proyecto
TRANSCRIPT
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
RESUMEN
Se ha desarrollado una auditoría de las TI a la empresa Plano Digital, una empresa de
servicios especializados en Impresiones en diferentes Formatos, planos y Documentos, con
el fin de aportar con posibles soluciones a inconvenientes que se encuentren en este
estudio.
Este trabajo cuenta con cinco capítulos.
En el primeo, se hace una descripción detallada del negocio, su nombre, ubicación,
estructura organizativa, entrevistas previas con el propietario, informe financiero, inventario,
etc.
El segundo, comprende la definición del problema, así como la justificación de la
metodología utilizada, mostrando cada uno de los criterios de información que son vitales
en una empresa.
En el tercer capítulo, se analiza la situación actual del sistema, infraestructura tecnológica,
para luego proceder a la realización de la auditoría, mediante los modelos de madurez y
evaluando los procesos correspondientes.
El capítulo cuatro, presenta los resultados de la auditoría realizadas a través de un informe
preliminar, un informe técnico y uno ejecutivo.
En el capítulo cinco, se procede a realizar las conclusiones y recomendaciones respectivas
de esta auditoría.
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
INTRODUCCIÓN
El presente documento, se enfoca en aplicar una auditoria para las TI de la empresa Plano
Digital, utilizando la Metodología COBIT, para determinar a través de los modelos de
madurez el estado actual de la empresa.
A través de los resultados de las evaluaciones, aplicaciones de métricas definidas y dichos
modelos, se lograrán emitir conclusiones y recomendaciones que mejoren el desempeño
del negocio y sus procesos garantizando la su productividad.
La aplicación de esta metodología permite mejorar y evaluar los procesos de gestión,
generar informes que le permitirán a la empresa tomar las mejores decisiones para crear
una mejora continua, resolviendo por orden de prioridad las que la gerencia encuentre más
relevantes.
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
CAPÍTULO 1
GENERALIDADES DE LA EMPRESA
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
1.1 GENERALIDADES DE LA EMPRESA
1.1.1 Datos Empresariales
Razón Social: Persona Natural “Edwin Arnulfo Leiva Espinoza”
RUC: 160981- 4981
Dirección: Semáforos de la UCA 100 mts. al lago, frente a la UNI. (Ver foto en Anexo No.1)
Fecha De Iniciación De Operaciones De La Empresa: Abril del año 2008
Fecha De Iniciación De Operaciones Del Centro De Cómputos:
No cuenta con área de centro de cómputo pues se trata de una PYME.
Estructura Legal y Marco Jurídico:
Es un negocio propio constituido como persona natural, bajo la clasificación de cuota fija.
Su Gerente Propietario es Edwin Leiva Espinoza.
Composición Del Capital:
El capital que maneja el negocio es propio del Gerente Propietario.
Giro Del Negocio:
Su giro principal es el de Servicios de impresiones de documentos y planos en diferentes
formatos. Cuenta con servicios secundarios como; Cyber Café (Internet, Fotocopias,
Llamadas Nacionales e Internacionales, librería, accesorios para celular etc.).
Objetivo De La Empresa:
Facilitar a Estudiantes, Empresas Constructoras, Proyectos, Arquitectos etc. Servicios de
calidad que contribuyan a que sus proyectos sean una realidad.
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
Objetivo Del Centro De Cómputo:
Como se mencionó anteriormente la empresa no cuenta con Centro de Cómputos.
Objetivo Y Propósito Del Diagnóstico
Examinar en forma global y constructiva la estructura de la Empresa Plano Digital,
enfocándose en las TI, aplicando aspectos como; planes y objetivos, métodos y controles,
formas de operación y organización humana y jurídica.
Brindar información valiosa para dar a conocer a la empresa auditada aquellas
conformidades o no conformidades encontradas en el proceso, para que el Gerente
Propietario tome las mejores decisiones que le ayuden a obtener mayor productividad y
rentabilidad para su negocio de acuerdo a las metas establecidas.
Esta Auditoría servirá como estrategia para detectar, los hallazgos que se logren identificar
en cuanto a la seguridad del sistema aplicando la metodología COBIT a fin de ayudarle a
la empresa a obtener una ventaja competitiva con respecto a los negocios aledaños cuyos
giros principales son similares al de los servicios secundarios que ofrece Plano Digital.
Áreas A Revisar
La empresa no se encuentra estructurada por áreas debido a que su local es muy
pequeño, sin embargo se evaluarán las TI que estén utilizando.
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
1.2 Estructura Organizacional y Direccionamiento de la Empresa
ORGANIGRAMA DE LA EMPRESA
MISIÓN
Somos una empresa de servicios de plataforma de Internet e Impresión Digital de Planos y
Documentos que ofrece a nuestros clientes servicios de calidad a través de herramientas
que contribuya al desarrollo tecnológico y económico del país.
VISIÓN
Ser una empresa que asume el reto de incorporar en la mente de la población, el uso del
INTERNET, como motor de desarrollo social, con un concepto de multiservicios, en la
industria de cybercentros a nivel nacional, así como el de la tecnología digital.
Gerente Asesor Gerencial
Responsable de Operaciones
Personal de Operaciones (2)
Atención al cliente
Producción y ventas de
bienes y servicios
Operaciones Generales
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
1.2 ENTREVISTAS PREVIAS1.2.1 Formato de Entrevistas Previas (ver Anexo No. 2)
1.3 INFORME FINANCIERO
En lo que respecta al informe financiero se trató de obtener todos los requerimientos, sin embargo solamente se logró adquirir la información de los siguientes:
Inventario de Equipo (Ver anexo No. 3) Presupuesto de Mano de Obra (Anexo No. 4) Estado de Resultado (Anexo No. 5) Balance General (Anexo No. 6)
1.4 DETERMINACIÓN DEL ÁREA A ESTUDIAR
De acuerdo a las entrevistas realizadas e investigaciones preliminares, se ha decidido
desarrollar una evaluación del las TI de la empresa.
Se pueden definir como problemas fundamentales los implicados en la parte informática,
los cuales se mencionan a continuación:
Administración de sistemas: puesto que la empresa utiliza dos sistemas; El Handy Café
para el área de cyber el cual se encarga de administrar las cuentas de usuario y los
tiempos que compra cada cliente. El otro es el UNIFILE que funciona como control de
inventario y facturación. El problema surge porque los dos sistemas no trabajan juntos es
decir, uno es independiente del otro.
La independencia de los sistemas provoca que el responsable de operaciones (cajera) que
es la encargada de operar los dos sistemas (factura los productos desde UNIFILE y de
agregar tiempo a los usuarios desde el Handy Café) olvide facturar las ventas de internet.
Esto genera excedentes en los arqueos de caja, los cuales repercuten en la ineficiencia de
los informes contables de la empresa que el sistema UNIFILE administra.
En esta auditoría pretende demostrar la necesidad de que los dos sistemas trabajen juntos
a fin de alinear las metas de la empresa con las del sistema de información. Al alinear
dichas metas, se tendrá una efectividad entre los procesos del negocio y los sistemas de
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
información, lo cual contribuirá a obtener mayor productividad, minimizar los tiempos de
operación que ayudan a la calidad y optimización del servicio al cliente, pues la cajera no
tendrá que manipular dos sistema, y de igual forma garantizará que la información que
arroja el sistema sea efectiva para la toma de decisiones de la gerencia.
Soporte Técnico: al tratarse de una Microempresa, Plano digital no cuenta con un área de
Sporte técnico o Informática, por ende no posee planes estratégicos que aseguren el buen
funcionamiento de los sistemas, así como de la infraestructura, seguridad tanto de
Hardware como de Software. Los mantenimientos, reparaciones de Hardware y
Administración de los sistemas están a cargo del Gerente propietario, quien posee
conocimientos de Informática y actualmente estudia Ingeniería en Sistemas.
Recursos Humanos: Según las entrevistas, encuestas y la nómina de la empresa (Anexo
No. 4) los colaboradores no tienen seguro, planes de incentivo y motivación al personal,
capacitaciones etc. Por lo que se debe evaluar el porqué.
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
CAPÍTULO 2
METODOLOGÍA DE LA AUDITORÍA
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
2.1 ASIGNACION DEL RANGO DE LOS AUDITORES
Nombre del Auditor Rango Salario
Jessenia Espinoza Auditor General C$ 12,000
María de los Ángeles Maradiaga Ruiz Junior C$8,000
Martín Montenegro Valverde Junior C$8,000
Los costos de la auditoría, se encuentran especificados en los anexos
2.2ENFOQUE DE LA AUDITORÍA
El enfoque de ésta auditoría hace uso del modelo de referencia COBIT
Para la realización de esta auditoría se ha tomado en cuenta la metodología COBIT ya
que es un conjunto de herramientas que nos ayudarán a evaluar la seguridad, eficacia,
calidad y eficiencia de los sistemas de información que actualmente utiliza Plano Digital
para optimizar sus operaciones.
Al utilizar esta metodología nos permitirá determinar los requerimientos de control,
consideraciones técnicas y riesgos de la empresa, al mismo tiempo nos permitirá medir el
desempeño y cumplimiento de las metas, nivel de madurez de los procesos de la
organización.
De igual forma, los criterios de información de COBIT aseguran que la información
obtenida en la auditoría sea efectiva, consistente y utilizable, que sea generada de
manera óptima a fin de que la gerencia la utilice correctamente para la buena
administración del negocio.
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
CAPÍTULO 3
AUDITORÍA DE LA GESTIÓN DE TI
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
3.1.1 SITUACIÓN ACTUAL DEL NEGOCIO
3.1.2 INFRAESTRUCTURA TECNOLÓGICA
HARDWARE Y SOFTWARE
Se encuentran detallados en el Inventario. Ver Anexo No. 3
INTERCONECTIVIDAD
El único sistema que se encuentra en red, es el Handy Café, que se utiliza para los
servicios de Internet, éste cuenta con un servidor que es el que maneja la Cajera
(encargada de agregar tiempo a los clientes), para su enlace se utilizan 3 Switch (ver
Anexo No. 4). El UNIFILE, no se encuentra en red pero el gerente se conecta al
servidor vía remota y de esta forma puede manipular los sistemas.
Los servicios de impresión están basados en protocolo TCP/ IP, por lo que cualquier
equipo puede enviar la orden directamente a la impresora según el servicio
proporcionado:
Los equipos clientes, el servidor y el equipo del gerente solamente pueden enviar
las solicitudes de impresión a la impresora HP Laser Jet 4050 (ver Anexo No. 4).
Los Mostradores 1 y 2, utilizados para la atención al cliente, no tienen accesos a
internet y pueden enviar solicitudes de impresión a todos los equipos incluyendo
los plotters y su escáner (ver Anexo No. 4).
SEGURIDADES
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
Para el análisis de la seguridad, nos basamos en la norma ISO 2700. La información
obtenida se fue soportada a través de los cuestionarios de las entrevistas hechas.
Este estándar contiene controles de seguridad, los cuales fueron evaluados en la
empresa. Dichos controles se mencionan a continuación con sus respectivos hallazgos:
Política de Seguridad
No cuenta con políticas de seguridad definidas, debido al tamaño del negocio.
Organización de la Información de Seguridad
Al tratarse de una microempresa, ésta no posee una organización de la
información, no realiza tareas básicas como, elaboración de cronogramas de
actividades, coordinación de responsabilidades a nivel interno. Es decir que como
no cuenta con un área informática no realizan planes estratégicos para dichas
coordinaciones y tareas que velen por la seguridad.
Administración de los recursos
La empresa cuenta con un inventario detallado de hardware, no así de software y
configuraciones de red, los inventarios no tienen un formato en particular. Los
equipos ocupados para la atención al cliente se encuentran asignados por usuario
(ver anexo No. 3).
Seguridad de los Recursos Humanos
Antes del empleo:
Durante el proceso de contratación, se definen las responsabilidades y roles así
como términos y condiciones de empleo.
Durante el Empleo:
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
Como se ha venido mencionando desde el principio la empresa no cuenta con un
área informática y que el soporte técnico de los equipos es asistido por el gerente
propietario. Dicho esto es evidente que no se encuentran definidos los roles
puesto que es solo una persona la encargada de llevar su administración, por lo
tanto las actividades se realizan de cuerdo a las necesidades que se presenten
en el momento.
Seguridad física y del entorno
Aéreas de seguridad:
El negocio no cuenta con un guarda de seguridad que proteja los activos del
negocio, y las pertenencias de los clientes.
Seguridad de elementos:
No existen medidas de protección contra incendios
No se tiene un correcto empleo del material informático, como seguridad física de
los equipos, conexiones eléctricas.
En cuanto a la seguridad de red, el cableado no se encuentra asegurado
mediante canaletas.
Seguridad del Software Handy Café:
Existen ciertos clientes que desde las estaciones de trabajo logran manipular de
alguna manera el sistema a fin de bloquear el tiempo que adquieren, de tal forma
que el servidor del Handy Café no siga administrando el tiempo del usuario en
esa estación de trabajo. Sin embargo desde el sistema se puede visualizar que
esta estación de trabajo está inactiva, detectando así que el usuario manipuló con
alevosía y ventaja dicho sistema. El problema es que el operario del sistema no
siempre está observando el comportamiento del mismo, por lo que no existe una
seguridad efectiva desde esa perspectiva.
Administración de las comunicaciones y operaciones
Procedimientos operacionales y responsabilidades:
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
No se posee un plan de correcta manipulación de la información, para
documentar procedimientos del uso de la información por pate de los
colaboradores, solamente se les comunica de forma verbal el cuido de los
equipos y la información.
Resguardo:
Hasta el momento no se cuenta con una política de respaldos, se los realiza de
acuerdo a la ocasión en caso extremo por ejemplo de formatear una máquina.
Administración de las seguridades de las redes:
El gerente propietario es el encargado de realizar monitoreo y protección de ésta,
sin embargo no se cuenta con controles documentados.
Control de acceso
Administración del acceso a usuario:
Los sistemas son asegurados mediante login y password para prevenir el acceso
no autorizado.
Responsabilidad del usuario
El negocio no posee normativas que garanticen que los colaboradores se hagan
responsables del cuido y manejo del Hardware y Software de los equipos.
Control de acceso a redes:
El acceso a la red es administrada por el gerente propietario, no se implementan
herramientas de administración remota a nivel externo, por lo que si se
presentase un problema, el administrador se acerca a cada equipo para localizar
el problema y así solucionarlo, pero en sí no existe una política de control de
acceso.
Adquisición de sistemas de información, desarrollo y mantenimiento
Administración técnica de vulnerabilidades
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
En caso de que existe una vulnerabilidad en la aplicación, el gerente propietario
comunica al proveedor del UNIFILE dicha vulnerabilidad para que encuentre la
solución del problema.
Administración de la continuidad del negocio
Aspectos de la seguridad de la información en la continuidad del negocio:
No se cuenta con un plan de la continuidad del negocio para prevenir que los
sistemas sufran interrupciones sobre las actividades o tareas que se realizan. Por
ejemplo; si el servidor le ocurre algún imprevisto y se detiene, no se cuenta con
otro equipo que lo reemplace y las operaciones se tendrían que detener.
Marco legal y buenas prácticas (legales, de estándares y auditorías)
No se cuenta con licencia de los sistemas operativos y utilitarios.
El antivirus y sistema UNIFILE, cuentan con sus licencias respectivas.
A pesar de que esta empresa es relativamente joven, nunca se ha realizado una
auditoría de las tecnologías de la información.
3.1 REALIZACIÓN DE LA AUDITORÍA
3.1.1 OBJETIVOS DE LA AUDITORÍA.
Realizar el análisis y auditoría en Plano Digital.
Utilizar como marco de referencia COBIT a fin de aportar a la mejora continua
de las TI de esta empresa a través de recomendaciones realizadas con los
análisis exhaustivos.
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
Presentar un informe técnico y ejecutivo que muestre los puntos fuertes y
débiles de las TI de la empresa.
3.1.2 MODELOS DE MADUREZ
Como ya se sabe la aplicación de los modelos de madurez para los 34 procesos de
TI de COBIT, ayudarán a identificar a la administración de Plano Digital:
Su desempeño real, es decir, dónde se encuentra en la actualidad la
empresa.
El estatus actual de la industria, La comparación.
El objetivo de la mejora de la empresa, Donde desea estar la empresa.
Estos modelos de madurez poseen una escala de medición creciente a partir de 0, no
existente, hasta 5, optimizado. Esto es útil para la empresa, ya que podrá autoevaluarse y
de esta forma determinar qué se debe hacer si se requiere una mejora.
A continuación se presenta la tabla de modelo de madurez genérico a usarse en esta
auditoría:
0
NO EXISTE
Carencia completa de cualquier proceso
reconocible. La empresa no ha reconocido
siquiera que existe un problema a resolver.
1
INICIAL / AD HOC
Existe evidencia que la empresa ha
reconocido que los problemas existen y
requieren ser resueltos. El enfoque general
hacia la administración es desorganizado.
2 No hay entendimiento o comunicación
formal de los procedimientos estándar, y se
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
REPETIBLE PERO INTUITIVO
deja la responsabilidad al individuo. Existe
un alto grado de confianza en el
conocimiento de los individuos y por tanto,
los errores son muy probables.
3
PROCESO DEFINIDO
Los procedimientos se han estandarizado y
documentado, y se han difundido a través
de entendimiento. Los procedimientos en sí
no son sofisticados pero formalizan las
prácticas existentes.
4
ADMINISTRADO Y MEDIBLE
Es posible monitorear y medir el
cumplimiento de los procedimientos. Los
procesos están bajo constante mejora y
proporcionan buenas prácticas.
5
OPTIMIZADO
Los procesos se han refinado hasta el nivel
de mejor práctica, se basan en los
resultados de mejoras continuas y en un
modelo de madurez con otras empresas. TI
se usa de forma integrada para automatizar
el flujo de trabajo, brindando herramientas
para mejorar la calidad y la efectividad,
haciendo que la empresa se adapta de
manera rápida.
3.2 PLANEAR Y ORGANIZAR
Este dominio nos permitirá analizar la planeación y organización desde diferentes aspectos.
3.2.1 PO1 DEFINIR UN PLAN ESTRATÉGICO DE TI
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
De acuerdo a las respuestas de la encuesta y las entrevistas con el gerente, la empresa no
cuenta con un plan estratégico de TI, es un proceso inexistente.
Su nivel de madurez es 0 (cero) porque la gerencia no tiene conciencia a cerca de la
importancia de la planeación estratégica de TI que sirven para dar soporte a las metas del
negocio.
3.2.2 PO2 DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN
Según el gerente la definición de la arquitectura de la información es un proceso
inexistente, la empresa no posee un modelo de arquitectura que optimice el uso de su
información. Este proceso también se ubica en el nivel 0 (cero).
3.2.3 PO3 DETERMINAR LA DIRECCIÓN TECNOLÓGICA
La empresa no cuenta con personal técnico especializado que posea el conocimiento y
experiencia necesarios para desarrollar un buen plan que guíe a la organización hacia un
acertado cambio tecnológico, por tanto se ubica en el nivel 0 (cero).
3.2.4 PO4 DEFINIR LOS PROCESOS ORGANIZACIÓN Y RELACIONES DE TI
No existen procesos, organización ni relaciones de TI, no cuenta con personal para el
desarrollo de un marco de trabajo de procesos de TI que aseguren la transparencia y el
control. Se localiza en el nivel 0 (cero).
3.2.5 PO5 ADMINISTRAR LA INVERSIÓN EN TI
No existe una administración de inversión para TI, la inversión se da cuando se requiere
una adquisición. Su nivel de madurez es 0 (cero)
3.2.6 PO6 COMUNICAR LA ASPIRACIONES Y LA DIRECCIÓN DE LA GERENCIA
Se localiza en el nivel 1 (uno) porque los métodos de elaboración y comunicación de las
aspiraciones son informales, las políticas y procedimientos de la dirección gerencial son
desorganizados debido a que el nivel gerencial no ha realizado reuniones formales para
poder crearlos.
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
3.2.7 PO7 ADMINISTRAR RECURSOS HUMANOS DE TI
La administración de los recursos humanos de TI y en general no cuenta con un proceso
previamente establecido que siga prácticas definidas y aprobadas, por lo que su nivel de
madurez se ubica en el nivel 0 (cero) porque no existe una persona asignada formalmente,
no existe conciencia de la necesidad del proceso en la organización.
3.2.8 PO8 ADMINISTRAR LA CALIDAD
La administración de la calidad en la empresa es un proceso inexistente, el personal
administra la calidad de su trabajo y sin supervisión, por tanto este se encuentra en el nivel
0 (cero). Todo se realiza de manera intuitiva y desorganizada.
3.2.9 P09 PLANEAR Y ORGANIZAR LOS RIESGOS DE TI
La evaluación y administración de los riesgos de TI es un proceso inexistente en la
empresa porque no cuenta con un marco de trabajo que identifique, analice y evalúe
cualquier impacto potencial sobre las metas de la organización causado por algún evento
no planeado. La empresa no tiene conciencia de su importancia por tanto se ubica en el
nivel 0 (cero)
3.2.10 PO10 ADMINISTRAR PROYECTOS
Este también es un proceso inexistente dado el tamaño de la empresa, no se evalúan ni se
llevan a cabo ningún proyecto. Su nivel de madurez es 0 (cero).
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
RESUMEN DEL DOMINIO PLANERAR Y ORGANIZAR
TABLA No. 1 DOMINIO: PLANEAR Y ORGANIZAR
PROCESO NIVELES DE MADUREZ
NIV
EL D
E M
ADU
REZ
ACTU
AL
NIV
EL D
E M
ADU
REZ
RECO
MEN
DAD
O
PO1 Definir un plan estratégico de TI CERO DOSPO2 Definir la arquitectura de la Información CERO DOSPO3 Determinar la dirección tecnológica CERO DOSPO4 Definir los procesos, organización y relacione de TI CERO DOSPO5 Administrar la inversión en TI CERO DOSPO6 Comunicar las aspiraciones y dirección de la gerencia UNO DOSPO7 Administrar recursos humanos de TI CERO DOSPO8 Administrar la calidad CERO DOSPO9 Evaluar y administrar los riesgos de TI CERO DOSPO10 Administrar proyectos CERO UNO
Como se muestra en la tabla No. 1, en este dominio lo mayoría de los procesos tiene un
grado de madurez de nivel CERO, estos deben se motivo de especial atención por parte de
la gerencia y su implantación debe regirse a la prioridad de implementación descrita para
procesos primarios y secundarios según sea el caso.
De acuerdo con la metodología COBIT, la empresa en este dominio carece completamente
de algún proceso con metodología específica y definida. Plano Digital Ignora la necesidad
de implementar estos procesos para solucionar sus problemas. También se puede notar
que su administración es desorganizada y sólo existe comunicación eventual sobre los
problemas.
3.3ADQUIRIR E IMPLEMENTAR
Este dominio trata sobre la adquisición e implementación de soluciones de TI que se
integrarán con los procesos de Plano Digital.
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
3.3.1 AI1 IDETNTIFICAR SOLUCIONES AUTOMATIZADAS
La identificación de soluciones automatizadas es un proceso inexistente en la empresa
porque no cuenta con una metodología definida para analizar la compra o el desarrollo de
una nueva aplicación que garantice que los requisitos del negocio se cumplan de manera
efectiva y eficiente. Su grado de madurez es de 0 (cero).
3.3.2 AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
La adquisición y mantenimiento de software aplicativo es un proceso inexistente en la
empresa porque no cuentan con una metodología que permita a la organización apoyar a
la administración del negocio de manera apropiada usando aplicaciones automatizadas
correctas. Por lo tanto el nivel de madurez es 0 (cero) porque la empresa no cuenta con un
procedimiento que diseñe las aplicaciones empresariales.
3.3.3 AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA
La adquisición y mantenimiento de infraestructura tecnológica es un proceso inexistente en
la empresa porque no cuentan con un enfoque planeado para adquirir, mantener y proteger
la infraestructura, por eso se ubica en el nivel 0 (cero) de madurez.
3.3.4 AI4 FACILITAR LA OPERACIÓN Y EL USO
El facilitar la operación y el uso es un proceso inicial y desorganizado porque la empresa no
cuenta con documentación del sistema, manuales de usuarios, manuales de operación y
materiales de entrenamiento. Su nivel de madurez es 1 (uno).
3.3.5 AI5 ADQUIRIR RECURSOS DE TI
La adquisición de recursos de TI es un proceso inexistente en la empresa porque no cuenta
con una correcta definición y ejecución de los procedimientos de adquisición. Su nivel de
madurez es 0 (cero).
3.3.6 AI6 ADMINISTRAR CAMBIOS
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
La administración de cambios es un proceso inexistente en la empresa porque no cuenta
con un procedimiento correcto de administración formal y controlado, relacionado con la
infraestructura y las aplicaciones dentro de la empresa. Por esto su nivel de madurez es de
0 (cero).
3.3.7 INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS
La instalación y acreditación de soluciones y cambios es un proceso inexistente en el
negocio porque no cuenta con un procedimiento correcto que administre la post-
implantación de sistemas en la empresa. Su nivel de madurez es 0 (cero).
RESUMEN DEL DOMINIO ADQUIRIR E IMPLEMENTAR
TABLA No. 2 DOMINIO: ADQUIRIR E IMPLEMENTAR
PROCESO NIVEL DE MADUREZ
NIV
EL D
E M
ADU
REZ
ACTU
AL
NIV
EL D
E M
ADU
REZ
RECO
MEN
DAD
OAI1 Identificar soluciones automatizadas CERO UNOAI2 Adquirir y mantener software aplicativo CERO UNOAI3 Adquirir y mantener infraestructura tecnológica CERO UNOAI4 Facilitar la operación y el uso UNO TRESAI5 Adquirir recursos de TI CERO DOSAI6 Administrar cambios CERO UNOAI7 Instalar y acreditar soluciones y cambios CERO UNO
Como se muestra en la tabla No. 2, en este dominio la mayoría de los procesos tienen un
grado de madurez de nivel CERO, estos deben se motivo de especial atención por parte de
la gerencia y su implantación debe regirse a la prioridad de implementación descrita para
procesos primarios y secundarios según sea el caso.
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
De acuerdo con la metodología COBIT, la empresa en este dominio carece completamente
de algún proceso con metodología específica y definida. Plano Digital Ignora la importancia
de implementar estos procesos para solucionar sus problemas.
3.4 ENTREGAR Y DAR SOPORTE
Este dominio cubre la entrega y el soporte de los servicios requeridos por Plano Digital.
3.4.1 DSI DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO
La definición y administración de los niveles de servicio es un proceso inexistente en la empresa porque no cuentan con una documentación de acuerdos de niveles de servicio de TI con respecto a los servicios requeridos, que refuerce la comunicación entre la gerencia de TI y el personal de la empresa.
El proceso para definir y administrar los niveles de servicio se localiza en el nivel de madurez 0 (cero), porque la gerencia no tiene conciencia de los beneficios de tener un responsable que controle y documente la administración de acuerdos de niveles de servicio en la empresa.
3.4.2 DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS
En la administración de los servicios de terceros es un proceso desorganizado en la empresa, porque no existe un ente que asegure que los servicios provistos por terceros cumplan con los requerimientos del negocio.
El proceso para administrar los servicios de terceros se encuentra en el nivel de madurez 1 (uno) porque la empresa no cuenta con un procedimiento definido para este proceso, además no tiene condiciones estándar para convenios con prestadores de servicios y todo se realiza de manera informal y desorganizada.
3.4.3 DS3 ADMINISTRAR EL EMPEÑO Y LA CAPACIDAD
La administración de desempeño y la capacidad de los recursos de TI es un proceso inexistente en la empresa, ya que no existe un procedimiento continuo que evalué la capacidad disponible para asegurar que se está alcanzando el desempeño deseado.
Este proceso se localiza en el nivel de madurez 0 (cero), porque la gerencia no tiene conciencia de la necesidad de llevar a cabo un proceso de planeación de la capacidad y no
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
reconoce que los procesos clave del negocio pueden requerir altos niveles de desempeño de TI.
3.4.4 DS4 GARANTIZAR LA CONTINUEDAD DEL SERVICIO
Se conoce que garantizar la continuidad del servicio de TI es un proceso inexistente en la empresa, porque no cuentan con un ente administrador que se encargue de desarrollar los planes de continuidad de TI, así como tampoco cuentan con un procedimiento para almacenar respaldos fuera de las instalaciones.
Este proceso se encuentra en el nivel de madurez 0 (cero) porque no se tiene conciencia que es importante entender los riesgos, vulnerabilidades y amenazas de las operaciones de TI o del impacto del negocio por la pérdida de los servicios de TI.
3.5.5 DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
La seguridad de los sistemas es un proceso nulo o inexistente en la empresa porque no cuentan con un procedimiento de administración de la seguridad que incluya el establecimiento y mantenimiento de roles y responsabilidades de seguridad, políticas, estándares y procedimientos de TI, monitoreo de seguridad y pruebas periódicas a los sistemas y todos los activos de TI de la empresa.
Este proceso se localiza en el nivel de madurez 0 (cero) porque la gerencia no tiene conciencia de la necesidad de la seguridad de los sistemas, no están asignadas las responsabilidades y rendición de cuentas para garantizar la seguridad y las medidas para soportar y administrar la seguridad no están implementadas.
3.5.6 DS6 IDENTIFICAR Y ASIGNAR COSTOS
La identificación y asignación de costos es un proceso inexistente en la empresa porque no cuentan con un proceso de construcción y operación de un sistema justo y equitativo para distribuir y reportar los costos de TI a los usuarios de los servicios en la empresa.
El proceso de identificación y asignación de costos se localiza en el nivel de madurez 0 (cero) porque la gerencia no reconoce que hay un problema que debe atender respecto a la contabilización de costos y que no hay comunicación respecto a este asunto. Hay una completa falta de cualquier proceso reconocible de identificación y distribución de costos en relación a los servicios de información brindados.
3.5.7 DS7 EDUCAR Y ENTRENAR A LOS USUARIOS
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
La educación y el entrenamiento a los usuarios un proceso inicial y desorganizado en la empresa porque ni cuentan con un procedimiento efectivo que administre el entrenamiento de los usuarios, y tampoco cuentan con una educación efectiva de los usuarios que usan los sistemas de TI.
Este proceso se localiza en el nivel de madurez 1 (uno) porque la organización no tiene un programa de entrenamiento y educación con procedimientos estandarizados, sus empleados reciben capacitación individual e informal. A nivel gerencial hay comunicación ocasional respecto a los problemas y enfoques para hacerse cargo del entrenamiento y la educación.
3.5.8 DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES
Se conoce que la administración de la mesa de servicio y .los incidentes es un proceso inexistente en la empresa porque no cuentan con una mesa de servicios (help desk) bien diseñada y ejecutada que responda de manera oportuna y efectiva a las consultas y problemas de los usuarios de TI.
Este proceso se localiza en el nivel de madurez cero porque la gerencia no tiene conciencia que hay un problema que atender, no hay soporte para resolver problemas y preguntas de los usuarios. Hay una completa falta de procesos para administración de incidentes.
3.4. 9 DS9 ADMINISTRAR LA CONFIGURACIÓN
Es un proceso inexistente porque no cuenta con un documento completo y preciso que
guíe las configuraciones de hardware y software que se realicen en la empresa. Su nivel de
madurez es 0 (cero).
3.4.10 DS ADMINISTRAR LOS PROBLEMAS
Es un proceso inexistente porque no cuenta con una efectiva administración de problemas
que requiere de identificación y clasificación de problemas, análisis de la causa de su raíz,
resolución de problemas. Su nivel de madurez es 0 (cero).
3.4.11 DS11 ADMINISTRAR LOS DATOS
La administración de los datos es un proceso inicial y desorganizado en la empresa porque
no cuenta con un procedimiento definido que contemple metodologías efectivas para
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
administrar los respaldos, la recuperación de datos y la eliminación apropiada de medios de
almacenamiento, por esto se ubica en el nivel 1 (uno).
3.4.12 DS12 ADMINISTRAR EL AMBIENTE FÍSICO
Es un proceso inicial y desorganizado porque no cuenta con la debida protección del
ambiente de cómputo ni del personal, así como tampoco disponen de instalaciones bien
diseñadas ni administradas que controlen el acceso físico de personas no autorizadas a
departamentos sensibles de la organización. Su nivel es 1 (uno).
3.4.13 DS13 ADMINISTRAR LAS OPERACIONES
Es un proceso inexistente, no cuenta con procedimientos de información apropiados,
efectiva administración del mantenimiento del hardware que incluya definición de políticas y
procedimientos de operación parta una administración efectiva de las operaciones,
monitoreo de infraestructura y mantenimiento preventivo. Su nivel de madurez es 0 (cero).
DOMINIO: ENTREGAR Y DAR SOPORTE
PROCESO NIVEL DE MADUREZ
NIV
EL D
E M
ADU
REZ
ACTU
AL
NIV
EL D
E M
ADU
REZ
RECO
MEN
DAD
O
DS1 Definir y administrar los niveles de servicio CERO UNO DS2 Administrar los servicios de terceros UNO DOSDS3 Administrar el desempeño y la capacidad CERO UNO DS4 Garantizar la continuidad del servicio CERO UNO DS5 Garantizar las seguridad de los sistemas CERO DSODS6 Identificar y asignar costos CERO UNO DS7 Educar y entregar a los usuarios UNO TRESDS8 Administrar la mesa de servicio y los incidentes CERO DOSDS9 Administrar la configuración CERO DOSDS10 Administrar los problemas CERO DOSDS11 Administrar los datos UNO TRES
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
DS12 Administrar el ambiente físico UNO TRESDS13 Administrar las operaciones CERO DOS
3.5 MONITOREAR Y EVALUAR
Los procesos de TI de Plano Digital, deben evaluarse regularmente en cuanto a la calidad y el cumplimiento de los requerimientos de control.
3.5.1 ME1 MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI
El monitoreo y la evaluación del desempeño de TI es un proceso inexistente en la empresa porque no cuenta con ningún tipo de monitoreo ni sistema de soporte, que ayude al correcto financiamiento de los requerimientos de TI y que garantice que las cosas se hagan de una manera correcta y que estén de acuerdo con los estándares y políticas que necesita la empresa.
El proceso para evaluar y monitorear el control interno se localiza en el nivel de madurez cero porque la empresa carece de procedimientos que le permita monitorear la efectividad de los controles internos, no existen métodos de reporte de control interno gerencial, y además la gerencia y el personal de la empresa no tiene conciencia sobre la seguridad operativa.
3.5.2 ME3 GARANTIZAR EL CUMPLIMIENTO REGULATORIO
En la empresa Plano Digital garantizar el cumplimiento regulatorio es un proceso inexistente, ya que no cuenta con un procedimiento independiente de revisión que de garantía al cumplimiento de las leyes y regulaciones e incluya la definición de un estatuto de auditoría, independencia de los auditores, ética y estándares profesionales, planeación, desempeño del trabajo de auditoría, reportes y seguimiento a las actividades que debe cumplir una auditoria.
Este proceso se localiza en el nivel de madurez 0 (cero) porque la gerencia no tienen conciencia de los requerimientos externos que afectan a TI, ni de los procesos referentes al cumplimiento de requisitos regulatorios y legales.
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
3.5.3 ME4 PROPORCIONAR GOBIERNO DE TI
Conocemos que el proporcionar un gobierno de TI es un proceso inexistente en la empresa porque no cuentan con un procedimiento efectivo que incluya la definición de estructuras, procesos, liderazgo, roles y responsabilidades organizacionales para el área de TI.
Este proceso se localiza en un nivel de madurez 0 (cero) debido a que la gerencia no reconoce que existe un problema que debe ser solucionado porque no tiene conciencia de la importancia de tener un procedimiento reconocible con relancion al gobierno de TI en la organización.
TABLA Nº 1 DOMINIO: MONITOREAR Y EVALUAR
PROCESO NIVEL DE MADUREZN
IVE
L
DE
M
AD
UR
EZ
A
CT
UA
L
NIV
EL
D
E
MA
DU
RE
Z
RE
CO
ME
ND
AD
OME1 Monitorear y evaluar el desempeño de TI CERO UNO ME2 Monitorear y evaluar el control interno CERO UNO ME3 Garantizar el cumplimiento regulatorio CERO DOSME4 Proporcionar gobierno de TI CERO DOS
Como se muestra en la tabla 3 en este dominio todos los procesos tienen un grado de madurez de nivel CERO, por ello la empresa debe dar especial atención a los mismos y su implantación debe regirse a la prioridad de implementación descrita para procesos primarios y secundarios según sea el caso.
Según COBIT este nivel establece que la organización carece completamente de algún proceso con metodología especifica y definida, Plano Digital, no reconoce la importancia de implantar estos procesos para solucionar sus problemas, existe un alto riesgo de deficiencias e incidentes de control y estos se manejan conforme van surgiendo.
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
ANEXOS
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
Anexo No. 1 FOTOS DEL LOCAL
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
Anexo No. 2 FORMATO DE ENTREVISTAS PREVIAS
FORMULARIO DE ENCUESTA
Lea detenidamente el siguiente cuestionario y marque con una X la respuesta que más se
ajuste a su realidad.
Conteste con mucha sinceridad
A - Con respecto a la empresa.
1. ¿Todos los miembros de la empresa conocen su misión?
SI Parcialmente NO
2. ¿Se sigue un plan estratégico para lograr cumplir esa misión?
SI Parcialmente NO
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
3. ¿La empresa cuenta con una política de seguridad de la información
debidamente publicada y comunicada a todos los miembros del negocio?
SI Parcialmente NO
4. ¿Se ejecutan controles en las diferentes áreas de la organización para
garantizar la seguridad de la información?
SI Parcialmente NO
5. ¿Existen responsabilidades definidas para la protección de equipos y para el
cumplimiento de procesos de seguridad?
SI Parcialmente NO
6. ¿Un profesional en particular se encarga de asegurar la consistencia y proveer
ayuda en la toma de decisiones que tenga que ver con la seguridad?
SI NO
7. ¿La empresa establece términos y condiciones sobre la responsabilidad de
sus empleados en la seguridad de la información?
SI Parcialmente NO
8. ¿Existen controles para permitir la entrada únicamente del personal autorizado
en las áreas más vulnerables de la organización?
SI Parcialmente NO
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
9. ¿Las políticas de seguridad son revisadas y actualizadas periódicamente?
SI Parcialmente NO
10.¿Los planes de contingencia son revisados y actualizados periódicamente?
SI Parcialmente NO
11.¿Existe alguna política para la definición de perfiles de usuario del sistema de
información?
SI Parcialmente NO
B - Con respecto a los sistemas informáticos utilizados en la empresa
12.¿Utiliza los sistemas?
Siempre Frecuentemente Nunca
13.¿El sistema le ayuda. Cómo?
Almacenamiento Toma de decisiones Otros
Si su respuesta es Otros. Especifique la manera (as)
________________________________________________________
________________________________________________________
14.¿Ha experimentado problemas con el sistema?
SI NO
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
Si su respuesta es SI. Especifique que qué tan a menudo se presentan estos
problemas.
Siempre Frecuentemente Poco
15.¿Están implementados controles de seguridad apropiados sobre los sistemas
de información para impedir el acceso a terceros?
SI Parcialmente NO
16.¿Los tipos de acceso al sistema están debidamente identificados y
clasificados en base a razones justificables?
SI Parcialmente NO
17.¿Los respaldos de su información los realiza personalmente?
SI NO
Si su respuesta es SI. Explique dónde obtiene sus respaldos, dónde los almacena y
cómo los usa.
____________________________________________________________
____________________________________________________________
18.¿Están los equipos protegidos contra apagones usando la permanencia de las
fuentes de alimentación tales como UPS´s o generadores de energía auxiliar?
SI Parcialmente NO
19.¿Existe un procedimiento de administración de incidentes para manejar
problemas de seguridad en el sistema de información?
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
SI Parcialmente NO
20.¿Todo el software instalado en los equipos de la organización cuenta con sus
respectivas licencias?
SI NO
21.¿El software antivirus actualizado está instalado en todos los equipos de la
organización?
SI NO
22.¿Se realiza periódicamente copias de seguridad o respaldos de la información
más relevante del sistema de información?
SI NO
23.¿Los respaldos de la información son almacenados en lugares seguros y
alejados de la organización?
SI Parcialmente NO
24.¿Están definidos procedimientos para monitorear el uso de la información y su
procedimiento de manera que los usuarios realicen sólo las actividades a las
que están autorizados?
SI Parcialmente NO
25.¿Se cuentan con políticas para el establecimiento de contraseñas seguras?
SI Parcialmente NO
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
26.¿Existen planes de contingencia para la recuperación del sistema de
información frente a cualquier tipo de desastre o amenaza?
SI Parcialmente NO
27.¿Los sistemas de información son evaluados regularmente para verificar que
cumplan con las políticas de seguridad establecidas por la organización?
SI NO
C- Con respecto a los Recursos Humanos
28.¿La empresa les brinda algún tipo de seguro?
SI NO
Si su respuesta es SI
Explique
29.¿La empresa le ofrece algún tipo de capacitación en el área en la cual se
desempeña?
SI NO
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
Si su respuesta es SI
Cada cuanto. Explique
D- Con respecto a la red
30- ¿La empresa cuenta con una red?
SI NO
31- ¿Existen políticas y estrategias de seguridad en cuanto a las redes implementadas?
SI NO
32- ¿Quiénes fueron los encargados de implementar la red?
_______________________________________________________________
_______________________________________________________________
33- ¿Qué tipo de red tiene la empresa?
LAN MAN WAN
34- ¿Qué tipo de cableado utilizó?
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
35- ¿Se han hecho modificaciones a la red últimamente?
SI NO
36- ¿Qué tipos de servicios brinda la red?
37- ¿Cuántos servidores poseen?
38- Especifique la asignación de los servicios por cada servidor
39- ¿Qué tipos de medios de interconexión utilizan? Explique
40- ¿Cuál es el ancho de banda con que cuenta la empresa?
41- ¿Poseen un control de los IP asignados?
42- ¿Cuenta con una tabla de enrutamiento?
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
43- Especifique los números IP asignados por área, usuario, su clase y mascara de red
44- Especifique, ¿cuenta con un servidor cortafuego?
45- Si su respuesta es si. Enumere los firewall que utiliza y el tipo
46- ¿Qué tipos de medios de interconexión utiliza como punto de entrada a la red interna?
47- ¿Quiénes son los encargados de realizar el mantenimiento de la red?
48- ¿Existen planes de mantenimiento?
49- En qué consiste el plan de mantenimiento y con qué frecuencia se realiza
E. Con respecto al Mantenimiento de los Equipos
50- ¿Los equipos reciben mantenimiento?
SI NO
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
Si su respuesta es no. ¿Qué equipos no reciben mantenimiento. Explique?
___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
51- ¿Qué tipo de mantenimiento reciben?
___________________________________________________________________
52- ¿Cada cuanto se le da mantenimiento?
Semanal
Mensual
Trimestral
Otro_________________________
53- ¿Quién realiza las operaciones de mantenimiento de todos los equipos?
____________________________________________________________
____________________________________________________________
____________________________________________________________
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
Anexo No. 3 INVENTARIO DE EQUIPAMIENTO INFORMATICO
NºNombre del
EquipoUsuario Procesador Memoria
Capacidad Disco Duro
Sistema Operativo
PeriféricosRespaldo
de Energía
1 01 ClientePentium IV 3
GHZ1024 MB de RAM
80 GB
Microsoft Window Xp Profesional
Service Pack 2
Teclado, Mouse, CD-
ROM, HEADSET,
Webcam, CRT 14''
UPS 550 VA CDP
2 02 ClientePentium IV 3
GHZ1024 MB de RAM
80 GB
Microsoft Window Xp Profesional
Service Pack 2
Teclado, Mouse, CD-
ROM, HEADSET,
Webcam, CRT 14''
UPS 550 VA CDP
3 03 ClientePentium IV 3
GHZ1024 MB de RAM
80 GB
Microsoft Window Xp Profesional
Service Pack 2
Teclado, Mouse, CD-
ROM, HEADSET,
Webcam, CRT 14''
UPS 550 VA CDP
4 04 ClientePentium IV 3
GHZ1024 MB de RAM
80 GB
Microsoft Window Xp Profesional
Service Pack 2
Teclado, Mouse, CD-
ROM, HEADSET,
Webcam, CRT 14''
UPS 550 VA CDP
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
5 05 ClientePentium IV 3
GHZ1024 MB de RAM
80 GB
Microsoft Window Xp Profesional
Service Pack 2
Teclado, Mouse, CD-
ROM, HEADSET,
Webcam, CRT 14''
UPS 550 VA CDP
6 06 ClientePentium IV 3
GHZ1024 MB de RAM
80 GB
Microsoft Window Xp Profesional
Service Pack 2
Teclado, Mouse, CD-
ROM, HEADSET,
Webcam, CRT 14''
UPS 550 VA CDP
7 07 ClientePentium IV 3
GHZ1024 MB de RAM
80 GB
Microsoft Window Xp Profesional
Service Pack 2
Teclado, Mouse, CD-
ROM, HEADSET,
Webcam, CRT 14''
UPS 550 VA CDP
8 08 ClientePentium IV 3
GHZ1024 MB de RAM
80 GB
Microsoft Window Xp Profesional
Service Pack 2
Teclado, Mouse, CD-
ROM, HEADSET,
Webcam, CRT 14''
UPS 550 VA CDP
9 09 ClientePentium IV 3
GHZ1024 MB de RAM
80 GB
Microsoft Window Xp Profesional
Service Pack 2
Teclado, Mouse, CD-
ROM, HEADSET,
Webcam, CRT 14''
UPS 550 VA CDP
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
14 Servidor YeimiCore 2 Duo,
3.0 GHZ4GB RAM 1 TB
Windows Server 2008
R2
Teclado, Mouse, CD-
ROM, CRT 17''Tripp-lite
15 Mostrador 1 JonathanPentium IV 3
GHZ2GB RAM 160 GB
Windows 7 profesional
Teclado, Mouse, CD-
ROM, CRT 17''N/A
16 Mostrador 2 FreddyPentium IV 3
GHZ2GB RAM 160 GB
Windows 7 profesional
Teclado, Mouse, CD-
ROM, CRT 17''N/A
17 Gerencia EdwinIntel Core 2
Duo 1.8 GHZ2GB RAM 500 GB
Windows 7 profesional
N/A Tripp-lite
EQUIPOS DE IMPRESIÓN
Cant. Nombre Marca Modelo2 Plotter XEROX 71421 Scanner para planos XEROX G6001 Impresora B/N HP Laser Jet 40501 Impresora Color HP Laser Jet 1 Fotocopiadora CANON IR550
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
Anexo No. 4 PRESUPUESTO MANO DE OBRA
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
Anexo No. 5 ESTADO DE RESULTADOS
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
Anexo No. 6 BALANCE GENERAL
PLANO DIGITAL Página No.: 1Balance General Fecha de emisión: 24/05/2011
Cifras en Córdobas Hora: 09 : 55 AMAl 24 de Mayo de 2011
Nombre Valor ACTIVOSCIRCULANTESCAJAS 4195.51BANCOS 168.72CUENTAS POR COBRAR 4,799.50FONDOS A TRASLADAR 357.74INVENTARIOS 27,131.77MATERIAS PRIMAS 22,484.36TOTAL CIRCULANTES 59,137.60FIJOSINVENTARIO ACTIVOS FIJOS 1222,715.16TOTAL FIJOS 1222,715.16TOTAL ACTIVOS 1281,852.76PASIVOSCIRCULANTESSUPLIDORES 1,998.30OBLIGACIONES CORTO PL 56,596.13PAGOS CP DE OBLIG. LP 344,713.91TOTAL CIRCULANTES 403,308.34FIJOSOBLIGACIONES L/P 208,008.99TOTAL FIJOS 208,008.99TOTAL PASIVOS 611,317.33CAPITALAPORTACIONES DE SOCIO 630,591.35UTIL/PERD PERIODO CORRIENTE 44,931.41TOTAL CAPITAL 675,522.76TOTAL PASIVOS CAPITAL 1286,840.09
Edwin Leiva EspinozaGerente Propietario
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
UNIVERSIDAD NACIONAL DE INGENIERÍA Proyecto de Auditoría de Sistemas
Anexo No. 8 PLANO DE RED