Trabajo Final-Auditoria y Control

7/31/2019 Trabajo Final-Auditoria y Control

1/20

PARTE I


2/20

AUDITORIA INFORMATICA

1.1. ORIGEN DE LA AUDITORIA:

La presente Auditoria se realiza en mrito a tener una mejora continua por parte de la empresa.

1.2. OBJETIVOS Y ALCANCE

1.2.1. OBJETIVO GENERAL

Evaluar los controles aplicados a los sistemas informticos; a la utilizacin, eficiencia y seguridad de losequipos de cmputo; de la MUNICIPALIDAD DISTRITAL DE MORO para el procesamiento de lainformacin.

1.2.2. OBJETIVOS ESPECIFICOS

Evaluar el desarrollo de los sistemas informticos. Evaluar los procedimientos de control de operacin y el cumplimiento de los mismos. Verificar el cumplimiento de las disposiciones y reglamentos.

1.3. ANTECEDENTES

La Municipalidad Distrital de Moro es un rgano de gobierno local con autonoma econmica, poltica yadministrativa; que promueve la adecuada prestacin de los servicios pblicos locales mediante el usoracional de los recursos con que dispone; involucrando a autoridades locales, regionales, empresarios,autoridades y sociedad civil organizada en la realizacin de actividades y planes concertados orientados aldesarrollo integral, sostenible y armnico del Distrito.

1.4. ENFOQUE A UTILIZAR

La presente auditoria se realiza de acuerdo con normas de auditora y control COBIT.

1.5. RELACION DE FUNCIONARIOS O PERSONAL DEL AREA DE INFORMATICA

Ing. Jos Cashpa Laveriano

1.6. CRONOGRAMA DE TRABAJO PROGRAMA DE AUDITORIA

EMPRESA: MUNICIPALIDAD DISTRITAL DE MOROFECHA: 23/06/2011 HOJA N1

FASE I: VISITA PRELIMINAR 05 Horas

ACTIVIDADES:

Solicitud de Manuales y Documentaciones. Elaboracin de los cuestionarios, Recopilacin de la informacin

organizacional: estructura orgnica, recursos humanos, presupuestos.


3/20

FASE II: DESARROLLO DE LA AUDITORIA 29 Horas

Aplicacin del cuestionario al personal. Entrevistas a lderes y usuarios ms relevantes de la direccin. Anlisis de las claves de acceso, control, seguridad, confiabilidad y respaldos. Evaluacin de la

estructura orgnica: departamentos, puestos, funciones, autoridad y responsabilidades. Evaluacin de los Recursos Humanos y de la situacin Presupuestal y Financiera: desempeo,

capacitacin, condiciones de trabajo, recursos en materiales y financieros mobiliario y equipos. Evaluacin de los sistemas: relevamiento de Hardware y Software, evaluacin del diseo lgico y

del desarrollo del sistema. Evaluacin del Proceso de Datos y de los Equipos de Cmputos: seguridad de los datos, control de

operacin, seguridad fsica y procedimientos de respaldo.

FASE III: REVISION Y PREINFORME 20 Horas

Revisin de los papeles de trabajo. Determinacin del Diagnostico e Implicancias. Elaboracin de la Carta de Gerencia. Elaboracin del Borrador.

FASE IV: INFORME

Elaboracin y presentacin del Informe.

1.7. DOCUMENTOS A SOLICITAR

Polticas, estndares, normas y procedimientos. Plan de sistemas. Planes de seguridad y continuidad Contratos, plizas de seguros. Organigrama y manual de funciones. Manuales de sistemas. Registros Entrevistas Archivos Requerimientos de Usuarios

1.8. EJECUCION DE LA REVISION ESTRATEGICA

1.8.1. CONOCIMIENTO INICIAL DE LA ENTIDAD

En la unidad de informtica cuenta con una pequea rea de 4 m 2 en donde solo trabajan 5 personas eldirector de informtica, el encargado de subir los proyectos de inversin publica, y 3 personas mas de launidad de logstica la cual comparten la pequea oficina con la unidad de informtica, los calues estn altanto del servicio informatico que se brinda a los usuarios como tambin verlar por la integridad de losdatos, asi mismo ver el correcto funcionamiento de la lnea inalmbrica de internet brindada a todo elpueblo.


4/20

1.8.2. AUTORIDADES DE LA EMPRESA RELACIONADAS CON EL AREA INFORMATICA

Ing. Jose Cashpa Laveriano: Director de la unidad de informtica

1.8.3. PRINCIPALES ACTIVIDADES:

Configuraciones de hardware

Informacin sobre las licitaciones de obras.

Servicio de subir archivos al OPI.

Otros servicios al usuario

1.8.4. FUNCIONES GENERALES

a) Apoyar computacionalmente las actividades de todos las Direcciones, Departamentos y otrasunidades de la Empresa, preocupndose del desarrollo de programas como de la actualizacin detodo su equipo.

b) Mantener y administrar las redes, sistemas y equipos computacionales de la Empresa.

c) Prestar soporte a usuarios en todo lo relativo a la plataforma computacional de la Empresa.

d) Subir Archivos de las obras en lnea al OPI para su respectivo aprobamiento.


5/20

1.9 ORGANIGRAMA

1.12. OFICINA DE UNIDAD DE LOGISTICA E INFORMATICA1.12.1. UNIDAD DE INFORMATICA

MISION:

Tiene por objetivo hacer un mantenimiento preventivo de los recursos del rea de informtica y fuera deella sobre el mismo tema y de los ordenadores computacionales y colaborar a la optimizacin de losprocedimientos administrativos.

VISION:

Mejorar la calidad de servicio a los usuarios externos e internos mejorando as la imagen de la Municipalidad Distrital

de Moro.


6/20

1.12.2. SITUACION ACTUAL

Ubicacin:

Moro est ubicada exactamente a 441 kilmetros de la ciudad de Lima, as mismo se encuentra al Sur deChimbote a 60 kilmetros de distancia, as mismo en el kilmetro 405 de la panamericana norte podemostomar el desvi que nos llevara por los distritos de Nepea y San Jacinto para finalmente llegar a Moro.

RECURSOS HUMANOS:

ALCALDE: IVO RINCO RUIZ

REGIDORA: VERONICA PEREZ CURA

REGIDORA: LIZBETH DEL ROSARIO COMESANA ALEGRE

REGIDOR: SAONA SANCHEZ PERCY RAMON

REGIDOR: LUIS LLANTO ROSAS REGIDOR: DIEGO LLANTO WILMER EPIFANIO.

JEFE DE LA UNIDAD DE INFORMATICA: ING. JOSE CASHPA LAVERIANO


7/20

PARTE II


8/20

Contenido

1. Presentacin de la empresa

Nombre de empresa: Municipalidad Distrital de Moro

Nombre del puesto o cargo:

Jefe de Unidad de Tesorera: Richard Huamn

Jefe de Unidad de Logstica: Daniel Cipiran

Jefe de Unidad de Contabilidad: Marco Rodrguez

Jefe de Unidad de Recursos Humanos: Mariela Rodrguez

Jefe de Unidad de Administracin Tributaria: Tania salcedo

Jefe de Unidad de Ejecucin Coactiva: Martha Prez

Jefe de Unidad de Informtica: Ing. Jos Cashpa Laveriano

2. Objetivo de la auditoria

Verificacin de Control sobre el proceso de TI Definicin de la organizacin y de lasrelaciones de TI que satisface los requerimientos de negocio Prestacin de servicios

de TI

OBJETIVOS DE CONTROL DE ALTO NIVEL

PO PLANEACION Y ORGANIZACION

PO4 Definicin de la Organizacin y las Relaciones de la Tecnologa de la InformacinControl sobre el proceso de TI de:

Definicin de la organizacin y de las relaciones de TI que satisface los requerimientos de negocio de:Prestacin de servicios de TI se hace posible a travs de:Una organizacin conveniente en nmero y habilidades, con tareas y responsabilidades definidas y comunicadas y toma en

consideracin:

Comit de direccin Responsabilidades a nivel de alta gerencia o del consejo

Descripcin de puestos Niveles de asignacin de personal

Personal clave


9/20

3. Objetivos especficos de control

1. Comit de planeacin o direccin de la funcin de servicios de informacin2. Ubicacin de los servicios de informacin en la organizacin3. Revisin de Logros Organizacionales4. Funciones y Responsabilidades

4. Personal a entrevistar (en funcin de la empresa)

Director General o quin corresponda Director de Operaciones o quin corresponda Director de TI o quin corresponda

5. Objetivos de control

1. Comit de planeacin o direccin de la funcin de servicios de informacin2. Servicios de informacin en la organizacin (Ubicacin)3. Logros Organizacionales (Revisin)4. Funciones y Responsabilidades (?????)5. Aseguramiento de calidad (Responsabilidad)6. Seguridad Lgica y Fsica (Responsabilidad)

7. Propiedad y Custodia (?????)8. Datos y Sistemas (Propiedad)9. Supervisin (?????)10. Funciones (Segregacin)11. Personal para Tecnologa de Informacin (Asignacin)12. Puestos para el Personal de la Funcin de Servicios de Informacin (Descripcin)13. Personal Clave de Tecnologa de Informacin (Identificacin)14. Personal por contrato (Procedimientos)15. Relaciones (?????)

6. Cronograma de entrevistas

Entrevistado

Fecha de entrevista Entrevistador

Cargo Nombre de la persona Nombre CargoDirector deInformtica

Ing. Jose CashpaLaveriano

01/07/2011 Ing. Alan VillonBautista

Auditor

Alcalde Sr. Ivo Rinco Ruiz 01/07/2011 Ing. Alan VillonBautista

Auditor

Gerente Ing. ManuelChancafeGutierrez

01/07/2011 Ing. Alan VillonBautista

Auditor


10/20

Polticas yprocedimientosrelacionadas conla organizacin ylas relaciones detecnologa deinformacin

Sr Ivo RincoRuiz

Alcalde Alan VillonBautista

Auditor 04/07/2011 08/07/2011

Polticas yprocedimientosrelacionados conel aseguramientode la calidad

Sr Ivo RincoRuiz

AlcaldeAlan VillonBautista Auditor 04/07/2011 08/07/2011

Polticas yprocedimientosutilizados paradeterminar losrequerimientosde asignacin depersonal de lafuncindeservicios deinformacin

Sr Ivo RincoRuiz


Auditor 04/07/2011 08/07/2011

Organigramaorganizacionalde la funcin deservicios deinformacin

Sr Ivo RincoRuiz Alcalde Alan VillonBautista Auditor 04/07/2011 08/07/2011

Funciones yresponsabilidades de la funcinde servicios deinformacin

Sr Ivo RincoRuiz


Auditor 04/07/2011 08/07/2011

7. Informacin requeridaInformacin a solicitar

Solicitada a Solicitada por Fechas

Nombre Cargo Nombre Cargo De solicitud De entregaFunciones y

responsabilidades de planeacinde laPresidencia

Ing. Jose

Cashpa

Director de

Informtica

Alan Villon

Bautista

Auditor 04/07/2011 08/07/2011

Objetivos yplanes a largo ycorto plazoorganizacionales

Ing. JoseCashpa

Director deInformtica

Alan VillonBautista

Auditor 04/07/2011 08/07/2011

Objetivos yplanes a largo ycorto plazo detecnologa deinformacin

Ing. JoseCashpa


Alan VillonBautista

Auditor 04/07/2011 08/07/2011

Organigramaorganizacional

quemuestre larelacin entre lafuncin deservicios deinformacin yotras

Ing. JoseCAshpa


Alan VillonBautista

Auditor 04/07/2011 08/07/2011


11/20

Descripcin delos puestos clavede la funcin deservicios deinformacin

Ing. ManuelChancafe

Gerente Alan VillonBautista

Auditor 04/07/2011 08/07/2011

Reportes deestatus y

minutas de lasreuniones delcomit deplaneacin

Ing ManuelChancafe

Gerente Alan VillonBautista

Auditor 04/07/2011 08/07/2011

8. Checklist (Permite elaborar encuestas y secuencia de actividades de auditoria pertinentes ala empresa)Evaluar los controles:8Considerando s:1. Las polticas y los comunicados de la Presidencia aseguran la independencia y la autoridad de la funcin de los servicios deinformacin.2. Se han definido e identificado la calidad de miembro, las funciones y las responsabilidades del comit de planeacin de lafuncin de servicios de informacin.

3. Los estatutos del comit de planeacin de la funcin de servicios de informacin alinean las metas del comit con lo sobjetivos ylos planes a largo y corto plazo de la organizacin y con los objetivos y planes a largo y corto plazo de tecnologa de informacin.4. Se han establecido procesos para incrementar el conocimiento la conciencia, la comprensin y la habilidad para identificar yresolver problemas de administracin de la informacin.5. Las polticas consideran la necesidad de evaluar y modificar la estructura organizacional para satisfacer objetivos ycircunstancias cambiantes.6. Existen procesos e indicadores de desempeo para determinar la efectividad y aceptacin de la funcin de servicios deinformacin.7. La Presidencia se asegura que las funciones y responsabilidades estn siendo llevadas a cabo.8. Existen polticas que determinen las funciones y responsabilidades para todo el personal dentro de la organizacin con respectoa sistemas de informacin, control y seguridad internos.9. Existen campaas regulares para incrementar la conciencia y disciplina en cuanto al control y la seguridad interna.10. Existen polticas y funciones de aseguramiento de la calidad.11. La funcin de aseguramiento de la calidad cuenta con la independencia suficiente con respecto al personal de desarrollo desistemas y con una asignacin de personal y experiencia adecuados para llevar a cabo sus responsabilidades.12. Existen procedimientos establecidos dentro del aseguramiento de la calidad para calendarizar recursos y asegurar elcumplimiento de las pruebas y aprobacin del aseguramiento de la calidad antes de que se implementen nuevos sistemas ocambios a los sistemas.13. La Gerencia ha asignado formalmente la responsabilidad a lo largo de toda la organizacin para la formalicen de polticas yprocedimientos de control y seguridad internos (tanto lgicos como fsicos) a algn funcionario de seguridad de la informacin.14. El funcionario de seguridad de la informacin comprende adecuadamente las funciones y responsabilidades y si stas hanmostrado consistencia con respecto a la poltica de seguridad de la informacin de la organizacin.15. La poltica de seguridad de la organizacin define claramente las responsabilidades sobre la seguridad de la informacin quecada propietario de activos (por ejemplo, usuarios, administracin y administradores de seguridad) debe llevar a cabo.16. Existen polticas y procedimientos que cubran datos y propiedad de sistemas para todas las fuentes de datos y sistemas msimportantes.17. Existen procedimientos para revisar y mantener cambios en la propiedad de los datos y los sistemas regularmente.18. Existen polticas y procedimientos que describan las prcticas de supervisin para asegurar que las funciones yresponsabilidades sean ejercidas apropiadamente y que todo el personal cuente con suficiente autoridad y recursos para llevar a

cabo sus funciones y responsabilidades.19. Existe una segregacin de funciones entre los siguientes pares de unidades:1. Desarrollo y mantenimiento de sistemas2. Desarrollo y operaciones de sistemas3. Desarrollo/mantenimiento de sistemas y seguridad de la informacin.4. Operaciones y control de datos5. Operaciones y usuarios6. Operaciones y seguridad de la informacin20. La asignacin de personal y la competencia de la funcin de servicios de informacin es mantenida para asegurar su habilidadpara proporcionar soluciones tecnolgicas efectivas.


12/20

21. Existen polticas y procedimientos para la evaluacin y revalidacin de las descripciones de puestos de la funcin de serviciosde informacin.22. Existen funciones y responsabilidades para procesos clave, incluyendo actividades del ciclo de vida de desarrollo de sistemas(requerimientos, diseo, desarrollo, pruebas), seguridad de la informacin, adquisicin y planeacin de capacidad.23. Se utilizan indicadores clave de desempeo y/o factores crticos de xito al medir los resultados de la funcin de servicios deinformacin en el logro de objetivos organizacionales.24. Existen polticas y procedimientos en la funcin de servicios de informacin para controlar las actividades de consultores y

dems personal por contrato, asegurando as la proteccin de los activos de la organizacin.25. Existen procedimientos aplicables a tecnologa de informacin por contrato que sean adecuados y consistentes con laspolticas de adquisicin organizacionales.26. Existen procesos para coordinar, comunicar y documentar los intereses dentro y fuera del directorio de la funcin de serviciosde informacin.Evaluar la suficiencia:

8Probando que:1. El comit planeador de la funcin de servicios de informacin vigila a la funcin de servicios de informacin y sus actividades.2. La propiedad de la jerarqua de reporte para la funcin de servicios de informacin.3. La efectividad de la localizacin de la funcin de servicios de informacin dentro de la organizacin en cuanto a facilitar unarelacin de sociedad con la alta Gerencia.4. La Presidencia de la funcin de servicios de informacin comprenda cules son los procesos utilizados para monitorear, medir yreportar el desempeo de la funcin de servicios de informacin.5. La utilizacin de indicadores clave para evaluar el desempeo.

6. Los procesos para analizar los resultados reales contra los niveles meta, con el fin de determinar las acciones correctivasrealizadas cuando los resultados reales no alcanzan los niveles meta.7. Las acciones realizadas por la administracin en cuanto a cualquier variacin significativa con respecto a los niveles esperadosde desempeo.8. La administracin de usuarios/propietarios evala la capacidad de respuesta y la habilidad de la funcin de servicios deinformacin para proporcionar soluciones de tecnologa de informacin que satisfagan las necesidades de usuarios/ propietarios.9. La Gerencia de la funcin de servicios de informacin conoce sus funciones y responsabilidades.10. Aseguramiento de la calidad se involucre en la prueba y aprobacin de los planes de proyectos de la funcin de servicios deinformacin.11. El personal de seguridad de la informacin revisa los sistemas operativos y los sistemas de aplicacin esenciales.12. La adecuacin de los reportes o documentacin de la funcin de seguridad de la informacin al evaluar la seguridad de lainformacin (tanto lgica como fsica) ya existente o en desarrollo.13. Existe suficiente conocimiento, conciencia y una aplicacin consistente de las polticas y procedimientos de seguridad de lainformacin.14. El personal asiste a los entrenamientos de seguridad y control interno.

15. La propiedad de los datos y sistemas se encuentra definida para todos los activos de informacin.16. Los propietarios de datos y sistemas hayan aprobado los cambios realizados a dichos datos y sistemas.17. Todos los datos y sistemas cuentan con un propietario o custodio que sea responsable del nivel de control sobre los datos ysistemas.18. El acceso a todos los activos de datos y sistemas es aprobado por el/los propietario(s) de los activos.19. La lnea directa de autoridad y supervisin asociada con el puesto est en conformidad con las responsabilidades delbeneficiado.20. Las descripciones de puestos delinean claramente tanto la autoridad como la responsabilidad.21. Las descripciones de puestos describen claramente las aptitudes de negocios, relaciones y tcnicas requeridas.22. Las descripciones de puestos hayan sido comunicadas con precisin y hayan sido comprendidas por el personal.23. Las descripciones de puestos para la funcin de servicios de informacin contienen indicadores clave de desempeo que hansido comunicados al personal.24. Las funciones y responsabilidades del personal de la funcin de servicios de informacin corresponden tanto a lasdescripciones de puestos publicadas como al organigrama.25. Existan descripciones de puestos para las posiciones clave y que stas incluyan los mandatos de la organizacin relativos asistemas de informacin, control y seguridad internos.26. La precisin de las descripciones de puestos comparadas contra las responsabilidades actuales de los encargados de dichasposiciones.27. La naturaleza y el alcance de la suficiencia de la segregacin de funciones deseada y de las limitaciones de funciones dentrode la funcin de servicios de informacin.28. El mantenimiento de la competencia del personal de tecnologa de informacin.29. La propiedad de las descripciones de puestos como base para la adecuacin y la claridad de las responsabilidades, autoridady criterios de desempeo.30. Las responsabilidades de administracin por contrato hayan sido asignadas al personal apropiado.


13/20

31. Los trminos de los contratos sean consistentes con los estndares normales para contratos de la organizacin y que lostrminos y condiciones contractuales estndar hayan sido revisados y evaluados por un consultor legal, cuyo acuerdo haya sidoobtenido.32. Los contratos contienen clusulas apropiadas con respecto al cumplimiento de: polticas de seguridad corporativa y controlinterno y estndares de tecnologa de informacin.33. Existen procesos y/o estructuras que garantizan una coordinacin efectiva y eficiente para lograr relaciones exitosas.Evaluar el riesgo de los objetivos de control no cumplidos:

8Llevando a cabo:1. Mediciones ("Benchmarking") de la organizacin y de las relaciones contra organizaciones similares o estndaresinternacionales/buenas prcticas reconocidas por la industria apropiadas.2. Una revisin detallada para determinar el impacto sobre la organizacin causada por un comit de planeacin de la funcin deservicios de informacin no efectivo.3. Una revisin detallada para medir el progreso de la funcin de servicios de informacin al tratar con problemas de sistemas deinformacin e implementar soluciones tecnolgicas.4. Una revisin detallada para evaluar la estructura organizacional, las aptitudes del personal, las funciones y responsabilidades asignadas, la

propiedad de datos y sistemas, supervisin, segregacin de funciones, etc.

5. Una revisin detallada de la funcin de aseguramiento de la calidad para determinar su efectividad en la satisfaccin de losrequerimientos de la organizacin.6. Una revisin detallada de la funcin de seguridad de la informacin para determinar su efectividad para proporcionar seguridadgeneral en la organizacin (tanto lgica como fsica) y entrenamiento de conocimiento y conciencia de seguridad.7. Una revisin detallada de una muestra de contratos para confirmar que stos hayan sido ejecutados apropiadamente por ambas

partes y que cumplan con los trminos contractuales estndar de la organizacin.8Identificando:1. Debilidades en la funcin de servicios de informacin y sus actividades ocasionadas por una vigilancia no efectiva por parte delcomit de planeacin de dicha funcin.2. Lagunas, traslapes, etc. en la estructura organizacional que traen como resultado ineficacia e ineficiencia en la funcin deservicios de informacin.3. Estructuras organizacionales inapropiadas, funciones faltantes, personal insuficiente, deficiencias en competencia, funciones yresponsabilidades no apropiadas, confusin en la propiedad de datos y sistemas, problemas de supervisin, falta de segregacinde funciones, etc.4. Sistemas en proceso de desarrollo, modificado o implementado que cumplen con los requerimientos de aseguramiento de lacalidad.5. Sistemas en proceso de desarrollo, modificados o implementados que cumplen con los requerimientos de seguridad (lgica,fsica, o ambos).6. Contratos que no cumplen con los requerimientos contractuales de la organizacin.7. Coordinacin y comunicacin no efectivas entre la funcin de servicios de informacin y otros intereses dentro y fuera de estafuncin.9. EncuestasTomando como referencia los checklist del item anterior se elaboran encuestas de auditoria que sonaplicadas por el equipo de auditoria al personal de la empresa.10. ActividadesTomando como referencia los checklist del item anterior se elaboran Actividades de auditoria y sondesarrolladas por el equipo auditor y comprenden: observacin directa de mtodos y procedimientos,revisin documentaria, test (si aplica), entre otras tcnicas.11. HallazgosRelacin de situaciones anormales detectadas al aplicar las encuestas o al realizar las actividades deauditoria.12. Nivel de madurezEn base a los resultados de aplicar los checklist, encuestas, actividades y hallazgos se puede establecerel nivel de madurez del proceso auditado. Para establecer el nivel de madurez se aplica un cuestionario con puntuacin relacionado con losfactores crticos de xito (CSF), indicadores de logro de objetivos (KGI) e indicadores clave de rendimiento(KPI). La sumatoria final es valorada de acuerdo a los niveles de madurez


14/20

Factores crticos de exito (SCF)

Tabla de puntajes de evaluacin: No aplica=0 Regular=1 Bueno=2 Excelente=3 Puntos Descripcin de factor crtico de xito2 La organizacin de TI comunica sus objetivos y resultados a todos los niveles2 TI est organizada para participar en todos los procesos de decisin, responder a las

iniciativas clave del negocio y enfocarse en todas las necesidades corporativas deautomatizacin

1 El modelo organizacional de TI est en concordancia con las funciones del negocio y adapta rpidamente a los cambios en el entorno del negocio

1 Estimulando y promoviendo la asuncin de responsabilidad, la organizacin de TIdesarrolla y cultiva las personas y eleva la colaboracin

2 Hay procesos claros de direccin y control, con segregacin donde se necesita,especializacin donde se requiere y delegacin de autoridad donde sea beneficioso

1 La organizacin de TI establece debidamente funciones de seguridad, control interno calidad, y balancea adecuadamente supervisin y empoderamiento

1Se establece un fuerte control de administracin sobre los servicios de outsourcingdeTI, con una poltica clara, y con conocimiento del costo total de outsourcing

0 Las funciones esenciales de TI estn identificadas explcitamente en el modelo deorganizacin, con roles y responsabilidades especificados claramente.

8 puntosIndicadores Clave de logro de Objetivo (KGI)Tabla de puntajes de evaluacin: No aplica=0 Regular=1 Bueno=2 Excelente=3Puntos Descripcin del indicador clave de logro de objetivo1 El nmero de proyectos de negocio atrasados debido a la inercia organizacional de T

a la no disponibilidad de las capacidades necesarias1 El nmero de actividades fundamentales de TI fuera de la organizacin de TI que no

son aprobadas y que no estn sujetas a las estndares organizacionales de TI1 El nmero de unidades de negocio soportadas por la organizacin de TI2 La clasificacin de encuesta del enfoque de negocio, la moral y la satisfaccin del

trabajo que tienen los miembros del personal de TI1 El porcentaje de utilizacin del personal de TI en los procesos de TI que producen

beneficios directos de negocio6 puntosIndicadores Clave de Desempeo (KPI)

Tabla de puntajes de evaluacin: No aplica=0 Regular=1 Bueno=2 Excelente=3Puntos Descripcin del indicador clave de desempeo2 La edad del cambio organizacional, incluyendo reorganizacin o reevaluacin

organizacional1 Porcentaje de funciones organizacionales de TI que tienes su correspondiente en la

estructura organizacional del negocio2 Nmero de unidades de TI con objetivos de negocios que recaen directamente en las

funciones y responsabilidades individuales1 Porcentaje de funciones con descripciones documentadas del puesto de trabajo1 El nmero de recomendaciones de evaluacin organizacional sobre las que no se

emprendi accin1 Tiempo promedio que transcurre entre el cambio en la orientacin del negocio y el

reflejo del cambio en la estructura organizacional de TI


15/20

Porcentaje de las funciones esenciales que estn identificadas explcitamente enel modelo organizacional con funciones y responsabilidades claras.

puntos

Puntaje obtenido Valoracin CMM Descripcin0 5 0 Inexistente La organizacin de TI no est establecida de manera

efectiva para concentrarse en el logro de los objetivos denegocio

6 15 1 Inicial / Ad Hoc Las actividades y funciones de TI son reactivas eimplementadas de manera inconsistente. No hay unaestructura organizacional definida, las funciones yresponsabilidades son asignadas de manera informal, yno existen lneas claras de responsabilidad. La funcin

de TI es considerada una funcin de apoyo, sin unaperspectiva general de la organizacin.

16 25 2 Repetible pero intuitivo Hay un entendimiento implcito de la necesidad de unaorganizacin de TI; sin embargo, las funciones yresponsabilidades no estn formalizadas y no se hacencumplir. La funcin de TI est organizada para respondede manera tctica, pero inconsistente, a las necesidadesdel cliente y a las relaciones del vendedor. La necesidadde una organizacin estructurada y de un manejo de losvendedores es comunicada, pero las decisiones sontodava dependientes de los conocimientos y habilidadesde las personas clave. Hay un surgimiento de tcnicascomunes para manejar la organizacin de TI y lasrelaciones con los vendedores.

26 45 3 Proceso definido Existen roles y responsabilidades definidos para laorganizacin de TI y para terceros. La organizacin de Test desarrollada, documentada, comunicada y enconcordancia con la estrategia de TI. El diseoorganizacional y el entorno de control interno estn

definidos. Hay formalizacin de las relaciones con otraspartes, incluyendo los comits de direccin, auditorainterna y el manejo de vendedores. La organizacin de Test completa desde el punto de vista funcional; sinembargo, est ms enfocada en las solucionestecnolgicas que en usar la tecnologa para resolverproblemas de negocio. Hay definiciones de las funcionesque deben ser realizadas por el personal de TI y de lasque sern ejecutadas por los usuarios.

46 55 4 Administrado y medible La organizacin de TI es sofisticada, responde a loscambios de manera proactiva e incluye todos lasfunciones necesarias para satisfacer los requerimientosdel negocio. La administracin de TI, la propiedad delproceso, la responsabilidad y la obligacin estndefinidas y balanceadas. Los requisitos esenciales decontratacin de personal de TI y las necesidades deexperiencia estn satisfechos. Se han aplicado en la


16/20


17/20

13. Conclusiones

Los resultados obtenidos despus de aplicar el modelo de madurez, nos dan un total de 23 puntos los cualnos refleja que la empresa tiene un proceso repetible pero intuitivo.La funcin de TI est organizada para responder de manera tctica, pero inconsistente, a las necesidades

de los Usuario de la Municipalidad Distrital de Moro.

14. Recomendaciones

Debe existir r responsabilidades definidos para la unidad de informtica para terceros. La MunicipalidadDistrital de Moro debe estar desarrollada, documentada, comunicada y en concordancia con la estrategiade TI.


18/20

2.3 INFORME FINAL DE LA AUDITORIA

Moro, 14 de julio de 2011Seor:

Municipalidad Distrital de MoroAtte. Sr. Alcalde Ivo Rincon Ruiz.

De nuestra consideracin:

Tengo el agrado de dirigirme a Ud. A efecto de entregarle a consideracin el alcance del trabajo de prctica de auditora desistemas del rea de informtica practicada el da viernes 13 de mayo del 2011, hecho a permiso de su persona a travs de lasolicitud que le hice llegar das atrs, sobre la auditoria en base al anlisis y procedimientos detallados de toda la informacinrecopiladas y emitidos en el presente informe, qu a nuestro criterio es razonable. Sntesis de la revisin realizada, clasificado enlas siguientes secciones:

A. Seguridad fsica y lgicaEl Contenido del informe ha sido dividido de la siguiente forma a efectos de facilitar su anlisis:a. Observaciones:

Describe brevemente las debilidades resultantes de nuestro anlisis.

b. Efectos y/o implicancias probables:

Enuncian los posibles riesgos a que se encuentran expuestos las operaciones realizadas por la Cooperativa.

c. ndice de importancia establecida:

Indica con una calificacin del 0 al 3 el grado crtico del problema y la oportunidad en que se deben tomar las acciones correctivasdel caso.0 = Alto ( acciones correctivas inmediatas)1 = Alto ( acciones preventivas inmediatas)

2 = Medio ( acciones diferidas correctivas)3 = Bajo ( acciones diferidas preventivas)d. Sugerencias:

Indicamos a la Gerencia la adopcin de las medidas correctivas tendientes a subsanar las debilidades comentadas.Segn el anlisis realizado hemos encontrado una fortaleza en tener una unidad de informtica; falencias en la seguridad lgica dela informacin; no existe auditoria de sistemas; accesos de los usuarios; falta de plan de contingencias; y entorno de desarrollo ymantenimiento de las aplicaciones. El detalle de las deficiencias encontradas, como as tambin las sugerencias de solucin seencuentran especificadas en el Anexo adjunto. La aprobacin y puesta en prctica de estas sugerencias ayudarn a lamunicipalidad a brindar un servicio ms eficiente a todos sus ciudadanos.Agradesco la colaboracin prestada durante la visita y quedo a vuestra disposicin para cualquier aclaracin y/o ampliacin de lapresente que estime necesaria.

Atentamente.Alan Villn


19/20

2.4 DOCUMENTO DE TRABAJO.2.4.1. Seguridad Fsica Y Lgica.1. Entorno General

a. Observaciones

No existe una vigilancia estricta del rea de Informtica por personal de seguridad dedicado a este sector.No existe detectores, ni extintores automticos.Existe material altamente inflamable.Carencia de un estudio de vulnerabilidad de la Cooperativa, frente a las riesgos fsicos o no fsicos, incluyendo el riesgo

Informtico.No existe un puesto o cargo especifico para la funcin de seguridad Informtica.

b. Efectos y/o implicancias probables

Probable difusin de datos confidenciales.Alta facilidad para cambios involuntarios o intencionales de datos, debido a la falta de controles internos.Posterga de los trabajos por falta de informacin e incomodidad de las personas naturales y juridicas.

c. ndice de importancia establecida

..0 ( cero )d. SugerenciasA los efectos de minimizar los riesgos descriptos, se sugiere:

Aplicar la seguridad a travs de privilegios y restricciones en el sistema de las computadoras de los trabajadores de acuerdo asus necesidades.

Establecer guardia de seguridad, durante horarios no habilitados para el ingreso al rea de Informtica.Colocar detectores y extintores de incendios automticos en los lugares necesarios.Remover del Centro de Cmputos los materiales inflamables.Determinar orgnicamente la funcin de seguridad.Realizar peridicamente un estudio de vulnerabilidad, documentando efectivamente el mismo, a los efectos de implementar las

acciones correctivas sobre los puntos dbiles que se detecten.

2. Auditora de Sistemaa. Observaciones

Hemos observado que la municipalidad carece de auditora Informtica , ni con polticas formales que establezcan responsables,frecuencias y metodologa a seguir para efectuar revisiones de los archivos de auditora.

c. Efectos y/o implicancias probables

Posibilidad de que adulteraciones voluntarias o involuntarias sean realizadas a los elementos componentes del procesamientode datos (programas, archivos de datos, definiciones de seguridad de acceso, etc ) o bien accesos a datos confidenciales porpersonas no autorizadas que no sean detectadas oportunamente.

c. ndice de importancia establecida..0 ( cero )d. Sugerencias

Establecer normas y procedimientos en los que se fijen responsables, periodicidad y metodologa de control de todos losarchivos de auditoria que pudieran existir como asimismo, de todos los elementos componentes de los sistemas de aplicacin.

3. Operaciones de Respaldo

a. ObservacionesExiste una rutina por parte de los trabajadores de tomar una copia de respaldo de datos en un USB en oficina de unidad deinformtica.

Si bien existen la copia de seguridad, no se poseen normas y/o procedimientos que exijan la prueba sistemtica de las mismas aefectos de establecer los mnimos niveles de confiabilidad.


20/20

e. Efectos y/o implicancias probables

La municipalidad est expuesta a la perdida de informacin por no poseer un chequeo sistemtico peridico de los backup's.c. ndice de importancia establecida..0 ( cero )d. Sugerencias

Minimizar los efectos, ser posible a travs de:Desarrollar normas y procedimientos generales que permitan la toma de respaldo necesarios, utilitario a utilizar.Implementar pruebas sistemticas semanales de las copias y distribucin de las mismas.

4. Plan de Contingenciasa. Observacin

Ausencia de un Plan de Contingencia debidamente formalizado en la unidad de Informtica.No existen normas y procedimientos que indiquen las tareas manuales e informticas que son necesarias para realizar y

recuperar la capacidad de procesamiento ante una eventual contingencia (desperfectos de equipos, incendios, cortes de energacon ms de una hora ), y que determinen los niveles de participacin y responsabilidades del rea de sistemas y de los usuarios.

b. Efectos y/o implicancia probablePrdida de informacin vital.Prdida de la capacidad de procesamiento.

Prdida de Tiempo.

c. ndice de Importancia relativa..1 ( uno )d. Sugerencias

Establecer un plan de contingencia escrito, en donde se establezcan los procedimientos manuales e informticos pararestablecer la operatoria normal de la Municipalidad y establecer los responsables de cada sistema.

Efectuar pruebas simuladas en forma peridica, a efectos de monitorear el desempeo de los funcionarios responsables anteeventuales desastres.

Establecer convenios bilaterales con empresas o proveedores a los efectos de asegurar los equipos necesarios para sustentarla continuidad del procesamiento.

5. Relevamiento de Hardware

5.1 Comunicaciones

En casa central existe una red local (Ethernet) conectada al equipo central (Pentium IV).CableadoEl cableado es estructurado y con cables del tipo UTP categora S.En General no presenta problemas de cableado.

Utiliza internet inalmbrico para la poblacin en general no libre de fuerzas naturales, como lluvias,etc.

Lo cual seria perjudicial para los equipos.

Trabajo Final-Auditoria y Control

Documents

Transcript of Trabajo Final-Auditoria y Control