Trabajo Final

UNIVERSIDAD PRIVADA ANTENOR ORREGO
FACULTAD DE CIENCIAS ECONÓMICAS

ESCUELA PROFESIONAL DE CONTABILIDAD
AUDITORIA DE TECNOLOGÍAS DE INFORMACIÓN APLICADA A LA

CONTABILIDAD
AUTORES:
ALBAN RAYMUNDO, ZHULL DEINNY
CORREA RUESTA, MARIA FERNANDA
DEL ROSARIO MOGOLLON, ARIANA
GARAVITO GUTIERREZ, GUILLERMO MANUEL
GONZALES CEVALLOS, ESTEFANY KATERINE
GONZALES IMAN, EDGARD FABRICIO
RODRIGUEZ MONZON, EDDY CARLOS
ROJAS LOZANO, JHOSELEEN MELISA
ZUÑIGA RIVERA, AARON VLADYMIRO
DOCENTE:
GARCÍA MANDAMIENTOS, EDME MARTHA
JURADO ROSAS, ADOLFO ANTENOR
Perú - 2022
INDICE
CAPÍTULO I: PLANEAMIENTO DE LA AUDITORÍA..............................................................4

1.1. Memorándum de Planificación....................................................................................4
1.1.1. Descripción de la empresa auditada....................................................................4
1.1.2. Características y problemática vinculada al sistema contable (especificar el n° de
computadoras y el tiempo, internet)................................................................................5
1.1.3 Objetivos.................................................................................................................... 6
1.1.3.1. Objetivo General................................................................................................6
1.1.3.2 Objetivos Específicos..........................................................................................6
1.1.4 Alcance y Limitaciones..............................................................................................7
1.1.5 Metodología............................................................................................................... 7
Capítulo II: EJECUCIÓN Y APLICACIÓN DE MÉTODOS Y TÉCNICAS...............................9
2.1. Cuestionarios del Del Dominio: Planteamiento y Organización...................................9
2.2. Cuestionario del Dominio: Adquirir e Implementar......................................................9
2.3. Cuestionario Del Dominio: Entrega Y Soporte.......................................................10
2.4 Cuestionario del Dominio: Monitoreo y Organización..................................................11
Capítulo III............................................................................................................................ 17
PAPELES DE TRABAJO ADICIONALES.............................................................................17
Capítulo V. DICTAMEN........................................................................................................20
CAPÍTULO I: PLANEAMIENTO DE LA AUDITORÍA
1.1. Memorándum de Planificación
1.1.1. Descripción de la empresa auditada
1.1.1.1 Razón Social
HTYV CORPORACIÓN EMPRESARIAL S.A.C.
1.1.1.2 Ruc y Dirección Fiscal

RUC: 20530091075
DIRECCION: MZA. G1 LOTE. 34 URB. LAS CASUARINAS PIURA - PIURA -

VEINTISEIS DE OCTUBRE
1.1.1.3 Actividades y Fecha de Inscripción:
Principal - 4210 - CONSTRUCCIÓN DE CARRETERAS Y VÍAS DE FERROCARRIL
Secundaria 1 - 4290 - CONSTRUCCIÓN DE OTRAS OBRAS DE INGENIERÍA CIVIL
Secundaria 2 - 4220 - CONSTRUCCIÓN DE PROYECTOS DE SERVICIO PÚBLICO
Fecha de Inscripción: 13/12/2013
Fecha de Inicio de Actividades: 01/04/2014
1.1.1.4 Misión
Somos una empresa piurana, en el sector construcción , comprometida a satisfacer
las necesidades en servicios, consultorías y ejecución de proyectos de arquitectura y obra
civil de ámbito público y privado; cumplimento a satisfacción cada una de las necesidades y
expectativas de nuestros clientes, antes, durante y después de finalizado el proyecto. ,
proponiendo soluciones viables y confiables; contribuyendo así al éxito en conjunto con
nuestros clientes y desarrollo de nuestra región.
1.1.1.5 Visión
Busca ser una empresa reconocida y posicionada en todo el mercado nacional,
siendo siempre la referencia en altos estándares de competitividad, rentabilidad y calidad.
Siendo siempre la respuesta a cualquier reto de nuestros clientes, buscando ser la diferencia
siempre orientados al servicio de calidad, compromiso, profesionalismo, vanguardismo y
eficacia en todos los proyectos realizados.
1.1.2. Características y problemática vinculada al sistema contable (especificar el n°

de computadoras y el tiempo, internet)
La empresa HTYV CORPORACIÓN EMPRESARIAL S.A.C. cuenta con 3
computadoras de escritorio para el área de contabilidad, las cuales se compraron en octubre
del 2020. Están conectadas a internet inalámbrico.
La empresa trabaja HTYV CORPORACIÓN EMPRESARIAL S.A.C. con el sistema

contable Wincontall el cual se implementó en el año 2018, en la versión 10.00. Este sistema
contable Wincontall, tiene una innovación constante de acuerdo a las disposiciones tributarias
Sunat, su registro de una operación se actualizan todos los libros contables importa y exporta
automáticamente información de Excel, TXT y PDF.
Una problemática que actualmente se presenta en la empresa HTYV CORPORACIÓN

EMPRESARIAL S.A.C. es que debido a la gran cantidad de información que ahora maneja,
el almacenamiento de los equipos queda muy chico, llegando al grado, en el cual las
máquinas no responden y hay riesgo de pérdida de datos importantes. Además de esto se
detectó también hay un problema con la seguridad de los accesos, debido a que los 3
trabajadores del área de contabilidad tienen acceso a todo el sistema, haciendo así que en
cualquier momento se puede vulnerar la información de la empresa con beneficios de los
propios.
1.1.3 Objetivos
1.1.3.1. Objetivo General
Determinar el nivel de los dominios de COBIT en área de contabilidad de la empresa HTYV
CORPORACIÓN EMPRESARIAL S.A.C., año 2022.
1.1.3.2 Objetivos Específicos
• “Determinar el nivel de madurez del Dominio Planeamiento y Organización en área
de contabilidad la Empresa HTYV CORPORACIÓN EMPRESARIAL S.A.C., año
2022.”
• “Determinar el nivel de madurez del Dominio Adquisición e Implementación en área
de contabilidad la Empresa HTYV CORPORACIÓN EMPRESARIAL S.A.C, año
2022.”
• “Determinar el nivel de madurez del Dominio Entrega y Soporte en área de
contabilidad la empresa HTYV CORPORACIÓN EMPRESARIAL S.A.C., año
2022.”
• “Determinar el nivel de madurez del Dominio Monitoreo y Evaluación en área de
contabilidad la Empresa HTYV CORPORACIÓN EMPRESARIAL S.A.C., año
2022.
1.1.4 Alcance y Limitaciones
La presente auditoría pretende identificar las condiciones actuales del hardware y
software de la empresa HTYV CORPORACIÓN EMPRESARIAL S.A.C., con el fin de
verificar el cumplimiento de las normas, el estado y el correcto uso y funcionamiento de los
sistemas.
De equipos o hardware se evaluará:
Inventarios de hardware y equipos.
Historial de adquisiciones de cómputo y sus características
De software se evaluará:
ü Registros de Compras y Ventas
ü Libro Diario y Mayor.
ü Seguridad, Funciones y Correcto uso del Software WINCONTALLL.
ü Consolidación de Información para Libros Electrónicos (PLE).
1.1.5 Metodología
a) Investigación preliminar
Se realizaron una recaudación de información a través de entrevistas virtuales por

falta de disponibilidad y tiempo de parte de los trabajadores de la empresa. A través
de diálogos con una serie de preguntas a las personas que tienen acceso al wincontall
para conocer la realidad de la organización.
b) Recolectar información
Se hizo un breve cuestionario adaptado con los cuestionarios de COBIT, para los
trabajadores con acceso al wincontall, con la finalidad de conocer las fortalezas y
debilidades de la empresa HTYV CORPORACIÓN EMPRESARIAL S.A.C.
c) Ejecución de pruebas
Se verificará la disponibilidad y funcionamiento de los equipos informáticos que están

en uso dentro de la empresa.
d) Tratamiento de riesgos
Tener una estrategia de riesgos que nos ayudará a facilitar y solucionar de forma más
eficaz los riesgos que se detecten dentro de la auditoría en la empresa.
e) Dictamen de la auditoría
Se dictaminará el grado de madurez que poseen las distintas áreas de la empresa

auditadas según lo encontrado
f) Informe final de auditoría
Finalmente se desarrollará el informe técnico según lo auditado.

Capítulo II: EJECUCIÓN Y APLICACIÓN DE MÉTODOS Y TÉCNICAS
Se elaboraron 4 cuestionarios en Google forms, entrevistando a el contador y asistentes que
tengan acceso directo al sistema.
2.1. Cuestionarios del Del Dominio: Planteamiento y Organización

Para poder medir el grado de madurez del dominio de planeamiento y Organización
se estructuró un cuestionario de 30 preguntas que se implementaron de acuerdo a la realidad
de la empresa HTYV CORPORACIÓN EMPRESARIAL S.A.C, estas preguntas están
divididas por 10 dominios, y cada dominio tiene 3 preguntas, el cual se le realiza a la persona
encargada del área contable y asistentes con acceso directo al sistema.
TABLA Nª1
DOMINIO: Planeamiento y organización N° Preguntas
PO01. Plan estratégico 3
PO02. Arquitectura de la Información 3
PO03 Dirección tecnológica 3
PO04. Procesos, organización y relaciones de TI. 3
PO05. Inversión en TI 3
PO06. Nivel de comunicación entre los miembros de TI 3
PO07. Recursos humanos de TI. 3
PO08. Calidad 3
PO09. Riesgos de TI 3
PO10. Proyectos de TI 3
TOTAL DE PREGUNTAS 30
2.2. Cuestionario del Dominio: Adquirir e Implementar
Para poder medir el grado de madurez del dominio de Adquirir e Implementar se
estructuró un cuestionario de 21 preguntas que se implementaron de acuerdo a la realidad de
la empresa HTYV CORPORACIÓN EMPRESARIAL S.A.C, estas preguntas están divididas
por 7 dominios, y cada dominio tiene 3 preguntas, el cual se le realiza a la persona encargada
del área contable y asistentes con acceso directo al sistema.
TABLA Nº2
DOMINIO: ADQUIRIR E IMPLANTAR

N° Preguntas
AI01. Identificación de Soluciones Automatizadas 3
AI02. Software Aplicativo 3
AI03. Infraestructura Tecnológica 3
AI04. Operación y Uso 3
AI05. Adquirir Recursos de TI 3
AI06. Administración de cambios 3
AI07. Instalación y Acreditación de soluciones y 3

cambios
2.3. Cuestionario Del Dominio: Entrega Y Soporte
por 13 dominios, y cada dominio tiene 3 preguntas, el cual se le realiza a la persona
TABLA Nº3
DOMINIO: ENTREGA Y SOPORTE N° Preguntas
DS01. Niveles de servicios 3
DS02. Servicios de terceros 3
DS03. Desempeño y capacidad 3
DS04. Continuidad del servicio 3
DS05. Seguridad de los sistemas 3
DS06. Costos 3
DS07. Capacitación 3
DS08. Mesa de Servicio e Incidentes. 3
DS09. Configuración 3
DS10. Problemas 3
DS11 Datos 3
DS12. Ambiente Físico 3
DS13. Operaciones 3
2.4 Cuestionario del Dominio: Monitoreo y Organización

por 12 dominios, y cada dominio tiene 3 preguntas, el cual se le realiza a la persona
TABLA Nº4
DOMINIO: Monitorear y evaluar N° Preguntas
MO01. Monitorear y evaluar el desempeño de TI 3
MO02. Monitorear y evaluar el control interno 3
MO03. Garantizar el cumplimiento con requerimientos 3

externos.
MO04. Proporcionar gobierno de TI. 3
2.5. Tabulación por Dominio COBIT.
Se tabularon los resultados obtenidos de los 4 dominios (Anexo N.°.) presentando y
organizando la información obtenida en tablas y cuadros estadísticos.
2.5.1. Dominio 01: Planeamiento y Organización
Tabla Nº 5
Fuente: Elaboración propia
Gráfico Nº 1
El 67% de los empleados encuestados consideraron que los procedimientos de

planificación se encuentra un nivel de madurez 2 AD-HOC / INICIAL, están en proceso de
implementar de manera formal un plan estratégico al igual que definir niveles de seguridad de
la clasificación de datos.
Para finalizar el 33% de los empleados encuestados consideraron que los

procedimientos de planificación se encuentra un nivel de madurez 3 REPETITIVO dado que
los procesos no han sido refinados a los niveles de las mejores prácticas y necesitan
mecanismos de aprobación documentados y acordados, para garantizar que se sigan todos los
pasos y se autoricen las excepciones.
2.5.2. Dominio 02: Adquirir e Implementar
Tabla Nº 6
Gráfico Nº 2

planificación se encuentra un nivel de madurez 3 REPETITIVO dado que los procesos ya han
sido desarrollados en escena con procedimientos similares los cuales son aplicados por
diferentes personas sobre una misma tarea.
Para finalizar el 33% de empleados encuestados consideraron que los procedimientos
de planificación se encuentra un nivel de madurez 4 DEFINIDO, ya que se utiliza
procedimientos recomendados y se generan soluciones.
2.5.3. Dominio 03: Entrega y Soporte de las Tecnologías de Información y

Comunicaciones
Tabla Nº 7
Gráfico Nº 3
120%
100%
80%
60%
100%
40%
20%
0% 0% 0% 0% 0% 0%
Nulo Ad-Hoc/ Repetitivo Definido Administrado Optimizado
Inicial
El 100% de los empleados encuestados consideraron que el dominio de Entrega y

Soporte de las Tecnologías de Información y Comunicaciones se encuentra un nivel de
madurez 2 AD-HOC / INICIAL, pues la gerencia reconoció que necesitaba un proceso
respaldado por herramientas y personas para responder a las solicitudes de los usuarios y
administrar la resolución de incidentes, también la organización reconoce la necesidad de
seguridad de TI. La percepción de las necesidades de seguridad depende en gran medida del
individuo. La seguridad de TI se realiza de forma reactiva. No mide la seguridad informática.
2.5.4. Dominio 04: Monitoreo y Evaluación
Tabla Nº 8

Gráfico Nº 4

El 100% de los empleados encuestados consideraron que el dominio de monitoreo de
evaluación un nivel de madurez 2 AD-HOC / INICIAL la gerencia reconoce una necesidad
de recolectar y evaluar información sobre los procesos de monitoreo, no se han identificado
procesos estándar de recolección y evaluación. También comprender los requisitos de
cumplimiento normativo, legal y contractual que afectan a la organización y seguir procesos
informales para garantizar el cumplimiento, pero solo cuando sea necesario para nuevos
proyectos o en respuesta a auditorías o revisiones.
Capítulo III: PAPELES DE TRABAJO ADICIONALES.
3.1 formulario solicitud de accesos a los sistemas
FORMULARIO
SOLICITUD DE ACCESOS A LOS SISTEMAS
EMPRESA HTYV CORPORACIÓN EMPRESARIAL S.A.C.
Fecha 15/12/2022
Nombre empleado: Percy Miranda Puesto: Contador
Jefe directo: Hesvi Durand - Vanesa Rivera

Departamento: Asistente Contable
Sistema:
(x) Sistema Wincontall (x) Windows () Correo Electrónico
Roles:
Declaración de PDT.
Registros de guías de Remisión

Actividades:
Emisión de reportes
Registro de compras y ventas en el sistema Wincontall
FIRMA DE APROBACIÓN
3.2 Reportes Accesos al sistema Wincontall
Usuario Nombr Rol Acceso al sistema WINCONTALL

e
Ingr Ingres Ingres Ingres Ingres Ajuste Prepa
esos os de os de os de os de s ración
de ventas recibo banco asient contab de
com s por s os les estado
pra honor contab s
arios les al contab
libro les
diario
Yulyo Vanesa Asist X X X

Rivera ente
cont
able
Hesvin Hesvin Asist x X x

Duran ente
d cont
able
Percy Percy Cont X x

Miran ador
da
Interpretación:
En el reporte de accesos al sistema Wincontall se ha podido identificar que en el área de
contabilidad se trabaja con 1 contador el cual realiza la función de la preparación de los
estados contables y ajustes contables, con ayuda de 2 asistentes contables los cuales tienen
diferentes funcionalidades como se muestra en el reporte.
Funciones Funciones Funciones Funciones

incompatibles incompatibles incompatibles incompatibles
Puesto / #1 #2 #3 #4
Usuario Recepcion
Envíos de Ajustes Recepción Liberacion
de Ajustes de Ajustes de Solicitud
productos a de de Solicitud de
mercanci inventario mermas de Pedido
proveedores inventario materiales pedido
a
ASISTENTE DE
CONTABILIDAD x x
ASISTENTE DE
CONTABILIDAD x x
CONTADOR
3.3. Funciones Incompatibles
Interpretación: Cuando se gana una licitación el gerente es el que presenta con el presupuesto,
el cual el presupuesto lo elabora los ingenieros a través de un estudio técnico, luego de ello se
hace el pedido la gerencia realiza el contrato y esa orden pasa a contabilidad para que
contabilidad a través de sus áreas para compra material.
3.4 Auditoria de los Accesos de los usuarios.
Acceso
Comentari
# Usuario Departamento Puesto Roles Accesos apropiado?
o
Si / No
Elabora la planilla
haciendo cálculos
de los beneficios
sociales, sueldos, Cada asistente
honorarios (por
tiene un código
1
Vanesa Contabilidad
Asistente de
planilla
tiempos de obras), ,
Si y contraseña
Rivera contabilidad
del sistema
Wincontall
Cada asistente
2
Hesvin Contabilidad
Asistente de Declaracine
Realiza las si tiene un código
Durand contabilidad s
declaraciones y contraseña
mensuales y del sistema
anuales, Wincontall
La matriz está
instalada en la
Contabilida máquina del
3
Percy Contabilidad Verificacion d general El contador
si
contador
general verifica
Miranda que todo vaya
general, de ahí
se distribuye a
bien para realizar 2 maquinas
la declaración. anexas.
Estadísticas Estadísticas
Interpretación: El contador verifica el trabajo que realiza los asistentes y da el visto bueno para las declaraciones.
Capítulo V. DICTAMEN
15 de diciembre del 2022
Sr. Yurivanesa Huancas Tineo

Gerente General
HTYV CORPORACIÓN EMPRESARIAL SAC
Me permito remitir a Usted el Informe de Resultados de la Auditoría practicada a las

instalaciones de la Empresa HTYV CORPORACIÓN EMPRESARIAL SAC que
se realizó el 15 de diciembre del 2022
La revisión realizada fue de carácter integral y comprendió el planeamiento y organización

de las TIC, la adquisición e implementación, la entrega y soporte y del monitoreo y
evaluación de TIC.
En el citado informe encontrará el dictamen y las condiciones a las cuales se llegó después
de la aplicación de las técnicas y procedimientos de la auditoría de sistemas de tipo integral.
Quedo de Usted para cualquier aclaración al respecto.
______Albán Raymundo, Zull __________

Nombres y apellidos del responsable
D.N.I.: 75051920
DICTAMEN DE LA AUDITORÍA
Resultados de análisis por dominio COBIT auditado, una vez revisadas las observaciones y
aclaraciones hechas por la empresa al grupo auditor:
La presentación se realiza por DOMINIO.
CUESTIONARIO DEL DOMINIO: PLANTEAMIENTO Y ORGANIZACION
CUESTIONARIO DEL DOMINIO: ADQUIRIR E IMPLEMENTAR
CUESTIONARIO DEL DOMINIO: ENTREGA Y SOPORTE
CUESTIONARIO DEL DOMINIO: MONITOREO Y EVALUACION
DOMINIO COBIT: PLANEAMIENTO Y ORGANIZACIÓN.
1. Objetivo de la Auditoria:
Determinar el nivel de madurez del dominio Planeamiento y Organización de TIC en
la empresa HTYV CORPORACIÓN EMPRESARIAL SAC , año 2022.
1. Conclusión
Se califica un nivel de madurez 3 REPETITIVO, dado que los procesos no han sido refinados
a los niveles de las mejores prácticas y necesitan mecanismos de aprobación documentados y
acordados, para garantizar que se sigan todos los pasos y se autoricen las excepciones.
3. Hallazgos que soportan el Dictamen:

 Los procesos de adquisición de hardware y software no están
alineados con políticas de costo beneficio, asimismo no se
documentan y no existe un plan para su adquisición.
 Se evidenció la falta de planes estratégicos que enmarquen los
objetivos de TI y la falta de documentación de un plan de
infraestructura para la organización.
 No han sido asignada las funciones al personal en materia de gestión
de calidad y evaluación de riesgos de TI.
4. Acciones de mejora:
 Documentar los procesos de adquisición de hardware y software, asimismo

formalizar mediante documentos las políticas de su adquisición basadas en el
costo beneficio.
 Documentar el plan estratégico donde enmarque los objetivos de TI, y que se
alinee a los objetivos planteados, asimismo implementar y documentar un
plan de infraestructura para la organización.
 Asignar funciones de gestión de calidad y evaluar los riesgos de TI en la

organización, de esta manera se puede estar listo para diferentes
inconvenientes que se pueden presentar en la organización.
DOMINIO COBIT: ADQUIRIR E IMPLEMENTAR
Determinar el nivel de madurez del Dominio Adquisición e Implementación en área de
contabilidad la Empresa HTYV CORPORACIÓN EMPRESARIAL S.A.C, año 2022.
2. Conclusión
planificación se encuentra un nivel de madurez 3 REPETITIVO dado que los
procesos ya han sido desarrollados en escena con procedimientos similares los cuales
son aplicados por diferentes personas sobre una misma tarea.

 No se ha realizado el mantenimiento correspondiente del software de varios
aplicativos que utiliza la empresa
 No se encontró manuales de uso para los diferentes softwares que maneja la
empresa.
 Las metodologías de prueba antes de las instalaciones de software se realizan
de manera desorganizada
 No existen procedimientos y normas de aceptación de las tecnologías, por lo
que estas se realizan de manera intuitiva
DOMINIO COBIT: ENTREGA Y SOPORTE
Determinar el nivel de madurez del Dominio Entrega y Soporte en área de contabilidad la
empresa HTYV CORPORACIÓN EMPRESARIAL S.A.C., año 2022.
2. Conclusión
Se califica un nivel de madurez un nivel de madurez 2 AD-HOC / INICIAL, pues la
gerencia reconoció que necesitaba un proceso respaldado por herramientas y personas para
responder a las solicitudes de los usuarios y administrar la resolución de incidentes, también
la organización reconoce la necesidad de seguridad de TI. La percepción de las necesidades
de seguridad depende en gran medida del individuo. La seguridad de TI se realiza de forma
reactiva. No mide la seguridad informática.
Acciones de mejora
 Definir un plan de trabajo con respecto al nivel de servicio
 Actualizar la agenda de proveedores
 Implementar procesos para medir la capacidad de los proveedores
 Medir y documentar la capacidad de los servicios de internet y redes
Hallazgos que soportan el Dictamen:
 No existe un plan de trabajo definido con respecto al nivel de servicio, debido a que las
actividades de la empresa son realizadas de manera tradicional y automática.
 Los catálogos de servicios son dados de manera informal, debido a que no hay un
proceso monitorizado o automático. Esto impide que, los servicios no sean
identificados al momento de ofrecerlos.
 Lo que respecta a requerimientos por parte de los servicios, son dados de manera
tradicional, a través de documentos. Visualizando la ineficiencia, porque un software
contable lo haría de manera automática y eficaz.
DOMINIO COBIT: MONITOREO Y EVALUACIÓN
Determinar el nivel de madurez del Dominio Monitoreo y Evaluación en área de
contabilidad la Empresa HTYV CORPORACIÓN EMPRESARIAL S.A.C., año
2022.
2. Conclusión
Se califica un nivel de madurez un nivel de madurez 2 AD-HOC / INICIAL, la
gerencia reconoce una necesidad de recolectar y evaluar información sobre los procesos de
monitoreo, no se han identificado procesos estándar de recolección y evaluación. También
comprender los requisitos de cumplimiento normativo, legal y contractual que afectan a la
organización y seguir procesos informales para garantizar el cumplimiento, pero solo cuando
sea necesario para nuevos proyectos o en respuesta a auditorías o revisiones.

 Se evidencio que no existe un personal capacitado para realizar los
procedimientos de monitoreo y evaluación, debido a que no conoce lo
suficiente de los sistemas usados en la empresa, asimismo el monitoreo y
control se realiza informalmente
 Se evidencio la inexistencia de una auditoria de control con los documentos y

procedimientos correctos, por lo tanto, la se origina la ausencia de reportes y
posteriormente de medidas de control que ayuden a mejorar en el uso de las
TIC.
Acciones de mejora:
 Documentar los procesos de auditoría, elaborar informes y reportes para

llevar un control ordenado, eficaz y eficiente dentro de la empresa, asimismo
establecer medidas correctivas para la mejora continua.
 Capacitar en materia de monitoreo y evaluación de sistemas que se usan en

la empresa al personal encargado de ejercer este tipo de funciones, y si no
es esto posible tercerizar el servicio de control a un auditor externo a la
empresa.
CAPITULO V: ANEXOS
5.1. Organigrama de la Empresa.
Gerencia
(Yurivanesa Huancas)
Contabilidad Jefe de
Administración
(Percy maquinaria
(Ana Abarca)
Miranda) (Joel Cordova)
Asistente Asistente Asistente
contable contable administrativo
(Deybi (Hesvin Duran) (Jose Castro)
Ipanaque)
5.2. Análisis FODA de la Empresa.
Fortalezas Debilidades
1. Personal capacitado. 1. Falta de coordinación y organización del equipo

2. Herramientas de trabajo. de trabajo.
3. Se cuenta con un sistema contable. 2. Altos costos de mantenimiento para la
4. Proveedores y clientes con bajo poder de maquinaria.
negociación. 3. El área de contabilidad no cuenta con caja
5. Los proyectos cumplen con los estándares de chica.
calidad y plazos fijados. 4. Falta de marketing.
5. Falta de páginas web.
Oportunidades Amenazas
1. Activación de los proyectos públicos y privados. 1. Ingreso de nuevos competidores.

2. Atención al cliente presencial y por llamadas. 2. Inestabilidad económica.
3. Facilidades en las declaraciones mensuales. 3. Subida del dólar.
4. Cuenta con la posibilidad de obtener acceso a 4. Cambios constantes de precios en materiales de
créditos. construcción.
5. Variedad de proveedores en materiales de 5. Retraso de obras ejecutadas por el mal tiempo
construcción. del clima.
5.3. PROCESO CONTABLE.

PROCESO CONTABLE
ENVIÓ DE DOCUMENTO A NUESTRO

PROVEEDOR SOLICITÁ NDOLE
NUESTRO PEDIDO DE COMPRA DE
FORMA VIRTUAL.
SE ESPERA A QUE NUESTRO

PROVEEDOR TENGA NUESTROS
REQUERIMIENTOS LISTOS.
EL PROVEEDOR MANDA LA FACTURA DE

MANERA VIRTUAL (CON GUÍA DE REMISIÓ N SI
SE DA EL CASO)
CONTABILIDAD LA
REVISA SI TODO ESTA
CONFORME Y SE
COMUNICA A
ADMINISTRACIÓ N
PARA EL PAGO
CORRESPONDIENTE
5.4. CAPTURA DEL USO DEL SISTEMA.
LA FACTURA SE SE IMPRIME LA
INGRESA A FACTURA Y SE
Ingreso al Sistema Wincontall
5.5 Cuestionario Dominio 01: Planeamiento y Organización
ENCUESTA PARA MEDIR EL PERFIL DE GESTION DE TICS DOMINIO

“PLANEAMIENTO Y ORGANIZACION” SEGUN EL MODELO COBIT
DOMINIO: Planeamiento y organización

PROCESO: PO01. Plan estratégico
1. ¿Cómo se elabora el plan estratégico?
a) No se elabora
b) La elaboración del plan estratégico se realiza de manera informal
c) La elaboración del plan estratégico con técnicas tradicionales y no es documentado.
d) La elaboración del plan estratégico está definido y es documentado
e) El proceso de elaboración del plan estratégico es monitoreado
f) El proceso de elaboración del plan estratégico esta automatizado.
2. ¿Los sistemas de información contribuyen al logro de los objetivos del negocio?
a) Los Sistemas de Información no contribuyen.
b) Los Sistemas de Información no están alineados a los objetivos del negocio
c) Los Sistemas de Información son inconsistentes con los objetivos del negocio.
d) Los Sistemas de Información contribuyen parcialmente.
e) Los Sistemas de Información están alineados a los objetivos del negocio
f) Los Sistemas de Información contribuyen al cumplimiento de los objetivos del negocio.
3. ¿Las iniciativas de TI dan soporte a la misión y metas de la organización?
a) No existe iniciativas de TI
b) Las iniciativas de TI no están alineados las metas de la organización
c) Las iniciativas de TI no se sustentan con documentación
d) Las iniciativas de TI se sustentan con documentación
e) El proceso de las iniciativas de TI se monitorea
f) El proceso de las iniciativas de TI se automatizan
4. ¿Existen puntos de revisión para asegurar que los objetivos de TI a corto y largo
plazo continúan satisfaciendo los objetivos de la organización?
a) No existe revisión
b) Los puntos de revisión se realiza de manera informal
c) Los puntos de revisión se realiza siguiendo un patrón regular
d) Los procesos de revisión de los objetivos de TI está documentado
e) Los proseos de revisión de los objetivos de TI es monitoreado
f) Los proseos de revisión de los objetivos de TI esta automatizado
5. ¿Los planes de TI a corto y largo plazo, están dirigidos adecuadamente a los objetivos
de la institución?
a) No existen planes de TI
b) Los planes de TI se realiza de manera informal
c) Los planes de TI sigue un patrón regular, y no están alineados a los objetivos de la
organización
d) Los planes de TI, solo se documentan, mas no están alineados a los objetivos de la
organización
e) Los procesos de los planes de TI son monitoreados.
f) Los procesos de los planes de TI esta automatizado
PO02. Arquitectura de la Información
1. ¿Utiliza niveles apropiados de seguridad y controles de protección?
a) No se utiliza
b) Se realiza de manera informal
c) Los niveles de seguridad sigue un patrón regular, no documentado
d) Los procesos de seguridad son documentados y se comunican
e) Los procesos de seguridad son monitoreados y se miden
f) Los procesos de seguridad esta automatizado
2. ¿Se han definido sistemas apropiados para el tratamiento de la información, de tal
forma que permita la consistencia de datos?
a) No se han definido
b) El proceso de consistencia de datos se realiza de manera informal
c) El proceso de consistencia de datos sigue un patrón regular
d) El proceso de consistencia de datos se documenta y comunica
e) El proceso de consistencia de datos es monitoreado
f) El proceso de consistencia de datos esta automatizado.
3. ¿Se han definido niveles de seguridad para la clasificación de datos identificados?
a) No se han definido los niveles de seguridad
b) Los niveles de seguridad para la clasificación de datos se realiza de manera informal
c) Los niveles de seguridad para la clasificación de datos sigue un patrón
d) El proceso de los niveles de seguridad para la clasificación de datos se documenta
e) El proceso de los niveles de seguridad para la clasificación de datos se monitorea
f) El proceso de los niveles de seguridad para la clasificación de datos esta automatizado.
4. ¿Los niveles de seguridad representan el conjunto de medidas de seguridad y control
apropiado para cada una de las clasificaciones?
a) No existe niveles de seguridad
b) Los niveles de seguridad se realiza de realiza de manera informal
c) Los niveles de seguridad no son apropiados
d) El proceso de niveles de seguridad se documentan
e) El proceso de niveles de seguridad se monitorea
f) Los niveles de seguridad son los apropiados para cada una de las clasificaciones
5. ¿Existe un proceso de autorización que requiera que el propietario de los datos
autorice todos los accesos a estos datos?
a) No existe
b) El proceso de autorización de datos se realiza de manera informal
c) El proceso autorización de datos sigue un patrón regular
d) El proceso de autorización de datos no utiliza procedimientos documentados
e) Los procesos de autorización de datos es monitoreado y se miden
f) Los procesos de autorización de datos esta automatizado
PO03 Dirección Tecnológica
1. ¿El plan de infraestructura tecnológica está alineado a los planes estratégicos y
tácticos de TI?
a) El plan de infraestructura no está alienado a los planes estratégicos de TI
b) La alineación del plan de infraestructura tecnológica y los planes tácticos de TI se realiza
de manera informal.
c) La alineación del plan de infraestructura tecnológica y los planes tácticos de TI utiliza
procedimientos no documentados
d) La alineación del plan de infraestructura tecnológica y los planes tácticos de TI se
documenta
e) El proceso de alineación del plan de infraestructura tecnológica y los planes tácticos de TI
se monitorea
f) El proceso de alineación del plan de infraestructura tecnológica y los planes tácticos de TI
esta automatizado
2. ¿Se utiliza estándares tecnológicos para el diseño de arquitectura de TI?
a) No se utiliza estándares para el diseño de la arquitectura de TI
b) El diseño e implementación de la arquitectura tecnológica se realiza de manera informal
c) El diseño de la arquitectura de TI utiliza procedimiento no documentados
d) El diseño de la arquitectura de TI se documenta
e) El proceso para el diseño de la arquitectura de TI se monitorea.
f) El proceso para el diseño de la arquitectura de TI se automatiza
3. ¿Existe un plan de adquisición de hardware y software de tecnología de información?
a) No existe
b) La adquisición de hardware y software se realiza de manera informal
c) La adquisición de hardware y software utiliza procedimientos no documentados
d) La adquisición de hardware y software se documenta
e) El proceso de adquisición de hardware y software se monitorea
f) El proceso de adquisición de hardware y software esta automatizado
4. ¿Existen políticas y procedimientos que aseguren que se considere la necesidad de
evaluar el plan tecnológico para aspectos de contingencia?
a) No existe políticas y procedimientos para evaluar el plan tecnológico
b) La evaluación del plan tecnológico se realiza de manera informal
c) La evaluación del plan tecnológico utiliza procedimientos no documentados
d) La evaluación del plan tecnológico se documenta.
e) El proceso de evaluación del plan tecnológico se monitorea
f) El proceso de evaluación del plan tecnológico esta automatizado
5. ¿Los planes de adquisición de hardware y software suelen satisfacer las necesidades
identificadas en el plan de infraestructura tecnológica?
a) No existe plan de adquisición
b) El plan de adquisición de se realiza de manera informal
c) La adquisición de software y hardware utiliza procedimientos no documentados
d) La adquisición de software y hardware se documenta
e) El proceso de adquisición de software y hardware se monitorea
f) El proceso de adquisición de software y hardware esta automatizado.
PO04. Procesos, organización y relaciones de TI.
1. ¿Se asignan roles y responsabilidades para el personal de TI?
a) No se asignan
b) Las responsabilidades se asignan de manera informal
c) Para la asignación de roles y responsabilidades de TI se utiliza procedimientos no
documentados
d) La asignación de roles y responsabilidades de TI se documentan
e) El proceso de asignación de responsabilidades de TI se monitorea.
f) El proceso de asignación de responsabilidades de TI esta automatizado
2. ¿Están definidas las políticas y funciones de aseguramiento de la calidad?
a) No están definidas.
b) La definición de políticas de calidad se realiza de manera informal
c) La definición de las políticas de TI utiliza procedimientos no documentados
d) La definición de las políticas de TI se documenta
e) Los procesos de definición de políticas de calidad se monitorea.
f) Los procesos de definición de políticas de calidad esta automatizado
3. ¿Se informa al personal sobre sus funciones y responsabilidades en relación a los
sistemas de información?
a) No se informa
b) La comunicación de las responsabilidades se realiza de manera informal
c) La comunicación de las responsabilidades utiliza procedimientos no documentados
d) Las funciones y responsabilidades se documentan y se comunican
e) El proceso de comunicación de las responsabilidades se monitorea.
f) El proceso de comunicación de las responsabilidades esta automatizado
4. ¿Se realiza eventos para concientizar al personal respecto a la seguridad y control interno?
a) No se realiza
b) Los eventos de concientización al personal con respecto a seguridad se realiza de manera
informal
c) Los eventos de concientización al personal con respecto a seguridad utiliza procedimientos
no documentados
d) Los eventos de concientización al personal con respecto a seguridad se documenta
e) Los procesos de eventos de concientización al personal con respecto a seguridad se
monitorea
f) Los procesos de eventos de concientización al personal con respecto a seguridad esta
automatizado
5. ¿Existen procesos e indicadores de desempeño para determinar la efectividad y aceptación
de la función de servicios de información?
a) No existe
b) Los procesos e indicadores de desempeño se realizan de manera informal
c) Los indicadores de desempeño utiliza procedimientos no documentados
d) Los procesos e indicadores de desempeño se documentan
e) Los procesos e indicadores de desempeño se monitorean.
f) Los procesos e indicadores de desempeño esta automatizado
PO05. Inversión en TI
1. ¿Los análisis de costo/beneficios llevados a cabos por la administración, son revisados
adecuadamente?
a) No existe análisis de costo/beneficio en TI
b) El análisis de costo beneficio de TI se realiza de manera informal
c) El análisis de costo beneficio de TI utiliza procedimientos no documentados
d) El análisis de costo beneficio de TI se documenta
e) El proceso de análisis de costo beneficio de TI se monitorea
f) El proceso de análisis de costo beneficio de TI esta automatizado.
2. ¿Existe políticas y procedimientos para monitorear regularmente los costos reales y
compararlos con los costos proyectados?
a) Los costos no son monitoreados
b) El monitoreo de los costos reales se realiza de manera informal
c) El monitoreo de los costos reales utiliza procedimientos no documentados
d) El monitoreo de los costos reales se documenta
e) El proceso del monitoreo de los costos reales auditados y medibles
f) El proceso de monitoreo de los costos reales esta automatizado
3. ¿El presupuesto de la TI es el adecuado para justificar el plan operativo anual?
a) No existe presupuesto de TI
b) La justificación del plan operativo se realiza de manera informal
c) La justificación del plan operativo anual utiliza procedimientos no documentados
d) La justificación del plan operativo anual se documenta
e) El proceso de justificación del plan operativo anual se monitorea
f) El proceso de justificación del plan operativo anual esta automatizado
4. ¿El análisis de costo beneficio es revisado adecuadamente?
a) El análisis de costo beneficio no es revisado
b) El análisis de costo beneficio se revisa de manera informal
c) El análisis de costo beneficio utiliza procedimientos no documentados
d) El análisis de costo beneficio se documenta
e) El proceso de análisis costo beneficio se monitorea
f) El proceso de análisis costo beneficio esta automatizado
5. ¿Los beneficios derivados de TI son analizados?
a) Los beneficios derivados de no son analizados
b) Los beneficios derivados de TI son analizados de manera informal
c) Los beneficios derivados de TI son analizados, pero no utiliza procedimientos
documentados
d) Los beneficios derivados de TI son analizados, se documenta
e) El proceso de análisis de los beneficios de TI se monitorea
f) El proceso de análisis de los beneficios de TI esta automatizado
PO06. Nivel de comunicación entre los miembros de TI
1. ¿Se da a conocer los objetivos del negocio y de TI a los interesados apropiados y a los
usuarios de toda la organización?
a) Los objetivos del negocio y de TI no se da a conocer
b) Los objetivos del negocio y de TI se da a conocer de manera informal
c) La comunicación de los objetivos del negocio y de TI, no se documenta
d) La comunicación de objetivos del negocio y de TI se documenta
e) Los procesos de comunicación de los objetivos de TI se monitorea
f) Los procesos de comunicación de los objetivos de TI esta automatizado
2. ¿Las políticas de TI se comunican a todo el personal relevante, y se refuerzan de tal forma
que estén incluidas y sean parte integral de las operaciones?
a) El personal desconoce la existencia de políticas de TI
b) La comunicación de las políticas de TI al personal relevante se comunican de manera
informal
c) Para la comunicación de las políticas de TI al personal relevante se utiliza procedimiento
no documentados
d) La comunicación de las políticas de TI al personal relevante se documenta
e) El proceso de comunicación de las políticas de TI al personal relevante se monitorea
f) El proceso de comunicación de las políticas de TI al personal relevante esta automatizado
3. ¿Existe políticas y procedimientos organizacionales para asegurar que los recursos son
asignados adecuadamente?
a) No existe políticas ni procedimientos para asegurar que los recursos son asignados
adecuadamente
b) Las políticas y procedimientos para asegurar que los recursos son asignados
adecuadamente se realiza de manera informal
c) Las políticas y procedimientos para asegurar que los recursos son asignados
adecuadamente no se documenta
d) Las políticas y procedimientos para asegurar que los recursos son asignados
adecuadamente se documenta
e) Los procesos para asegurar que los recursos son asignados adecuadamente se monitorea
f) Los procesos para asegurar que los recursos son asignados adecuadamente esta
automatizado
4. ¿Existe procedimientos apropiados para asegurar que el personal comprende las políticas y
procedimientos implementadas?
a) No existe procedimientos apropiados
b) Los procedimientos para asegurar la comprensión de las políticas se realiza de manera
informal
c) Los procedimientos para asegurar la comprensión de las políticas no se documenta
d) Los procedimientos para asegurar la comprensión de las políticas se documenta
e) Los procesos para asegurar la comprensión de las políticas se monitorea
f) Los procesos para asegurar la comprensión de las políticas esta automatizado
5. ¿Existe el compromiso de la administración en cuanto a los recursos para formular,
desarrollar y promulgar políticas?
a) No existe compromiso por parte de la administración
b) El compromiso por parte de la administración en cuanto a los recursos se realiza de manera
informal
c) El compromiso por parte de la administración en cuanto a los recursos no se documenta
d) El compromiso por parte de la administración en cuanto a los recursos se documenta
e) Los procesos de disponibilidad de recursos para formular, desarrollar y promulgar políticas
se monitorea
f) Los procesos de disponibilidad de recursos para formular, desarrollar y promulgar políticas
esta automatizado
PO07. Recursos humanos de TI
1. ¿Se utilizan criterios para reclutar y seleccionar personal para cubrir posiciones vacantes?
a) No se utilizan criterios para seleccionar personal del TI
b) Los criterios utilizados para seleccionar personal de TI no son los adecuados
c) Los criterios utilizados para seleccionar personal de TI no se documenta
d) Los criterios utilizados para seleccionar personal de TI se documenta
e) El proceso para seleccionar personal para cubrir vacantes se monitorea
f) El proceso para seleccionar personal para cubrir vacantes esta automatizado
2. ¿Los empleados son evaluados tomando como base un conjunto estándar de perfiles de
competencia?
a) No se realiza evaluaciones del desempeño al personal de TI.
b) Las evaluaciones se realiza de manera informal
c) Las evaluaciones se utiliza procedimientos no documentados
d) Las evaluaciones se documenta
e) Los procesos de evaluación del personal se monitorean
f) Los procesos de evaluación del personal esta automatizado
3. ¿La administración y los empleados aceptan el proceso de competencia del puesto?
a) No aceptan
b) La aceptación del proceso de competencia del puesto se realiza de manera informal
c) El proceso de aceptación de competencia del puesto no se documenta
d) El proceso de aceptación de competencia del puesto se documenta
e) El proceso de aceptación de competencia del puesto se monitorea
f) El proceso de aceptación de competencia del puesto esta automatizado
4. ¿Los empleados son evaluados tomando como base un conjunto estándar de perfiles de
competencia para la posición?
a) No existe evaluación
b) La evaluación de empleados se realiza de manera informal
c) La evaluación de los empleados no se documenta
d) La evaluación de los empleados se documenta
e) El proceso de evaluación de empleados se monitorea
f) El proceso de evaluación de empleados esta automatizado
5. ¿Las políticas y procedimientos de recursos humanos concuerdan con leyes y regulaciones
aplicables?
a) No existen políticas ni procedimientos
b) Las políticas y procedimientos de recursos humanos no son coherentes con las leyes
laborales
c) Las políticas y procedimientos de recursos humanos son coherentes con las leyes laborales,
pero no se documenta
d) Las políticas y procedimientos de recursos humanos son coherentes con las leyes laborales
y se documenta
e) Los procesos de recursos humanos concuerdan con las leyes laborales y se monitorea
f) Los procesos de recursos humanos esta automatizado
PO08. Calidad
1. ¿Existe un sistema de gestión de calidad?
a) No existe programas de calidad
b) Los sistemas de calidad se realiza de manera informal
c) Los sistemas de calidad no se documenta
d) Los sistemas de calidad se documenta
e) Los procesos de gestión calidad se monitorea
f) Los procesos de gestión de calidad esta automatizado
2. ¿Los proyectos son evaluados, monitoreados por el sistema de calidad.?
a) No existe evaluación de proyectos
b) La evaluación de proyectos se realiza de manera informal
c) La evaluación de proyectos no se documenta
d) La evaluación de proyectos se documenta
e) Los procesos de evaluación de proyectos se monitorea
f) Los procesos de evaluación de proyectos esta automatizado
3. ¿En desarrollo de proyectos utilizan estándares de desarrollo de software?
a) No utilizan ningún estándar.
b) El desarrollo de proyectos de software se realiza de manera informal
c) Los proyectos de software no se documenta
d) Los proyectos de software se documenta
e) Los procesos de desarrollo de software se monitorea
f) Los procesos de desarrollo de software esta automatizado
4. ¿Existe políticas y procedimientos para monitorear el cumplimiento de las leyes y
regulaciones aplicables de seguridad?
a) No se monitorea el cumplimiento de las leyes y regulaciones de seguridad
b) El monitoreo del cumplimiento de las leyes y regulaciones de seguridad se realiza de
manera informal.
c) El monitoreo del cumplimiento de las leyes y regulaciones de seguridad no se documenta
d) El monitoreo del cumplimiento de las leyes y regulaciones de seguridad se documenta
e) El proceso del cumplimiento de las leyes y regulaciones de seguridad se monitorea
f) El proceso del cumplimiento de las leyes y regulaciones de seguridad esta automatizado
5. ¿Los procedimientos de seguridad van de acuerdo con todos los requerimientos legales?
a) No existe
b) Los procedimientos de seguridad son ad-hoc
c) Los procedimientos de seguridad siguen un patrón
d) Los procedimientos de seguridad se documentan y se comunican
e) Los procedimientos de seguridad se monitorean y se miden
f) Se implementa las mejores prácticas de seguridad
PO09. Riesgos de TI
1.El personal asignado a evaluación de riesgos esta adecuadamente calificado?
a) No se realiza evaluación de riesgos
b) El personal no está calificado
c) Le evaluación de riesgos se realiza de manera empírica
d) El personal es capacitado parcialmente para el desempeño de dicha actividad
e) El personal asignado a evaluación de riesgos es evaluado constante
f) Se implementa las mejores prácticas de la industria
2. ¿El plan de acción contra riesgos es utilizado en la implementación de medidas apropiadas
para mitigar los riesgos y amenazas?
a) No se realiza planes de acción para mitigar los riesgos
b) Los riesgos se enfrenta de manera empírica
c) No existe planes de contingencia
d) Están definidos los planes de acción contra riesgos, pero son inconsistentes
e) Los planes de acciones contra riesgos son evaluados y monitoreados
f) Se implementan las mejores prácticas de la industria
3. ¿La documentación de riesgos incluye una descripción de la metodología de evaluación de
riesgos?
a) No existe documentación
b) La documentación de riesgos se da de manera informal
c) La documentación de riesgos sigue un patrón regular
d) Los procesos de documentación de riesgos se documentan y se comunican
e) Los procesos de documentación de riesgos se monitorean y se miden
f) Se implementa las mejores prácticas en la evaluación de riesgos
4. ¿La aceptación de riesgo toma en cuenta el costo y la efectividad de implementar
salvaguardas y controles?
a) No existe
b) No se toma en cuenta en los costos
c) El proceso de aceptación de riesgos sigue un patrón regular
d) El proceso de aceptación de riesgos se documentan y se comunican
e) Los procesos de aceptación de riesgos son monitoreados y se miden
f) Se implementa las mejores prácticas en los procesos de aceptación de riegos
5. ¿La aceptación de riesgo toma en cuenta la política organizacional?
a) No existe
b) No se toma en cuenta en las políticas
c) El proceso de aceptación de riesgos sigue un patrón regular
d) El proceso de aceptación de riesgos se documentan y se comunican
e) Los procesos de aceptación de riesgos son monitoreados y se miden
f) Se implementa las mejores prácticas en los procesos de aceptación de riegos en las
políticas organizacionales
PO10. Proyectos de TI
1. ¿El compromiso, identificación de los miembros de TI, afecta la ejecución del proyecto
dentro del contexto global?
a) No existe compromiso con la institución
b) El personal de TI no se identifica con la organización
c) No existe programas de motivación para el personal TI
d) La ejecución de los proyectos se retrasan por falta de compromiso del personal
e) El compromiso se da de forma parcial
f) El personal se siente comprometida con la ejecución de los proyectos.
2. ¿Existen políticas y procedimientos relacionados con los métodos de aseguramiento de la
calidad?
a) No existen
b) No existe aseguramiento de la calidad de los proyectos
c) Los proyectos se desarrolla utilizando técnicas tradicionales.
d) Los políticas y procedimiento están definidos, pero aún no se implementan
e) Las políticas y procedimientos son evaluados y monitoreados
f) Se implementan las mejores prácticas en el aseguramiento de la calidad de los proyectos.
3. ¿Existe un sistema de control de cambios para cada proyecto?, de tal modo que todos los
cambios al proyecto se revisen, aprueben e incorporen de manera apropiada al plan del
proyecto.?
a) No existe.
b) La gestión de cambios se realiza de manera informal
c) Existe ideas básicas de utilizar un sistema de control de cambios.
d) Las metodologías se documentan y se comunican.
e) Los proyectos son monitoreados, evaluados.
f) Se implementan las mejores prácticas en la gestión de cambios.
4. ¿Existen un plan de aseguramiento de la calidad del software?
a) No existe un plan de aseguramiento
b) El software es probado, madurado de forma empírica.
c) No se sigue ningún patrón de desarrollo
d) Se utiliza metodologías rígidas para el desarrollo
e) Las metodologías son evaluadas para su implementación
f) Se implementan las mejores prácticas de la industria, para el aseguramiento de la calidad
del software.
5. ¿Se asegura la creación de estatutos claros por escrito que definan la naturaleza y alcance
del proyecto antes de comenzar a trabajar sobre el mismo?
a) No existe.
b) La definición de la naturaleza y de los alcances del proyecto, se realizan en forma
desorganizada.
c) Se sigue un patrón regular.
d) Los procedimientos se documentan y comunican.
e) Los procedimientos son evaluados y monitoreados para su implementación.
f) Se implementan las mejores prácticas de la industria, para la definición de procedimientos.
ORGANIZACION” SEGUN EL MODELO COBIT 2019
DOMINIO 2:ADQUIRIR E IMPLEMENTAR
PROCESO: AI01. Identificación de Soluciones Automatizadas Rpsta
1.1. ¿Se identifican claramente los requerimientos de soluciones?
a) No se identifican
b) Se identifican por intuición.
c) Se usa técnicas tradicionales para identificar
d) Utiliza procedimientos documentados
e) El proceso de identificación es monitoreado
f) Se implementan las mejores técnicas de identificación de acuerdo a las normas, estándares

y buenas prácticas. Está automatizado.
2. ¿Se cuenta con un plan de soluciones alternativas?
a) No existen planes alternativos
b) Los planes son adhoc o se improvisan
c) Las soluciones alternativas se aplican en forma desordenada y no están alineados a los

objetivos de la organización.
d) Las soluciones se define con procesos documentados.
e) Las soluciones alternativas están monitoreados.

f) Las soluciones están dentro de las buenas prácticas. Está automatizado.
3. ¿Se cuenta con una estrategia de adquisiciones?
a) No existen estrategias de adquisiciones
b) Las estrategias son adhoc o se improvisan
c) Las estrategias se aplican en forma desordenada y no están alineados a los objetivos de la

organización.
d) Las estrategias se definen con procesos documentados.
e) Las estrategias de adquisiciones están monitoreados.
f) La estrategia de adquisiciones cumplen con las normas, estándares y buenas practicas. Está
automatizado.
4. ¿Para identificar soluciones se realiza estudios de factibilidad técnica?
a) No se realizan estudios previos
b) La factibilidad técnica se improvisan
c) Las factibilidades técnicas no están alineados a los objetivos de la organización.
d) Las factibilidades técnicas se definen con procesos documentos.
e) Las factibilidades técnicas están monitoreados.
f) Las factibilidades técnicas cumplen con las normas, estándares y buenas practicas. Está
automatizado.
5. ¿Para identificar soluciones se realiza estudios de factibilidad económica?
a) No se realizan estudios previos
b) Las factibilidades económicas se improvisan
c) No están alineados a los objetivos de la organización.
d) Se definen con procesos documentados.

e) Las factibilidades económicas están monitoreados.
f) Las factibilidades económicas cumplen con las normas, estándares y buenas practicas. Está
automatizado.
AI02. Software Aplicativo
1. ¿Se aplica la misma metodología para el desarrollo de software nuevo que para
mantenimiento de software existente?
a) No existe
b) Se aplican metodologías ad-hoc o se improvisan
c) Se tiene documentada metodología, pero no se utilizan
d) La metodología se encuentra debidamente documentada
e) La metodología se monitorea permanentemente
f) La metodología está alineada con los objetivos del negocio y utiliza buenas prácticas. Está
automatizado.
2. ¿Existe un registro de los cambios significativos a sistemas actuales?
a) No existe
b) Se usa técnicas tradicionales no estandarizadas
c) Se usa técnicas basado en la experiencia / intuitivo.
d) El registro está debidamente documentada y difundida
e) El registro es monitoreado permanentemente
f) El registro cumple las normas, estándares y buenas prácticas. Está automatizado.
3. ¿Las especificaciones de diseño son debidamente aprobadas?
a) No existe este procedimiento
b) No se aprueban
c) Existe procedimiento de aprobación alineado a los objetivos del negocio.
d) Existe procedimiento de aprobación debidamente documentando
e) El procedimiento de aprobación es monitoreado
f) La aprobación se realiza en base a los estándares y buenas prácticas. Está automatizado.
4. ¿Se definen y documentan los Requerimientos de Archivos?
b) Se define, pero no se documentan
c) Se define y documenta de acuerdo los objetivos del negocio.
d) Existe procedimiento de aprobación debidamente documentando.
e) Estos procedimientos son monitoreado
f) Se realizan en base a las normas, estándares y buenas prácticas. Está automatizado.
5. ¿Se definen las especificaciones de Programas?
a) No se definen
b) La definición son improvisadas o ad-hoc
c) La validación de especificaciones siguen un patrón regular
d) La definición de especificaciones se documentan y comunican
e) Las especificaciones son monitoreados y medibles
f) La definición de las especificaciones están basadas en las buenas prácticas. Está

automatizado.
AI03. Infraestructura Tecnológica
1. ¿Existe un plan de adquisición de Infraestructura Tecnológica?

a) No existe
b) Existe en un nivel inicial Ad-hoc
c) No existe un plan o estrategia definida son intuitivos.
d) El plan está alineado con los objetivos del negocio
e) El plan adquisición está bien organizado y es monitoreado
f) El plan es preventivo se alinea con los objetivos del negocio y se ha desarrollado basado en
los estándares y buenas prácticas. Está automatizado.
2. ¿El plan de infraestructura tecnológica está alineado a los planes estratégicos y tácticos de
TI?
a) No está alienado
b) Existe un enfoque reactivo y con foco operativo hacia la planeación de la infraestructura.
c) La planeación es táctica y se enfoca en generar soluciones técnicas a problemas técnicos.
d) Existe un plan de infraestructura tecnológica definido, documentado y bien difundido.
e) Se han incluido buenas prácticas internas en el proceso
f) El plan de infraestructura está alineado a los planes estratégicos y buenas practicas. Está
automatizado.
3. ¿Existen políticas de limitación para la posibilidad de acceso al software?
a) No existen
b) Existen en un nivel inicial Ad-hoc
c) No existen políticas definidas son intuitivos.
d) Estas políticas están alineadas con los objetivos del negocio

e) Las políticas de limitación están organizadas y monitoreadas
f) El proceso se alinea con los objetivos del negocio y se ha desarrollado basado en los
estándares y buenas prácticas. Está automatizado.
4. ¿El software es instalado y mantenido de acuerdo a los requerimientos?
a) No existe esta política
b) Es instalado en forma ad-hoc
c) Se realizan los procesos utilizando técnicas tradicionales
d) Estos procesos se encuentran documentados
e) Estos procesos son monitoreados
f) Estos procesos son verificados, alineados a las políticas del negocio y a las buenas
costumbres. Está automatizado.
5. ¿Existen procedimientos para el mantenimiento preventivo de hardware?
a) No existe
b) Existe en un nivel inicial Ad-hoc
c) No existe procedimientos definidos son intuitivos.
d) Los procedimientos está alineado con los objetivos del negocio
e) Los procedimientos están bien organizados y monitoreados
f) El procedimientos se alinean con los objetivos del negocio y se han desarrollado basado en
las buenas prácticas. Está automatizado.
AI04. Operación y Uso
1. ¿Se elaboran manuales de usuario para el uso de los sistemas?
a) No existen
b) Los manuales se elaboran de forma ad-hoc

c) Los manuales son elaborados en forma intuitivos/experiencia
d) Los manuales se documentan y se comunican
e) Los manuales son debidamente monitoreados
f) Los manuales son elaborados de acuerdo a los estándares y a las buenas prácticas. Está
automatizado.
2. ¿Se realizan sesiones de entrenamiento previo para el uso de sistemas?
a) No existen
b) Los entrenamientos se realizan de forma ad-hoc
c) Los entrenamientos se realizan en forma intuitiva
d) Los entrenamientos se documentan y se difunden
e) Los entrenamientos se monitorean
f) Los entrenamientos se realizan de acuerdo a los estándares y a las buenas prácticas. Está
automatizado.
3. ¿Los manuales de usuario se actualizan de acuerdo a las modificaciones a los sistemas?
a) No existen actualizaciones a los manuales
b) Las actualizaciones a los manuales se realizan ad-hoc
c) Las actualizaciones a los manuales se realizan en forma intuitiva por experiencia
d) Las actualizaciones a los manuales se realizan y se difunden
e) Las actualizaciones a manuales son monitoreados
f) Las actualizaciones cumplen con los estándares y con las buenas prácticas. Está
automatizado.
4. ¿Se elabora y entrega material de entrenamiento?

a) No existe material
b) El material es realizado parcialmente / ad-hoc
c) El material es elaborado siguiendo un patrón por experiencia
d) El material se documenta y se difunden
e) Los materiales de entrenamiento son monitoreados
f) Los materiales cumplen con los objetivos del negocio, los estándares y con las buenas
prácticas. Está automatizado.
5. ¿Se garantiza la satisfacción del usuario final con buen nivel de servicio?
b) Se garantiza en forma parcial ad-hoc
c) Se garantiza basados en la experiencia en forma intuitiva
d) La satisfacción del cliente está alineada a los objetivos organizacionales
e) La satisfacción del usuario es monitoreado
f) La satisfacción del usuario está alineado a los objetivos organizacionales y de acuerdo a las
buenas prácticas. Está automatizado.
AI05. Adquirir Recursos de TI
1. ¿Existe un control sobre las adquisiciones de Recursos de TI?
a) No existe
b) Se realiza en forma parcial ad-hoc
c) Se realiza en forma intuitiva
d) El control está definido y alineado a los objetivos organización
e) El control sobre las adquisiciones son monitoreados

f) Los procedimientos se realizan de acuerdo a las buenas prácticas. Está automatizado.
2. ¿Se aplican políticas que garanticen la satisfacción de los requerimientos del negocio?
a) No se aplican
b) Se aplican en forma parcial ad-hoc
c) Se aplican en forma intuitiva basados en la experiencia
d) Las políticas están definidas y documentadas
e) Las políticas son monitoreados por los especialistas del área
f) Las políticas están alineadas con los objetivos del negocio y están implementadas basadas
en las buenas prácticas. Está automatizado.
3. ¿Se utiliza control sobre los servicios contratados que estén alineados a los objetivos de las
organizaciones?
a) No existe el control
b) Se aplica en forma parcial ad-hoc
c) Se aplica en forma intuitiva pero desordenada
d) El control sobre los servicios están definidos y documentadas
e) Los controles son monitoreados por los especialistas del área
f) Los controles están alineadas a los objetivos organizacionales y están implementadas

basadas en las buenas prácticas. Está automatizado.
4. ¿Existe procedimientos para establecer, modificar y concluir contratos que apliquen a

todos los proveedores?
a) No existe
b) Los procesos son ad-hoc y desorganizados

c) Los procesos siguen un patrón regular
d) Las políticas se documentan y comunican
e) Las políticas y procedimientos se monitorean
f) Se implementa las mejores prácticas en la preparación de estos procedimientos. Está

automatizado.
5. ¿Está definido la revisión de contratos por parte del área legal y de TI?
a) No existe
b) Los contratos se realizan en forma particular para cada caso
c) Los contratos siguen un patrón basados en la experiencia
d) Los contratos se documentan y se comunican
e) Los contratos son monitoreados por los responsables
f) Se implementa las mejores prácticas para la revisión de los contratos con proveedores o
terceros. Está automatizado.
AI06. Administración de cambios
1. ¿Existe y se utiliza una metodología para priorizar los requerimientos de cambios?
a) No existen
b) Los requerimientos se realizan ad-hoc y desordenados
c) Los requerimientos se realizan de forma intuitiva/experiencia
d) Los requerimientos se alinea a los objetivos organizacionales
e) Los requerimientos son monitoreados permanentemente
f) La prioridad de requerimientos se basan en buenas prácticas. Está automatizado.
2. ¿Se consideran procedimientos de cambios de emergencia en manuales de operaciones?

a) No existen
b) El procedimiento se realiza ad-hoc
c) Los cambios de emergencia se realizan en forma intuitiva
d) El procedimiento se alinea a los objetivos organizacionales
e) Los cambios de emergencia se documentan y monitorean
f) Este procedimiento se basan en buenas prácticas. Está automatizado.
3. ¿La bitácora de control de cambios asegura que todos los cambios mostrados fueron
resueltos?
a) No existe bitácora de control
b) Las bitácoras de control son ad-hoc
c) Las bitácoras se adecuan a un patrón regular y son intuitivas
d) Las bitácoras de control están documentadas y se comunican
e) El proceso de cambios son monitoreados por los especialistas
f) La bitácora de control de cambios se adecua a los estándares y las buenas prácticas. Está
automatizado.
4. ¿Existen procedimientos de entradas y salidas para cambios?
a) No existen
b) Los procedimientos son ad-hoc y desorganizados
c) Las políticas y procedimientos siguen un patrón
d) Los procedimientos se documentan y comunican
e) Las políticas y procedimientos se monitorean adecuadamente
f) Los procedimientos de entrada y salidas se implementan basados en las mejores prácticas.

Está automatizado.
5. ¿Los usuarios tienen conciencia de la necesidad de cumplir procedimientos formales de
control de cambios?
a) No existe
b) Los usuarios cumplen eventualmente / ad-hoc
c) Los procedimientos de los usuarios siguen un patrón regular
d) Los usuarios documentan y comunican el control de cambios
e) El cumplimiento de los usuarios es monitoreado
f) Los usuarios cumplen los procedimientos de acuerdo a los estándares y buenas prácticas en
forma optimizada. Está automatizado.
AI07. Instalación y Acreditación de soluciones y cambios
1. ¿Existen políticas y procedimientos relacionados con el proceso de ciclo de vida de

desarrollo de sistemas?
a) No existe estos procedimientos
b) Se establecen estas políticas en forma parcial
c) El proceso del ciclo de vida sigue un patrón regular
d) Existe políticas y procedimientos y se documentan
e) Existen políticas y procedimientos y son monitoreados
f) Se implementan las mejores prácticas en la implementación de políticas y procedimientos.

Está automatizado.
2. ¿Se lleva a cabo el entrenamiento de usuarios como parte de cada tentativa de desarrollo?
a) No existe entrenamiento de usuarios
b) Se realizo el entrenamiento en forma parcial / ad-hoc

c) Los entrenamientos siguen un patrón regular
d) Los entrenamientos se documentan y se miden
e) Los entrenamientos son monitoreados por el área de TI
f) Se implementa las mejores prácticas para garantizar que los entrenamientos de usuarios
este alineada a los objetivos organizacionales. Está automatizado.
3. ¿Existen metodologías de prueba antes de las instalaciones?
a) No existe
b) Las metodologías son ad-hoc y desorganizados
c) Las metodologías siguen un patrón regular
d) Las metodologías se documentan y se comunican
e) Las metodologías se monitorean y miden
f) Están alineadas a los objetivos de la organización, están implementadas basados en los

estándares y buenas prácticas. Está automatizado.
4. ¿Existen varias librerías de desarrollo, prueba y producción para los sistemas en proceso?
a) No existen
b) Existen, pero son ad-hoc y desorganizadas
c) Existen y siguen un patrón regular
d) Existen, están debidamente documentadas y se comunican
e) Existen y son monitoreados por los especialistas del área
f) Existen y están alineadas a los objetivos de la organización, han sido implementadas bajo
5. ¿Existen criterios predeterminados para probar el acierto, las fallas y la terminación de
tentativas futuras?
a) No existen
b) Existen, pero son ad-hoc y desorganizadas
c) Existen y siguen un patrón regular
d) Existen, están debidamente documentadas y se comunican
e) Existen y son monitoreados por los especialistas del área
f) Existen y están alineadas a los objetivos de la organización, han sido implementadas bajo
DOMINIO: ENTREGA Y SOPORTE
DS01. Niveles de servicios Rpsta
1. ¿Existe un Marco de trabajo definido?
a) No existe un Marco de trabajo.
b) El trabajo se realiza de manera informal.
c) El trabajo se realiza con técnicas tradicionales no documentadas.
d) El proceso del marco de trabajo está definido y documentado.
e) El proceso del marco de trabajo se monitorea.
f) El proceso del marco de trabajo está automatizado.
2. ¿Existe un portafolio o catálogo de servicios?
a. No existe un portafolio o catálogo de servicios.
b. El catálogo de servicios se mantiene informalmente.
c. El catálogo de servicios se mantiene con técnicas tradicionales no documentadas.

d. El proceso del catálogo de servicios está definido y documentado.
e. El proceso del catálogo de servicios se monitorea.
f. El proceso del catálogo de servicios está automatizado.
3. ¿Los requerimientos, muestran entendimiento común entre los usuarios y prestadores de

servicios?
a. No se definen los requerimientos.
b. Los requerimientos se definen de manera informal.
c. Los requerimientos se definen con técnicas tradicionales no documentadas.
d. El proceso de requerimientos está definido y documentado.
e. El proceso de requerimientos se monitorea.
f. El proceso de requerimientos está automatizado.
4. ¿Existen niveles de servicios, sustentados en el marco de trabajo?
a. Los niveles de servicio no están sustentados en el marco de trabajo.
b. Los niveles de servicio se sustentan de manera de manera informal.
c. Los niveles de servicio se sustentan con técnicas tradicionales no documentadas.
d. El proceso de sustentación de niveles de servicio está definido y documentado.
e. El proceso de sustentación de niveles de servicio se monitorea.
f. El proceso de sustentación de niveles de servicio está automatizado.
5. ¿Los servicios que brinda el personal del área de TI, son óptimos?
a. No existen servicios óptimos.
b. Los servicios que brinda el personal se realizan por intuición
c. Los servicios que brindan el área de TI, no son documentados.

d. Los servicios que brinda el área de TI, utilizan procedimientos documentados.
e. Los servicios que brinda el personal de TI, son monitoreados.
f. Los servicios que brinda el personal de TI están automatizados.
DS02. Servicios de terceros
1. ¿Existe agenda actualizada de los proveedores?
a. No existe agenda actualizada.
b. La actualización de la agenda, se realizan de manera informal.
c. La actualización de la agenda, utiliza técnicas tradicionales no documentadas.
d. La actualización de la agenda, utiliza procedimientos documentados.
e. El proceso de actualización de la agenda se monitorea.
f. El proceso de actualización de la agenda está automatizado.
2. ¿Existe categorizaciones en la agenda de proveedores?
a. No existe categorizaciones.
b. Las categorizaciones, se realizan de manera informal.
c. Las categorizaciones se realizan con técnicas tradicionales no documentadas.
d. Las categorizaciones, utilizan procedimientos documentados.
e. El proceso de categorizaciones de la agenda se monitorea.
f. El proceso de categorizaciones de la agenda está automatizado.
4. ¿Existe un control para asegurar la calidad de los servicios que brindan los terceros?
a. No existe control de calidad.
b. El control para asegurar la calidad, se realizan de manera informal.

c. El control de calidad, se realizan con técnicas tradicionales no documentadas.
d. El control de calidad, utilizan procedimientos documentados.
e. El proceso de control de calidad de los servicios tercerizados se monitorea.
f. El proceso de control de calidad de los servicios tercerizados está automatizado.
4. ¿Los niveles de seguridad representan el conjunto de medidas de seguridad y control

apropiado para cada una de las clasificaciones?
a) No existe niveles de seguridad
b) Los niveles de seguridad se realiza de realiza de manera informal
c) Los niveles de seguridad no son apropiados
d) El proceso de niveles de seguridad se documentan
e) El proceso de niveles de seguridad se monitorea
f) Los niveles de seguridad son los apropiados para cada una de las clasificaciones
5. Existen penalidades por los no cumplimientos que brindan los terceros?
a. No existen penalidades.
b. Las penalidades, se realizan de manera informal.
c. Las penalidades no son documentadas.
d. Las penalidades, utilizan procedimientos documentados.
e. El proceso de penalidades se monitorea.
f. El proceso de penalidades está automatizado.
DS03. Desempeño y capacidad
1. ¿Existe control del desempeño de las tecnologías de información?
a. No existe control del desempeño.

b. El control del desempeño, se realiza de manera informal.
c. El control del desempeño, no está documentado.
d. El control del desempeño, tiene un proceso documentado.
e. El proceso de control del desempeño se monitorea.
f. El proceso de control del desempeño está automatizado.
2. ¿Existen procesos para medir la capacidad de las tecnologías de información?
a. No existen procesos para medir la capacidad.
b. Los procesos para medir la capacidad, se realizan de manera informal
c. Los procesos para medir la capacidad, no están documentados.
d. Los procesos para medir la capacidad, están documentados.
e. Los procesos para medir la capacidad se monitorean.
f. Los procesos para medir la capacidad están automatizados.
3. ¿El desempeño de las tecnologías de información, son justificables económicamente?
a. El desempeño de las tecnologías de información, no son justificables

económicamente.
b. La justificación económica del desempeño de las tecnologías de información, se

realiza de manera informal.
c. La justificación económica del desempeño de las tecnologías de información, no se

documenta.
d. La justificación económica del desempeño de las tecnologías de información, tiene un

proceso documentado.
e. El proceso de justificación económica del desempeño de las tecnologías de

información se monitorea.
f. La justificación económica del desempeño de las tecnologías de información, está
automatizado.
4. ¿Los planes de capacidad y desempeño, utilizan técnicas apropiadas para el adecuado

pronostico?
a. No se realiza pronóstico de desempeño.
b. El pronóstico de desempeño se realiza de manera informal.
c. Las técnicas para el pronóstico de desempeño, no son documentadas.
d. Las técnicas para el pronóstico de desempeño, tienen un proceso documentado
e. El proceso de las técnicas para el pronóstico de desempeño, se monitorean.
f. El proceso de las técnicas para el pronóstico de desempeño, están automatizadas.
5. ¿Existe disponibilidad de equipos de TI?
a. No existen disponibilidad de equipos de TI.
b. La asignación de equipos de TI, se realiza de manera informal.
c. La asignación de equipos de TI, no se documenta.
d. La asignación de equipos de TI, tiene un proceso documentado
e. La asignación de equipos de TI, se monitorea.
f. La asignación de equipos de TI, está automatizada.
DS04. Continuidad del servicio
1. ¿Existe un marco de trabajo para establecer la continuidad de las tecnologías de

información?
a. No existe marco de trabajo.
b. La continuidad de las TI se establece de manera informal.

c. La continuidad de las TI no está documentada.
d. El marco de trabajo para establecer la continuidad de las tecnologías de información

tiene un proceso documentado.
e. El proceso del marco de trabajo para establecer la continuidad de las tecnologías de

información es monitoreado.
f. El proceso del marco de trabajo para establecer la continuidad de las tecnologías de

información está automatizado.
2. ¿Existen estrategias de planes de continuidad de las tecnologías de información?
a. No existen estrategias de planes de continuidad de las TI.
b. Los planes de continuidad de las TI se realizan de manera informal.
c. Los planes de continuidad de las TI no estás documentados.
d. Las estrategias de planes de continuidad de las TI tienen un proceso documentado.
e. El proceso de las estrategias de planes de continuidad de las TI se monitorea.
f. El proceso de las estrategias de planes de continuidad de las TI están automatizados.
3. ¿Existe identificación de los procesos críticos, con respecto a las TI?
a) No existen identificación de los procesos críticos de las TI.
b) La identificación de procesos críticos de las TI se realiza de manera informal.
c) La identificación de procesos críticos de las TI, no está documentada.
d) La identificación de procesos críticos de las TI tiene un proceso documentado.
e) El proceso de identificación de procesos críticos de las TI, se monitorea.
f) El proceso de identificación de procesos críticos de las TI, está automatizado.

4. ¿Se desarrollan servicios de pruebas y madurez de tecnología de información?
a. No existen servicios de prueba y madurez de TI.
b. El servicio de prueba y madurez de TI se realiza de manera informal.
c. El servicio de prueba y madurez, no está documentado.
d. El servicio de prueba y madurez, tiene un proceso documentado.
e. El proceso del servicio de prueba y madurez, es monitoreado.
f. El proceso del servicio de prueba y madurez, está automatizado.
5. ¿Se garantiza la confidencialidad e integridad de la información?
a. No existe confidencialidad e integridad de la información.
b. La confidencialidad e integridad de la información, se garantiza de manera informal.
c. La confidencialidad e integridad de la información, no está documentada.
d. La confidencialidad e integridad de la información, tiene un proceso documentado.
e. El proceso de confidencialidad e integridad de la información, es monitoreado.
f. El proceso de confidencialidad e integridad de la información, está automatizado.
DS05. Seguridad de los sistemas
1. ¿Se gestionan medidas de seguridad de los sistemas de información?
a. No existe gestión de seguridad de los SI.
b. La gestión de seguridad de los SI, se realiza de manera informal.
c. La gestión de seguridad de los SI, no está documentada.
d. La gestión de seguridad de los SI, tiene un proceso documentado.

e. El proceso de la gestión de seguridad de los SI, es monitoreado.
f. El proceso de la gestión de seguridad de los SI, está automatizado.
2. ¿La seguridad de los sistemas de información, están alineadas a los requerimientos y

procesos de negocios?
a. No existe alineación en la seguridad de SI, requerimientos y procesos del negocio.
b. La alineación de la seguridad de SI, requerimientos y procesos del negocio, es

informal.
c. La alineación de la seguridad de SI, requerimientos y procesos del negocio, no está

documentada.
d. La alineación de la seguridad de SI, requerimientos y procesos del negocio, tiene un

proceso documentado.
e. El proceso de alineación de la seguridad de SI, requerimientos y procesos del negocio,

es monitoreado.
f. El proceso de alineación de la seguridad de SI, requerimientos y procesos del negocio,

está automatizado.
3. ¿Existen políticas de seguridad en cuanto a los sistemas de información?
a. No existen políticas de seguridad con respecto a los SI.
b. Las políticas de seguridad con respecto a los SI, son informales.
c. Las políticas de seguridad con respecto a los SI, no están documentadas.
d. Las políticas de seguridad con respecto a los SI, tienen un proceso documentado.
e. El proceso de las políticas de seguridad con respecto a los SI, es monitoreado.
f. El proceso de las políticas de seguridad con respecto a los SI, está automatizado.
4. ¿Se administran la identidad de acceso a los sistemas de información?

a. No se administra el acceso a los SI.
b. La administración de acceso a los SI, se realiza de manera informal.
c. La administración de acceso a los SI, no está documentada.
d. La administración de acceso a los SI, tiene un proceso documentado.
e. El proceso de identificación de acceso a los SI, es monitoreado.
f. El proceso de identificación de acceso a los SI, está automatizado.
5. ¿Existe privilegios de los usuarios, respecto al uso de los sistemas de información?
a. No existe privilegios de los usuarios para el uso de los SI.
b. Los privilegios para el uso de los SI se administran de manera informal.
c. Los privilegios para el uso de los SI, no están documentados.
d. Los privilegios para el uso de los SI, tienen un proceso documentado.
e. El proceso de los privilegios para el uso de los SI, es monitoreado.
f. El proceso de los privilegios para el uso de los SI, está automatizado.
DS06. Costos
1. ¿Existe una buena definición de los servicios, respecto a los procesos de negocios?
a. No existe definición de los servicios.
b. La definición de los servicios, se realiza de manera informal.
c. La definición de los servicios, no está documentada.
d. La definición de los servicios, tiene un proceso documentado.
e. El proceso de la definición de los servicios, es monitoreado.
f. El proceso de la definición de los servicios, está automatizado.

2. ¿Existe transparencia en los costos de las tecnologías de información?
a. No existe trasparencia en los costos de TI.
b. La transparencia de los costos de TI, se realiza de manera informal.
c. La transparencia de los costos de TI, no está documentada.
d. La transparencia de los costos de TI, tiene un proceso documentado.
e. El proceso de transparencia de los costos de TI, es monitoreado.
f. El proceso de la transparencia de los costos de TI, está automatizado.
3. ¿Los servicios de TI, identifican los niveles de facturación?
a. No existe identificación de niveles de facturación.
b. La identificación de los niveles de facturación, se realiza de manera informal.
c. La identificación de los niveles de facturación, no está documentada.
d. La identificación de los niveles de facturación, tiene un proceso documentado.
e. El proceso de la identificación de niveles de facturación, es monitoreado.
f. El proceso de la identificación de niveles de facturación, es automatizado.
4. ¿Existe inventario de las tecnologías de información?
a. No existe inventario de tecnologías de información.
b. Los inventarios de tecnologías de información, se realiza de manera informal.
c. Los inventarios de tecnologías de información, no está documentada.
d. Los inventarios de tecnologías de información, tiene un proceso documentado.
e. El proceso de inventarios de tecnologías de información, es monitoreado.
f. El proceso de inventarios de tecnologías de información, es automatizado.

5. ¿Existen modelos definidos para las compras de las Tecnologías de Información?
a. No existe modelos definidos para las compras de TI.
b. La definición de modelos de TI, se realiza de manera informal.
c. La definición de modelos de TI, no está documentada.
d. La definición de modelos de TI, tiene un proceso documentado.
e. El proceso de la definición modelos de TI, son monitoreadas.
f. El proceso de la definición modelos de TI, es automatizado.
DS07. Capacitación
1. ¿Existen estrategias para entrenar y educar a los usuarios?
a. No existen estrategias de entrenamiento y educación a los usuarios.
b. Las estrategias de entrenamiento y educación, se realiza de manera informal
c. Las estrategias de entrenamiento y educación, no está documentada.
d. Las estrategias de entrenamiento y educación, tiene un proceso documentado.
e. El proceso de estrategias de entrenamiento y educación, son monitoreadas.
f. El proceso de estrategias de entrenamiento y educación, son automatizados.
2. ¿Se identifican las necesidades de entrenamiento y educación?
a. No existen identificación de necesidades.
b. La identificación de necesidades, se realiza de manera informal.
c. La identificación de necesidades, no está documentada.
d. La identificación de necesidades, tiene un proceso documentado.
e. El proceso de identificación de necesidades, son monitoreadas.

f. El proceso de identificación de necesidades, son automatizados.
3. ¿Existen programas de entrenamientos determinados para cada grupo?
a. No existen programas de entrenamiento determinados.
b. Los programas de entrenamiento determinados, se realiza de manera informal.
c. Los programas de entrenamiento determinados, no está documentada.
d. Los programas de entrenamiento determinados, tiene un proceso documentado
e. El proceso de programas de entrenamientos, son monitoreadas.
f. El proceso de programas de entrenamientos, son automatizados.
4. ¿Existen programas de valores éticos, respecto a la seguridad de las tecnologías de

información?
a. No existen programas de valores éticos de seguridad de TI.
b. Los programas de valores éticos de seguridad de TI, se realiza de manera informal.
c. Los programas de valores éticos de seguridad de TI, no está documentada.
d. Los programas de valores éticos de seguridad de TI, tiene un proceso documenta do
e. El proceso de programas de valores éticos de seguridad de TI, son monitoreadas.
f. El proceso de programas de valores éticos de seguridad de TI, son automatizados.
5. ¿Existen programas certificados, respecto al entrenamiento y educación de las tecnologías

de información?
a. No existen programas certificados.
b. Los programas certificados, se realiza de manera informal.

c. Los programas certificados, no está documentada.
d. Los programas certificados, tiene un proceso documentado.
e. El proceso de los programas certificados, son monitoreadas.
f. El proceso de los programas certificados, automatizados.
DS08. Mesa de Servicio e Incidentes.
1. ¿Existe mesa de servicios, para establecer la comunicación con los usuarios de tecnologías
de información?
a. No existe mesa de servicios de comunicación.
b. La mesa de servicios de comunicación, se realiza de manera informal.
c. La mesa de servicios de comunicación, no está documentada.
d. La mesa de servicios de comunicación, tiene un proceso documentado.
e. Los procesos de la mesa de servicios para la comunicación, es monitoreada.
f. Los procesos de la mesa de servicios para la comunicación.
2. ¿Se registran los incidentes con respecto al uso de las tecnologías de información?
a. No se registran los incidentes respecto al uso de las TI.
b. Los incidentes del uso de las TI, se registran de manera informal.
c. Los incidentes del uso de las TI, no está documentada.
d. Los incidentes del uso de las TI, tiene un proceso documentado.
e. Los procesos de los incidentes del uso de TI, son monitoreada.
f. Los procesos de los incidentes del uso de TI, son automatizada.
3. ¿Las consultas de los clientes, son analizados y derivados al personal adecuado del área de
TI?
a. Las consultas de los clientes no son analizadas ni derivados.
b. Las consultas de los clientes son analizados y derivados, de manera informal.
c. Las consultas de los clientes son analizados y derivados, pero no está documentada.
d. Las consultas de los clientes, tienen un proceso documentado.
e. Los procesos de consultas de los clientes, son monitoreados.
f. Los procesos de consultas de los clientes, son automatizados.
4. ¿Existen clasificación de los incidentes, de los servicios de TI?
a. No existen clasificación de incidentes.
b. La clasificación de los incidentes, se realiza de manera informal.
c. La clasificación de los incidentes, no es documentado.
d. La clasificación de los incidentes, tiene un proceso documentado.
e. Los procesos de clasificación de incidentes, son monitoreados.
f. Los procesos de clasificación de incidentes, son automatizados.
5. ¿Existe la capacidad inmediata para resolver los incidentes registrados en la mesa de

servicios?
a. No existe la capacidad inmediata para resolver incidentes.
b. La capacidad inmediata para resolver incidentes, se realiza de manera informal.
c. La capacidad inmediata para resolver incidentes, no es documentado.
d. La capacidad inmediata para resolver incidentes, tiene un proceso documentado.
e. Los procesos para resolver incidentes, son monitoreado.
f. Los procesos para resolver incidentes, son automatizados.

DS09. Configuración
1. ¿Existen estandarización de las herramientas de configuración?
a. No existe estandarización de herramientas.
b. La estandarización de herramientas, se establece de manera informal.
c. La estandarización de herramientas, no son documentados.
d. La estandarización de herramientas, tiene un proceso documentado.
e. El proceso de estandarización de herramientas, son monitoreados.
f. El proceso de estandarización de herramientas, son automatizados.
2. ¿Existen repositorios de datos, para la configuración de la información?
a. No existen repositorios de datos.
b. El repositorio de datos, se establece de manera informal.
c. El repositorio de datos, no son documentados.
d. El repositorio de datos, tiene un proceso documentado.
e. El proceso de repositorio de datos, es monitoreado.
f. El proceso de repositorio de datos, es automatizado.
3. ¿Existe una línea base de configuración?
a. No existe una línea base de configuración.
b. La línea base de configuración, se establece de manera informal.
c. La línea base de configuración, no es documentado.
d. La línea base de configuración, tiene un proceso documentado.
e. Los procesos de línea base de configuración, es monitoreado.

f. Los procesos de línea base de configuración, es automatizado.
4. ¿Existe identificación de elementos de configuración?
a. No existe identificación de elementos de configuración.
b. La identificación de elementos de configuración, se realiza de manera informal.
c. La identificación de elementos de configuración, no son documentados.
d. La identificación de elementos de configuración, tiene un proceso documentado.
e. Los procesos de la identificación de elementos de configuración, son monitoreados.
f. Los procesos de la identificación de elementos de configuración, son automatizado.
5. ¿Existe supervisión del mantenimiento de configuración?
a. No existe supervisión del mantenimiento.
b. La supervisión de mantenimiento, se realiza de manera informal.
c. La supervisión de mantenimiento, no es documentado.
d. La supervisión de mantenimiento, tiene un proceso documentado.
e. Los procesos de supervisión de mantenimiento, son monitoreados.
f. Los procesos de supervisión de mantenimiento, son automatizados.
DS10. Problemas
1. ¿Existe identificación de los problemas, relacionados a las tecnologías de información?
a. No existe identificación de problemas de TI.
b. La identificación de problemas de TI, se realiza de manera informal.
c. La identificación de problemas de TI, no se documenta.

d. La identificación de problemas de TI, tiene un proceso documentado.
e. Los procesos de identificación de problemas de TI, son monitoreados.
f. Los procesos de identificación de problemas de TI, son automatizados.
2. ¿Los problemas, son clasificados de acuerdo a incidentes de las TI?
a. No existe clasificación de incidentes de TI.
b. La clasificación de incidentes de TI, se realiza de manera informal.
c. La clasificación de incidentes de TI, no se documentan.
d. La clasificación de incidentes de TI, tiene un proceso documentado.
e. Los procesos de clasificación de incidentes de TI, son monitoreados.
f. Los procesos de clasificación de incidentes de TI, son automatizados.
3. ¿Los problemas, son categorizados de acuerdo a grupos y dominios?
a. No existe categorización de grupos y dominios.
b. La categorización de grupos y dominios, se realiza de manera informal.
c. La categorización de grupos y dominios, no es documentado.
d. La categorización de grupos y dominios, tiene un proceso documentado.
e. El proceso de categorización de grupos y dominios, es monitoreado.
f. El proceso de categorización de grupos y dominios, es automatizado.
4. ¿Existe una data, para registrar los problemas de TI, de manera que permita una solución
eficaz?
a. No existe data de registro de problemas de TI.
b. La data de registros de problemas de TI, se realiza de manera informal.
c. La data de registros de problemas de TI, no son documentados.

d. La data de registros de problemas de TI, tiene un proceso documentado.
e. Los procesos de registros de problemas de TI, es monitoreada.
f. Los procesos de registros de problemas de TI, es automatizada.
5. ¿Existe rastreo y análisis de los problemas, ocasionados por las TI?
a. No existe rastreo ni análisis de los problemas de TI.
b. El rastreo y análisis de los problemas de TI, se realiza de manera informal.
c. El rastreo y análisis de los problemas de TI, no es documentado.
d. El rastreo y análisis de los problemas de TI, tienen un proceso documentado.
e. Los procesos de rastreo y análisis de los problemas de TI, son monitoreados.
f. Los procesos de rastreo y análisis de los problemas de TI, son automatizados.
DS11 Datos
1. ¿Se establece mecanismos para garantizar la información recibida y procesada?
a. No existe mecanismos para garantizar la información.
b. Los mecanismos para garantizar la información, se realiza de manera informal.
c. Los mecanismos para garantizar la a información, no es documentado.
d. Los mecanismos para garantizar la información, tienen procesos documentados.
e. Los procesos para garantizar la información, son monitoreados.
f. Los procesos para garantizar la información, son automatizados.
2. ¿Existe acuerdos de almacenamiento y conservación de la información?
a. No existe acuerdos de almacenamiento y conservación.
b. Los acuerdos de almacenamiento y conservación, se realizan de manera informal.

c. Los acuerdos de almacenamiento y conservación, no son documentados.
d. Los acuerdos de almacenamiento y conservación, tienen un proceso documentado.
e. Los procesos de almacenamiento y conservación, son monitoreados.
f. Los procesos de almacenamiento y conservación, son automatizados.
3. ¿Existe procedimientos para mantener y garantizar la integridad de los datos?
a. No existe procedimientos para garantizar la integridad de los datos.
b. Los procedimientos para garantizar la integridad, son de manera informal.
c. Los procedimientos para garantizar la integridad, no son documentados
d. Los procedimientos para garantizar la integridad, tienen un proceso documentado.
e. Los procesos para garantizar la integridad de los datos, son monitoreados.
f. Los procesos para garantizar la integridad de los datos, son automatizados.
4. ¿Existe procedimientos para prevenir el acceso a datos sensitivos y al software desde

equipos o medios una vez que son eliminados o trasferidos para otro uso?
a. No existe procedimientos para el acceso a datos sensitivos.
b. Los procedimientos para el acceso a datos sensitivos, se realizan de manera informal.
c. Los procedimientos para el acceso a datos sensitivos, no son documentados.
d. Los procedimientos para el acceso a datos sensitivos, tienen un proceso documentado.
e. Los procedimientos de prevención para el acceso a datos sensitivos, son

monitoreados.
f. Los procedimientos de prevención para el acceso a datos sensitivos, son
automatizados.
5. ¿Existen políticas de respaldo y restauración de los sistemas, datos y configuraciones

que estén alineados con los requerimientos del negocio y con el plan de continuidad?
a. No existe políticas de respaldo y restauración
b. Las políticas de respaldo y restauración, se realizan de manera informal.
c. Las políticas de respaldo y restauración, no son documentados.
d. Las políticas de respaldo y restauración, tienen un proceso documentado.
e. Los procesos de políticas de respaldo y restauración, son monitoreados.
f. Los procesos de políticas de respaldo y restauración, son automatizados.
DS12. Ambiente Físico
1. ¿El centro de datos toma en cuenta el riesgo asociado con desastres naturales
causados y causados por el hombre?
a. No toman en cuenta los riesgos asociados a los ambientes.
b. Los riesgos asociados a los ambientes, se establecen de manera informal.
c. Los riesgos asociados a los ambientes, no son documentados.
d. Los riesgos asociados a los ambientes, tienen un proceso documentado.
e. Los procesos de riesgos asociados a los ambientes, son monitoreados.
f. Los procesos de riesgos asociados a los ambientes, son automatizados.
2. ¿Existe políticas implementadas con respecto a la seguridad física alineadas con los
requerimientos del negocio?
a. No existen políticas de seguridad física del negocio.

b. Las políticas de seguridad física del negocio, se establecen de manera informal.
c. Las políticas de seguridad física del negocio, no son documentadas.
d. Las políticas de seguridad física del negocio, tienen un proceso documentado.
e. Los procedimientos de políticas de seguridad física del negocio, son monitoreadas.
f. Los procedimientos de políticas de seguridad física del negocio, son automatizados.
3. ¿Existe procedimientos para otorgar, limitar y revocar el acceso a los centros de

información (centros de TI)?
a. No existen limitación de acceso a los centros de TI.
b. La limitación de acceso a los centros de TI, se realizan de manera informal.
c. La limitación de acceso a los centros de TI, no son documentados.
d. La limitación de acceso a los centros de TI, tienen un proceso documentado
e. Los procedimientos de limitación a los centros de TI, son monitoreados.
f. Los procedimientos de limitación a los centros de TI, son automatizados.
4. ¿Existe políticas de protección contra factores ambientales (equipos especializados

para monitorear y controlar el ambiente)?
a. No existen políticas para proteger el medio ambiente.
b. Las políticas de protección del medio ambiente, se establecen de manera informal.
c. Las políticas de protección del medio ambiente, no son documentados.
d. Las políticas de protección del medio ambiente, tienen un proceso documentado.
e. Los procesos de políticas de protección del medio ambiente, son monitoreados.

f. Los procesos de políticas de protección del medio ambiente, son automatizados.
5. ¿Existe administración periódica de las instalaciones, incluyendo el equipo de

comunicaciones y de suministro de energía?
a. No existen administración periódica en la instalación de los equipos.
b. La administración periódica en la instalación de los equipos, se realiza de manera

informal.
c. La administración periódica en la instalación de los equipos, no son documentadas
d. La administración periódica en la instalación de los equipos, tienen un proceso

documentado.
e. Los procesos de administración periódica en la instalación de los equipos, son

monitoreados.
f. Los procesos de administración periódica en la instalación de los equipos, son

automatizados.
DS13. Operaciones
1. ¿Existe marco referencial para implementar y mantener procedimientos estándar

para las operaciones de TI y garantizar que el personal de operaciones está
familiarizado con todas operaciones relativas a ellos?
a. No existen marco referencial para las operaciones de TI.
b. El marco referencial para las operaciones de TI, se establece de manera informal.
c. El marco referencial para las operaciones de TI, no es documentado
d. El marco referencial para las operaciones de TI, tiene un proceso documentado.
e. Los procedimientos del marco referencial de operaciones de TI, son monitoreados.

f. Los procedimientos del marco referencial de operaciones de TI, son automatizados.
2. ¿Existe procedimientos para autorizar los programas iniciales, así como los cambios a
estos programas, para cumplir con los requerimientos del negocio?
a. No existen procedimientos de autorización de cambios.
b. Los procedimientos de autorización de cambios, se realizan de manera informal.
c. Los procedimientos de autorización de cambios, no son documentadas
d. Los procedimientos de autorización de cambios, tienen un proceso documentado.
e. Los procedimientos de autorización de cambios, son monitoreados.
f. Los procedimientos de autorización de cambios, son automatizados.
3. ¿Existe políticas y procedimientos para monitorear la infraestructura de TI y los

eventos relacionados?
a. No existen políticas ni procedimientos, respecto a la infraestructura.
b. Las políticas y procedimientos de infraestructura, se establecen de manera informal.
c. Las políticas y procedimientos de infraestructura, no son documentadas
d. Las políticas y procedimientos de infraestructura, tiene un proceso documentado.
e. Los procedimientos y políticas de infraestructura y eventos, son monitoreadas
f. Los procedimientos y políticas de infraestructura y eventos, son automatizadas.
4. ¿Con el fin de salvaguardar la información, se ha definido resguardos físicos,

prácticas de registro y administración de inventarios adecuados sobre los activos de TI
más sensitivos?
a) No se ha definido el resguardo físico de los activos de TI.

b) El resguardo físico de los activos de TI, se realiza de manera informal.
c) El resguardo físico de los activos de TI, no es documentado
d) El resguardo físico de los activos de TI, tiene un proceso documentado.
e) Los procesos de resguardo físico de los activos de TI, se monitorean.
f) Los procesos de resguardo físico de los activos de TI, son automatizados
5. ¿Existe procedimientos para garantizar el mantenimiento oportuno de la

infraestructura para reducir la frecuencia y el impacto de las fallas o de la disminución
del desempeño?
a. No existen procedimientos para garantizar el mantenimiento de infraestructura.
b. El mantenimiento de la infraestructura, se realizan de manera informal.
c. El mantenimiento de la infraestructura, no son documentados.
d. El mantenimiento de la infraestructura, tienen un proceso documentado.
e. Los procedimientos para el mantenimiento de la infraestructura, son monitoreados.
f) Los procedimientos para el mantenimiento de la infraestructura, son automatizados.
5.5. Resultados Encuestas COBIT

DOMINIO: Planeamiento y organización PROMEDIO
N° PO01 PO02 PO03 PO04 PO05 PO06 PO07 PO08 PO09 PO10
PO01 PO02 PO03 PO04 PO05 PO06 PO07 PO08 PO09 PO10
P1 P2 P3 P4 P5 P6 P7 P8 P9 P10 P11 P12 P13 P14 P15 P16 P17 P18 P19 P20 P21 P22 P23 P24 P25 P26 P27 P28 P29 P30 P31 P32 P33 P34 P35 P36 P37 P38 P39 P40 P41 P42 P43 P44 P45 P46 P47 P48 P49 P50
E1 2 2 1 2 2 3 1 2 3 2 3 1 1 1 3 3 2 3 1 3 2 1 2 1 2 3 1 1 1 3 3 2 2 2 1 1 1 1 2 1 4 2 2 1 2 5 3 3 3 2 2 2 2 2 2 2 2 1 2 3
E2 4 3 3 1 1 3 1 1 3 2 3 1 1 1 3 2 2 3 1 3 3 3 1 1 2 2 1 1 1 3 2 2 2 2 1 1 1 2 2 1 3 2 1 1 1 5 4 3 3 2 2 2 2 2 2 2 2 1 2 3
E3 3 4 3 1 1 2 1 2 3 1 3 1 1 1 3 3 2 2 1 2 2 1 1 1 2 3 1 1 1 3 3 2 2 2 1 1 1 2 1 1 3 2 2 2 1 6 3 2 2 2 2 2 2 2 1 2 2 1 2 3
E4 3 4 2 2 2 2 1 1 3 1 3 1 1 1 3 2 3 2 1 2 3 2 1 1 2 3 1 1 1 3 3 3 2 3 1 2 1 1 1 1 3 2 1 2 2 6 4 2 2 2 3 2 2 2 2 2 2 1 2 3

Trabajo Final

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Trabajo Final

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD PRIVADA ANTENOR ORREGO

FACULTAD DE CIENCIAS ECONÓMICAS

AUDITORIA DE TECNOLOGÍAS DE INFORMACIÓN APLICADA A LA

ALBAN RAYMUNDO, ZHULL DEINNY

CORREA RUESTA, MARIA FERNANDA

DEL ROSARIO MOGOLLON, ARIANA

GARAVITO GUTIERREZ, GUILLERMO MANUEL

GONZALES CEVALLOS, ESTEFANY KATERINE

GONZALES IMAN, EDGARD FABRICIO

RODRIGUEZ MONZON, EDDY CARLOS

ROJAS LOZANO, JHOSELEEN MELISA

ZUÑIGA RIVERA, AARON VLADYMIRO

CAPÍTULO I: PLANEAMIENTO DE LA AUDITORÍA..............................................................4

1.1.1.2 Ruc y Dirección Fiscal

DIRECCION: MZA. G1 LOTE. 34 URB. LAS CASUARINAS PIURA - PIURA -

Fecha de Inicio de Actividades: 01/04/2014

1.1.2. Características y problemática vinculada al sistema contable (especificar el n°

La empresa trabaja HTYV CORPORACIÓN EMPRESARIAL S.A.C. con el sistema

Una problemática que actualmente se presenta en la empresa HTYV CORPORACIÓN

Inventarios de hardware y equipos.

Historial de adquisiciones de cómputo y sus características

ü Libro Diario y Mayor.

ü Seguridad, Funciones y Correcto uso del Software WINCONTALLL.

ü Consolidación de Información para Libros Electrónicos (PLE).

Se realizaron una recaudación de información a través de entrevistas virtuales por

Se verificará la disponibilidad y funcionamiento de los equipos informáticos que están

Se dictaminará el grado de madurez que poseen las distintas áreas de la empresa

f) Informe final de auditoría

Finalmente se desarrollará el informe técnico según lo auditado.

2.1. Cuestionarios del Del Dominio: Planteamiento y Organización

DOMINIO: Planeamiento y organización N° Preguntas

PO01. Plan estratégico 3

PO02. Arquitectura de la Información 3

PO03 Dirección tecnológica 3

PO04. Procesos, organización y relaciones de TI. 3

PO06. Nivel de comunicación entre los miembros de TI 3

PO07. Recursos humanos de TI. 3

DOMINIO: ADQUIRIR E IMPLANTAR

AI01. Identificación de Soluciones Automatizadas 3

AI02. Software Aplicativo 3

AI03. Infraestructura Tecnológica 3

AI04. Operación y Uso 3

AI05. Adquirir Recursos de TI 3

AI06. Administración de cambios 3

AI07. Instalación y Acreditación de soluciones y 3

DOMINIO: ENTREGA Y SOPORTE N° Preguntas

DS01. Niveles de servicios 3

DS02. Servicios de terceros 3

DS03. Desempeño y capacidad 3

DS04. Continuidad del servicio 3

DS05. Seguridad de los sistemas 3

DS08. Mesa de Servicio e Incidentes. 3

DS12. Ambiente Físico 3

2.4 Cuestionario del Dominio: Monitoreo y Organización

DOMINIO: Monitorear y evaluar N° Preguntas

MO01. Monitorear y evaluar el desempeño de TI 3

MO02. Monitorear y evaluar el control interno 3

MO03. Garantizar el cumplimiento con requerimientos 3

MO04. Proporcionar gobierno de TI. 3

2.5.1. Dominio 01: Planeamiento y Organización

Fuente: Elaboración propia

Fuente: Elaboración propia

El 67% de los empleados encuestados consideraron que los procedimientos de

Para finalizar el 33% de los empleados encuestados consideraron que los

Albán Raymundo, Zull ____