Informe Técnico Final

INFORME DE AUDITORES INDEPENDIENTES
AUDITORIA INFORMÁTICA
A LA EMPRESA ECUACOPIA CIA. LTDA.

PERIODO: 01 DE ENERO 2016 AL 31 DIEMBRE 2016
FECHA DE INICIO: 03-10-2017

FECHA DE FINALIZACIÓN: 28-12-17
RESPONSABLES:
 ESTUPIÑAN MARITZA
 RODRIGUEZ KATHERINE
 TENEMAZA VANESSA
 TOAPANTA JOHANA
1
TABLA DE CONTENIDO
Contenido
TABLA DE CONTENIDO ......................................................................................................................................... i
DATOS DE LA INSTITUCIÓN ............................................................................................................................... 1
CRONOGRAMA ....................................................................................................................................................... 5
MOTIVOS DEL EXAMEN................................................................................................................................... 6
ALCANCE ............................................................................................................................................................. 6
METODOLOGÍA .................................................................................................................................................. 6
OBJETIVO ............................................................................................................................................................ 6
OBJETIVOS ESPECÍFICOS ................................................................................................................................. 6
TÉCNICAS A UTILIZADAS ............................................................................................................................... 6
INFORMACIÓN GENERAL DEL ECUACOPIA CIA. LTDA. .......................................................................... 8
Nombre de la Compañía ........................................................................................................................................ 8
Misión .................................................................................................................................................................... 8
Visión ..................................................................................................................................................................... 8
Perfil de la empresa ................................................................................................................................................ 8
PEDI: PLAN ESTRATÉGICO DE DESARROLLO INSTITUCIONAL ................................................................. 9
OBJETIVOS ESTRATÉGICOS DE ECUACOPIA CIA. LTDA. ........................................................................ 9
USUARIOS DE LA EMPRESA............................................................................................................................ 9
PETI: PLAN ESTRATÉGICO DE TECNOLOGÍAS DE LA INFORMACIÓN ................................................... 10
Funcional ECUACOPIA CIA. LTDA. Departamento de TI ................................................................................... 12
STAKEHOLDES ..................................................................................................................................................... 13
INTERNOS .......................................................................................................................................................... 13
ALTA DIRECCIÓN ............................................................................................................................................ 13
DIRECTORES DEPARTAMENTO DE TI ........................................................................................................ 13
DEPARTAMENTO DE TI .................................................................................................................................. 13
CLIENTES Y PROVEEDORES EXTERNOS ................................................................................................... 13
ENTIDADES REGULADORAS ............................................................................................................................ 14
SOFTWARE UTILIZADO POR LA EMPRESA ................................................................................................... 33
Sistema operativo Windows 8 y Windows 10 ..................................................................................................... 33
CORREO DOMINIO ........................................................................................................................................... 33
FIREWALL SOPHOS ......................................................................................................................................... 33
ANTIVIRUS ........................................................................................................................................................ 33
PAC –ERP ........................................................................................................................................................... 33
SLA .......................................................................................................................................................................... 33
TIPOS DE REDES................................................................................................................................................... 35
VPN...................................................................................................................................................................... 35
Red LAN .............................................................................................................................................................. 35
ESQUEMA GENERICO ................................................................................................................................. 35
i
DESCRIPCIÓN DE MAPA DE PROCESOS ......................................................................................................... 36
PROCESOS DE LA EMPRESA ............................................................................................................................. 40
PROCESOS ESTRATÉGICOS ........................................................................................................................... 40
Planificación Estratégica ...................................................................................................................................... 40
Gestión y Desarrollo ............................................................................................................................................ 40
PROCESOS OPERATIVOS.................................................................................................................................... 40
Gestión de Comercialización ............................................................................................................................... 40
Gestión de Soporte Técnico ................................................................................................................................. 40
Gestión de Venta .................................................................................................................................................. 40
PROCESOS DE APOYO ........................................................................................................................................ 40
Gestión de Administración................................................................................................................................... 40
Gestión de Talento ............................................................................................................................................... 40
Gestión Contable y financiera .............................................................................................................................. 41
Gestión y logística................................................................................................................................................ 41
Informática TIC’S ................................................................................................................................................ 41
PROCESOS RELACIONADOS CON TI ............................................................................................................... 42
RESULTADOS OBTENIDOS DE ENCUESTA GENERAL ................................................................................ 44
CUESTIONARIO DE CONTROL DE RIESGO .................................................................................................... 50
MATRIZ DE RIESGO............................................................................................................................................. 52
SCORE DE RIESGO ........................................................................................................................................... 54
MATRIZ DE CONTROL INTERNO: ANEXO 1 (Anexo los cuestionarios por procesos) ............................... 55
MATRIZ DE CONTROL INTERNO...................................................................................................................... 56
METAS CORPORATIVAS EMPRESA ................................................................................................................. 57
METAS CORPORATIVAS COBIT ....................................................................................................................... 58
MAPEO DE METAS CORPORATIVAS ............................................................................................................... 59
METAS DE TI COBIT ............................................................................................................................................ 61
METAS DE TI EMPRESA...................................................................................................................................... 62
MAPEO DE METAS TI .......................................................................................................................................... 63
MAPEO DE PROCESOS TI ................................................................................................................................... 64
PROCESOS RELACIONADOS CON COBIT ....................................................................................................... 66
METAS RELACIONADAS TI ............................................................................................................................... 66
MATRIZ RACI ........................................................................................................................................................ 67
LEYENDA PARA LOS FLUJOGRAMAS............................................................................................................. 68
APO03 GESTIONAR LA ARQUITECTURA EMPRESARIAL ........................................................................... 69
MATRIZ RACI ................................................................................................................................................ 70
DIAGRAMA DE FLUJO ................................................................................................................................ 71
INDICADOR ................................................................................................................................................... 72
MATRIZ DE NIVEL DE CAPACIDAD ........................................................................................................ 72
CONCLUSIÓN Y RECOMENDACIÓN ........................................................................................................ 73
AP012 GESTIONAR EL RIESGO .......................................................................................................................... 74
ii
MATRIZ RACI ................................................................................................................................................ 75
INDICADOR ................................................................................................................................................... 77
APO13 GESTIONAR LA SEGURIDAD ................................................................................................................ 79
MATRIZ RACI ................................................................................................................................................ 80
INDICADOR ................................................................................................................................................... 82
BAI02 GESTIONAR LA DEFINICIÓN DE REQUISITOS. ................................................................................. 84
MATRIZ RACI ................................................................................................................................................ 86
INDICADOR ................................................................................................................................................... 87
DSS02 GESTIONAR PETICIONES E INCIDENTES DE SERVICIO ................................................................. 89
MATRIZ RACI ................................................................................................................................................ 91
INDICADOR ................................................................................................................................................... 92
DSS03 GESTIONAR LOS PROBLEMAS ........................................................................................................... 94
MATRIZ RACI ................................................................................................................................................ 96
INDICADOR ................................................................................................................................................... 97
DSS04 GESTIONAR LA CONTINUIDAD. .......................................................................................................... 99
MATRIZ RACI .............................................................................................................................................. 100
DIAGRAMA DE FLUJO .............................................................................................................................. 101
INDICADOR ................................................................................................................................................. 102
MATRIZ DE NIVEL DE CAPACIDAD ...................................................................................................... 102
CONCLUSIÓN Y RECOMENDACIÓN ...................................................................................................... 103
DSS05 GESTIONAR LOS SERVICIOS DE SEGURIDAD ................................................................................ 104
MATRIZ RACI .............................................................................................................................................. 105
DIAGRAMA DE FLUJO .............................................................................................................................. 106
INDICADOR ................................................................................................................................................. 107
MATRIZ DE NIVEL DE CAPACIDAD ...................................................................................................... 107
iii
CONCLUSIÓN Y RECOMENDACIÓN ...................................................................................................... 108
MATRIZ RESUMEN DE NIVEL DE CAPACIDAD ...................................................................................... 109
GRAFICA DE NIVELES DE CAPACIDAD.................................................................................................... 110
CONCLUSIÓN GENERAL .................................................................................................................................. 111
RECOMENDACIÓN............................................................................................................................................. 112
iv
ECUACOPIA CIA. LTDA. MRP
AUDITORIA DE INFORMÁTICA 1/1
Al 28 de diciembre del 2017
MATRIZ DE RECONOCIMIENTO
PRELIMINAR
DATOS DE LA INSTITUCIÓN
Nombre de la Institución: ECUACOPIA CIA. LTDA.
RUC: 1790189163001
Gerente General: Chediak Martínez José Javier
Distribuidor autorizado de RICOH CORPORATION
para el ECUADOR. Contamos con la representación de
Tipo de atención:
lector clasificadores y escáneres de cheques PANINI
para ECUADOR, COLOMBIA Y PERÚ.
Jornada: 08:30-17:30
Sostenimiento: Privado
Provincia: Pichincha
Cantón: Quito
Parroquia: Quito
Matriz: Eduardo Whymper N27-88 y Av. Francisco de
Agencia Específica:
Orellana.
Dirección: Eduardo Whymper N27-88 y Av. Francisco de Orellana
Teléfono: (02) 2235-936
Correo Electrónico: www.ecuacopia.ec
Proceso: Auditoria a sistemas informáticos e infraestructura de TI.
Componente: Departamento de TI
Talento Humano: Tiempo de Funcionamiento:
Número de Personal TI:
4
Número de Personal Lunes, 7 de noviembre del 1979 -
Administrativo: Actualidad
10
Total de empleados
74
Elaborado por: AUDITED S.A. Fecha Inicio: 25/Octubre/2017

Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 25 /Octubre/2017
1
ECUACOPIA CIA. LTDA MP
MEMORÁNDUM DE PLANIFICACIÓN
ÍNDICE
1.- INFORMACIÓN BÁSICA
DATOS GENERALES
Razón Social: ECUACOPIA CIA. LTDA.
Tipo de entidad: Empresa Comercial
Nacionalidad: Ecuador
Dirección: Eduardo Whymper N27-88 y Av. Francisco de Orellana
OBJETO SOCIAL
Venta al por mayor y menor de equipos de oficina
ORGANISMOS DE CONTROL
 Ley de Compañías
 Ley Orgánica de Régimen Tributario Interno
 Reglamento de la Ley Orgánica de Régimen Tributario Interno
 Ley Orgánica de Aduanas
NORMATIVA INTERNA
ECUACOPIA CIA LTDA Cuenta con el plan estratégico de desarrollo institucional (PEDI),
misión visión, objetivos, políticas, y el plan estratégico de tecnología de información (PETI).
En estos planes se detallan la planificación y actividades que se puede implantar ante
cualquier situación dentro de la organización.
NORMATIVA LEGAL
Se debe tener en cuenta el Marco Referencial de Auditoría y velar por el cumplimiento del
mismo.
Elaborado por: AUDITED S.A. Fecha Inicio: 01/Noviembre/2017

Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 02/Noviembre/2017
2
ECUACOPIA CIA. LTDA.
AUDITORIA DE INFORMÁTICA MP
Al 28 de diciembre del 2017 2/4
RECOPILACIÓN DE INFORMACIÓN BÁSICA
Entrevista
Antes iniciar la auditoria se realizará entrevistas físicas al Director del Departamento Informático, al
mismo que se le aplicará el cuestionario pertinente de competencia de los procesos sistematizados
de información.
En las entrevistas incluirán:
 Gerente de TI
 Gestor de TI
 Coordinador de TI interno
 Analista de TI interno
El objeto de las mismas será conocer la efectividad y eficiencia del sistema que ocupa la empresa
por medio de recopilación de evidencias necesarias.
Observación
Es una de las técnicas más utilizadas para examinar los diferentes aspectos que intervienen en el
funcionamiento del área informática y los sistemas software, permite recolectar la información
directamente sobre el comportamiento de los sistemas, del área de informática, de las funciones y
actividades, los procedimientos y operación de los sistemas, y de cualquier hecho que ocurra en el
área. En el caso específico de la auditoria se aplica para observar todo lo relacionado con el área
informática y los sistemas de una organización con el propósito de percibir, examinar, o analizar los
eventos que se presentan en el desarrollo de las actividades del área o de un sistema que permita
evaluar el cumplimiento de las funciones, operaciones y procedimientos.
Cuestionarios
Los cuestionarios son preguntas impresas en formatos o fichas en que el auditado responde de
acuerdo a su criterio, de esta manera el auditor obtiene información que posteriormente puede
clasificar e interpretar por medio de la tabulación y análisis, para evaluar lo que se está auditando y
emitir una opinión sobre el aspecto evaluado.
Encuestas
Las encuestas son utilizadas frecuentemente para recolectar información sobre aspectos como el
servicio, el comportamiento y utilidad del equipo, la actuación del personal y los usuarios, entre
otros juicios de la función informática. No existen reglas para el uso de las encuestas, solo los que
regulan los aspectos técnicos y estadísticos tales como la elección del universo y la muestra, que se
contemplan dentro de la aplicación de métodos probabilísticas y estadísticos para hacer la mejor
elección de las muestras y recolección de opiniones.

3
ECUACOPIA CIA. LTDA. MP
AUDITORIA INFORMÁTICA 3/4
MEMORANDUM DE PLANIFICACIÓN
Inventarios
Consiste en hacer el recuento físico de lo que se está auditando, con el fin de compararla con la que
existe en los documentos en la misma fecha. Consiste en comparar las cantidades reales existentes
con las que debería haber para comprobar que sean iguales, de lo contrario iniciar la investigación
de la diferencia para establecer las causas. Con la aplicación de esta herramienta de la auditoria
tradicional, el auditor de sistemas también puede examinar las existencias de los elementos
disponibles para el funcionamiento del área informática o del sistema, contabilizando los equipos
de cómputo, la información y los datos de la empresa, los programas, periféricos, consumibles,
documentos, recursos informáticos, y demás aspectos que se desee conocer, con el fin de comparar
la cantidad real con las existencias que se registra en los documentos.
IDENTIFICACIÓN DE RIESGOS POTENCIALES

En este punto se evaluará al departamento informático y su aporte en toda la organización para esto
se deberá realizar un control específico del funcionamiento de todos los equipos y software que
utiliza la entidad, tomando en cuenta las distintas necesidades que se presentan dentro de la empresa
y cada una de sus sucursales.
Durante este proceso se pueden presentar distintos riesgos como dificultades en el mantenimiento
de la seguridad del sistema y de los equipos, pudiendo presentar posibles fugas de información o
pérdidas de datos.
OBJETIVOS DE CONTROL
Tiene como objetivo central evaluar que exista una correcta seguridad de la información de la
empresa. Durante este proceso se buscará que la empresa cuente con los elementos necesarios para
ser resguardar la información, así mismo que permita un análisis y evaluación adecuada del
departamento de TI y sus relacionados. Por último, se buscará que la seguridad sea uno de los
factores más importantes a mantener durante la aplicación del mismo.
DETERMINACIÓN DE LOS PROCEDIMIENTOS DE CONTROL

Después de haber establecido los objetivos se establecerán los procedimientos para que los mismos
sean aplicados de forma adecuada.
Objetivo N 1: Existencia de normativa para departamento de TI.
 El Hardware y Software debe estar correctamente identificado.
 Se debe contar con órdenes de compra y facturas con el fin de contar con el respaldo de las
garantías ofrecidas por los fabricantes.
 Se debe presentar un plan de mantenimiento, registro de fechas, problemas y soluciones.
Objetivo N 2: Política de acceso al sistema.
 Deberá existir un nombre de usuario y contraseña para acceder al sistema.
 Las claves deberán tener características específicas (mínimo 8 caracteres, alfanuméricos y
alternando mayúsculas y minúsculas).
 Las cuentas serán cerradas de forma automática después de que el usuario presente 5
minutos de inactividad.
 Los nuevos usuarios deberán ser autorizados mediante contratos de confidencialidad.
4
ECUACOPIA CIA. LTDA. MP
CRONOGRAMA
OCTUBRE NOVIEMBRE DICIEMBRE
ACTIVIDADES 1 2 3 4 1 2 3 4 1 2 3 4
CONTACTO CON EL GERENTE DE LA EMPRESA
Carta de pedido de la auditoria
Propuesta del alcance de la auditoria
Aceptación de la auditoria
Contrato
Carta compromiso
VISITA A LAS INSTALACIONES
Solicitud de información Antecedentes de la empresa.
Matriz de reconocimiento preliminar
Memorando de planificación
SOLICITUD DE INFORMACIÓN
Requerimiento de información acerca del Inventario de Hardware,
Software y tipos de Redes que usa la empresa.
Requerimiento de información de la función del departamento de TI
PLAN DE AUDITORÍA
Motivo del examen
Información general del ECUACOPIA CÍA. LTDA.
PEDI: plan estratégico de desarrollo institucional
PETI: plan estratégico de tecnologías de la información
Organigrama
Stakeholdes
Funciones gestor de proyectos TI
Inventario de hardware
PROGRAMA DE AUDITORÍA
Procesos de la empresa
Mapa de procesos
Procesos organizacionales relacionados TI
Cuestionario de control interno
Matriz de riesgo
Score de riesgo
Matriz de control interno: (anexo 1 cuestionarios de control interno)
Metas corporativas empresa
Metas corporativas COBIT 5.0
Mapeo de metas corporativas
Metas de TI COBIT 5.0
Metas de TI empresa
Mapeo de metas TI
Mapeo de procesos
Procesos relacionados con COBIT 5.0
Matriz RACI
Elaboración y aplicación de entrevistas y cuestionarios al personal TI.
Observación directa y prueba sobre los factores considerados en la
auditoria
Descripción de procesos
Matriz RACI por proceso
Medición (MÉTRICAS, MATRIZ DE NIVEL DE CAPACIDAD)
Condición, criterio, conclusiones y recomendaciones
Elaboración del informe de Auditoría
Presentación y lectura de informe de Auditoria
5
ECUACOPIA CIA. LTDA. PA
PLAN DE AUDITORÍA
MOTIVOS DEL EXAMEN
La presente Auditoría Informática se realizó a la Empresa ECUACOPIA CIA. LTDA con el

objeto de reducir el riesgo especialmente al departamento de TI y sus procesos relacionadas,
con el fin de analizar y evaluar los procesos y control del sistema integrado bajo la
metodología del COBIT 5.0.
ALCANCE
Este examen consistió en una serie de evaluaciones y análisis que AUDITED considero
necesarias y oportuno a fin de obtener resultados que nos permita dar a conocer la situación
del departamento de TI y sus procesos relacionados.
METODOLOGÍA
 Metodología de auditoria COBIT 5.0

 ISO 15504
OBJETIVO
Aplicar una Auditoría Informática al Departamento de TI y los procesos relacionados con el
propósito de minimizar el riesgo y salvaguardar la información de la empresa “ECUACOPIA
CIA. LTDA.” bajo la metodología COBIT 5.0.
OBJETIVOS ESPECÍFICOS
 Determinar el grado de eficiencia de los procesos relacionados de TI.
 Aplicar indicadores que permitan medir el nivel de eficiencia y eficacia de las
operaciones de TI en la empresa.
 Emitir un informe de auditoría que evidencia los resultados del examen y que permita
a las partes interesadas una mejora continua y toma de decisiones oportuna.
TÉCNICAS A UTILIZADAS
Para la ejecución del trabajo de auditoría y recolección de información se utilizarán las
siguientes técnicas de auditoría:
1. Entrevista
2. Observación
3. Cuestionarios
4. Inventario.
Elaborado por: AUDITED S.A. Fecha Inicio: 16/ Noviembre/2017

6
SIGMAPLAST S.A. PA
AUDITORIA INFORMÁTICA 1/33.1
PLAN DE AUDITORÍA
REQUERIMIENTOS DE AUDITORÍA
Informes de Auditoría: Técnico y ejecutivo
FECHAS DE INTERVENCIÓN
Fecha de Inicio del Examen 03/10/2017
Fecha de Finalización: 28/12/2017
DÍAS PRESUPUESTADOS
Se determinaron 70 días laborables para la de auditoría.
RECURSOS
RECURSOS NECESARIOS PARA EL EXAMEN DE AUDITORÍA DE INFORMÁTICA
HUMANO
EQUIPO AUDITOR CARGOS
Estupiñan Maritza Senior
Tenemaza Vanessa Junior
Toapanta Johana Asistente
Rodríguez Katherine Auxiliar
EQUIPOS
DETALLE CANTIDAD
Computador portátil 3
Flash Memory 4
Impresora 1
MATERIALES
DETALLE U. MEDIDA CANTIDAD P. UNITARIO P TOTAL
Papel A4 Resma 1 3,5 3,5

Esferos Unidad 3 0,35 1,05
Resaltar Unidad 2 1,25 2,5
Lápiz Bicolor Unidad 2 0,35 0,7
Carpetas Unidad 6 0,35 2,1
TOTAL 9,85
FINANCIEROS
Transporte 200
Alimentación 500
TOTAL 700
Total, de la Auditoria estipulada en el contrato $3000,00 dólares americanos.

7
PLAN DE AUDITORÍA
INFORMACIÓN GENERAL DEL ECUACOPIA CIA. LTDA.

Nombre de la Compañía
COPIADORA ECUATORIANA COMPAÑÍA LIMITADA (ECUACOPIA
COMPAÑÍA LIMITADA)
Misión
ECUACOPIA es una empresa de tradición creada en 1975, con el compromiso de
brindar excelente servicio de calidad y eficiencia. Somos integradores de tecnología
que garantizamos una satisfacción probada a nuestros clientes bajo la distribución de
las marcas RICOH, PANINI Y FUJITSU reconocidas a nivel mundial, ofreciendo
soluciones de digitalización e impresión por medio de la venta o renta de nuestros
productos con un stock de suministros y repuestos brindando respaldo técnico
personalizado. Nuestra filosofía se enmarca en el trabajo compartido y servicio bajo
un código de ética empresarial. Para generar rendimientos a sus administradores y
empleados.
Visión
Nos proponemos crear una solidez sustentada en un liderazgo del Mercado, bajo
normas de disciplina, calidad y responsabilidad con identidad de empresa siempre
otorgando crecimiento humano, capacitando a su personal, con estabilidad,
garantizando un plan de carrera con remuneración justa, unidos para ser la más grande
corporación de soluciones y equipos de oficina en el Ecuador.
Perfil de la empresa
Somos el único distribuidor autorizado de RICOH CORPORATION para el
ECUADOR. Contamos con la representación de lector clasificadores y escáneres de
cheques PANINI para ECUADOR, COLOMBIA Y PERÚ.
Representamos también a FUJITSU en su línea de escáneres generales para uso
corporativo y ambientes de alta producción.
Tenemos 37 AÑOS de actividad en el ECUADOR (Desde marzo de 1975). Somos un
equipo de 150 profesionales a nivel nacional.
Toda nuestra infraestructura es directa y propia, contamos con el equipo técnico y de
soporte más grande del país con más de 30 técnicos e ingenieros a nivel nacional,
distribuidos en las ciudades de Quito, Guayaquil, Cuenca, Ambato, Manta y Santo
Domingo de los Tsáchilas. Brindamos cobertura nacional en servicio, soporte y
comercialización.
Nuestros productos, soluciones y servicios se orientan hacia la producción,
administración y distribución de documentos. Dentro de esta línea desarrollamos
consultorías, vendemos y ofrecemos servicios de outsourcing con soluciones
integradas dependiendo de las necesidades de cada cliente.

8
PLAN DE AUDITORÍA
APLICACIÓN PRINCIPIO 2: CUBRIR LA EMPRESA DE EXTREMO A EXTREMO.
PEDI: PLAN ESTRATÉGICO DE DESARROLLO INSTITUCIONAL

OBJETIVOS ESTRATÉGICOS DE ECUACOPIA CIA. LTDA.
1. Entrega a tiempo a los requerimientos de negocio.

2. Optimizar los productos, servicios y atención al cliente.
3. Automatizar e integrar la cadena de valor de la empresa.
4. Registrar la información contable y financiera.
5. Controlar la cartera de clientes.
6. Optimización de costos de los productos y servicios.
7. Mantener personal motivado y capacitado.
8. Mejorar y mantener la funcionalidad de los procesos.
9. Reducir los costos de los procesos.
10. Cumplir con las leyes y regulaciones externas.
11. Administrar los riesgos de negocios.
12. Ofrecer servicios y productos competitivos en el mercado.
13. Ofrecer información útil y confiable para la toma de decisiones estratégicas.
USUARIOS DE LA EMPRESA
Los principales usuarios de la empresa ECUACOPIA CIA. LTDA., son las entidades
de regulación como SRI, Superintendencia de Compañías, SENAE, Registro mercantil,
INEN con que, el propósito de la empresa es ayudar y brindar soporte de nuestros
productos aportar al crecimiento tecnológico, mediante la distribución de las marcas
RICOH, PANINI Y FUJTISU reconocidas a nivel mundial ofreciendo soluciones de
digitalización e impresión por medio de la venta o renta de nuestros productos.

9
PLAN DE AUDITORÍA
PETI: PLAN ESTRATÉGICO DE TECNOLOGÍAS DE LA INFORMACIÓN

OBJETIVOS DE ÁREA DE TECNOLOGÍAS DE INFORMACIÓN
1. Capacitar al personal de TI sobre los procesos del negocio y nuevas
tecnologías.
2. Adquirir y mantener los sistemas flexibles PAC-ERP contratado.
3. Controlar el tiempo de ejecución en del sistema contratado.
4. Simplificar la funcionalidad de los sistemas contratado.
5. Integrar los sistemas de soporte a los procesos de la cadena de valor.
6. Mantener y diseñar interfaces amigables y sencillas para los usuarios.
7. Elaborar alternativas de planes de contingencia.
8. Evaluar el mercado de tecnologías que reduzcan los costos operacionales.
9. Mantenimiento a ERP contratado.
10. Diseñar proyectos que sirvan de base al cumplimiento de la normatividad
existente.
11. Apoyar en los procesos que nos brinden una posición de competitivos.
12. Elaborar y realizar pruebas de un plan de evaluación y tratamiento de
riesgos.
13. Dotar de mejores herramientas tecnológicas al proceso de
comercialización.
14. Evaluar y proponer alternativas eficaces de las herramientas tecnológicas
para la toma de decisiones.
En relación al presupuesto este es asignado mensualmente la cantidad de $3000,

para la adquisición de hardware o software el departamento de sistemas se acoge al
proceso de compras de la compañía.

10
PLAN DE AUDITORÍA
APLICACIÓN PRINCIPIO 4: HACER POSIBLE UN ENFOQUE HOLÍSTICO

CATALIZADOR 3 ESTRUCTURA ORGANIZACIONAL
Organizacional ECUACOPIA CIA. LTDA.
Gerencia General
Gerencia de Gerencia Contable Gerencia Gerencia Informática

Administración Financiera Comercialización Gerencia Logística
TIC S
Ventas nacionales -
Talento humano Contabilidad Almacen Gestor de Proyecto's (TI) Coordinador TI Interno
internacionales
Analista de TI
Tesoreria
interno

11
PLAN DE AUDITORÍA
Funcional ECUACOPIA CIA. LTDA. Departamento de TI
Gerencia Informática
TIC S
Gestor de Proyecto's (TI) Coordinador TI Interno
Analista de TI
interno
ECUACOPIA CIA. LTDA. Organigrama organizacional Departamento de TI
Encargado Cargo Rol Misión de Cargo

Autoriza, proveer de servicios informáticos y
Paul Faret Dirección Gerencia informática
tecnológicos al cliente interno.
Gestionar proyectos TI para administrar y
Paola Chávez Administra Gestor de proyectos mantener la infraestructura tecnológica,
brindar soporte a usuarios y clientes.
Coordinar e implementar software a clientes
externos dando soluciones completas en
Wilma Wilde Coordina Coordinado de TI
gestión de información y procesos
automáticos.
Brindar soporte a usuarios internos y
Boris Andino Soporte Analista de TI
externos.
El área de Tecnología está divida en dos sub-áreas para la atención de cliente interno y externo; como
parte de soporte externo se da mantenimiento y garantía a los equipos, además a partir de este año.
Como área interna está vinculado con el personal interno de la compañía, entre sus principales
funciones se encuentra el soporte a usuarios de PAC- ERP, mantenimiento de equipos,
administración de la data center, etc.
El área de Tecnología se encuentra relacionada con el área Comercial por el cambio en visión de
negocio que se está teniendo.

12
PLAN DE AUDITORÍA
STAKEHOLDES
APLICACIÓN PRINCIPIO 1: SATISFACER LAS PARTES INTERESADAS
GRUPO ECUACOPIA
INTERNOS
ALTA DIRECCIÓN
Gerente General Chediak Martínez José Javier
Presidente Chediak Rivadeneira Enrique Adolfo
Vicepresidente Chediak Rivadeneira José Marun
Presidente Ejecutivo Chediak Bueno Felipe
DIRECTORES DEPARTAMENTO DE TI
Gerente TI Paul Faret
DEPARTAMENTO DE TI
Gestor de proyectos de TI Paola Chávez

Coordinador de TI Wilma Wilde
Analista de TI Boris Andino
SUCURSALES
Quito Oficina Comercial Pedro Ponce Carrasco E9-25 y Av. 6 de 022235936

Diciembre, Edif. Multiapoyo
Guayaquil Sucursales Carchi 601 y Quisquis Edif. Quil, 043391100
Mezzanine
Guayaquil Oficina Comercial Puerto Santa Ana, Edif. The Point 043884680
Cuenca Sucursales Muñoz Vernaza N377 y Luis Cordero 072844044
Ambato Sucursales Los Toctes 3 y Albaricoque 032525341
Manta Sucursales Av. 3 N1509, entre calle 15 y 16 056050564
Santo Domingo de los Tsáchilas Sucursales Av. Esmeraldas y Vía al Búa Santo 022750770
Domingo Plaza de Negocios y Comercio
CLIENTES Y PROVEEDORES EXTERNOS
Quito Corporación GPF Cliente

Quito Industrias Ales Cliente
RICOH Corp. Proveedor
PANINI Proveedor
FUJTISU Proveedor

13
PLAN DE AUDITORÍA
ENTIDADES REGULADORAS
Servicio de rentas internas
Superintendencia de Compañías
Ministerio de Relaciones laborables
Servicio Nacional de Aduana del

Ecuador
Registro mercantil
Servicio ecuatoriano de
normalización

14
PLAN DE AUDITORÍA
FUNCIONES GERENTE DE TI
IDENTIFICACIÓN GENERAL:
Nombre de Cargo: Gerente de TI

Responsable del
cargo Paúl Faret
Proceso (unidad): TI
Autorizar, proveer de servicios informáticos y tecnológicos al
Rol del Cargo: cliente.
Reporta a: Gerencia General
Reportes de: Gestor de TI
MISIÓN DEL CARGO:
Gestionar la plataforma tecnológica para la mejora e innovación de procesos y servicios

de la empresa, optimizando las capacidades de la misma mediante el uso de tecnologías
de información. Dirigir, coordinar y optimizar la utilización de los recursos informáticos,
así como también resolver las necesidades informáticas de la empresa mediante la
coordinación y la planificación estratégica.
FUNCIONES ESENCIALES DEL CARGO:
Planificar, diseñar, ejecutar y monitorear la estrategia de tecnologías de

información.
Supervisar y evaluar el alineamiento de los sistemas de información a los procesos
corporativos
Definir políticas y normas de seguridad de la información, así como
procedimientos generales de seguridad física y lógica
Formular los Términos de Referencia para la adquisición de equipos,
accesorios, repuestos, insumos y demás elementos necesarios
relacionados con el uso de tecnologías de la información
Mantener la operatividad y disponibilidad de los sistemas de información y
servicios basados en Tecnologías de Información y Comunicaciones
Elabora el Presupuesto anual de TI.
Mantener las medidas necesarias para la continuidad del negocio
Mantener un inventario actualizado de los recursos informáticos.
Información (ERP, Intranet, etc.)
15
PLAN DE AUDITORÍA
COMPETENCIAS REQUERIDAS
TEMAS
Liderazgo
Innovación
Trabajo En Equipo
Apertura Al Cambio
Orientación A Resultados
Autocontrol
Orientación De Servicio
INTERFAZ DEL PUESTO
RELACIONES EXTERNAS RELACIONES INTERNAS

Proveedores locales, Todas las áreas de la empresa
Proveedores internacionales
(PARTNERS)
Clientes y usuarios finales
CONOCIMIENTOS GENERALES DEL PUESTO:
TEMAS
Base de datos,
Redes y cableado estructurado
Administración de sistemas operativo
Conocimiento de procesos, procedimientos, flujos
Mapeo de procesos y procedimientos

16
PLAN DE AUDITORÍA
CONOCIMIENTOS DE BASE LEGAL
Conocimiento en legislación derecho de autor, manejo de

confidencialidad, uso de licencias
Legislación tributaria
Legislación laboral
RESPONSABILIDADES DEL CARGO
TEMAS
Satisfacción clientes internos y externos

Generación demos clientes finales
Asesorar y recomendar a la alta dirección en las soluciones
tecnológicas

17
PLAN DE AUDITORÍA
FUNCIONES GESTOR DE PROYECTOS TI
Nombre de Cargo: Gestor de proyectos TI

Responsable: Paola Chávez
Administrar recursos tecnológicos para gestionar proyectos
Rol del Cargo: TI mediante PHVA (planificar, hacer, verificar, actuar)
Reporta a: Gerencia ti (Paul Faret)
Reportes de: Analista ti (Boris Andino)
MISIÓN DEL CARGO:
Gestionar proyectos TI para administrar y mantener la infraestructura tecnológica,

brindar soporte a usuarios y clientes mediante de la construcción de un equipo de
trabajo basado en la confianza y el empoderamiento, el mismo que apalanque los
objetivos estratégicos de la compañía.

18
PLAN DE AUDITORÍA
FUNCIONES ESENCIALES DEL CARGO
Gestionar y mantener la infraestructura tecnológica y redes

Administrar y monitorear servidores
Gestionar el soporte a aplicaciones internas
Gestionar el soporte a usuarios
Administrar bases de datos de aplicaciones internas
Administrar y controlar accesos a recursos de la red, servicios y servidores
Preparar ambientes de pruebas
Gestionar solicitudes de gerencia sobre investigación tecnológica
Administrar aplicaciones web internas
Aplicar hackeo ético para buscar vulnerabilidad de los sistemas y controlar
accesos
Gestionar proyectos para el manejo y control de consumo mediante soluciones,
administrador de dispositivos histórico de consumos en clientes.
Gestionar el soporte a clientes
Diseño, desarrollo, implementación y mantenimiento de aplicaciones para el
apoyo de centros de copiado
Mantener relaciones con proveedores de servicio de internet, canal de datos y
firewall
Responsabilidad
Honestidad
Liderazgo
Trabajo En Equipo
Comunicación
Empoderamiento
Construcción De Relaciones De Confianza
Confidencialidad De La Información
Manejo De Conflictos
Negociación

19
PLAN DE AUDITORÍA
INTERFAZ DEL PUESTO

CLIENTES USUARIOS A NIVEL NACIONAL
CONOCIMIENTOS GENERALES DEL PUESTO
Microsoft Exchange
Firewall
Base de datos
Sistemas operativos para servidores y PC’S
Lenguajes de programación
Servidores web
Seguridad de la información
Redes de comunicaciones
Gestión de proyectos
ITIL
Habilidades directivas
Mantener el correcto funcionamiento de servidores

Mantener el correcto funcionamiento de las conexiones de red
Gestionar el soporte oportuno a usuarios y clientes
Gestionar proyectos para el manejo y control de impresiones en clientes
Monitorear y controlar proyectos y actividades
Construir relaciones de confianza con personal TI
Motivar el desarrollo personal y empoderamiento de TI

20
PLAN DE AUDITORÍA
FUNCIONES COORDINADOR DE TI
Nombre de Cargo: Coordinadora de ti

Responsable del cargo Wilma Quinde
Rol del Cargo: Coordinación e Implementación TI
Reporta a: Gerencia TI (Paul Faret)
Reportes de: Analista TI
MISIÓN DEL CARGO:
Coordinar e implementar software a clientes externos dando soluciones completas

en gestión de información y procesos automáticos que pueden o no estar
integrados a los equipos RICOH.
FUNCIONES ESENCIALES DEL CARGO:
Planifica laboratorios con escenarios de SW de PARTNERS y tipos de servicio

(arr, all) de equipos (multifuncionales)
Dirigir, gestionar y dar seguimiento a la implantación del nuevos proyectos de
clientes internos
Mantenimiento preventivo y correctivo a sistema operativo
Brindar apoyo al Área Comercial en los procesos de preventas de sistemas de
Gestión Documental.
Brindar apoyo al Área Comercial en los procesos De digitalización temporal para
documentos históricos
Definir términos, condiciones y alcance de los proyectos de Gestión Documental,
Data Variable
Administración de software de gestión documental clientes externos según contrato
de servicios profesionales
Soporte vía conferencia con clientes externos
Brindar soporte técnico de post venta al Área IT de clientes externos
Planificar con cliente la implementación de Software Gestión documental
adquiridos/ rentados
Asesorar a clientes para la identificación de procesos y/o documentos críticos

\
21
PLAN DE AUDITORÍA
TEMAS
Trabajo a presión
Innovación
Trabajo en equipo
Apertura al cambio
Orientación a resultados
Autocontrol
Orientación de servicio
INTERFAZ DEL PUESTO

Área contable, RRHH, técnico, ventas,
Proveedores locales, post venta
Proveedores internacionales
Clientes y usuarios finales
TEMAS
Base de datos,
Redes y cableado estructurado
Administración de sistemas operativo Windows
Conocimiento de procesos, procedimientos, flujos
Mapeo de procesos y procedimientos

22
PLAN DE AUDITORÍA
CONOCIMIENTOS DE BASE LEGAL
Conocimiento en legislación derecho de autor, manejo de

confidencialidad, uso de licencias
Legislación tributaria
Legislación laboral

TEMAS
mantener operativo el sistema integrado
Satisfacción clientes internos y externos
Generación demos clientes finales

23
PLAN DE AUDITORÍA
FUNCIONES ANALISTA TI
Nombre de Cargo: Analista TI

Responsabilidad: Boris Andino
Rol del Cargo: Soporte a Usuarios
Reporta a: Coordinador de TI
Reportes de: Actividades Realizadas
MISIÓN DEL CARGO:
Brindar soporte a usuarios internos y externos.
FUNCIONES DEL CARGO
Realizar mantenimientos físicos en los computadores de la empresa

Realizar mantenimientos lógicos en los computadores de la empresa
Brindar soporte a los usuarios en software
Revisar cableado estructurado de la empresa
Realizar reportes de históricos de consumos
Realizar instalaciones de software en clientes
Revisar manejo de base de datos
Revisión de perfiles de usuarios en active director
Brindar soporte de ofimática en usuarios internos
Brindar soporte a usuario externo de software instalado
Responsabilidad
Trabajo en equipo
Comunicación
Confidencialidad de la información

24
PLAN DE AUDITORÍA
INTERFAZ DEL PUESTO

Instalación de Software requerido Instalación de Software requerido
en Clientes por el usuario
Mantenimiento de computadores
Manejo de herramientas de ofimática
Manejo de la herramienta Excel
Sistemas Operativos
Manejo de Base de Datos
Software
Mantenimiento de computadores
Manejo de herramientas de ofimática
Manejo de la herramienta EXCEL
Sistemas operativos
Manejo de base de datos
Función correcto de los computadores

Función correcto de la red
Entrega de reportes de consumos
Brindar soporte a usuarios internos
Brindar soporte a usuarios externos

25
PLAN DE AUDITORÍA
INVENTARIO DE HARDWARE
PORTÁTILES
SISTEMA
No. MARCA MODELO DESCRIPCIÓN
OPERATIVO
Windows 10
1 TOSHIBA Tecra A50 -C-16L Intel Core i5 2.3 Ghz, HD 500 GB
(64 bits)
Satellite C55D - C- Windows 10
2 TOSHIBA Intel Core i3 1.5 GHz Dual- Core
166 (64 bits)
Intel Celeron N3050 1.6 GHz Windows 10
3 HP Stream 11
Dual-Core, 2MB Cache (64 bits)
Intel N3060 Dual-Core 2.48 GHz Windows 8
4 HP HP 240 G6
500 GB. (64 bits)
Windows 8
5 HP HP 15 Touch Intel core i3 -6100u 2.3 GHz
(64 bits)
Windows 8
6 HP 15H007A Intel Core i7-7500U 3.5 GHz
(64 bits)
Windows 10
7 HP 1001440LA Intel Core i5 2.4 GHz Dual Core
(64 bits)
HP-
Windows 10
8 HP 455VE11205X500LX Intel Core i3 1.5 GHz Dual- Core
(64 bits)
CO4L4
INSPIRON I5567 - Windows 10

9 DELL Intel Core i7-7500U 3.5 GHz
7291 gry 17 (64 bits)
Windows 10
10 GATEWAY P-172FX Intel Core 2 Duo T8300
(64 bits)

26
PLAN DE AUDITORÍA
COMPUTADORAS DE ESCRITORIO
SISTEMA
No. MARCA MODELO DESCRIPCIÓN
OPERATIVO
INTEL DUAL CORE G4400 3.3
GHZ 1151 6ta GEN, disco duro
COMPUTADOR 500 GB HITACHI SATA MB
SAMSUNG Windows 8
1 A DE GIGABYTE H110M-H LGA 1151
CASE (64 bits)
ESCRITORIO MEMORIA DDR4 4GB
KINGBSTON PC 2133, mouse
óptico, teclado.
Dimensión de 1500 x 1200, INTEL

COMPUTADOR CORE I5, software MS, Windows
Windows 8
2 HP A DE 8, Lector de tarjetas, grabadoras de
(64 bits)
ESCRITORIO DVD, mouse optico, teclado
multimedia.
DELL 0902SFi5S81TW7P3W
EQUIPO DE
Procesador Intel Core i5, cache de Windows 8
3 DELL ESCRITORIO
6MB, RAM 8 GB Disco duro 1Tb (64 bits)
COMPLETO
Monitor 18.5, DVD/RW
EQUIPO DE INTEL CORE I5-7400-3.5 GHz -

Windows 8
4 HP ESCRITORIO 6MB - 4 Núcleo - DDr4 - 2133-
(64 bits)
COMPLETO 2400, DDR3L- 1333/1600
PROYECTOR
No. MARCA SERIE DESCRIPCIÓN CARACTERÍSTICAS
Wifi opcional, se puede colocar a
72cm de la pantalla para obtener
una imagen de 178 cm y alta
1 EPSON EB - 420 PROYECTOR calidad. Equipado con tecnología
3LCD, emisión de luz blanca y en
color de hasta 25 lúmenes,
proyección de imágenes nítidas.
Tecnología 3LCD Panel LCD 0.55
Pulgadas con MLA Salida
luminosa, modo económico 2400
100-240V-
2 EPSON PROYECTOR lúmenes, Salida de imagen en
50/60HZ
blanco/negro y a color de 3000
lúmenes, contraste 3000:1 horas
de lámpara.
27
Del 01 de enero al 31 de diciembre 2016
PLAN DE AUDITORIA
SERVIDOR IBM XSERIES SYSTEM X3650 - ESPECIFICACIONES
Hasta 2 procesadores Intel Xeon de la serie

Procesador (máx.)
E5645/2,4 GHz
Memoria caché (máx.) 12 megabytes (MB) por procesador
Módulos RDIMM (Módulo de memoria en línea
dual registrado) DDR-3 (Doble velocidad de
transmisión de datos) de 192 GB a través de 18
Memoria
ranuras Memoria doble en línea Modulo (DIMM)
o UDIMM (No registrado DIMM) DDR-3 de 48
GB a través de 12 ranuras DIMM
Ranuras de expansión Cuatro
Puertos USB 2 delante /4 detrás/2 interior
Almacenamiento interno máximo Hasta 16,0 TB (SAS/SATA hot-swap)
Dos puertos integrados, además de dos puertos
Interfaz de red
opcionales Gigabit Ethernet (GbE)
Componentes hot-swap Fuentes de alimentación, módulos de ventilación y
unidades de disco duro
Fuente de alimentación 1/2 fuentes de alimentación redundantes
IBM IMM2 con presencia remota FoD opcional,
PFA, diodos emisores de luz (LED) de diagnóstico,
Gestión de sistemas panel de luz, Diagnóstico de ruta , Reinicio
automático del servidor IBM Director de Sistemas
Gerente de energía activa.
Microsoft® Windows® Server, Red Hat Enterprise
Sistemas operativos compatibles
Linux®, SUSE Linux Enterprise Server

28
PLAN DE AUDITORÍA
SERVIDOR
DESCRIPCI SISTEMA
No. MARCA SERIE MODELO ÓN CARACTERÍSTICAS OPERATIVO
Procesador 1 Intel Xeon
E5645 / 2.4 GHz (2.67
Este servidor se
GHz), Soporte de
homologa para
procesador: soporta hasta
XSERIES Windows Server
KQDG 2 procesadores, Memoria
1 IBM SYSTEM SERVIDOR 2008 con
RBT RAM/ Expansión 4 GB
X3650 hardware de
(instalados) / 192 GB
marca de
(Max) - DDR3 SDRAM-
fabricante.
ECC 1333 MHz - PC3 -
10600
IMPRESORAS
No MARCA SERIE DESCRIPCIÓN CARACTERÍSTICAS
Microtropiezo punto variable, impresión

a 4 colores (CMYK) RESOLUCIÓN
HASTA 5760 x 1440 dpi de resolución,
1 EPSON LX 300 IMPRESORA
número e inyectores monocromática 180
boquillas, área e impresión máxima 21.6
cm (8.5") (ancho) x 111 cm (44") (largo)
Tipo de impresión blanco/negro y a

color, tecnología de impresión láser,
OFFICE JET IMPRESORAS
2 HP número de páginas hasta 1200, copias a
4656 MULTIFUNCIÓN
doble cara. FUNCIONES: impresión,
copia, escáner, fax.
Impresora multifuncional de tinta con

impresora, copiadora, compatible con
3 CANON E471 MODELO 2017
sistemas operativos Apple Mac OS X
10.5.8 Windows vista XP profesional

29
PLAN DE AUDITORÍA
COPIADORAS
No MARCA SERIE DESCRIPCIÓN CARACTERÍSTICAS
20 impresiones por minuto, papel

tamaño A4, Función de scanner a
color, impresora local y de Red, saca
COPIADORA 99 copias de un mismo original, el
MP 201
1 RICOH REMANOFACTUR tóner saca 6.000 copias, aplica al 400%
SPF
ADA y reduce el 25%, saca copias de lado y
lado, bandeja automática, volumen de
copiado 15.000 impresiones
mensuales.

30
PLAN DE AUDITORÍA
TELÉFONOS
No MARCA MODELO # DESCRIPCIÓN
INALÁMBRICO
LCD de 1.6 en color ámbar, teclado
iluminado, mejoría de alcance del
1 PANASONIC CONTE TCG 360 2 radio debido a la fabricación con 2
antenas, altavoz, identificador de
llamadas, Modo silencio, directorio
telefónico, sistema de contestadora
INALÁMBRICO
Funciona con los conmutadores
CloudCall, tienen dos puertos de
red una va al router y el otro a la
2 PANASONIC T19 2
computadora, calidad de sonido,
volumen de altavoz, indicador de
correo electrónico, historial de
llamadas
INALÁMBRICO
Tecnología 2,4 GHz, llamada en
espera, indicador luminoso y alerta
3 PANASONIC KX-TG2420B 2
de mensajes, altavoz, teclado
luminoso, montable en la pared,
más de 60mts de alcance.
INALÁMBRICO
Terminal pre-registrado con la
estación base, pantalla gráfica
iluminada, eco plus sin radiaciones,
4 SIEMENS GIGASET A 120 1
lista de llamadas con 25 entradas,
remarcación de los últimos 10
números, indicación de la fecha,
identificación de autor de llamadas.
EJECUTIVO
Compatible con el conmutador KX-
5 PANASONIC KX-DT521 2
NS500, altavoz y cascos full
dúplex, LCD gráfico de una línea.
EJECUTIVO
CloudCall, dos puertos, directorio
CLOUD
6 T19 3 telefónico, historial de llamadas o
CALL
transferencias, realiza llamadas
confidenciales, altavoz.

31
PLAN DE AUDITORÍA
SUMADORA
No MARCA INV MODELO DESCRIPCIÓN
Sumadora
conversión métrica,
1 CASIO 2 Dr-120 TM
funcionamiento
corriente
CALCULADORAS
1 CANON 12 LS-100TS Básica de escritorio
PANTALLA DE PROYECTOR
pantalla para
1 LOCH 1 MS84SR proyectar 1,80 metros
de ancho
USB
1 KINGSTON 5 DT108 8GB
DATA
1 KINGSTON 8 16 GB
TRAVELER
DISPENSADOR DE AGUA
Agua fría y caliente,

1 WHIRLPOOL 1 WK5053Q capacidad de 11 y 19
litros

32
PLAN DE AUDITORÍA
SOFTWARE UTILIZADO POR LA EMPRESA

Sistema operativo Windows 8 y Windows 10
La empresa cuenta con licencia actualizada de Windows 8 y Windows 10 en las

portátiles y computadora de escritorio.
CORREO DOMINIO
La empresa ECUACOPIA CIA. LTDA., cuenta con un dominio que es privado
www.ecuacopia.com, cuenta con una plataforma web y perfil institucional.
FIREWALL SOPHOS
La infraestructura de seguridad cuenta con firewall Sophos para monitorear el
tráfico de internet y correo electrónico con vigencia hasta junio del 2018.
ANTIVIRUS
La empresa cuenta con 14 portátiles y computadora de escritorio cuentan con
licencia de antivirus marca Kaspersky Anti-Virus actualizada y con vigencia hasta
junio del 2018.
PAC –ERP
Este sistema administrativo contable financiero más fuerte, completo y confiable
desarrollado en el Ecuador. A precio nacional, un sistema de nivel internacional.
Especificaciones técnicas
El sistema PAC está desarrollado en PHP, JavaScript y HTML bajo una
arquitectura Cliente – Servidor que permite la conexión a cualquier base de datos.
SLA
Service Level Agreement (SLA) es un contrato que describe el nivel de servicio
que un cliente espera de su proveedor.
Denarius: Proveedor de módulo de Facturación Electrónico, compañía relacionada

con el GRUPO ECUACOPIA.

33
PLAN DE AUDITORÍA
MySQL Server
 El gestor de bases de datos
Provedatos: Proveedor del ERP PAC, desarrollado en PHP, Javascript y HTML bajo
una arquitectura Cliente – Servidor que permite la conexión a cualquier base de datos
(MySQL, ORACLE, MYSQL Server)
- Provedatos es la empresa encargada de la administración del ERP.

- Cuenta con cláusulas de confidencialidad de la información privada de la
empresa
- Proporciona capacitación a quienes hagan del ERP.
- Horario de soporte 24 horas
- Encargado de dar soporte y mantenimiento al ERP,
- Cuenta con las fuentes para realizar cambios
Telconet: Proveedor de enlace de datos e internet.

Contrato de servicios
- Telconet es la empresa encargada de la administración de la red
- Cuenta con cláusulas de confidencialidad: Topología de la red, ancho de
banda, protocolo, servicios, políticas.
- Es necesario que se notifique con 48 horas de anticipación al proveedor para
cualquier actividad preventiva, mantenimiento a los equipos, herramientas
de administración o monitoreo que se vaya a realizar internamente en la
empresa.
- Telconet se encarga de problemas en la red, cuando el departamento de TI
de la empresa no puede resolver el problema de la misma.
- El tiempo de movilización de Telconet es de 1 a 4 horas para el respectivo
mantenimiento.
- El horario de soporte de Telconet es de 7x24x365.
- Telconet provee a la empresa de banda ancha con una línea de compartición
1 a 1.
- Cualquier otro servicio que no se encuentre estipulado dentro del contrato
será cobrado adicionalmente.
- La empresa tiene que cumplir con exigencias de infraestructura solicitados
por Telconet (1.4.2 SLA)

34
Del 01 de enero al 31 de diciembre 2016
PLAN DE AUDITORIA
Celco: Mantenimiento de UPS para el servidor
TIPOS DE REDES
VPN
(Virtual Private Network) es una tecnología de red que se utiliza para conectar una o
más computadoras a una red privada utilizando Internet. Las empresas suelen utilizar
una VPN para que sus empleados desde sus lugares alejados a la empresa, puedan
acceder a recursos corporativos que, de otro modo, no podrían.
Red LAN
La red LAN abarca el área del edificio de ECUACOPIA CIA. LTDA. Como
protección cuenta con firewall.
ESQUEMA GENÉRICO
CANALIZACIÓN DE CABLEADO
Todo el recorrido de cables, desde su salida hasta la toma final está distribuido mediante
canaletas de tal forma que ningún cable se encontró suelto.
La distribución del cableado está distribuido por canaletas adheridas al techo y paredes
para cada área de trabajo. Cuenta con ventilación apropiada.

35
PLAN DE AUDITORÍA
APLICACIÓN PRINCIPIO 4: HACER POSIBLE UN ENFOQUE HOLÍSTICO

CATALIZADOR 2: PROCESOS
DESCRIPCIÓN DE MAPA DE PROCESOS
PROCESOS SUBPROCESOS DESCRIPCIÓN

Asegurar y potenciar el desarrollo de
la comercialización de equipos
Planificación Estratégica tecnológicos y a su correcto

funcionamiento brindando soporte
técnico a nuestros clientes.
Establecer un plan de acción para
PROCESOS
ESTRATÉGICOS contribuir a la mejora de los procesos
de toma de decisiones y establecer una
Gestión y Desarrollo base de gestión de calidad para la

mejora continua, aplicando la
eficiencia y eficacia en el desarrollo de
la dirección y gestión empresarial.

36
PLAN DE AUDITORÍA
DESCRIPCIÓN DE MAPA DE PROCESOS

PROCESOS SUBPROCESOS DESCRIPCIÓN
Garantizar la satisfacción del cliente y la

participación de ECUACOPIA CIA. LTDA., en el
Gestión de Comercialización mercado desarrollando un sistema adecuado de
calidad de productos y servicios que brinda la
organización.
Garantizar y controlar, el buen funcionamiento de los

equipos de nuestros clientes brindando la reparación,
Gestión de Soporte
PROCESOS mantenimiento, servicio oportuno y dando soluciones
OPERATIVOS justo a tiempo.
Asegurar las técnicas para promover los productos y

servicios ofertados por la empresa, realizando un
Gestión de Venta análisis de canales de distribución, que permita a la
empresa mejorar sus rendimientos económicos,
incremento de ventas y la satisfacción al cliente.

37
PLAN DE AUDITORÍA
Gestión de Administración Garantiza que los programas, metas, objetivos se realicen en

las mejores condiciones posible de manera oportuna,
eficiente, eficaz, para el cumplimiento de los
procedimientos, aplicación de estrategias, apoyando a la
invocación en nuestros productos y servicios ofertados.
Gestión Talento Humano Atraer motivar y retener a los empleados para explotar sus
habilidades y adquirir su capacidad, garantizando el
cumplimientos de las actividades y procesos de trabajo
encomendadas según sus perfiles, roles y funciones.
Gestión Contable y Procesar, controlar, asegurar y garantizar la información,
financiera
con la correcta aplicación de leyes, reglamentos y políticas
PROCESOS DE APOYO
económicas y financieras del país, determinando una

información fiable y oportuna. Para las evaluaciones de los
ingresos y gastos (rentabilidad y liquidez) en relación a
nuestra actividad y giro de negocio.
Gestión y logística Optimizar el uso de los recursos de la empresa, tomando en
cuenta su rendimiento e integración, mejorando el nivel de
calidad de los productos y servicios con nuestros clientes y
proveedores, buscando la eficiencia de las áreas productivas
que generan valor agregado a la empresa.
Informática TIC’S Controlar el uso de las Tecnologías de Información y la
Comunicación en la empresa, aplicando estrategias, para
resguardar la información y cumplir con un buen
funcionamiento de los sistemas informáticos utilizados,
garantizar la integridad y privacidad de la información, de
las redes instaladas, de la documentación y controlar el
accesos de los usuarios al sistema.

38
PLAN DE AUDITORÍA
MAPA DE PROCESOS
Planificación Estratégica Desarrollo y Gestión
Gestión Gestión de Ventas

comercialización Nacionales
Internacionales
Gestión Gestión
Gestión de Gestión y Informática
Talento contable y
Administración logística (TI)
Humano financiera
Fuente: Mapa de procesos ECUACOPIA CIA. LTDA.

39
PLAN DE AUDITORÍA
PROCESOS DE LA EMPRESA
PROCESOS ESTRATÉGICOS
Planificación Estratégica
- Análisis y programa de desarrollo institucional.
Gestión y Desarrollo
- Definición de los objetivos, metas, estrategias institucionales.
PROCESOS OPERATIVOS
Gestión de Comercialización
- Compra y adquisiciones.
- Requerimiento de cotizaciones a proveedores.
Gestión de Soporte Técnico

- Mantenimientos usuarios externos.
- Instalaciones usuarias externos.
Gestión de Venta
- Requerimiento de cotizaciones a Clientes.
- Emisión de facturas.
PROCESOS DE APOYO
Gestión de Administración
- Presupuesto.
- Planes, programas y proyectos.
Gestión de Talento
- Selección y contratación de personal.
- Capacitación de personal.

40
PLAN DE AUDITORÍA
Gestión Contable y financiera

- Registro de información contable y financiera.
- Liquidación de gastos.
- Liquidación de impuestos.
- Declaración y presentación de la información financiera
- Control de cartera.
Gestión y logística
- Publicidad.
Informática TIC’S
- Plan de contingencia para pérdida de información.
- Requerimiento de hardware
- Soporte de usuarios internos.
- Protección de información con firewall cortafuegos para software.
- Creación de cuentas y claves de usuario
- Monitoreo de redes.
- Mantenimiento de Equipos informáticos
- Respaldos de información

41
ECUACOPIA CIA. LTDA. ProgA
PROGRAMA DE AUDITORIA
PROCESOS RELACIONADOS CON TI
MACROPROCESOS No PROCESOS RELACIONADOS CON TI

FINANCIERO 1 Requerimiento de cotizaciones a proveedores.
CLIENTE 2 Mantenimiento usuarios externos.
CLIENTE 3 Requerimiento de cotizaciones a Clientes.
FINANCIERO 4 Emisión de facturas.
FINANCIERO 5 Registro de información contable y financiera.
FINANCIERO 6 Declaración y presentación de la información financiera
FINANCIERO 7 Control de cartera.
Plan de contingencia para siniestro o pérdida de
INTERNO TI 8
información.
INTERNO TI 9 Requerimiento de hardware
INTERNO TI 10 Soporte de usuarios internos.
INTERNO TI Protección de información con firewall cortafuegos para
11
software.
INTERNO TI 12 Creación de cuentas y claves de usuario
INTERNO TI 13 Monitoreo de redes
INTERNO TI 14 Mantenimiento de Equipos informáticos
INTERNO TI Respaldo y almacenamiento de la información extraída en
15
dispositivos.

Revisado por: Ing. Patricia Jimbo (MBA) Fecha Fin: 15/Diciembre/2017
42
CUESTIONARIO GENERAL ECUACOPIA CIA. LTDA.
Esta encuesta está dirigida a clientes internos de la empresa ECUACOPIA CIA. LTDA. La misma tiene la finalidad de
determinar el servicio, agilidad y cumplimiento del departamento de TI, con la cual levantaremos información del nivel de
riesgos y seguridad de la información.
1. ¿Conoce usted si cuenta la empresa con un Plan de Desarrollo Estratégico?
Si (___)
No (___)
2. ¿Conoce usted si el departamento de TI cuenta con Plan Estratégico de Tecnologías de Información?
Si (___)
No (___)
3. ¿Conoce usted si el departamento de TI cuenta con un inventario de hardware y de software?
Si (___)
No (___)
4. ¿Ha tenido usted algún problema con el funcionamiento del sistema?
Si (___)
No (___)
5. ¿Ha solicitado soporte con en algún momento en el sistema, relacionado con virus, encriptación de información u
otros?
Si (___)
No (___)
6. ¿Conoce usted si en su equipo cuenta con licencias vigentes?
Si (___)
No (___)
7. ¿Se realizan mantenimientos periódicos a sus equipos?
Si (___)
No (___)
8. ¿Se realiza mantenimiento al servidor externos en los cual se generar back-up?
Si (___)
No (___)
9. ¿Se realiza respaldos de la información en su departamento frecuentemente?
Si (___)
No (___)
10. ¿Cuenta con acceso a la información por medio de un usuario y contraseña como medida de seguridad?
Si (___)
No (___)
11. ¿Existe el tratamiento adecuado ante los posibles daños de la red LAN de la empresa?
Si (___)
No (___)
12. ¿Se cumple con el procedimiento y políticas de adquisición de activos destinados al área de TI?
Si (___)
No (___)
13. ¿El soporte técnico proporciona las soluciones inmediatas para resolver problemas en el sistema o en equipos?
Si (___)
No (___)
14. ¿Conoce usted si la empresa cuanta con algún plan de contingencia en caso de siniestro o incidentes relacionado
con la información?
Si (___)
No (___)
43
RESULTADOS OBTENIDOS DE ENCUESTA GENERAL

(9 Clientes internos casa matriz ECUACOPIA CIA. LTDA.)
1. ¿Conoce usted si cuenta la empresa con un Plan de Desarrollo Estratégico?
Interpretación de la pregunta 1.- De los 9 clientes encuestados 8 clientes (88,9%) conocen del plan de desarrollo
estratégico de la empresa y solo 1 de sus clientes (11,1%) desconoce del mismo.
2. ¿Conoce usted si el departamento de TI cuenta con Plan Estratégico de Tecnologías de Información?
Interpretación de la pregunta 2.- De los 9 clientes encuestados 4 clientes (44,4%) conocen del plan estratégico de
tecnologías de información la empresa y 5 de sus clientes (55,6%) desconoce del mismo.
3. ¿Conoce usted si el departamento de TI cuenta con un inventario de hardware y de software?
Interpretación de la pregunta 3.- De los 9 clientes encuestados 8 clientes (88,9%) conocen que el departamento de
TI cuenta con un inventario de hardware y software, y 1 de sus clientes (11,1%) desconoce de ese inventario

44
4. ¿Ha tenido usted algún problema con el funcionamiento del sistema?
Interpretación de la pregunta 4.- De los 9 clientes encuestados 8 clientes (88,9%) han tenido problemas con el
funcionamiento del sistema, y 1 de sus clientes (11,1%) no ha tenido ningún problema.
5. ¿Ha solicitado soporte con en algún momento en el sistema, relacionado con virus, encriptación de
información u otros?
Interpretación de la pregunta 5.- De los 9 clientes encuestados 8 clientes (88,9%) no han tenido problemas con
virus, encriptación u otro problema técnico, y 1 de sus clientes (11,1%) si ha tenido un problema de encriptación.
6. ¿Conoce usted si en su equipo cuenta con licencias vigentes?
Interpretación de la pregunta 5.- De los 9 clientes encuestados 9 clientes (100%) cuentan con licencias vigentes y
originales en sus equipos de trabajo (pc’s).

45
7. ¿Se realizan mantenimientos periódicos a sus equipos?
Interpretación de la pregunta 7.- De los 9 clientes encuestados 2 clientes (22.2%) si han recibido
mantenimiento de sus equipos y 7 clientes (77.8%) no han recibido mantenimiento de su equipo.
8. ¿Se realiza mantenimiento al servidor externo en los cual se genera back-up?
Interpretación de la pregunta 8.- De los 9 clientes encuestados 3 clientes (33.3%) considero que se ha
generado un mantenimiento al servidor oportunamente y 6 (66.7%) no considera que se ha generado
un mantenimiento oportuno.
9. ¿Se realiza respaldos de la información en su departamento frecuentemente?
Interpretación de la pregunta 9.- De los 9 clientes encuestados 2 clientes (22.2%) considera que si realizan
respaldos de la información frecuentemente y 7 de sus clientes (77.8%) considera que no se ha generado
respaldos frecuentemente.

46
10. ¿Cuenta con acceso a la información por medio de un usuario y contraseña como medida de seguridad?
Interpretación de la pregunta 10.- De los 9 clientes encuestados 7 clientes (77.8%) si cuenta con un usuario
y contraseña como medida de seguridad para acceder al sistema y 2 de sus clientes (22.2%) no cuenta con
su usuario, ni clave.
11. ¿Existe el tratamiento adecuado ante los posibles daños de la red LAN de la empresa?
Interpretación de la pregunta 11.- De los 9 clientes encuestados 2 clientes (22.2%) considera que si existe
un tratamiento adecuado para daños de su red local (LAN) y 7 de sus clientes (77.8%) no considera que
exista un tratamiento adecuado de la red.
12. ¿Se cumple con el procedimiento y políticas de adquisición de activos destinados al área de TI?
Interpretación de la pregunta 12.- De los 9 clientes encuestados 6 clientes (66.7%) si considera que si
cumple con procedimientos y políticas de adquisición y 3 de sus clientes (33%) considera que no cumple
con sus procedimientos y políticas.
47
13. ¿El soporte técnico proporciona las soluciones inmediatas para resolver problemas en el sistema o en
equipos?
Interpretación de la pregunta 13.- De los 9 clientes encuestados 6 clientes (66.7%) considera que no ha
tenido soporte inmediato para resolver sus problemas en el sistema o equipo y 3 de sus clientes
(33.3%) considera que si han tenido soporte inmediato.
14. ¿Conoce usted si la empresa cuanta con algún plan de contingencia en caso de siniestro o
incidentes relacionado con la información?
Interpretación de la pregunta 14.- De los 9 clientes encuestados 7 clientes (77.8%) no conoce del plan
de contingencia de TI en caso de siniestro o perdida de la información y 2 de sus clientes (22.2%) si
conoce del plan de contingencia de TI.

48
49
CUESTIONARIO DE CONTROL DE RIESGO
RESPUESTA POND.
No ACTIVIDAD OBSERVACIONES
SI NO N/A C CT
¿Existe políticas para el uso de
1 X 9 10
claves de sistema?
La empresa cuenta con
2 X 8 10
planificación estratégica?
¿Se encuentran establecidas las
3 actividades, objetivos, metas y X 9 10
estrategias institucionales?
¿La empresa cuenta con políticas de
4 X 9 10
compra y adquisición?
¿Existe una política para
5 requerimiento de cotizaciones a X 7 10
proveedores y clientes?
¿Se realizan periódicamente No se realiza el
6 mantenimiento y soporte a los X 6 10 mantenimiento de acuerdo
usuarios de la empresa? al cronograma
¿Los clientes externos se sienten
7 X 8 10
satisfechos con las instalaciones?
Es sistema se demora en
¿Las facturas a los clientes son
realizar el reporte de las
8 emitidas en el momento de la X 6 10
facturas, debido a que son
compra?
facturas electrónicas
¿Se realiza una estimación de
9 X 9 10
presupuesto anual?
¿Los gastos incurridos en
10 proyectos, planes y programas son X 8 10
controlados y supervisados?
La empresa no cuenta con el
¿El departamento de talento
sistema pero cuenta con una
11 humano cuenta con una aplicación X 6 10
persona especializada para
para selección?
la contratación del personal
¿Se programan capacitaciones Las capacitaciones se
12 X 6 10
habituales para el personal? realizan 2 veces al año más.
¿Existen responsables para el uso
13 de archivos y base de datos respecto X 9 10
al sistema?
¿Han existido problemas dentro del El sistema se colapsa
14 módulo contable en el registro de X 6 10 cuando existen muchos
información? ingresos de información.
¿La liquidación de gastos, cuenta
15 con respaldo de documentos X 9 10
electrónicos legales?

50
ECUACOPIA CIA. LTDA. Pro
AUDITORIA INFORMÁTICA gA
¿El software que utilizan cuenta
16 con un modelo de impuestos y X 9 10
declaraciones?
¿Se lleva periódicamente un
17 X 8 10
monitoreo de la cartera?
¿La empresa cuenta con un
18 X 8 10
software para realizar publicidad
¿El departamento de TI cuenta
19 con procedimientos X 9 10
informáticos?
¿Se realizan informes de
adquisiciones con las Se emiten los informes pero no son
20 características de los X 6 10 elaborados con todas las características
requerimientos de hardware necesarias para requeridos por TI
(infraestructura)?
¿Se ha implementado un La empresa si cuenta con antivirus pero
21 software antivirus y se realiza su X 7 10 no se le realiza las actualizaciones en
mantenimiento? los tiempos requeridos
¿El departamento de TI se realiza El departamento de TI no realiza
pruebas de verificación cuando directamente la verificación lo hace
22 X 6
se hacen soporte técnicos a los mediante vía telefónica con la persona
usuarios? perjudicada
¿Se tiene confidencialidad con No en lo absoluto debido que el gerente
23 X 5 10
las claves de los usuarios? general sabe algunas claves.
¿El departamento de TI recibe
24 notificaciones para la creación de X 8
usuarios y claves nuevas?
Si realizamos monitoreo de redes, pero
25 ¿Se realiza monitoreo de redes? X 7 10
no de forma periódica.
¿TI tiene acceso a todos los
26 módulos del software de la X 9 10
empresa?
¿La empresa cuenta con
27 respaldos de información X 9 10
externa?
La empresa cuenta con seguro
¿Cuentan con un plan de
empresarial pero TI no cuenta con plan
28 contingencia para algún siniestro X 6 10
de contingencia para siniestros
o pérdida de información?
relacionado con la información.
¿Se delegó responsables para
29 controlar el uso de información X 8 10
compartida?
La empresa si realiza los
¿Se realizan periódicamente el
mantenimiento a los equipos
30 manteniendo a los equipos X 7 10
informáticos, pero no tienen un
informáticos?
cronograma detallado.
SUMA 224 280

51
MATRIZ DE RIESGO
Valor
Aparición Gravedad Nivel de
MACROPROCESOS No PROCESOS del Optimo Porcentaje
probabilidad (Impacto) Riesgo
Riesgo
PROCESOS 1 Análisis y programa de desarrollo institucional. 3 1 3 25 12% MUY BAJO
ESTRATÉGICOS 2 Definición de los objetivos, metas, estrategias institucionales. 3 3 9 25 36% BAJO
3 Compra y adquisiciones. 3 1 3 25 12% MUY BAJO
4 Requerimiento de cotizaciones a proveedores. 3 2 6 25 24% BAJO
PROCESOS 5 Mantenimiento usuarios externos. 5 3 15 25 60% MODERADO
OPERATIVOS 6 Instalaciones usuarios externos. 4 2 8 25 32% BAJO
7 Requerimiento de cotizaciones a Clientes. 3 2 6 25 24% BAJO
8 Emisión de facturas. 3 4 12 25 48% MEDIO
9 Presupuesto. 4 3 12 25 48% MEDIO
10 Planes, programas y proyectos. 3 2 6 25 24% BAJO
11 Selección y contratación de personal. 3 3 9 25 36% BAJO
12 Capacitación de personal. 3 4 12 25 48% MEDIO
13 Registro de información contable y financiera. 5 1 5 25 20% BAJO
14 Liquidación de gastos. 5 2 10 25 40% MEDIO
15 Liquidación de impuestos. 5 3 15 26 58% MODERADO
16 Declaración y presentación de la información financiera 4 3 12 25 48% MEDIO
PROCESOS DE 17 Control de cartera. 4 2 8 25 32% BAJO
APOYO 18 Publicidad. 3 1 3 25 12% MUY BAJO
19 Plan de contingencia para siniestro o pérdida de información. 5 5 25 25 100% ALTO
20 Requerimiento de hardware 5 4 20 25 80% ALTO
21 Protección de información con firewall cortafuegos para software. 4 5 20 25 80% ALTO
22 Soporte de usuarios internos. 4 5 20 25 80% ALTO
23 Creación de cuentas y claves de usuario 4 5 20 25 80% ALTO
24 Monitoreo de redes 4 4 16 25 64% ALTO
25 Mantenimiento de Equipos informáticos 4 4 16 25 64% ALTO
26 Respaldo y almacenamiento de la información extraída en dispositivos. 4 4 16 25 64% ALTO
52
LEYENDA
GRAVEDAD (IMPACTO)
MUY BAJO 1 BAJO 2 MEDIO 3 MODERADO 4 ALTO 5
(probabilidad)
MUY BAJO 5 5 10 15 20 25
APARICIÓN
BAJO 4 4 8 12 16 20
MEDIO 3 3 6 9 12 15
MODERADO 2 2 4 6 8 10
ALTO 1 1 2 3 4 5
PROBABILIDAD 1%-20% 21%-40% 41%-60% 61%- 80% 81%-100%
SCORE DE RIESGO
MUY BAJO 1 0-3
BAJO 2 4-9
MEDIO 3 10 - 12
MODERADO 4 13 - 15
ALTO 5 16 - 25

53
SCORE DE RIESGO
GRAVEDAD (IMPACTO)
MUY BAJO 1 BAJO 2 MEDIO 3 MODERADO 4 ALTO 5
20. Requerimiento de 19. Plan de contingencia para
hardware. siniestro o pérdida de
ALTA 5 26. Respaldos de información. información.
21. Protección de información

APARICIÓN (probabilidad)
con firewall cortafuegos.

24. Monitoreo de redes.
22. Soporte de usuarios
25. Mantenimiento de Equipos
internos.
informáticos
23. Creación de cuentas y
claves de usuario.
MODERADO 4
MEDIA 3
BAJA 2
MUY BAJA 1
PROBABILIDAD 1%-20% 21%-40% 41%-60% 61%- 80% 81%-100%

54
MATRIZ DE CONTROL INTERNO: ANEXO 1 (Anexo los cuestionarios por procesos)

ECUACOPIA CIA LTDA.
AUDITORÍA DE S IS TEMAS INFORMÁTICOS

PERÍODO: octubre - febrero
MATRÍZ DE CONTROL INTERNO
RELACIÓN ENTRE ÁREA/PROCESO Y NORM AS/PRINCIPIOS A VERIFICAR
NORMAS Y PRINCIPIOS A VERIFICAR
1 2 3 4 5 6 7 8 9 10 11 12
LEY DE SUPERINTENDENCIA
LEY DE SEGURIDAD SOCIAL

NORMAS INTERNAS DE LA
PRINCIPIOS Y NORMAS DE
GESTIÓN DE LA CALIDAD
ISO 18000 SEGURIDAD

CODIGO DE TRABAJO
ISO 27000 GESTIÓN DE

ORGANIZACIONAL
SEGURIDAD DE LA
ISO 9001 NORMA DE
PROCEDIMIENTOS
POLITICA
DE COMPAÑIAS
INFORMACIÓN
MANUAL DE
SEGURIDAD
POLITICA
EMPRESA
NIC- NIIF
FISICA
LORTI
(IESS)
PROCES OS
Análisis y programa de desarrollo

1 1,1 1,2
institucional.
Definición de los objetivos, metas,

2 2,1 2,2 2,3
estrategias institucionales.
3 Compra y adquisiciones. 3,1 3,2 3,3 3,5

Requerimiento de cotizaciones a
4 4,1 4,2 4,3
proveedores.
5 M antenimiento usuarios externos. 5,1 5,2 5,3 5,9 5,10 5,12
6 Instalaciones usuarios externos. 6,1 6,2 6,3 6,9 6,10 6,1
7 7,1 7,2 7,3
Clientes.
8 Emisión de facturas. 8,1 8,2 8,3 8,4 8,11
9 Presupuesto. 9,1 9,2 9,3
10 Planes, programas y proyectos. 10,1 10,2 10,3 10,9 10,1
11 Selección y contratación de personal. 11,1 11,2 11,3 12 11,8
12 Capacitación de personal. 12,1 12,2 12,3
Registro de información contable y
13 13,3 13 14 13,11
financiera.
14 Liquidación de gastos. 14,3 14 15 14,11
15 Liquidación de impuestos. 15,1 15,2 15,3 15 16 15,11
Declaracion y presentacion de la
16 16,1 16,2 16,3 16 17 16,6 15,11
informacion financiera
17 Control de cartera. 17,1 17,2 17,11
18 Publicidad. 18,1 18,2 18,3 18,11
Plan de contingencia para siniestro o
19 19,3 19,10 19,11 19,12
pérdida de información.
20 Requerimiento de hardware 20,1 20,2 20,11 20,12
21 Soporte de usuarios internos. 21,1 21,1 21,3 21,11 21,12
Protección de información con firewall
22 22,1 22,2 22,3 22,11 22,11
cortafuegos para software.
23 Creación de cuentas y claves de usuario 23,1 23,2 23,11
24 M onitoreo de redes 24,1 24,2 24,3 24,9 24,12

M antenimiento de Equipos
25 25,1 25,2 25,3 25,9 25,1 25,11 25,12
informáticos
Respaldo y almacenamiento de la
26 26,1 26,2 26,12 26,12
informacion extraida en dispositivos.

55
MATRIZ DE CONTROL INTERNO

ECUACOPIA CIA LTDA.
AUDITORÍA DE SISTEMAS INFORMÁTICOS
PERÍODO: octubre - febrero
MATRÍZ DE CONTROL INTERNO
RELACIÓN ENTRE ÁREA/PROCESO Y NORMAS/PRINCIPIOS A VERIFICAR
NORMAS Y PRINCIPIOS A VERIFICAR
1 2 3 4 5 6 7 8 9 10 11 12
ISO 9001 NORMA DE GESTIÓN

LEY DE SUPERINTENDENCIA
LEY DE SEGURIDAD SOCIAL

NORMAS INTERNAS DE LA
PRINCIPIOS Y NORMAS DE
ISO 27000 GESTIÓN DE
ISO 18000 SEGURIDAD

CODIGO DE TRABAJO
NORMA Y PRINCIPIOS
SEGURIDAD DE LA
ORGANIZACIONAL
PROCEDIMIENTOS
DE LA CALIDAD
DE COMPAÑIAS
INFORMACIÓN
MANUAL DE
SEGURIDAD
EMPRESA
POLITICA
NIC- NIIF
LORTI
FISICA
(IESS)
PROCESOS
1 Análisis y programa de desarrollo institucional. 8.7 8.7

2 Definición de los objetivos, metas, estrategias institucionales. 8.7 8.7 8.7
3 Compra y adquisiciones. 8.0 8.0 8.0 8.0
4 Requerimiento de cotizaciones a proveedores. 8.3 8.3 8.3
5 Mantenimiento usuarios externos. 7.0 7.0 7.0 7.0 7.00 7.00
6 Instalaciones usuarios externos. 8.3 8.3 8.3 8.3 8.33 8.3
7 Requerimiento de cotizaciones a Clientes. 8.3 8.3 8.3
8 Emisión de facturas. 6.3 6.3 6.3 6.3 6.33
9 Presupuesto. 7.67 7.67 7.67
10 Planes, programas y proyectos. 8.3 8.3 8.3 8.3 8.3
11 Selección y contratación de personal. 6.50 6.50 6.50 6.50 6.50
12 Capacitación de personal. 6.67 6.67 6.67
13 Registro de información contable y financiera. 6.75 6.75 6.75 6.75 6.75
14 Liquidación de gastos. 8.67 8.67 8.67 8.67 8.67
15 Liquidación de impuestos. 7.00 7.00 7.00 7.00 7.00 7.00
16 Declaracion y presentacion de la informacion financiera 7.67 7.67 7.67 7.67 7.67 7.67 7.67
17 Control de cartera. 7.50 7.50 7.50
18 Publicidad. 9.50 9.50 9.50 9.50
19 Plan de contingencia para siniestro o pérdida de información. 6.00 6.00 6.00 6.00 6.00
20 Requerimiento de hardware 5.33 5.33 5.33 5.33
21 Soporte de usuarios internos. 6.00 6.00 6.00 6.00 6.00
22 Protección de información con firewall cortafuegos para software. 5.33 5.33 5.33 5.33 5.33
23 Creación de cuentas y claves de usuario 9.00 9.00 9.00
24 Monitoreo de redes 8 8 8 8 8
25 Mantenimiento de equipos informáticos 7 7 7 7 7 7 7
26 Respaldo y almacenamiento de la informacion extraida en dispositivos. 8.25 8.25 8.25 8.25

56
METAS CORPORATIVAS EMPRESA

METAS CORPORATIVAS ECUACOPIA CIA. LTDA.
Relación con los Objetivos de Gobierno
Dimensión del Realización
No. Meta Corporativa Optimización Optimización
CMI de
de Riesgos de Recursos
Beneficios
1 Optimización de costos de los productos y P S P

servicios.
Financiera 2 Registrar la información contable y P P P

financiera.
3 P P
Reducir los costos de los procesos
4 P S S
Controlar la cartera de clientes.
Cliente 5 Optimizar los productos, servicios y P S P

atención al cliente.
6 Ofrecer servicios y productos S S P

competitivos en el mercado
7 Entrega a tiempo a los requerimientos de P S P

negocio.
8 Mejorar y mantener la funcionalidad de P S P

los procesos.
Interna
9 Cumplir con las leyes y regulaciones P P S
externas.
10 P P S
Administrar los riesgos de negocios
11 Ofrecer información útil y confiable para P P P

la toma de decisiones estratégicas
12 Automatizar e integrar la cadena de valor P S P

Aprendizaje y de la empresa.
Crecimiento
13 Mantener personal motivado y capacitado. P S S
Principal P
Secundario S
No aplica

57
METAS CORPORATIVAS COBIT

Metas Corporativas COBIT 5
Relación con los objetivos de Gobierno
Dimensión del CMI No. Meta Corporativa Realización Optimización Optimización
de Beneficios de Riesgos de Recursos
Valor para las partes

1 interesadas de las P S S
Inversiones de Negocio
Cartera de productos y
2 P P S
servicios competitivos
Riesgos de negocio
Financiera
3 gestionados (Salvaguarda P P S
de Activos)
Cumplimiento de leyes y
4 P P S
regulaciones externas
5 Transparencia Financiera P P S
Cultura de servicio
6 P S S
orientada al cliente
Continuidad y
7 disponibilidad del servicio P S P
de negocio
Respuestas ágiles a un
Cliente 8 entorno de negocio P P
cambiante
Toma estratégica de
9 Decisiones basada en la P P S
Información.
Optimización de coste de
10 P P
entrega del servicio
Optimización de la
11 funcionalidad de los P P
procesos de negocio
Optimización de costes de
12 P P
los procesos de negocio
Interna Programas gestionados de
13 P S P
cambio en el negocio
Productividad operacional
14 P S P
y de los empleados
Cumplimiento con las
15 P P
políticas internas
Personas preparadas y
16 P S S
Aprendizaje y motivadas
Crecimiento Cultura de innovación de
17 P S P
producto y negocio

58
MAPEO DE METAS CORPORATIVAS

MAPEO DE METAS CORPORATIVAS DE COBIT 5 Y LAS METAS CORPORATIVAS
requerimientos de negocio.
Optimización de costos de
productos competitivos en
Administrar los riesgos de
Ofrecer información útil y

los productos y servicios.
confiable para la toma de
Automatizar e integrar la
Reducir los costos de los
Optimizar los productos,

Registrar la información
Cumplir con las leyes y
motivado y capacitado.
decisiones estratégicas
Controlar la cartera de
Entrega a tiempo a los
Mejorar y mantener la
servicios y atención al
regulaciones externas.
contable y financiera.
cadena de valor de la
funcionalidad de los
Ofrecer servicios y
Mantener personal
METAS CORPORATIVAS
el mercado
procesos.
negocios
empresa.
procesos
clientes.
cliente.
No.
METAS COBIT 5
N
10
11
12
13
1
9
No.
METAS CORPORATIVAS COBIT 5 Financiero Cliente Interna Aprendizaje y crecimiento
1 Valor para las partes interesadas de las Inversiones de Negocio P S P S S S P S

2 Cartera de productos y servicios competitivos S S P S P P S
3 Riesgos de negocio gestionados (Salvaguarda de Activos) P P P
4 Cumplimiento de leyes y regulaciones externas P P
5 Transparencia Financiera P P S S P
6 Cultura de servicio orientada al cliente P P S P P S P
7 Continuidad y disponibilidad del servicio de negocio P S S
8 Respuestas ágiles a un entorno de negocio cambiante S P P S P
9 Toma estratégica de Decisiones basada en la Información. P P P S S S P
10 Optimización de coste de entrega del servicio P S P S P P

59
MAPEO DE METAS CORPORATIVAS
MAPEO DE METAS CORPORATIVAS DE COBIT 5 Y LAS METAS CORPORATIVAS
11 Ofrecer información útil y confiable

Registrar la información contable
Automatizar e integrar la cadena de

Controlar la cartera de clientes.
Mantener personal motivado y

funcionalidad de los procesos.
servicios y atención al cliente.
Optimización de costos de los
Ofrecer servicios y productos

competitivos en el mercado
requerimientos de negocio.
Administrar los riesgos de

Reducir los costos de los
para la toma de decisiones

Optimizar los productos,
Cumplir con las leyes y

Entrega a tiempo a los
Mejorar y mantener la
regulaciones externas.
productos y servicios.
valor de la empresa.
y financiera.
capacitado.
estratégicas
negocios
procesos
METAS CORPORATIVAS
No.
METAS COBIT 5
10
12
13
1
9
No.
Aprendizaje y
METAS CORPORATIVAS COBIT 5
Financiero Cliente Interna crecimiento
11 Optimización de la funcionalidad de los procesos de negocio P P P
12 Optimización de costes de los procesos de negocio P P S P P P S

13 Programas gestionados de cambio en el negocio S S S P P P
14 Productividad operacional y de los empleados S P
15 Cumplimiento con las políticas internas P S S P P
16 Personas preparadas y motivadas P
17 Cultura de innovación de producto y negocio P P P S P
Principal P
Soporte S
No aplica
60
METAS DE TI COBIT
Metas de COBIT relacionadas con TI
Dimensiones del CMI No. Meta de Información y Tecnología Relacionada
1 Alineamiento de TI y estrategia de negocio
Cumplimiento y soporte de la TI al cumplimiento del

2
negocio de las leyes y regulaciones externas
Compromiso de la dirección ejecutiva para tomar
3
decisiones relacionadas con TI
Financiera
Riesgos de negocio relacionados con las TI
4
gestionados
Realización de beneficios del portafolio de
5
Inversiones y Servicios relacionados con las TI
Transparencia de los costes, beneficios y riesgos de
6
las TI
Entrega de servicios de TI de acuerdo a los requisitos
7
del negocio
Cliente
Uso adecuado de aplicaciones, información y
8
soluciones tecnológicas
9 Agilidad de las TI
Seguridad de la información, infraestructura de
10
procesamiento y aplicaciones
Optimización de activos, recursos y capacidades de
11
las TI
Capacitación y soporte de procesos de negocio
Interna
12 integrando aplicaciones y tecnología en procesos de
negocio
Disponibilidad de información útil y fiable para la
14
toma de decisiones
Cumplimiento de las políticas internas por parte de las
15
TI
Personal del negocio y de las TI competente y
Aprendizaje y 16
motivado
Crecimiento
17 Conocimiento, experiencia e iniciativas

61
METAS DE TI EMPRESA
METAS TI ECUACOPIA CIA. LTDA.

Dimensión
No. Meta Corporativa
del CMI
Financiera 1
Evaluar el mercado de tecnologías que reduzcan los costos operacionales
Cliente 2
Dotar de mejores herramientas tecnológicas al proceso de comercialización.
3
Adquisición y requerimiento de hardware y software.
4
Reducir el tiempo de ejecución en los sistemas
5
Supervisar redes e infraestructura
6
Integrar los sistemas de soporte a los usuarios.
7
Interna Administración de cuentas y clave para usuarios.
8
Elaborar planes de contingencia
9
Mantenimiento de Equipos Informáticos
Diseñar proyectos que sirvan de base al cumplimiento de la normatividad
10
existente
Elaborar un plan de evaluación y tratamiento de incidentes y riesgos
11
informáticos.
12 Respaldo y almacenamiento de la información extraída en dispositivos.
Aprendizaje 13 Capacitar al personal de TI sobre los procesos del negocio y nuevas tecnologías.
y
crecimiento 14 Apoyar en los procesos que nos brinden una posición de competitivos

62
MAPEO DE METAS TI
MAPEO DE METAS DE LAS TI COBIT 5 Y LAS METAS RELACIONADAS CON LAS TI
Elaborar un plan de evaluación y tratamiento

DIMENSIONES
Dotar de mejores herramientas tecnológicas
Apoyar en los procesos que nos brinden una

Adquisición y requerimiento de hardware y
procesos del negocio y nuevas tecnologías.

cumplimiento de la normatividad existente
Mantenimiento de Equipos Informáticos
Diseñar proyectos que sirvan de base al

Administración de cuentas y clave para
Evaluar el mercado de tecnologías que
Reducir el tiempo de ejecución en los
Integrar los sistemas de soporte a los
informacion extraida en dispositivos.

Capacitar al personal de TI sobre los
de incidentes y riesgos informaticos.
METAS
reduzcan los costos operacionales
Supervisar redes e infraestructura
TI
Elaborar planes de contingencia

al proceso de comercialización.
posición de competitivos
METAS TI COBIT 5
software.
usuarios.
usuarios.
sistemas
1 2 3 4 5 6 7 8 9 10 11 12 13 14
METAS COBIT 5 Financiero Cliente Interna Aprendizaje y
crecimiento
Financiera Alineamiento de TI y estrategia de negocio S P P P S P S P

Cumplimiento y soporte de la TI al S S P P S
cumplimiento del negocio de las leyes y
regulaciones externas
Compromiso de la dirección ejecutiva para S S P
tomar decisiones relacionadas con TI
Riesgos de negocio relacionados con las TI S P P P P P S S S
gestionados
Realización de beneficios del portafolio de S S P S S
Inversiones y Servicios relacionados con las
TI
Transparencia de los costes, beneficios y S P P
riesgos de las TI
Clientes Entrega de servicios de TI de acuerdo a los S P P S P P P P P P P
requisitos del negocio
Uso adecuado de aplicaciones, información y P S S P S P
soluciones tecnológicas
Interna Agilidad de las TI P S P P P P P P P S
Seguridad de la información, P P P P P P P P
infraestructura de procesamiento y
aplicaciones
Optimización de activos, recursos y S S P S P S S P P S S
capacidades de las TI
Capacitación y soporte de procesos de negocio S P P S P S S P
integrando aplicaciones y tecnología en
procesos de negocio
Disponibilidad de información útil y fiable P P P P P S P P
para la toma de decisiones
Cumplimiento de las políticas internas por P S P S P
parte de las TI
Aprendizaje y Personal del negocio y de las TI competente y S P
Crecimiento motivado
Conocimiento, experiencia e iniciativas P S S S P P P S
Principal P
Soporte S
No aplica

63
MAPEO DE PROCESOS TI
MAPEO ENTRE LAS METAS RELACIONADAS CON LAS TI DE COBIT 5 Y LOS PROCESOS
Mantenimiento usuarios externos.
Registro de información contable
Declaración y presentación de la
Creación de cuentas y claves de

Protección de información con
Soporte de usuarios internos.
Requerimiento de hardware
de Equipos
Plan de contingencia para
firewall cortafuegos para
información extraída en
información financiera
siniestro o pérdida de
Emisión de facturas.
Monitoreo de redes
PROCESOS RELACIONADOS TI
Control de cartera.
información.
proveedores.
dispositivos.
informáticos
y financiera.
software.
Clientes.
usuario
Mantenimiento
METAS COBIT 5
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
PROCESOS DE COBIT 5 Financiero Cliente Interna
SUPERVISAR
ORIENTAR Y
P S S S P S p
EVALUAR,
EDM01 Asegurar el Establecimiento y Mantenimiento del Marco de Gobierno

EDM02 Asegurar la Entrega de Beneficios P P P S P S S P P S P S S p
EDM03 Asegurar la Optimización del Riesgo S P P S P P S P S
EDM04 Asegurar la Optimización de los Recursos P S P S
EDM05 Asegurar la Transparencia hacia las partes interesadas S P S P S P S S
APO01 Gestionar el Marco de Gestión de TI P P P P P P P S P
APO02 Gestionar la Estrategia S P
APO03 Gestionar la Arquitectura Empresarial P P P P P P P P P
ALINEAR, PLANIFICAR,
APO04 Gestionar la Innovación S S P

APO05 Gestionar el portafolio P S P S P
ORGANIZAR
APO06 Gestionar el Presupuesto y los Costes S P P P S S P

APO07 Gestionar los Recursos Humanos S
APO08 Gestionar las Relaciones P S S P S S
APO09 Gestionar los Acuerdos de Servicio P S S P S
APO010 Gestionar los Proveedores P S P S S S
APO011 Gestionar la Calidad P P S P S S S P S P S
APO012 Gestionar el Riesgo S P P P P P S P P P P P P P
APO013 Gestionar la Seguridad P P S P P S S P P P P P

64
MAPEO DE PROCESOS TI
MAPEO ENTRE LAS METAS RELACIONADAS CON LAS TI DE COBIT 5 Y LOS PROCESOS
Plan de contingencia para
información con firewall

Registro de información
Mantenimiento usuarios
de en
cotizaciones a Clientes.
información financiera
PROCESOS RELACIONADOS TI
Creación de cuentas y
almacenamiento de la
contable y financiera.
siniestro o pérdida de
Equipos informáticos
extraída
Emisión de facturas.
Monitoreo de redes
Soporte de usuarios
Control de cartera.
presentación de la
Requerimiento de
Requerimiento de
Requerimiento de
claves de usuario
cortafuegos para
Mantenimiento
cotizaciones a
Declaración y
Protección de
información.
proveedores.
dispositivos.
informacion
Respaldo y
hardware
software.
externos.
internos.
METAS COBIT 5
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
PROCESOS DE COBIT 5 Financiero Cliente Interna
BAI01 Gestionar los Programas y Proyectos S S S
BAI02 Gestionar la Definición de Requerimiento P S P P P P
IMPLEMENTACIÓN
CONSTRUCCIÓN,
BAI03 Gestionar la Identificación y la Construcción S

ADQUISICIÓN E
BAI04 Gestionar la Disponibilidad y la Capacidad S

BAI05 Gestionar la introducción de Cambios Organizativos P P
BAI06 Gestionar los Cambios S
BAI07 Gestionar la Aceptación del Cambio y de la Transición P P
BAI08 Gestionar el Conocimiento S P
BAI09 Gestionar los Activos P S S P P P S S P P P
BAI10 Gestionar la Configuración S
ENTREGAR, DAR
DSS01 Gestionar las Operaciones P S S S S P S S P S

SERVICIOS Y
DSS02 Gestionar las Peticiones y los Incidentes del Servicio P P P S P S P P P P S P P P

SOPORTE
DSS03 Gestionar los Problemas S S P S S P P P P P P P

DSS04 Gestionar la Continuidad S P P P P P P P P
DSS05 Gestionar los Servicios de Seguridad P S P P P P P P P P
DSS06 Gestionar los Controles de los Procesos del Negocio P P S P S S P
SUPERVIS
VERIFICA
P S P P P
EVALUA
MEA01 Supervisar, Evaluar y Valorar Rendimiento y Conformidad

CIÓN, Y
CIÓN
IÓN,
MEA02 Supervisar, Evaluar, y Valorar el Sistema de Control Interno P P P P P
MEA03 Supervisar, Evaluar y Valorar la conformidad con los Requisitos Externos P P S S P P

65
PROCESOS RELACIONADOS CON COBIT
PROCESOS RELACIONADOS CON COBIT 5

PROCESOS RELACIONADOS CON EL
DOMINIOS DEPARTAMENTO DE TI
No. DOMINIO PROCESOS COBIT PROCESOS ECUACOPIA CIA. LTDA.
1 APO03 Gestionar la Arquitectura Empresarial Monitoreo de redes
Protección de información con firewall cortafuegos para
APO12 Gestionar el Riesgo
2 software.
Respaldo y almacenamiento de la información extraída en
8 APO13 Gestionar la Seguridad dispositivos.
Gestionar la Definición de
4 BAI02 Requerimiento Requerimiento de hardware
Gestionar las Peticiones y los Incidentes
5 DSS02 del Servicio Mantenimiento de Equipos Informáticos
6 DSS03 Gestionar los Problemas Soporte de usuarios internos.
7 DSS04 Gestionar la Continuidad Plan de contingencia para siniestro o pérdida de información.
3 DSS05 Gestionar los Servicios de Seguridad Creación de cuentas y claves de usuario
METAS RELACIONADAS TI
METAS TI RELACIONADAS COBIT METAS ECUACOPIA CIA. LTDA.

Entrega de servicios de TI de acuerdo a los
requisitos del negocio Adquisición y requerimiento de hardware y software.
Agilidad de TI Supervisar redes e infraestructura
requisitos del negocio Integrar los sistemas de soporte a los usuarios.
procedimiento y aplicaciones Administración de cuentas y clave para usuarios.
procesamiento y aplicaciones Elaborar planes de contingencia
requisitos del negocio Mantenimiento de Equipos Informáticos
Seguridad de la información, infraestructura de Elaborar un plan de evaluación y tratamiento de
procedimiento y aplicaciones incidentes y riesgos informáticos.
Disponibilidad de información útil y fiable para la Respaldo y almacenamiento de la información extraída
toma de decisiones en dispositivos.

66
MATRIZ RACI (8 PROCESOS A EVALUAR TI)
GERENCIA CONTABLE- FINANCIERA
GERENCIA DE COMERCIALIZACIÓN
GERENTE DE ADMINISTRACIÓN
GERENCIA DE LOGÍSTICA
GERENTE GENERAL
GERENCIA TI
MATRIZ RACI
N R CEO CFO CCO CLO CIO

o. PROCESOS
1 Monitoreo de redes A C I R
Protección de información con firewall cortafuegos
A C I R
2 para software.
Respaldo y almacenamiento de la información
A C I R
3 extraída en dispositivos.
4 Requerimiento de hardware A C I R
5 Mantenimiento de hardware y software A C I R
6 Soporte de usuarios internos. A C I R
Plan de contingencia para siniestro o pérdida de
A C I R
7 información.
8 Creación de cuentas y claves de usuario A C I R
LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA

67
LEYENDA PARA LOS FLUJOGRAMAS.
INICIO
PROCESO
SUBPROCESO
DATOS
DOCUMENTO
DECISIÓN
FIN

68
DOMINIO
ALINEAR, PLANIFICAR Y ORGANIZAR
PROCESO RELACIONADO CON TI MONITOREO DE REDES
NOMBRE DEL SUBPROCESO APO03 GESTIONAR LA

ARQUITECTURA EMPRESARIAL
GERENCIA RESPONSABLE DEL
GERENCIA DE TI
PROCESO
DESCRIPCIÓN DEL PROCESO
Establecer una arquitectura común compuesta por los procesos de negocio , la información los
datos, aplicaciones y las capas de arquitectura tecnológica de manera eficaz y eficiente para la
realización de las estrategias de la empresa y de TI mediante creación de modelos clave y
prácticas que describan las líneas de partida y las arquitecturas objetivo .Definir los requisitos,
las normas, las directrices los procedimientos, las plantillas y las herramientas proporcionando
un vínculo para estos componentes. Mejorar la adecuación, aumentar la agilidad, mejorar la
calidad de la información y generar ahorros de costes potenciales mediante iniciativas tales
como la reutilización de bloques de componentes para los procesos de construcción.
DECLARACIÓN DEL PROPÓSITO DEL PROCESO
Representar a los diferentes módulos que componen la empresa y sus interrelaciones, así
como los principios rectores de su diseño y evolución en el tiempo, permitiendo una entrega
estándar, sensible y eficiente de los objetivos operativos y estratégicos.
OBJETIVO DEL PROCESO
Se utiliza un marco de arquitectura de empresa y una metodología común, así como un
repositorio de arquitectura integrado con el fin de permitir la reutilización de eficiencias
dentro de la empresa.
RESPONSABLE
Gerencia TI, Coordinador Interno TI y Analista de TI.
ENTRADAS DEL PROCESO
Solicitudes de monitoreo de red.
ACTIVIDADES DEL PROCESO
1. Recibir las solicitudes de monitoreo.
2. Autorizar el monitoreo.
3. Validar las alertas de monitoreo.
4. Soporte de primer nivel.
4.1. Verificar las conexiones eléctricas.
4.2. Revisar las conexiones físicas a la red.
5. Prueba de funcionamiento.
6. Emitir un informe.
SALIDAS DEL PROCESO
 Informe de monitoreo de redes
INDICADOR DE ÉXITO
- Numero de revisión de red.
DOCUMENTACIÓN DE REFERENCIA
- Manual Organizacional
- Manual de Procesos
- Manual de Tecnología Informática.
69
COORDINADOR DE TI
ANALISTA DE TI
GERENTE DE TI
MATRIZ RACI
No
. ACTIVIDADES
1 Recibir las solicitudes de monitoreo. R
2 Autorizar el monitoreo. A
3 Validar las alertas de monitoreo. A R C
4 Soporte de primer nivel. A R
5 Verificar las conexiones eléctricas. A R
6 Revisar las conexiones físicas a la red. A R
7 Prueba de funcionamiento. A R
Emitir un informe. I R
LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA

70
DIAGRAMA DE FLUJO
APO 03 GESTIONAR LA ARQUITECTURA EMPRESARIAL
(MONITOREO DE REDES)
DESARROLLO OPERACION
INICIO
Recibe las solicitud

GERENTE DE TI
de monitores
Solicitud de alertas
Autoriza el
monitoreo
Valida las alertas en

el monitoreo.
Soporte de primer
COORDINADOR DE TI
nivel.
Verificar las
conexiones
eléctricas.
Revisar la
NO
conexión fisica a
la red.
Prueba de
funcionamiento.
¿Esta correcto?
SI
ANALISTA DE TI
Emite un reporte
Informe
FIN

71
MÉTRICAS RELACIONADAS
DOMINIO: ALINEAR, PLANIFICAR Y ORGANIZAR

PROCESO: APO03 GESTIONAR LA ARQUITECTURA EMPRESARIAL
METAS TI MÉTRICAS RELACIONADAS INDICADOR TOTAL
Números de procesos de negocios críticos soportados por 2

Agilidad de TI Número de solicitudes de monitoreo de red solucionados *100
16,67%
infraestructuras y aplicaciones actualizadas. 𝑋100
Total de solicitudes de monitoreo de red recibido 12
MATRIZ DE NIVEL DE CAPACIDAD

INCOMPLETO EJECUTADO GESTIONADO ESTABLECIDO PREDECIBLE OPTIMIZADO
NIVELES
0% 1% - 25% 26% - 50% 51%- 70% 71% - 89% 90% - 100%
El proceso no se El proceso
El proceso El proceso
encuentra El proceso realizado se El proceso
PORCENTAJE gestionado se predecible se
implementado o logra su implementa de definido opera
implementa de mejora
no logra el propósito manera en los límites
manera definitiva continuamente
propósito gestionada
PROCESO
DOMINIO
APO 03 Gestionar la Arquitectura Empresarial 16,67% 16,67%

72
CONCLUSIÓN Y RECOMENDACIÓN
APO 03 GESTIONAR LA ARQUITECTURA EMPRESARIAL
Monitoreo de redes
Condición:
El monitoreo de red respondió a solo dos solicitudes, debido a que el personal está
atendiendo otros requerimientos, por lo que no cumple con la totalidad de lo requerido.
Criterio:
Establecer una arquitectura común compuesta por los procesos de negocio , la
información los datos, aplicaciones y las capas de arquitectura tecnológica de manera
eficaz y eficiente para la realización de las estrategias de la empresa y de TI mediante
creación de modelos clave y prácticas que describan las líneas de partida y las
arquitecturas objetivo. Definir los requisitos, las normas, las directrices los
procedimientos, las plantillas y las herramientas proporcionando un vínculo para estos
componentes. Mejorar la adecuación, aumentar la agilidad, mejorar la calidad de la
información y generar ahorros de costes potenciales mediante iniciativas tales como la
reutilización de bloques de componentes para los procesos de construcción.
Conclusión:
Se identifica que no se respondió de una manera eficaz a las 12 solicitudes de monitoreo
de las cuales solo 2 fueron atendidas, ya que estas solo se realizan cada trimestre y no
se toma en cuenta la importancia de requerimientos técnicos y una revisión continua.
Recomendación:
Cambiar la política de monitoreo de red cada a cada vez que sea necesario (o de forma
periódica) dicho monitoreo, además realizar un plan claro y detallado para que los
usuarios se sientan seguros de que si existe un desajuste en la red en cualquier momento
será atendido.

73
DOMINIO
ALINEAR, PLANIFICAR Y ORGANIZAR
Protección de información con firewall

PROCESO RELACIONADO CON TI
Sophos para software.
NOMBRE DEL SUBPROCESO
AP012 GESTIONAR EL RIESGO
GESTOR DE TI
PROCESO
Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles
de tolerancia establecidos por la dirección ejecutiva de la empresa.
Integrar la gestión de riesgos empresariales relacionados con TI con la gestión de riesgos
empresarial general (ERM) y equilibrar los costes y beneficios de gestionar riesgos empresariales
relacionados con TI.
4. Las acciones de gestión de riesgos están efectivamente implementados.
RESPONSABLE
 Gestor de Proyectos (Sistema), Analista de TI (Seguridad).
Revisión de eficiencia de firewall Sophos en el sistema de la empresa.
1. Revisar políticas de TI
2. Verificar puertos en el sistema
3. Informar el funcionamiento del firewall
4. Revisar la eficiencia de firewall Sophos
5. Extraer comandos de pc’s
6. Verificar comandos maliciosos
7. Ejecutar firewall
SALIDAS DEL PROCESO
 Elaboración de informe a la Gerencia de TI de funcionamiento de Firewall Sophos.
INDICADOR DE ÉXITO
- Numero de servicios de TI con los requisitos de seguridad pendientes.
- Manual de Organizacional.
- Manual de Procesos.

74
GESTOR DE PROYECTOS DE TI
ANALISTA DE TI
MATRIZ RACI
No. ACTIVIDADES
1 Revisar políticas de TI R
2 Verificar puertos en el sistema R C
3 Informar el funcionamiento del firewall R C
4 Revisar la eficiencia de firewall Sophos R
5 Extraer comandos de pc’s R
6 Verificar comandos maliciosos R
7 Ejecutar firewall R
LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA

75
DIAGRAMA DE FLUJO
APO12 GESTI ONAR EL RIESGO
SISTEMA SEGURIDAD
Inicio
Revisar
políticas de
TI
Gestor de Proyectos
Verificar puertos
del sistema
Informar el
funcionamiento de
Firewall Sophos
Revisar la eficiencia
FIREWALL
SOPHOS
Extraer NO
comandos de
PC s
Comandos
maliciosos
SI
Analista TI
Eliminar comandos
maliciosos
Ejecutar Firewall
Elaborar informe
FIN

76

PROCESO AP012 GESTIONAR EL RIESGO
METAS TI MÉTRICAS RELACIONADAS INDICADOR Porcentaje
10. Seguridad de la información,
Numero de servicios de TI con los requisitos No. De requerimientos atendidos con firewall x 100 1
infraestructura de procesamiento y No. Requerimientos solicitados con firewall 𝑥100 8,33%
aplicaciones de seguridad pendientes. 12

NIVELES
0% 1% - 25% 26% - 50% 51%- 70% 71% - 89% 90% - 100%
PORCENTAJE El proceso no se El proceso realizado se El proceso gestionado El proceso

El proceso logra El proceso definido
encuentra implementado implementa de manera se implementa de predecible se mejora
su propósito opera en los límites
o no logra el propósito gestionada manera definitiva continuamente
PROCESO
DOMINIO 0 1 2 3 4 5
APO12 Gestionar el Riesgo 8,33% 8.33%

77
AP012 GESTIONAR EL RIESGO
Protección de información con firewall Sophos para software.
Condición:
No se llevó a cabo la actualización del Firewall Shopos por esta situación se presentó
fallas el en 1 pc. Llevando hasta la encriptación de la información de la misma
Criterio:
Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro
de niveles de tolerancia establecidos por la dirección ejecutiva de la empresa.
Conclusión:
1. Al revisar y analizar la eficiencia del firewall Sophos en el sistema TI, identificó
incidentes en evaluaciones y procesos específicamente en software e Internet por
ello se llevó a cabo el control al acceso de la información con la finalidad de
monitorear el tráfico en internet, acceso a correos electrónicos y descargas no
permitidas en ECUACOPIA CIA. LTDA. con (contrafuegos) Firewall Sophos
adquirido por la empresa.
Recomendación:
1. Integrar a todas las pc’s de la empresa con un firewall en su hardware.
2. Verificar constantemente la eficiencia de Firewall en su software, para evitar
malware, virus informáticos y riesgos de perdida de información en los sistemas
de ECUACOPIA CIA. LTDA.
3. Asegurar que la información que se extraiga en los medios electrónicos, puertos
USB y otros dispositivos de entrada externos sea supervisada y controlada.

78
DOMINIO ALINEAR, PLANIFICAR Y

ORGANIZAR
PROCESO RELACIONADO CON TI Respaldos de información
NOMBRE DEL SUBPROCESO APO13 GESTIONAR LA

SEGURIDAD
INFORMÁTICA
PROCESO
Definir, operar y supervisar un sistema para la gestión de la seguridad de la información.
Entregar los respaldos de información requeridos por el servicio operativo de TI, según lo
planificado.
Garantizar y salvaguardar la recuperación de toda la información relevante de la
organización que ha sido generada en los servidores, en caso de que haya sido eliminada,
dañada o alterada al presentarse alguna contingencia.
RESPONSABLE
Gerencia Técnica, Seguridad informática.
Información guardada en los computadores.
1. Se determina e identifica la información que se va a respaldar en los equipos de las diferentes áreas.
2. Obtener una autorización de la gerencia técnica para operar, implementar y operar el sistema de
seguridad de información.
3. Se define un sistema de seguridad de información de acuerdo con la política de la empresa.
4. Alinear el sistema de seguridad de la información con el enfoque global de la gestión de la seguridad
de la empresa.
5. Prepara una declaración de la información que será respaldada.
6. Verifica la información para las copias de restauración.
7. Si el archivo del servidor indica un error se realiza una copia por segunda vez.
8. Se graba las copias de respaldos de acuerdo a las políticas, en un dispositivo de almacenamiento.
9. Se almacena la copia y para el caso de ser magnético se marca con la fecha respectiva, usuario y
nombre del equipo.
10. Comunicar el enfoque del sistema de seguridad de la información.
SALIDAS DEL PROCESO
 Respaldos de información disponible para su recuperación.
INDICADOR DE ÉXITO
- Número de incidentes relacionados con la seguridad.

79
COORDINADOR DE TI
ANALISTA DE TI
GERENTE DE TI
MATRIZ RACI
No. ACTIVIDADES
Se determina e identifica la información que se va a
1 A
respaldar en los equipos de las diferentes áreas.
Obtener una autorización de la gerencia técnica para operar,
2 implementar y operar el sistema de seguridad de C R
información.
Se define un sistema de seguridad de información de acuerdo
3 C R
con la política de la empresa.
Alinear el sistema de seguridad de la información con el
4 C R
enfoque global de la gestión de la seguridad de la empresa.
Prepara una declaración de la información que será
5 C R
respaldada.
6 Verifica la información para las copias de restauración. C
Si el archivo del servidor indica un error se realiza una copia
7 C R
por segunda vez.
Se graba las copias de respaldos de acuerdo a las políticas, en
8 C R
un dispositivo de almacenamiento.
Se almacena la copia y para el caso de ser magnético se
9 C
marca con la fecha respectiva, usuario y nombre del equipo.
Comunicar el enfoque del sistema de seguridad de la
10 C R
información.
LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA
.

80
DIAGRAMA DE FLUJO
APO 13 GESTIONAR LA SEGURIDAD
GERENCIA TÉCNICA SEGURIDAD INFORMÁTICA
INICIO
GERENTE DE TI
Identificar archivos de
respaldo
Autorización
Definición de sistema de
seguridad
COORDINADOR DE TI
Alineación del sistema
Recibe el enfoque de Declaración de información NO

seguridad
Verificar copias de
restauración
Aprueba
¿Existe error de
FIN
información?
SI
Grabar Copias
Almacena Copias
ANALISTA DE TI
Comunicar el enfoque del

sistema

81

PROCESO: APO13 Gestionar la Seguridad
14 Disponibilidad de
Nivel de satisfacción de los usuarios del negocio y 52
información útil y relevante Número de respaldos realizados X 100 𝑥100 14,69%
para la toma de decisiones disponibilidad de la información de gestión. Número de respaldos planificados 354

NIVELES
0% 1% - 25% 26% - 50% 51%- 70% 71% - 89% 90% - 100%
PORCENTAJE encuentra El proceso realizado se El proceso
gestionado se predecible se
PROCESO propósito gestionada
DOMINIO
APO 13 Gestionar la Seguridad 14,69% 14,69%

82
APO13 RESPALDO DE INFORMACIÓN
Respaldos de información
Condición:
Se evidencio que no se cumplió con lo planificado en la toma de copias de seguridad,
ya que solo se han realizado 52 respaldos de las mismas, además no existe un adecuado
control en la toma de copias de seguridad y un almacenamiento seguro, existe
almacenamiento en discos duros externos, sin las medidas físicas y de seguridad.
Tampoco se evidenció alertas automáticas de éxito o fallo de las copias tomadas, así
como no se realiza pruebas sobre toda la información capturada por componente.
Criterio:
Definir, operar y supervisar un sistema para la gestión de la seguridad de la
información.
Conclusión:
De acuerdo a lo establecido en manual de políticas y lineamiento del Uso de Tecnología
Informática se establece que se debe de realizar respaldos de información de forma
diaria es decir los 354 días laborables del año, se observó que la compañía incumple
esta política y solo se realiza de manera semanal es decir 52 veces año, es por eso que
han generado problemas en los respaldos de información dentro de la organización.
Además la información es guardada por cada uno de los departamentos en discos duros
externos y no se manejan el sistema de seguridad de información por la nube.
Recomendación:
 Mantener tres copias del archivo: la original y dos respaldos. Esto disminuirá la
probabilidad de perder información por tener unidades dañadas por malware o
problema físico.
 Los empleados deben de cumplir las políticas acordadas en los manuales debido a
que existe un alto riesgo de pérdida de información.
 Deberá tener un almacenamiento de los Backups en centros adecuados con
seguridad física y ambiental.
 Mantener una de las copias “fuera de sitio” (offsite), es decir, en el caso de la
empresa cuente con presupuesto adquiera el servicio con el que cuenta MySQL-
SQLM proveído por ORACLE.
 Realizar pruebas periódicas sobre cada componente copiado.

83
DOMINIO
CONSTRUIR, ADQUIRIR E IMPLEMENTAR
Requerimiento de hardware (Infraestructura
META TI
TI).
NOMBRE DEL SUBPROCESO BAI02 GESTIONAR LA DEFINICIÓN

DE REQUISITOS.
GERENCIA RESPONSABLE DEL PROCESO GERENCIA DE TI
Identificar soluciones y analizar requerimientos antes de la adquisición o creación para asegurar que estén
en línea con los requerimientos estratégicos de la organización y que cubren los procesos de negocios,
aplicaciones, información/datos, infraestructura y servicios. Coordinar con las partes relacionadas
afectadas la revisión de las opciones viables, incluyendo costes y beneficios relacionados, análisis de
riesgo y aprobación de los requerimientos y soluciones propuestas.
Crear soluciones viables y óptimas que cumplan con las necesidades de la organización mientras
minimizan el riesgo.
(01) Los requerimientos funcionales y técnicos del negocio reflejan las necesidades y expectativas de la
empresa.
RESPONSABLE
Gerencia de TI, Gestor de Proyectos, Coordinador interno de TI.
Solicitudes de requerimiento del hardware.
1. Recepción de solicitudes de requerimiento de Hardware.
2. Análisis de las solicitudes requerimiento de Hardware.
3. Gestionar los riesgos de los requerimientos.
4. Estudiar la viabilidad para la adquisición
5. Elección del hardware.
6. Aprobación de la solicitud.
7. Compra de los hardware.
SALIDAS DEL PROCESO
 Aprobación del requerimiento de hardware por las partes interesadas.
 Compra de los hardware.
INDICADOR DE ÉXITO
satisfacción de las partes interesadas con los requerimientos.

84
DIAGRAMA DE FLUJO
BAI 02 GESTIONAR LA DEFINICIÓN DE REQUISITOS.
GERENCIA TI PROYECTOS COORDINACIÓN
Inicio
Recepción de
Gerente TI
solicitudes de
Hardware
Solicitudes
Análisis de las
solicitudes
Hardware
Gestionar los
riesgos de los
requerimientos
Estudiar la
viabilidad para
la adquisición
Gestor de Proyectos
Elección de los
Hardware
NO
Aprobación de
la solicitud
¿Aprueba? SI
NO
FIN
Solicitud
aprobada
Coordinandor TI interno
¿Si esta
correcta?
SI
Compra de los
hardware
FIN

85
GESTOR DE PROYECTOS
COORDINADOR DE TI
GERENTE DE TI
MATRIZ RACI
No. ACTIVIDADES
1 Recepción de solicitudes de requerimiento de Hardware. A I C
2 Análisis de las solicitudes requerimiento de Hardware. A R
3 Gestionar los riesgos de los requerimientos. A R I
4 Estudiar la viabilidad para la adquisición A R I
5 Elección del hardware. A R
6 Aprobación de la solicitud. A R C
7 Compra de los hardware A R
LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA

86
DOMINIO: CONSTRUIR, ADQUIRIR E IMPLEMENTAR

BAI 02 GESTIONAR LA DEFINICIÓN DE
PROCESO: REQUISITOS.
7. Entrega de servicios de
(03) Porcentaje de usuarios satisfechos con la calidad No. de requerimientos de hardware entregados * 100 1
TI de acuerdo a los
de los servicios de TI entregados. 𝑥100 16,67%
Total de requerimientos de hardware solicitados 6
requisitos del negocio.

NIVELES
0% 1% - 25% 26% - 50% 51%- 70% 71% - 89% 90% - 100%
DOMINIO 0 1 2 3 4 5
BAI 02 Gestionar la definición de requisitos. 16,67% 16,67%

87
BAI02 GESTIONAR LA DEFINICIÓN DE REQUISITOS.
Requerimiento de hardware (Infraestructura TI).
Condición
Se evidenció que las solicitudes adquiridas de hardware no se han cumplido en su

totalidad tomando en cuenta que el mismo se encuentra obsoleto, depreciado y en mal
funcionamiento, los cuales requieren ser remplazados por otros nuevos que cumplan la
función que la empresa requiera.
Criterio
Identificar soluciones y analizar requerimientos antes de la adquisición para asegurar
que estén en línea con los requerimientos estratégicos de la organización y que cubren
los procesos de negocios, aplicaciones, información/datos, infraestructura y servicios.
Coordinar con las partes relacionadas afectadas la revisión de las opciones viables,
incluyendo costes y beneficios relacionados, análisis de riesgo y aprobación de los
requerimientos y soluciones propuestas.
Conclusión:
El 16.67% de hardware han sido entregados mediante actas para el funcionamiento
correcto dentro de la organización por lo que el 83.33% de hardware aún no ha sido
adquirido.
Recomendación:
 Se recomienda que se realice un control adecuado de las adquisiciones de hardware
mismas que estarán respaldadas por actas de entrega, además de que deberán poner
una persona responsable de los requerimientos para que la misma lleve un adecuado
control sobre el funcionamiento y manejo de los mismos.
 Se debe realizar un seguimiento a los inventarios de hardware para que reflejen
información veraz.

88
DOMINIO
OPERACIÓN SERVICIO Y SOPORTE
PROCESO RELACIONADO CON TI Mantenimiento de Equipos Informáticos
NOMBRE DEL SUBPROCESO DSS02 GESTIONAR PETICIONES

E INCIDENTES DE SERVICIO
Proveer una respuesta oportuna a los usuarios y la resolución de todo tipo de incidentes. Recuperar el
servicio normal: gestionar y complementar las peticiones de usuario; y registrar, diagnosticar y resolver
incidentes.
Lograr una mayor productividad y minimizar las interrupciones mediante la rápida resolución de
consultas de usuarios e incidentes

Los servicios relacionados con TI están disponibles para ser utilizados
RESPONSABLE
Usuario, Gerente de TI, Coordinador de TI, Analista TI
Equipos informáticos con daños y fallos
1. Registro de incidencia en el Sistema para genera un ticket de mantenimiento
2. asigna responsable para el mantenimiento y envió de notificación
3. Verifica si el equipo tiene garantía
4. Si el equipo tiene garantía hace efectiva la garantía y notifica al gerente de TI
5. Buscar y analizar la solución
6. Aplicar y realizar pruebas de verificación
7. Si el equipo es reparado genera un reporte de mantenimiento y notifica al coordinador de TI
8. Cerrar ticket en Sistema de Registro de Requerimientos ingresando el motivo de cierre.
SALIDAS DEL PROCESO
 Equipo de cómputo reparado
INDICADOR DE ÉXITO
- Equipos de cómputo en buen funcionamiento

89
AUDITORIA INFORMÁTICA ProgA
DIAGRAMA DE FLUJO
DSS02 GESTIONAR PETICIONES E INSIDENTES DE SERVICIO ( Mantenimiento de equipos)
DESARROLLO SISTEMA OPERACIONES
Inicio
GERENTE TI
Registro de incidencia
en el Sistema
Generar ticket de
mantenimiento
Asignación de
responsable y
envió de
notificación
Verifica si el
quipo tiene
garantía
Esta en
SI
garantía?
NO
Envío notificación
Buscar y analizar
la solución
Analista TI
Efectiviza la
garantía
Aplicar y realizar
pruebas de
verificación
SI
Fin
Genera reporte de
Resultados
mantenimiento y
satisfechos ?
envió notificación
Cierre de ticket
Fin

90
COORDINADOR DE TI
ANALISTA DE TI
GERENTE DE TI
MATRIZ RACI
No. ACTIVIDADES
1 Registro de incidencia en el Sistema para genera un ticket de mantenimiento A R
2 asigna responsable para el mantenimiento R
3 Verifica si el equipo tiene garantía C R
Si el equipo tiene garantía hace efectiva la garantía y notifica a Gerencia de
4 TI A R
5 Buscar y analizar la solución C R
6 Aplicar y realizar pruebas de verificación C R
Si el equipo es reparado genera un reporte de mantenimiento y notifica al
7 coordinador de TI R
Cerrar ticket en Sistema de Registro de Requerimientos ingresando el
8 motivo de cierre. A C R
LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA

91
DOMINIO: OPERACIÓN, SERVICIO Y SOPORTE

DSS02 GESTIONAR PETICIONES E
PROCESO: INCIDENTES DE SERVICIO
METAS TI MÉTRICAS RELACIONADAS INDICADOR

Entrega de servicios de TI de Porcentaje de las partes interesadas satisfechas con el
Total, de mantenimientos realizados *100 2
acuerdo a los requisitos de cumplimiento del servicio de TI entregado respecto a 𝑥100 16,67%
Nª de mantenimientos planificados 12
negocio los niveles de servicio acordado.

NIVELES
0% 1% - 25% 26% - 50% 51%- 70% 71% - 89% 90% - 100%
El proceso no se El proceso El proceso
El proceso
PORCENTAJE encuentra El proceso realizado se gestionado se El proceso
predecible se
implementado o logra su implementa de implementa de definido opera
mejora
no logra el propósito manera manera en los límites
continuamente
PROCESO propósito gestionada definitiva
DOMINIO 0 1 2 3 4 5
GESTIONAR PETICIONES E INCIDENTES
DSS02 16,67%
DE SERVICIO 16,67%

92
DSS02 GESTIONAR PETICIONES E INCIDENTES DE SERVICIO
Mantenimiento De Equipos Informáticos
Condición
Se evidencio que no se ha realizado mantenimientos preventivos de acuerdo a lo
planificado esto produce aumento de fallos en el desempeño y rendimiento de los
mismos.
Criterio
Proveer una respuesta oportuna a los usuarios y la resolución de todo tipo de incidentes.
Recuperar el servicio normal: gestionar y complementar las peticiones de usuario; y
registrar, diagnosticar y resolver incidentes.
Conclusión:
Se realizó un análisis en base a los manuales, políticas y planificaciones establecidas
por la empresa ECUACOPIA CIA. LTDA donde podemos conocer que los
mantenimientos de equipos informáticos no se realizan de acuerdo a lo planificado, el
sistema de requerimientos reporto que se ha realizado 2 mantenimientos al año
produciendo aumento de daños en los equipos dejando varios equipos sin
funcionamiento o concluida su vida útil
Recomendación:
1. El personal de operaciones debe de realizar el mantenimiento de acuerdo a lo

planificado para satisfacer las necesidades de los usuarios
2. Definir e implementar procedimientos para garantizar el mantenimiento oportuno

93
DOMINIO
PROCESO RELACIONADO CON TI Soporte De Usuarios Internos
NOMBRE DEL SUBPROCESO DSS03 GESTIONAR LOS

PROBLEMAS
Identificar y clasificar problemas y proporcionar resolución en tiempo para incidentes recurrentes.
Proporcionar recomendaciones de mejora.
Mejorar los niveles de servicio, reducir costes y mejorar la comodidad para la satisfacción del cliente
reduciendo el número de problemas

Garantizar que problemas relativos a TI sean resueltos de forma que no vuelvan a suceder
RESPONSABLES
Gerente de TI, Coordinador de TI , Analista TI
Solicitudes de requerimientos de soporte

1. Registrar solicitud de soporte en el Sistema de Registro de Requerimientos
seleccionando el TIPO DE REQUERIMIENTO, datos del usuario y del inconveniente
presentado, si es el caso el usuario adjuntará imagen.
2. El Sistema de Registro de Requerimientos genera un ticket de soporte y envía notificación
al mail del usuario.
3. Identificación del problema
4. Direcciona el responsable
5. Analizar requerimiento y validar la información
6. Buscar y analizar la solución
7. Aplicar y realizar pruebas de verificación
8. Cerrar ticket en Sistema y envió de notificación al usuarios
SALIDAS DEL PROCESO
 Solicitudes resueltos
INDICADOR DE ÉXITO
- Número de requerimientos atendidos y mostrados en el reporte de Sistema Requerimientos.

94
AUDITORIA INFORMÁTICA ProgA
DIAGRAMA DE FLUJO
DSS03 GESTIONAR PROBLEMAS ( SOPORTE USUARIOS INTERNOS)
DESARROLLO REGISTRO OPERACIONES
Inicio
Registra solicitud
GERENTE TI
de soporte sist. RR
Generar ticket de
solicitud de soporte
Identificación de
problema
direccionar a
responsable
Analiza
requerimiento y
valida informacion
Busca y analiza
solución
NO
Aplica solución
Analista TI
Realiza pruebas de
verificación
SI
Registra solución Resultados

en el sistema satisfechos ?
Envío de
Recibe la
notificación al
notificacion de
usuario y cierra
cierre de ticket
ticket
Fin

95
COORDINADOR DE TI
ANALISTA DE TI
GERENTE DE TI
MATRIZ RACI
No. ACTIVIDADES
Registrar solicitud de soporte en el Sistema de Registro de
Requerimientos seleccionando el TIPO DE
1 A C R
REQUERIMIENTO, datos del usuario y del inconveniente
presentado, si es el caso el usuario adjuntará imagen.
El Sistema de Registro de Requerimientos genera un ticket de
2 A R
soporte y envía notificación al mail del usuario.
3 Identificación del problema R
4 Direcciona el responsable R
5 Analizar requerimiento y validar la información R
C Buscar y analizar la solución C R
7 Aplicar y realizar pruebas de verificación R
8 Cerrar ticket en Sistema y envió de notificación al usuarios A C R
LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA

96
DOMINIO: OPERACIÓN, SERVICIO Y SOPORTE

PROCESO: DSS03 GESTIONAR PROBLEMAS
Entrega de
servicios TI 4
Porcentaje de usuarios satisfechos con la calidad de los 𝑵𝒐. 𝑹𝒆𝒒𝒖𝒆𝒓𝒊𝒎𝒊𝒆𝒏𝒕𝒐 𝒂𝒕𝒆𝒏𝒅𝒊𝒅𝒐𝒔
de acuerdo a 𝑵𝒐. 𝑹𝒆𝒒𝒖𝒆𝒓𝒊𝒎𝒊𝒆𝒏𝒕𝒐𝒔 𝒔𝒐𝒍𝒊𝒄𝒊𝒕𝒂𝒅𝒐𝒔
∗ 𝟏𝟎𝟎 ∗ 100 23,53%
servicios de TI entregados 17
los requisitos
de negocio

GESTION
INCOMPLETO EJECUTADO ESTABLECIDO PREDECIBLE OPTIMIZADO
NIVELES ADO
0% 1% - 25% 26% - 50% 51%- 70% 71% - 89% 90% - 100%
PORCENTAJE encuentra realizado se El proceso
El proceso logra su gestionado se predecible se
implementado o implementa definido opera
propósito implementa de mejora
no logra el de manera en los límites
DOMINIO 0 1 2 3 4 5
DSS03 GESTIONAR PROBLEMAS 23,53% 23,53%

97
DSS03 GESTIONAR PROBLEMAS.
Soporte De Usuarios Internos
Condición
Los requerimientos para dar soporte a los usuarios solo han sido atendidos en un
23.53%.
Criterio
Identificar y clasificar problemas y proporcionar resolución en tiempo para incidentes
recurrentes. Proporcionar recomendaciones de mejora.
Conclusión:
El personal de la empresa presentó quejas de soporte técnico que realiza el departamento
de TI, debido a que tardan horas en solucionar los problemas y en algunos casos no han
sido atendidos, generando así demora el cumplimiento de sus actividades. Al llevar
acabo el análisis del proceso de altas y bajas de usuarios identificamos que no existe un
proceso adecuado para gestionar los requerimientos de soporte a los usuarios
Observando que existe tan solo una persona encargada para resolver incidentes que se
presenten en la compañía.
Recomendación:
1. Se recomienda que la empresa ECUACOPIA CIA. LTDA., realice monitorios

preventivos para verificar que los sistemas se encuentren en buen estado.
2. Clasificar adecuadamente los problemas de acuerdo a su prioridad para determinar
su causa raíz y dar una solución oportuna.
3. Realizar los soportes en el menor tiempo posible para evitar paralización de
funciones

98
DOMINIO
Elaboración de plan de contingencia para

PROCESO RELACIONADO CON TI
pérdida de información.
NOMBRE DEL SUBPROCESO DSS04 GESTIONAR LA

CONTINUIDAD.
Establecer y mantener un plan para permitir al negocio y a TI responder a incidentes e
interrupciones de servicio para la operación continua de los procesos críticos para el
negocio y los servicios TI requeridos y mantener la disponibilidad de la información a un
nivel aceptable para la empresa.
Continuar las operaciones críticas para el negocio y mantener la disponibilidad de la
información a un nivel aceptable pata la empresa ante el evento de una interrupción
significativa
3. Las pruebas de continuidad del servicio han verificado la efectividad del plan.
RESPONSABLE
Gerente de TI (Desarrollo), Gestor de Proyectos (Sistema), Analista de TI (Seguridad).
 Elaboración de plan de contingencia para pérdida de información.
1. Definir la política de plan de contingencia y alcance.
2. Mantener una estrategia para recuperar la información.
3. Desarrollar e implementar una respuesta para la información.
4. Ejercitar, probar y revisar el plan.
5. Revisar, mantener y mejorar el plan.
6. Gestionar acuerdos de respaldo.
7. Ejecutar revisiones de información recuperada.
SALIDAS DEL PROCESO
 Probar los resultados de copias de seguridad de datos.
INDICADOR DE ÉXITO
-Porcentaje de proceso de negocios críticos, servicios TI, y programas de negocios
habilitados por las TI cubiertos por evaluaciones de riesgo
- Porcentaje de usuarios satisfechos con la calidad de los servicios de TI entregados

99
COORDINADOR DE TI
ANALISTA DE TI
GERENTE DE TI
MATRIZ RACI
No. ACTIVIDADES
1 Definir la política de plan de contingencia y alcance. A C
2 Mantener una estrategia para recuperar la información. R C
3 Desarrollar e implementar una respuesta para la información. R C
4 Ejercitar, probar y revisar el plan. A C
5 Revisar, mantener y mejorar el plan. I R
6 Gestionar acuerdos de respaldo. I R
7 Ejecutar revisiones de información recuperada. I R
LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA

100
DIAGRAMA DE FLUJO
DSS04 GESTIONAR LA CONTINUIDAD
DESARROLLO GESTION SEGURIDAD
Inicio
Inicio
Definir
Definir políticas
políticas de
de
Plan
Gerente TI
Plan
Alcance
Alcance de
de plan
plan
Estrategia
Estrategia para
para
recuperación
recuperación dede
información
información
Desarrollar
Desarrollar ee
implementar
implementar
respuestas
respuestas
Ejercitar,
Ejercitar, aprobar
aprobar yy
revisar
revisar plan
plan
¿Plan
¿Plan aprueba?
aprueba? SI
NO
FIN
FIN
Revisar,
Revisar, mantener
mantener yy
mejorar
mejorar el
el plan
plan
Gestionar
Gestionar acuerdos
acuerdos
Analista TI
de
de respaldo
respaldo
Ejecutar
Ejecutar revisiones
revisiones
de
de información
información
recuperada
recuperada
Fin

101
DOMINIO: OPERACIÓN SERVICIO Y SOPORTE

PROCESO DSS04 GESTIONAR LA CONTINUIDAD.
Porcentaje de proceso de negocios críticos,
04 Riesgo de negocio relacionado servicios TI, y programas de negocios No. de tareas ejecutados del plan x100 2
con las TI gestionadas habilitados por las TI cubiertos por Total de tareas del plan 𝑋100 20%
10
evaluaciones de riesgo

NIVELES INCOMPLETO EJECUTADO GESTIONADO ESTABLECIDO PREDECIBLE OPTIMIZADO
0% 1% - 25% 26% - 50% 51%- 70% 71% - 89% 90% - 100%
El proceso no se
PORCENTAJE El proceso realizado El proceso gestionado El proceso definido El proceso
encuentra El proceso logra
se implementa de se implementa de opera en los predecible se mejora
implementado o no su propósito
manera gestionada manera definitiva límites continuamente
logra el propósito
PROCESO
DOMINIO 0 1 2 3 4 5
DSS04 Gestionar la Continuidad 20% 20%

102
DSS02 GESTIONAR LAS PETICIONES Y LOS INCIDENTES DEL
SERVICIO.
Elaboración de plan de contingencia para pérdida de información.

Condición:
Continuar las operaciones para el negocio y mantener la disponibilidad de la
información a un nivel aceptable para la empresa ante el evento de una interrupción
significativa o perdida de la información inesperada.
Criterio:
Establecer y mantener un plan para permitir al negocio y a TI responder a incidentes e
interrupciones de servicio para la operación continua de los procesos críticos para el
negocio y los servicios TI requeridos y mantener la disponibilidad de la información a
un nivel aceptable para la empresa.
Conclusión:
1. Al llevar acabo el análisis del plan de contingencia para la seguridad de información
en el departamento de TI se presenta el riego debido a que la empresa ECUACOPIA
CIA. LTDA., no cuenta con un seguro en caso de ocurrir un siniestro o algún hecho
que puede incurrir en pérdida de información, debido a que la misma solo se
respalda en discos duros externos y cuenta con un Datacenter que será reubicado.
2. Se han ejecutado únicamente 2 tareas del plan elaborado con 10 actividades anuales
propuestas.
Recomendación:
1. Se recomienda a la empresa que podría adquirir mayor seguridad de su información
al contratar servicios en la nube de carácter privado para el respaldo de la misma.
2. Elaborar planes de contingencia donde señale también planes en caso de siniestros.
3. Incrementar el presupuesto para operaciones del departamento de TI.

103
DOMINIO
ENTREGA, SERVICIO, SOPORTE
PROCESO RELACIONADO CON TI Creación de claves y cuentas de usuario
NOMBRE DEL SUBPROCESO DSS05 GESTIONAR LOS

SERVICIOS DE SEGURIDAD
GERENCIA TI
PROCESO
Proteger la información de la empresa para mantener aceptable el nivel de riesgo de
seguridad de la información de acuerdo con la política de seguridad. Establecer y mantener
los roles de seguridad y privilegios de acceso de la información y realizar la supervisión de la
seguridad.
Minimizar el impacto en el negocio de las vulnerabilidades e incidentes operativos de
seguridad en la información.
Otorgar un identificador y clave de acceso a un empleado de acuerdo a la asignación de
funciones para que pueda operar en el Sistema, restringiendo los accesos de los usuarios
creados con la finalidad que solo pueda operar en los módulos autorizados.
RESPONSABLE
Gerencia TI, Coordinador TI, Analista TI
Definición de roles y responsabilidades relacionadas con TI
1. La gerencia Técnica solicita la creación de claves.
2. Se realiza la creación de usuario con las iniciales de su primer nombre y apellido del
empleado.
3. Se asignan los roles, detallados en la solicitud de gerencia de creación de usuario.
4. Se realiza un oficio dirigido a la gerencia Técnica para la realización de la clave de
usuario.
5. Se verifica los roles y restricciones
6. Entrega el oficio al nuevo personal que utilizará la nueva clave.
SALIDAS DEL PROCESO
 Informe de contraseñas entregadas al personal.
INDICADOR DE ÉXITO
- Número de incidentes relacionados con accesos no autorizados a la información.

104
COORDINADOR DE TI
ANALISTA DE TI
GERENTE DE TI
MATRIZ RACI
No. ACTIVIDADES
1 Solicitud de creación de claves A I R
2 Creación de usuarios A C R
3 Asignación de Roles R
4 Realizar el oficio R
5 Verifica los roles y restricciones C R
6 Entrega de claves A R
LEYENDA
R RESPONSABLE
A AUTORIZA
C CONSULTA
I INFORMA
.

105
DIAGRAMA DE FLUJO
DSS 05 GESTIONAR EL SERVICIO DE SEGURIDAD
(Creación de Claves y Usuarios)
GERENCIA TÉCNICA SEGURIDAD INFORMÁTICA
INICIO
GERENTE DE TI
Solitud de creación de
claves
Autorización
Ingresar al Sistema
COORDINADOR DE TI
NO
Crear usuario
Asignación de roles y
claves
Asignación de Clave
Personal
Verifica los roles y

restricciones
¿Esta correcto?
ANALISTA DE TI
SI
Oficio con clave
Entrega de claves al
nuevo personal
FIN

106
DOMINIO: ENTREGA, SERVICIO, SOPORTE

DSS05 GESTIONAR LOS SERVICIOS DE
PROCESO: SEGURIDAD
10 Seguridad de
la información, Tiempo para otorgar, modificar y eliminar los Número de usuarios despedidos con ingreso al sistema *100 6
infraestructura de privilegios de acceso comparando con los niveles de Total de usuarios registrados en el sistema 𝑋100 7,50%
procedimiento y servicios acordados 80
aplicaciones

NIVELES
0% 1% - 25% 26% - 50% 51%- 70% 71% - 89% 90% - 100%
DOMINIO
DSS05 Gestionar Servicios de Seguridad 7,50% 7,50%

107
DSS05 GESTIONAR LOS SERVICIOS DE SEGURIDAD
Creación de claves y usuarios
Condición:
No se maneja un reporte mensual que enliste y verifique los usuarios existentes y de un
responsable asignado a comprobar el personal que se encuentra laborando y requiere de
una clave de acceso.
Criterio:
Proteger la información de la empresa para mantener aceptable el nivel de riesgo de
seguridad de la información de acuerdo con la política de seguridad. Establecer y
mantener los roles de seguridad y privilegios de acceso de la información y realizar la
supervisión de la seguridad.
Conclusión:
La falta de un procedimiento y la asignación de un responsable que aplique las
regulaciones corporativas, puede generar duplicidad de usuarios con perfiles de acceso
no requeridos a sus funciones, y hasta existencias de cuentas activas para ex
funcionarios de la organización. Esto puede ocasionar un riesgo elevado de acceso o
transmisión de claves de usuarios, inclusive la utilización de usuarios no
correspondientes.
Recomendación:
1. Se recomienda la creación, aprobación y comunicación del procedimiento sobre

gestión de cuentas de usuarios a nivel local. A la vez generar el proceso de
capacitación del mismo a los responsables de área en cuestión, y mando medio.
2. Se debe asignar un responsable específico, ya sea de TI o de Control Interno, para

que verifique mensualmente la creación de usuarios nuevos, las modificaciones que
hayan realizado y las eliminaciones solicitadas y efectuadas en el mes, a su vez que
este comunique los resultados de tal verificación mediante reporte dirigido a las
Gerencia de TI y Control Interno

108
MATRIZ RESUMEN DE NIVEL DE CAPACIDAD

NIVELES
0% 1% - 25% 26% - 50% 51%- 70% 71% - 89% 90% - 100%
DOMINIO 0 1 2 3 4 5
APO03 Gestionar la Arquitectura Empresarial 16,67% 16,67%
APO12 Gestionar el Riesgo 8,33% 8,33%
APO13 Gestionar la Seguridad 14,69% 14,69%
BAI02 Gestionar la Definición de Requerimiento 16,67% 16,67%
DSS02 Gestionar las Peticiones y los Incidentes del Servicio 16,67% 16,67%
DSS03 Gestionar los Problemas 23,53% 23,53%
DSS04 Gestionar la Continuidad 20,00% 20,00%
DSS05 Gestionar los Servicios de Seguridad 7,50% 7,50%

109
GRAFICA DE NIVELES DE CAPACIDAD
GRAFICA NIVELES DE CAPACIDAD

25.00% 23.53%
20.00%
20.00% 16.67% 16.67% 16.67%
14.69%
Porcentaje
15.00%
10.00% 8.33% 7.50%
5.00%
0.00%
1
Gestionar la Arquitectura Empresarial Gestionar el Riesgo

Gestionar la Seguridad Gestionar la Definición de Requerimiento
Gestionar las Peticiones y los Incidentes del Servicio Gestionar los Problemas
Gestionar la Continuidad Gestionar los Servicios de Seguridad

110
Al culminar la auditoria de informática, de la empresa ECUACOPIA CIA. LTDA. Se

han cumplido con los objetivos propuesto en el presente trabajo por lo que se expone a
continuación las siguientes conclusiones y recomendaciones.
CONCLUSIÓN GENERAL
Antecedente
El 100% de los procesos evaluados se encuentran en un nivel ejecutados. Es decir que
el proceso implementado alcanzo su propósito, pero no se encuentran debidamente
administrados, no cuenta con límites, ni con mejora continua.
1. El área de Tecnología de la compañía no cuenta con un plan estratégico y/o de trabajo

en donde se incluyan los objetivos y estratégicas alineadas al negocio.
2. No se ha establecido un plan de continuidad de negocios orientado a Tecnología y/o un

plan de recuperación de desastres.
3. La compañía no ha formalizado un plan de continuidad del negocio que le permita un

accionar oportuno y eficaz ante situaciones de emergencia en el menor tiempo posible,
o reducir el impacto de una interrupción en las funciones y procesos claves.
4. En nuestra revisión del proceso de bajas de usuarios identificamos que no existe un

proceso adecuado para la gestión de cuentas de usuario.
5. Como adicional detectamos que el proveedor del sistema financiero PAC (Provedatos)
cuenta con privilegios de administración y acceso directo al ERP PAC donde se
registran las principales transacciones de la compañía sin un adecuado monitoreo por
parte de la compañía, esta situación incrementa el riesgo de la manipulación directa y/o
extracción de información sensible de la compañía.

111
RECOMENDACIÓN
1. Mejorar el plan estratégico de TI, de manera que se alineen con los objetivos del
negocio; para ello deberá definirse una visión holística del negocio y el ambiente de
TI actual.
2. El departamento de TI debería presupuestar la construcción de componentes de la
arquitectura de la empresa, incluyendo la provisión de servicios y las capacidades
relacionadas para proveer una rápida, confiable y eficiente respuesta a los objetivos
estratégicos.
3. Asegurar que los servicios de TI estén alineados con los requerimientos del negocio,
es necesario implementar procedimientos formales que incluyan análisis costo-
beneficio, análisis que determine la alineación con las estrategias del negocio,
evaluación de los riesgos, niveles de servicio para los servicios de TI e identificación
del impacto en el portafolio de servicios.
4. Considerando los cambios tecnológicos constantes es recomendable estar a la
vanguardia de los mismos y proveer de una capacitación continua al personal
encargado de gestionar la tecnología de la información. Esta capacitación deberá
consistir en proveer a los empleados las bases de las áreas donde está faltando
conocimiento, incluyendo conocimiento en la administración de proyectos y técnico.
Adicionalmente se puede implementar como una buena práctica el entrenamiento
cruzado que consiste en tener más de una persona propiamente entrenada para
desempeñar un procedimiento o trabajo específico; de esta manera se crea la ventaja
de no depender de una sola persona y puede ser la base de un plan de sucesión de
cargo.
5. Definir responsabilidades con respecto a las estrategias de recuperación, existe
responsabilidad tanto a nivel de los líderes de las unidades administrativas, líderes de
sistemas y de la gerencia.
6. Inventariar los procesos y catalogar con respecto a la criticidad desde el puno de vista
de pérdidas económicas, incumplimientos regulatorios en caso de fallos, para esto se
debe evaluar con criterios definidos y claros para todos los procesos.
7. Identificar para los procesos críticos de los recursos de TI que los soportan e identificar
los tiempos de recuperación.
8. Implementar un procedimiento aprobado por la Alta Gerencia de requerimiento de
acceso al ERP PAC y base de datos en el cual se especifique el motivo del acceso,
tiempo de acceso y persona responsable, el acceso deber ser supervisado por personal
de ECUACOPIA CIA. LTDA.
9. Realizar una depuración de los usuarios del proveedor.

112

Informe Técnico Final

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Informe Técnico Final

Diunggah oleh

Hak Cipta:

Format Tersedia

INFORME DE AUDITORES INDEPENDIENTES

A LA EMPRESA ECUACOPIA CIA. LTDA.

FECHA DE INICIO: 03-10-2017

Elaborado por: AUDITED S.A. Fecha Inicio: 25/Octubre/2017

1.- INFORMACIÓN BÁSICA

Tipo de entidad: Empresa Comercial

Elaborado por: AUDITED S.A. Fecha Inicio: 01/Noviembre/2017

RECOPILACIÓN DE INFORMACIÓN BÁSICA

Elaborado por: AUDITED S.A. Fecha Inicio: 01/Noviembre/2017

IDENTIFICACIÓN DE RIESGOS POTENCIALES

DETERMINACIÓN DE LOS PROCEDIMIENTOS DE CONTROL

MOTIVOS DEL EXAMEN

La presente Auditoría Informática se realizó a la Empresa ECUACOPIA CIA. LTDA con el

 Metodología de auditoria COBIT 5.0

Elaborado por: AUDITED S.A. Fecha Inicio: 16/ Noviembre/2017

DETALLE U. MEDIDA CANTIDAD P. UNITARIO P TOTAL

Papel A4 Resma 1 3,5 3,5

Total, de la Auditoria estipulada en el contrato $3000,00 dólares americanos.

INFORMACIÓN GENERAL DEL ECUACOPIA CIA. LTDA.

Elaborado por: AUDITED S.A. Fecha Inicio: 16/ Noviembre/2017

APLICACIÓN PRINCIPIO 2: CUBRIR LA EMPRESA DE EXTREMO A EXTREMO.

PEDI: PLAN ESTRATÉGICO DE DESARROLLO INSTITUCIONAL

1. Entrega a tiempo a los requerimientos de negocio.

Elaborado por: AUDITED S.A. Fecha Inicio: 16/ Noviembre/2017

PETI: PLAN ESTRATÉGICO DE TECNOLOGÍAS DE LA INFORMACIÓN

En relación al presupuesto este es asignado mensualmente la cantidad de $3000,

Elaborado por: AUDITED S.A. Fecha Inicio: 16/ Noviembre/2017

APLICACIÓN PRINCIPIO 4: HACER POSIBLE UN ENFOQUE HOLÍSTICO

Gerencia de Gerencia Contable Gerencia Gerencia Informática

Elaborado por: AUDITED S.A. Fecha Inicio: 16/ Noviembre/2017

Funcional ECUACOPIA CIA. LTDA. Departamento de TI

Gestor de Proyecto's (TI) Coordinador TI Interno

ECUACOPIA CIA. LTDA. Organigrama organizacional Departamento de TI

Encargado Cargo Rol Misión de Cargo

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017

Gerente TI Paul Faret

Gestor de proyectos de TI Paola Chávez

Quito Oficina Comercial Pedro Ponce Carrasco E9-25 y Av. 6 de 022235936

CLIENTES Y PROVEEDORES EXTERNOS

Quito Corporación GPF Cliente

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017

Servicio de rentas internas

Ministerio de Relaciones laborables

Servicio Nacional de Aduana del

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017

Nombre de Cargo: Gerente de TI

MISIÓN DEL CARGO:

Gestionar la plataforma tecnológica para la mejora e innovación de procesos y servicios

FUNCIONES ESENCIALES DEL CARGO:

Planificar, diseñar, ejecutar y monitorear la estrategia de tecnologías de

INTERFAZ DEL PUESTO

RELACIONES EXTERNAS RELACIONES INTERNAS

CONOCIMIENTOS GENERALES DEL PUESTO:

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017

CONOCIMIENTOS DE BASE LEGAL

Conocimiento en legislación derecho de autor, manejo de

RESPONSABILIDADES DEL CARGO

Satisfacción clientes internos y externos

Elaborado por: AUDITED S.A. Fecha Inicio: 16/Noviembre/2017

FUNCIONES GESTOR DE PROYECTOS TI

Nombre de Cargo: Gestor de proyectos TI

Reportes de: Analista ti (Boris Andino)

MISIÓN DEL CARGO:

Gestionar proyectos TI para administrar y mantener la infraestructura tecnológica,