TEMA
:
AUDITORIA INFORMATICA MUNICIPALIDAD PROVINCIAL DEL CUSCO
REALIZADO POR
:
JUVENAL CJUIRO FLORES
CUSCO - PERU
“EVALUACION A LA GESTION DEL EQUIPO INFORMATICA DE LA MUNICIPALIDAD PROVINCIAL DEL CUSCO PERIODO 2013”
2
INDICE “EVALUACION A LA GESTION DEL EQUIPO INFORMATICA DE LA MUNICIPALIDAD PROVINCIAL DEL CUSCO PERIODO 2013” .............................................................................................. 2
INTRODUCCION .............................................................................................................................................. 4 3.1 3.2 3.3 3.4 3.5 3.6
Breve Reseña de la Organización ......................................................... ............................................ 4 Estructura Organizacional ........................................................ ...................................................... 5 Misión y Visión de la Organización ................................................................ ................................. 6 Objetivos Estratégicos................................................................ ....................................................... 6 Misión TI ..................................................... ................................................................. ...................... 6 Visión TI ...................................................... ................................................................. ...................... 6
3.7 FODA de TI (F: Fortaleza, O: Oportunidad, D: Debilidad, A: Amenaza) .................................. 7 PLAN DE AUDITORIA INFORMATICO .......................................................... ............................................ 8 4.1.1. ORIGEN DE LA AUDITORIA INFORMATICA .......................................................... ........... 8 4.1.2. ANTECEDENTES DE LA ENTIDAD....................................................... ................................. 8 4.1.3. OBJETIVOS DE LA AUDITORIA INFORMATICA .............................................................. 8 4.1.4. ALCANCE DE LA AUDITORIA INFORMATICA ................................................................ . 9 4.1.5. 4.1.6.
CRITERIOS DE AUDITORÍA A UTILIZAR ................................................................ ........... 9 RECURSOS DE PERSONAL .......................................................... .......................................... 10
4.1.7. 4.1.8.
PRESUPUESTO DE TIEMPO ........................................................ .......................................... 10 INFORME A EMITIR Y FECHA DE ENTREGA.................................................................. 11
PROGRAMA DE AUDITORIA INFORMATICA ....................................................................................... 12 ACTA DE VISITA INSPECTIVA .................................................................................................................. 15 CUESTIONARIO DE AUDITORIA .............................................................................................................. 18 CHECKLIST DE AUDITORIA ................................................................. ..................................................... 22 V. CONCLUSIONES.............................................................. ................................................................. ......... 26 VI. RECOMENDACIONES ............................................................. ............................................................... 26 VII. REFENCIAS BIBLIOGRAFICAS................................................................................................ ......... 27
3
INTRODUCCION
3.1 Breve Reseña de la Organización Considerando que el artículo 255 (inc. 4 y 1) de la Constitución Política dcl Perú, prescribe que las Municipalidades Provinciales tienen a su cargo las funciones de conservación de monumentos arqueológicos e históricos y de zonificación y urbanismo del territorio bajo su Jurisdicción; que el artículo 67 (inc. 11 y 12) de la Ley Orgánica de Municipalidades, establece como las funciones específicas de los Municipios, promover y asegurar la conservación y custodia del patrimonio cultural local, defender y conservar los monumentos arqueológicos, históricos y artísticos, así como restaurar el patrimonio histórico local y cuidar de su conservación; y que el Reglamento Nacional de Construcciones, señala en su art. IV -III-4 que es función de Entidades encargadas en coordinación con los Concejos Provinciales, formular ordenanzas y/o dictar disposiciones especiales en que se contemplen casos particulares de cada ciudad sus respectivas Zonas Monumentales, Ambientes Urbanos Monumentales y Monumentos, por lo que la MUNICIPALIDAD PROVINCIAL DEL CUSCO en base a dichos dispositivos, formula el CODIGO MUNICIPAL PARA LA PROTECCION DE LA CIUDAD HISTORICA DEL CUSCO como el instrumento técnico -legal que tiene por finalidad regir, regular, controlar y orientar los usos y funciones así como las acciones e intervenciones que se proyecten o ejecuten en el ámbito geográfico de las zonas identificadas y que definen a la Ciudad
4
3.2 Estructura Organizacional
5
3.3 Misión y Visión de la Organización Misión La Municipalidad del Cusco como gobierno local es promotor del desarrollo integral, concertado y sostenible de su ámbito, para el logro de una mejor calidad de vida de su población.
Visión Municipalidad moderna, exitosa, participativa, eficiente y efectiva que trabaja con visión de futuro preservando su ambiente y patrimonio cultural que goza de la confianza y credibilidad de su población. Provincia del Cusco al 2012, es el Centro Cultural Vivo de América en proceso de desarrollo sostenible, cuenta con un ambiente saludable, con expansión urbana y articulación vial planificada, con adecuado equipamiento e infraestructura de servicios de educación, salud, transporte y de recreación, con una economía competitiva e integrada a nivel local, nacional e internacional y con una población con identidad cultural que “La
ejercen sus deberes y derechos.”
3.4 Objetivos Estratégicos 1. Promover el desarrollo de las capacidades y potencialidades de los habitantes de la provincia, con una educación de calidad, asegurándose el acceso equitativo a los servicios de salud adecuado, seguridad y justicia. 2. Promover la creación de polos de desarrollo económico, descentralizado, planificado y concertado con el sector público y privado. 3. Promover la expansión urbana y articulación vial planificada con adecuado equipamiento e infraestructura, promoviendo la conservación de los recursos naturales y disminución de la contaminación ambiental. 4. Promover la renovación urbana, rescate, conservación y protección del patrimonio material e inmaterial. 5. Promover la participación ciudadana y el fortalecimiento de las instituciones representativas de la provincia, teniendo como base las capacidades y potenciales locales.
3.5 Misión TI El área de Computo e Informática de la Municipalidad Provincial de Cusco, tiene por misión normar el adecuado uso y aprovechamiento de los recursos informáticos; la optimización de las actividades, servicios procesos y acceso inmediato a información para la toma de decisiones, mediante el desarrollo, implantación y supervisión del correcto funcionamiento de los sistemas y comunicaciones, así como la adquisición y control de la plataforma física de computo.
3.6 Visión TI El Área de cómputo e Informática, de la Municipalidad Provincial Cusco, capaz de liderar el desarrollo informático, asegurando un marco transparente para el acceso a los ciudadanos a la información
6
3.7 FODA de TI (F: Fortaleza, O: Oportunidad, D: Debilidad, A: Amenaza) Fortalezas Disponibilidad de recursos económicos. Personal Directivo y técnico con amplia experiencia(recursos humanos) Capacidad de Convocatoria(Difusión)
Oportunidades Búsqueda de reducción de costos, aprovechando la aparición de nuevas tecnologías. Buen servicio y trato. Tendencias Tecnológicas generan un amplio campo de acción Predisposición y voluntad de los nuevos directivos para cambio Tecnológico
Debilidades Falta de planes y Programas Informáticos. Poca identificación del personal con la institución Inestabilidad laboral del personal Escasa capacidad de retención y voluntad del personal No existe programas de capacitación y actualización al personal La oficina del Área de computo e informática muy reducido Personal técnico Calificado insuficiente en el área de computo
Amenazas Rotación permanente del personal imposibilitando continuidad a los objetivos propuestos. Estandarizar y Uniformizar información relevante referente a los gobiernos locales.
7
PLAN DE AUDITORIA INFORMATICO “EVALUACION A LA GESTION DEL EQUIPO INFORMATICA. PERIODO 2013”
4.1.1.
ORIGEN DE LA AUDITORIA INFORMATICA La Auditoria Informática se lleva a cabo en cumplimiento del Plan Anual de Control 2014 del Órgano de Control Institucional de la Municipalidad del Cusco, aprobado por la Contraloría General de la República, mediante Resolución de Contraloría No. 012-2012-CG de fecha 12.Ene.2012.
4.1.2.
ANTECEDENTES DE LA ENTIDAD La Municipalidad Provincial del Cusco es una entidad básica de la organización territorial del Estado y canal inmediato de participación vecinal en asuntos públicos, que institucionaliza y gestiona con autonomía, los intereses propios de la colectividad, en tal sentido deviene en elementos esenciales del gobierno local, el territorio, la población y la organización. Así mismo la Municipalidad Provincial del Cusco tiene personería jurídica de derecho público con autonomía política, económica y administrativa en las materias de su competencia La jurisdicción de la Municipalidad Provincial del Cusco es el ámbito territorial de la Provincia del Cusco, que comprende los Distritos de: Cusco, Ccorca, Poroy, Santiago, San Sebastián, San Jerónimo, Saylla y Wánchaq, La Municipalidad Provincial del Cusco goza de autonomía política, económica y administrativa en los asuntos de su competencia, de conformidad a lo establecido en la Constitución Política del Perú, a cuyo mandato ejerce actos de gobierno administrativos y de administración, con sujeción al ordenamiento jurídico. La Municipalidad Provincial del Cusco ejerce competencias y funciones que establece la Constitución Política del Estado, la Ley de Bases de la Descentralización, la Ley Orgánica de Municipalidades y demás disposiciones legales. Le corresponde a la Municipalidad Provincial del Cusco, ejercer las competencias Exclusivas y Compartidas señaladas en las leyes mencionadas.
4.1.3.
OBJETIVOS DE LA AUDITORIA INFORMATICA Objetivo General Revisar y Evaluar los controles, sistemas, procedimientos y la gestión de Equipos de Informática respecto al cumplimiento de metas, planes y normas vigentes, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. Objetivos Específicos 4.1.3.1. Evaluar el cumplimiento de las metas y objetivos formulados en el Plan Operativo e Indicadores de Gestión, Plan de Sistemas de Información y normativas vigentes aplicables al Equipo Informática. 4.1.3.2. Evaluar el mantenimiento y la capacitación en aspectos relacionados con los Sistemas de Información, Telecomunicaciones, Hardware y Software a utilizar en la Municipalidad Provincial del Cusco 4.1.3.3. Determinar el grado de seguridad física y lógica que custodia el Equipo Informática respecto al hardware y software de la empresa.
8
4.1.4.
ALCANCE DE LA AUDITORIA INFORMATICA En concordancia con los objetivos previstos, en la presente Auditoria que comprendió la revisión y evaluación selectiva del 01.Ene.2013 a la fecha, ala Gestión del Equipo Informática respecto al cumplimiento de metas, planes y normas vigentes, estandarización de procedimientos, así como su racionalidad en el uso de los recursos. Para efecto del desarrollo del presente examen, se aplicaron normas y criterios técnicos establecidos en las Normas de Auditoria Gubernamental (NAGU), aprobada con Resolución de Contraloría No. 162-95CG del 22.Set.1995 y su modificatoria Resolución de Contraloría No. 259-2000-CG del 07.Dic.2000; el Manual de Auditoria Gubernamental (MAGU), aprobado con Resolución de Contraloría No. 152-98-CG del 18.Dic.1998 y las Normas de Control Interno aprobadas con Resolución de Contraloría No. 3202006-CG del 30.Oct.2006, y de otros Procedimientos de Auditoria que se consideraron necesarios de acuerdo a las circunstancias. De acuerdo a los asuntos que serán examinados, se ha determinado evaluar selectivamente las operaciones realizadas en las siguientes unidades orgánicas:
Gerencia de Desarrollo y Recursos Humanos Equipo Informática
Gerencia de Logística y Servicios Equipo Planeamiento y Adquisición de Bienes Equipo Servicios Generales
4.1.5.
CRITERIOS DE AUDITORÍA A UTILIZAR Las principales disposiciones legales y reglamentación interna, que regula las actividades de las unidades orgánicas examinadas y que tienen relación con el alcance y objetivos de la presente acción de control, son entre otras las siguientes:
Norma Técnica Peruana “NTP -ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información. 2ª. Edición” en todas las
entidades integrantes del Sistema Nacional de Informática aprobada por Resolución Ministerial No. 246-2007-PCM de fecha de publicación 25.Ago.2007.
Normas y Procedimientos Internacionales basados en COBIT (Objetivos de Control para la Información y Tecnologías relacionadas), encargado de investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnología de información con autoridad, actualizados, de carácter internacional y aceptados generalmente para el uso cotidiano de Gerentes y auditores. Normas de Auditoria Gubernamental NAGU, aprobado con Resolución de Contraloría General de la República No. 259-2000-CG. del 13.Dic.2000. Normas de Control Interno para el Sector Público, aprobadas por Resolución de Contraloría No. 320-2006-CG de fecha de publicación 03.Nov.2006; y el Código Marco de Control Interno de las empresas del Estado aprobado mediante Acuerdo de Directorio No. 001-2006/028-FONAFE. Decreto Legislativo No. 822 del 23.Abr.1996, Ley sobre el Derecho de Autor. Resolución Ministerial No. 073-2004-PCM del 16.Mar.2004, Guía para la Administración Eficiente del Software Legal en la Administración Pública. Resolución Jefatural No. 229-95-INEI, que aprueba la Directiva No. 011-95-INEI/SJI “Recomendaciones Técnicas para la elaboración de Planes de Sistemas de Información en la Administración Pública” del 14.Set.1996.
9
Manual de Organización y Responsabilidades General (MORG), aprobado con Resolución de Gerencia General No. 505-2007-GG del 25.Jul.2006.
Manual de Auditoria Gubernamental MAGU, aprobado con Resolución de Contraloría General de la República No. 152-98-CG. del 18.Dic.1998.
Plan de la Gestión Corporativa de Tecnologías de Información y Comunicaciones para las empresas bajo el ámbito del FONAFE: Periodo 2008 _ 2011”, aprobado a través de la Resolución de Dirección Ejecutiva No. 059-2008/DE-FONAFE del 21.Oct.2008.
4.1.6.
RECURSOS DE PERSONAL La conformación del equipo de auditores designados para la realización del presente examen especial es el siguiente: Nombres y Apellidos
Cargo
Función
CPC. Enrique Gutiérrez Peralta
Gerente de Auditoría Interna
Gerente
ING. Alejandro Pérez Puma
Jefe de Equipo Auditoria
Supervisor
ING. Pedro Sánchez Ayala
Auditor Principal
Auditor Encargado
ING. Carlos Zapana Valencia
Especialista de Auditoria
Integrante
ING. Ebert Baca Zamalloa
Especialista de Auditoria
Integrante
4.1.7.
PRESUPUESTO DE TIEMPO Para el desarrollo del presente examen especial, si no se presentan imponderables y/o imprevistos, se estima la utilización de 70 días útiles, desde el 15 Enero al 02 de Junio 2013, desagregado en las siguientes actividades: Periodo
ETAPAS DE L A AU DI TORÍA
Planificación
Té rmi no
15/01/2013
25/01/2013
Total días úti les 10
Memorándum de Planeamiento
05
Programa de Auditoria
05
26/01/2013
Ej ecución de l a auditor ía de Sistemas
20/03/2013
53
Revisión de documentos
11
Constataciones Físicas
08
Proceso de Información
23
Comunicación de Hallazgos
06
Evaluación de Descargos
05
I ni cio
21/03/2013
I nforme Fi nal
02/06/2013
12
Elaboración del Informe
09
Sustentación del Informe
02
Elevación del Informe
01
TOTAL DE DÍAS ÚTIL ES
85
10
4.1.8.
INFORME A EMITIR Y FECHA DE ENTREGA Como resultado del examen especial, elaborado de acuerdo a las NAGU 4.10, 4.20, 4.30 y 4.40, se emitirá un informe que será elevado a la Gerencia de Auditoría Interna, para su aprobación y se estima presentar el informe final el 01de Junio del 2013, a las entidades siguientes:
Contraloría General de la República. FONAFE. Al Titular de la Entidad.
Cusco, 10 de Abril del 2013
ING. Pedro Sánchez Ayala Encargado de Comisión
ING. Alejandro Pérez Puma Supervisor de Comisión
El Gerente de Auditoría Interna aprueba el presente Plan de la Auditoria Informática a realizarse y luego de las coordinaciones previas hace suyo su contenido.
CPC. Enrique Gutiérrez Peralta Gerente de Auditoria Interna
11
Gerencia de Auditoría Interna
PROGRAMA DE AUDITORIA INFORMATICA “EVALUACION A LA GESTION DEL EQUIPO INFORMATICA. PERIODO 2013”
Nombre de la Entidad : Fecha de Ejecución : Alcance de la Auditoria Informática:
MUNICIPALIDAD PROVINCIAL DEL CUSCO Del 15.Ene. 2013 al 02.Jun.2013 Del 01.Ene.2013 al 31.Dic.2013
PROGRAMADO PROCEDIMIENTOS Nombr Fecha e
EJECUTADO Hecho Fecha Por
OBJETIVO GENERAL Revisar y Evaluar los controles, sistemas, procedimientos y la gestión de Equipos de Informática respecto al cumplimiento de metas, planes y normas vigentes, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. Procedimientos: PSA
15. Ene. 1. Remisión del Memorándum al Consejo Municipal de la P S A MUNICIPALIDAD PROVINCIAL DEL CUSCO donde se pone de conocimiento el inicio de la Auditoria Informática, solicitándole las facilidades del caso, para el logro de los objetivos de esta Comisión de Auditoria.
PSA CZV
17. Mar 2. Solicitud a las áreas pertinentes examinadas, información P S A 17. Mar documentada necesaria, para desarrollar el trabajo de campo. C Z V
PSA CZV EBZ
22. Mar 3. Realizar la Inspección de Campo a fin de poder realizar y P S A 22. Mar obtener información relevante, suficiente y competente que C Z V nos permita alcanzar el objetivo de esta actividad. EBZ
PSA
28.Mar
PSA
28.Mar
EBZ
02. Abri 5. Tomar muestras de la documentación a evaluar, de acuerdo a E B Z criterios de materialidad.
02 Abri
CZV EBZ
08. Abri 6. Aplicar procedimientos de Auditoria, para el desarrollo de la C Z V 08. Abri Auditoria Informática EBZ
4. Formular el Cuestionario de Control Interno.
OBJETIVOS ESPECIFICOS
12
15. Ene.
Ref. P/T
Objetivo Específico N° 1 1. Evaluar el cumplimiento de las metas y objetivos formulados en el Plan Operativo e Indicadores de Gestión, Plan de Sistemas de Información y normativas vigentes aplicables al Equipo Informática.
CZV
17. Mar
1.1 Revisar si se ha cumplido con las metas formuladas en C Z V 17. Mar el Plan Operativo e Indicadores.
CZV
21. Mar
1.2 Revisar y verificar si se ha cumplido con el Plan de C Z V 21. Mar Sistemas de Información.
CZV
24.Mar
1.3 Revisar si se realizó en cumplimiento con las normativas C Z V 24. .Mar principales vigentes aplicables al Equipo Informática.
CZV
01.Abri
1.4 Verificar la existencia de un planeamiento a mediano y C Z V 01. Abri largo plazo respecto a la adquisición y servicios que se realiza.
CZV
15.Abri
1.5 Verificar el grado de cumplimiento a la Guía para la C Z V 15. Abri Administración Eficiente del Software Legal en la Administración Pública, conforme a lo establecido en la Resolución Ministerial No. 073-2004-PCM del 16.Mar.2004. Objetivo Específico N° 2 2. Evaluar el mantenimiento y la capacitación en aspectos relacionados con los Sistemas de Información, Telecomunicaciones, Hardware y Software a utilizar en la Municipalidad Provincial del Cusco.
EBZ
20.Mar
2.1
Determinar el grado de la organización, y control del E B Z mantenimiento preventivo y correctivo de los equipos de cómputo y de telecomunicaciones de la Municipalidad.
20.Mar
EBZ
24.Mar
2.2 Verificar si la organización, control y evaluación de las E B Z acciones relacionadas con la administración, seguridad de las redes y bases de datos de información de la Gestión Municipal.
24.Mar
EBZ
30.Mar
2.3 Verificar si se efectúa campañas de difusión internas de la E B Z prohibición del uso indebido de software y capacitación del personal respecto al uso de determinados sistemas y/o programas.
30.Mar
Objetivo Específico N° 3 3. Determinar el grado de seguridad física y lógica que custodia el Equipo Informática respecto al hardware y software de la empresa. CZV
22. Abri
3.1 Revisar y evaluar la seguridad física de los equipos, C Z V 22. Abri programas y sistemas de la Municipalidad.
EBZ
25.Abri
3.2
Revisar y evaluar los aspectos técnicos respecto a las E B Z
13
25 Abri
adquisiciones y contrataciones de Hardware, Software y Sistemas de Información CZV
07.May
3.3
Verificar los procedimientos de control de operación, C Z V 07. May analizar su estandarización y evaluar el cumplimiento de los mismos.
EBZ
10. May
3.4 Verificar la forma como se administran los dispositivos E B Z de almacenamiento básico del área de Informática
10. May
CZV
13. May
3.5 Verificar las disposiciones y reglamentos que coadyuven C Z V al mantenimiento del orden dentro del departamento de cómputo.
13. May
EBZ
15. May
3.6 Verificar si el área de informática cuenta con un Plan de E B Z Contingencia, que permita garantizar la continuidad de las operaciones y la integridad de la información,
15. May
Cusco, 17 de Abril del 2013
ING. Pedro Sánchez Ayala Encargado de Comisión
ING. Alejandro Pérez Puma Supervisor de Comisión
El Gerente de Auditoría Interna aprueba el presente Plan de la Auditoria Informática a realizarse y luego de las coordinaciones previas hace suyo su contenido.
CPC. Enrique Gutiérrez Peralta Gerente de Auditoria Interna
14
ACTA DE VISITA INSPECTIVA “EVALUACION A LA GESTION DEL EQUIPO INFORMATICA. PERIODO 2013”
Gerencia de Auditoría Interna
ACTA DE VISITA INSPECTIVA “EVALUACION A LA GESTION DEL EQUIPO INFORMATICA. PERIODO 2013”
FECHA : 06 de Mayo 2013
Hora inicio: 09:00 am Hora Final: 12:30 am
Acta No.: 001
Lugar: Equipo Informático Participantes: Nombres y Apellidos ING. Pedro Sánchez Ayala ING. Carlos Zapana Valencia ING. Pol Ticona Gutiérrez
Equipos/Proyectos Equipo Auditoria Equipo Auditoria Equipo Informática
Cargo Encargado de Comisión Integrante de Comisión Jefe del Equipo Informática
Firma
Resumen: Como resultado de la inspección in situ en el Equipo Informática de la MUNICIPALIDAD PROVINCIAL DEL CUSCO de la utilización de los software adquiridos por la MUNICIPALIDAD DEL CUSCO, derivados del proceso de selección tipo ADS con No. 125-2012-MUNICIPALIDAD DE CUSCO que tuvo como objeto “Adquisición de Software” , se determinó que el nivel de Utilización de dicho software, se realiza tal como consta en el Anexo No. 1.
15
Anexo N° 1 Nivel de Utilización de los software adquiridos en el Ejercicio 2013 por la MUNICIPALIDAD PROVINCIAL DEL CUSCO.
onto djudicado Adquirido (Soles)
No. Producto
No. Licencias
01
SW. Control de Versiones 24,501.00 07.Ene.2013 PVCS
2
02
SW. PL7PRO
03
SW. Procesamiento Textos
04
SW. Adobe Page Maker
Utilización ersión Se utiliza Equipo (SI/No) 8.1.6
Nombre Trabajador
Si
2
Juan Peralta N.
Si
2
Juan Peralta N.
Si
6
Edilberto Sanchez H.
Si
2
Raul Gutierrez . O
9,548.17
07.Ene.2013
2
5,632.12
18.Ene.2013
6
14,420.00 26.Ene.2013
2
05
SW. De Ingeniería CAD 3D 95,125.12 20.Ene.2013 2009 en red
7
2009
Si
7
Raul Gutierrez .
06
Hojas de Calculo
6,231.00
5
2010
Si
5
Nino Perez J.
07
SW. Administración Web
62,221.00 19.Ene.2013
5
Si
5
Raul Gutierrez .O.
08
Gestion de Base de Datos
85,258.00 23.Feb.2013
6
Si
6
Pedro Gallardo T.
09
Aplicaciones Financieras
36,500.00 20. Ene. 2013
3
Si
3
Ronaldo Baca. K.
de
14. Ene. 2013
2010
Comentario
16
Gerencia de Auditoría Interna Memorando N°095-2013 – MAOF-CA A
:
Ing. Pol Ticona Gutiérrez Jefe del Equipo Informática
Asunto
:
Evaluación de la Estructura de Control Interno
Referencia
:
Plan Anual de Control 2013
Fecha
:
Cusco, 02 de mayo de 2013
Tengo a bien dirigirme a usted, a fin de solicitarle desarrollar el Cuestionario de Control Interno adjunto a este
Gerencia de Auditoría Interna Memorando N°095-2013 – MAOF-CA A
:
Ing. Pol Ticona Gutiérrez Jefe del Equipo Informática
Asunto
:
Evaluación de la Estructura de Control Interno
Referencia
:
Plan Anual de Control 2013
Fecha
:
Cusco, 02 de mayo de 2013
Tengo a bien dirigirme a usted, a fin de solicitarle desarrollar el Cuestionario de Control Interno adjunto a este documento, referido a la Auditoria de Sistemas denom inada “Evaluación a la Gestión del Equipo Informática, periodo 2013 ”; en donde se viene evaluando diversos aspectos relacionados a la Tecnología de Información y Comunicaciones (TIC). Agradeceremos remitir la información solicitada a la brevedad posible, para que de ésta manera podamos cumplir con la programación del Plan Anual de Control.
Atentamente,
ING. Alejandro Pérez Puma Jefe de Equipo Auditoria Supervisor de Comisión
Cc:/ File de Comisión MSH
17
Gerencia de Auditoría Interna
CUESTIONARIO DE AUDITORIA “EVALUACION A LA GESTION DEL EQUIPO INFORMATICA. PERIODO 2013”
Información del Entrevistado Apellidos y Nombres Cargo
: :
Ing. Pol Ticona Gutiérrez Jefe del Equipo Informática
Cuestionario
Si
No
El presente Cuestionario de Control Interno, deberá absolverse y sustentarse, adecuadamente mediante documentación pertinente, en virtud a los Objetivos Generales y Específicos establecidos a efectos que la Comisión Auditora, seguidamente proceda a corroborar las respuestas dadas por el área.
Objetivo General Revisar y Evaluar los controles, sistemas, procedimientos y la gestión de Equipos de Informática respecto al cumplimiento de metas, planes y normas vigentes, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.
Objetivos Específicos 1. Evaluar el cumplimiento de las metas y objetivos formulados en el Plan Operativo e Indicadores de Gestión, Plan de Sistemas de Información y normativas vigentes aplicables al Equipo Informática. Siendo las preguntas para este objetivo específico: ¿El Plan de Sistemas de Información actual tiene como alcance el periodo 2008-2012; en ese sentido, se cuenta con la planificación o propuesta del nuevo plan que abarque los años siguientes? Si es afirmativo, sustentar. ¿El Plan de Sistemas de Información y/o Plan Estratégico de Tecnologías de Información considera los proyectos que se ha desarrollado durante el año 2011 en la Entidad? Detallar. ¿Existe un procedimiento y/o metodología de administración de los Proyectos? Si es afirmativo, sustentar.
18
X
X
X
N/A
Comentarios
¿¿Las tareas y actividades en el Plan Operativo2011 han tenido la correspondiente y adecuada asignación de recursos? Detallar.
X
¿Se tiene implantada una metodología de desarrollo de sistemas de información soportada por herramientas de ayuda? ¿Cuenta con personal en el área designado con conocimiento y experiencia suficiente para cumplir con el trabajo y sobre todo alcanzar las metas propuestas? Si no es afirmativo, detallar limitaciones.
El proceso de recaudación y financiamiento es uno de los aspectos más importantes a considerar en la gestión municipal, ya que una buena recaudación no solo permite que funcione la municipalidad, sino que posibilita que los recursos sean invertidos en los sectores más necesitados.
X X
¿Existen sistemas que no hayan sido desarrollados por el Equipo Informática, sino por otras áreas dentro de la empresa? Si es afirmativo, adjuntar relación de sistemas e indicar el tratamiento que se le ha dado.
X
2. Evaluar el mantenimiento y la capacitación en aspectos relacionados con los Sistemas de Información, Telecomunicaciones, Hardware y Software a utilizar en la Municipalidad Provincial del Cusco. Siendo las preguntas para este objetivo específico: ¿Existe un Planeamiento a mediano y largo plazo por parte del Equipo Informática para la adquisición equipos de cómputo y de software legal en la Entidad?. Si es afirmativo, adjuntar el Plan ¿El personal del Equipo Informática capacita al personal usuario cuando se presenta cambios en los Sistemas de la empresa? Si es afirmativo, detallar. ¿Existe un organigrama con la estructura de organización del área? ¿Todas las actividades del Centro del área de informática están normadas mediante manuales, instructivos, normas, reglamentos, etc.? Si es afirmativo, adjuntar dichas normativas. ¿Existe guías, cartilla, artículos etc. aprobada por la entidad para dar de baja los equipos de cómputo. Indicar además donde se envían y/o custodia una vez dadas de baja?. .
Existe a mediano plazo para implementar para una óptima y adecuada atención al usuario
X
X X
X
X
3. Determinar el grado de seguridad física y lógica que custodia el Equipo Informática respecto al hardware y software de la empresa. Siendo las preguntas para este objetivo específico: ¿Son controladas las operaciones fuera de las horas laborales (horas extras)? Si es afirmativo, indicar por quien y cuales son dichas operaciones.
19
X
¿Se han adoptado medidas de seguridad en el departamento de sistemas de información?
X
¿Se ha dividido la responsabilidad para tener un mejor control de la seguridad?
X
¿Se registran las acciones de los operadores para evitar que realicen algunas pruebas que puedan dañar los sistemas?.
X
¿Se registran las acciones de los operadores para evitar que realicen algunas pruebas que puedan dañar los sistemas?.
X
¿Se ha instruido a estas personas sobre qué medidas tomar en caso de que alguien pretenda entrar sin autorización?
X
¿Existe vigilancia en el área de informática las 24 horas (cámaras de video, personal vigilancia, etc.?
X
¿Se han formulado Políticas respecto a la seguridad, privacidad y protección ante eventos, como: incendio, vandalismo, robo y uso indebido, intentos de violación?
X
¿Considera como riesgo latente la posible pérdida del ambiente del Centro de Cómputo ante un desastre natural? Si es afirmativo, detallar.
X
¿Considera adecuada la ubicación del área de informática de la ¿MUNICIPALIDAD DEL CUSCO?
X
¿Se cuenta con un Plan de Emergencia ? Si es afirmativo, adjuntar.
X
¿Se ha instruido a estas personas sobre qué medidas tomar en caso de que alguien pretenda entrar sin autorización?
X
¿Se ha adiestrado el personal en el manejo de los extintores?
X
¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores?
X
¿Se han contratado pólizas de seguros para proteger la información, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operación? Si es afirmativo, adjuntar copia.
X
¿Existe un programa de Mantenimiento Preventivo para cada dispositivo del sistema de cómputo? Si es afirmativo, detallar.
X
¿Existe un contrato de mantenimiento? Si es afirmativo, detallar.
X
¿Existe un período máximo de vida de las contraseñas?
X
¿Existe un Plan de implementación de las recomendaciones expuestas en la Norma Técnica Peruana NTP-ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de seguridad de la información aprobado a través de la Resolución Ministerial No. 246-2007PCM publicada en el Diario Oficial El Peruano el 25.Ago.2007?.
20
Cusco, 02 de Mayo de 2013
ING. Pedro Sánchez Ayala Encargado de Comisión
ING. Alejandro Pérez Puma Supervisor de Comisión
21
Gerencia de Auditoria Interna
CHECKLIST DE AUDITORIA “EVALUACION A LA GESTION DEL EQUIPO INFORMATICA. PERIODO 2013”
Información del Entrevistado Apellidos y Nombres: Ing. Pol Ticona Gutiérrez Cargo : Jefe del Equipo Informática Fecha : 15 Mayo .2013 Correo electrónico :
[email protected]
1.
Plataformas de Hardware y Software utilizados por la MUNICIPALIDAD PROVINCIAL DEL CUSCO Plataforma
Sistemas Operacionales Motores de Bases de Datos Software de Red. Equipos Activos de la Red Internet Intranet
Extranet Servidores de Correo Electrónico Firewalls Servidores de Archivo
Descripción
En ocasiones hay problemas con el acceso de información, es por ello que estos sistemas ayudan a tener una visión de 360º de cada usuario y en forma compartida Es el servicio principal para almacenar, procesar y proteger los datos En el software de red se incluyen programas relacionados con la interconexión de equipos informáticos, es decir, programas necesarios para que las redes de computadoras funcionen . Es un entorno de red basado en la tecnología Ethernet clásica de bus compartido, el análisis del tráfico de red se basa habitualmente en la utilización de sondas con interfaz Ethernet conectadas al bus Puede dirigirse a cualquier usuario, global, abierto a cualquiera que tenga una conexión y tiene distintos usos como recabar información de los productos, contactar con cualquier persona de la empresa, etc Las Intranet están restringidas a aquellas personas que están conectadas a la red privada de la empresa y permite el intercambio de información entre los trabajadores. La extranet se dirige a usuarios tanto de la empresa como externos, pero la información que se encuentra en la extranet es restringida, solo tienen acceso a esta red aquellos que tengan permiso. Tenemos los servidores POP3, IMAP, SMTP etc. Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra Cuando se envía un correo con un adjunto a un grupo de destinatarios, el usuario ve que desde su webmail sale su correo (un único correo). Esto para el servidor no es un "único correo", sino que es un correo por cada usuario.
22
Mainframes
Una computadora central (en inglés mainframe) es una computadora grande, potente y costosa usada principalmente por una gran compañía para el procesamiento de una gran cantidad de datos; por ejemplo, para el procesamiento de transacciones bancarias.
Minicomputares
Son computadoras que pueden tener varios procesadores y son utilizadas primordialmente en el sector manufacturero y financiero. También tienen aplicación en el manejo de bases de datos de información y se emplean para la administración de redes de computadoras.
Microcomputadores
Una microcomputadora es un tipo de computadora que utiliza un microprocesador como unidad central de procesamiento (CPU). Generalmente son computadoras que ocupan espacios físicos pequeños, comparadas a sus predecesoras históricas, las mainframes y las minicomputadoras E-business es la aplicación de las tecnologías de la información para facilitar la compraventa de productos, servicios e información a través de redes públicas basadas en estándares de comunicaciones Business Intelligence es la habilidad para transformar los datos en información, y la información en conocimiento, de forma que se pueda optimizar el proceso de toma de decisiones en los negocios Un Datawarehouse es una base de datos corporativa que se caracteriza por integrar y depurar información de una o más fuentes distintas, para luego procesarla permitiendo su análisis desde infinidad de pespectivas y con grandes velocidades de respuesta. La creación de un datawarehouse representa en la mayoría de las ocasiones el primer paso, desde el punto de vista técnico, para implantar una solución completa y fiable de Business Intelligence
E-business Business Intelligence Data Warehouse
2.
Relación de Aplicaciones (Portafolio) que cuenta la MUNICIPALIDAD PROVINCIAL DEL CUSCO y su importancia para la empresa. N°
Nombre de la Aplicación
1 2 3 4
Aplicaciones a abandonar o transformar a Medio o Largo Plazo Aplicaciones Críticas a Corto Plazo Aplicaciones Críticas a Medio o Largo Plazo Aplicaciones Válidas
Importancia para la Empresa 1 2 3 4 X X X
5
X
Nota: Importancia para los objetivos de la empresa. 5: Muy importante 4: Importante 3: Normal 2: Poco importante 1: Nada importante 3. Actividades de procesamiento de datos que se realiza la empresa MUNICIPALIDAD PROVINCIAL DEL CUSCO N°
Descripción
Marque con X
1
Grabación (captura de Datos)
X
1
Control de Entradas y Salidas.
X
23
2
Producción de información (Procesamiento y actualización de archivos).
3
Soporte a usuarios de microcomputadores y LANs.
4
Mantenimiento de hardware.
5
Administración de bases de datos (DBA)
6
Administración de la Seguridad lógica (controles de acceso)
7
Planeación estratégica de sistemas.
8
Definición e implementación de políticas de seguridad corporativas.
9
Análisis y Diseño de Sistemas.
10
Construcción de Programas (Elaboración de programas de computador).
11
Mantenimiento de Software Aplicativo
12
Administración de Telecomunicaciones.
13
QualityAssurance.
X
X
4. Servicios de procesamiento de datos que son contratados con terceros (Outsourcing). Marque con X X
N°
Descripción
1
Mantenimiento de hardware.
2
Administración de los Centros de Procesamiento de Datos
3
Grabación de Datos
4
Planeación estratégica de sistemas.
5
Proyectos de sistemas.
X
6
Planeación de Contingencias en Sistemas de Información.
X
7
Análisis y Diseño de Sistemas.
8
Programación de aplicaciones.
9
Mantenimiento de Software Aplicativo
X
10
Administración y soporte técnico en Telecomunicaciones.
X
11
QualityAssurance (Aseguramiento de calidad).
12
Seguridad en Sistemas de Información.
X
X
24
5. Módulos del Sistema Corporativo utilizado en la MUNICIPALIDAD PROVINCIAL DEL CUSCO N°
M arque con X
Descripción
1
Recaudación
X
2
Solicitudes de Servicios
X
3
Atención al usuario
X
4
Seguridad y Administración del sistema
X
5
Estadísticas
X
6
Cobranza
X
Cusco, 10 de Mayo de 2013
ING. Carlos Zapana Valencia Integrante
ING. Ebert Baca Zamalloa Integrante
ING. Pedro Sánchez Ayala Encargado de Comisión
ING. Alejandro Pérez Puma Supervisor de Comisión
25
V. CONCLUSIONES
Finalizado la Auditoria podemos ver que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditoria, encontrando en el Departamento de centro de cómputo deficiencias sobre todo en el debido cumplimiento de Normas de seguridad. Otra de las deficiencias que encontramos es la escasez de personal debidamente capacitado, cabe destacar que es una de las partes fundamentales que pudiera servir de gran apoyo a la organización, el cual no es explotado en su totalidad por falta de personal capacitado.
VI. RECOMENDACIONES
Se debe evaluar e implementar un software que permita mantener el resguardo de acceso de los archivos de programas y aún de los programadores, asi como implementar y conservar todas las documentaciones de prueba de los sistemas, como así también las modificaciones y aprobaciones de programas realizadas por los usuarios Señalamos que es muy importante contar con un de manual de funciones para cada puesto de trabajo dentro del área, asi cono la reactualizacion de datos e implantación de equipos de ultima generación
26
VII. REFERENCIAS BIBLIOGRAFICAS 1. http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica 2. http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml 3. http://www.dharma.es/index.php/auditoria-informatica/auditoria-informatica 4. http://www.lsi.us.es/docencia/pagina_asignatura.php?id=38 5. www.oocities.org/mx/acadentorno/aui1.pdf 6. www.fundetec.es/wp-content/.../02/AUDITORIA-INFORMATICA.doc 7. http://www.etsii.uah.es/master_etsii/especializacionADTIC/IAI/descripcionIAI.html 8. http://www.auditorinformatico.biz/ 9. http://www.infoskaind86.com/general/en-que-nos-beneficia-una-auditoria-informatica 10. http://www.municusco.gob.pe/web/index.php 11. http://www.mas-data.com/Pages/Sistemasoperacionales.aspx 12. http://technet.microsoft.com/es-es/library/ms187875.aspx 13. http://seguridaddelainformacion.bligoo.com/software-de-red 14. http://www.slideshare.net/HERBY7/equipos-activos-de-red 15. http://exposicion.bligoo.es/content/view/1351103/diferencias-entre-internet-intranet-extranet.html 16. http://www.desarrolloweb.com/articulos/513.php 17. http://www.ipcitec.freeservers.com/minicomp.html 18. http://www.alegsa.com.ar/Dic/microcomputadora.php 19. http://rusiaexport.wordpress.com/2008/03/21/e-businessdefinicion/ 20. http://www.sinnexus.com/business_intelligence/ 21. http://www.sinnexus.com/business_intelligence/datawarehouse.aspx
27
