Auditoria

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI A U D I T O R I A UNIVERSIDAD JOSE CARLOS MARIATEGUI ING. DE SISTEMAS E INFORMATICA I N F O R M A T I C A AUDITORIA INFORMATICA MUNICIPALIDAD PROVINCIAL MARISCAL NIETO • • • • • • INTEGRANTES: ORLANDO JIMMY MAMANI POMA MICHELLA AROHUANCA A. WILLY MAMANI CUTIPA CARMEN QUINONEZ MAYTA MADELEINE MUNOZ ORTEGA NELSSY POCOHUANCA TURPO AUDITORIA DE SISTEMAS 1 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI AUDITORIA DE SISTEMAS 2 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI CAPITULO I AUDITORIA INFORMATICA

AUDITORIA DE SISTEMAS 3 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI 1. TOMA DE CONTACTO 2. DEFINICION DEL ALCANCE. 3. RECURSOS Y TIEMPO. 4. PROGRAMA DE TRABAJO: RECOPILACION DE INFORMACION. 5. IDENTIFICACION DE RIESGOS POTENCIALES. 6. DEFINICION DE PRUEBAS. 7. OBTENCION DE RESULTADOS. 8. CONCLUSIONES Y COMENTARIOS. 9. REVISION Y CIERRE DE PAPELES DE TRABAJO. 10. PREPARACION DEL BORRADOR DEL INFORME. 11. DISCUSION DEL INFORME. 12. EMISION Y DISTRIBUCION. 13. PLAN DE MEJORAS. AUDITORIA DE SISTEMAS 4 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI

AUDITORIA INFORMATICA 1. 1. 1. ORIGEN DE LA AUDITORIA: La presente Auditoria se realiza en cumplimiento del Plan Anual de Control 2003, aprobada mediante Resolucion de Contraloria N° 235- 2002-CG del 15 de Diciembre del

Lo sentimos, pero las muestras de ensayos completos están disponibles solo para usuarios registrados

Elija un plan de membresía
2002. 1. 2. OBJETIVOS Y ALCANCE 1. 2. 1. OBJETIVO GENERAL Revisar y Evaluar los controles, sistemas, procedimientos de informatica; de los equipos de computo, su utilizacion, eficiencia y seguridad, de la organizacion que participan en el procesamiento de la informacion, a fin de que por medio el senalamiento de cursos alternativos se logre una utilizacion mas eficiente y segura de la informacion que servira para una adecuada toma de decisiones. 1. 2. 2. OBJETIVOS ESPECIFICOS Evaluar el diseno y prueba de los sistemas del area de Informatica Determinar la veracidad de la informacion del area de Informatica Evaluar los procedimientos de control de operacion, analizar su estandarizacion y evaluar el cumplimiento de los mismos. Evaluar la forma como se administran los dispositivos de almacenamiento basico del area de Informatica Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pcs.

Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro del departamento de computo. AUDITORIA DE SISTEMAS 5 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI 1. 3. ANTECEDENTES La convencion Nacional el 29 de Diciembre de 1857 aprueba la ley que es promulgada por el libertador Ramon Castilla disponiendo q el Dpto. de Moquegua, conformando por 04 provincias: Tacna, Arica, Tarapaca y Moquegua, entre otros Dptos. , procedan a constituir juntas electorales en las capitales de Dptos. provincias y distritos, para q se elijan las primeras Municipalidades establecidas por la constitucion. En la Capital de la Provincia de Moquegua, debian elegirse 11 Municipalidades, en el resto de la Provincia (Torata, Omate, Ubinas, Carumas, Puquina, Iloe Ichuna)el numero de Municipalidades variaban de 3 a 5 miembros. Exactamente no se conoce la fecha cuando comenzaron las funciones municipalidades en Moquegua, trabajo de investigacion historica que es necesario abocarse para que bajo su conocimiento se de luces perspectivas en el desenvolvimiento participatorio de la comunidad en el desarrollo de la municipalidad. Anteriormente, el gobierno local de la provincia de Mariscal Nieto-Moquegua ocupaba una casona ubicada en la calle Moquegua N° 851, inmueble cuya construccion data de 1799 y que fue donada a la Municipalidad de Moquegua el 05 de Setiembre de 1945. Actualmente la Municipalidad Provincial de Mariscal Nieto cuenta con una infraestructura moderna ubicada en la calle Ancash N° 275 1. 4. ENFOQUE A UTILIZAR

La presente accion de control, se realiza de acuerdo con el organismo central y rector de los Sistemas Nacionales de Estadistica e Informatica, responsable de normar, supervisar y evaluar los metodos, procedimientos y tecnicas estadisticas e informaticas utilizados por los organos del Sistema INEI (Instituto Nacional de Estadistica e Informatica), Normas Internacionales de Auditoria (NIA); habiendose aplicado procedimientos de Auditoria que se consideraron necesarios de acuerdo a las circunstancias. AUDITORIA DE SISTEMAS 6 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI

La presente Auditoria Informatica se realizara en la Municipalidad Provincial de Mariscal Nieto, ubicada en el Distrito de Moquegua, Provincia Mariscal Nieto Departamento de Moquegua, siendo el area a examinarse la de Informatica. 1. 5. RELACION DE FUNCIONARIOS O PERSONAL A CARGO DEL AREA A EXAMINAR Periodo de Gestion Apellidos Nombres Cervantes Games, Ivan Manchiria Zeballos, Victoria Velasquez Zapata, Sonia Gamez Villa, Celia Cargo Del Al Domicilio Jefe 01. 01. 03 30. 12. 03 Av. Balta N° 232 Planillas 01. 01. 03 30. 12. 03 Calle Lima N? 44 Calle Moquegua N° 145 Secretaria 01. 1. 03 30. 12. 03 Secretaria 01. 01. 03 30. 12. 03 Calle Lima N° 1420 1. 6. CRONOGRAMA DE TRABAJO PROGRAMA DE AUDITORIA EMPRESA: Municipalidad Provincial Mariscal Nieto FASE ACTIVIDAD HORAS ESTIMADAS I VISITA PRELIMINAR • • • FECHA: HOJA N° ENCARGADOS 8 HS. Solicitud de Manuales y Documentaciones. Elaboracion de los cuestionarios. Recopilacion de la informacion organizacional: estructura organica, recursos humanos, presupuestos. AUDITORIA DE SISTEMAS 7 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI II DESARROLLO DE LA AUDITORIA • • • • 32 HS. Aplicacion del cuestionario al personal.

Entrevistas a lideres y usuarios mas relevantes de la direccion. Analisis de las claves de acceso, control, seguridad, confiabilidad y respaldos. Evaluacion de la estructura organica: departamentos, puestos, funciones, autoridad y responsabilidades. • Evaluacion de los Recursos Humanos y de la situacion Presupuestal y Financiera: desempeno, capacitacion, condiciones de trabajo, recursos en materiales y financieros mobiliario y equipos. • Evaluacion de los sistemas: relevamiento de Hardware y Software, evaluacion del diseno logico y del desarrollo del sistema. •

Evaluacion del Proceso de Datos y de los Equipos de Computos: seguridad de los datos, control de operacion, seguridad fisica y procedimientos de respaldo. III REVISION Y PRE-INFORME • • • • 16 HS. Revision de los papeles de trabajo. Determinacion del Diagnostico e Implicancias. Elaboracion de la Carta de Gerencia. Elaboracion del Borrador. 4 HS. IV INFORME • Elaboracion y presentacion del Informe. AUDITORIA DE SISTEMAS 8 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI DIAGRAMA DE GANTT 1. 7. DOCUMENTOS A SOLICITAR Politicas, estandares, normas y procedimientos. Plan de sistemas.

Planes de seguridad y continuidad Contratos, polizas de seguros. Organigrama y manual de funciones. Manuales de sistemas. Registros Entrevistas Archivos Requerimientos de Usuarios 1. 8. EJECUCION DE LA REVISION ESTRATEGICA 1. 8. 1. CONOCIMIENTO INICIAL DE LA ENTIDAD AUDITORIA DE SISTEMAS 9 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI Anteriormente, el gobierno local de la provincia de Mariscal Nieto-Moquegua ocupaba una casona ubicada en la calle Moquegua N° 851, inmueble cuya construccion data de 1799 y que fue donada a la Municipalidad de Moquegua el 05 de Setiembre de 1945.

Actualmente la Municipalidad Provincial de Mariscal Nieto cuenta con una infraestructura moderna ubicada en la calle Ancash N° 275 1. 8. 2. AUTORIDADES DE LA MUNICIPALIDAD PROVINCIAL DE MARISCAL NIETO NOMBRE Dr. Vicente Antonio Zeballos Salinas Dr. Javier Flores Arocutipa Mag. Hilda Guevara Gomez CARGO Alcalde Vicerrector Decana de la Facultad de Ciencias de la Salud Decano de la Facultad de Ingenieria Decano de Cs. Juridicas, Empresariales y Pedagogicas. Ing. Oscar Paredes Vargas Mag. Victor Cornejo Rodriguez 1. 8. 3. PRINCIPALES ACTIVIDADES:

Acordar su regimen de Organo Interior Aprobar su presupuesto Aprobar sus Bienes y Rentas Crear, modificar, suprimir o examinar sus contribuciones, atribuciones y derecho, conforme a Ley. Organizar, Reglamentar y Administrar sus servicios publicos locales. AUDITORIA DE SISTEMAS 10 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI Contratar con otras entidades publicas y no publicas, preferentemente locales, la atencion de los servicios que no administraron directamente. Planificar el desarrollo de sus pueblos y ejecutar los planes correspondientes.

Examinar el cumplimiento de sus propias Normas, a traves de sus propios medios o con el auxiliar de las fuerzas policiales. Celebrar contratos con otros municipios para organizar servicios comunes. Promover y organizar la participacion de los vecinos en el desarrollo comunal. 1. 8. 4. FUNCIONES GENERALES Planificar, ejecutar e impulsar, a traves de los organos correspondientes, el conjunto de acciones destinadas a proporcionar al ciudadano, el ambiente adecuado para las satisfacciones de sus necesidades viales de vivienda, salubridad, abastecimiento, educacion, recreacion, transporte y comunicacion.

Formular el plan de desarrollo distrital en concordancia con las necesidades y requerimientos de la poblacion organizada y los planes de desarrollo nacional y regional. Conducir los programas de acondicionamiento territorial, vivienda y seguridad colectiva, conforme lo establece la ley organica de municipalidades, velando por su ejecucion. AUDITORIA DE SISTEMAS 11 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI COMISIONES ORDINARIAS CONSEJO MUNICIPAL CONSEJO DE COORDINACION PROVINCIAL CONSEJO DE COORDINACION DISTRITAL OFICINA DE AUDITORIA 1. 9. ORGANIGRAMA PROCURADURIA MUNICIPAL ALCALDIA JUNTA DE DELEGADOS VECINALES

COMITE MUNICIPAL DEFENSORIA DEL NINO Y DEL ADOLECENTE SUB GERENCIA SECRETARIA GENERAL SUB GERENCIA DE IMAGEN INSTITUCIONAL COMITE PROVINCIAL DE DEFENSA CIVIL GERENCIA MUNICIPAL COMITE DE DEFENSA DEL USUARIO SUB GERENCIA SUPERVISION SECRETARIA GENERAL SUB GERENCIA DE EJCUCION COACTIVA GERENCIA DE ASESORIA JURIDICA GERENCIA DE ADMINISTRACION GERENCIA DE ADMINISTRACION TRIBUTARIA GERENCIA DE FISCALIZACION Y PRESUPUESTO SUB GERENCIA DE CONTABILIDAD Y TESORERIA SUB GERENCIA DE RECABACION TRIBUTARIA SUB GERENCIA DE INVESTIGACION Y C. T. I. SUB GERENCIA DE LOGISTICA Y CONTROL PATRIMONIAL SUB GERENCIA DE FISCALIZACION TRIBUTARIA

SUB GERENCIA DE PLANIFICACION Y PRESIPUESTO SUB GERENCIA DE RECURSOS HUMANOS SUB GERENCIA DESARROLLO ORGANIZACION E INFORMATICA GERENCIA DE RECURSOS HUMANOS GERENCIA DE SERVICIOS A LA CIUDAD GERENCIA DE DESARROLLO ECONOMICO SOCIAL GERENCIA DE INVERSION SUB GERENCIA DE PRE INVERCION SUB GERENCIA PLANEAMIENTO Y CONTROL URBANO SUB GERENCIA DE SERVICIOS PUBLICOS SUB GERENCIA DE DESARROLLO ECONOMICO SUB GERENCIA DE INVERCION SUB GERENCIA TRANSPORTE Y SEGURIDAD VIAL SUB GERENCIA DE ABASTECIMIENTO Y COMERCIALIZACION SUB GERENCIA DE DESARROLLO SOCIAL UNIDAD OPERATIVA GRIFO MUNICIPAL SUB GERENCIA DE DESARROLLO AMBIENTAL

SUB GERENCIA DE SEGURIDAD CIUDADANA UNIDDA OPERATIVA SERVICIO MAQUINARIA Y EQUIPO ENTIDAD PRESTADORA DE SERVICIOS DE SANEAMIENTO UNIDAD OPERATIVA PANTA DE PREFABRICADOS 1. 10. MARCO LEGAL APLICABLE MUNICIPALIDADES DE CENTROS POBLADOS AUDITORIA DE SISTEMAS 12 COMITE ADMINISTRACION PROGRAMA VASO DE LECHE UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI La base normativa empleada esta compuesta por las Normas Internacionales de Auditoria (NIA? s) 1001 “Sistemas de Microcomputadoras”, 1002 “Sistemas de Microcomputadoras en Linea”, 1003 “Sistemas de Bases de Datos”, 1008 “Evaluacion de Riesgos y Control Interno” y el marco COBIT. . 11. SISTEMAS Y CONTROLES IDENTIFICADOS a) Control de Actividades y Operaciones. La Municipalidad Provincial de Mariscal Nieto a formulado el Reglamento de Organizacion y Funciones (ROF), Asimismo la entidad ha formulado el Manual de Organizacion y Funciones. b) Controles de Confiabilidad y Validez de la Informacion. Las funciones y responsabilidades de cada funcionario y/o directivo estan establecidas en el Reglamento General Interno, Reglamento de Organizacion y Funciones (ROF). 1. 12. OFICINA DE PLANEACION Y PRESUPUESTO 1. 12. 1. AREA DE COMPUTO E INFORMATICA

MISION El area de Computo e informatica de la municipalidad Provincial de Mariscal Nieto– Moquegua, tiene por mision normar el adecuado uso y aprovechamiento de los recursos informaticos; la optimizacion de las actividades, servicios procesos y acceso inmediato a informacion para la toma de decisiones, mediante el desarrollo, implantacion y supervision del correcto funcionamiento de los sistemas AUDITORIA DE SISTEMAS 13 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI y comunicaciones, asi como la adquisicion y control de la plataforma fisica de computo. VISION:

El Area de computo e informatica, de la Municipalidad Provincial Mariscal Nieto, capaz de liderar el desarrollo informatico, asegurando un marco transparente para el acceso a los ciudadanos a la informacion 1. 12. 2. SITUACION ACTUAL Ubicacion: El area de computo e informatica organicamente depende de la oficina de planificacion y presupuesto, asumiendo la responsabilidad de dirigir los procesos tecnicos de informatica Recursos Humanos: Actualmente en el area de computo e informatica labora una sola persona quien cumple las funciones de administracion, capacitacion, soporte y procesamiento de datos.

Recursos informaticos existentes: Servidores (Windows 2000 Server) Computadoras Personales Impresoras 1 2 1 1. 12. 3. OBJETIVOS: El area de Computo e informatica tiene los siguientes objetivos Sectoriales: AUDITORIA DE SISTEMAS 14 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI Apoyar a las Municipalidades Distritales de la Provincia de Mariscal Nieto. Estandarizar y Uniformizar informacion relevante referente a los gobiernos locales Brindar un mejor servicio a los usuarios de Moquegua, a traves de una pagina Web OBJETIVOS ESPECIFICOS (PRESUPUESTADOS): Equipamiento de la gestion Municipal.

Optimizar las aplicaciones existentes a satisfaccion de la municipalidad. Digitalizacion de Partidas de Nacimiento, Matrimonio y Defuncion Brindar acceso a Internet Diseno y elaboracion de paginas Web. Alojamiento y Mantenimiento de la Pagina Web. 1. 12. 4. ANALISIS FODA Fortalezas o o o Disponibilidad de recursos economicos. Personal Directivo y tecnico con amplia experiencia(recursos humanos) Capacidad de Convocatoria(Difusion) Oportunidades o Busqueda de reduccion de costos, aprovechando la aparicion de nuevas tecnologias. o o o Buen servicio y trato.

Tendencias Tecnologicas generan un amplio campo de accion Predisposicion y voluntad de los nuevos directivos para cambio Tecnologico AUDITORIA DE SISTEMAS 15 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI Debilidades o o o o o o o Falta de planes y Programas Informaticos. Poca identificacion del personal con la institucion Inestabilidad laboral del personal Escasa capacidad de retencion y voluntad del personal No existe programas de capacitacion y actualizacion al personal La oficina del Area de computo e informatica muy reducido Personal tecnico Calificado insuficiente en el area de computo

Amenazas o Rotacion permanente del personal imposibilitando continuidad a los objetivos propuestos. o Estandarizar y Uniformizar informacion relevante referente a los gobiernos locales. AUDITORIA DE SISTEMAS 16 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI PLAN DE AUDITORIA 2. 2. 1. METODOLOGIA La metodologia de investigacion a utilizar en el proyecto se presenta a continuacion: Para la evaluacion del Area de Informatica se llevaran a cabo las siguientes actividades:

Solicitud de los estandares utilizados y programa de trabajo Aplicacion del cuestionario al personal Analisis y evaluacion del a informacion Elaboracion del informe Para la evaluacion de los sistemas tanto en operacion como en desarrollo se llevaran a cabo las siguientes actividades: Solicitud del analisis y diseno del os sistemas en desarrollo y en operacion Solicitud de la documentacion de los sistemas en operacion (manuales tecnicos, de operacion del usuario, diseno de archivos y programas) Recopilacion y analisis de los procedimientos administrativos de cada sistema (flujo de informacion, formatos, reportes y consultas) Analisis de llaves, redundancia, control, seguridad, confidencial y respaldos Analisis del avance de los proyectos en desarrollo, prioridades y personal asignado Entrevista con los usuarios de los sistemas Evaluacion directa de la informacion obtenida contra las necesidades y requerimientos del usuario Analisis objetivo de la estructuracion y flujo de los programas Analisis y evaluacion de la informacion recopilada Elaboracion del informe Para la evaluacion de los equipos se llevaran a cabo las siguientes actividades: Solicitud de los estudios de viabilidad y caracteristicas de los equipos actuales, proyectos sobre ampliacion de equipo, su actualizacion AUDITORIA DE SISTEMAS 17 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI

Solicitud de contratos de compra y mantenimientos de equipo y sistemas Solicitud de contratos y convenios de respaldo Solicitud de contratos de Seguros Elaboracion de un cuestionario sobre la utilizacion de equipos, memoria, archivos, unidades de entrada/salida, equipos perifericos y su seguridad Visita tecnica de comprobacion de seguridad fisica y logica de la instalaciones de la Direccion de Informatica Evaluacion tecnica del sistema electronico y ambiental de los equipos y del local utilizado Evaluacion de la informacion recopilada, obtencion de graficas, porcentaje de utilizacion de los equipos y su justificacion Elaboracion y presentacion del informe final ( conclusiones y recomendaciones) 2. 2. JUSTIFICACION • • • • • • Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos) Desconocimiento en el nivel directivo de la situacion informatica de la empresa Falta total o parcial de seguridades logicas y fisicas que garanticen la integridad del personal, equipos e informacion. Descubrimiento de fraudes efectuados on el computador Falta de una planificacion informatica Organizacion que no funciona correctamente, falta de politicas, objetivos, normas, metodologia, asignacion de tareas y adecuada administracion del Recurso Humano • • Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados Falta de documentacion o documentacion incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en produccion 2. 3. MOTIVO O NECESIDAD DE UNA AUDITORIA INOFRMATICA: 2. 3. 1. Sintomas de descoordinacion y desorganizacion: AUDITORIA DE SISTEMAS 18 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI No coinciden los objetivos del area de Informatica y de la propia Institucion. Los estandares de productividad se desvian sensiblemente de los promedios conseguidos habitualmente.

Puede ocurrir con algun cambio masivo de personal, o en una reestructuracion fallida de alguna area o en la modificacion de alguna Norma importante 2. 3. 2. Sintomas de mala imagen e insatisfaccion de los usuarios: No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de software en los terminales de usuario, resfrecamiento de paneles, variacion de los ficheros que deben ponerse diariamente a su disposicion, etc. No se reparan las averias de hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que esta abandonado y desatendido permanentemente. No se cumplen en todos los casos los plazos de entrega de resultados periodicos.

Pequenas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones criticas y sensibles. 2. 3. 3. Sintomas de debilidades economico-financiero: Incremento desmesurado de costes. Necesidad de justificacion de Inversiones Informaticas (la empresa no esta absolutamente convencida de tal necesidad y decide contrastar opiniones). Desviaciones Presupuestarias significativas. Costes y plazos de nuevos proyectos (deben auditarse simultaneamente a Desarrollo de Proyectos y al organo que realizo la peticion). 2. 3. 4. Sintomas de Inseguridad: Evaluacion de nivel de riesgos Seguridad Logica Seguridad Fisica

AUDITORIA DE SISTEMAS 19 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI Confidencialidad Los datos son propiedad inicialmente de la organizacion que los genera. Los datos de personal son especialmente confidenciales AUDITORIA DE SISTEMAS 20 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI CAPITULO II AUDITORIAS AUDITORIA DE SISTEMAS 21 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI AUDITORIA FISICA 1. Alcance de la Auditoria • • • • Organizacion y cualificacion del personal de Seguridad. Remodelar el ambiente de trabajo. Planes y procedimientos. Sistemas tecnicos de Seguridad y Proteccion. 2. Objetivos Revision de las politicas y Normas sobre seguridad Fisica.

Verificar la seguridad de personal, datos, hardware, software e instalaciones Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informatico PREGUNTAS 1. ?Se han adoptado medidas de seguridad en el departamento de sistemas de informacion? 2. ?Existe una persona responsable de la seguridad? 3. ?Se ha dividido la responsabilidad para tener un mejor control de la seguridad? 4. ?Existe personal de vigilancia en la institucion? 5. ?Existe una clara definicion de funciones entre los puestos clave? 6. ?Se investiga a los vigilantes cuando son contratados directamente? 7. ?Se controla el trabajo fuera de horario? SI NO X X X N/A X X X X 8. Se registran las acciones de los operadores para evitar que realicen X algunas pruebas que puedan danar los sistemas?. 9. ?Existe vigilancia en el departamento de computo las 24 horas? 10. ?Se permite el acceso a los archivos y programas a los programadores, analistas y operadores? 11. ?Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda entrar sin autorizacion? X X X AUDITORIA DE SISTEMAS 22 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI 12. ?El centro de computo tiene salida al exterior? 13. ?Son controladas las visitas y demostraciones en el centro de computo? 14. ?Se registra el acceso al departamento de computo de personas ajenas a la direccion de informatica? 15. Se vigilan la moral y comportamiento del personal de la direccion de informatica con el fin de mantener una buena imagen y evitar un posible fraude? 16. ?Se ha adiestrado el personal en el manejo de los extintores? 17. ?Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? 18. ?Si es que existen extintores automaticos son activador por detectores automaticos de fuego? 19. ?Los interruptores de energia estan debidamente protegidos, etiquetados y sin obstaculos para alcanzarlos? 20. ?Saben que hacer los operadores del departamento de computo, en caso de que ocurra una emergencia ocasionado por fuego? 21. ?El personal ajeno a operacion sabe que hacer en el caso de una emergencia (incendio)? 22. Existe salida de emergencia? 23. ?Se revisa frecuentemente que no este abierta o descompuesta la cerradura de esta puerta y de las ventanas, si es que existen? 24. ?Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de emergencia? 25. ?Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del departamento de computo para evitar danos al equipo? 26. ?Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe? 27. ?Se cuenta con copias de los archivos en lugar distinto al de la computadora? 28. ?Se tienen establecidos procedimientos de actualizacion a estas copias? 29. Existe departamento de auditoria interna en la institucion? 30. ?Este departamento de auditoria interna conoce todos los aspectos de los sistemas? 31. ?Se cumplen? 32. ?Se auditan los sistemas en operacion? X X X X X X X X X X X X X X X X X X X X 33. Una vez efectuadas las modificaciones, ? se presentan las pruebas a X los interesados? 34. ?Existe control estricto en las modificaciones? X 35. ?Se revisa que tengan la fecha de las modificaciones cuando se X hayan efectuado? 36. ?Si se tienen terminales conectadas, ? se ha establecido procedimientos de operacion? 37. ?Se ha establecido que informacion puede ser acezada y por que persona? X X AUDITORIA DE SISTEMAS 23

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI Auditoria fisica: • Para hallar el SI 37 13 X = 31. 1 • Para hallar el NO 37 24 100% X 100% X X = 64. 86 LISTADO DE VERIFICACION DE AUDITORIA FISICA Gestion fisica de seguridad. 100% Excelente Los objetivos de la instalacion fisica De computo Las caracteristicas fisicas de son seguras de centro 80% Buena 60% Regular 40% Minimo 20% No cumple Los componentes fisicos de computo La conexiones de los equipos de las comunicaciones e instalaciones fisicas La infraestructura es El equipos es La distribucion de los quipos de computo es Evaluacion de analisis fisica de computo 100% 80% 60% 40% 20% AUDITORIA DE SISTEMAS 24

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI Excelente Evaluacion de la existencia y uso de normas, resolucion base legal para el diseno del centro de computo. El cumplimiento de los objetivos fundamentales de la organizacion para instalar del centro de computo. La forma de repartir los recursos informaticos de la organizacion. La confiabilidad y seguridades el uso de la informacion institucional La satisfaccion de las necesidades de poder computacional de la organizacion. La solucion a identificacion del centro de computo (apoyo). Bueno Regular Minimo No cumple Analisis de la delimitacion la manera en que se cumplen: 100% Excelente La delimitacion espacial, por las dimensiones fisicas. La delimitacion tecnologica, por los requerimientos y conocimientos informaticos.

Analisis de la estabilidad y el aprovechamiento de los recursos a para instalar el centro de computo. 100% Excelente Analisis de la transparencia del trabajo para los usuarios. La ubicacion del centro de computo Los requerimientos de seguridad del centro de computo Evaluacion del diseno segun el ambito 100% Excelente Analisis del ambiente de trabajo Evaluar el funcionamiento de los equipos El local para el trabajo es Los equipos cuentan con ventilacion 80% Bueno 60% Regular 40% Minimo 20% No cumple 80% Bueno 60% Regular 40% Minimo 20% No cumple 80% Bueno 60% Regular 40% Minimo 20% No cumple AUDITORIA DE SISTEMAS 25 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI La iluminacion

Analisis de la seguridad fisica 100% Excelente La seguridad de los equipos. El estado centro de computo esta en Los accesos de salida son 80% Bueno 60% Regular 40% Minimo 20% No cumple AUDITORIA DE SISTEMAS 26 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI INFORME DE AUDITORIA 1. Identificacion del informe Auditoria fisica. 2. Identificacion del Cliente El area de Informatica 3. Identificacion de la Entidad Auditada Municipalidad Provincial de Moquegua. 4. Objetivos Verificar la estructura de distribucion de los equipos. Revisar la correcta utilizacion de los equipos Verificar la condicion del centro de computo. 5. Hallazgos Potenciales Falta de presupuesto y personal.

Falta de un local mas amplio No existe un calendario de mantenimiento Falta de ventilacion. .faltan salida al exterior Existe salidas de emergencia. 6. Alcance de la auditoria Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado especialmente al Departamento de centro de computo de acuerdo a las normas y demas disposiciones aplicable al efecto. AUDITORIA DE SISTEMAS 27 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI 7. Conclusiones: • Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditoria. • El Departamento de centro de computo presenta deficiencias sobre todo en el debido cumplimiento de Normas de seguridad. 8.

Recomendaciones • • • • • • Reubicacion del local Implantacion de equipos de ultima generacion Implantar equipos de ventilacion Implantar salidas de emergencia. Elaborar un calendario de mantenimiento de rutina periodico . Capacitar al personal. 9. Fecha Del Informe PLANEAMIENTO FECHAS 01–10–04 al 15–10-04 EJECUCION 16-10–04 al 20–11-04 INFORME 23–11–04 al 28–11-04 10. Identificacion Y Firma Del Auditor APELLIDOS Y NOMBRES MAMANI CUTIPA WILY CARGO AUDITOR SUPERIOR AUDITORIA DE SISTEMAS 28 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI AUDITORIA DE LA OFIMATICA 1. Alcance de la Auditoria. • • • • Planes y procedimientos Politicas de Mantenimiento Inventarios Ofimaticos Capacitacion del Personal 2. Objetivos de la Auditoria. –

Realizar un informe de Auditoria con el objeto de verificar la existencia de controles preventivos, detectivos y correctivos, asi como el cumplimiento de los mismos por los usuarios. PREGUNTAS 1. ?Existe un informe tecnico en el que se justifique la adquisicion del equipo, software y servicios de computacion, beneficio? 2. ?Existe un comite que coordine y se incluyendo un estudio costo- SI NO N/A responsabilice de todo el proceso de adquisicion e instalacion? 3. ?Han elaborado un instructivo con procedimientos a seguir para la seleccion y adquisicion de equipos, programas y servicios computacionales? 4. ?se cuenta con software de oficina? 5. ?Se han efectuado las acciones necesarias para una mayor participacion de proveedores? AUDITORIA DE SISTEMAS 29

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI 6. ?Se ha asegurado un respaldo de mantenimiento y asistencia tecnica? 7. ?El acceso al centro de computo cuenta con las seguridades necesarias para reservar el ingreso al personal autorizado? 8. ?Se han implantado claves o password para garantizar operacion de consola y equipo central (mainframe), a personal autorizado? 9. ?Se han formulado politicas respecto a seguridad, privacidad y proteccion de las facilidades de procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de violacion? 10. ?Se mantiene un registro permanente (bitacora) de todos los procesos realizados, dejando onstancia de suspensiones o cancelaciones de procesos? 11. ?Los operadores del equipo central estan entrenados para recuperar o restaurar informacion en caso de destruccion de archivos? 12. ?Los backups son mayores de dos (padres e hijos) y se guardan en lugares seguros y adecuados, preferentemente en bovedas de bancos? 13. ?Se han implantado calendarios de operacion a fin de establecer prioridades de proceso? 14. ?Todas las actividades del Centro de Computo estan normadas mediante manuales, instructivos, normas, reglamentos, etc.? 15. ?Las instalaciones cuentan con sistema de alarma por presencia de fuego, humo, asi como extintores de incendio, conexiones electricas AUDITORIA DE SISTEMAS 30

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI seguras, entre otras? 16. ?Se han instalado equipos que protejan la informacion y los dispositivos en caso de variacion de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energia? 17. ?Se han contratado polizas de seguros para proteger la informacion, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operacion? 18. ?Se han Adquirido equipos de proteccion como supresores de pico, reguladores de voltaje y de ser posible UPS previo a la adquisicion del equipo? 19. ?Si se vence la garantia de mantenimiento del proveedor se contrata mantenimiento preventivo y correctivo? 20. Se establecen procedimientos para obtencion de backups de paquetes y de archivos de datos? 21. ?Se hacen revisiones periodicas y sorpresivas del contenido del disco para verificar la instalacion de aplicaciones no relacionadas a la gestion de la empresa? 22. ?Se mantiene programas y procedimientos de deteccion e inmunizacion de virus en copias no autorizadas o datos procesados en otros equipos? 23. ?Se propende a la estandarizacion del Sistema Operativo, software utilizado como procesadores de palabras, hojas electronicas, manejadores de base de datos y se mantienen actualizadas las versiones y la capacitacion sobre modificaciones incluidas? AUDITORIA DE SISTEMAS 31

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI 24. existen licencias Auditoria Ofimatica . • Para hallar el SI 24 15 X = 62. 5 • Para hallar el NO 24 7 100% X 100% X X = 18. 91 AUDITORIA DE SISTEMAS 32 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI INFORME DE AUDITORIA 1. Identificacion del informe Auditoria de la Ofimatica 2. Identificacion del Cliente El area de Informatica 3. Identificacion de la Entidad Auditada Municipalidad Provincial Mariscal Nieto 4. Objetivos • Verificar si el hardware y software se adquieren siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa. • • • Verificar si la eleccion de equipos y sistemas de computacion es adecuada Verificar la existencia de un plan de actividades previo a la instalacion Verificar que los procesos de compra de Tecnologia de Informacion, deben estar sustentados en Politicas, Procedimientos, Reglamentos y Normatividad en General, que aseguren que todo el proceso se realiza en un marco de legalidad y cumpliendo con las verdaderas necesidades de la organizacion para hoy y el futuro, sin caer en omisiones, excesos o incumplimientos. • • Verificar si existen garantias para proteger la integridad de los recursos informaticos. Verificar la utilizacion adecuada de equipos acorde a planes y objetivos. 5. Hallazgos Potenciales Falta de licencias de software.

Falta de software de aplicaciones actualizados No existe un calendario de mantenimiento ofimatico. Faltan material ofimatica. AUDITORIA DE SISTEMAS 33 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI Carece de seguridad en Acceso restringido de los equipos ofimaticos y software. 6. Alcance de la auditoria Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado especialmente al Departamento de centro de computo de acuerdo a las normas y demas disposiciones aplicable al efecto. El alcance ha de definir con precision el entorno y los limites en que va a desarrollarse la auditoria Ofimatica, se complementa con los objetivos de esta. 7. Conclusiones: •

Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditoria. • El Departamento de centro de computo presenta deficiencias sobre el debido cumplimiento de Normas de seguridad. • • La escasez de personal debidamente capacitado. Cabe destacar que la sistema ofimatico pudiera servir de gran apoyo a la organizacion, el cual no es explotado en su totalidad por falta de personal capacitado. 8. Recomendaciones • Se recomienda contar con sellos y firmas digitales Un de manual de funciones para cada puesto de trabajo dentro del area. Reactualizacion de datos. Implantacion de equipos de ultima generacion • • • AUDITORIA DE SISTEMAS 34 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI • •

Elaborar un calendario de mantenimiento de rutina periodico . Capacitar al personal. 9. Fecha Del Informe PLANEAMIENTO FECHAS 01–10–04 al 15–10-04 EJECUCION 16-10–04 al 20–11-04 INFORME 23–11–04 al 28–11-04 10. Identificacion Y Firma Del Auditor APELLIDOS Y NOMBRES QUINONEZ MAYTA CARMEN CARGO AUDITOR SUPERIOR AUDITORIA DE SISTEMAS 35 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI AUDITORIA DE LA DIRECCION 1. Alcance de la Auditoria. • • • • • • Organizacion y calificacion de la direccion de Informatica Plan Estrategico de Sistemas de Informacion. Analisis de puestos Planes y Procedimientos Normativa Gestion Economica. 2. Objetivos de la Auditoria. –

Realizar un informe de Auditoria con el objeto de verificar la adecuacion de las medidas aplicadas a las amenazas definidas, asi como el cumplimiento de los requisitos exigidos. 3. Resultados: Se obtendra: • • Informe de Auditoria detectando riesgos y deficiencias en la Direccion de Informatica. Plan de recomendaciones a aplicar en funcion de: o Normativa a cumplir PREGUNTAS 1. ?La direccion de los servicios de informacion desarrollan regularmente planes a corto, medio y largo plazo que apoyen el logro de la mision y las metas generales de la organizacion? 2. ?Dispone su institucion de un plan Estrategico de Tecnologia de Informacion? SI NO N/A AUDITORIA DE SISTEMAS 36

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI 3. ?Durante el proceso de planificacion, se presta adecuada atencion al plan estrategico de la empresa? 4. ?Las tareas y actividades en el plan tiene la correspondiente y adecuada asignacion de recursos? 5. ?Existe un comite de informatica? 6. ?Existen estandares de funcionamiento y procedimientos que gobiernen la actividad del area de Informatica por un lado y sus relaciones con los departamentos usuarios por otro? 7. ?Existen estandares de funcionamiento y procedimientos y descripciones de puestos de trabajo adecuados y actualizados? 8. ?Los estandares y procedimientos existentes promueven una filosofia adecuada de control? 9. Las descripciones de los puestos de trabajo reflejan las actividades realizadas en la practica? 10. ?La seleccion de personal se basa en criterios objetivos y tiene en cuenta la formacion, experiencia y niveles de responsabilidad? 11. ?El rendimiento de cada empleado se evalua regularmente en base a estandares establecidos? 12. ?Existen procesos para determinar las necesidades de formacion de los empleados en base a su experiencia? 13. ?Existen controles que tienden a asegurar que el cambio de puesto de trabajo y la finalizacion de los contratos laborales no afectan a los controles internos y a la seguridad informatica? 14. ?Existe un presupuesto economico? ?y hay un proceso para elaborarlo? AUDITORIA DE SISTEMAS 37

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI 15. ?Existen procedimientos para la adquisicion de bienes y servicios? 16. ?Existe un plan operativo anual? 17. ?Existe un sistema de reparto de costes informaticos y que este sea justo? 18. ?Cuentan con polizas de seguros? 19. ?Existen procedimientos para vigilar y determinar permanentemente la legislacion aplicable? OBJETIVOS • • • • • • • Determinacion de la utilidad de politicas, planes y procedimientos, asi como su nivel de cumplimiento Examinar el proceso de planificacion de sistemas de informacion y evaluar si cumplen los objetivos de los mismos. Verificar si el comite de Informatica existe y cumple su papel adecuadamente.

Revisar el emplazamiento del departamento de Informatica y evaluar su dependencia frente a otros. Evaluar la existencia de estandares de funcionamiento, procedimientos y descripciones de puestos de trabajo adecuados y actualizados. Evaluar las caracteristicas de la comunicacion entre la Direccion de Informatica y el personal del Departamento. Verificar la existencia de un sistema de reparto de costes informaticos y que este sea justo. AUDITORIA DE SISTEMAS 38 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI Auditoria Direccion . • Para hallar el SI 17 12 100% X X = 70. 58 • Para hallar el NO 17 5 100% X X = 29. 41 AUDITORIA DE SISTEMAS 39 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI AUDITORIA DE LA EXPLOTACION 1. Alcance de la Auditoria

Evaluacion del personal y coherencia de cargos de la propia institucion. Normas y Procedimientos del area de informatica 2. Objetivos Realizar un informe de Auditoria con el objeto de verificar la adecuacion de las funciones que sirven de apoyo a las tecnologias de la informacion. PREGUNTAS 1. ?existe personal con conocimiento y experiencia suficiente que organiza el trabajo para que resulte lo mas eficaz posible ? 2. ?existen procedimientos de salvaguardar, fuera de la instalacion en relacion con ficheros maestros manuales y programas, que permitan construir las operaciones que sean necesarias? 3. ?se aprueban por personal autorizado las solicitudes de nuevas aplicaciones? 4. existe personal con autoridad suficiente que es el que aprueba los cambios de unas aplicaciones por otras? 5. ?existen procedimientos adecuados para mantener la SI NO N/A documentacion al dia ? 6. ?tienen manuales todas las aplicaciones ? 7. ?existen controles que garanticen el uso adecuado de discos y cintas? 8. ?existen procedimientos adecuados para conectarce y desconectarce de los equipos remotos? AUDITORIA DE SISTEMAS 40 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI 9. ?se aprueban los programas nuevos y los que se revisan antes de ponerlos en funcionamiento? 10. ?revizan y evaluan los deparatamentop de usuario los resultados de las pruevas finales dando su aprobacion antes de poner en funcionamiento las aplicaciones ? 11. l poner en funcionamiento nuevas aplicaciones o versiones actualizada ? funcionan en paralelo las existentes durante un cierto tiempo? 1. ?Se restringe el acceso a los lugares asignados para guardar los dispositivos de almacenamiento, al personal autorizado? 2. ?Se tiene relacion del personal autorizado para firmar la salida de archivos confidenciales? 3. ?Existe un procedimiento para registrar los archivos que se prestan y la fecha en que se devolveran? 4. ?Se lleva control sobre los archivos prestados por la instalacion? 5. ?Se conserva la cinta maestra anterior hasta despues de la nueva cinta? 6. ?El cintotecario controla la cinta maestra anterior previendo su uso incorrecto o su eliminacion prematura? 7. La operacion de reemplazo es controlada por el cintotecario? 8. ?Se utiliza la politica de conservacion de archivos hijo-padreabuelo? 9. En los procesos que manejan archivos en linea, ? Existen procedimientos para recuperar los archivos? 10. ?Estos procedimientos los conocen los operadores? 11. ?Existe un responsable en caso de falla? AUDITORIA DE SISTEMAS 41 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI 12. ?Explique que politicas se siguen para la obtencion de archivos de respaldo? 13. ?Existe un procedimiento para el manejo de la informacion de la cintoteca? 14. ?Lo conoce y lo sigue el cintotecario? 15. ?Existe un programa de trabajo de captacion de datos? 16. se controla las entradas de documentos fuente? 17. ?Que cifras de control se obtienen? Sistema Cifras que se Observaciones Obtienen 18. ?existen documento de entrada se tienen? Sistemas Documentos Dpto. que periodicidad Observaciones proporciona el documento 19. ?Se anota que persona recibe la informacion y su volumen? 20. ?Se anota a que capturista se entrega la informacion, el volumen y la hora? 21. ?Se verifica la cantidad de la informacion recibida para su captura? 22. ?Se revisan las cifras de control antes de enviarlas a captura? 23. ?Para aquellos procesos que no traigan cifras de control se ha establecido criterios a fin de asegurar que la informacion es completa y valida? 24. Existe un procedimiento escrito que indique como tratar la informacion invalida (sin firma ilegible, no corresponden las cifras de control)? 25. En caso de resguardo de informacion de entrada en sistemas, ? Se custodian en un lugar seguro? 26. Si se queda en el departamento de sistemas, ? Por cuanto tiempo se guarda? AUDITORIA DE SISTEMAS 42 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI 27. ?Existe un registro de anomalias en la informacion debido a mala codificacion? 28. ?Existe una relacion completa de distribucion de listados, en la cual se indiquen personas, secuencia y sistemas a los que pertenecen? 29. ?Se verifica que las cifras de las validaciones concuerden con los documentos de entrada? Se hace una relacion de cuando y a quien fueron distribuidos los listados? 30. ?Se controlan separadamente los documentos confidenciales? 31. ?Se aprovecha adecuadamente el papel de los listados inservibles? 32. ?Existe un registro de los documentos que entran a capturar? 33. ?Se lleva un control de la produccion por persona? 34. ?existe parametros de control? Auditoria Explotacion: • Para hallar el SI 40 26 100% X X = 65 • Para hallar el NO 40 14 100% X X = 35 INFORME DE AUDITORIA AUDITORIA DE SISTEMAS 43 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI 1. Identificacion del informe Auditoria de la Explotacion 2. Identificacion del Cliente El area de Informatica 3.

Identificacion de la Entidad Auditada Municipalidad Provincial Mariscal Nieto 4. Objetivos • • • • Verificar el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta transmision de datos entre entornos diferentes. Verificar la existencia de normas generales escritas para el personal de explotacion en lo que se refiere a sus funciones Verificar la realizacion de muestreos selectivos de la Documentacion de las Aplicaciones explotadas. Verificar como se prepara, se lanza y se sigue la produccion diaria. Basicamente, la explotacion Informatica ejecuta procesos por cadenas o lotes sucesivos (Batch*), o en tiempo real (Tiempo Real*). • • Evaluar las relaciones personales y la coherencia de cargos y salarios, asi como la equidad en la asignacion de turnos de trabajo. Verificar la existencia de un responsable de Sala en cada turno de trabajo. Revisar la adecuacion de los locales en que se almacenan cintas y discos, asi como la perfecta y visible identificacion de estos medios 5. Hallazgos Potenciales • • • • Incumplimiento de plazos y calendarios de tratamientos y entrega de datos Inexistencia y falta de uso de los Manuales de Operacion Falta de planes de formacion No existe programas de capacitacion y actualizacion al personal 6. Alcance de la auditoria AUDITORIA DE SISTEMAS 44 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI

Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado especialmente al area de Informatica de acuerdo a las normas y demas disposiciones aplicable al efecto. 7. Conclusiones: • Como resultado de la Auditoria de la Seguridad realizada al Municipio, por el periodo comprendido entre el 01 de Setiembre al 24 de Diciembre del 2004, podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditoria. • El area de Informatica presenta deficiencias sobre todo en el debido cumplimiento de sus funciones y por la falta de ellos. 8. Recomendaciones • • • • Deberan realizarse muestreos selectivos de la Documentacion de las Aplicaciones explotadas Asignar un responsable del Centro de Computos en cada turno de trabajo.

Crear y hacer uso de manuales de operacion. Revisar los montajes diarios y por horas de cintas o cartuchos, asi como los tiempos transcurridos entre la peticion de montaje por parte del Sistema hasta el montaje real. • • Realizar funciones de operacion, programacion y diseno de sistemas deben estar claramente delimitadas. Crear mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operacion del computador y los operadores a su vez no conozcan la documentacion de programas y sistemas 9. Fecha Del Informe AUDITORIA DE SISTEMAS 45 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI PLANEAMIENTO EJECUCION INFORME FECHAS 1–10–04 al 15–10- 16-10–04 al 20–11- 23–11–04 al 28– 04 04 11-04 10. Identificacion Y Firma Del Auditor APELLIDOS Y NOMBRES AROHUANCA ANTAHUANACO MICHELLA CARGO AUDITOR SUPERIOR AUDITORIA DE SISTEMAS 46 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI AUDITORIA DEL DESARROLLO 1. Alcance de la Auditoria Conexiones Cifrado Salidas gateway y routers Correo Electronico Paginas WEB Firewalls 2. Objetivos revisar el cumplimiento del proceso completo de desarrollo de proyectos verificar las metodologias utilizadas verificar el control interno de las aplicaciones, satisfaccion de los usuarios y control de procesos y ejecuciones de programas criticos. Revisar el ciclo de desarrollo del software. PREGUNTAS 1. Existe el documento que contiene las funciones que son competencia del area de desarrollo, esta aprobado por la direccion de informatica y se respeta? SI NO N/A 2. ?se comprueban los resultados con datos reales? 3. ?Existe un organigrama con la estructura de organizacion del area? 4. ?Existe un manual de organizacion que regula las relaciones AUDITORIA DE SISTEMAS 47 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI entre puestos? 5. ?Existe la relacion de personal adscrito al area, incluyendo el puesto ocupado por cada persona? 6. ?El plan existe, es claro y realista? 7. ?Estan establecidos los procedimientos de promocion de personal a puestos superiores, teniendo en cuenta la experiencia y formacion? 8. El area de desarrollo lleva su propio control presupuestario? 9. ?Se hace un presupuesto por ejercicio y se cumple? 10. ?El presupuesto esta en concordancia con los objetivos a cumplir? 11. ?El personal de area de desarrollo cuenta con la formacion adecuada y son motivados para la realizacion de su trabajo? 12. ?Existen procedimientos de contratacion? 13. ?Las personas seleccionadas cumplen los requisitos del puesto al que acceden? 14. ?Las ofertas de puestos del area se difunden de forma suficiente fuera de la organizacion y las selecciones se hacen de forma objetiva? 15. ?Existe un plan de formacion que este en consonancia con los objetivos tecnologicos que se tenga en el area? 16. El plan de trabajo del area tiene en cuenta los tiempos de formacion? 17. ?Existe un protocolo de recepcion / abandono para las personas que se incorporan o dejan el area? 18. ?Existe un protocolo y se respeta para cada incorporacion / abandono? 19. ?En los abandonos del personal se garantiza la proteccion del AUDITORIA DE SISTEMAS 48 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI area? 20. ?Existe una biblioteca y una hemeroteca accesibles por el personal del area? 21. ?Esta disponible un numero suficiente de libros, publicaciones periodicas, monografias, de reconocido prestigio y el personal tiene acceso a ellos? 22. ?El personal esta motivado en la realizacion de su trabajo? 3. ?Existe algun mecanismo que permita a los empleados hacer sugerencias sobre mejoras en la organizacion del area? 24. ?Existe rotacion de personal y existe un buen ambiente de trabajo? 25. ?La realizacion de nuevos proyectos se basa en el plan de sistemas en cuanto a objetivos? 26. ?Las fechas de realizacion coinciden con los del plan de sistemas? 27. ?El plan de sistemas se actualiza con la informacion que se genera a lo largo de un proceso? 28. ?Los cambios en los planes de los proyectos se comunican al responsable de mantenimiento del plan de sistemas? 29. ?Existe un procedimiento para la propuesta de realizacion de nuevos proyectos? 30. Existe un mecanismo para registrar necesidades de desarrollo de nuevos sistemas? 31. ?Se respeta este mecanismo en todas las propuestas? 32. ?Existe un procedimiento de aprobacion de nuevos proyectos? 33. ?Existe un procedimiento para asignar director y equipo de desarrollo a cada nuevo proyecto? 34. ?Se tiene en cuenta a todas las personas disponibles cuyo perfil sea adecuado a los riesgos de cada proyecto y que tenga AUDITORIA DE SISTEMAS 49 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI disponibilidad para participar? 35. ?Existe un protocolo para solicitar al resto de las areas la participacion del personal en el proyecto y se aplica dicho protocolo? 36. Existe un procedimiento para conseguir los recursos materiales necesarios para cada proyecto? 37. ?Se tiene implantada una metodologia de desarrollo de sistemas de informacion soportada por herramientas de ayuda? 38. ?La metodologia cubre todas las fases del desarrollo y es adaptable a distintos tipos de proyectos? 39. ?La metodologia y las tecnicas asociadas a la misma estan adaptadas al entorno tecnologico y a la organizacion del area de desarrollo? 40. ?Existe un catalogo de las aplicaciones disponible en el area? 41. ?Existe un registro de problemas que se producen en los proyectos del area? 42. ?Existe un catalogo de problemas? 43. ?El catalogo es accesible para todos los miembros del area? 44. Se registran y controlan todos los proyectos fracasados? Auditoria Desarrollo: • Para hallar el SI 37 27 100% X X = 72. 97 AUDITORIA DE SISTEMAS 50 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI • Para hallar el NO 37 10 100% X X = 27. 02 INFORME DE AUDITORIA 1. Identificacion del informe Auditoria de Desarrollo 2. Identificacion del Cliente El area de Informatica 3. Identificacion de la Entidad Auditada Municipalidad Provincial Mariscal Nieto 4. Objetivos • • • • Verificar el cumplimiento de los proyectos en proceso. Revisar el cumplimiento de la normas generales Revisar los recursos de la organizacion Verificar los avances tecnologicos. 5. Hallazgos Potenciales • • • •

Incumplimiento de plazos y calendarios de tratamientos y entrega de datos Inexistencia y falta de uso de los Manuales de Operacion Falta de planes de formacion No existe programas de capacitacion y actualizacion al personal 6. Alcance de la auditoria AUDITORIA DE SISTEMAS 51 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado especialmente al area de Informatica de acuerdo a las normas y demas disposiciones aplicable al efecto. 7. Conclusiones: • • La municipalidad no desarrolla software de paliacion si no la adquiere. .se calificado el ciclo de desarrollo de los procesos de la entidad en su ambito de trabajo 8. Recomendaciones • • • •

Asignar un responsable un responsable para todos los procesos del Centro de Computos. Se debe asignar un grupo para el desarrollo de sofware. Crear y hacer uso de manuales de operacion. Realizar funciones de operacion, diseno de sistemas. 9. Fecha Del Informe PLANEAMIENTO EJECUCION INFORME FECHAS 01–10–04 al 15–10- 16-10–04 al 20–11- 23–11–04 al 28– 04 04 11-04 10. Identificacion Y Firma Del Auditor APELLIDOS Y NOMBRES CARGO AUDITORIA DE SISTEMAS 52 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI MUNOZ ORTEGA, MADELEINE. AUDITOR SUPERIOR AUDITORIA DEL MANTENIMIENTO 1. Alcance de la Auditoria. • • Planes y procedimientos de Mantenimiento Normativa 2.

Objetivos de la Auditoria. – Realizar un informe de Auditoria con el objeto de evaluar el mantenimiento correctivo y preventivo del software. 3. Referencia Legal: • Estandares – ISO/IEC 12207 – IEEE 1074 – IEEE 1219 – ISO/IEC 14764 PREGUNTAS 1. Existe un contrato de mantenimiento. SI NO N/A 2. ?Existe un programa de mantenimiento preventivo para cada dispositivo del sistema de computo? 3. ?Se lleva a cabo tal programa? 4. ?Existen tiempos de respuesta y de compostura estipulados en los contratos? AUDITORIA DE SISTEMAS 53 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI 5. Si los tiempos de reparacion son superiores a los estipulados en el contrato, ?

Que acciones correctivas se toman para ajustarlos a lo convenido? 6. ?Existe plan de mantenimiento preventivo. ? 7. ?Este plan es proporcionado por el proveedor? 8. ?Se notifican las fallas? 9. ?Se les da seguimiento? 10. ?Tiene un plan logistico para dar soporte al producto software? 11. ?Los requerimientos de mantenibilidad se incluyen en la Actividad de Iniciacion durante el Proceso de Adquisicion (ISO 12207) y se evalua durante el Proceso de Desarrollo? 12. ?Las variaciones en el diseno son supervisadas durante el desarrollo para establecer su impacto sobre la mantenibilidad? 13. ?Se realizan varios tipos de medidas para poder estimar la calidad del software? 14. La mantenibilidad se tiene en cuenta antes de empezar a desarrollar? 15. ?El desarrollador prepara un Plan de Mantenibilidad que establece practicas especificas de mantenibilidad, asi como recursos y secuencias relevantes de actividades? 16. ?Durante el analisis de requerimientos, los siguientes aspectos que afectan a la mantenibilidad, son tomados en cuenta? Identificacion y definicion de funciones, especialmente las opcionales. Exactitud y organizacion logica de los datos. Los Interfaces (de maquina y de usuario). Requerimientos de rendimiento. AUDITORIA DE SISTEMAS 54 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI Requerimientos (presupuesto). impuestos por el entorno

Granularidad (detalle) de los requerimientos y su impacto sobre la trazabilidad. Enfasis del Plan de Aseguramiento de Calidad del Software (SQAP) en el cumplimiento de las normas de documentacion 17. ?La transicion del software consiste en una secuencia controlada y coordinada de acciones para trasladar un producto software desde la organizacion que inicialmente ha realizado el desarrollo a la encargada del mantenimiento? 18. ?La responsabilidad del mantenimiento se transfiere a una organizacion distinta, se elabora un Plan de Transicion? ?que es lo que incluye este plan? La transferencia de hardware, software, datos y experiencia desde el desarrollador al mantenedor.

Las tareas necesarias para que el mantenedor pueda implementar una estrategia de mantenimiento del software. 19. ?El mantenedor a menudo se encuentra con un producto software con documentacion? 20. ?Si no hay documentacion, el mantenedor debera crearla? ?Realiza lo siguiente? a. Comprender el dominio del problema y operar con el producto software. b. Aprender la estructura y organizacion del producto software. c. Determinar que hace el producto software. Revisar las especificaciones (si las hubiera) 21. ?Documentos como especificaciones, manuales de mantenimiento para programadores, manuales de usuario o guias de instalacion pueden ser modificados o creados,

AUDITORIA DE SISTEMAS 55 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI si fuese necesario? 22. El Plan de Mantenimiento es preparado por el mantenedor durante el desarrollo del software. 23. ?Los elementos software reflejan la documentacion de diseno? 24. ?Los productos software fueron suficientemente probados y sus especificaciones cumplidas? 25. ?Los informes de pruebas son correctos y las discrepancias entre resultados actuales y esperados han sido resueltas? 26. ?La documentacion de usuario cumple los estandares especificados? 27. ?Los costes y calendarios se ajustan a los planes establecidos? Auditoria Mantenimiento: • Para hallar el SI 25 18 100% X

X = 72 • Para hallar el NO 25 7 100% X X = 28 AUDITORIA DE SISTEMAS 56 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI INFORME DE AUDITORIA 1. Identificacion del informe Auditoria del Mantenimiento 2. Identificacion del Cliente El area de Informatica 3. Identificacion de la Entidad Auditada Municipalidad Provincial Mariscal Nieto 4. Objetivos Revisar los contratos y las clausulas que esten perfectamente definidas en las cuales se elimine toda la subjetividad y con penalizacion en caso de incumplimiento, para evitar contratos que sean parciales. Verificar el cumplimiento del contrato sobre el control de fallas, frecuencia, y el tiempo de reparacion.

Diagnostico del sistema actual de mantenimiento. Verificar el montaje de metodos de recopilacion de informacion en areas especificas. Verificar la existencia de de planes estrategicos de desarrollo. Verificacion de la efectividad del mantenimiento actual y los desarrollos y programas proyectados. Verificar la optimizacion de almacenes y repuestos. 5. Hallazgos Potenciales Perdida de control Perdida de una fuente de aprendizaje, porque una actividad interna pasa a ser externa. Dependencias del suministrador. AUDITORIA DE SISTEMAS 57 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI Variaciones en la calidad del producto entregado al usuario final. Problemas entre el personal.

Uso de metodologias para nuevos desarrollos, pero ausencia de ellas para el mantenimiento. Tendencia a la desestructuracion Dificultad progresiva de modificacion Falta de presupuesto Falta de personal Falta de apoyo de la Direccion 6. Alcance de la auditoria Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado especialmente al area de Informatica de acuerdo a las normas y demas disposiciones aplicable al efecto. 7. Conclusiones: • Como resultado de la Auditoria del Mantenimiento realizada al Municipio, por el periodo comprendido entre el 01 de Setiembre al 24 de Diciembre del 2004, podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditoria. •

El area de Informatica presenta deficiencias sobre todo en el debido cumplimiento de sus funciones y por la falta de ellos. 8. Recomendaciones Modificacion de un producto software, o de ciertos componentes, usando para el analisis del sistema existente tecnicas de Ingenieria Inversa y, para la etapa de reconstruccion, herramientas de Ingenieria Directa, de tal manera que se oriente este cambio hacia mayores niveles de facilidad en cuanto a mantenimiento, reutilizacion, comprension o evolucion. AUDITORIA DE SISTEMAS 58 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI Categorizar los tipos de mantenimiento del software y para cada tipo planificar las actividades y tareas a realizar.

Elaborar un procedimiento organizado para realizar la migracion de un producto software desde un entorno operativo antiguo a otro nuevo. Establecer un acuerdo o contrato de mantenimiento entre el mantenedor y el cliente y las obligaciones de cada uno estos. Elaborar un plan de mantenimiento que incluya el alcance del mantenimiento, quien lo realizara, una estimacion de los costes y un analisis de los recursos necesarios. 9. Fecha Del Informe PLANEAMIENTO EJECUCION INFORME FECHAS 01–10–04 al 15–10- 16-10–04 al 20–11- 23–11–04 al 28– 04 04 12-04 10. Identificacion Y Firma Del Auditor APELLIDOS Y NOMBRES CARGO QUINONEZ MAYTA, CARMEN AUDITOR SUPERIOR AUDITORIA DE SISTEMAS 59 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI AUDITORIA DE BASE DE DATOS 1. Alcance de la auditoria:

Esta auditoria comprende solamente al area de cetro de computo de la municipalidad de mariscal nieto, con respecto al cumplimiento del proceso «De Gestion administracion de la Base de Datos » de la de manera que abarca la explotacion, mantenimiento, diseno carga, post implementacion, Los sistemas de gestion de base de datos (SGBD), software de auditoria , sistema operativo protocolos y sistemas distribuidos. 2. Objetivos ”Verificar la responsabilidad para la planificacion de planillas y control de los activos de datos de la organizacion” (administrador de datos) “Verificar la responsabilidad de la administracion del entorno de la base de datos” (administrador de la base de datos) Proporcionar servicios de apoyo en aspectos de organizacion y metodos, mediante la definicion, implantacion y actualizacion e Base de Datos y/o procedimientos administrativos con la finalidad de contribuir a la eficiencia PREGUNTAS 1. Existe equipos o software de SGBD 2. La organizacion tiene un sistema de gestion de base de datos (SGBD) 3. Los datos son cargados correctamente en la interfaz grafica 4. Se verificara que los controles y relaciones de datos se realizan de acuerdo a Normalizacion libre de error 5. Existe personal restringido que tenga acceso a la BD 6. El SGBD es dependiente de los servicios que ofrece el Sistema Operativo SI NO N/A AUDITORIA DE SISTEMAS 60 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI 7. La interfaz que existe entre el SGBD y el SO es el adecuado 8. ?Existen procedimientos formales para la operacion del SGBD? 9. Estan actualizados los procedimientos de SGBD? 10. ?La periodicidad de la actualizacion de los procedimientos es Anual ? 11. ?Son suficientemente claras las operaciones que realiza la BD? 12. ?Existe un control que asegure la justificacion de los procesos en el computador? (Que los procesos que estan autorizados tengan una razon de ser procesados) 13. ?Se procesa las operaciones dentro del departamento de computo? 14. ?Se verifican con frecuencia la validez de los inventarios de los archivos magneticos? 15. ?Existe un control estricto de las copias de estos archivos? 16. ?Se borran los archivos de los dispositivos almacenamiento, cuando se desechan estos? de 17. Se registran como parte del inventario las nuevas cintas magneticas que recibe el centro de computo? 18. ?Se tiene un responsable del SGBD? 19. ?Se realizan auditorias periodicas a los medios de almacenamiento? 20. ?Se tiene relacion del personal autorizado para manipular la BD? 21. ?Se lleva control sobre los archivos trasmitidos por el sistema? 22. ?Existe un programa de mantenimiento preventivo para el dispositivo del SGBD? 23. ?Existen integridad de los componentes y de seguridad de datos? AUDITORIA DE SISTEMAS 61 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI 24. De acuerdo con los tiempos de utilizacion de cada dispositivo del sistema de computo, ? xiste equipo capaces que soportar el trabajo? 25. ?El SGBD tiene capacidad de teleproceso? 26. ?Se ha investigado si ese tiempo de respuesta satisface a los usuarios? 27. ?La capacidad de almacenamiento maximo de la BD es suficiente para atender el proceso por lotes y el proceso remoto? Auditoria Explotacion: • Para hallar el SI 24 19 100% X X = 79. 16 • Para hallar el NO 24 100% 5 X X = 20. 83 AUDITORIA DE SISTEMAS 62 UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI INFORME DE AUDITORIA 1. Identificacion del informe Auditoria de Base de Datos. 2. Identificacion del Cliente El area de Informatica 3. Identificacion de la Entidad Auditada Municipalidad Provincial de Moquegua. 4. Objetivos

Evaluar el tipo de Base de Datos, relaciones, plataforma o sistema operativo que trabaja, llaves, administracion y demas aspectos que repercuten en su trabajo. Revisar del software institucional para la administracion de la Base de Datos. Verificar la actualizacion de la Base de Datos. Verificar la optimizacio