UNIVERSIDAD NACIONAL DE PIURA

FACULTAD DE INGENIERIA INDUSTRIAL

ESCUELA PROFESIONAL DE INGENIERIA INFORMATICA

“AUDITORIA DE ACTIVOS DE TI.”

CURSO:
SISTEMAS DE CONTROL Y AUDITORIA

DIRIGIDO A:
DR. HUGO VICTOR ROSALES GARCIA

DE:
 ESCOBAR CASTILLO JACSON
 GARCIA SANCHEZ ROBERSSON
 HIDALGO PEÑA CARLOS
 MORANTE GARCIA EDYNSON
 NIMA RAMIREZ PAULO

PIURA
ACTUALIZACION. Martes, 30 de julio del 2019
 UNIVERSIDAD NACIONAL DE PIURA - 2019

Contenido

INTRODUCCION......................................................................................................................................... 5

CAPITULO I. GENERALIDADES DE LA EMPRESA........................................................................................... 7

CARACTERISTICAS DE LA EMPRESA...................................................................................................7

UBICACIÓN GEOGRAFICA...............................................................................................................8

MISION...........................................................................................................................................8

VISION............................................................................................................................................8

OBJETIVOS ESTRATEGICOS.............................................................................................................8

ANALISIS FODA...............................................................................................................................9

METAS ORGANIZACIONALES........................................................................................................10

CORTO PLAZO...............................................................................................................................10

MEDIANO PLAZO..........................................................................................................................10

LARGO PLAZO...............................................................................................................................10

ORGANIGRAMA DE LA EMPRESA....................................................................................................10

DESCRIPCION DE LOS PROCESOS Y FUNCIONES...........................................................................11

GERENTE.......................................................................................................................................11

JUNTA DIRECTIVA.........................................................................................................................11

FIRMAS EXTERNAS.......................................................................................................................11

INFORMATICA..............................................................................................................................12

ADMINISTRACION........................................................................................................................12

RRHH............................................................................................................................................12

METODOLOGIA COBIT....................................................................................................................13

MODELO DE MADUREZ................................................................................................................13

AUDITORIA DE TIC’S CON COBIT..................................................................................................13

AREA A AUDITAR..........................................................................................................................13

RECLUTAMIENTO DE LA INFORMACION......................................................................................13

DOCUMENTOS DE GESTION DEL DEPARTAMENTO DE INFORMATICA........................................14

SEGURIDAD DE DATOS Y EQUIPO DE CÓMPUTO.........................................................................14

Página 2 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

HERRAMIENTAS Y TECNICAS........................................................................................................14

HERRAMIENTAS............................................................................................................................14

TECNICAS......................................................................................................................................15

CAPITULO II. EJECUCIÓN DE LA AUDITORIA.............................................................................................. 16

SITUACION ACTUAL DEL DEPARTAMENTO......................................................................................16

CARGOS FUNCIONALES Y OPERATIVOS...........................................................................................16

JEFE DE DEPARTAMENTO.............................................................................................................16

TECNICOS ESPECIALIZADOS..........................................................................................................16

OBJETIVOS DEL DEPARTAMENTO...................................................................................................16

SEGURIDAD DEL DEPARTAMENTO..................................................................................................17

SEGURIDAD FISICA.......................................................................................................................17

SEGURIDAD LEGAL.......................................................................................................................18

SEGURIDAD DE DATOS.................................................................................................................18

SEGURIDAD DE PERSONAS...........................................................................................................19

CARACTERISTICAS DE LA PLATAFORMA TECNOLOGICA..................................................................19

Hardware.....................................................................................................................................19

Sistemas Operativos.....................................................................................................................19

Topología de Red..........................................................................................................................20

CARACTERIZACION DE LA CARGA.................................................................................................20

DETERMINACION DE HIPOTESIS...................................................................................................20

CAPITULO III. INFORME TECNICO............................................................................................................. 21

ALCANCE.........................................................................................................................................21

OBJETIVOS GENERALES...................................................................................................................21

OBJETIVOS ESPECIFICOS..................................................................................................................21

RESULTADOS DE LA EVALUACION DE CADA PROCESO....................................................................21

DOMINIO, PLANEAR Y ORGANIZAR..............................................................................................21

DOMINIO, ADQUIRIR E IMPLEMENTAR.......................................................................................22

DOMINIO, ENTREGAR Y DAR SOPORTE........................................................................................24

DOMINIO, MONITOREAR Y EVALUAR..........................................................................................25

Página 3 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

CAPITULO IV............................................................................................................................................ 27

CONCLUSIONES............................................................................................................................27

RECOMENDACIONES....................................................................................................................28

GLOSARIO............................................................................................................................................... 29

Página 4 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

INTRODUCCION

La auditoría es una importante actividad que permite a las organizaciones mejorar sus

funciones en forma continua. Esta se basa en una búsqueda para localizar los problemas o

posibles desviaciones en los procesos que se realizan dentro de la entidad abarca una revisión de

los objetivos, de los planes, los programas, y su estructura organizacional y funciones; sus

sistemas, procedimientos y controles, también al personal y las instalaciones de la organización

y el medio en que se desarrolla las actividades organización. Esta técnica es muy fundamental

para el desarrollo y crecimiento de cualquier organización, dado que le otorgará interesantes

posibilidades de cambio y perfeccionamiento.

El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de

información y tecnología, orientado a todos los sectores de una organización, es decir,

administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. Se aplica

a los sistemas de información de toda la empresa incluyendo los computadores personales y las

redes. Está basado en la filosofía de que los recursos de TI necesitan ser administrados por un

conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable

que requiere una organización para lograr sus objetivos.

En las Auditorias existen corrientes de pensamiento como procesos y aspectos para evaluar

el campo administrativo que pueden ser aplicados en una empresa general o en un área

específica, De igual manera todas las empresas u organización que deciden aplicar auditorías a

sus sistemas, en sus procesos y procedimientos para lograr la efectividad en sus objetivos y ser

organizaciones eficientes; se rigen y se guían por medio de su normatividad interna, de lo

contrario las empresas declinarían hasta desaparecer. Esta evalúa el grado de eficiencia y

eficacia con que se desarrollan las tareas administrativas y el grado de cumplimiento de los

planes y orientación de la gerencia, puede evaluar, por ejemplo: los estados financieros en su

conjunto o una parte de ellos, el correcto uso de los recursos humanos, el uso de materiales,

equipo y su distribución, contribuyendo con la gerencia para una adecuada toma de decisiones.

Página 5 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

Las auditorias en las organizaciones son muy importantes, por cuanto la gerencia sin la práctica

de una auditoria no tiene plena seguridad de que los datos económicos registrados realmente son

verdaderos y confiables.

Página 6 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

CAPITULO I. GENERALIDADES DE LA EMPRESA

CARACTERISTICAS DE LA EMPRESA

La empresa INGRA SOLUTIONS E.I.R.L (PIURA) es una empresa con la capacidad de

desarrollar actividades de consultoría, venta de equipos, materiales, ejecución de obras y

mantenimientos en diferentes procesos de ingeniería relacionados a ELECTRICIDAD,

AUTOMATIZACIÓN Y MECANICA cuenta con un staff de profesionales y técnicos

altamente capacitados, los mismos que poseen amplia experiencia en las áreas de ingeniería

eléctrica, automatización y mecánica. Así mismo, las actividades que se realizan cumplen con

las expectativas y necesidades de nuestros clientes, siguiendo los procedimientos y normas

relacionadas a calidad, seguridad, salud ocupacional y medio ambiente.

Los servicios que brinda INGRA SOLUTIONS E.I.R.L pueden ser visibles a través de

noticias y su página de Facebook. Así mismo no toda la información de los servicios que brinda

la empresa llegan a todos los clientes u empresas que necesitan de estos, puesto que, las

personas desconocen cuál es el proceso que se tiene que seguir para contratar los servicios que

se brindan en la empresa es ahí donde se generan conflictos, por lo que los clientes tienen que

realizar llamadas para que atiendan sus requerimientos, por consiguiente, no todas las llamadas

son atendidas, provocando disgustos en los clientes y generando pérdidas de ingreso en la

empresa; los servicios en ocasiones son también, requeridos a través de sus correos o cuenta de

Facebook, de igual forma, algunos tampoco son atendidos en el tiempo que los clientes emiten

dicha orden.

Página 7 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

UBICACIÓN GEOGRAFICA

La oficina principal de la empresa INGRA SOLUTIONS E.I.R.L se encuentra ubicada al

norte del Perú, específicamente en la ciudad de Piura del departamento de Piura.

MISION

Contribuir a la mejora de la calidad competitividad y productividad de nuestros clientes que

cuentan con procesos de ingeniería, brindándoles soluciones técnicas a la medida, que sean

rentables y que estén pensadas siempre al beneficio de sus clientes.

VISION

Ser aceptados y reconocidos a nivel nacional e internacional como una empresa que ofrece

productos y brinda servicios de ingeniería, con calidad, con aporte de tecnologías rentables,

además se preocupa por el cuidado del medio ambiente, la seguridad y salud de sus

colaboradores.

OBJETIVOS ESTRATEGICOS

 Contar con un equipo multidisciplinario de profesionales altamente calificados con

amplia trayectoria en el área.

Página 8 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

 Ejercer un liderazgo que impulse a la Organización hacia la nueva Visión,

comprometiéndola y motivándola en todos sus niveles.

 Fomentar el trabajo en equipo y la ejemplaridad, reconociendo y valorando la

iniciativa y la contribución de cada persona.

 Proveer conductas proactivas de aportación y cooperación en todos los niveles de la

empresa.

 Orientar los resultados hacia una gestión más flexible, ágil y con procesos eficientes.

 Mejorar continuamente la competitividad y calidad de sus servicios, anticipándose a

las necesidades con rapidez y agilidad.

 Mantener un comportamiento intachable, alineado con rectitud y honestidad.

 Difundir información adecuada y fiel de lo que se hace.

ANALISIS FODA

El Análisis FODA es una metodología de estudio de la situación competitiva de una empresa

en su mercado (situación externa) y de las características internas (situación interna) de la

misma, a efectos de determinar sus Fortalezas, Oportunidades, Debilidades y Amenazas.

Análisis Interno
Fortalezas Debilidades

 Negocio rentable.

 Alto nivel de compromiso y

 Poco personal
predisposición para brindar sus
 Empresa de nivel nacional pero
servicios.
ubicado en Piura.
 Ingresos económicos medios.

 Personal capacitado.

Análisis Externo

Página 9 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

Oportunidades Amenazas
 Costos operativos bajos debido a  Cambios repentinos del precio

la utilización de tecnología de de los talleres, cursos y eventos.

información.  Aumento de la competencia.

 Fidelidad de los clientes con la

empresa.

METAS ORGANIZACIONALES

CORTO PLAZO

Satisfacer la demanda de los clientes y empresas asociadas

MEDIANO PLAZO

Ampliar la cartera de clientes.

LARGO PLAZO

Sobresalir en su entorno con las demás empresas que están competencia con ella

ORGANIGRAMA DE LA EMPRESA

A continuación, se presenta la organización jerárquica de la organización:

GENRENTE

DESCRIPCION DE LOS PROCESOS Y FUNCIONES

Página 10 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

GERENTE

El gerente es la persona con mayor jerarquía en la empresa, se encarga de velar por el

correcto funcionamiento de todas las áreas de la empresa, participando activamente en las

actividades de la junta directiva, dirigiendo la toma de decisiones, aceptando y rechazando

actualizaciones en los registros, procesos y TI. Además de recibir a cualquier empleado el cual

deba señalar cualquier actividad irregular y este no desee hacerlo a su superior inmediato, en tal

caso el gerente de dicho departamento.

JUNTA DIRECTIVA

La Junta Directiva es la encargada de dirigir el entorno de toda la organización desarrollando

planes de acción, ejecutando constantes controles internos en cada área de la organización,

tomando decisiones en fallas esperadas e inesperadas producto de los planes de operación

empresarial. Por otro lado, esta alta gerencia se encarga de recibir los informes provenientes de

los análisis de auditoría y los de registros contables, para que en los puntos que se haya

identificadas fallas sean analizados en conjunto de la presidencia para darle la solución

adecuada. Por otro lado, la junta directiva es la encargada de servir como ejemplo a cada

departamento y empleado de cómo actual de una manera eficaz y eficiente, para alcanzar de esta

manera los objetivos colectivos e individuales definidos en cada etapa nueva de trabajo.

Además, se deben establecer los tiempos y momentos adecuados para que todos los empleados

sean llevados a cursos y talleres para aumentar sus conocimientos y presten un mejor servicio en

sus puestos de trabajo en la empresa.

FIRMAS EXTERNAS

Las Firmas Externas, se encargan de realizar labores de revisión y control de las operaciones

internas en cada área de la empresa (Auditores) para corregir posibles filtros de información que

puedan afectar a futuro la operatividad de la empresa.

INFORMATICA

Página 11 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

El departamento de informática, es el encargado de generar los planes de recuperación de

desastres avalados por la junta directiva en caso de que se produzcan daños graves al sistema de

información. Además, se identifica que, así como se tienen planes de recuperación, se

encuentran también planes para evitar daños a la IT.

Además, de realizar la instalación y mantenimiento de la red eléctrica con la que cuenta la

Empresa.

En cuanto al funcionamiento del sistema de información de la empresa, este es dirigido en

conjunto del departamento de informática y el departamento de administración, donde el

administrador identifica los módulos del sistema que hay que actualizar, crear o eliminar y el

gerente del área de informática se encarga realizar dichos ajustes.

ADMINISTRACION

El departamento de administración, se encarga de la correcta ejecución de los planes de

acción diseñados por la alta gerencia, así como de generar los reportes de aprobación de

recursos que se necesiten para el funcionamiento de los demás departamentos que conforman la

organización. Por otro lado, el administrador además de dirigir los planes de acción, participa

activamente en el departamento de informática, específicamente en la TI utilizada por cada

empleado en la empresa.

El administrador tiene contacto directo con la junta directiva, esto no quiere decir que

pertenezca a la misma, ya que en las normas de la empresa no se permite que ningún gerente

pertenezca a la alta gerencia, lo cual pueda prestarse para alterar resultados y conclusiones de

los controles internos y auditorias.

RRHH

Departamento encargado del bienestar de los empleados y la correcta operatividad de los

mismos en la organización, señalando que es un intermediario para asignar bonificaciones,

asensos, sanciones, despidos, entre otros.

METODOLOGIA COBIT

Página 12 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

MODELO DE MADUREZ

Una necesidad básica de toda empresa es entender el estado de sus propios sistemas de TI y

decidir qué nivel de administración y control debe proporcionar. Para decidir el nivel correcto,

la gerencia debe preguntarse: ¿Hasta dónde debemos ir?, y ¿está el costo justificado por el

beneficio? La obtención de una visión objetiva del nivel de desempeño propio de una empresa

no es sencilla, por ello COBIT atiende estos temas a través de:

 Modelos de madurez.

 Metas y mediciones de desempeño para los procesos de TI.

 Metas de actividades para facilitar el desempeño efectivo de los procesos.

Los modelos de madurez, facilitan la evaluación por medio de benchmarking y la

identificación de las mejoras necesarias en la capacidad. En cuanto a la gerencia,

constantemente está buscando herramientas de evaluación para benchmarking y herramientas de

autoevaluación como respuesta a la necesidad de saber qué hacer de manera eficiente.

Estas escalas pueden variar según las necesidades del auditor, sin embargo, deben ser claras,

precisas y fáciles de entender para lograr un consenso amplio y que motiven la mejorar de TI.

AUDITORIA DE TIC’S CON COBIT

AREA A AUDITAR

La auditoría realizada por el grupo de auditores “Chulucanas” será en el departamento de

informática la cual es el que administra la TI de la empresa INGRA SOLUTIONS E.I.R.L

RECLUTAMIENTO DE LA INFORMACION

Previamente se aplicó la observación directa para luego utilizar la guía de entrevista de la TI

utilizada en la empresa. Por otro lado, la administradora general proporciono la información a

través de un checklist elaborado por nosotros el grupo de auditores “CHULUCANAS” sobre el

departamento en cuestión y la TI; estos informes fue una herramienta de importancia para la

ejecución de la presente auditoria.

Página 13 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

DOCUMENTOS DE GESTION DEL DEPARTAMENTO DE INFORMATICA

 Controles internos.

 Auditorias.

 Presupuestos solicitados a administración para el reemplazo de equipos.

SEGURIDAD DE DATOS Y EQUIPO DE CÓMPUTO

Para el plan del desarrollo de la auditoria, se cuenta con la asistencia del gerente y las

actividades que se llevaran a cabo se describen en el cuadro

N.º ACTIVIDADES
1 Análisis y observación general en el área de informática
2 Realizar entrevista con el jefe del dpto. informática
Verificar si los equipos con que se cuentan existen o concuerdan en el
3
inventario.
4 Analizar los documentos de gestión y técnicos con que se cuentan.

5 Evaluar las claves de acceso, control, seguridad, confiabilidad y respaldo.

6 Valorar las tecnologías de información tanto en hardware y software.

7 Evaluación de la seguridad física, lógica y de redes.

HERRAMIENTAS Y TECNICAS

HERRAMIENTAS

Las herramientas a utilizar para la recolección de información son:

 Sistema Operativo Windows 7.

 Microsoft Office 2007.

 Block de Notas.

 Lapiceros.

 Hojas Blancas.

TECNICAS

Página 14 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

Las técnicas a utilizar para la recolección de información son:

 Observación Directa.

 Guía de Entrevista.

 Check List

Página 15 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

CAPITULO II. EJECUCIÓN DE LA AUDITORIA

SITUACION ACTUAL DEL DEPARTAMENTO

El Departamento de Informática, es un área fundamental para la organización debido a que

allí es donde se administra la TI, las redes, los respaldos de información, entre otras actividades,

las cuales concentran gran cantidad de información confidencial y de uso general para cada

Área Funcional de la empresa en estudio.

CARGOS FUNCIONALES Y OPERATIVOS

Los trabajadores con los que cuenta el Departamento de Informática son:

JEFE DE DEPARTAMENTO

El cual debe dirigir las operaciones de su oficina y velar por el correcto uso de los equipos

por los demás empleados a través de charlas e inducción si es que realizan instalaciones o

reemplazos con equipos y programas nuevos. Además, supervisa las actividades llevadas a cabo

por su grupo de técnicos especializados en distintas áreas informáticas. Por otro lado, debe

permanecer en constante comunicación con el departamento de administración notificando

irregularidades y actualizando o creando módulos en la ti solicitados por el administrador previo

análisis y estudio.

TECNICOS ESPECIALIZADOS

Hace referencia a empleados especializados en áreas de redes y computación, los cuales

ejecutan las operaciones dictaminadas por el jefe del departamento.

OBJETIVOS DEL DEPARTAMENTO

Los objetivos asignados al departamento por la Junta Directiva son:

 Diseñar, mantener y dirigir el plan estratégico de la TI y del sistema contable.

Página 16 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

 Mantener el personal actualizado en cuanto a los avances tecnológicos

documentándolos a través de investigaciones, cursos, charlas, entre otros.

 Proporcionar informe a la Junta Directiva, donde se recomienda la adquisición,

reemplazo o actualización de hardware y software tanto para el departamento como

para las demás áreas de la empresa.

 Realizar el análisis de datos, correspondiente a los sistemas informáticos, facilitando

su posterior estudio en la Junta Directiva y futuras Auditorias.

 Mantener en correcto funcionamiento de la red con la que trabaja INGRA

SOLUTIONS E.I.R.L, además de solucionar cualquier eventualidad en la red,

topología, direccionamiento, entre otros, que pudiese detener la operatividad de la

empresa.

 Mantener actualizado los registros computarizados, la TI y los respaldos de

información en unidades externas semanales y mensuales.

 Almacenar digitalmente los informes contables, de los controles internos, de las

auditorias y otros documentos legales. Asimismo, como se plantean los objetivos de

la Junta Directiva anteriormente citados, el departamento define sus objetivos

individuales como departamento y los objetivos personales de cada empleado que lo

conforma. En este aspecto, se señala que los objetivos pueden variar en cuanto a la

aplicabilidad, pero siempre en busca de alcanzar el bienestar y crecimiento

operacional de la empresa.

SEGURIDAD DEL DEPARTAMENTO

SEGURIDAD FISICA

Entre las medidas de seguridad física con las que cuenta el departamento de

computación se encuentran:

 Sistema de alarmas de detección de incendio.

 Puntos clave tanto en el departamento como en toda la oficina con extintores

avaluados por el cuerpo de bomberos del estado Nueva Esparta.

Página 17 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

 Todos los puntos de corriente fueron instalados con un UPS interno para evitar la

pérdida de información y daños en los equipos por altibajos eléctricos.

 Temperatura adecuada para los equipos electrónicos.

 El servidor, computadores, impresoras y demás equipos electrónicos cuentan con los

espacios adecuados, con correcto posicionamiento del cableado.

SEGURIDAD LEGAL

Entre las medidas de seguridad legal con las que cuenta el departamento de computación se

encuentran:

 El jefe de departamento hace uso de estándares de seguridad de datos y calidad de la

información.

 La empresa cuenta con licencias legales para el uso del sistema operativo Windows.

 Las auditorias, se dejan asentadas por escrito en documentos legales para asegurar su

valides.

 Todos los equipos electrónicos, dispositivos, comunicadores, entre otros, al llegar a

la oficina de INGRA SOLUTIONS E.I.R.L son almacenadas las facturas tanto en

físico como digitalmente.

SEGURIDAD DE DATOS

Entre las medidas de seguridad de datos aplicadas en el departamento de computación se

encuentran:

 Respaldo Semana de las operaciones de TI y actividades contables.

 Respaldo relevante de datos en unidades de almacenamiento externo.

 La TI, sistemas contables y de información cuenta con niveles de acceso para los

usuarios para evitar la pérdida, daño o robo de datos en la organización

Página 18 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

SEGURIDAD DE PERSONAS

Entre las medidas de seguridad del personal en el departamento de computación se

encuentran:

 Revisión en el transcurso del año de los equipos y alarmas contra incendios.

 Adiestramiento al personal de salidas de emergencia y protección en caso de

desastres naturales.

 Entre otros.

CARACTERISTICAS DE LA PLATAFORMA TECNOLOGICA

Hardware

Nombre

del Características Utilidad

Equipo
Procesad
Intel Core Duo 2.0GHz
or
Pc server 512 500 Gb Servidor
HDD
2 Gb
RAM
Pc1 PC para
HDD 512 Gb
Pc2 administrar los
Pc3 RAM 2Gb
sistemas de
Pc4
Monitor Dell 17 E176fp
Pc5 información en cada

Área relacionada con

Impresor
Pc6 Multifuncional HP 5200 el departamento de
a
Informática
Tabla 1 Hardware de PC y servidores en la red

Sistemas Operativos

Nombre del Equipo Sistema Operativo

Pc1, Pc2, Pc3, Pc4, Pc5, Pc6, Microsoft Windows 7, Ubuntu Server

Página 19 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

Servidor
Tabla 2 SO de equipos

Topología de Red

Tabla 3 Topología de red

CARACTERIZACION DE LA CARGA

La empresa cuenta con un servidor el cual asigna las direcciones IP, Mascara y Gateway

correspondiente a cada computador de las distintas áreas. Es de hacer notar que, aunque los

equipos se encuentran en oficinas distintas los diferentes operadores pueden acceder a sus

módulos departamentales desde otras oficinas ya que cada usuario posee un nivel de acceso

correspondiente a su jerarquía y departamento al cual pertenezca.

DETERMINACION DE HIPOTESIS

En la búsqueda de datos se evidencio un departamento sumamente seguro tanto a nivel físico

como en la confidencialidad de los datos; además los registros de auditorías y controles internos

han arrojado excelentes resultados en cuanto a la correcta ejecución del plan estratégico definida

por la junta directiva. Sin embargo, se identificarán posibles fugas de información debido a

técnicas aplicada en la TI que debieran ser corregidas y presentarlas para un posterior análisis.

Página 20 de 31
UNIVERSIDAD NACIONAL DE PIURA - 2019

Página 21 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

CAPITULO III. INFORME TECNICO

ALCANCE

La auditoría pretende evaluar el departamento de informática de la empresa INGRA

SOLUTIONS E.I.R.L mediante el proceso el auditor proporcionará conclusiones y

recomendaciones a las actividades que son realizadas en dicha organización empleando la

metodología COBIT 4.1.

OBJETIVOS GENERALES

Realizar auditoria al departamento de informática INGRA SOLUTIONS E.I.R.L mediante el

uso de la metodología COBIT 4.1.

OBJETIVOS ESPECIFICOS

 Identificar los problemas técnicos en el departamento de Informática de INGRA

SOLUTIONS E.I.R.L y sus posibles soluciones.

 Elaborar Informes de auditoría en los que se establezca hechos relevantes.

 Evaluar la seguridad en el área informática.

RESULTADOS DE LA EVALUACION DE CADA PROCESO

DOMINIO, PLANEAR Y ORGANIZAR

PO1. DEFINIR UN PLAN ESTARTEGICO

CONCLUSION: El proceso se encuentra en el nivel de madurez incorrecto, debido a que no

cuenta con un plan estratégico establecido.

RECOMENDACIÓN COBIT: Alinear el departamento de sistema con el negocio, e

instruir a los encargados del área sobre las capacidades tecnológicas de la actualidad y el futuro.

PO2. DEFINIR LA ARQUITECTURA DE LA INFORMACION

CONCLUSION: El proceso se encuentra en el nivel de madurez 1, a pesar de su

importancia no se elabora.

Página 22 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

RECOMENDACIÓN COBIT: Definir e implementar procedimientos para brindar

integridad y consistencia de los datos o información crítica y sensible que se encuentran

almacenados en el departamento de informática de INGRA SOLUTIONS E.I.R.L.

PO3. DETERMINAR LA DIRECCION TECNOLOGICA

CONCLUSION: El proceso se encuentra en el nivel de madurez 1, puesto que el desarrollo

de componentes tecnológicos e implantación de tecnologías emergentes son aisladas.

RECOMENDACIÓN COBIT: Crear y mantener un plan de conferencias tecnológica que

se empareje con los planes estratégicos.

PO4. DEFINIR LOS PROCESOS, LA ORGANIZACIÓN Y LAS RELACIONES DEL

DEPARTAMENTO

CONCLUSION: El proceso se encuentra en el nivel de madurez 2 puestos que las

necesidades de los usuarios y relaciones con las personas que desean recibir conferencias y se

responden de forma táctica, aunque inconsistentemente.

RECOMENDACIÓN COBIT: Definir un marco de trabajo para el proceso del

departamento de infraestructura para ejecución del plan estratégico, incluyendo la estructura y

relaciones de procesos.

PO5. ADMINISTRAR LA INVERSION DEL DEPARTAMENTO DE

INFRAESTRUCTURA

CONCLUSION: La responsabilidad y redición de cuenta para la selección de propuestos de

inversiones son asignadas en específico al Jefe de Departamento financiero.

RECOMENDACIÓN COBIT: Incluir un análisis de costo y beneficio a largo plazo del

ciclo total de vida en la toma de decisiones de inversiones

DOMINIO, ADQUIRIR E IMPLEMENTAR

AI1. IDENTIFICAR SOLUCIONES AUTOMATIZADAS

CONCLUSION: El proceso se encuentra en el nivel de madurez 1 puesto que existe la

conciencia de la necesidad de definir requerimientos y de identificar soluciones tecnológicas, las

necesidades son analizadas de manera informal y por ciertos individuos.

Página 23 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

RECOMENDACIÓN COBIT: Resaltar, priorizar, especificar los requerimientos

funcionales y técnicos del departamento de sistemas de INGRA SOLUTIONS E.I.R.L.

priorizando el desempeño, el costo, la confiabilidad, la compatibilidad, la auditoría, la

seguridad, la disponibilidad, y continuidad, la funcionalidad y la legislación.

AI2. ADQUIRIR Y MANTENER SOFTWARE APLICATIVO

CONCLUSION: El proceso se encuentra en el nivel de madurez 2 por cuanto existen

procesos de adquisición y mantenimiento de software aplicativo en base a la experiencia.

RECOMENDACIÓN COBIT: Realizar un diseño detallado, y los requerimientos técnicos

del software y garantizar integridad de la información.

AI3. ADQUIRIR Y MANTENER LA INFRAESTRUCTURA TECNOLOGICO

CONCLUSION: El proceso se encuentra en el nivel de madurez 1, ya que no se cuenta con

un plan de adquisición de tecnología, por lo tanto, no se controlan los procesos de adquirir,

implantar y actualizar infraestructura tecnológica.

RECOMENDACIÓN COBIT: Proteger la infraestructura tecnológica mediante medidas de

control interno, seguridad durante la configuración, integración y mantenimiento de hardware y

software de la infraestructura tecnológica.

AI4. FACILITAR LA OPERACIÓN Y EL USO

CONCLUSION: El proceso se encuentra en el nivel de madurez 1, puesto que no existe una

generación de documentación, pero se tiene la conciencia de que es necesario.

RECOMENDACIÓN COBIT: Realizar transferencia de conocimientos a la parte gerencial

lo cual permitirá que tomen posesión del sistema y los datos.

AI5. ADQUIRIR RECURSOS DE TECNOLOGIA DE INFORMACION

CONCLUSION: El proceso se encuentra en el nivel de madurez 4, ya que la adquisición se

integra totalmente con los sistemas generales del gobierno, sigue el proceso de compras

públicas en de algún recurso de tecnología de información.

RECOMENDACIÓN COBIT: Establecer buenas relaciones con la mayoría de

Especialistas y socios y hacer cumplir los derechos y obligaciones de ambas partes en los

términos contractuales.

Página 24 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

DOMINIO, ENTREGAR Y DAR SOPORTE

DS1. DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO

CONCLUSION: El proceso se encuentra en el nivel de madurez 1, ya que no se administra

los niveles de servicio, la rendición de cuentas no se encuentra definido realmente.

RECOMENDACIÓN COBIT: Se debe definir un marco de trabajo para la administración

de los niveles de servicio y realizar un monitoreo y reporte del cumplimiento.

DS2. ADMINISTRAR LOS SERVICIOS DE TERCEROS

CONCLUSION: El proceso se encuentra en el nivel de madurez 3 por cuanto existen

procedimientos documentados para controlar los servicios de terceros, los procesos son claros

para realizar la negociación con los proveedores.

RECOMENDACIÓN COBIT: Establecer criterios formales y estandarizados para realizar

la definición de los términos del acuerdo y asignar responsables para la administración del

contrato y del proveedor.

DS3. ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD

CONCLUSION: El proceso se encuentra en el nivel de madurez 1, puesto que los usuarios

regularmente tienen que resolver los inconvenientes que se presenten para aplacar las

limitaciones de desempeño y capacidad.

RECOMENDACIÓN COBIT: Establecer métricas de desempeño y evaluación de la

capacidad y realizar un monitoreo continuo del desempeño y la capacidad de los recursos.

DS4. GARANTIZAR LA CONTINUIDAD DEL SERVICIO

CONCLUSION: El proceso se encuentra en el nivel de madurez ,1 por cuanto no se cuenta

con un plan de continuidad de servicios.

RECOMENDACIÓN COBIT: Realizar pruebas regulares del plan de continuidad, de

forma que asegure que los sistemas sean recuperados de forma efectiva.

DS5. GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS

Página 25 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

CONCLUSION: El proceso se encuentra en el nivel de madurez 1, ya que la seguridad de

los sistemas se encuentra a cargo de un solo individuo el cual es el Jefe del departamento de

sistemas, no existen responsabilidades claras.

RECOMENDACIÓN COBIT: Realizar pruebas a la implementación de la seguridad, de

igual forma monitorearla, para garantizar que las características de posibles incidentes de

seguridad sean definidas y comunicadas de forma clara y oportuna.

DOMINIO, MONITOREAR Y EVALUAR

ME1. MONITOREAR Y EVALUAR EL DESEMPEÑO DEL DEPARTAMENTO DE

INFORMATICA

CONCLUSION: El proceso se encuentra en el nivel de madurez 0, por cuanto no se cuenta

con un proceso implementado de monitoreo, así como con reporte útiles, oportunos y precisos

sobre el desempeño.

RECOMENDACIÓN COBIT: Definir y recolectar los datos del monitoreo mediante

un conjunto de objetivos, mediciones, metas y comparaciones de desempeño, comparándolo

periódicamente con las metas.

ME2. MONITOREAR Y EVALUAR EL DESEMPEÑO DEL DEPARTAMENTO DE

INFORMATICA

CONCLUSION: El proceso se encuentra en el nivel de madurez 0, por cuanto, No se tiene

procedimientos para monitorear la efectividad de los controles internos.

RECOMENDACIÓN COBIT: Realizar una autoevaluación del control interno de la

administración de procesos, políticas y contratos, mediante revisiones de terceros asegurar la

completitud y efectividad de los controles internos.

ME3. GARANTIZAR EL CUMPLIMIENTO REGULATORIO

CONCLUSION: El proceso se encuentra en el nivel de madurez 1 por cuanto, se siguen

procesos informales para mantener el cumplimiento regulatorio.

RECOMENDACIÓN COBIT: Tener muy en cuenta las leyes y reglamentos del comercio

electrónico, privacidad, flujo de datos, reportes financieros, propiedad intelectual, etc.

Página 26 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

ME4. PROPORCIONAR GOBIERNO DE TECNOLOGIA DE INFORMACION

CONCLUSION: El proceso se encuentra en el nivel de madurez 0 por cuanto no existe

procesos de gobierno.

RECOMENDACIÓN COBIT: Contribuir al entendimiento del consejo directivo y de los

ejecutivos sobre temas estratégicos y garantizar la optimización de la inversión, uso y

asignación de los activos de mediante evaluaciones periódicas.

Página 27 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

CAPITULO IV

CONCLUSIONES

La auditoría de sistemas, es muy importante realizarlas en cierto tiempo ya que permite a

través de una revisión independiente, la evaluación de actividades, funciones específicas,

resultados u operaciones de una organización.

El auditor es responsable de revisar e informar a la Dirección de la Organización sobre el

diseño y el funcionamiento de los controles implantados y sobre la fiabilidad de la

información suministrada.

La realización, de la auditoria que se aplicó en la empresa INGRA SOLUTIONS E.I.R.L fue

muy satisfactoria y mostró resultados positivos para la empresa de prevención de accidentes

laborales y adiestramiento profesional ya que se determinaron los impactos sobre sus

criterios y su eficiencia.

En algunos casos los resultados obtenidos fueron las mejoras en los controles en los sistemas

de aplicación, mayor confianza y satisfacción del usuario, mejor Asesoría en la

conformación del Comité de Salud y Seguridad Laboral y mejores servicios y satisfacción de

sus clientes, Control de perdidas, por concepto de costos enfermedades, médicos,

compensación, legales, materiales, equipos, entre otros.

Con la aplicación de la auditoria se buscaba como resultado certificar los informes

presentados de auditorías anteriores y los correspondientes controles internos dictaminados

por la Junta Directiva, evaluar el departamento de sistemas de la empresa INGRA

SOLUTIONS E.I.R.L, buscar brechas de seguridad no identificadas en auditorias y controles

internos efectuados con anterioridad mediante el proceso.

El auditor proporciono conclusiones y recomendaciones a mediano plazo a las actividades

que se realizan en dicha organización empleando la metodología COBIT.

El desarrollo e implementación de la auditoria aporto grandes beneficios y opciones para el

mejoramiento de la empresa y así la posibilidad de poder funcionar con más satisfacción y

Página 28 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

organización, cada grafico cumpliendo su función en dar ideas claras para el buen

funcionamiento.

RECOMENDACIONES

El desarrollo de la auditoría interna propuesta para la empresa INGRA SOLUTIONS

E.I.R.L, se realizó con la finalidad de obtener los mejores niveles de rendimiento y así

búsqueda de brechas de seguridad no identificadas en auditorias y controles internos

efectuados con anterioridad. Por tal motivo, se recomienda:

 Realizar auditorías cada seis (6) meses.

 Establecer procedimientos de respaldo para brindar integridad y consistencia de los

datos o información crítica y sensible que se encuentran almacenados.

 Realizar mantenimiento correctivo, preventivo de los equipos de cómputo.

 Realizar respaldos a toda la información que manejan los servidores.

 Realizar mantenimiento a sistemas cada tres (3) o seis (6) meses.

 Administrar de forma correcta los datos en el programa.

 Mantener actualizado los datos o información sobre la empresa INGRA SOLUTIONS

E.I.R.L.

Página 29 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

GLOSARIO

Auditoria: Tiene como finalidad evaluar y mejorar la eficacia y eficiencia de una

organización, al examinar su gestión.

Administración: Valida las operaciones de recaudación, realiza la facturación y cobranza y

ejecuciones presupuestarias, compras y servicios, recursos humanos y generación y entrega

de indicadores de gestión.

Base de datos: es una colección de información organizada de forma que un programa de

ordenador pueda seleccionar rápidamente los fragmentos de datos que necesite. Una base de

datos es un sistema de archivos electrónico

COBIT: Es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología

de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de

control, aspectos técnicos y riesgos de negocios.

Informática: es una ciencia que estudia métodos, procesos, técnicas, con el fin de

almacenar, procesar y transmitir información y datos en formato digital. La informática se ha

desarrollado rápidamente a partir de la segunda mitad del siglo XX, con la aparición de

tecnologías tales como el circuito integrado, Internet y el teléfono móvil.

Registro y Análisis: Cuya función corresponde a la auditoría interna de los procesos y

administración del archivo físico.

RRHH: En la administración de empresas, se denomina recursos humanos (RRHH) al

trabajo que aporta el conjunto de los empleados o colaboradores de una organización. Pero lo

más frecuente es llamar así a la función o gestión que se ocupa de seleccionar, contratar,

formar, emplear y retener a los colaboradores de la organización. Estas tareas las puede

desempeñar una persona o departamento en concreto junto a los directivos de la

organización.

Sistematización: Proceso constante y aditivo de elaboración de conocimiento luego de la

experiencia en una realidad específica. Consiste en el primer nivel de teorización de la

práctica.

Página 30 de 31
 UNIVERSIDAD NACIONAL DE PIURA - 2019

Sistematización de información: Ordenamiento y clasificación bajo determinados criterios,

relaciones y categorías de todo tipo de datos, ejemplo la creación de una base de datos

Sistematización de experiencias: Las experiencias son vistas como procesos desarrollados

por diferentes actores en un período determinado de tiempo, envueltas en un contexto

económico y social, en una institución determinada.

Página 31 de 31