You are on page 1of 34

Analisis de Cumplimiento Auditoría

Cuestionario Fecha:
Empresa: Entrevistado: Juan Pérez Revisado por:
Cargo: Jefe de TI. Versión:
Área: sistemas

Seguridad Fisica. SÍ NO N/A

¿Se han adoptado medidas de seguridad en el departamento de


sistemas de información? X

¿Existen una persona responsable de la seguridad? X

¿Existe personal de vigilancia en la institución? X

¿Se controla el trabajo fuera de horario? X

¿Se registran las acciones de los operadores para evitar que realicen
X
algunas pruebas que puedan dañar los sistemas?.

¿Existe vigilancia en el departamento de cómputo las 24 horas? X

¿Existe vigilancia a la entrada del departamento de cómputo las 24


X
horas?

¿Se permite el acceso a los archivos y programas a los


programadores, analistas y operadores? X
El edificio donde se encuentran los equipos de cómputo está situado
a salvo de:
a) ¿Inundación? (X) Pequeña
X
b) ¿Terremoto? ( )
c) ¿Fuego? (X)
d) ¿Sabotaje? ( )

¿Existe control en el acceso a este cuarto de computo?


a) ¿Por identificación personal? ( )
b) ¿Por tarjeta magnética? ( ) X
c) ¿por claves verbales? ( )
d) ¿Otras? (X)

¿Se ha prohibido a los operadores el consumo de alimentos y bebidas


en el interior X
del departamento de cómputo para evitar daños al equipo?

¿Se tiene restringida la operación del sistema de cómputo al personal


X
especializado de la Dirección de Informática?

¿Existe una bitácora de exceso al centro de cómputo? X

¿El centro de cómputo es monitoreado mediante cámara de vigilancia? X

Información adicional.
Acceso a sitios web de los usuarios de CREESA:

´¿se cuenta con extintores adecuados para el centro de computo?,


¿con que frecuencia se revisan?

Existen salidas de emergencia, se capacita al personal?

se utiliza encriptacion en los dispositivos finales de los usuarios

se realizan analisis de vulnerabilidad


ento Auditoría
Fecha:
Revisado por:
Versión:

Observaciones

Antivirus, Corta Fuego (Forticlient)

Persona directa: Jefe de TI

El mismo personal de TI hace lo que es vigilancia


de la institución

No es controlado el trabajo fuera de horarios


porque no existe un reglamento para hacerlo

Siempre las acciones son validadas por el


genrente de TI
Solo lo que son sensores de humo y sensores de
humedad y temperatura.

Solo las cámaras para ver la persona que ingresa,


todo personal que ingreso en horas no laborales,
se informa a jefes para el ingreso del mismo.

No poseen Outsourcing, ellos mismo realizan lo


que son las programaciones.
Edificio nuevos, con más de 4 años de existencia.

a.) A la par del centro de datos se encuentra una


pila, la cual solo lo separa una pared de tabla de
yeso.
b.) En la parte de atrás del centro de datos, se
encuentra el canal de agua de lluvia.
c.) Los paneles eléctricos están en el mismo lugar
donde está el centro de datos.

El acceso al departamento de TI solo es


únicamente para el personal de TI, en caso que el
personal de TI no se encuentre la única puerta de
acceso queda con llave.

Existe política por parte de la empresa y lo que es


refutada por el jefe de TI.

No, porque se tiene controlado el acceso al


departamento y se cierra bajo llave

no, solo el personal de TI accede al centro de


computo y por eso no se necesita una bitacora
No hay cámaras en el departamento, el único
acceso a la entrada de TI es por la persona de IT.

El acceso web del personal administrativo está


bloqueado por Fortclient, el cual está por grupos y
tipo de página.
Tipo de páginas desbloqueados para todo el
personal:
* Paginas de las empresas rivales de CREESA
* Paginas de bancos
* Universidades
* Google
* Buscador de imágenes.

Para el personal gerencia en sus portátiles tiene


libre acceso a todas las páginas.
Analisis de Cumplimient
Cuestionario
Empresa: Entrevistado: Juan Pérez
Cargo: Jefe de TI.
Área: sistemas

Gestión de Riesgos

¿Existe un Marco de Trabajo de Administración de Riesgos?

Con que frecuencia se realizan ¿Se Evaluación de Riesgos de TI?

¿Conoce o se ha implementado la gestión de riesgos bajo alguna


norma o estándar como ISO en el departamento de TI? Si existe
defínala.

¿Existe un Mantenimiento y Monitoreo de un Plan de Acción de


Riesgos?

Liste los riesgos que usted cree haber identificado en el área de TI

¿Se realizan analisis de riesgos para ¿Considera que existen riesgos de cumplimiento en el área de TI,
el área de cumplimiento? Sistemas o Información?

¿Existe una matriz de riesgos donde se evalué el impacto y la


posibilidad de ocurrencia?

¿Anualmente, la función de la auditoría interna realiza una evaluación


efectiva del riesgo de TI?
¿Se ha desarrollado auditorías externas al departamento de TI?,
Que tipo de auditorias
cuando fue la ultima

¿Cuenta con planes de contingencia, como planes de respuesta a


incidentes y recuperacion de desastres? Si los tiene, ¿Cada cuanto
realiza pruebas?

¿Se han definido actividades de control?


¿Existen indicadores de alerta que activen algun plan de acción de
riesgos?
¿Se han completado evaluaciones de vulnerabilidades y se han
identificado los riesgos?
¿Se considera la estimacion del impacto de los riesgos asi como la
probabilidad de ocurrencia de los mismos?
Cumplimiento Auditoría
stionario Fecha:
rez Revisado por:
Versión:
Área: sistemas

SÍ NO N/A Observaciones

X Existe de forma verbal, pero no escrito.

X Solo se conoce.

Se realizó anualmente, lo que es al equipo general, a


X los servidores se realizó mensual, tanta limpieza de
software y hardware.

a.) Equipo obsoleto, con sistema operativos fuera de


soporte por parte de Microsoft.
b.) Falta de licencia a software:
1.) Sistema operativo de los servidores.
2.) Falta de licencia para Microsoft office, las
computadoras tiene instalado office pirata.
3.) Licencia para software de diseño (Photoshop,
Ilustrador).

a.) Falta de licenciamiento.


X
b.) Falta de reportes.

Matriz principal no existe:


X Solo por log, mensajes por parte de fortiClient y panda
(antivirus)

X Se realizó de forma semanal.


Se realizó hace 1 meses:
Por parte de 2 empresas externas:
X
a.) Deloitte
b.) Erea consulting
Analisis de Cumplimiento Auditoría
Cuestionario Fecha:
Empresa: Entrevistado: Juan Pérez Revisado por:
Cargo: Jefe de TI. Versión:
Área: sistemas

Gestión de la Información SÍ NO N/A

Explique la forma como se ha clasificado la información vital, esencial,


no esencial etc de la organización.

¿Se cuenta con copias de los archivos en lugar distinto al de la


X
computadora o centro de computo?

Explique la forma en que están protegidas físicamente estas copias


(bóveda, cajas de seguridad etc.) que garantice su integridad en caso
de incendio, inundación, terremotos, etc.

¿Se tienen establecidos procedimientos de actualización a estas


X
copias?

¿Existe departamento de auditoría interna en la institución? X

¿Este departamento de auditoría interna conoce todos los aspectos de


X
los sistemas?

¿Qué tipos de controles ha propuesto? ¿Se cumplen? X


Informe para
¿Se auditan los sistemas en operación? X
respaldar?
¿Con que frecuencia?
a) Cada seis meses ( )
b) Cada año ( ) X
c) Otra (especifique) (X)

¿Cuándo se efectúan modificaciones a los programas, a iniciativa de


quién es?
a) Usuario ( )
b) Director de informática ( )
X
c) Jefe de análisis y programación ( )
d) Programador ( )
e) Otras (X)

¿La solicitud de modificaciones a los programas se hacen en forma?


a) Oral? ( )
Mal sistema X
b) Escrita? (X)

¿Existe control estricto en las modificaciones? X

¿Si se tienen terminales conectadas, ¿se ha establecido


procedimientos de operación?

Se verifica identificación:
Las
a) De la terminal ( )
credenciales X
b) Del Usuario (X)
de acceso?
c) No se pide identificación ( )

¿Se ha establecido que información puede ser acezada y por qué


X
persona?
¿Se ha establecido un número máximo de violaciones en sucesión
para que la computadora cierre esa terminal y se de aviso al
X
responsable de ella?

¿Existe la Asignación de Roles y seguridad en el Departamento de TI? X

¿Se hacen revisiones periódicas y sorpresivas del contenido del disco


para verificar la instalación de aplicaciones no relacionadas a la gestión X
de la empresa?
¿Se tienen identificados los archivos con información confidencial y se
cuenta con claves de acceso?

¿Existe un control estricto de las copias de estos archivos? X

¿Se borran los archivos de los dispositivos de almacenamiento, cuando


X
se desechan estos?

¿Que medidas se toman en el caso de extravío de algún dispositivo de


almacenamiento? X

¿Se realizan auditorías periódicas a los medios de almacenamiento? X

No se
prohiben
algunos tipos
de
Medio utilizados para en envio de informacion internamente.
documentos,
archivos o
informacion a
enviar?
o Auditoría
Fecha:
Revisado por:
Versión:

Observaciones

Vital:
a.) ERP la base principal.
b.) Base de correos
c.) Codigos fuentes del ERP.

Esencial:
a.) Correo electronico.
b.) Sitio web

No esencial:
a.) Documentacion de informacion de
documentos.

Se encuentra en una caja de


seguridad contra incendios

a.) Se encuentra en una caja de


seguridad contra incendios.
b.) Se realizó una copia de seguridad
en el servidor de Ceiba, esto se realiza
diariamente.

Se tiene diariamente y periódicamente


se valida por parte de la persona de TI.

a.) Los respaldos de la base de datos.


b.) Centralización de la información.
c.) Limite de envió de documentos por
medio de correo electrónico.
Se realizo diaramiente.

La iniciativa empieza por parte de todo


el personal, tanto por el departamento
de TI, usuarios, programador, etc.

Por medio de correos electrónicos y se


ejecutan por medio de memorándum
con firma del dueño.

Los cambios solo se realizan por


autorización de Director o Gerente
Administrativo.

Se realizó la instalación y
configuración de cada terminal para
que esta se conecte al servidor
principal, se le da acceso al usuario
según puesto a ocupar.

Se estable a la información propia por


cada usuario.

Tanto de domino, correo, ERP.


El máximo de intento para ingresar
erróneamente es de 3 intentos.
Todos los departamentos tienen sus
roles de acceso y uso.

Se realiza mensualmente y cuando se


solicita por parte de jefe de área.
Todos los archivos están según su
área de trabajo, en cada computadora
del usuario y la información solo es
accedida desde su cuenta de dominio.

Se realiza la destrucción del medio de


almacenamiento antes de desecharlo.

No se utilizan dispositivos ligeros como


ser USB o discos duros portátiles, solo
se manejan dispositivos internos.

Se utiliza la política de envió de


información por medio de correo de
capacidad hasta de 50 MB, pero este
solo es internamente.
Analisis de Cumplimiento Auditoría
Cuestionario Fecha:
Empresa: Entrevistado: Juan Pérez Revisado por:
Cargo: Jefe de TI. Versión:
Área: sistemas

Infraestructura SÍ NO N/A

¿El lugar donde se ubica el centro de cómputo está seguro de


inundaciones, robo o cualquier otra situación que pueda poner en X
peligro los equipos?
¿El material con que está construido el centro de cómputo es
X
confiable?

¿Dentro del centro de cómputo existen materiales que puedan ser


X
inflamables o causar algún daño a los equipos? Observar.

¿Existe lugar suficiente para los equipos? X

¿Aparte del centro de cómputo se cuenta con algún lugar para


X
almacenar otros equipos de cómputo, muebles, suministros, etc.?

¿Es adecuada la iluminación del centro de cómputo? X

¿Se cuenta con una salida de emergencia? X

¿La temperatura a la que trabajan los equipos es la adecuada de


X
acuerdo a las normas bajo las cuales se rige?

¿Existe un sistema de control de temperatura para el centro de


X
cómputo? Describa

¿Existe algún otro medio de ventilación aparte del aire acondicionado? X

¿El cableado se encuentra correctamente instalado? X

¿Se cuenta con los planos de instalación eléctrica? X


¿La instalación eléctrica del equipo de cómputo es independiente de
X
otras instalaciones?

¿Los equipos cuentan con un regulador y unidades de respaldo de


X
energía?

31. ¿Los cables están dentro de paneles y canales eléctricos? X

32. ¿Los interruptores de energía están debidamente protegidos y sin


X
obstáculos para alcanzarlos?

33. ¿Con que periodo se les da mantenimiento a las instalaciones y


X
suministros de energía?

¿Se cuenta con alarma contra incendios? X

¿Existen extintores? X

¿Cuentan con algún tipo de control de entradas y salidas de usuario al


X
centro de datos?

¿Con que tipo de programas cuentan en los equipos de computo?


X
Ejemplo: servidores de aplicaciones, Domino, correo , etc.

¿Cuentan con manuales para cada programa que se maneja? X

¿Qué tipo de mantenimiento realizan al equipo de computo?

¿Qué materiales utilizan para realizar el mantenimiento del hardware? X

¿Se registra el acceso al departamento de cómputo de personas


X
ajenas a la dirección de informática?

¿Se cuenta con un sitio alterno del centro de cómputo, si existe donde
X
se encuentra?

¿Existe un sistema de respaldo para las aplicaciones críticas de la


X
organización (Base de datos, código fuentes, información)?
¿Se han instalado equipos que protejan la información y los
dispositivos en caso de variación de voltaje como: reguladores de X
voltaje, supresores pico, UPS, generadores de energía?

¿Se mantiene programas y procedimientos de detección de


X
inmunización de virus en los equipos?

¿Existe la protección de un corta fuegos para la red? X

¿La red y puntos de acceso están certificados? X

¿Existen servicios que estén publicados fuera de la Intranet? Si hay


cuales son.

¿Cómo se gestiona el direccionamiento IP de los equipos, Manual o


X
DHCP?

¿Existe un controlador de domino y solo se manejan usuarios


X
autenticados?
¿Existe una política para la creación y administración de cuentas de
X
dominio?

¿La administración de cuentas de correo electrónico es interna o con


X
un proveedor?

¿Existe una política para la administración de cuentas de correo


X
electrónico?

¿Existe un inventario actualizado de los equipos de cómputo de la


X
organización? Ver Inventario.

¿Existe un control para la asignación de equipo de cómputo a los


X
empleados?

¿El departamento de TI cumple con todas la normas estandares que se


necesitan para un centro de computo?
¿Existen restricciones para el personal que ingresa al departamento de
TI, si existe quien lo supervisa?
o Auditoría
Fecha:
Revisado por:
Versión:

Observaciones

Está ubicado en una zona segura.

Debido a que las paredes son de tabla


de yeso.

Si existe por las causas de que se


encuentran cajas de cartón y equipos
obsoleto y lo algunos plásticos lo que
es el área de centro de datos,
incluyendo los paneles eléctricos que
se encuentran en el mismo cuarto.

Oficina bastante amplia para la


cantidad de equipo.

Se encuentra el cuarto aparte de taller


de cómputo y lo que es un espacio
pequeño en la bodega que comparte
con mercadeo.

porque se tienen lamparas


fluorecentes blancas
Solo estan las puertas principales del
edificio.

se posee un aire acondicionado

Sistema de aire principal y una mini


split y termostato

ventiladores

Fotos enviadas por aparte del


cableado del centro de cómputo.
Lo poseen digitalmente

Cada equipo posee un UPS pequeño,


de 500KVA y los servidores poseen 1
de 2500 KVA y 3000 KVA

Se realiza una vez al año.

nunca ha ocurrido uno

En el cuarto de TI solo hay uno.

solo el personal de TI accede

Servidores: Windows Server 2008 R2,


Windows Server 2003
Dominio: Windows Server 2008 R2 se
controla.
Correo: Zimbra y se utiliza con
Outlook en las computadoras.
Programa: Microsoft office, programas
de diseño.

Solamente para el programa de la


empresa, el ERP.

Se realizó limpieza de Hardware y


Software el cual se realiza de forma
anual y con mantenimiento preventivo.

* Contact Cleaner - ABRO


* Multisufarce Cleaner - Sabo
* Franelas

Ya que el personal ajeno al


departamento solo ingresa con algún
técnico o personal de TI.

Todos los respaldos se almacena en


la institucion

Los respaldos los realizan de forma


manual y con la base de datos
principal con la función de los
respaldos predeterminados.
Solamente equipo de UPS.

El antivirus Panda Enpoint Protection


Plus V7.65.1.
Forti Client Modelo 110C, Version de
firmware 5.2, liberacion 5.89

Estan certificados por EnerCom

Solo existe la pagina web, el APP de


grupo CREESA y el correo electronico
por medio de Zimbra.

Estan DHCP y por medio del forti


client

Solo personal de TI
todas la cuentas se crean en base aun
estandar proporcionado por el jefe de
TI
Es interna y se maneja con la misma
política de apertura y cierre de
cuentas.

Gestiona por RRHH, sobre el uso, con


capacidad de 1 GB de
almacenamiento para los personales y
la parte de gerencia es ilimitado el
espacio.

Se tiene de manera digital y lo


realizan anualmente.
Analisis de Cumplimiento Auditoría
Cuestionario Fecha:
Empresa: Entrevistado: Juan Pérez Revisado por:
Cargo: Jefe de TI. Versión:
Área: sistemas

Aplicaciones/ Sistemas SÍ NO N/A

¿Existe una lista de proyectos de sistema de información y fechas


programadas de implantación que puedan ser considerados como plan X
maestro?

Escribir una lista de sistemas en proceso por prioridad para la empresa.

¿Quién autoriza los proyectos nuevos? X

¿Cómo se asignan los recursos para dichos proyectos?

¿Los nuevos proyectos o desarrollos son outsourcing o son hechos


X
internamente por TI?

¿Existe un proceso para la selección de proveedores de aplicaciones? X

¿Cómo se controla el avance del proyecto? X

¿Con que frecuencia se estiman los costos del proyecto para


compararlo con lo
presupuestado?
¿Se llevan a cabo revisiones periódicas de los sistemas para
determinar si aún
X
cumplen con los objetivos para los cuales fueron diseñados?

¿Quiénes intervienen al diseñar un sistema?


( ) Usuario.
(X) Analista.
(X) Programadores.
( ) Operadores. X
( ) Gerente de departamento.
( ) Auditores internos.
( ) Asesores.
( ) Otros.

¿Existe un departamento de desarrollo a lo interno de la TI? X

¿Los analistas son también programadores? X

¿Qué lenguaje o lenguajes conocen los analistas? X

¿Cuántos analistas hay y qué experiencia tienen? X

¿Cómo se controla el trabajo de los analistas? X

Indique qué pasos siguen los programadores en el desarrollo de un


X
programa, si existe.

¿Qué documentación acompaña al programa cuando se entrega? ?


X
(Manual de Usuario o manual de sistema)

¿Existe una bitácora de control de cambios en los desarrollos de los


X
sistemas?

¿Existe un ambiente de pruebas para el área de desarrollo? X

¿Cuáles son los tipos de base de datos sobre los que funcionan las
X
aplicaciones, Oracle, Sql Server u otros?
¿Existe una matriz para la identificación de las aplicaciones críticas de
X
la empresa, enumere las aplicaciones críticas?

¿Existe un mapa de sistemas en el departamento de TI?


¿Existe alguien destinado a aprobar los proyectos o nuevos desarrollos
X
del área?
¿Existen tiempos definidos para presentar resultados de los proyectos
X
de desarrollo e innovación?
¿Existe un ticket o turnero (help desk) que permita organizar las
X
solicitudes que recibe el área?

¿Cómo se administran los códigos fuentes de las aplicaciones? X

¿Existen copias de seguridad de los códigos fuentes? X

¿Existe un procediendo para actualizar los códigos fuentes de


X
ambiente de pruebas al de producción?

¿Se gestiona el control de calidad antes de que los códigos fuentes


X
pasen al ambiente de producción?

¿Hay algún código fuente que se encuentre obsoleto y que no se


X
tengan las últimas versiones?

¿Todos los analistas y programadores si los hay conocen los códigos


X
fuentes actuales?

Información adicional.
Software utilizados para conectar a los equipos:
nto Auditoría
Fecha:
Revisado por:
Versión:

Observaciones

Por parte de Jefe de TI, un documento con las


solicitudes de parte de todos los
departamentos para el trabajo de TI.

Actuales:
* Club CREESA
* ERP (Programa principal)

A futuro:
* CRM
* Actualizacion de version de Club CREESA
* Actualizacion de version de ERP
* Modulo de importacion de respuesto.

Gerencia Administrativa y Gerencia General.

Con cotizaciones del equipo a invertir, como


política son 3 cotizaciones de equipo o
proyecto y posteriormente el visto bueno por
parte de gerencia administrativa y gerencia
general.

Son internamente por parte de TI.

Mediante reuniones y correos.

Se realiza semanalmente a los proyectos largo


y directamente la compra de los proyectos
pequeños o compra de equipo.
Se revisa por parte de TI, mensualmente.

El mismo personal de TI, realizan la función de


analista y programador.

No existe un departamento interno, el mismo


Jefe de TI y asesor realizan todas las
funciones.

Los analistas son los mismos de TI.

Fox Pro, Visual Basic, Java, PHP, Phyton, C #,


Pascal.
2, el mismo personal de TI, Jefe de TI con 20
años en el área y Rafael con 8 años.

Con reuniones semanales.

* Análisis los Requerimientos.


* Diseño de la solución.
* Programación.
* Pruebas.
* Implementación.
* Seguimientos.

Se realizó el manual de usuario por parte de TI


y se realiza capacitaciones.

Se maneja una bitácora interna del


departamento de TI, a la vez dejan
comentarios de los cambios realizados.

Hay base de datos diferentes, se tiene un


base de datos de pruebas donde se verifica el
programada o cambia a desarrollo

SQL (Microsoft SQL Server 2005) y Maya SQL

Se tiene un solo sistema, en este caso no


manejan aplicaciones.
El sistema utilizado es el ERP, la cual tiene
módulos de todo el sistema.
No, porque los proyectos se desarrollan por TI
a media sean necesarios
aveces se alarga el tiempo y el tiempo definido
es muy corto

Estan por implementar el sistema JLPI

Todos se manejan en una sola localidad, el


cual se notifica al jefe de TI, para que él esté
al tanto de los cambios a realizar, está en unos
de los servidores, con 2 unidades de
almacenamiento y cuenta con espejo para los
discos duros.

La copia se encuentran los discos duros y una


copia en la caja fuerte que se maneje por
parte del jefe de TI.

No hay ningun procedimiento, una vez que se


termina se realiza el reemplazo el de
produccion.

El departamento de TI, realiza las pruebas


mismas de los cambios y se realiza con un
usuario la funcionalidad de los cambios
realizados.

El ERP se encuentra en una versión obsoleta,


la cual ya se está trabajando para su
actualización.

si, porque todo el departamento de TI trabaja


en un proyecto de manera conjunta

Programa utilizados para el acceso remoto de


los equipos:
* VNC
* TeamViawer para los equipos portatiles
* VPN solo el personal de TI tiene.
Analisis de Cumplimiento Auditoría
Cuestionario Fecha:
Empresa: Entrevistado: Juan Pérez Revisado por:
Cargo: Jefe de TI. Versión:
Área: sistemas

Gestión/Gobierno de TI SÍ NO N/A

¿Existe una Evaluación del Desempeño y la Capacidad Actual del


X
departamento de TI?

¿Existe un Plan Estratégico de TI? X

¿Cuál es la Estructura Organizacional del departamento de TI?


X
(Organigrama)

¿Existe el Establecimiento de roles y responsabilidades para TI? X

¿Existe la Segregación de Funciones del departamento de TI? X

¿Cuantas personas integran el departamento de TI?

¿Están establecidas las líneas de autoridad y responsabilidad dentro


X
del área?

¿Quiénes son los puestos Clave de TI? X

¿Se realiza una retroalimentación constante de la misión y visión de la


X
organización?

¿Existe un presupuesto para el departamento de TI? X


¿Existe un control de los requerimientos y solicitudes que le realizan al
X
área?

¿Existen Políticas para el departamento de TI?

¿Se comunican los Objetivos y la Dirección de TI al personal? X

¿Existe un Marco de Trabajo para la Administración de Proyectos? X

¿Existe una Declaración de Alcance de proyectos para TI?

¿Existe el Control de Cambios del Proyecto de TI?

¿Se utiliza algún tipo de control a la ejecución de los proyectos? X

¿Existen tiempos definidos para presentar resultados de los proyectos


X
de desarrollo e innovación?

existe un procedimiento para la revision de los roles y responsibilidades

se realizan revisiones al menos una vez al año de las politicas de TI


o Auditoría
Fecha:
Revisado por:
Versión:

Observaciones

Se maneja de forma digital y escrita


la cual se realiza mensualmente por
el jefe TI.

Corto plazo:
* Migrar a la nueva version del ERP.

Largo Plazo:
* Desarrollo de herramientas que
faciliten la labor de los usuarios.
* Actualizar los equipos de computo
de toda la empresa.

Jefe de TI - Juan Pérez


Desarrollador y tecnologia: Rafael
Gómez
Soporte: Gabriel Aguilar

Los roles y responsabilidades se


maneja por parte de todos las
persona de TI.

3 Personas

Los 3 puestos son claves,


empezando por la persona que dirige
el departamente, el desarrollador y el
tecnico.
Se realiza anualmente, acompañada
con una evaluacion con la gerencia.
Inversion: No poseen.
Operativo: Si existe.
Solamente por via de correo
electronico.

Existen solamente las politicas


generales de la empresa, propias de
IT no.

Solamente las solicitudes.

Se manejan versiones y se maneja


como una solicitud nueva. Se realizo
como parte de un nuevo
requerimiento.

Solamente la bitacoras.

Por medio de las bitacoras se


realizan las fechas de entrega de los
proyectos.
Analisis de Cumplimiento
Empresa:

Área: sistemas

Gestion del Recurso Humano

¿Existen Políticas y Procedimientos para contratacion de personal de


TI?
¿Existe una política para la salida y Terminación de Trabajo de los
empleados?
¿Se promueve Entrenamiento del Personal de TI en las mejores
prácticas?

¿Se mide la Evaluación del Desempeño del Empleado?

¿Se miden las Competencias del Personal de TI?

¿Existe la Segregación de Funciones del departamento de TI?

¿Existe y se cómprate a los nuevos empleados su manual de funciones


con respecto al puesto?

¿El departamento de TI cuenta con la tecnología adecuada para


cumplir con las metas de los procesos?

¿Se retroalimenta al personal según las últimas novedades


informáticas?

¿Se realizan reuniones para conocer las sugerencias de los empleados


respecto a los procesos del área? ¿Cada cuánto se realizan?

¿Se toma en cuenta el personal de sistemas para ascensos en esta y


diferentes áreas?

¿Existen manuales de funciones y procedimientos dentro del área?

¿Son conocidos dichos manuales y procedimientos por todo el


personal del área?
¿Los empleados se encuentran capacitados en los procesos para
cubrir algún reemplazo o incapacidad?
Empresa:
Analisis de Cumplimiento Auditoría
Cuestionario Fecha:
Entrevistado: Juan Pérez Revisado por:
Cargo: Jefe de TI. Versión:
Área: sistemas

on del Recurso Humano SÍ NO N/A Observaciones

dimientos para contratacion de personal de


X *Crear control

a salida y Terminación de Trabajo de los


X

ento del Personal de TI en las mejores


X Solamente internamente.

el Desempeño del Empleado? X

ias del Personal de TI? X


Las funciones por puesto están
Funciones del departamento de TI? X delimitadas según recursos
humanos.
s nuevos empleados su manual de funciones
X

Los equipos de los usuarios esta


enta con la tecnología adecuada para
X obsoletos y el licenciamiento del
os procesos?
software también.

nal según las últimas novedades


X

El jefe de TI, se reune anualmente


ra conocer las sugerencias de los empleados con los gerentes de las diferentes
X
el área? ¿Cada cuánto se realizan? areas, para poder desarrollar las
necesidades solicitadas.

sonal de sistemas para ascensos en esta y


X

Estos manuales se encuentra en


ciones y procedimientos dentro del área? X
poder de RRHH.
anuales y procedimientos por todo el
X

ntran capacitados en los procesos para


X No se conoce ningún caso
ncapacidad?

You might also like