propósito gestionada
DOMINIO
APO 13 Gestionar la Seguridad 14,69% 14,69%

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

82
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
CONCLUSIÓN Y RECOMENDACIÓN
APO13 RESPALDO DE INFORMACIÓN

Respaldos de información

Condición:
Se evidencio que no se cumplió con lo planificado en la toma de copias de seguridad,
ya que solo se han realizado 52 respaldos de las mismas, además no existe un adecuado
control en la toma de copias de seguridad y un almacenamiento seguro, existe
almacenamiento en discos duros externos, sin las medidas físicas y de seguridad.
Tampoco se evidenció alertas automáticas de éxito o fallo de las copias tomadas, así
como no se realiza pruebas sobre toda la información capturada por componente.

Criterio:
Definir, operar y supervisar un sistema para la gestión de la seguridad de la
información.

Conclusión:
De acuerdo a lo establecido en manual de políticas y lineamiento del Uso de Tecnología
Informática se establece que se debe de realizar respaldos de información de forma
diaria es decir los 354 días laborables del año, se observó que la compañía incumple
esta política y solo se realiza de manera semanal es decir 52 veces año, es por eso que
han generado problemas en los respaldos de información dentro de la organización.
Además la información es guardada por cada uno de los departamentos en discos duros
externos y no se manejan el sistema de seguridad de información por la nube.

Recomendación:
 Mantener tres copias del archivo: la original y dos respaldos. Esto disminuirá la
probabilidad de perder información por tener unidades dañadas por malware o
problema físico.
 Los empleados deben de cumplir las políticas acordadas en los manuales debido a
que existe un alto riesgo de pérdida de información.
 Deberá tener un almacenamiento de los Backups en centros adecuados con
seguridad física y ambiental.
 Mantener una de las copias “fuera de sitio” (offsite), es decir, en el caso de la
empresa cuente con presupuesto adquiera el servicio con el que cuenta MySQL-
SQLM proveído por ORACLE.
 Realizar pruebas periódicas sobre cada componente copiado.

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

83
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

DOMINIO
CONSTRUIR, ADQUIRIR E IMPLEMENTAR
Requerimiento de hardware (Infraestructura
META TI
TI).

NOMBRE DEL SUBPROCESO BAI02 GESTIONAR LA DEFINICIÓN


DE REQUISITOS.
GERENCIA RESPONSABLE DEL PROCESO GERENCIA DE TI
DESCRIPCIÓN DEL PROCESO
Identificar soluciones y analizar requerimientos antes de la adquisición o creación para asegurar que estén
en línea con los requerimientos estratégicos de la organización y que cubren los procesos de negocios,
aplicaciones, información/datos, infraestructura y servicios. Coordinar con las partes relacionadas
afectadas la revisión de las opciones viables, incluyendo costes y beneficios relacionados, análisis de
riesgo y aprobación de los requerimientos y soluciones propuestas.
DECLARACIÓN DEL PROPÓSITO DEL PROCESO
Crear soluciones viables y óptimas que cumplan con las necesidades de la organización mientras
minimizan el riesgo.
OBJETIVO DEL PROCESO
(01) Los requerimientos funcionales y técnicos del negocio reflejan las necesidades y expectativas de la
empresa.
RESPONSABLE
Gerencia de TI, Gestor de Proyectos, Coordinador interno de TI.
ENTRADAS DEL PROCESO
Solicitudes de requerimiento del hardware.
ACTIVIDADES DEL PROCESO
1. Recepción de solicitudes de requerimiento de Hardware.
2. Análisis de las solicitudes requerimiento de Hardware.
3. Gestionar los riesgos de los requerimientos.
4. Estudiar la viabilidad para la adquisición
5. Elección del hardware.
6. Aprobación de la solicitud.
7. Compra de los hardware.
SALIDAS DEL PROCESO
 Aprobación del requerimiento de hardware por las partes interesadas.
 Compra de los hardware.
INDICADOR DE ÉXITO
satisfacción de las partes interesadas con los requerimientos.
DOCUMENTACIÓN DE REFERENCIA
- Manual de Organizacional.
- Manual de Procesos.
- Manual de Tecnología Informática.

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

84
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
DIAGRAMA DE FLUJO
BAI 02 GESTIONAR LA DEFINICIÓN DE REQUISITOS.

GERENCIA TI PROYECTOS COORDINACIÓN

Inicio

Recepción de
Gerente TI

solicitudes de
Hardware

Solicitudes

Análisis de las
solicitudes
Hardware

Gestionar los
riesgos de los
requerimientos

Estudiar la
viabilidad para
la adquisición
Gestor de Proyectos

Elección de los
Hardware

NO
Aprobación de
la solicitud

¿Aprueba? SI

NO

FIN

Solicitud
aprobada
Coordinandor TI interno

¿Si esta
correcta?

SI

Compra de los
hardware

FIN

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

85
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

GESTOR DE PROYECTOS

COORDINADOR DE TI
GERENTE DE TI
MATRIZ RACI

No. ACTIVIDADES
1 Recepción de solicitudes de requerimiento de Hardware. A I C
2 Análisis de las solicitudes requerimiento de Hardware. A R
3 Gestionar los riesgos de los requerimientos. A R I
4 Estudiar la viabilidad para la adquisición A R I
5 Elección del hardware. A R
6 Aprobación de la solicitud. A R C
7 Compra de los hardware A R

LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

86
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
MÉTRICAS RELACIONADAS

DOMINIO: CONSTRUIR, ADQUIRIR E IMPLEMENTAR


BAI 02 GESTIONAR LA DEFINICIÓN DE
PROCESO: REQUISITOS.
METAS TI MÉTRICAS RELACIONADAS INDICADOR TOTAL
7. Entrega de servicios de
(03) Porcentaje de usuarios satisfechos con la calidad No. de requerimientos de hardware entregados * 100 1
TI de acuerdo a los
de los servicios de TI entregados. 𝑥100 16,67%
Total de requerimientos de hardware solicitados 6
requisitos del negocio.

MATRIZ DE NIVEL DE CAPACIDAD


INCOMPLETO EJECUTADO GESTIONADO ESTABLECIDO PREDECIBLE OPTIMIZADO
NIVELES
0% 1% - 25% 26% - 50% 51%- 70% 71% - 89% 90% - 100%
El proceso no se El proceso
El proceso El proceso
PORCENTAJE encuentra El proceso realizado se El proceso
gestionado se predecible se
implementado o logra su implementa de definido opera
implementa de mejora
no logra el propósito manera en los límites
manera definitiva continuamente
PROCESO propósito gestionada

DOMINIO 0 1 2 3 4 5
BAI 02 Gestionar la definición de requisitos. 16,67% 16,67%

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

87
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

CONCLUSIÓN Y RECOMENDACIÓN
BAI02 GESTIONAR LA DEFINICIÓN DE REQUISITOS.

Requerimiento de hardware (Infraestructura TI).

Condición

Se evidenció que las solicitudes adquiridas de hardware no se han cumplido en su


totalidad tomando en cuenta que el mismo se encuentra obsoleto, depreciado y en mal
funcionamiento, los cuales requieren ser remplazados por otros nuevos que cumplan la
función que la empresa requiera.

Criterio
Identificar soluciones y analizar requerimientos antes de la adquisición para asegurar
que estén en línea con los requerimientos estratégicos de la organización y que cubren
los procesos de negocios, aplicaciones, información/datos, infraestructura y servicios.
Coordinar con las partes relacionadas afectadas la revisión de las opciones viables,
incluyendo costes y beneficios relacionados, análisis de riesgo y aprobación de los
requerimientos y soluciones propuestas.

Conclusión:
El 16.67% de hardware han sido entregados mediante actas para el funcionamiento
correcto dentro de la organización por lo que el 83.33% de hardware aún no ha sido
adquirido.

Recomendación:
 Se recomienda que se realice un control adecuado de las adquisiciones de hardware
mismas que estarán respaldadas por actas de entrega, además de que deberán poner
una persona responsable de los requerimientos para que la misma lleve un adecuado
control sobre el funcionamiento y manejo de los mismos.
 Se debe realizar un seguimiento a los inventarios de hardware para que reflejen
información veraz.

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

88
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

DOMINIO
OPERACIÓN SERVICIO Y SOPORTE

PROCESO RELACIONADO CON TI Mantenimiento de Equipos Informáticos

NOMBRE DEL SUBPROCESO DSS02 GESTIONAR PETICIONES


E INCIDENTES DE SERVICIO
GERENCIA RESPONSABLE DEL PROCESO GERENCIA DE TI
DESCRIPCIÓN DEL PROCESO
Proveer una respuesta oportuna a los usuarios y la resolución de todo tipo de incidentes. Recuperar el
servicio normal: gestionar y complementar las peticiones de usuario; y registrar, diagnosticar y resolver
incidentes.
DECLARACIÓN DEL PROPÓSITO DEL PROCESO
Lograr una mayor productividad y minimizar las interrupciones mediante la rápida resolución de
consultas de usuarios e incidentes

OBJETIVO DEL PROCESO


Los servicios relacionados con TI están disponibles para ser utilizados
RESPONSABLE
Usuario, Gerente de TI, Coordinador de TI, Analista TI
ENTRADAS DEL PROCESO
Equipos informáticos con daños y fallos
ACTIVIDADES DEL PROCESO
1. Registro de incidencia en el Sistema para genera un ticket de mantenimiento
2. asigna responsable para el mantenimiento y envió de notificación
3. Verifica si el equipo tiene garantía
4. Si el equipo tiene garantía hace efectiva la garantía y notifica al gerente de TI
5. Buscar y analizar la solución
6. Aplicar y realizar pruebas de verificación
7. Si el equipo es reparado genera un reporte de mantenimiento y notifica al coordinador de TI
8. Cerrar ticket en Sistema de Registro de Requerimientos ingresando el motivo de cierre.
SALIDAS DEL PROCESO
 Equipo de cómputo reparado
INDICADOR DE ÉXITO
- Equipos de cómputo en buen funcionamiento
DOCUMENTACIÓN DE REFERENCIA
- Manual de Organizacional.
- Manual de Procesos.

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

89
ECUACOPIA CIA. LTDA.
AUDITORIA INFORMÁTICA ProgA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

DIAGRAMA DE FLUJO
DSS02 GESTIONAR PETICIONES E INSIDENTES DE SERVICIO ( Mantenimiento de equipos)

DESARROLLO SISTEMA OPERACIONES

Inicio
GERENTE TI

Registro de incidencia
en el Sistema
Coordinandor TI interno

Generar ticket de
mantenimiento

Asignación de
responsable y
envió de
notificación

Verifica si el
quipo tiene
garantía

Esta en
SI
garantía?

NO
Envío notificación

Buscar y analizar
la solución
Analista TI

Efectiviza la
garantía
Aplicar y realizar
pruebas de
verificación
SI

Fin
Genera reporte de
Resultados
mantenimiento y
satisfechos ?
envió notificación

Cierre de ticket

Fin

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

90
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

COORDINADOR DE TI

ANALISTA DE TI
GERENTE DE TI
MATRIZ RACI

No. ACTIVIDADES
1 Registro de incidencia en el Sistema para genera un ticket de mantenimiento A R
2 asigna responsable para el mantenimiento R
3 Verifica si el equipo tiene garantía C R
Si el equipo tiene garantía hace efectiva la garantía y notifica a Gerencia de
4 TI A R
5 Buscar y analizar la solución C R
6 Aplicar y realizar pruebas de verificación C R
Si el equipo es reparado genera un reporte de mantenimiento y notifica al
7 coordinador de TI R
Cerrar ticket en Sistema de Registro de Requerimientos ingresando el
8 motivo de cierre. A C R

LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

91
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
MÉTRICAS RELACIONADAS

DOMINIO: OPERACIÓN, SERVICIO Y SOPORTE


DSS02 GESTIONAR PETICIONES E
PROCESO: INCIDENTES DE SERVICIO

METAS TI MÉTRICAS RELACIONADAS INDICADOR


Entrega de servicios de TI de Porcentaje de las partes interesadas satisfechas con el
Total, de mantenimientos realizados *100 2
acuerdo a los requisitos de cumplimiento del servicio de TI entregado respecto a 𝑥100 16,67%
Nª de mantenimientos planificados 12
negocio los niveles de servicio acordado.

MATRIZ DE NIVEL DE CAPACIDAD


INCOMPLETO EJECUTADO GESTIONADO ESTABLECIDO PREDECIBLE OPTIMIZADO
NIVELES
0% 1% - 25% 26% - 50% 51%- 70% 71% - 89% 90% - 100%
El proceso no se El proceso El proceso
El proceso
PORCENTAJE encuentra El proceso realizado se gestionado se El proceso
predecible se
implementado o logra su implementa de implementa de definido opera
mejora
no logra el propósito manera manera en los límites
continuamente
PROCESO propósito gestionada definitiva
DOMINIO 0 1 2 3 4 5
GESTIONAR PETICIONES E INCIDENTES
DSS02 16,67%
DE SERVICIO 16,67%

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

92
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

CONCLUSIÓN Y RECOMENDACIÓN
DSS02 GESTIONAR PETICIONES E INCIDENTES DE SERVICIO

Mantenimiento De Equipos Informáticos

Condición
Se evidencio que no se ha realizado mantenimientos preventivos de acuerdo a lo
planificado esto produce aumento de fallos en el desempeño y rendimiento de los
mismos.

Criterio
Proveer una respuesta oportuna a los usuarios y la resolución de todo tipo de incidentes.
Recuperar el servicio normal: gestionar y complementar las peticiones de usuario; y
registrar, diagnosticar y resolver incidentes.

Conclusión:
Se realizó un análisis en base a los manuales, políticas y planificaciones establecidas
por la empresa ECUACOPIA CIA. LTDA donde podemos conocer que los
mantenimientos de equipos informáticos no se realizan de acuerdo a lo planificado, el
sistema de requerimientos reporto que se ha realizado 2 mantenimientos al año
produciendo aumento de daños en los equipos dejando varios equipos sin
funcionamiento o concluida su vida útil

Recomendación:

1. El personal de operaciones debe de realizar el mantenimiento de acuerdo a lo


planificado para satisfacer las necesidades de los usuarios
2. Definir e implementar procedimientos para garantizar el mantenimiento oportuno

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

93
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

DOMINIO
OPERACIÓN SERVICIO Y SOPORTE

PROCESO RELACIONADO CON TI Soporte De Usuarios Internos

NOMBRE DEL SUBPROCESO DSS03 GESTIONAR LOS


PROBLEMAS
GERENCIA RESPONSABLE DEL PROCESO GERENCIA DE TI
DESCRIPCIÓN DEL PROCESO
Identificar y clasificar problemas y proporcionar resolución en tiempo para incidentes recurrentes.
Proporcionar recomendaciones de mejora.
DECLARACIÓN DEL PROPÓSITO DEL PROCESO
Mejorar los niveles de servicio, reducir costes y mejorar la comodidad para la satisfacción del cliente
reduciendo el número de problemas

OBJETIVO DEL PROCESO


Garantizar que problemas relativos a TI sean resueltos de forma que no vuelvan a suceder
RESPONSABLES
Gerente de TI, Coordinador de TI , Analista TI
ENTRADAS DEL PROCESO
Solicitudes de requerimientos de soporte

ACTIVIDADES DEL PROCESO


1. Registrar solicitud de soporte en el Sistema de Registro de Requerimientos
seleccionando el TIPO DE REQUERIMIENTO, datos del usuario y del inconveniente
presentado, si es el caso el usuario adjuntará imagen.
2. El Sistema de Registro de Requerimientos genera un ticket de soporte y envía notificación
al mail del usuario.
3. Identificación del problema
4. Direcciona el responsable
5. Analizar requerimiento y validar la información
6. Buscar y analizar la solución
7. Aplicar y realizar pruebas de verificación
8. Cerrar ticket en Sistema y envió de notificación al usuarios
SALIDAS DEL PROCESO
 Solicitudes resueltos
INDICADOR DE ÉXITO
- Número de requerimientos atendidos y mostrados en el reporte de Sistema Requerimientos.
DOCUMENTACIÓN DE REFERENCIA
- Manual de Organizacional.
- Manual de Procesos.

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

94
ECUACOPIA CIA. LTDA.
AUDITORIA INFORMÁTICA ProgA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

DIAGRAMA DE FLUJO
DSS03 GESTIONAR PROBLEMAS ( SOPORTE USUARIOS INTERNOS)

DESARROLLO REGISTRO OPERACIONES

Inicio

Registra solicitud
GERENTE TI

de soporte sist. RR

Generar ticket de
solicitud de soporte
Coordinandor TI interno

Identificación de
problema

direccionar a
responsable

Analiza
requerimiento y
valida informacion

Busca y analiza
solución
NO

Aplica solución
Analista TI

Realiza pruebas de
verificación
SI

Registra solución Resultados


en el sistema satisfechos ?

Envío de
Recibe la
notificación al
notificacion de
usuario y cierra
cierre de ticket
ticket

Fin

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

95
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

COORDINADOR DE TI

ANALISTA DE TI
GERENTE DE TI
MATRIZ RACI

No. ACTIVIDADES
Registrar solicitud de soporte en el Sistema de Registro de
Requerimientos seleccionando el TIPO DE
1 A C R
REQUERIMIENTO, datos del usuario y del inconveniente
presentado, si es el caso el usuario adjuntará imagen.
El Sistema de Registro de Requerimientos genera un ticket de
2 A R
soporte y envía notificación al mail del usuario.
3 Identificación del problema R
4 Direcciona el responsable R
5 Analizar requerimiento y validar la información R
C Buscar y analizar la solución C R
7 Aplicar y realizar pruebas de verificación R
8 Cerrar ticket en Sistema y envió de notificación al usuarios A C R

LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

96
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
MÉTRICAS RELACIONADAS

DOMINIO: OPERACIÓN, SERVICIO Y SOPORTE


PROCESO: DSS03 GESTIONAR PROBLEMAS
METAS TI MÉTRICAS RELACIONADAS INDICADOR TOTAL
Entrega de
servicios TI 4
Porcentaje de usuarios satisfechos con la calidad de los 𝑵𝒐. 𝑹𝒆𝒒𝒖𝒆𝒓𝒊𝒎𝒊𝒆𝒏𝒕𝒐 𝒂𝒕𝒆𝒏𝒅𝒊𝒅𝒐𝒔
de acuerdo a 𝑵𝒐. 𝑹𝒆𝒒𝒖𝒆𝒓𝒊𝒎𝒊𝒆𝒏𝒕𝒐𝒔 𝒔𝒐𝒍𝒊𝒄𝒊𝒕𝒂𝒅𝒐𝒔
∗ 𝟏𝟎𝟎 ∗ 100 23,53%
servicios de TI entregados 17
los requisitos
de negocio

MATRIZ DE NIVEL DE CAPACIDAD


GESTION
INCOMPLETO EJECUTADO ESTABLECIDO PREDECIBLE OPTIMIZADO
NIVELES ADO
0% 1% - 25% 26% - 50% 51%- 70% 71% - 89% 90% - 100%
El proceso no se El proceso
El proceso El proceso
PORCENTAJE encuentra realizado se El proceso
El proceso logra su gestionado se predecible se
implementado o implementa definido opera
propósito implementa de mejora
no logra el de manera en los límites
manera definitiva continuamente
PROCESO propósito gestionada
DOMINIO 0 1 2 3 4 5

DSS03 GESTIONAR PROBLEMAS 23,53% 23,53%

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

97
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

CONCLUSIÓN Y RECOMENDACIÓN
DSS03 GESTIONAR PROBLEMAS.

Soporte De Usuarios Internos

Condición
Los requerimientos para dar soporte a los usuarios solo han sido atendidos en un
23.53%.

Criterio
Identificar y clasificar problemas y proporcionar resolución en tiempo para incidentes
recurrentes. Proporcionar recomendaciones de mejora.

Conclusión:
El personal de la empresa presentó quejas de soporte técnico que realiza el departamento
de TI, debido a que tardan horas en solucionar los problemas y en algunos casos no han
sido atendidos, generando así demora el cumplimiento de sus actividades. Al llevar
acabo el análisis del proceso de altas y bajas de usuarios identificamos que no existe un
proceso adecuado para gestionar los requerimientos de soporte a los usuarios
Observando que existe tan solo una persona encargada para resolver incidentes que se
presenten en la compañía.

Recomendación:

1. Se recomienda que la empresa ECUACOPIA CIA. LTDA., realice monitorios


preventivos para verificar que los sistemas se encuentren en buen estado.
2. Clasificar adecuadamente los problemas de acuerdo a su prioridad para determinar
su causa raíz y dar una solución oportuna.
3. Realizar los soportes en el menor tiempo posible para evitar paralización de
funciones

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

98
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

DOMINIO
OPERACIÓN SERVICIO Y SOPORTE

Elaboración de plan de contingencia para


PROCESO RELACIONADO CON TI
pérdida de información.

NOMBRE DEL SUBPROCESO DSS04 GESTIONAR LA


CONTINUIDAD.
GERENCIA RESPONSABLE DEL PROCESO GERENCIA DE TI
DESCRIPCIÓN DEL PROCESO
Establecer y mantener un plan para permitir al negocio y a TI responder a incidentes e
interrupciones de servicio para la operación continua de los procesos críticos para el
negocio y los servicios TI requeridos y mantener la disponibilidad de la información a un
nivel aceptable para la empresa.
DECLARACIÓN DEL PROPÓSITO DEL PROCESO
Continuar las operaciones críticas para el negocio y mantener la disponibilidad de la
información a un nivel aceptable pata la empresa ante el evento de una interrupción
significativa
OBJETIVO DEL PROCESO
3. Las pruebas de continuidad del servicio han verificado la efectividad del plan.
RESPONSABLE
Gerente de TI (Desarrollo), Gestor de Proyectos (Sistema), Analista de TI (Seguridad).
ENTRADAS DEL PROCESO
 Elaboración de plan de contingencia para pérdida de información.
ACTIVIDADES DEL PROCESO
1. Definir la política de plan de contingencia y alcance.
2. Mantener una estrategia para recuperar la información.
3. Desarrollar e implementar una respuesta para la información.
4. Ejercitar, probar y revisar el plan.
5. Revisar, mantener y mejorar el plan.
6. Gestionar acuerdos de respaldo.
7. Ejecutar revisiones de información recuperada.
SALIDAS DEL PROCESO
 Probar los resultados de copias de seguridad de datos.
INDICADOR DE ÉXITO
-Porcentaje de proceso de negocios críticos, servicios TI, y programas de negocios
habilitados por las TI cubiertos por evaluaciones de riesgo
- Porcentaje de usuarios satisfechos con la calidad de los servicios de TI entregados
DOCUMENTACIÓN DE REFERENCIA
- Manual de Organizacional.
- Manual de Procesos.
- Manual de Tecnología Informática.

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

99
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

COORDINADOR DE TI

ANALISTA DE TI
GERENTE DE TI
MATRIZ RACI

No. ACTIVIDADES
1 Definir la política de plan de contingencia y alcance. A C
2 Mantener una estrategia para recuperar la información. R C
3 Desarrollar e implementar una respuesta para la información. R C
4 Ejercitar, probar y revisar el plan. A C
5 Revisar, mantener y mejorar el plan. I R
6 Gestionar acuerdos de respaldo. I R
7 Ejecutar revisiones de información recuperada. I R

LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

100
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
DIAGRAMA DE FLUJO
DSS04 GESTIONAR LA CONTINUIDAD

DESARROLLO GESTION SEGURIDAD

Inicio
Inicio

Definir
Definir políticas
políticas de
de
Plan
Gerente TI

Plan

Alcance
Alcance de
de plan
plan

Estrategia
Estrategia para
para
recuperación
recuperación dede
información
información
Coordinandor TI interno

Desarrollar
Desarrollar ee
implementar
implementar
respuestas
respuestas

Ejercitar,
Ejercitar, aprobar
aprobar yy
revisar
revisar plan
plan

¿Plan
¿Plan aprueba?
aprueba? SI

NO

FIN
FIN

Revisar,
Revisar, mantener
mantener yy
mejorar
mejorar el
el plan
plan

Gestionar
Gestionar acuerdos
acuerdos
Analista TI

de
de respaldo
respaldo

Ejecutar
Ejecutar revisiones
revisiones
de
de información
información
recuperada
recuperada

Fin

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

101
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
MÉTRICAS RELACIONADAS

DOMINIO: OPERACIÓN SERVICIO Y SOPORTE


PROCESO DSS04 GESTIONAR LA CONTINUIDAD.
METAS TI MÉTRICAS RELACIONADAS INDICADOR TOTAL
Porcentaje de proceso de negocios críticos,
04 Riesgo de negocio relacionado servicios TI, y programas de negocios No. de tareas ejecutados del plan x100 2
con las TI gestionadas habilitados por las TI cubiertos por Total de tareas del plan 𝑋100 20%
10
evaluaciones de riesgo

MATRIZ DE NIVEL DE CAPACIDAD


NIVELES INCOMPLETO EJECUTADO GESTIONADO ESTABLECIDO PREDECIBLE OPTIMIZADO
0% 1% - 25% 26% - 50% 51%- 70% 71% - 89% 90% - 100%
El proceso no se
PORCENTAJE El proceso realizado El proceso gestionado El proceso definido El proceso
encuentra El proceso logra
se implementa de se implementa de opera en los predecible se mejora
implementado o no su propósito
manera gestionada manera definitiva límites continuamente
logra el propósito
PROCESO
DOMINIO 0 1 2 3 4 5
DSS04 Gestionar la Continuidad 20% 20%

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

102
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

CONCLUSIÓN Y RECOMENDACIÓN
DSS02 GESTIONAR LAS PETICIONES Y LOS INCIDENTES DEL
SERVICIO.

Elaboración de plan de contingencia para pérdida de información.


Condición:
Continuar las operaciones para el negocio y mantener la disponibilidad de la
información a un nivel aceptable para la empresa ante el evento de una interrupción
significativa o perdida de la información inesperada.
Criterio:
Establecer y mantener un plan para permitir al negocio y a TI responder a incidentes e
interrupciones de servicio para la operación continua de los procesos críticos para el
negocio y los servicios TI requeridos y mantener la disponibilidad de la información a
un nivel aceptable para la empresa.
Conclusión:
1. Al llevar acabo el análisis del plan de contingencia para la seguridad de información
en el departamento de TI se presenta el riego debido a que la empresa ECUACOPIA
CIA. LTDA., no cuenta con un seguro en caso de ocurrir un siniestro o algún hecho
que puede incurrir en pérdida de información, debido a que la misma solo se
respalda en discos duros externos y cuenta con un Datacenter que será reubicado.
2. Se han ejecutado únicamente 2 tareas del plan elaborado con 10 actividades anuales
propuestas.
Recomendación:
1. Se recomienda a la empresa que podría adquirir mayor seguridad de su información
al contratar servicios en la nube de carácter privado para el respaldo de la misma.
2. Elaborar planes de contingencia donde señale también planes en caso de siniestros.
3. Incrementar el presupuesto para operaciones del departamento de TI.

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

103
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

DOMINIO
ENTREGA, SERVICIO, SOPORTE

PROCESO RELACIONADO CON TI Creación de claves y cuentas de usuario

NOMBRE DEL SUBPROCESO DSS05 GESTIONAR LOS


SERVICIOS DE SEGURIDAD
GERENCIA RESPONSABLE DEL
GERENCIA TI
PROCESO
DESCRIPCIÓN DEL PROCESO
Proteger la información de la empresa para mantener aceptable el nivel de riesgo de
seguridad de la información de acuerdo con la política de seguridad. Establecer y mantener
los roles de seguridad y privilegios de acceso de la información y realizar la supervisión de la
seguridad.
DECLARACIÓN DEL PROPÓSITO DEL PROCESO
Minimizar el impacto en el negocio de las vulnerabilidades e incidentes operativos de
seguridad en la información.
OBJETIVO DEL PROCESO
Otorgar un identificador y clave de acceso a un empleado de acuerdo a la asignación de
funciones para que pueda operar en el Sistema, restringiendo los accesos de los usuarios
creados con la finalidad que solo pueda operar en los módulos autorizados.
RESPONSABLE
Gerencia TI, Coordinador TI, Analista TI
ENTRADAS DEL PROCESO
Definición de roles y responsabilidades relacionadas con TI
ACTIVIDADES DEL PROCESO
1. La gerencia Técnica solicita la creación de claves.
2. Se realiza la creación de usuario con las iniciales de su primer nombre y apellido del
empleado.
3. Se asignan los roles, detallados en la solicitud de gerencia de creación de usuario.
4. Se realiza un oficio dirigido a la gerencia Técnica para la realización de la clave de
usuario.
5. Se verifica los roles y restricciones
6. Entrega el oficio al nuevo personal que utilizará la nueva clave.
SALIDAS DEL PROCESO
 Informe de contraseñas entregadas al personal.
INDICADOR DE ÉXITO
- Número de incidentes relacionados con accesos no autorizados a la información.
DOCUMENTACIÓN DE REFERENCIA
- Manual de Organizacional.
- Manual de Procesos.
- Manual de Tecnología Informática.

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

104
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

COORDINADOR DE TI

ANALISTA DE TI
GERENTE DE TI
MATRIZ RACI

No. ACTIVIDADES
1 Solicitud de creación de claves A I R
2 Creación de usuarios A C R
3 Asignación de Roles R
4 Realizar el oficio R
5 Verifica los roles y restricciones C R
6 Entrega de claves A R

LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA
.

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

105
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
DIAGRAMA DE FLUJO
DSS 05 GESTIONAR EL SERVICIO DE SEGURIDAD
(Creación de Claves y Usuarios)
GERENCIA TÉCNICA SEGURIDAD INFORMÁTICA

INICIO
GERENTE DE TI

Solitud de creación de
claves

Autorización

Ingresar al Sistema
COORDINADOR DE TI

NO
Crear usuario

Asignación de roles y
claves

Asignación de Clave
Personal

Verifica los roles y


restricciones

¿Esta correcto?
ANALISTA DE TI

SI

Oficio con clave

Entrega de claves al
nuevo personal

FIN

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

106
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
MÉTRICAS RELACIONADAS

DOMINIO: ENTREGA, SERVICIO, SOPORTE


DSS05 GESTIONAR LOS SERVICIOS DE
PROCESO: SEGURIDAD
METAS TI MÉTRICAS RELACIONADAS INDICADOR TOTAL
10 Seguridad de
la información, Tiempo para otorgar, modificar y eliminar los Número de usuarios despedidos con ingreso al sistema *100 6
infraestructura de privilegios de acceso comparando con los niveles de Total de usuarios registrados en el sistema 𝑋100 7,50%
procedimiento y servicios acordados 80
aplicaciones

MATRIZ DE NIVEL DE CAPACIDAD


INCOMPLETO EJECUTADO GESTIONADO ESTABLECIDO PREDECIBLE OPTIMIZADO
NIVELES
0% 1% - 25% 26% - 50% 51%- 70% 71% - 89% 90% - 100%
El proceso no se El proceso
El proceso El proceso
PORCENTAJE encuentra El proceso realizado se El proceso
gestionado se predecible se
implementado o logra su implementa de definido opera
implementa de mejora
no logra el propósito manera en los límites
manera definitiva continuamente
PROCESO propósito gestionada
DOMINIO
DSS05 Gestionar Servicios de Seguridad 7,50% 7,50%

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

107
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

CONCLUSIÓN Y RECOMENDACIÓN
DSS05 GESTIONAR LOS SERVICIOS DE SEGURIDAD

Creación de claves y usuarios

Condición:
No se maneja un reporte mensual que enliste y verifique los usuarios existentes y de un
responsable asignado a comprobar el personal que se encuentra laborando y requiere de
una clave de acceso.

Criterio:
Proteger la información de la empresa para mantener aceptable el nivel de riesgo de
seguridad de la información de acuerdo con la política de seguridad. Establecer y
mantener los roles de seguridad y privilegios de acceso de la información y realizar la
supervisión de la seguridad.

Conclusión:
La falta de un procedimiento y la asignación de un responsable que aplique las
regulaciones corporativas, puede generar duplicidad de usuarios con perfiles de acceso
no requeridos a sus funciones, y hasta existencias de cuentas activas para ex
funcionarios de la organización. Esto puede ocasionar un riesgo elevado de acceso o
transmisión de claves de usuarios, inclusive la utilización de usuarios no
correspondientes.

Recomendación:

1. Se recomienda la creación, aprobación y comunicación del procedimiento sobre


gestión de cuentas de usuarios a nivel local. A la vez generar el proceso de
capacitación del mismo a los responsables de área en cuestión, y mando medio.

2. Se debe asignar un responsable específico, ya sea de TI o de Control Interno, para


que verifique mensualmente la creación de usuarios nuevos, las modificaciones que
hayan realizado y las eliminaciones solicitadas y efectuadas en el mes, a su vez que
este comunique los resultados de tal verificación mediante reporte dirigido a las
Gerencia de TI y Control Interno

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

108
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA
MÉTRICAS RELACIONADAS

MATRIZ RESUMEN DE NIVEL DE CAPACIDAD


INCOMPLETO EJECUTADO GESTIONADO ESTABLECIDO PREDECIBLE OPTIMIZADO
NIVELES
0% 1% - 25% 26% - 50% 51%- 70% 71% - 89% 90% - 100%
El proceso no se El proceso
El proceso El proceso
PORCENTAJE encuentra El proceso realizado se El proceso
gestionado se predecible se
implementado o logra su implementa de definido opera
implementa de mejora
no logra el propósito manera en los límites
manera definitiva continuamente
PROCESO propósito gestionada
DOMINIO 0 1 2 3 4 5
APO03 Gestionar la Arquitectura Empresarial 16,67% 16,67%
APO12 Gestionar el Riesgo 8,33% 8,33%
APO13 Gestionar la Seguridad 14,69% 14,69%
BAI02 Gestionar la Definición de Requerimiento 16,67% 16,67%
DSS02 Gestionar las Peticiones y los Incidentes del Servicio 16,67% 16,67%
DSS03 Gestionar los Problemas 23,53% 23,53%
DSS04 Gestionar la Continuidad 20,00% 20,00%
DSS05 Gestionar los Servicios de Seguridad 7,50% 7,50%

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

109
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

GRAFICA DE NIVELES DE CAPACIDAD

GRAFICA NIVELES DE CAPACIDAD


25.00% 23.53%
20.00%
20.00% 16.67% 16.67% 16.67%
14.69%
Porcentaje

15.00%

10.00% 8.33% 7.50%

5.00%

0.00%
1

Gestionar la Arquitectura Empresarial Gestionar el Riesgo


Gestionar la Seguridad Gestionar la Definición de Requerimiento
Gestionar las Peticiones y los Incidentes del Servicio Gestionar los Problemas
Gestionar la Continuidad Gestionar los Servicios de Seguridad

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

110
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

Al culminar la auditoria de informática, de la empresa ECUACOPIA CIA. LTDA. Se


han cumplido con los objetivos propuesto en el presente trabajo por lo que se expone a
continuación las siguientes conclusiones y recomendaciones.

CONCLUSIÓN GENERAL

Antecedente
El 100% de los procesos evaluados se encuentran en un nivel ejecutados. Es decir que
el proceso implementado alcanzo su propósito, pero no se encuentran debidamente
administrados, no cuenta con límites, ni con mejora continua.

1. El área de Tecnología de la compañía no cuenta con un plan estratégico y/o de trabajo


en donde se incluyan los objetivos y estratégicas alineadas al negocio.

2. No se ha establecido un plan de continuidad de negocios orientado a Tecnología y/o un


plan de recuperación de desastres.

3. La compañía no ha formalizado un plan de continuidad del negocio que le permita un


accionar oportuno y eficaz ante situaciones de emergencia en el menor tiempo posible,
o reducir el impacto de una interrupción en las funciones y procesos claves.

4. En nuestra revisión del proceso de bajas de usuarios identificamos que no existe un


proceso adecuado para la gestión de cuentas de usuario.

5. Como adicional detectamos que el proveedor del sistema financiero PAC (Provedatos)
cuenta con privilegios de administración y acceso directo al ERP PAC donde se
registran las principales transacciones de la compañía sin un adecuado monitoreo por
parte de la compañía, esta situación incrementa el riesgo de la manipulación directa y/o
extracción de información sensible de la compañía.

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

111
ECUACOPIA CIA. LTDA. ProgA
AUDITORIA INFORMÁTICA
Al 28 de diciembre del 2017
PROGRAMA DE AUDITORIA

RECOMENDACIÓN
1. Mejorar el plan estratégico de TI, de manera que se alineen con los objetivos del
negocio; para ello deberá definirse una visión holística del negocio y el ambiente de
TI actual.
2. El departamento de TI debería presupuestar la construcción de componentes de la
arquitectura de la empresa, incluyendo la provisión de servicios y las capacidades
relacionadas para proveer una rápida, confiable y eficiente respuesta a los objetivos
estratégicos.
3. Asegurar que los servicios de TI estén alineados con los requerimientos del negocio,
es necesario implementar procedimientos formales que incluyan análisis costo-
beneficio, análisis que determine la alineación con las estrategias del negocio,
evaluación de los riesgos, niveles de servicio para los servicios de TI e identificación
del impacto en el portafolio de servicios.
4. Considerando los cambios tecnológicos constantes es recomendable estar a la
vanguardia de los mismos y proveer de una capacitación continua al personal
encargado de gestionar la tecnología de la información. Esta capacitación deberá
consistir en proveer a los empleados las bases de las áreas donde está faltando
conocimiento, incluyendo conocimiento en la administración de proyectos y técnico.
Adicionalmente se puede implementar como una buena práctica el entrenamiento
cruzado que consiste en tener más de una persona propiamente entrenada para
desempeñar un procedimiento o trabajo específico; de esta manera se crea la ventaja
de no depender de una sola persona y puede ser la base de un plan de sucesión de
cargo.
5. Definir responsabilidades con respecto a las estrategias de recuperación, existe
responsabilidad tanto a nivel de los líderes de las unidades administrativas, líderes de
sistemas y de la gerencia.
6. Inventariar los procesos y catalogar con respecto a la criticidad desde el puno de vista
de pérdidas económicas, incumplimientos regulatorios en caso de fallos, para esto se
debe evaluar con criterios definidos y claros para todos los procesos.
7. Identificar para los procesos críticos de los recursos de TI que los soportan e identificar
los tiempos de recuperación.
8. Implementar un procedimiento aprobado por la Alta Gerencia de requerimiento de
acceso al ERP PAC y base de datos en el cual se especifique el motivo del acceso,
tiempo de acceso y persona responsable, el acceso deber ser supervisado por personal
de ECUACOPIA CIA. LTDA.
9. Realizar una depuración de los usuarios del proveedor.

Elaborado por: AUDITED S.A. Fecha Inicio: 07/Noviembre/2017


Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017

112