Tarea-Academica Auditoria Informatica

TEMA

:

AUDITORIA INFORMATICA MUNICIPALIDAD PROVINCIAL DEL CUSCO

REALIZADO POR

:

JUVENAL CJUIRO FLORES

CUSCO - PERU

“EVALUACION A LA GESTION DEL EQUIPO INFORMATICA DE LA MUNICIPALIDAD PROVINCIAL DEL CUSCO PERIODO 2013”

2

INDICE “EVALUACION A LA GESTION DEL EQUIPO INFORMATICA DE LA MUNICIPALIDAD PROVINCIAL DEL CUSCO PERIODO 2013”  .............................................................................................. 2

INTRODUCCION .............................................................................................................................................. 4 3.1 3.2 3.3 3.4 3.5 3.6

Breve Reseña de la Organización ......................................................... ............................................ 4 Estructura Organizacional ........................................................ ...................................................... 5 Misión y Visión de la Organización ................................................................ ................................. 6 Objetivos Estratégicos................................................................ ....................................................... 6 Misión TI ..................................................... ................................................................. ...................... 6 Visión TI ...................................................... ................................................................. ...................... 6

3.7 FODA de TI (F: Fortaleza, O: Oportunidad, D: Debilidad, A: Amenaza) .................................. 7 PLAN DE AUDITORIA INFORMATICO .......................................................... ............................................ 8 4.1.1. ORIGEN DE LA AUDITORIA INFORMATICA .......................................................... ........... 8 4.1.2. ANTECEDENTES DE LA ENTIDAD....................................................... ................................. 8 4.1.3. OBJETIVOS DE LA AUDITORIA INFORMATICA .............................................................. 8 4.1.4. ALCANCE DE LA AUDITORIA INFORMATICA ................................................................ . 9 4.1.5. 4.1.6.

CRITERIOS DE AUDITORÍA A UTILIZAR ................................................................ ........... 9 RECURSOS DE PERSONAL .......................................................... .......................................... 10

4.1.7. 4.1.8.

PRESUPUESTO DE TIEMPO ........................................................ .......................................... 10 INFORME A EMITIR Y FECHA DE ENTREGA.................................................................. 11

PROGRAMA DE AUDITORIA INFORMATICA ....................................................................................... 12 ACTA DE VISITA INSPECTIVA .................................................................................................................. 15 CUESTIONARIO DE AUDITORIA .............................................................................................................. 18 CHECKLIST DE AUDITORIA ................................................................. ..................................................... 22 V. CONCLUSIONES.............................................................. ................................................................. ......... 26 VI. RECOMENDACIONES ............................................................. ............................................................... 26 VII. REFENCIAS BIBLIOGRAFICAS................................................................................................ ......... 27

3

INTRODUCCION

3.1 Breve Reseña de la Organización Considerando que el artículo 255 (inc. 4 y 1) de la Constitución Política dcl Perú, prescribe que las Municipalidades Provinciales tienen a su cargo las funciones de conservación de monumentos arqueológicos e históricos y de zonificación y urbanismo del territorio bajo su Jurisdicción; que el artículo 67 (inc. 11 y 12) de la Ley Orgánica de Municipalidades, establece como las funciones específicas de los Municipios, promover y asegurar la conservación y custodia del patrimonio cultural local, defender y conservar los monumentos arqueológicos, históricos y artísticos, así como restaurar el patrimonio histórico local y cuidar de su conservación; y que el Reglamento Nacional de Construcciones, señala en su art. IV -III-4 que es función de Entidades encargadas en coordinación con los Concejos Provinciales, formular ordenanzas y/o dictar disposiciones especiales en que se contemplen casos particulares de cada ciudad sus respectivas Zonas Monumentales, Ambientes Urbanos Monumentales y Monumentos, por lo que la MUNICIPALIDAD PROVINCIAL DEL CUSCO en base a dichos dispositivos, formula el CODIGO MUNICIPAL PARA LA PROTECCION DE LA CIUDAD HISTORICA DEL CUSCO como el instrumento técnico -legal que tiene por finalidad regir, regular, controlar y orientar los usos y funciones así como las acciones e intervenciones que se  proyecten o ejecuten en el ámbito geográfico de las zonas identificadas y que definen a la Ciudad

4

3.2 Estructura Organizacional

5

3.3 Misión y Visión de la Organización Misión La Municipalidad del Cusco como gobierno local es promotor del desarrollo integral, concertado y sostenible de su ámbito, para el logro de una mejor calidad de vida de su población.

Visión Municipalidad moderna, exitosa, participativa, eficiente y efectiva que trabaja con visión de futuro  preservando su ambiente y patrimonio cultural que goza de la confianza y credibilidad de su población. Provincia del Cusco al 2012, es el Centro Cultural Vivo de América en proceso de desarrollo sostenible, cuenta con un ambiente saludable, con expansión urbana y articulación vial planificada, con adecuado equipamiento e infraestructura de servicios de educación, salud, transporte y de recreación, con una economía competitiva e integrada a nivel local, nacional e internacional y con una población con identidad cultural que “La

ejercen sus deberes y derechos.”

3.4 Objetivos Estratégicos 1. Promover el desarrollo de las capacidades y potencialidades de los habitantes de la provincia, con una educación de calidad, asegurándose el acceso equitativo a los servicios de salud adecuado, seguridad y justicia. 2. Promover la creación de polos de desarrollo económico, descentralizado, planificado y concertado con el sector público y privado. 3. Promover la expansión urbana y articulación vial planificada con adecuado equipamiento e infraestructura, promoviendo la conservación de los recursos naturales y disminución de la contaminación ambiental. 4. Promover la renovación urbana, rescate, conservación y protección del patrimonio material e inmaterial. 5. Promover la participación ciudadana y el fortalecimiento de las instituciones representativas de la  provincia, teniendo como base las capacidades y potenciales locales.

3.5 Misión TI El área de Computo e Informática de la Municipalidad Provincial de Cusco, tiene por misión normar el adecuado uso y aprovechamiento de los recursos informáticos; la optimización de las actividades, servicios  procesos y acceso inmediato a información para la toma de decisiones, mediante el desarrollo, implantación y supervisión del correcto funcionamiento de los sistemas y comunicaciones, así como la adquisición y control de la plataforma física de computo.

3.6 Visión TI El Área de cómputo e Informática, de la Municipalidad Provincial Cusco, capaz de liderar el desarrollo informático, asegurando un marco transparente para el acceso a los ciudadanos a la información

6

3.7 FODA de TI (F: Fortaleza, O: Oportunidad, D: Debilidad, A: Amenaza) Fortalezas Disponibilidad de recursos económicos. Personal Directivo y técnico con amplia experiencia(recursos humanos) Capacidad de Convocatoria(Difusión)   

Oportunidades Búsqueda de reducción de costos, aprovechando la aparición de nuevas tecnologías. Buen servicio y trato. Tendencias Tecnológicas generan un amplio campo de acción Predisposición y voluntad de los nuevos directivos para cambio Tecnológico    

Debilidades Falta de planes y Programas Informáticos. Poca identificación del personal con la institución Inestabilidad laboral del personal Escasa capacidad de retención y voluntad del personal  No existe programas de capacitación y actualización al personal La oficina del Área de computo e informática muy reducido Personal técnico Calificado insuficiente en el área de computo       

Amenazas Rotación permanente del personal imposibilitando continuidad a los objetivos propuestos. Estandarizar y Uniformizar información relevante referente a los gobiernos locales.  

7

PLAN DE AUDITORIA INFORMATICO “EVALUACION A LA GESTION DEL EQUIPO INFORMATICA. PERIODO 2013”

4.1.1.

ORIGEN DE LA AUDITORIA INFORMATICA La Auditoria Informática se lleva a cabo en cumplimiento del Plan Anual de Control 2014 del Órgano de Control Institucional de la Municipalidad del Cusco, aprobado por la Contraloría General de la República, mediante Resolución de Contraloría No. 012-2012-CG de fecha 12.Ene.2012.

4.1.2.

ANTECEDENTES DE LA ENTIDAD La Municipalidad Provincial del Cusco es una entidad básica de la organización territorial del Estado y canal inmediato de participación vecinal en asuntos públicos, que institucionaliza y gestiona con autonomía, los intereses propios de la colectividad, en tal sentido deviene en elementos esenciales del gobierno local, el territorio, la población y la organización. Así mismo la Municipalidad Provincial del Cusco tiene personería jurídica de derecho público con autonomía política, económica y administrativa en las materias de su competencia La jurisdicción de la Municipalidad Provincial del Cusco es el ámbito territorial de la Provincia del Cusco, que comprende los Distritos de: Cusco, Ccorca, Poroy, Santiago, San Sebastián, San Jerónimo, Saylla y Wánchaq, La Municipalidad Provincial del Cusco goza de autonomía política, económica y administrativa en los asuntos de su competencia, de conformidad a lo establecido en la Constitución Política del Perú, a cuyo mandato ejerce actos de gobierno administrativos y de administración, con sujeción al ordenamiento  jurídico. La Municipalidad Provincial del Cusco ejerce competencias y funciones que establece la Constitución Política del Estado, la Ley de Bases de la Descentralización, la Ley Orgánica de Municipalidades y demás disposiciones legales. Le corresponde a la Municipalidad Provincial del Cusco, ejercer las competencias Exclusivas y Compartidas señaladas en las leyes mencionadas.

4.1.3.

OBJETIVOS DE LA AUDITORIA INFORMATICA Objetivo General Revisar y Evaluar los controles, sistemas, procedimientos y la gestión de Equipos de Informática respecto al cumplimiento de metas, planes y normas vigentes, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. Objetivos Específicos 4.1.3.1. Evaluar el cumplimiento de las metas y objetivos formulados en el Plan Operativo e Indicadores de Gestión, Plan de Sistemas de Información y normativas vigentes aplicables al Equipo Informática. 4.1.3.2. Evaluar el mantenimiento y la capacitación en aspectos relacionados con los Sistemas de Información, Telecomunicaciones, Hardware y Software a utilizar en la Municipalidad Provincial del Cusco 4.1.3.3. Determinar el grado de seguridad física y lógica que custodia el Equipo Informática respecto al hardware y software de la empresa.

8

4.1.4.

ALCANCE DE LA AUDITORIA INFORMATICA En concordancia con los objetivos previstos, en la presente Auditoria que comprendió la revisión y evaluación selectiva del 01.Ene.2013 a la fecha, ala Gestión del Equipo Informática respecto al cumplimiento de metas, planes y normas vigentes, estandarización de procedimientos, así como su racionalidad en el uso de los recursos. Para efecto del desarrollo del presente examen, se aplicaron normas y criterios técnicos establecidos en las Normas de Auditoria Gubernamental (NAGU), aprobada con Resolución de Contraloría No. 162-95CG del 22.Set.1995 y su modificatoria Resolución de Contraloría No. 259-2000-CG del 07.Dic.2000; el Manual de Auditoria Gubernamental (MAGU), aprobado con Resolución de Contraloría No. 152-98-CG del 18.Dic.1998 y las Normas de Control Interno aprobadas con Resolución de Contraloría No. 3202006-CG del 30.Oct.2006, y de otros Procedimientos de Auditoria que se consideraron necesarios de acuerdo a las circunstancias. De acuerdo a los asuntos que serán examinados, se ha determinado evaluar selectivamente las operaciones realizadas en las siguientes unidades orgánicas:

Gerencia de Desarrollo y Recursos Humanos Equipo Informática 

Gerencia de Logística y Servicios Equipo Planeamiento y Adquisición de Bienes Equipo Servicios Generales  

4.1.5.

CRITERIOS DE AUDITORÍA A UTILIZAR Las principales disposiciones legales y reglamentación interna, que regula las actividades de las unidades orgánicas examinadas y que tienen relación con el alcance y objetivos de la presente acción de control, son entre otras las siguientes: 

 Norma Técnica Peruana “NTP -ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de  buenas prácticas para la gestión de la seguridad de la información. 2ª. Edición” en todas las

entidades integrantes del Sistema Nacional de Informática aprobada por Resolución Ministerial No. 246-2007-PCM de fecha de publicación 25.Ago.2007. 











 Normas y Procedimientos Internacionales basados en COBIT (Objetivos de Control para la Información y Tecnologías relacionadas), encargado de investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnología de información con autoridad, actualizados, de carácter internacional y aceptados generalmente para el uso cotidiano de Gerentes y auditores.  Normas de Auditoria Gubernamental NAGU, aprobado con Resolución de Contraloría General de la República No. 259-2000-CG. del 13.Dic.2000.  Normas de Control Interno para el Sector Público, aprobadas por Resolución de Contraloría No. 320-2006-CG de fecha de publicación 03.Nov.2006; y el Código Marco de Control Interno de las empresas del Estado aprobado mediante Acuerdo de Directorio No. 001-2006/028-FONAFE. Decreto Legislativo No. 822 del 23.Abr.1996, Ley sobre el Derecho de Autor. Resolución Ministerial No. 073-2004-PCM del 16.Mar.2004, Guía para la Administración Eficiente del Software Legal en la Administración Pública. Resolución Jefatural No. 229-95-INEI, que aprueba la Directiva No. 011-95-INEI/SJI “Recomendaciones Técnicas para la elaboración de Planes de Sistemas de Información en la Administración Pública” del 14.Set.1996.

9

Manual de Organización y Responsabilidades General (MORG), aprobado con Resolución de Gerencia General No. 505-2007-GG del 25.Jul.2006.



Manual de Auditoria Gubernamental MAGU, aprobado con Resolución de Contraloría General de la República No. 152-98-CG. del 18.Dic.1998.



Plan de la Gestión Corporativa de Tecnologías de Información y Comunicaciones para las empresas bajo el ámbito del FONAFE: Periodo 2008 _ 2011”, aprobado a través de la Resolución de Dirección Ejecutiva No. 059-2008/DE-FONAFE del 21.Oct.2008.



4.1.6.

RECURSOS DE PERSONAL La conformación del equipo de auditores designados para la realización del presente examen especial es el siguiente:  Nombres y Apellidos

Cargo

Función

CPC. Enrique Gutiérrez Peralta

Gerente de Auditoría Interna

Gerente

ING. Alejandro Pérez Puma

Jefe de Equipo Auditoria

Supervisor

ING. Pedro Sánchez Ayala

Auditor Principal

Auditor Encargado

ING. Carlos Zapana Valencia

Especialista de Auditoria

Integrante

ING. Ebert Baca Zamalloa

Especialista de Auditoria

Integrante

4.1.7.

PRESUPUESTO DE TIEMPO Para el desarrollo del presente examen especial, si no se presentan imponderables y/o imprevistos, se estima la utilización de 70 días útiles, desde el 15 Enero al 02 de Junio 2013, desagregado en las siguientes actividades: Periodo

ETAPAS DE L A AU DI TORÍA 



Planificación

Té rmi no

15/01/2013

25/01/2013

Total días úti les 10



 Memorándum de Planeamiento

05



 Programa de Auditoria

05

26/01/2013

Ej ecución de l a auditor ía de Sistemas

20/03/2013

53



 Revisión de documentos

11



Constataciones Físicas

08



 Proceso de Información

23

Comunicación de Hallazgos

06

 Evaluación de Descargos

05







I ni cio

21/03/2013

I nforme Fi nal

02/06/2013

12



 Elaboración del Informe

09



Sustentación del Informe

02

 Elevación del Informe

01

TOTAL DE DÍAS ÚTIL ES

85



10

4.1.8.

INFORME A EMITIR Y FECHA DE ENTREGA Como resultado del examen especial, elaborado de acuerdo a las NAGU 4.10, 4.20, 4.30 y 4.40, se emitirá un informe que será elevado a la Gerencia de Auditoría Interna, para su aprobación y se estima  presentar el informe final el 01de Junio del 2013, a las entidades siguientes:   

Contraloría General de la República. FONAFE. Al Titular de la Entidad.

Cusco, 10 de Abril del 2013

ING. Pedro Sánchez Ayala Encargado de Comisión

ING. Alejandro Pérez Puma Supervisor de Comisión

El Gerente de Auditoría Interna aprueba el presente Plan de la Auditoria Informática a realizarse y luego de las coordinaciones previas hace suyo su contenido.

CPC. Enrique Gutiérrez Peralta Gerente de Auditoria Interna

11

Gerencia de Auditoría Interna

PROGRAMA DE AUDITORIA INFORMATICA “EVALUACION A LA GESTION DEL EQUIPO INFORMATICA. PERIODO 2013”

 Nombre de la Entidad : Fecha de Ejecución : Alcance de la Auditoria Informática:

MUNICIPALIDAD PROVINCIAL DEL CUSCO Del 15.Ene. 2013 al 02.Jun.2013 Del 01.Ene.2013 al 31.Dic.2013

PROGRAMADO PROCEDIMIENTOS  Nombr  Fecha e

EJECUTADO Hecho Fecha Por

OBJETIVO GENERAL Revisar y Evaluar los controles, sistemas, procedimientos y la gestión de Equipos de Informática respecto al cumplimiento de metas, planes y normas vigentes, su utilización, eficiencia y seguridad, de la organización que participan en el  procesamiento de información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. Procedimientos: PSA

15. Ene. 1. Remisión del Memorándum al Consejo Municipal de la P S A MUNICIPALIDAD PROVINCIAL DEL CUSCO donde se  pone de conocimiento el inicio de la Auditoria Informática, solicitándole las facilidades del caso, para el logro de los objetivos de esta Comisión de Auditoria.

PSA CZV

17. Mar 2. Solicitud a las áreas pertinentes examinadas, información P S A 17. Mar documentada necesaria, para desarrollar el trabajo de campo. C Z V

PSA CZV EBZ

22. Mar 3. Realizar la Inspección de Campo a fin de poder realizar y P S A 22. Mar obtener información relevante, suficiente y competente que C Z V nos permita alcanzar el objetivo de esta actividad. EBZ

PSA

28.Mar

PSA

28.Mar

EBZ

02. Abri 5. Tomar muestras de la documentación a evaluar, de acuerdo a E B Z criterios de materialidad.

02 Abri

CZV EBZ

08. Abri 6. Aplicar procedimientos de Auditoria, para el desarrollo de la C Z V 08. Abri Auditoria Informática EBZ

4. Formular el Cuestionario de Control Interno.

OBJETIVOS ESPECIFICOS

12

15. Ene.

Ref. P/T

Objetivo Específico N° 1 1. Evaluar el cumplimiento de las metas y objetivos formulados en el Plan Operativo e Indicadores de Gestión, Plan de Sistemas de Información y normativas vigentes aplicables al Equipo Informática.

CZV

17. Mar

1.1 Revisar si se ha cumplido con las metas formuladas en C Z V 17. Mar el Plan Operativo e Indicadores.

CZV

21. Mar

1.2 Revisar y verificar si se ha cumplido con el Plan de C Z V 21. Mar Sistemas de Información.

CZV

24.Mar

1.3 Revisar si se realizó en cumplimiento con las normativas C Z V 24. .Mar  principales vigentes aplicables al Equipo Informática.

CZV

01.Abri

1.4 Verificar la existencia de un planeamiento a mediano y C Z V 01. Abri largo plazo respecto a la adquisición y servicios que se realiza.

CZV

15.Abri

1.5 Verificar el grado de cumplimiento a la Guía para la C Z V 15. Abri Administración Eficiente del Software Legal en la Administración Pública, conforme a lo establecido en la Resolución Ministerial No. 073-2004-PCM del 16.Mar.2004. Objetivo Específico N° 2 2. Evaluar el mantenimiento y la capacitación en aspectos relacionados con los Sistemas de Información, Telecomunicaciones, Hardware y Software a utilizar en la Municipalidad Provincial del Cusco.

EBZ

20.Mar

2.1

Determinar el grado de la organización, y control del E B Z mantenimiento preventivo y correctivo de los equipos de cómputo y de telecomunicaciones de la Municipalidad.

20.Mar

EBZ

24.Mar

2.2 Verificar si la organización, control y evaluación de las E B Z acciones relacionadas con la administración, seguridad de las redes y bases de datos de información de la Gestión Municipal.

24.Mar

EBZ

30.Mar

2.3 Verificar si se efectúa campañas de difusión internas de la E B Z  prohibición del uso indebido de software y capacitación del personal respecto al uso de determinados sistemas y/o programas.

30.Mar

Objetivo Específico N° 3 3. Determinar el grado de seguridad física y lógica que custodia el Equipo Informática respecto al hardware y software de la empresa. CZV

22. Abri

3.1 Revisar y evaluar la seguridad física de los equipos, C Z V 22. Abri  programas y sistemas de la Municipalidad.

EBZ

25.Abri

3.2

Revisar y evaluar los aspectos técnicos respecto a las E B Z

13

25 Abri

adquisiciones y contrataciones de Hardware, Software y Sistemas de Información CZV

07.May

3.3

Verificar los procedimientos de control de operación, C Z V 07. May analizar su estandarización y evaluar el cumplimiento de los mismos.

EBZ

10. May

3.4 Verificar la forma como se administran los dispositivos E B Z de almacenamiento básico del área de Informática

10. May

CZV

13. May

3.5 Verificar las disposiciones y reglamentos que coadyuven C Z V al mantenimiento del orden dentro del departamento de cómputo.

13. May

EBZ

15. May

3.6 Verificar si el área de informática cuenta con un Plan de E B Z Contingencia, que permita garantizar la continuidad de las operaciones y la integridad de la información,

15. May

Cusco, 17 de Abril del 2013

ING. Pedro Sánchez Ayala Encargado de Comisión

ING. Alejandro Pérez Puma Supervisor de Comisión

El Gerente de Auditoría Interna aprueba el presente Plan de la Auditoria Informática a realizarse y luego de las coordinaciones previas hace suyo su contenido.

CPC. Enrique Gutiérrez Peralta Gerente de Auditoria Interna

14

ACTA DE VISITA INSPECTIVA “EVALUACION A LA GESTION DEL EQUIPO INFORMATICA. PERIODO 2013”

Gerencia de Auditoría Interna

ACTA DE VISITA INSPECTIVA “EVALUACION A LA GESTION DEL EQUIPO INFORMATICA. PERIODO 2013”

FECHA : 06 de Mayo 2013

Hora inicio: 09:00 am Hora Final: 12:30 am

Acta No.: 001

Lugar: Equipo Informático Participantes: Nombres y Apellidos ING. Pedro Sánchez Ayala ING. Carlos Zapana Valencia ING. Pol Ticona Gutiérrez

Equipos/Proyectos Equipo Auditoria Equipo Auditoria Equipo Informática

Cargo Encargado de Comisión Integrante de Comisión Jefe del Equipo Informática

Firma

Resumen: Como resultado de la inspección in situ en el Equipo Informática de la MUNICIPALIDAD PROVINCIAL DEL CUSCO de la utilización de los software adquiridos por la MUNICIPALIDAD DEL CUSCO, derivados del  proceso de selección tipo ADS con No. 125-2012-MUNICIPALIDAD DE CUSCO que tuvo como objeto “Adquisición de Software” , se determinó que el nivel de Utilización de dicho software, se realiza tal como consta en el Anexo No. 1.

15

Anexo N° 1 Nivel de Utilización de los software adquiridos en el Ejercicio 2013 por la MUNICIPALIDAD PROVINCIAL DEL CUSCO.

onto djudicado Adquirido (Soles)

 No. Producto

 No. Licencias

01

SW. Control de Versiones 24,501.00 07.Ene.2013 PVCS

2

02

SW. PL7PRO

03

SW. Procesamiento Textos

04

SW. Adobe Page Maker

Utilización ersión Se utiliza Equipo (SI/No) 8.1.6

Nombre Trabajador

Si

2

Juan Peralta N.

Si

2

Juan Peralta N.

Si

6

Edilberto Sanchez H.

Si

2

Raul Gutierrez . O

9,548.17

07.Ene.2013

2

5,632.12

18.Ene.2013

6

14,420.00 26.Ene.2013

2

05

SW. De Ingeniería CAD 3D 95,125.12 20.Ene.2013 2009 en red

7

2009

Si

7

Raul Gutierrez .

06

Hojas de Calculo

6,231.00

5

2010

Si

5

Nino Perez J.

07

SW. Administración Web

62,221.00 19.Ene.2013

5

Si

5

Raul Gutierrez .O.

08

Gestion de Base de Datos

85,258.00 23.Feb.2013

6

Si

6

Pedro Gallardo T.

09

Aplicaciones Financieras

36,500.00 20. Ene. 2013

3

Si

3

Ronaldo Baca. K.

de

14. Ene. 2013

2010

Comentario

16

Gerencia de Auditoría Interna Memorando N°095-2013 – MAOF-CA A

:

Ing. Pol Ticona Gutiérrez Jefe del Equipo Informática

Asunto

:

Evaluación de la Estructura de Control Interno

Referencia

:

Plan Anual de Control 2013

Fecha

:

Cusco, 02 de mayo de 2013

Tengo a bien dirigirme a usted, a fin de solicitarle desarrollar el Cuestionario de Control Interno adjunto a este

Gerencia de Auditoría Interna Memorando N°095-2013 – MAOF-CA A

:

Ing. Pol Ticona Gutiérrez Jefe del Equipo Informática

Asunto

:

Evaluación de la Estructura de Control Interno

Referencia

:

Plan Anual de Control 2013

Fecha

:

Cusco, 02 de mayo de 2013

Tengo a bien dirigirme a usted, a fin de solicitarle desarrollar el Cuestionario de Control Interno adjunto a este documento, referido a la Auditoria de Sistemas denom inada “Evaluación a la Gestión del Equipo Informática,  periodo 2013 ”; en donde se viene evaluando diversos aspectos relacionados a la Tecnología de Información y Comunicaciones (TIC). Agradeceremos remitir la información solicitada a la brevedad posible, para que de ésta manera podamos cumplir con la programación del Plan Anual de Control.

Atentamente,

ING. Alejandro Pérez Puma Jefe de Equipo Auditoria Supervisor de Comisión

Cc:/ File de Comisión MSH

17

Gerencia de Auditoría Interna

CUESTIONARIO DE AUDITORIA “EVALUACION A LA GESTION DEL EQUIPO INFORMATICA. PERIODO 2013”

Información del Entrevistado Apellidos y Nombres Cargo

: :

Ing. Pol Ticona Gutiérrez Jefe del Equipo Informática

Cuestionario

Si

No

El presente Cuestionario de Control Interno, deberá absolverse y sustentarse, adecuadamente mediante documentación pertinente, en virtud a los Objetivos Generales y Específicos establecidos a efectos que la Comisión Auditora, seguidamente proceda a corroborar las respuestas dadas por el área.

Objetivo General Revisar y Evaluar los controles, sistemas, procedimientos y la gestión de Equipos de Informática respecto al cumplimiento de metas, planes y normas vigentes, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.

Objetivos Específicos 1. Evaluar el cumplimiento de las metas y objetivos formulados en el Plan Operativo e Indicadores de Gestión, Plan de Sistemas de Información y normativas vigentes aplicables al Equipo Informática. Siendo las preguntas para este objetivo específico: ¿El Plan de Sistemas de Información  actual tiene como alcance el periodo 2008-2012; en ese sentido, se cuenta con la  planificación o propuesta del nuevo plan que abarque los años siguientes? Si es afirmativo, sustentar. ¿El Plan de Sistemas de Información  y/o Plan Estratégico de Tecnologías de Información considera los proyectos que se ha desarrollado durante el año 2011 en la Entidad? Detallar. ¿Existe un procedimiento y/o metodología de administración de los Proyectos? Si es afirmativo, sustentar.

18

X

X

X

N/A

Comentarios

¿¿Las tareas y actividades en el Plan Operativo2011 han tenido la correspondiente y adecuada asignación de recursos? Detallar.

X

¿Se tiene implantada una metodología de desarrollo de sistemas de información soportada por herramientas de ayuda? ¿Cuenta con personal en el área designado con conocimiento y experiencia suficiente para cumplir con el trabajo y sobre todo alcanzar las metas propuestas? Si no es afirmativo, detallar limitaciones.

El proceso de recaudación y financiamiento es uno de los aspectos más importantes a considerar en la gestión municipal, ya que una buena recaudación no solo permite que funcione la municipalidad, sino que  posibilita que los recursos sean invertidos en los sectores más necesitados.

X X

¿Existen sistemas que no hayan sido desarrollados por el Equipo Informática, sino por otras áreas dentro de la empresa? Si es afirmativo, adjuntar relación de sistemas e indicar el tratamiento que se le ha dado.

X

2. Evaluar el mantenimiento y la capacitación en aspectos relacionados con los Sistemas de Información, Telecomunicaciones, Hardware y Software a utilizar en la Municipalidad Provincial del Cusco. Siendo las preguntas para este objetivo específico: ¿Existe un Planeamiento a mediano y largo plazo por parte del Equipo Informática para la adquisición equipos de cómputo y de software legal en la Entidad?. Si es afirmativo, adjuntar el Plan ¿El personal del Equipo Informática capacita al personal usuario cuando se presenta cambios en los Sistemas de la empresa? Si es afirmativo, detallar. ¿Existe un organigrama con la estructura de organización del área? ¿Todas las actividades del Centro del área de informática están normadas mediante manuales, instructivos, normas, reglamentos, etc.? Si es afirmativo, adjuntar dichas normativas. ¿Existe guías, cartilla, artículos etc. aprobada por la entidad  para dar de baja los equipos de cómputo. Indicar además donde se envían y/o custodia una vez dadas de baja?. .

Existe a mediano plazo para implementar para una óptima y adecuada atención al usuario

X

X X

X

X

3. Determinar el grado de seguridad física y lógica que custodia el Equipo Informática respecto al hardware y software de la empresa. Siendo las preguntas para este objetivo específico: ¿Son controladas las operaciones fuera de las horas laborales (horas extras)? Si es afirmativo, indicar por quien y cuales son dichas operaciones.

19

X

¿Se han adoptado medidas de seguridad en el departamento de sistemas de información?

X

¿Se ha dividido la responsabilidad para tener un mejor control de la seguridad?

X

¿Se registran las acciones de los operadores para evitar que realicen algunas pruebas que puedan dañar los sistemas?.

X

¿Se registran las acciones de los operadores para evitar que realicen algunas pruebas que puedan dañar los sistemas?.

X

¿Se ha instruido a estas personas sobre qué medidas tomar en caso de que alguien pretenda entrar sin autorización?

X

¿Existe vigilancia en el área de informática las 24 horas (cámaras de video, personal vigilancia, etc.?

X

¿Se han formulado Políticas respecto a la seguridad, privacidad y protección ante eventos, como: incendio, vandalismo, robo y uso indebido, intentos de violación?

X

¿Considera como riesgo latente la posible pérdida del ambiente del Centro de Cómputo ante un desastre natural? Si es afirmativo, detallar.

X

¿Considera adecuada la ubicación del área de informática de la ¿MUNICIPALIDAD DEL CUSCO?

X

¿Se cuenta con un Plan de Emergencia ? Si es afirmativo, adjuntar.

X

¿Se ha instruido a estas personas sobre qué medidas tomar en caso de que alguien pretenda entrar sin autorización?

X

¿Se ha adiestrado el personal en el manejo de los extintores?

X

¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores?

X

¿Se han contratado pólizas de seguros para proteger la información, equipos, personal y todo riesgo que se produzca  por casos fortuitos o mala operación? Si es afirmativo, adjuntar copia.

X

¿Existe un programa de Mantenimiento Preventivo para cada dispositivo del sistema de cómputo? Si es afirmativo, detallar.

X

¿Existe un contrato de mantenimiento? Si es afirmativo, detallar.

X

¿Existe un período máximo de vida de las contraseñas?

X

¿Existe un Plan de implementación de las recomendaciones expuestas en la Norma Técnica Peruana NTP-ISO/IEC 17799:2007  EDI. Tecnología de la Información. Código de  buenas prácticas para la gestión de seguridad de la información aprobado a través de la Resolución Ministerial No. 246-2007PCM publicada en el Diario Oficial El Peruano el 25.Ago.2007?.

20

Cusco, 02 de Mayo de 2013

ING. Pedro Sánchez Ayala Encargado de Comisión

ING. Alejandro Pérez Puma Supervisor de Comisión

21

Gerencia de Auditoria Interna

CHECKLIST DE AUDITORIA “EVALUACION A LA GESTION DEL EQUIPO INFORMATICA. PERIODO 2013”

Información del Entrevistado Apellidos y Nombres: Ing. Pol Ticona Gutiérrez Cargo : Jefe del Equipo Informática Fecha : 15 Mayo .2013 Correo electrónico : [email protected]

1.

Plataformas de Hardware y Software utilizados por la MUNICIPALIDAD PROVINCIAL DEL CUSCO Plataforma

Sistemas Operacionales Motores de Bases de Datos Software de Red. Equipos Activos de la Red Internet Intranet

Extranet Servidores de Correo Electrónico Firewalls Servidores de Archivo

Descripción

En ocasiones hay problemas con el acceso de información, es por ello que estos sistemas ayudan a tener una visión de 360º de cada usuario y en forma compartida Es el servicio principal para almacenar, procesar y proteger los datos En el software de red se incluyen programas relacionados con la interconexión de equipos informáticos, es decir, programas necesarios  para que las redes de computadoras funcionen . Es un entorno de red basado en la tecnología Ethernet clásica de bus compartido, el análisis del tráfico de red se basa habitualmente en la utilización de sondas con interfaz Ethernet conectadas al bus Puede dirigirse a cualquier usuario, global, abierto a cualquiera que tenga una conexión y tiene distintos usos como recabar información de los productos, contactar con cualquier persona de la empresa, etc Las Intranet están restringidas a aquellas personas que están conectadas a la red privada de la empresa y permite el intercambio de información entre los trabajadores. La extranet se dirige a usuarios tanto de la empresa como externos,  pero la información que se encuentra en la extranet es restringida, solo tienen acceso a esta red aquellos que tengan permiso. Tenemos los servidores POP3, IMAP, SMTP etc. Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra Cuando se envía un correo con un adjunto a un grupo de destinatarios, el usuario ve que desde su webmail sale su correo (un único correo). Esto para el servidor no es un "único correo", sino que es un correo por cada usuario.

22

Mainframes

Una computadora central (en inglés mainframe) es una computadora grande, potente y costosa usada principalmente por una gran compañía para el procesamiento de una gran cantidad de datos; por ejemplo, para el procesamiento de transacciones bancarias.

Minicomputares

Son computadoras que pueden tener varios procesadores y son utilizadas primordialmente en el sector manufacturero y financiero. También tienen aplicación en el manejo de bases de datos de información y se emplean para la administración de redes de computadoras.

Microcomputadores

Una microcomputadora es un tipo de computadora que utiliza un microprocesador como unidad central de procesamiento (CPU). Generalmente son computadoras que ocupan espacios físicos  pequeños, comparadas a sus predecesoras históricas, las mainframes y las minicomputadoras E-business es la aplicación de las tecnologías de la información para facilitar la compraventa de productos, servicios e información a través de redes públicas basadas en estándares de comunicaciones Business Intelligence es la habilidad para transformar los datos en información, y la información en conocimiento, de forma que se  pueda optimizar el proceso de toma de decisiones en los negocios Un Datawarehouse es una base de datos corporativa que se caracteriza por integrar y depurar información de una o más fuentes distintas, para luego procesarla permitiendo su análisis desde infinidad de pespectivas y con grandes velocidades de respuesta. La creación de un datawarehouse representa en la mayoría de las ocasiones el primer paso, desde el punto de vista técnico, para implantar una solución completa y fiable de Business Intelligence

E-business Business Intelligence Data Warehouse

2.

Relación de Aplicaciones (Portafolio) que cuenta la MUNICIPALIDAD PROVINCIAL DEL CUSCO y su importancia para la empresa.  N°

Nombre de la Aplicación

1 2 3 4

Aplicaciones a abandonar o transformar a Medio o Largo Plazo Aplicaciones Críticas a Corto Plazo Aplicaciones Críticas a Medio o Largo Plazo Aplicaciones Válidas

Importancia  para la Empresa 1 2 3 4 X X X

5

X

 Nota: Importancia para los objetivos de la empresa. 5: Muy importante 4: Importante 3: Normal 2: Poco importante 1: Nada importante 3. Actividades de procesamiento de datos que se realiza la empresa MUNICIPALIDAD PROVINCIAL DEL CUSCO  N°

Descripción

 Marque con  X

1

Grabación (captura de Datos)

X

1

Control de Entradas y Salidas.

X

23

2

Producción de información (Procesamiento y actualización de archivos).

3

Soporte a usuarios de microcomputadores y LANs.

4

Mantenimiento de hardware.

5

Administración de bases de datos (DBA)

6

Administración de la Seguridad lógica (controles de acceso)

7

Planeación estratégica de sistemas.

8

Definición e implementación de políticas de seguridad corporativas.

9

Análisis y Diseño de Sistemas.

10

Construcción de Programas (Elaboración de programas de computador).

11

Mantenimiento de Software Aplicativo

12

Administración de Telecomunicaciones.

13

QualityAssurance.

X

X

4. Servicios de procesamiento de datos que son contratados con terceros (Outsourcing). Marque con X X

 N°

Descripción

1

Mantenimiento de hardware.

2

Administración de los Centros de Procesamiento de Datos

3

Grabación de Datos

4

Planeación estratégica de sistemas.

5

Proyectos de sistemas.

X

6

Planeación de Contingencias en Sistemas de Información.

X

7

Análisis y Diseño de Sistemas.

8

Programación de aplicaciones.

9

Mantenimiento de Software Aplicativo

X

10

Administración y soporte técnico en Telecomunicaciones.

X

11

QualityAssurance (Aseguramiento de calidad).

12

Seguridad en Sistemas de Información.

X

X

24

5. Módulos del Sistema Corporativo utilizado en la MUNICIPALIDAD PROVINCIAL DEL CUSCO N°

M arque con X

Descripción

1

Recaudación

X

2

Solicitudes de Servicios

X

3

Atención al usuario

X

4

Seguridad y Administración del sistema

X

5

Estadísticas

X

6

Cobranza

X

Cusco, 10 de Mayo de 2013

ING. Carlos Zapana Valencia Integrante

ING. Ebert Baca Zamalloa Integrante

ING. Pedro Sánchez Ayala Encargado de Comisión

ING. Alejandro Pérez Puma Supervisor de Comisión

25

V. CONCLUSIONES 



Finalizado la Auditoria podemos ver que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditoria, encontrando en el Departamento de centro de cómputo deficiencias sobre todo en el debido cumplimiento de Normas de seguridad. Otra de las deficiencias que encontramos es la escasez de personal debidamente capacitado, cabe destacar que es una de las partes fundamentales que pudiera servir de gran apoyo a la organización, el cual no es explotado en su totalidad por falta de personal capacitado.

VI. RECOMENDACIONES 



Se debe evaluar e implementar un software que permita mantener el resguardo de acceso de los archivos de programas y aún de los programadores, asi como implementar y conservar todas las documentaciones de prueba de los sistemas, como así también las modificaciones y aprobaciones de  programas realizadas por los usuarios Señalamos que es muy importante contar con un de manual de funciones para cada puesto de trabajo dentro del área, asi cono la reactualizacion de datos e implantación de equipos de ultima generación

26

VII. REFERENCIAS BIBLIOGRAFICAS 1. http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica 2. http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml 3. http://www.dharma.es/index.php/auditoria-informatica/auditoria-informatica 4. http://www.lsi.us.es/docencia/pagina_asignatura.php?id=38 5. www.oocities.org/mx/acadentorno/aui1.pdf  6. www.fundetec.es/wp-content/.../02/AUDITORIA-INFORMATICA.doc 7. http://www.etsii.uah.es/master_etsii/especializacionADTIC/IAI/descripcionIAI.html 8. http://www.auditorinformatico.biz/ 9. http://www.infoskaind86.com/general/en-que-nos-beneficia-una-auditoria-informatica 10. http://www.municusco.gob.pe/web/index.php 11. http://www.mas-data.com/Pages/Sistemasoperacionales.aspx 12. http://technet.microsoft.com/es-es/library/ms187875.aspx 13. http://seguridaddelainformacion.bligoo.com/software-de-red 14. http://www.slideshare.net/HERBY7/equipos-activos-de-red 15. http://exposicion.bligoo.es/content/view/1351103/diferencias-entre-internet-intranet-extranet.html 16. http://www.desarrolloweb.com/articulos/513.php 17. http://www.ipcitec.freeservers.com/minicomp.html 18. http://www.alegsa.com.ar/Dic/microcomputadora.php 19. http://rusiaexport.wordpress.com/2008/03/21/e-businessdefinicion/ 20. http://www.sinnexus.com/business_intelligence/ 21. http://www.sinnexus.com/business_intelligence/datawarehouse.aspx

27