UNIVERSIDAD PERUANA LOS ANDES FACULTAD DE INGENIERA CARRERA PROFESIONAL DE INGENIERA DE SISTEMAS Y COMPUTACIN

UNIVERSIDAD PERUANA LOS ANDESFACULTAD DE INGENIERACARRERA PROFESIONAL DE INGENIERA DE SISTEMAS Y COMPUTACIN

INFORME TCNICO AUDITORA DEL DESARROLLO DE SISTEMAS DE INFORMACIN EN EL GOBIERNO REGIONAL DE JUNN PRESENTADO POR: CHRISTIAN PERCY, QUISPE HUAMN PARA OPTAR EL TTULO PROFESIONAL DE: INGENIERO DE SISTEMAS Y COMPUTACIN

RESUMEN

La Auditoria del desarrollo de sistemas en la Oficina Regional de Desarrollo Institucional y Tecnologa de la Informacin - ORDITI del Gobierno Regional de Junn, que se realiz utilizando COBIT (Objetivos de Control para tecnologa de informacin), nos permite realizar un examen crtico para evaluar la eficiencia y eficacia de los procesos informticos. En el Captulo I se definen las generalidades del presente informe y los objetivos que se busca lograr. En el Captulo II se presenta el marco terico describiendo los temas conceptuales del presente informe tanto de la metodologa como de los aspectos tcnicos. En el Captulo III se desarrolla la metodologa a utilizar en el proyecto de auditoria. En el Captulo IV se desarrolla la auditoria bajo estndar de la metodologa COBIT: sus procesos y objetivos de control. En el Captulo V se muestra el anlisis de resultados de la auditoria, adems de los hallazgos encontrados. Finalmente ya habiendo terminado con el proceso de auditora se obtuvieron las conclusiones y las recomendaciones del proyecto realizado.

CAPITULO I - GENERALIDADESASPECTOS GENERALES DE LA ENTIDAD AUDITADAGobierno Regional de Junn - entra en vigencia por la Constitucin Poltica del Estado Peruano y la Ley N 27867 Ley Orgnica de Gobierno Regionales el ao 2003 y su modificatoria Ley N 27902. MISINVISINInstitucin Publica descentralizada, con autonoma poltica, econmica y administrativa; que fomenta el desarrollo regional integral sostenible; organiza y conduce la gestin pblica regional de acuerdo a sus competencias exclusivas, compartidas y delegadas en el marco de las polticas nacionales y sectoriales; para contribuir al bienestar de la poblacin principalmente en los sectores ms vulnerables. Gobierno Regional de Junn consolidado en una Gestin por Resultados, con liderazgo en el territorio e institucionalmente; que garantiza el ejercicio pleno de los derechos y la igualdad de oportunidades de los habitantes; que promueve la inversin pblica y privada, con inversiones sustanciales en la industrializacin de nuestra produccin primaria; que promueve. DIRECCINJr. Loreto N 363 Huancayo Junn - Per

CAPITULO I - GENERALIDADESORGANIGRAMAAprobado por Ordenanza Regional N 087-2008-GRJ/CR de fecha 27 de agosto del ao 2008 .

ORDITIOficina Regional de Desarrollo Institucional y Tecnologa de la Informacin.Funciones PrincipalesProponer a los rganos de gobierno del Gobierno Regional Junn, estudios, planes y programas orientados al cambio y adecuacin sistemtica de funciones, estructura, cargos, procedimientos y de la tecnologa de informacin para optimizar los servicios y supervisar el cumplimiento de los mismos. Disear, normar, organizar y monitorear los sistemas informticos del Gobierno Regional.

CAPITULO I - GENERALIDADESCarencia de Mecanismos de Comunicacin en ORDITILa investigacin surge a raz que en todo mbito institucional se requiere informacin oportuna y confiable, para la toma de decisiones; realidad que ha permitido el desarrollo de sistemas de informacin.

Usualmente, la mayora de las instituciones, y en este caso, el Gobierno Regional de Junn, en el desarrollo de sistemas de informacin carece de un anlisis tcnico profesional, lo cual ha generado una informacin poco confiable, inoportuna e inconsistente a la hora de tomar decisiones.

PROBLEMTICAAnlisis Tcnico Profesional IndependienteINFORMACIN POCO CONFIABLE, INOPORTUNA E INCONSISTENTE A LA HORA DE TOMAR DECISIONES.

CAPITULO I - GENERALIDADESLa Aplicacin de una Auditora del Desarrollo de Sistemas de Informacin garantiza la integridad y confiablidad de la informacin en la Oficina Regional de Desarrollo Institucional y Tecnologa de la Informacin del Gobierno Regional de Junn?

PROBLEMA GENERALPROBLEMAS ESPECFICOSCmo debe analizarse el contexto en el que acta la Oficina Regional de Desarrollo Institucional y Tecnologa de la Informacin del Gobierno Regional de Junn? Cmo debe disearse una metodologa para la aplicacin de la Auditora para mejorar la integridad y confiabilidad de la informacin en la Oficina Regional de Desarrollo Institucional y Tecnologa de la Informacin del Gobierno Regional de Junn? Cmo debe desarrollarse encuestas dirigidas al staff de Oficina Regional de Desarrollo Institucional y Tecnologa de la Informacin del Gobierno Regional de Junn? Cmo debe aplicarse la Auditora del desarrollo de sistemas de informacin? Cmo debe evaluarse los resultados y hallazgos de la autora aplicada al desarrollo de sistemas de informacin de la Oficina Regional de Desarrollo Institucional y Tecnologa de la Informacin del Gobierno Regional de Junn?

CAPITULO II MARCO TERICOCONCEPTOS FUNDAMENTALESINFORMACIN: Segn John Burch & Gary Grudnitski: Es el eslabn indispensable que une a todos los componentes de la organizacin para una mejor operacin y para su supervivencia en un ambiente competitivo y poco amigable. SISTEMA DE INFORMACIN (SI): Segn Ralph M. Stair, Un Sistema de Informacin (SI) es un conjunto de componentes interrelacionados para recolectar, manipular y diseminar datos e informacin y para disponer de un mecanismo de retroalimentacin til en el cumplimiento de un objetivo.

CAPITULO II MARCO TERICOCONCEPTOS FUNDAMENTALESAUDITORA INFORMTICA: Segn Mario Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso16 mencionan que: La Auditora Informtica es el proceso de recoger, agrupar y evaluar evidencias parar determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos. AUDITORA DE SISTEMAS DE INFORMACIN: Segn Alonso Tamayo Alzate : La Auditora de sistemas es la parte de la auditora interna que se encarga de llevar a cabo la evaluacin de normas, controles, tcnicas y procedimientos que se tienen establecidos en una empresa para logar confiabilidad, oportunidad, seguridad y confidencialidad de la informacin que se procesa a travs de computadores; es decir, en estas evaluaciones se est involucrado tanto los elementos tcnicos como humanos que intervienen en el proceso de informacin.

CAPITULO III - METODOLOGAMETODOLOGATodo trabajo de investigacin debe estar enmarcado dentro de una metodologa, es decir, una serie de pasos que guen el desarrollo del proyecto, a tal efecto, se ha decidido aplicar la metodologa propuesta por la ISACA (Asociacin de Auditora y Control de Sistemas de Informacin), que est basada en COBIT (Objetivos de Control para Informacin y Tecnologas Relacionadas).

DE QU MANERACOBIT est basado en la evaluacin de riesgos, de manera que partiendo de los riesgos potenciales a los que est sometida la actividad, en este caso el desarrollo o mantenimiento de SI, se determinan una serie de objetivos de control de alto nivel que minimicen esos riesgos. Para cada objetivo de control de alto nivel, se agrupa por cada una de las fases del ciclo de vida del software identificadas en Mtrica versin 3 (MAP, 2007), se especifican uno o ms objetivos de control de detalle o tambin denominadas prcticas de control, que contribuyen a lograr el cumplimiento de dicho objetivo de control de alto nivel. As mismo, se aportan una serie pruebas de cumplimiento que permitan comprobar la existencia y correcta aplicacin de dichos controles.

CAPITULO III - METODOLOGAMETODOLOGAEl presente estudio es una investigacin aplicada- descriptivo correlacional; el diseo es Ex post - facto de corte transversal, porque la naturaleza del problema no es de causalidad, pues se realiza sin manipular deliberadamente las variables, puesto que solo se observaron los hechos como se presentan en su contexto.

CAPITULO IV DESARROLLO:AUDITORIA DEL DESARROLLO DE SISTEMAS EN ORDITIAplicando la divisin funcional a la Oficina Regional del Desarrollo Institucional y Tecnologa de la Informacin ORDITI, una de las reas que tradicionalmente aparece es la de desarrollo. Esta funcin abarca todas las fases que se deben de seguir desde que aparece la necesidad de disponer de un determinado sistema de informacin hasta que ste es construido e implantado, se entender la organizacin en general y el rea especfica aadido a esto todo el ciclo de vida del Proyecto de software:

CAPITULO IV DESARROLLO : AUDITORIA DEL DESARROLLO DE SISTEMAS EN ORDITIObjetivo de Control OG1: Procesos, organizacin y relaciones: El rea de sistemas debe tener definidos los procesos de su organizacin.OG1-C1: Deben establecerse de forma clara las funciones del rea.OG1-C2: Debe especificarse en el organigrama puestos del rea y el staff.OG1-C3: Debe establecerse el marco de trabajo de los procesos del rea de sistemas, de modo que permita la ejecucin y puesta en prctica del plan operativo informtico.OG1-C4: Deben establecerse roles y responsabilidades para la gestin del aseguramiento de la calidad, gestin de riesgos, seguridad y conformidad.Auditora de la Organizacin y Gestin de ORDITI

CAPITULO IV DESARROLLO : AUDITORIA DEL DESARROLLO DE SISTEMAS EN ORDITIObjetivo de Control OG2: Gestin de Recursos Humanos: El rea de sistemas debe contar con recursos humanos adecuados para gestionar el desarrollo y mantenimiento de SI.OG2-C1: Deben existir procedimientos de contratacin objetivos.OG2-C2: Debe existir un plan de capacitacin que este en consonancia con los objetivos del rea y alineados con los objetivos institucionales.OG2-C3: Debe existir una biblioteca accesible por el personal del rea.OG2-C4: El personal debe estar motivado en la realizacin de su trabajo.Auditora de la Organizacin y Gestin de ORDITI

CAPITULO IV DESARROLLO : AUDITORIA DEL DESARROLLO DE SISTEMAS EN ORDITIObjetivo de Control OG3: Plan Estratgico de Tecnologas de la Informacin del rea: El rea de sistemas debe participar en la definicin del plan estratgico de Tecnologas de la InformacinOG3-C1: el rea debe tener y difundir su propio plan a corto, medio y largo plazo.

OG3-C2: La realizacin de nuevos proyectos debe basarse en el plan estratgico de Tecnologas de la Informacin y en el plan operativo informtico en cuanto a objetivos, marco general.Auditora de la Organizacin y Gestin de ORDITI

CAPITULO IV DESARROLLO : AUDITORIA DEL DESARROLLO DE SISTEMAS EN ORDITIOG4-C1: Debe existir un registro de problemas que se producen en los proyectos del rea, incluyendo los fracasos de proyectos completos.OG4-C2: Debe mantenerse y comunicarse peridicamente al rea las modificaciones del plan de calidad a fin de promover la mejora continua.OG4-C3: Debe existir algn mecanismo de creacin y actualizacin de prcticas y estndares de calidad as como de prcticas, estndares de desarrollo y mantenimientoOG4-C4: Debe existir un procedimiento de monitorizacin y medicin del cumplimiento de estndares y prcticas de calidad as como de los de desarrollo y mantenimiento.OG4-C5: Debe practicarse la reutilizacin del software.OG4-C6: Debe existir un modelo de la arquitectura de informacin que se actualice regularmente y defina los sistemas apropiados que optimicen el uso de la informacin.OG4-C7: Los lenguajes, compiladores, software de pruebas, software de control de versiones; utilizados en el rea deben ser previamente vlidos.Objetivo de Control OG4: Gestin de la calidad: El rea de sistemas debe disponer de procesos de desarrollo regidos por estndares y principios de ingeniera de software ampliamente aceptados.Auditora de la Organizacin y Gestin de ORDITI

CAPITULO IV DESARROLLO:Auditora de la Gestin y Planificacin del ProyectoObjetivo de Control P1: El proyecto de desarrollo debe estar aprobado, definido y planificado formalmente.P1-C1: Debe existir documento de aprobacin del proyecto que defina claramente los objetivos, restricciones y las reas afectadas.P1-C2: Debe designarse un responsable o director del proyecto.P1-C3: El proyecto debe ser catalogado en funcin de sus caractersticas, se debe determinar el modelo de ciclo de vida que seguir.P1-C4: Una vez determinado el ciclo de vida a seguir, se debe elegir el equipo tcnico que realizar el proyecto y se determinar el plan del proyecto.

CAPITULO IV DESARROLLO:Auditora de la Gestin y Planificacin del ProyectoObjetivo de Control P2: El proyecto se debe gestionar de forma que se consigan los mejores resultados posibles teniendo en cuenta las restricciones de tiempo y recursos.P2-C1: Los responsables de las reas afectadas por el proyecto deben participar en la gestin del proyecto.P2-C2: Se debe establecer un mecanismo para la resolucin de los problemas que pueden surgir a lo largo del proyecto.P2-C3: Debe existir un control de cambios a lo largo del proyecto.P2-C4: Cuando sea necesario reajustar el plan del proyecto, normalmente en un hito al finalizar una fase, debe hacerse de forma adecuada.P2-C5: Debe hacerse un seguimiento de los tiempos utilizados tanto por tarea como alo largo del proyectoP2-C6: Se debe controlar que se sigan las etapas del ciclo de vida adoptado para el proyecto y que se generan todos los documentos asociados a la metodologa usada.P2-C7: Cuando termina el proyecto se debe cerrar toda la documentacin del mismo, liberar los recursos utilizados y hacer balance.

CAPITULO IV DESARROLLO:Auditora de la fase de Estudio de Viabilidad del ProyectoObjetivo de Control V1: Antes de la definicin del proyecto deben estudiarse los requisitos, situacin actual, identificando seguidamente las alternativas de solucin y seleccionando aquella que satisfaga ms eficaz y eficientemente los requisitos identificados.V1-C1: Debe haberse establecido el alcance de las iniciativas requeridas para satisfacer las necesidades planteadas por el usuario.V1-C2: Debe estudiarse la situacin actual y determinar los sistemas afectados.V1-C3: Los usuarios y responsables de las unidades que afecta el nuevo sistema establecern de forma clara los requisitos del mismo.

CAPITULO IV DESARROLLO:Auditora de la fase de Anlisis del Proyecto.Objetivo de Control A1: Se debe elaborar una especificacin detallada que permita describir con precisin el sistema de informacin.A1-C1: Debe realizarse un plan detallado de sesiones de trabajo con el grupo deusuarios del proyecto y los responsables de las unidades afectadas para recopilar la informacin necesaria.A1-C2: A partir de la informacin obtenida de las entrevistas se debe realizar la descripcin inicial del SI y obtener el catlogo de requisitos detallado del mismo.A1-C3: Se estructura el sistema de informacin en subsistemas de anlisis, parafacilitar la especificacin de los distintos modelos y la traza de requisitos.A1-C4: Se debe realizar el modelo del sistema que sirva de base para el diseo. En el caso de anlisis estructurado, mediante la elaboracin y descripcin detallada del modelo de datos y de procesos. Y en el caso de un anlisis orientado a objetos a travs del modelo de clases y el de interaccin de objetos, mediante el anlisis de los casos de uso.A1-C5: Se deben especificar todas las interfaces entre el sistema y el usuario, tales como formatos de pantallas, dilogos, formatos de informes y formularios de entrada.A1-C6: Debe especificarse el plan de pruebas que el nuevo sistema debe superar para ser aceptado

CAPITULO IV DESARROLLO:Auditora de la fase de Anlisis del Proyecto.Objetivo de Control A2: Se debe garantizar la calidad de los distintos modelos generados en el proceso de anlisis del SI, y asegurar que los usuarios y los analistas tienen el mismo concepto del sistema.A2-C1: Se debe de verificar la calidad tcnica de cada modelo y asegurar la coherencia entre los distintos modelos.A2-C2: Debe realizarse una validacin formal de la especificacin de requisitos y de los modelos del anlisis del sistema.

CAPITULO IV DESARROLLO:Auditora de la fase de Diseo del Proyecto.Objetivo de Control D1: Se debe definir una arquitectura del sistema que sea coherente con la especificacin funcional que se tenga y con el entorno tecnolgico.D1-C1: organizacin en subsistemas de diseo, la especificacin del entorno tecnolgico, requisitos de operacin, administracin, seguridad y control de acceso deben estar definidos de forma clara y ser conformes a los estndares y normas del centro de informacin y sistemas.D1-C2: Se debe realizar un diseo detallado de los subsistemas de soporte y del sistema de informacin especfico.D1-C3: Se debe disear la estructura de datos adaptando las especificaciones del sistema al entorno tecnolgico.

CAPITULO IV DESARROLLO:Auditora de la fase de Diseo del Proyecto.Objetivo de Control D2: Se deben generar todas las especificaciones necesarias para la construccin del sistema de informacin:D2-C1: Se deben generar unas especificaciones de construccin.D2-C2: Se debe especificar el procedimiento de migracin y carga inicial de datos as como los requisitos de operacin.D2-C3: Debe realizarse la especificacin tcnica del plan de pruebas.D2-C4: Se debe realizar una aprobacin formal del diseo del sistema.

CAPITULO IV DESARROLLO:Auditora de la fase de Construccin del Proyecto.Objetivo de Control CS-1: Los componentes que se desarrollen deben utilizar tcnicas de programacin correctasCS1-C1: Se debe preparar adecuadamente el entorno de desarrollo y de pruebas, as como los procedimientos de operacin y seguridad.CS1-C2: Se debe programar, probar y documentar cada uno de los componentes identificados en el diseo del sistema.CS1-C3: Deben realizarse las pruebas de integracin para verificar si los subsistemas interactan correctamente a travs de sus interfaces, tanto internas como externas, cubren la funcionalidad establecida y se ajustan a los requisitos especificados en las verificaciones correspondientes.CS1-C4: Deben realizarse las pruebas de sistema para comprobar la integracin del sistema de informacin globalmente.

CAPITULO IV DESARROLLO:Auditora de la fase de Construccin del Proyecto.Objetivo de Control CS-2: Los proyectos de desarrollo deben definir los procedimientos y formacin necesarios para que los usuarios puedan utilizar el nuevo sistema adecuadamente.CS2-C1: El desarrollo de los componentes de usuarios debe estar planificado.CS2-C2: Se deben especificar los perfiles de usuario requeridos para el nuevo sistema.CS2-C3: Se deben desarrollar todos los procedimientos de usuario siguiendo los estndares del rea.

CAPITULO IV DESARROLLO:Auditora de la fase de Implantacin y Aceptacin del Proyecto.Objetivo de Control IA-1: El sistema debe ser aceptado formalmente por los usuarios antes de ser puesto en explotacin.IA1-C1: El plan de formacin y aceptacin se debe revisar para adaptarlo a la situacin final del proyecto.IA1-C2: Se deben realizar las pruebas de formacin y aceptacin del sistema que se especificaron en fases anteriores.IA1-C4: El sistema debe ser aprobado formalmente antes de ponerse en explotacin

CAPITULO IV DESARROLLO:Auditora de la fase de Implantacin y Aceptacin del Proyecto.Objetivo de Control IA-2: El sistema se pondr en explotacin formalmente y pasar a estar en mantenimiento slo cuando haya sido aceptado y est preparado todo el entorno el que se ejecutar.IA2-C1: Se deben instalar todos los procedimientos de explotacin.IA2-C2: Si existe un sistema antiguo, el sistema nuevo se pondr en explotacin de forma coordina con la retirada del antiguo, migrando los datos si es necesario.IA2-C4: Para terminar el proyecto se pondr en marcha el mecanismo de mantenimiento.

CAPITULO IV DESARROLLO:Auditora de la fase de Mantenimiento del Proyecto.Objetivo de Control M-1: La gestin del proceso de mantenimiento de sistemas de informacin debe ser eficiente y eficaz para conseguir mantener el coste del mantenimiento de los SI del rea bajo control.M1-C1: Debe existir una estrategia y un plan para la gestin del mantenimiento de los SI del rea y de infraestructura tecnolgica.Objetivo de Control M-2: Todos los cambios, ya sean incidentes, problemas o peticiones de mantenimiento, incluido el mantenimiento correctivo de emergencia o cambios relacionados con la infraestructura tecnolgica del entorno de produccin, deben de ser gestionados formalmente y de una manera controlada a fin de asegurar la mitigacin del riesgo debido a los impactos negativos en la estabilidad e integridad del SI en produccin.M2-C1: Se debe establecer un sistema estandarizado de registro de informacin para las peticiones de mantenimiento, con el fin de controlar y canalizar los cambios propuestos por un usuario, mejorando el flujo de trabajo y proporcionando una gestin efectiva del mantenimiento.M2-C2: Se debe llevar a cabo un diagnstico y anlisis del cambio para dar respuesta a las peticiones de mantenimiento que son aceptadas.M2-C3: Se realiza el seguimiento de los cambios que se estn llevando a cabo en los procesos de desarrollo, de acuerdo a los puntos de control del ciclo de vida del cambio establecidos previamente.

CAPITULO V ANALISIS DE RESULTADOS

CAPITULO V ANALISIS DE RESULTADOSENCUESTA DIRIGIDA AL STAFF DE ORDITIGrfico N 21: Nuevos proyectos de software.Fuente: Elaboracin Propia.En el grfico N21 muestra que entre el 40% que no sabe y no opina y el 20% que desconoce si los proyectos se basan en el POI; podemos afirmar junto con el 40% que la realizacin de nuevos proyectos de software se basa ntegramente al Plan Operativo Informtico.

CAPITULO V ANALISIS DE RESULTADOSHALLAZGOS Auditora de la Organizacin y Gestin de ORDITIHallazgos de Auditoria de la Organizacin y Gestin de SistemasNo existen responsabilidades y roles correctamente establecidos, formalizados, documentados. Adems no son ejecutados por personal con la suficiente formacin y experiencia en la materia.No estn disponibles un nmero suficiente de libros, publicaciones, monografas de reconocido prestigio, ya sea en formato electrnico o papel. Casi todo el personal no tiene acceso a ellos.No existe una gran rotacin de personal.El Plan Estratgico se revisa pero No se actualiza peridicamente en funcin de las nuevas situaciones.La documentacin relativa a cada proyecto que existen en el Plan estratgico no se pone a disposicin del director de proyecto una vez comenzado el mismo.No existe un catlogo de problemas.Existe Plan de calidad, pero no existen ni se ejecutan actividades de mejora continua.No se realizan informe ejecutivos peridicamente sobre la calidad de los sistemas de informacin.No estn definidas mtricas de calidad.No existe repositorio o catlogo.No existen actividades de mejora continua segn los estndares de calidad.No existe un diccionario de datos institucional con al reglas de sintaxis de la organizacin.

CAPITULO V ANALISIS DE RESULTADOSHALLAZGOSAuditora de la Gestin y Planificacin del ProyectoHallazgos de Auditoria de la Gestin y Planificacin del proyecto No existe el mnimo de reuniones peridicas.No existen hojas de registro de problemas y no existe alguna persona del proyecto encargada de su recepcin.No existe mtodo para catalogar y dar probidad a los problemas.No existe un mecanismo para registrar los cambios que pudieran producirse.No se respetan los lmites temporales y presupuestarios marcados al inicio del proyecto.No se notifica el cambio a todas las personas que participen en el proyecto y se ven afectados.La documentacin no cumple los estndares y procedimientos establecidos en el rea.La documentacin del proyecto no es completa y tampoco est catalogada perfectamente para accesos posteriores.

CAPITULO V ANALISIS DE RESULTADOSHALLAZGOSAuditora de la fase de Estudio de Viabilidad del ProyectoHallazgos de Auditoria de la Fase de Estudio de ViabilidadNo se ha realizado un plan detallado de entrevistas con el grupo de usuarios.

CAPITULO V ANALISIS DE RESULTADOSHALLAZGOSHallazgos de Auditoria de la Fase de AnlisisNo se remite el guion a los entrevistados con tiempo suficiente para que estos puedan preparar la entrevista y la documentacin que deseen aportar a la misma. No existe un catlogo de requisitos.La interfaz de usuario no se ha aprobado por el grupo de usuarios.Auditora de la fase de Anlisis del Proyecto.

CAPITULO V ANALISIS DE RESULTADOSHALLAZGOSAuditora de la fase de Diseo del Proyecto.Hallazgos de Auditoria de la Fase de DiseoNo existe catlogo de excepciones, de requisitos, normas y estndares.No se actualiza el plan de proyecto segn os criterios de direccin y se registra la aprobacin del mismo.

CAPITULO V ANALISIS DE RESULTADOSHALLAZGOSAuditora de la fase de Construccin del Proyecto.Hallazgos de Auditoria de la Fase de ConstruccinNo se han preparado los procedimientos de copia de seguridad y restauracin.No se documentan todos los procedimientos de operacin, seguridad y control de acceso al SI para cuando el sistema est en explotacin.No se generan informes de pruebas del sistema y no se han evaluado las pruebas.

CAPITULO V ANALISIS DE RESULTADOSHALLAZGOSAuditora de la fase de Implantacin y Aceptacin del Proyecto.Hallazgos de Auditoria de la Fase de Implantacin y AceptacinNo existe un periodo de funcionamiento en paralelo de los dos sistemas, hasta que el nuevos sistema este funcionado con todas las garantas.No existe mecanismo de mantenimiento aprobado por el director de proyecto.

CAPITULO V ANALISIS DE RESULTADOSHALLAZGOSHallazgos de Auditoria de la Fase de MantenimientoNo existe un plan para la gestin del mantenimiento de los sistemas de informacin.No existe un catlogo de problemas ni de peticiones de mantenimiento sobre los sistemas de informacin.No se realizan peticione de cambios y/o mantenimiento.No se realizan informes de la evaluacin del cambio para su posterior aprobacin.Auditora de la fase de Mantenimiento del Proyecto.

CONCLUSIONESCONCLUSIONESDel presente informe tcnico concluimos que:No se cumple con los estndares y normas de control interno en el desarrollo de sistemas de informacin.La metodologa evaluada en el desarrollo de sistemas de informacin no es la adecuada, pues se realiza de manera muy informal y emprica.La identificacin de las fases de la metodologa no son las correctas. Fases importantes como la gestin de proyectos de software no son tomadas en cuenta.No cumplen con normas de seguridad e integridad de datos, ni tampoco el control de cambios.Falta de comunicacin entre el staff.Falta de documentacin critica en casi todas las fases del proyecto software.

RECOMENDACIONESRECOMENDACIONESDel presente informe tcnico recomendamos lo siguiente:Adoptar e implantar estndares y normas de control a travs del uso de la Metodologa COBIT (Control Objectives for Information and Related Technologies), la cual proporciona en conjunto estructura de buenas prcticas y metodologas en lo que se refiere al gobierno de Tecnologas de comunicacin y Comunicaciones.Establecer una metodologa para el desarrollo de sistemas de informacin como la metodologa de El Ciclo de Vida para desarrollo de sistemas, que es el conjunto de actividades que los analistas, diseadores y usuarios realizan para desarrollar e implantar un sistema de informacin; Establecer e incluir las siguientes fases en el proyecto software: gestin de proyectos, viabilidad del proyecto, anlisis, diseo, programacin o construccin implantacin, aceptacin y mantenimiento de software ya que cumpliran las fases de una metodologa estndar como el Ciclo de Vida para desarrollo de sistemas.

RECOMENDACIONESRECOMENDACIONES4. Implementar un Sistema de Gestin de la Seguridad de la Informacin (SGSI) bajo estndar internacional ISO/IEC 270001; para cumplir con lo establecido de las normativas ISO y Mtricas aplicadas sobre la gestin de seguridad de Tecnologas de Informacin.5. Implementar una gestin de comunicacin interno en la Oficina Regional de Desarrollo Institucional y Tecnologa de la Informacin y dar continua capacitacin especializada en temas especficos de Desarrollo de Sistemas de Informacin a todo el staff.6. Realizar regularmente copias de seguridad de la informacin esencial de la entidad, adems de manuales de usuario, biblioteca de datos y documentacin crtica de cada proyecto de software en concordancia con las polticas institucionales.

CAPITULO V ANALISIS DE RESULTADOS

GRACIAS