Sei sulla pagina 1di 45

INFORME DE AUDITORIA DE SISTEMAS 1.

DEFINICION: La elaboracin del informe de auditora sistemas es el punto final del proceso de captacin y tratamiento de la informacin obtenida del sistema auditado. Esta informacin ha de ser suficiente para que el auditor, con su experiencia y conocimiento, sea capaz de realizar un diagnstico y realizar unas recomendaciones. 2. CARACTERISTICAS DEL INFORME DE AUDITORIA DE SISTEMAS En la relacin del informe ,el auditor seala los resultados de su investigacin ,sus evaluaciones, hallazgos, aportaciones y conclusiones sobre el trabajo realizado; tambin ,tambin seala las tcnicas ,herramientas ,mtodos y procedimientos que utilizo en la obtencin de datos ,las observaciones e interpretaciones de los fenmenos y hecho evaluados que le sirvieron de sustento en la elaboracin de documentos de situaciones encontradas o relevantes que informa, as como todas las dems aportaciones con las cuales da su sello personal al informe presentado . Evidentemente ,el informe de una auditoria de sistemas computacionales es producto de la experiencia y conocimientos del auditor que lo presenta ;por esta razn, adems de servir para sealar las observaciones, desviaciones y resultados encontrados ,este documento tambin sirve para que el auditor exhiba los conocimientos ,tcnicas y procedimientos que utilizo para evaluar el rea de sistemas ,asimismo, en su redaccin muestra su forma de ser y de actuar profesionalmente ,as como su cultura . De hecho, esto tambin se juzga en la presentacin del informe de auditoria; no solo el resultado, sino quien y como lo presenta .por eso es muy importante conocer las caractersticas fundamentales de la elaboracin del informe de la auditoria. Para contribuir a incrementar la calidad en la presentacin del informe de auditoria ,misma que se puede hacer extensiva a cualquier otro tipos de trabajo profesionales ,e incluso personales o escolares ,a continuacin presentamos algunas de la principales caractersticas de la redaccin del informe de auditoria ,las cuales ayudaran al auditor de sistemas computacionales a mejorara su elaboracin . 2.1 CARACTERISTICAS FUNDAMENTALES:

Inicialmente, se pueden identificar dos caractersticas fundamentales en los informes de auditoria de sistemas, las cuales siempre se refieren al contenido del informe y a la forma de presentarlo; dichas caractersticas son las siguientes A. Caracterstica de fondo.Estas caractersticas se refieren al cuidado que debe tener el auditor de sistemas al revisar que el contenido total del informe de auditoria sea acorde con lo que realmente tiene que sealar acerca de la revisin efectuada, refirindose exclusivamente al contenido del informe; para ello debe tomar e cuenta los siguientes aspectos: * Que la informacin que contiene el documento sea veraz, confiable y oportuna y sin distorsiones ni tendencias que demeriten el trabajo realizado.

* Que el uso de la terminologa sea exacto y objetivo, para que se entiendan e interpreten las desviaciones reportadas tal y como se quisieron plasmar. * Que el contenido del informe sea congruente con lo observado, sin inventar, distorsionar o modificar lo encontrado en la evaluacin. * Que permita mostrar la situacin real del rea auditada, a fin de identificar y solucionar lo encontrado en la evaluacin. * Que permita mostrar, con su simple lectura, la situacin real del rea auditada, a fin de solucionar la problemtica sealada. * Que su contenido abarque todo lo que se debe informar del rea auditada, sin abundar en explicaciones intiles, pero sin ser parco en lo que se presenta. * Que el lector capte inmediatamente la problemtica que reporta el auditor, as como la opinin que plasma respecto al funcionamiento del rea de sistemas o de sistemas auditados. B. Caracterstica de forma.Se refiere a la manera en que el auditor debe presentar el informe, en cuanto al estilo de redaccin, contenido en partes, apartados, apndices, tipo y tamao de las hojas y el tipo de letra, ortografa, sintaxis, gramtica y dems componentes del lenguaje, y en si de todo lo relacionado con la presentacin del documento. Al redactar dicho informe, el auditor debe considerar los siguientes aspectos: Que est redactado en forma concisa, clara, sencilla y amena, sin exceso de tecnicismo, pero sin omitirlos cuando sean necesarios, a fin de que su lectura sea comprensible. Que al redactarlo se eviten la redundancia, repeticiones y reiteraciones intiles que solo abultan y entorpecen la lectura. Que la forma de presentar el informe sea profesional, mecanografiado en forma impecable y con el contenido exacto que debe este tipo de documentos. Que su redaccin sea impecable en cuanto ortografa y puntuacin Que el contenido sea acorde a las necesidades y exigencias de la empresa auditora 2.2 CARACTERISTICAS DE LA PRESENTACION DEL INFORME

Claridad Confiabilidad

Propiedad Concisin Sencillez Acertividad Ilacin Tono y fuerza Oportunidad Exactitud Imparcialidad Objetividad Congruencia Familiaridad Veracidad Efectividad Positividad 2.3 CARACTERISTICAS IMPORTANTES PARA EL LECTOR DEL INFORME DE AUDITORIA Que el informe tenga familiaridad Que el contenido del informe sea coloquial Que el contenido del informe sea variado Que se entregue y comente oportunamente Que su lectura sea sencilla Que su contenido est fundamentado Que su redaccin sea clara

Que la informacin contenida sea contundente Que este redactado en un estilo impersonal Que su contenido est sintetizado Que su contenido sea ameno y entendible Que sea enftico en las situaciones reportadas 3. PROCEDIMIENTOS PARA ELABORAR EL INFORME DE AUDITORIA DE SISTEMAS En el informe de auditora se reportan las situaciones encontradas durante la evaluacin pero tambin se deben incluir las causas que originan esas situaciones y las posibles sugerencias para solucionar los problemas encontrados. Sin embargo la elaboracin del informe, el cual es el punto ms importante de la auditoria de sistemas, es uno de los aspectos ms difciles para los auditores debido a que requiere procedimientos complicados, propios de las auditorias los cuales se tienen que llevar a cabo mediante una secuencia como lo que se propone en la figura. En ella se describe un ordenamiento general de realizacin del informe el cual va desde la aplicacin de los instrumentos de recopilacin hasta la presentacin del informe a los directivos de la empresa. Est claro que el producto final y el ms importante de una auditoria de sistemas es la elaboracin correcta del informe, ya que en este se presentan los resultados obtenidos durante la evolucin de la gestin administrativa del centro de cmputo o de cualquier otro aspecto relacionado con los sistemas. 3.1 PASOS PARA ELABORAR DICHO INFORME SE COMPONE DE:

Aplicar instrumentos de recopilacin De acuerdo con el programa para la auditoria de sistemas, el auditor aplica los instrumentos, tcnicas, procedimientos y herramientas que diseo en la etapa de planeacin con el propsito de realizar la evaluacin a los sistemas, a las reas de centros de cmputo o a cualquier otro aspecto. Con la aplicacin de estos instrumentos, el auditor detecta las posibles desviaciones a la actividad que se est evaluando y de acuerdo con sus conocimientos y experiencias las analiza y las registra en el formato de situaciones encontradas que analizaremos continuacin. INSTRUMENTOS DE RECOPILACION:

Este tiene como objetivo identificar los principales instrumentos tcnicas, herramientas y mtodos utilizados en la recopilacin de informacin: Las cuales se detallan a continuacin: a) Entrevista b) Cuestionarios c) Encuestas d) Observacin e) Inventarios f) Muestreo g) Experimentacin Al utilizara estas herramientas, mtodos y procedimientos en auditoria de sistemas lo que hace es utilizar lo mejor de ellas para adecuarlas a las necesidades especificas de la evaluacin requerida. IMPORTANCIA DEL USO DE HERRAMIENTAS COMPUTADORIZADAS EN LA AUDITORA Las herramientas computadorizadas de apoyo a la auditora se suelen clasificar en dos categoras genricas, a saber: tcnicas y herramientas Podemos decir de estos que las: Tcnicas: extraccin y anlisis de datos, deteccin de fraude, monitoreo continuo, valoracin de la seguridad de la red, control de comercio electrnico, evaluacin del control interno y papeles de trabajo automatizados. Herramientas: procesadores de texto, hojas electrnicas, software especializado de auditora, correo electrnico, diagramas de flujo, bases de datos, administracin de datos y groupware, administracin de la auditora y administracin de riesgo Registrar en el formato de situaciones encontradas las desviaciones halladas durante la revisin Con la aplicacin de los instrumentos diseados en la etapa de planeacin, el auditor identifica aquellas posibles desviaciones que encuentra durante su evaluacin y hace un anlisis comparativo de la operacin normal contra la esperada. Una vez hecho este anlisis, entonces puede definir aquellas situaciones encontradas en su evaluacin. Las desviaciones que reporta el auditor tienen caractersticas especiales, las cuales debes plasmar por escrito en un documento de carcter formal, al que llamaremos formato de situaciones encontradas. Adems como requerimiento ineludible, dicho reporte debe estar perfectamente elaborado, en cuanto a su redaccin, claridad, oportunidad y otras caractersticas propias del informe de auditora que analizaremos en el apartado correspondiente.

Est claro que la principal funcin del auditor es reportar todas las desviaciones que observo durante la auditoria de sistemas, para la cual puede utilizar el formato que ms le plazca y de la manera en que se acostumbre reportar dichas observaciones en la empresa en donde se realiza la auditoria; sin embargo a continuacin sugerimos la adopcin de un formato muy fcil de elaborar por la simplicidad y la sencillez para plasmar esas desviaciones. Este es el formato de situaciones encontradas el cual contiene las siguientes columnas las situaciones, las causas, las soluciones, los responsables de la solucin y las fechas de la solucin Comentar las situaciones encontradas con los auditados Una vez identificadas las situaciones encontradas, es responsabilidad del encargado de la auditoria que el auditor o supervisor (que puedes ser el propio responsable de la auditoria) comenten cada una de esas desviaciones con el personal responsable de la operacin, sistema o funcin auditada. Es indispensable que cada una de estas desviaciones sean discutidas con las empleados funcionarios o usuarios que fueron auditados, ya que de alguna manera estos son responsables de que se presenten dichas situaciones ( o cuando al menos estn involucrados en ellos) el propsito de informarles es que ratifiquen o rectifiquen el origen de tales desviaciones; adems tambin le sirve al auditor para complementar la redaccin de las situaciones que reporta con ello se busca que estas sean las mas claras posibles y mas entendidas a fin de que se reporten exactamente como quieren sealar cada desviacin. La auditoria no es una cacera d brujas para cortar las cabezas de los auditados; es una revisin para encontrar posibles desviaciones en su actividad cotidiana y es deber del auditor comentarlas con ellos para resolver de comn acuerdo. Encontrar, conjuntamente con los auditados, las causas de las desviaciones y sus posibles soluciones Como lo sealamos en el punto anterior la necesidad de comentar las desviaciones con los responsables de la operacin, tambin remarcaremos que de estos comentarios se puede obtener de manera ms fidedigna y confiable las causas que generan cada una de las desviaciones a fin de reportarlas en el informe de auditora lo ms apegado posible a la realidad. Est claro que al conocer las desviaciones que se le imputan, el auditado tratara de defenderse, sealando las causas que originaron cada una de las desviaciones encontradas con ello el auditor puede corroborar o rectificar las causas que haba planteado adems le permite obtener, de manera directa y en voz de los involucrados las posibles soluciones a estas desviaciones incluso hasta el responsable de llevarlas a cabo. Este es el verdadero trabajo del auditor, reportar las desviaciones que encontr durante su evaluacin, encontrar las causas que las originan y acordar las posibles colusiones

conjuntamente con el auditado. As al es como se entiende y debe entenderse la funcin de la auditoria de sistemas Cuando se da esta retroalimentacin con el personal auditado, de ellos mismos se puede relacionar a la posible responsabilidad de la solucin y la fecha compromiso que se puede llegar a solucionar cada una de las desviaciones presentadas. Analizar, depurar y corregir las desviaciones encontradas Una vez que se comentaron las desviaciones con los auditados y se obtuvieron sus causas y posibles soluciones el responsable de la auditoria de sistemas ser el encargado de analizar las desviaciones vigilando que cada una de este perfectamente plasmado y correctamente redactado en el formato de situaciones encontradas. La redaccin y presentacin de estas desviaciones debe hacerse los mas correctamente posible sin admitir ni el mas mnimo error de ortografa, redaccin tipografa. Esta es la principal responsabilidad del encargado de la auditoria de sistemas vigilar el correcto reporte de las situaciones encontradas. Cada auditor elabora un borrador o mecanografiadas, las observaciones que observo durante su evaluacin y al mismo tiempo es responsable de comentarlas con el personal auditado para obtener de ellos sus causas y soluciones. Una vez que fueron comentadas y en su caso corroboradas o rectificados, entonces entrega un informe al responsable de la auditoria quien ser el encargado de analizar cada una de estas desviaciones, a fin de redactar mejor concretadas y a darles una estructura jerrquica de presentacin en un informe global de situaciones relevantes encontradas durante la evaluacin de os sistemas. Jerarquizar las desviaciones encontradas y concentrar las ms importantes en el formato de situaciones relevantes. Una vez que el responsable de la auditoria de los sistemas haya supervisado que el informe de desviaciones encontradas este correctamente elaborado, debe analizar toda las desviaciones reportadas, a fin de escoger las que considere las mas importantes para reportarlas en el formato de situaciones relevantes el propsito es enfatizar lo que considera como lo mas importantes de la evaluacin practicada a fin que los directivos conozcan los aspectos mas relevantes. Las situaciones que se reportan como las ms relevantes se deben redactar tal como fueron reportadas en el formato de situaciones relevantes (se sugiere que siempre sea as). Sin modificarse (es propiamente una copia fiel de estos). Esta la ms conveniente para evitar confusiones de interpretacin de error mecanogrficos o a cualquier otra alteracin que desea reportar como relevante. Adems as corrobora que las desviaciones fueron comentadas con el personal auditado. Con esto no habr lugar para ninguna mala interpretacin ni evasin de responsabilidades cuando el informe de situaciones relevantes sea comentado con los directivos del rea de sistemas, adems ser ms fcil mecanografiar dicho informe.

Comentar las situaciones relevantes con los directivos del rea de sistemas y confirmar las causas y soluciones. As como las situaciones encontradas se comentaron con los auditados, tambin las situaciones relevantes se deben comentar con los directivos del rea de sistemas a fin estos las conozcan, el personal auditado puede, a juicio de los directivos, estar presente para cualquier posible aclaracin sobre lo informado. Esto es lo ms recomendable. El responsable de la auditoria debe encabezar la presentacin de este informe al directivo de mayor jerarqua del rea de sistemas. Por lo general estas reuniones consideradas como relevantes; aunque tambin se pueden presentar las llameas situaciones encontradas. Adems, si el encargado de la auditoria lo considera pertinente, cada auditor puede presentar el informe de la parte que le toco evaluar, o puede hacerlo una sola persona en representacin del responsable de la evaluacin. Todo se hace d acuerdo con el estilo y costumbre de realizar estas presentaciones. Tambin es decisin del encargado que cada auditor aclare las dudas de los participantes en esta reunin. En esta reunin se presentan los resultados obtenidos en la auditoria de sistemas y el informe a los directivos del rea auditada se debe hacer en forma abierta y preferentemente en presencia de todo el personal auditado; esto obedece a que aun con sus causas y soluciones. Aunque esto no es muy usual, ya que se debe tomar en cuenta que los problemticas, situaciones, incidencia, desviaciones u observaciones encontradas durante la auditoria y reportadas en el formato de situaciones relevantes, ya fueron comentadas con cada uno de los auditados. No obstante, como es natural, en estas reuniones muchos de los auditados trataran de evadir o justificar su responsabilidad en las desviaciones e incluso en algunos casos extremos, pueden hasta negar la existencia o conocimiento de la situacin que se les imputa. Recordemos que est personal esta ante su jefe y difcilmente aceptara sus errores pblicamente. Como resultado de esta reunin, se pueden elaborar las modificaciones que cada caso requieran, de ser necesario, se puede convocar a una nueva reunin para presentar las situaciones relevantes, pero no para comentar con los auditados las situaciones encontradas. Concentrar, depurar y elaborar el informe final de auditora, as como el dictamen del auditor El siguiente paso es que el auditor responsable de la auditoria depure cada una de las situaciones relevantes reportadas, con el fin de concentrarlas en el llamado informe final de auditora. Debido a que le informe es para el rea directiva de la empresa, no debe exceder de dos o tres hojas. En este informe el auditor solo debe sealar lo ms relevante de la evaluacin, incluyendo su opinin.

La elaboracin del informe es el verdadero trabajo del responsable de auditoria, debido a que en este documento es donde realmente se muestra la importancia de su actividad, al sealar en que situacin estaba el rea de sistemas ante la evaluacin practicada por los auditores a su cargo; adems debe emitir una opinin autorizada sobre el funcionamiento del centro de computo, sus sistemas de informacin, el cumplimiento del personal y usuarios o sobre cualquier otro aspecto relacionado con los sistemas de la empresa auditada. Debemos aclarar que la razn de plasmar este informe en tan poco espacio es que los directivos de una empresa, por lo general, tienen poco conocimiento del lenguaje que se maneja en los sistemas de la institucin; por lo tanto, el informe final debe ser lo mas sencillo, claro, comprensible para ellos, procurando evitar, al mximo posible, el uso de trminos demasiados tcnicos y desconocidos para personas ajenas a la informtica. Solo se deben destacar los aspectos ms importantes del rea, desde el punto de vista de los directivos y no del personal que maneja los sistemas. Presentar el informe y dictamen final a los directivos de la empresa El ltimo paso del informe de auditora de sistemas es la presentacin oficial del informe (informe final de auditora), lo cual se puede hacer de dos maneras, ya sea en forma directa, mediante una reunin ejecutiva con los directivos de la empresa, o por envi formal del informe final de la auditoria al directivo mayor de la firma. Este y es el informe final de la auditora practicada y, por lo tanto, no se debe admitir ningn comentario adicional que pudiera modificar lo ah presentado; ya que es el producto final de la auditoria, y por lo tanto como crear expectativas de duda sobre la veracidad y confiabilidad de su contenido. Por lo general, a esta presentacin solamente asisten el cuerpo directivo de la empresa auditada y el cuerpo ejecutivo de la empresa encargada de realizar la auditoria; aunque nada simple que estn presentes tanto el personal del rea d sistemas auditada, como los auditores participantes. En el caso de una auditora interna, solo asisten el auditor y su cuerpo ejecutivo. 4. ESTRUCTURA DEL INFORME DE AUDITORIA DE SISTEMAS Aunque hay muchas formas de presentar el siguiente informe de auditora de sistemas, de acuerdo con las preferencias de la empresa o del auditor que realiza la auditoria. Este es el documento final, de carcter formal, en el que se presentan por escrito todos los aspectos importantes que fueron catalogados como deficiencias de las operaciones auditadas, as como el cumplimiento de las funciones y de los resultados obtenidos con las actividades evaluadas durante la auditoria. El auditor plasma su dictamen y opinin personal en este documento y lo sustenta con documentos de apoyo y los papeles de trabajo en los que va haciendo las anotaciones de las tcnicas, mtodos y procedimientos que utilizo durante el desarrollo del trabajo.

En el informe de auditora, el cual es un documento en el que se hace la presentacin formal de los resultados obtenidos durante la auditoria, debe contener como mnimo lo siguiente: o Oficio de Presentacin o Introduccin o Dictamen de la auditoria o Situaciones relevantes o Situaciones detectadas o Anexos o Confirmaciones en papeles de trabajo 4.1 DESARROLLO DE LA ESTRUCTURA DEL INFORME DE AUDITORIA DE SISTEMAS. 4.1.1 OFICIO DE PRESENTACION Es la primera parte del informe de auditora y es un documento de carcter oficial que sirve de presentacin del informe, mediante este documento se pone a consideracin de los directivos de la empresa el resultado de la auditora practicada al rea de sistemas. El contenido y presentacin de dicho documento varan de una institucin a otra, pero en esencia este documento debe ser elaborado en la papelera oficial de la empresa y debe contener como mnimo los siguientes aspectos: Logotipo y nombre de la empresa Fecha de informe Funcionario que recibe el informe Empresa o rea auditada Periodo de evaluacin Contenido o cuerpo del oficio Responsable de emitir el informe Firma autgrafa del responsable 4.1.2 INTRODUCCION Es la parte del informe donde el responsable de la auditora hace la presentacin formal de su trabajo; en este apartado se manifiesta el objetivo de la auditora, las razones que motivaron a llevarla a cabo y, si es el caso, los fundamentos que apoyen su realizacin, en algunas ocasiones tambin se pueden indicar la metodologa y las herramientas utilizadas en la evaluacin de los sistemas, aunque esto ltimo no es forzoso. Debemos sealar que no existen reglas especficas para elaborar esta introduccin; sin embargo, se puede establecer como nica regla que su redaccin debe ser impecable y debe tener una excelente presentacin, ya que es la primera parte que se lee del informe de auditora. La introduccin es frecuentemente la invitacin a seguir leyendo el resto del

informe; sin embargo, cuando esta parte est mal redactada, crea rechazo casi inmediato para seguir adelante con la lectura. Debido a lo anterior, a continuacin presentamos una serie de sugerencias que ayudarn al auditor y al responsable del informe a mejorar la elaboracin de dicha introduccin. Debemos aclarar que los puntos que analizaremos a continuacin no son apartados de la introduccin, y slo se presentan para que el lector los identifique, pero no se deben anotar en el informe: o Aspectos generales o Prlogo o Objetivo o Justificacin 4.1.3 INFORME CORTO DE LA AUDITORIA (DICTAMEN) Tal vez sta sea la parte ms importante de una auditora de sistemas computacionales y, en muchas ocasiones, lo que ms esperan los directivos de la empresa o del rea auditada, debido a que es una opinin profesional respecto al comportamiento de los sistemas. Evidentemente, el dictamen est apoyado en la experiencia y conocimientos del auditor en las reas de auditora y sistemas, as como en la confianza del uso de las herramientas e instrumentos apropiados. Cada empresa de auditora o auditor que elabora un dictamen debe emitir su opinin de acuerdo con su costumbre, experiencia o segn los requisitos de la empresa auditada; sin embargo, por la importancia que tiene este informe en el rea de sistemas, o en cualquier otra rea, a continuacin presentaremos un formato de dictamen y algunas recomendaciones para emitirlo de una mejor manera. Es el documento de carcter formal donde el auditor plasma su opinin profesional respecto al comportamiento de los sistemas y debe cumplir los siguientes requisitos: o Logotipo de identificacin o Nombre de la empresa o Fecha de emisin del dictamen o Ejecutivo receptor del dictamen o Breve introduccin al dictamen o Contenido del informe de auditora, jerarquizando situaciones por importancia de mayor a menor o de menor a mayor o Cronologa de ocurrencia de las situaciones que se reportan o reas de trabajo o reas Administrativas o Procedimiento de operacin o actividad o Simple listado sin ningn orden especfico o Dictamen y recomendacin del auditor o Responsable de emitir el dictamen 4.1.4 SITUACIONES RELEVANTES

Son formatos de presentacin de los aspectos ms relevantes y de mayor peso encontrados durante la evaluacin. Parte fundamental del informe de auditora son los formatos de situaciones relevantes;" stos son los documentos oficiales donde el responsable de la auditora reporta las desviaciones que, segn su criterio, son las ms importantes encontradas durante el desarrollo de la auditora. Estos formatos se anexan para posibles aclaraciones y consultas de las desviaciones que se reportan en el dictamen; aunque, cabe recordar, el auditor debi comentar este documento con los directivos del rea de sistemas, como indicamos al principio. Formato de situaciones relevantes Este documento es una rplica simplificada del formato anterior, slo que en ste nicamente se anotan las situaciones consideradas como relevantes, resultado del anlisis al documento anterior, es decir, slo se incluyen aquellas observaciones que a juicio del auditor o del responsable de la auditora son realmente importantes para el desarrollo de las actividades del rea de sistemas evaluada. Debemos insistir que en este documento slo se presentan las situaciones ms significativas detectadas durante la evaluacin. Es recomendable que las situaciones relevantes incluidas en este documento sean la mismas que las establecidas en el formato de las situaciones detectadas, incluso con las mismas palabra; pero aqu no deben aparecer a mano sino impecablemente mecanografiadas. Tambin se sugiere seguir el mismo orden planteado en el documento anterior. A continuacin presentamos una propuesta del formato de situaciones relevantes, el cual servir de base para las siguientes aplicaciones de auditora de sistemas que haremos. Este formato, que tambin se elabora en forma individual, tiene tres columnas bsicas en las cuales se anotan, exclusivamente en computadora o a mquina, los siguientes aspectos: * Las situaciones relevantes, que son lo que ms se destac en el documento anterior y que se determin como lo ms importante de destacar, segn las pruebas, procedimientos y tcnicas utilizados para hacer la evaluacin. * Las causas, que son los motivos de las desviaciones. * Las posibles soluciones, que son las posibles soluciones para las desviaciones. 4.1.5 SITUACIONES DETECTADAS Presentacin de todas las desviaciones encontradas durante la auditoria, con las causas reales que las provocaron y sus posibles soluciones.

Como parte complementaria del formato anterior, tambin se puede integrar en el informe de auditora de sistemas computacionales el formato de situaciones encontradas, que es donde se concentran todas las desviaciones encontradas durante la evaluacin. Su inclusin en el dictamen es a criterio del responsable de la auditora, debido a que sera muy improbable que los receptores del informe final, generalmente altos funcionarios de la empresa, tomen en cuenta el anlisis de este documento. Adems, este formato dio origen al de situaciones relevantes y este ltimo dio pie a la elaboracin del dictamen de auditora. Por ello se consultara muy espordicamente. Formato de situaciones encontradas Este documento, que es uno de los documentos nas importantes para o desarrollo de cualquier auditora de sistemas, es un formato especial para la recopilacin de situaciones o desviaciones encontradas, el cual est formado por una serie de hojas (formatos individuales) en las cuales el auditor anota en manuscrito o tipografa todas las desviaciones que encuentra durante su evaluacin. Este formato, en forma individual, tiene seis columnas bsicas en las que se anotan los siguientes asuntos: La referencia: es un nmero consecutivo, combinado o marca especial, mediante el cual se identifica la situacin a tratar. Las situaciones detectadas: especficamente, es la descripcin de lo que se encontr en un determinado punto de la evaluacin, segn las pruebas, procedimientos o tcnicas de evaluaciones utilizadas para hacer la revisin; cada una de estas desviaciones es parte importante del documento. Las causas: es la presentacin de los motivos e imputaciones que originaron la desviacin y puede ser una sola causa o varias las que ocasionaron esta desviacin, todas se anotan, a criterio del auditor. Las posibles soluciones: son sugerencias del auditado o del auditor para solucionar las desviaciones reportadas. Casi siempre corresponde una solucin para cada una de las causas reportadas. Fecha de compromiso: es el perodo o la fecha tentativa para implantar la solucin acordada. Se anota una fecha para cada solucin propuesta. Responsables de las soluciones: son los funcionarios, empleados o cualquier persona responsable de implantar las soluciones. Tambin se acostumbra anotar un responsable por cada solucin, aunque a veces parezca repetirse el mismo responsable. 4.1.6 ANEXOS

Cuadros, estadsticas, acta o cualquier otro documento que sirva de soporte para reafirmar las desviaciones presentadas. El auditor puede obtener otro tipo de informacin que puede llegar a ser til para realizar la evaluacin: Resultados del procesamiento de datos. Descripcin de puestos, funciones y actividades. Resultados de pruebas y clculos de procesamientos que se efectan en el sistema. Copias de formatos y licencias de programas y paqueteras. Copias de resguardos de equipos y mobiliario Mapas de distribucin de redes, instalaciones, equipos, muebles y sistemas de informacin. Mapas de rutas de evacuacin y seguridad del rea de sistemas. Bitcoras de reportes y reportes de servicios de mantenimiento preventivo y correctivo. Resultados de inventarios y pruebas de la arquitectura de los sistemas. Resultados de diseos, anlisis, codificacin, pruebas y liberacin de sistemas. Copias de programas fuente, objeto, y codificacin de los sistemas desarrollados en la empresa. Resultados de cotizaciones y estudios de mercado para adquisiciones de hardware, software, mobiliario y consumibles de sistemas. Diagramas de sistemas de programacin y desarrollo de sistemas. 4.1.7 CONFIRMACIONES EN PAPELES DE TRABAJO Son pruebas documentadas que sirve de soporte para sustentar las desviaciones, causas u otros aspectos relevantes encontrados. La evidencia y los papeles de trabajo constituyen el soporte fundamental de los hallazgos detectados por el auditor, de ah la importancia que reviste la suficiencia, relevancia y competencia de la evidencia as como la calidad y claridad de los Papeles de Trabajo, atendiendo a que la informacin de aqu se recoge est escrita siempre a terceros que son los clientes de nuestro servicio. 4.2 FORMATOS PARA EL INFORME DE AUDITORIA DE SISTEMAS

Existen muchas formas de desviaciones que se detectan en una auditoria de sistemas, que se presentan de acuerdo a las experiencias, conocimientos y necesidades del responsable en hacer la auditoria. Adems existen empresas que realizan un trabajo de auditoria, ellos tienen establecidas sus propias formas de reportar las observaciones, estandarizando as la forma de elaborar su informe de auditoria. Podemos tomar de ejemplo dos formatos de auditoria que son mas funcionales , por la forma que ayudan al auditor a reportar las situaciones encontradas en la auditoria, con la finalidad de que la persona lectora entienda lo que se esta informando en estos documentos. Estos facilitaran: la forma de reportar las desviaciones observadas en la evaluacin. para ensear a los auditores principiantes como elaborar informes de auditoria, pues son fciles de llenar y comprender. Los siguientes formatos son: Formatos de situaciones encontradas Formatos de situaciones relevantes 4.2.1 FORMATOS DE SITUACIONES ENCONTRADAS: Este documento que es uno de los ms importantes para el desarrollo de cualquier auditoria de sistemas, es un formato especial para la recopilacin de situaciones o desviaciones encontradas, esta formada por una serie de hojas (formatos individuales) en las cuales el auditor anota en manuscrito, todas las desviaciones que encuentre durante su evaluacin: Este formato, en forma individual tiene seis columnas bsicas en las que se anotan los siguientes asuntos: a) REFERENCIA: Es un numero consecutivo, combinado o marca especial mediante el cual se identifica la situacin a tratar. b) LAS SITUACIONES DETECTADAS: es la descripcin de lo que se encontr en un determinado punto de la evaluacin. segn las pruebas, procedimientos o tcnicas de evaluacin, utilizados para hacer la revisin, estos son parte importante del documento. c) LAS CAUSAS: es la presentacin de los motivos que originan la desviacin y puede ser una sola causa o varias las que ocasionaron estas desviaciones, todos se anotan a criterio del auditor d) LAS POSIBLES SOLUCIONES: Son las sugerencias del auditor para solucionar las desviaciones Reportadas casi siempre corresponde una solucin para cada una de las causas reportadas.

e) FECHA DE COMPROMISO: Es el periodo para implantar la solucin acordada. Se anota una fecha para cada solucin propuesta. f) RESPONSABLE DE LAS SOLUCIONES: son los funcionarios, o persona responsable de implanta las soluciones. Se acostumbra a notar a un responsable por cada solucin, aunque a veces parezca repetirse el nombre de la misma persona responsable. [pic] IDENTIFICACION (EN LA PARTE SUPERIOR IZQUIERDA DEL FORMATO) Es el nombre donde se anota la empresa auditora, ya sea el de la empresa que hace la auditoria. Si es necesario que lleve el logotipo de auditora, cargado en la parte superior izquierda. REA AUDITADA (EN LA PARTE CENTRAL DEL FORMATO) Es el rea donde se anota el rea de informtica, seccin o unidad administrativa del sistema evaluada. Lo que se pretende con esta identificacin es que se tenga bien claro cul es el ambiente de trabajo donde se presentaron las desviaciones. FECHA DE EVELUACION (EN LA PARTE SUPERIOR DERECHA) En este recuadro se anota la fecha en que se presentan la evaluacin , con el formato dia, mes y ao. EN LA PARTE INFERIOR DEL FORMATO: Quien elaboro (Nombre y firma) Quien aprob (Nombre y firma) 4.2.2 FORMATOS DE SITUACIONES RELEVANTES Es la parte fundamental del informe de auditoria, estos documentos oficiales donde el responsable de la auditoria reporta desviaciones que segn criterio, son los mas importantes encontradas durante el desarrollo de la auditoria. SLO PRESENTAN LAS SITUACIONES MS SIGNIFICATIVAS DETECTADAS DURANTE LA EVALUACIN Continuacin dicho formato contiene: IDENTIFICACION AREA AUDITADA FECHA DE EVALUACION NUMERO DE REFERENCIA

SITUACIONES RELEVANTES CAUSAS DE LA DESVIACION SOLUCIONES PROPUESTAS. CAPITULO III CASO PRCTICO N 1 [pic] AUDITORIA INFORMATICA 1. 1. ORIGEN DE LA AUDITORIA: La presente Auditoria se realiza en cumplimiento del Plan Anual de Control 2003, aprobada mediante Resolucin de Contralora N 235- 2002-CG del 15 de Diciembre del 2002. 1.1. OBJETIVOS Y ALCANCE 1.1.1. OBJETIVO GENERAL Revisar y Evaluar los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones. 1.1.2. OBJETIVOS ESPECIFICOS - Evaluar el diseo y prueba de los sistemas del rea de Informtica - Determinar la veracidad de la informacin del rea de Informtica - Evaluar los procedimientos de control de operacin, analizar su estandarizacin y evaluar el cumplimiento de los mismos. - Evaluar la forma como se administran los dispositivos de almacenamiento bsico del rea de Informtica - Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pcs. - Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro del departamento de cmputo. 1.2. ANTECEDENTES La convencin Nacional el 29 de Diciembre de 1857 aprueba la ley que es promulgada por el libertador Ramn Castilla disponiendo que el Dpto. de Moquegua, conformando por 04 provincias: Tacna, Arica, Tarapac y Moquegua, entre otros departamentos., procedan a constituir juntas electorales en las capitales de departamentos., provincias y distritos, para q se elijan las primeras Municipalidades establecidas por la constitucin. En la Capital de la Provincia de Moquegua, deban elegirse 11 Municipalidades, en el resto de la Provincia (Torata, Omate, Ubinas, Carumas, Puquina, Iloe Ichua) el nmero de Municipalidades variaban de 3 a 5 miembros.

Anteriormente, el gobierno local de la provincia de Mariscal Nieto-Moquegua ocupaba una casona ubicada en la calle Moquegua N 851, inmueble cuya construccin data de 1799 y que fue donada a la Municipalidad de Moquegua el 05 de Setiembre de 1945. Actualmente la Municipalidad Provincial de Mariscal Nieto cuenta con una infraestructura moderna ubicada en la calle Ancash N 275 1.3. ENFOQUE A UTILIZAR La presente accin de control, se realiza de acuerdo con el organismo central y rector de los Sistemas Nacionales de Estadstica e Informtica, responsable de normar, supervisar y evaluar los mtodos, procedimientos y tcnicas estadsticas e informticas utilizados por los rganos del Sistema INEI (Instituto Nacional de Estadstica e Informtica), Normas Internacionales de Auditoria (NIA); habindose aplicado procedimientos de Auditoria que se consideraron necesarios de acuerdo a las circunstancias. La presente Auditoria Informtica se realizara en la Municipalidad Provincial de Mariscal Nieto, ubicada en el Distrito de Moquegua, Provincia Mariscal Nieto Departamento de Moquegua, siendo el rea a examinarse la de Informtica. 1.4. RELACION DE FUNCIONARIOS O PERSONAL A CARGO DEL AREA A EXAMINAR Periodo de Gestin Apellidos Cervantes Games, Manchiria Ceballos, Velsquez Zapata, Gamez Villa, N1420 Nombres Ivn Victoria Sonia Celia Cargo Jefe Planillas Secretaria Secretaria Del Al 01.01.03 30.12.03 01.01.03 30.12.03 01.01.03 30.12.03 01.01.03 30.12.03 Domicilio Av. Balta N232 Calle Lima N 44 Calle Moq.N145 Calle Lima

1.5. CRONOGRAMA DE TRABAJO PROGRAMA DE AUDITORIA EMPRESA: Municipalidad Provincial Mariscal Nieto FECHA: HOJA N FASE ACTIVIDAD - HORAS ESTIMADAS I VISITA PRELIMINAR Solicitud de Manuales y Documentaciones. Elaboracin de los cuestionarios. .Recopilacin de la informacin organizacional: estructura orgnica, recursos humanos, presupuestos. 8 HS. II DESARROLLO DE LA AUDITORIA Aplicacin del cuestionario al personal. Entrevistas a lderes y usuarios ms relevantes de la direccin. Anlisis de las claves de acceso, control, seguridad, confiabilidad y respaldos. Evaluacin de la estructura orgnica: departamentos, puestos, funciones, autoridad y responsabilidades.

Evaluacin de los Recursos Humanos y de la situacin Presupuestal y Financiera: desempeo, capacitacin, condiciones de trabajo, recursos en materiales y financieros mobiliario y equipos. Evaluacin de los sistemas: relevamiento de Hardware y Software, evaluacin del diseo lgico y del desarrollo del sistema. Evaluacin del Proceso de Datos y de los Equipos de Cmputos: seguridad de los datos, control de operacin, seguridad fsica y procedimientos de respaldo. 32 HS. III REVISION Y PRE-INFORME Revisin de los papeles de trabajo. Determinacin del Diagnostico e Implicancias. Elaboracin de la Carta de Gerencia. Elaboracin del Borrador. 16 HS. IV INFORME Elaboracin y presentacin del Informe. 4 HS. 1.6. EJECUCION DE LA REVISION ESTRATEGICA 1.6.1. CONOCIMIENTO INICIAL DE LA ENTIDAD Anteriormente, el gobierno local de la provincia de Mariscal Nieto-Moquegua ocupaba una casona ubicada en la calle Moquegua N 851, inmueble cuya construccin data de 1799 y que fue donada a la Municipalidad de Moquegua el 05 de Setiembre de 1945. Actualmente la Municipalidad Provincial de Mariscal Nieto cuenta con una infraestructura moderna ubicada en la calle Ancash N 275 1.6.2. AUTORIDADES DE LA MUNICIPALIDAD PROVINCIAL DE MARISCAL NIETO NOMBRE Dr. Vicente Antonio Ceballos Salinas Dr. Javier Flores Arocutipa Mag. Hilda Guevara Gomez Ing. Oscar Paredes Vargas Mag. Victor Cornejo Rodriguez Pedaggicas. CARGO Alcalde Vicerrector Decana de la Facultad de Ciencias de la Salud Decano de la Facultad de Ingeniera Decano de Cs.Jurdicas, Empresariales y

1.6.3. PRINCIPALES ACTIVIDADES: _ Acordar su rgimen de rgano Interior _ Aprobar su presupuesto _ Aprobar sus Bienes y Rentas _ Crear, modificar, suprimir o examinar sus contribuciones, atribuciones y derecho, conforme a Ley. _ Organizar, Reglamentar y Administrar sus servicios pblicos locales. _ Contratar con otras entidades pblicas y no pblicas, preferentemente locales, la atencin de los servicios que no administraron directamente.

_ Planificar el desarrollo de sus pueblos y ejecutar los planes correspondientes. _ Examinar el cumplimiento de sus propias Normas, a travs de sus propios medios o con el auxiliar de las fuerzas policiales. _ Celebrar contratos con otros municipios para organizar servicios comunes. _ Promover y organizar la participacin de los vecinos en el desarrollo comunal. 1.6.4. FUNCIONES GENERALES Planificar, ejecutar e impulsar, a travs de los rganos correspondientes, el conjunto de acciones destinadas a proporcionar al ciudadano, el ambiente adecuado para las satisfacciones de sus necesidades viales de vivienda, salubridad, abastecimiento, educacin, recreacin, transporte y comunicacin. Formular el plan de desarrollo distrital en concordancia con las necesidades y requerimientos de la poblacin organizada y los planes de desarrollo nacional y regional. Conducir los programas de acondicionamiento territorial, vivienda y seguridad colectiva, conforme lo establece la ley orgnica de municipalidades, velando por su ejecucin. La base normativa empleada est compuesta por las Normas Internacionales de Auditora (NIAs) 1001 Sistemas de Microcomputadoras, 1002 Sistemas de Microcomputadoras en Lnea, 1003 Sistemas de Bases de Datos, 1008 Evaluacin de Riesgos y Control Interno y el marco COBIT. 1.7. SISTEMAS Y CONTROLES IDENTIFICADOS a) Control de Actividades y Operaciones. La Municipalidad Provincial de Mariscal Nieto ha formulado el Reglamento deOrganizacin y Funciones (ROF), Asimismo la entidad ha formulado el Manual de Organizacin y Funciones. b) Controles de Confiabilidad y Validez de la Informacin. _ Las funciones y responsabilidades de cada funcionario y/o directivo estn establecidas en el Reglamento General Interno, Reglamento de Organizacin y Funciones (ROF). 1.8. OFICINA DE PLANEACION Y PRESUPUESTO 1.8.1. AREA DE CMPUTO E INFORMATICA MISION El rea de Computo e informtica de la municipalidad Provincial de Mariscal Nieto Moquegua, tiene por misin normar el adecuado uso y aprovechamiento de los recursos informticos; la optimizacin de las actividades, servicios procesos y acceso inmediato a informacin para la toma de decisiones, mediante el desarrollo, implantacin y supervisin del correcto funcionamiento de los sistemas y comunicaciones, as como la adquisicin y control de la plataforma fsica de computo. VISION:

El rea de cmputo e informtica, de la Municipalidad Provincial Mariscal Nieto capaz de liderar el desarrollo informtico, asegurando un marco transparente para el acceso a los ciudadanos a la informacin 1.8.2. SITUACION ACTUAL Ubicacin: El rea de cmputo e informtica orgnicamente depende de la oficina de planificacin y presupuesto, asumiendo la responsabilidad de dirigir los procesos tcnicos de informtica Recursos Humanos: Actualmente en el rea de cmputo e informtica labora una sola persona quien cumple las funciones de administracin, capacitacin, soporte y procesamiento de datos. Recursos informticos existentes: Servidores (Windows 2000 Server) Computadoras Personales Impresoras 3 15 5

1.8.3. OBJETIVOS: El rea de Cmputo e informtica tiene los siguientes objetivos Sectoriales: _ Apoyar a las Municipalidades Distritales de la Provincia de Mariscal Nieto. _ Estandarizar y Uniformizar informacin relevante referente a los gobiernos locales _ Brindar un mejor servicio a los usuarios de Moquegua, a travs de una pgina Web OBJETIVOS ESPECIFICOS (PRESUPUESTADOS): _ Equipamiento de la gestin Municipal. _ Optimizar las aplicaciones existentes a satisfaccin de la municipalidad. _ Digitalizacin de Partidas de Nacimiento, Matrimonio y Defuncin _ Brindar acceso a Internet _ Diseo y elaboracin de pginas Web. _ Alojamiento y Mantenimiento de la Pagina Web. 2. JUSTIFICACIN

Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos) Desconocimiento en el nivel directivo de la situacin informtica de la empresa Falta total o parcial de seguridades lgicas y fsicas que garanticen la integridad del personal, equipos e informacin. Descubrimiento de fraudes efectuados con el computador Falta de una planificacin informtica Organizacin que no funciona correctamente, falta de polticas, objetivos, normas, metodologa, asignacin de tareas y adecuada administracin del Recurso Humano Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados. Falta de documentacin o documentacin incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en produccin

2.1. MOTIVO O NECESIDAD DE UNA AUDITORIA INFORMTICA: 2.1.1. Sntomas de descoordinacin y desorganizacin: _ No coinciden los objetivos del rea de Informtica y de la propia Institucin. _ Los estndares de productividad se desvan sensiblemente de los promedios conseguidos habitualmente. Puede ocurrir con algn cambio masivo de personal, o en una reestructuracin fallida de alguna rea o en la modificacin de alguna Norma importante 2.1.2. Sntomas de mala imagen e insatisfaccin de los usuarios: _ No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de software en los terminales de usuario, refrescamiento de paneles, variacin de los ficheros que deben ponerse diariamente a su disposicin, etc. _ No se reparan las averas de hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que est abandonado y desatendido permanentemente. 2.1.3. Sntomas de debilidades econmico-financieras: _ Incremento desmesurado de costes. _ Necesidad de justificacin de Inversiones Informticas (la empresa no est absolutamente convencida de tal necesidad y decide contrastar opiniones). _ Desviaciones Presupuestarias significativas. _ Costes y plazos de nuevos proyectos (deben auditarse simultneamente a Desarrollo de Proyectos y al rgano que realiz la peticin). 2.1.4. Sntomas de Inseguridad: Evaluacin de nivel de riesgos _ Seguridad Lgica _ Seguridad Fsica _ Confidencialidad _ Los datos son propiedad inicialmente de la organizacin que los genera. Los datos de personal son especialmente confidenciales. AUDITORA FISICA 1. Alcance de la Auditoria Organizacin y cualificacin del personal de Seguridad. Remodelar el ambiente de trabajo. Planes y procedimientos. Sistemas tcnicos de Seguridad y Proteccin. 2. Objetivos _ Revisin de las polticas y Normas sobre seguridad Fsica. _ Verificar la seguridad de personal, datos, hardware, software e instalaciones _ Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico INFORME DE AUDITORIA 1. Identificacin del informe

Auditoria fsica. 2. Identificacin del Cliente El rea de Informtica 3. Identificacin de la Entidad Auditada Municipalidad Provincial Mariscal Nieto 4. Objetivos _ Verificar la estructura de distribucin de los equipos. _ Revisar la correcta utilizacin de los equipos _ Verificar la condicin del centro de cmputo. 5. Observaciones _ Falta de presupuesto y personal. _ Falta de un local ms amplio _ No existe un calendario de mantenimiento _ Falta de ventilacin. _ Faltan salida al exterior _ Existe salidas de emergencia. 6. Alcance de la auditoria Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado especialmente al Departamento de centro de cmputo de acuerdo a las normas y dems disposiciones aplicable al efecto. 7. Conclusiones: Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditora. El Departamento de centro de cmputo presenta deficiencias sobre todo en el debido cumplimiento de Normas de seguridad. 8. Recomendaciones Reubicacin del local Implantacin de equipos de ltima generacin Implantar equipos de ventilacin Implantar salidas de emergencia. Elaborar un calendario de mantenimiento de rutina peridico . Capacitar al personal. 9. Fecha Del Informe PLANEAMIENTO EJECUCION INFORME 011004 al 1510-04 16-1004 al 2011-04 10. Identificacin Y Firma Del Auditor APELLIDOS Y NOMBRES CARGO

231104 al 2811-04

MAMANI CUTIPA WILY AUDITORIA DE LA OFIMATICA 1. Alcance de la Auditoria. Planes y procedimientos Polticas de Mantenimiento Inventarios Ofimticos Capacitacin del Personal

AUDITOR SUPERIOR

2. Objetivos de la Auditoria.Realizar un informe de Auditora con el objeto de verificar la existencia de controles preventivos, detectivos y correctivos, as como el cumplimiento de los mismos por los usuarios. INFORME DE AUDITORIA 1. Identificacin del informe Auditoria de la Ofimtica 2. Identificacin del Cliente El rea de Informtica 3. Identificacin de la Entidad Auditada Municipalidad Provincial Mariscal Nieto 4. Objetivos Verificar si el hardware y software se adquieren siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa. Verificar si la seleccin de equipos y sistemas de computacin es adecuada Verificar la existencia de un plan de actividades previo a la instalacin Verificar que los procesos de compra de Tecnologa de Informacin, deben estar sustentados en Polticas, Procedimientos, Reglamentos y Normatividad en General, que aseguren que todo el proceso se realiza en un marco de legalidad y cumpliendo con las verdaderas necesidades de la organizacin para hoy y el futuro, sin caer en omisiones, excesos o incumplimientos. Verificar si existen garantas para proteger la integridad de los recursos informticos. Verificar la utilizacin adecuada de equipos acorde a planes y objetivos. 5. Observaciones _ Falta de licencias de software. _ Falta de software de aplicaciones actualizados _ No existe un calendario de mantenimiento ofimtico. _ Faltan material ofimtica. _ Carece de seguridad en Acceso restringido de los equipos ofimticos y software.

6. Alcance de la auditoria Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado especialmente al Departamento de centro de cmputo de acuerdo a las normas y dems disposiciones aplicable al efecto. El alcance ha de definir con precisin el entorno y los lmites en que va a desarrollarse la auditoria Ofimtica, se complementa con los objetivos de sta. 7. Conclusiones: Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditora. El Departamento de centro de cmputo presenta deficiencias sobre el debido cumplimiento de Normas de seguridad. La escasez de personal debidamente capacitado. Cabe destacar que la sistema ofimtico pudiera servir de gran apoyo a la organizacin, el cual no es explotado en su totalidad por falta de personal capacitado. 8. Recomendaciones Se recomienda contar con sellos y firmas digitales Un de manual de funciones para cada puesto de trabajo dentro del rea. Reactualizacin de datos. Implantacin de equipos de ltima generacin Elaborar un calendario de mantenimiento de rutina peridico . Capacitar al personal. 9. Fecha Del Informe PLANEAMIENTO EJECUCION INFORME 011004 al 1510-04 16-1004 al 2011-04 10. Identificacin Y Firma Del Auditor APELLIDOS Y NOMBRES QUIONEZ MAYTA CARMEN AUDITORIA DE LA DIRECCION 1. Alcance de la Auditoria. Organizacin y calificacin de la direccin de Informtica Plan Estratgico de Sistemas de Informacin. Anlisis de puestos Planes y Procedimientos Normativa Gestin Econmica. 2. Objetivos de la Auditoria.Realizar un informe de Auditora con el objeto de verificar la adecuacin de las medidas aplicadas a las amenazas definidas, as como el cumplimiento de los requisitos exigidos. 3. Resultados:

231104 al 2811-04 CARGO AUDITOR SUPERIOR

Se obtendr: Informe de Auditora detectando riesgos y deficiencias en la Direccin de Informtica. Plan de recomendaciones a aplicar en funcin de: OBJETIVOS Determinacin de la utilidad de polticas, planes y procedimientos, as como su nivel de cumplimiento. Examinar el proceso de planificacin de sistemas de informacin y evaluar si cumplen los objetivos de los mismos. Verificar si el comit de Informtica existe y cumple su papel adecuadamente. Revisar el emplazamiento del departamento de Informtica y evaluar su dependencia frente a otros. Evaluar la existencia de estndares de funcionamiento, procedimientos y descripciones de puestos de trabajo adecuados y actualizados. Evaluar las caractersticas de la comunicacin entre la Direccin de Informtica y el personal del Departamento. Verificar la existencia de un sistema de reparto de costes informticos y que este sea justo. AUDITORIA DE LA EXPLOTACION 1. Alcance de la Auditoria Evaluacin del personal y coherencia de cargos de la propia institucin. Normas y Procedimientos del rea de informtica. 2. Objetivos Realizar un informe de Auditora con el objeto de verificar la adecuacin de las funciones que sirven de apoyo a las tecnologas de la informacin. INFORME DE AUDITORIA 1. Identificacin del informe Auditoria de la Explotacin 2. Identificacin del Cliente El rea de Informtica 3. Identificacin de la Entidad Auditada Municipalidad Provincial Mariscal Nieto 4. Objetivos Verificar el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta transmisin de datos entre entornos diferentes. Verificar la existencia de normas generales escritas para el personal de explotacin en lo que se refiere a sus funciones

Verificar la realizacin de muestreos selectivos de la Documentacin de las Aplicaciones explotadas. Verificar cmo se prepara, se lanza y se sigue la produccin diaria. Bsicamente, la explotacin Informtica ejecuta procesos por cadenas o lotes sucesivos (Batch*), o en tiempo real (Tiempo Real*). Evaluar las relaciones personales y la coherencia de cargos y salarios, as como la equidad en la asignacin de turnos de trabajo. Verificar la existencia de un responsable de Sala en cada turno de trabajo. Revisar la adecuacin de los locales en que se almacenan cintas y discos, as como la perfecta y visible identificacin de estos medios. 5. Observaciones Incumplimiento de plazos y calendarios de tratamientos y entrega de datos Inexistencia y falta de uso de los Manuales de Operacin Falta de planes de formacin No existe programas de capacitacin y actualizacin al personal 6. Alcance de la auditoria Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado especialmente al rea de Informtica de acuerdo a las normas y dems disposiciones aplicable al efecto. 7. Conclusiones: Como resultado de la Auditoria de la Seguridad realizada al Municipio, por el perodo comprendido entre el 01 de Setiembre al 24 de Diciembre del 2004, podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditora. El rea de Informtica presenta deficiencias sobre todo en el debido cumplimiento de sus funciones y por la falta de ellos. 8. Recomendaciones Debern realizarse muestreos selectivos de la Documentacin de las Aplicaciones explotadas Asignar un responsable del Centro de Cmputos en cada turno de trabajo. Crear y hacer uso de manuales de operacin. Revisar los montajes diarios y por horas de cintas o cartuchos, as como los tiempos transcurridos entre la peticin de montaje por parte del Sistema hasta el montaje real. Realizar funciones de operacin, programacin y diseo de sistemas deben estar claramente delimitadas. Crear mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operacin del computador y los operadores a su vez no conozcan la documentacin de programas y sistemas 9. Fecha Del Informe PLANEAMIENTO EJECUCION INFORME 011004 al 1510-04 16-1004 al 2011-04 10. Identificacin Y Firma Del Auditor

231104 al 2811-04

APELLIDOS Y NOMBRES AROHUANCA ANTAHUANACO MICHELLA AUDITORIA DEL DESARROLLO 1. Alcance de la Auditoria Conexiones Cifrado Salidas Gateway y Reuters Correo Electrnico Pginas WEB Firewalls

CARGO AUDITOR SUPERIOR

2. Objetivos Revisar el cumplimiento del proceso completo de desarrollo de proyectos Verificar las metodologas utilizadas Verificar el control interno de las aplicaciones, satisfaccin de los usuarios y control de procesos y ejecuciones de programas crticos. Revisar el ciclo de desarrollo del software. INFORME DE AUDITORIA 1. Identificacin del informe Auditoria de Desarrollo 2. Identificacin del Cliente El rea de Informtica 3. Identificacin de la Entidad Auditada Municipalidad Provincial Mariscal Nieto 4. Objetivos Verificar el cumplimiento de los proyectos en proceso. Revisar el cumplimiento de las normas generales Revisar los recursos de la organizacin Verificar los avances tecnolgicos. 5. Observaciones Incumplimiento de plazos y calendarios de tratamientos y entrega de datos Inexistencia y falta de uso de los Manuales de Operacin Falta de planes de formacin No existe programas de capacitacin y actualizacin al personal 6. Alcance de la auditoria Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado especialmente al rea de Informtica de acuerdo a las normas y dems disposiciones aplicable al efecto.

7. Conclusiones: La municipalidad no desarrolla software de paliacin si no la adquiere. Se ha calificado el ciclo de desarrollo de los procesos de la entidad en su mbito de trabajo 8. Recomendaciones Asignar un responsable un responsable para todos los procesos del Centro de Cmputos. Se debe asignar un grupo para el desarrollo de software. Crear y hacer uso de manuales de operacin. Realizar funciones de operacin, diseo de sistemas. 9. Fecha Del Informe PLANEAMIENTO EJECUCION INFORME 011004 al 1510-04 16-1004 al 2011-04 10. Identificacin Y Firma Del Auditor APELLIDOS Y NOMBRES MUOZ ORTEGA, MADELEINE. AUDITORIA DEL MANTENIMIENTO 1. Alcance de la Auditoria. Planes y procedimientos de Mantenimiento Normativa 2. Objetivos de la Auditoria.Realizar un informe de Auditora con el objeto de evaluar el mantenimiento correctivo y preventivo del software. 3. Referencia Legal: Estndares ISO/IEC 12207 IEEE 1074 IEEE 1219 ISO/IEC 14764 INFORME DE AUDITORIA 1. Identificacin del informe Auditoria del Mantenimiento 2. Identificacin del Cliente El rea de Informtica 3. Identificacin de la Entidad Auditada CARGO AUDITOR SUPERIOR

231104 al 2811-04

Municipalidad Provincial Mariscal Nieto 4. Objetivos Revisar los contratos y las clusulas que estn perfectamente definidas en las cuales se elimine toda la subjetividad y con penalizacin en caso de incumplimiento, para evitar contratos que sean parciales. Verificar el cumplimiento del contrato sobre el control de fallas, frecuencia, y el tiempo de reparacin. Diagnstico del sistema actual de mantenimiento. Verificar el montaje de mtodos de recopilacin de informacin en reas especficas. Verificar la existencia de de planes estratgicos de desarrollo. Verificacin de la efectividad del mantenimiento actual y los desarrollos y programas proyectados. Verificar la optimizacin de almacenes y repuestos. 5. Observaciones Prdida de control Prdida de una fuente de aprendizaje, porque una actividad interna pasa a ser externa. Dependencias del suministrador. Variaciones en la calidad del producto entregado al usuario final. Problemas entre el personal. Uso de metodologas para nuevos desarrollos, pero ausencia de ellas para el mantenimiento. Tendencia a la desestructuracin Dificultad progresiva de modificacin Falta de presupuesto Falta de personal Falta de apoyo de la Direccin 6. Alcance de la auditoria Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado especialmente al rea de Informtica de acuerdo a las normas y dems disposiciones aplicable al efecto. 7. Conclusiones: Como resultado de la Auditoria del Mantenimiento realizada al Municipio, por el perodo comprendido entre el 01 de Setiembre al 24 de Diciembre del 2004, podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditora. El rea de Informtica presenta deficiencias sobre todo en el debido cumplimiento de sus funciones y por la falta de ellos. 8. Recomendaciones Modificacin de un producto software, o de ciertos componentes, usando para el anlisis del sistema existente tcnicas de Ingeniera Inversa y, para la etapa De reconstruccin, herramientas de Ingeniera Directa, de tal manera que se oriente este cambio hacia mayores niveles de facilidad en cuanto a mantenimiento, reutilizacin, comprensin o evolucin.

Categorizar los tipos de mantenimiento del software y para cada tipo planificar las actividades y tareas a realizar. Elaborar un procedimiento organizado para realizar la migracin de un producto software desde un entorno operativo antiguo a otro nuevo. Establecer un acuerdo o contrato de mantenimiento entre el mantenedor y el cliente y las obligaciones de cada uno estos. Elaborar un plan de mantenimiento que incluya el alcance del mantenimiento, quin lo realizar, una estimacin de los costes y un anlisis de los recursos necesarios. 9. Fecha Del Informe PLANEAMIENTO EJECUCION INFORME 011004 al 1510-04 16-1004 al 2011-04 10. Identificacin Y Firma Del Auditor APELLIDOS Y NOMBRES QUIONEZ MAYTA, CARMEN AUDITORIA DE BASE DE DATOS 1. Alcance de la auditoria: Esta auditora comprende solamente al rea de cetro de computo de la municipalidad de mariscal nieto, con respecto al cumplimiento del proceso "De Gestin administracin de la Base de Datos " de la de manera que abarca la explotacin, mantenimiento, diseo carga, post implementacin, Los sistemas de gestin de base de datos (SGBD), software de auditora, sistema operativo protocolos y sistemas distribuidos. 2. Objetivos Verificar la responsabilidad para la planificacin de planillas y control de los activos de datos de la organizacin (administrador de datos) Verificar la responsabilidad de la administracin del entorno de la base de datos (Administrador de la base de datos) Proporcionar servicios de apoyo en aspectos de organizacin y mtodos, mediante la definicin, implantacin y actualizacin de Base de Datos y/o procedimientos administrativos con la finalidad de contribuir a la eficiencia INFORME DE AUDITORIA 1. Identificacin del informe Auditoria de Base de Datos. 2. Identificacin del Cliente El rea de Informtica 3. Identificacin de la Entidad Auditada Municipalidad Provincial de Moquegua. CARGO AUDITOR SUPERIOR

231104 al 2812-04

4. Objetivos _ Evaluar el tipo de Base de Datos, relaciones, plataforma o sistema operativo que trabaja, llaves, administracin y dems aspectos que repercuten en su trabajo. _ Revisar del software institucional para la administracin de la Base de Datos. _ Verificar la actualizacin de la Base de Datos. _ Verificar la optimizacin de almacenes de los Base de Datos _ Revisar que el equipo utilizado tiene suficiente poder de procesamiento y velocidad en red para optimizar el desempeo de la base de datos. 5. Observaciones _ No estn definidos los parmetros o normas de calidad. _ Falta de presupuesto _ Falta de personal _ La gerencia de Base de datos no tiene un plan que permite modificar en forma oportuna el plan a largo plazo de tecnologa, teniendo en cuenta los posibles cambios tecnolgicos y el incremento de la base de datos.. _ No existe un calendario de mantenimiento de rutina peridico del software definido por la Base de datos. 6. Alcance de la auditoria Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado especialmente al Departamento de centro de cmputo de acuerdo a las normas y dems disposiciones aplicable al efecto. 7. Conclusiones: Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditora. El Departamento de centro de cmputo presenta deficiencias sobre todo en el debido cumplimiento de Normas de seguridad de datos y administracin de la Base de Datos. 8. Recomendaciones Elaborar toda la documentacin lgica correspondiente a los sistemas de administracin de la BD. Evaluar e implementar un software que permita mantener el resguardo de acceso de los archivos de programas y an de los programadores. Implementar las relaciones con las diferentes reas en cuanto al compartimiento de archivos permitidos por las normas Elaborar un calendario de mantenimiento de rutina peridico. Capacitar al personal al manejo de la BD. Dar a conocer la importancia del SGBD al usuario 9. Fecha Del Informe PLANEAMIENTO EJECUCION INFORME 011004 al 1510-04 16-1004 al 2011-04 10. Identificacin Y Firma Del Auditor

231104 al 2811-04

APELLIDOS Y NOMBRES MAMANI CUTIPA WILY AUDITORIA DE CALIDAD

CARGO AUDITOR SUPERIOR

Objetivos: Verificar los procesos aplicables del programa de la calidad han sido desarrollados y documentados. Evaluar la capacidad de realizar un trabajo especfico. INFORME DE AUDITORIA 1. Identificacin del informe Auditoria de Calidad 2. Identificacin del Cliente El rea de Informtica 3. Identificacin de la Entidad Auditada Municipalidad Provincial de Moquegua. 4. Objetivos Verificar la calidad de servicio que ofrece el Software. Evaluar el software institucional para la administracin. Revisar que el equipo utilizado tiene suficiente poder de procesamiento y velocidad en red para optimizar el desempeo de la organizacin. 5. Observaciones Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado especialmente al Departamento de centro de cmputo de acuerdo a las normas y dems disposiciones aplicable al efecto. 6. Conclusiones: El Departamento de centro de cmputo presenta deficiencias sobre todo en el debido cumplimiento de Normas de seguridad de datos y administracin de la Base de Datos con respecto a calidad. 7. Fecha Del Informe PLANEAMIENTO EJECUCION INFORME 011004 al 1510-04 16-1004 al 2011-04 8. Identificacin Y Firma Del Auditor APELLIDOS Y NOMBRES MAMANI CUTIPA WILY AUDITORIA DE LA SEGURIDAD CARGO AUDITOR SUPERIOR

231104 al 2811-04

1. Alcance de la Auditoria. Organizacin y calificacin del personal Planes y procedimientos Sistemas tcnicos de deteccin y comunicacin Anlisis de puestos Mantenimiento Normativa 2. Objetivos de la Auditoria.Realizar un informe de Auditora con el objeto de verificar la adecuacin de las medidas aplicadas a las amenazas definidas, as como el cumplimiento de los requisitos exigidos. 3. Referencia Legal: Manual de Autoproteccin aprobado por O.M. de 29/11/84, NBE-CPI 96 (RD 2177/96), Normativa de las Comunidades Autnomas y Ordenanzas Municipales, CEPREVEN. 4. Resultados: Se obtendr: Informe de Auditora detectando riesgos y deficiencias en el Sistema de Seguridad. Plan de recomendaciones a aplicar en funcin de: o Riesgos o Normativa a cumplir o Costes estimados de las recomendaciones INFORME DE AUDITORIA 1. Identificacin del informe Auditoria de la Seguridad 2. Identificacin del Cliente El rea de Informtica 3. Identificacin de la Entidad Auditada Municipalidad Provincial 4. Objetivos Hacer un estudio cuidadoso de los riesgos potenciales a los que est sometida el rea de informtica. Revisar tanto la seguridad fsica del Centro de Proceso de Datos en su sentido ms amplio, como la seguridad lgica de datos, procesos y funciones informticas ms Importantes de aqul. 5. Observaciones No existe documentaciones tcnicas del sistema integrado de la Cooperativa y tampoco no existe un control o registro formal de las modificaciones efectuadas.

No se cuenta con un Software que permita la seguridad de las libreras de los programas y la restriccin y/o control del acceso de los mismos. Las modificaciones a los programas son solicitadas generalmente sin notas internas, en donde se describen los cambios o modificaciones que se requieren. Falta de planes y Programas Informticos. Poca identificacin del personal con la institucin Inestabilidad laboral del personal No existe programas de capacitacin y actualizacin al personal 6. Alcance de la auditoria Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado especialmente al rea de Informtica de acuerdo a las normas y dems disposiciones aplicable al efecto. 7. Conclusiones: Como resultado de la Auditoria de la Seguridad realizada al Municipio, por el perodo comprendido entre el 01 de Setiembre al 24 de Diciembre del 2004, podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditora. El rea de Informtica presenta deficiencias sobre todo en el debido cumplimiento de sus funciones y por la falta de ellos. 8. Recomendaciones Elaborar toda la documentacin tcnica correspondiente a los sistemas implementados y establecer normas y procedimientos para los desarrollos y su actualizacin. Evaluar e implementar un software que permita mantener el resguardo de acceso de los archivos de programas y an de los programadores. Implementar y conservar todas las documentaciones de prueba de los sistemas, como as tambin las modificaciones y aprobaciones de programas realizadas por los usuarios El coste de la seguridad debe considerarse como un coste ms entre todos los que son necesarios para desempear la actividad que es el objeto de la existencia de la entidad, sea sta la obtencin de un beneficio o la prestacin de un servicio pblico. El coste de la seguridad, como el coste de la calidad, son los costes de funciones imprescindibles para desarrollar la actividad adecuadamente. Y por"adecuadamente" debe entenderse no slo un nivel de calidad y precio que haga competitivo el servicio o producto suministrado, sino tambin un grado de garanta de que dichos productos o servicios van a seguir llegando a los usuarios en cualquier circunstancia. 9. Fecha Del Informe PLANEAMIENTO EJECUCION INFORME 011004 al 1510-04 16-1004 al 2011-04 10. Identificacin Y Firma Del Auditor APELLIDOS Y NOMBRES CARGO QUIONEZ MAYTA, CARMEN AUDITOR SUPERIOR AUDITORIA A LOS SISTEMAS DE REDES

231104 al 28-12-04

1. Alcance de la Auditoria. Calificacin del personal Sistemas tcnicos de la red Mantenimiento de la Red 2. Objetivos de la Auditoria.Realizar un informe de Auditora con el objeto de verificar la adecuacin de las medidas aplicadas a las amenazas definidas, as como el cumplimiento de los requisitos exigidos. 3. Referencia Legal. Manual de Autoproteccin aprobado por O.M. de 29/11/84, NBE-CPI 96 (RD 2177/96), Normativa de las Comunidades Autnomas y Ordenanzas Municipales, CEPREVEN. 4. Resultados.Se obtendr: Informe de Auditora detectando deficiencias en el Sistema de Redes. INFORME DE AUDITORIA 1. Identificacin del informe Auditoria del Sistema de Redes 2. Identificacin del Cliente El rea de Informtica 3. Identificacin de la Entidad Auditada Municipalidad Provincial de Moquegua. 4. Objetivos Evaluar el tipo de red, arquitectura topologa, protocolos de comunicacin, las conexiones, accesos privilegios, administracin y dems aspectos que repercuten en su instalacin. Revisin del software institucional para la administracin de la red. 5. Observaciones No se cuenta con un Software que permita la seguridad de restriccin y/o control a la Red. No existe un plan que asegure acciones correctivas asociadas a la conexin con redes externas. No estn definidos los parmetros o normas de calidad. La gerencia de redes no tiene un plan que permite modificar en forma oportuna el plan a largo plazo de tecnologa de redes , teniendo en cuenta los posibles cambios tecnolgicos. No existe un calendario de mantenimiento de rutina peridico del hardware definido por la gerencia de redes. No existe un plan proactivo de tareas a fin de anticipar los problemas y solucionarlos antes de que los mismos afecten el desempeo de la red

6. Alcance de la auditoria Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado especialmente al rea de Informtica de acuerdo a las normas y dems disposiciones aplicable al efecto. 7. Conclusiones: Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditora. El rea de Informtica presenta deficiencias sobre todo en el debido cumplimiento de Normas de redes y funciones. 8. Recomendaciones Elaborar toda la documentacin tcnica correspondiente a los sistemas de redes. Evaluar e implementar un software que permita mantener el resguardo de acceso de los archivos de programas y an de los programadores. Implementar un plan que permita modificar en forma oportuna el plan a largo plazo de tecnologa de redes. Elaborar un calendario de mantenimiento de rutina peridico del hardware. 9. Fecha Del Informe PLANEAMIENTO 011004 al 1510EJECUCION 04 16-1004 al 2011-04 INFORME 231104 al 2811-04

10. Identificacin Y Firma Del Auditor APELLIDOS Y NOMBRES MAMANI POMA, ORLANDO JIMMY AUDITORIA DE APLICACIONES 1. Alcance de la Auditoria Seleccin y evaluacin del personal de le propia institucin. Estndares de Funcionamiento y Procedimientos del rea de informtica Gestin Econmica del rea de Informtica Estndares de funcionamiento y procedimiento del rea de informtica. 2. Objetivos Realizar un informe de Auditora con el objeto de verificar la adecuacin de los estndares de funcionamiento y procedimiento del rea de informtica. INFORME DE AUDITORIA 1. Identificacin del informe Auditoria de Aplicaciones 2. Identificacin del Cliente El rea de Informtica CARGO AUDITOR SUPERIOR

3. Identificacin de la Entidad Auditada Municipalidad Provincial Mariscal Nieto 4. Objetivos Evaluar el papel del rea de informtica en la Institucin Evaluar el plan estratgico del rea de Informtica. Evaluar la seguridad de los programas en el sentido de garantizar que los ejecutados por la maquina sean exactamente los previstos y no otros. Evaluar la existencia del plan operativo anual del rea de Informtica Verificar el cumplimiento de los objetivos, planes y presupuestos contenidos en el plan de sistemas de informacin. Evaluar el nivel de satisfaccin de los usuarios del sistema. Verificar el grado de fiabilidad de la informacin. 5. Observaciones Incumplimiento de los plazos previstos en cada una de las fases del proyecto. Ineficacia e inseguridad del sistema de control de accesos diseado. Falta de metodologas utilizadas que asegure la modularidad de las posibles futuras ampliaciones de la Aplicacin y el fcil mantenimiento de las mismas. Incompatibilidad de las herramientas tcnicas utilizadas en los diversos programas. Falta de sencillez, modularidad y economa de recursos del diseo de programas. 6. Alcance de la auditoria Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado especialmente al rea de Informtica de acuerdo a las normas y dems disposiciones aplicable al efecto. 7. Conclusiones: Como resultado de la Auditoria de Aplicaciones realizada al Municipio, por el perodo comprendido entre el 01 de Setiembre al 24 de Diciembre del 2004, podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditora. El rea de Informtica presenta deficiencias sobre todo en la falta de metodologas que son necesarias al realizar un proyecto. 8. Recomendaciones Emplear metodologas que asegure la modularidad de las posibles futuras ampliaciones de la Aplicacin y el fcil mantenimiento de las mismas. Realizar un control Interno de las Aplicaciones, verificando que las mismas fases se utilicen en el rea correspondiente de Desarrollo Hacer un estudio de Vialidad de la Aplicacin sobre todo para aquellas que son largas complejas y caras. Utilizar herramientas tcnicas compatibles Capacitar al personal para el diseo de Programas para realizarlos con la mxima sencillez, modularidad y economa de recursos 9. Fecha Del Informe

PLANEAMIENTO 011004 al 1510-04 11-04

EJECUCION 16-1004 al 2011-04

INFORME 231104 al 28

10. Identificacin Y Firma Del Auditor APELLIDOS Y NOMBRES CARGO MAMANI POMA ORLANDO AUDITOR SUPERIOR Informe Final de la Auditoria MUNICIPALIDAD PROVINCIAL DE MARISCAL NIETO Moquegua, 29 de Diciembre de 2004 Seor Cervantes Games, Ivn JEFE DEL REA DE INFORMTICA De nuestra consideracin: Tenemos el agrado de dirigirnos a Ud. a efectos de elevar a vuestra consideracin el alcance Del trabajo de Auditora del rea de Informtica practicada los das 16 de Setiembre al 23 de Diciembre, sobre la base del anlisis y procedimientos detallados de todas las informaciones recopiladas y emitidos en el presente informe, que a nuestro criterio es razonable. Sntesis de la revisin realizada, clasificado en las siguientes secciones: 1. En su Seguridad 2. En el rea Fsica 3. En Redes El contenido del informe ha sido dividido de la siguiente forma a efectos de facilitar su anlisis. a. Situacin. Describe brevemente las debilidades resultantes de nuestro anlisis. b. Efectos y/o implicancias probables. Enuncian los posibles riesgos a que se encuentran expuestos las operaciones realizadas por la Cooperativa. c. ndice de importancia establecida. Indica con una calificacin del 0 al 3 el grado crtico del problema y la oportunidad en que se deben tomar las acciones correctivas del caso. 0 = Alto (acciones correctivas inmediatas) 1 = Alto (acciones preventivas inmediatas) 2 = Medio (acciones diferidas correctivas) 3 = Bajo (acciones diferidas preventivas) Segn el anlisis realizado hemos encontrado falencias en que no existe un Comit y plan informtico; falencias en la seguridad fsica y lgica; no existe auditoria de sistemas; falta de respaldo a las operaciones; accesos de los usuarios. El detalle de las deficiencias encontradas, como as tambin las sugerencias de solucin se encuentran especificadas en el Anexo adjunto. La aprobacin y puesta en prctica de estas

sugerencias ayudarn a la empresa a brindar un servicio ms eficiente a los ciudadanos de la Ciudad de Moquegua. Agradecemos la colaboracin prestada durante nuestra visita por todo el personal de la Municipalidad y quedamos a vuestra disposicin para cualquier aclaracin y/o ampliacin de la presente que estime necesaria. Atentamente. ORLANDO JIMMY MAMANI POMA MICHELLA AROHUANCA A. WILLY MAMANI CUTIPA CARMEN QUIONEZ MAYTA MADELEINE MUOZ ORTEGA NELSSY POCOHUANCA TURPO A. ORGANIZACIN Y ADMINISTRACIN DEL REA A.1. Comit y Plan Informtico a. Situacin Con respecto al relevamiento efectuado, hemos notado lo siguiente: No existe un Comit de Informtica o al menos no se encuentra formalmente establecido. No existe ninguna metodologa de planificacin, concepcin y/o seguimiento de proyectos. b. Efectos y/o implicancias probables Posibilidad de que las soluciones que se implementen para resolver problemas operativos sean parciales, tanto en Hardware como en Software. c. ndice de importancia establecida: 1 (uno) d. Sugerencias Establecer un Comit de Informtica integrado por representantes de las reas funcionales claves (Gerencia Administrativa, responsables de las reas Operativas, responsables de Informtica y el responsable Contable). Trazar los lineamientos de direccin del rea de Informtica. Implementar normas y/o procedimientos que aseguren la eficaz administracin de los recursos informticos, y permitan el crecimiento coherente del rea conforme a la implementacin de las soluciones que se desarrollen y/o se requieran de terceros. e. Efectos y/o implicancias probables La escasez de personal debidamente capacitado, aumenta el nivel de riesgo de errores al disminuir la posibilidad de los controles internos en el procesamiento de la informacin; y limita la cantidad de soluciones que pueden implementarse en tiempo y forma oportuna a los efectos de satisfacer los requerimientos de las reas funcionales.

B. SEGURIDAD FSICA Y LGICA B.1. Entorno General a. Situacin Durante nuestra revisin, hemos observado lo siguiente: No existe una vigilancia estricta del rea de Informtica por personal de seguridad dedicado a este sector. No existe detectores, ni extintores automticos. Existe material altamente inflamable. Carencia de un estudio de vulnerabilidad de la Cooperativa, frente a las riesgos fsicos o no fsicos, incluyendo el riesgo Informtico. No existe un puesto o cargo especifico para la funcin de seguridad Informtica. b. Efectos y/o implicancias probables Probable difusin de datos confidenciales. Alta facilidad para cambios involuntarios o intencionales de datos, debido a la falta de controles internos. Debido a la debilidad del servicio de mantenimiento del equipo central, la continuidad de las actividades informticas podran verse seriamente afectadas ante eventuales roturas y/o desperfectos de los sistemas. c. ndice de importancia establecida: 0 (cero) d. Sugerencias A los efectos de minimizar los riesgos descriptos, se sugiere: Establecer guardia de seguridad, durante horarios no habilitados para el ingreso al rea de Informtica. Colocar detectores y extintores de incendios automticos en los lugares necesarios. Remover del Centro de Cmputos los materiales inflamables. Determinar orgnicamente la funcin de seguridad. Realizar peridicamente un estudio de vulnerabilidad, documentando efectivamente el mismo, a los efectos de implementar las acciones correctivas sobre los puntos dbiles que se detecten. B.2. Auditora de Sistema a. Situacin Hemos observado que la Municipalidad no cuenta con auditora Informtica, ni con polticas formales que establezcan responsables, frecuencias y metodologa a seguir para efectuar revisiones de los archivos de auditora. Cabe destacar que el sistema integrado posee un archivo que pudiera servir de auditoria Informtica, el cual no es habilitado por falta de espacio en el disco duro. b. Efectos y/o implicancias probables Posibilidad de que adulteraciones voluntarias o involuntarias sean realizadas a los elementos componentes del procesamiento de datos (programas, archivos de datos,

definiciones de seguridad de acceso, etc.) o bien accesos a datos confidenciales por personas no autorizadas que no sean detectadas oportunamente. c. ndice de importancia establecida: 0 (cero) d. Sugerencias Establecer normas y procedimientos en los que se fijen responsables, periodicidad y metodologa de control de todos los archivos de auditora que pudieran existir como asimismo, de todos los elementos componentes de los sistemas de aplicacin. B.3. Operaciones de Respaldo a. Situacin Durante nuestra revisin hemos observado que: Existe una rutina de trabajo de tomar una copia de respaldo de datos en Diskette, que se encuentra en el recinto del centro de cmputos, en poder del auxiliar de informtica. Si bien existen la copia de seguridad, no se poseen normas y/o procedimientos que exijan la prueba sistemtica de las mismas a efectos de establecer los mnimos niveles de confiabilidad. b. Efectos y/o implicancias probables La Cooperativa est expuesta a la perdida de informacin por no poseer un chequeo sistemtico peridico de los back-up's, y que los mismas se exponen a riesgo por encontrarse en poder del auxiliar de informtica. c. ndice de importancia establecida: 0 (cero) d. Sugerencias Minimizar los efectos, ser posible a travs de: Desarrollar normas y procedimientos generales que permitan la toma de respaldo necesarios, utilitario a utilizar. Realizar 3 copias de respaldos de datos en Zip de las cuales, una se encuentre en el recinto del rea de informtica, otra en la sucursal ms cercana y la ltima en poder del Jefe de rea. Implementar pruebas sistemticas semanales de las copias y distribucin de las mismas. B.4. Acceso a usuarios a. Situacin De acuerdo a lo relevado hemos constatado que: Existen niveles de acceso permitidos, los cuales son establecidos conforme a la funcin que cumple cada uno de los usuarios. Los usuarios definidos al rotar o retirarse del local no son borrados de los perfiles de acceso. Las terminales en uso y dado un cierto tipo de inactividad no salen del sistema. El sistema informtico no solicita al usuario, el cambio del Password en forma mensual. b. Efectos y/o implicancia probables

Existe la imposibilidad de establecer responsabilidades dado que esta se encuentra dividida entre el rea de sistema y los usuarios finales. La falta de seguridad en la utilizacin de los Password, podran ocasionar fraudes por terceros. c. ndice de importancia establecida: 2 (dos) d. Sugerencia Implementar algn software de seguridad y auditoria existente en el mercado o desarrollar uno propio. Establecer una metodologa que permita ejercer un control efectivo sobre el uso o modificacin de los programas o archivos por el personal autorizado. B.5. Plan de Contingencias a. Situacin En el transcurso de nuestro trabajo hemos observado lo siguiente: Ausencia de un Plan de Contingencia debidamente formalizado en el rea de Informtica. No existen normas y procedimientos que indiquen las tareas manuales e informticas que son necesarias para realizar y recuperar la capacidad de procesamiento ante una eventual contingencia (desperfectos de equipos, incendios, cortes de energa con ms de una hora ), y que determinen los niveles de participacin y responsabilidades del rea de sistemas y de los usuarios. No existen acuerdos formalizados de Centro de Cmputos paralelos con otras empresas o proveedores que permitan la restauracin inmediata de los servicios informticos de la Cooperativa en tiempo oportuno, en caso de contingencia. b. Efectos y/o implicancia probable Prdida de informacin vital. Prdida de la capacidad de procesamiento. c. ndice de Importancia relativa: 1 (uno)

d. Sugerencias Establecer un plan de contingencia escrito, en donde se establezcan los procedimientos manuales e informticos para restablecer la operatoria normal de la Cooperativa y establecer los responsables de cada sistema. Efectuar pruebas simuladas en forma peridica, a efectos de monitorear el desempeo de los funcionarios responsables ante eventuales desastres. Establecer convenios bilaterales con empresas o proveedores a los efectos de asegurar los equipos necesarios para sustentar la continuidad del procesamiento. C. DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE APLICACIONES C.1. Entorno de Desarrollo y mantenimiento de las aplicaciones a. Situacin

No existe documentaciones tcnicas del sistema integrado de la Cooperativa y tampoco no existe un control o registro formal de las modificaciones efectuadas. No se cuenta con un Software que permita la seguridad de las libreras de los programas y la restriccin y/o control del acceso de los mismos. Las modificaciones a los programas son solicitadas generalmente sin notas internas, en donde se describen los cambios o modificaciones que se requieren. b. Efectos y/o implicancias probables La escasa documentacin tcnica de cada sistema dificulta la compresin de las normas, demandando tiempos considerables para su mantenimiento e imposibilitando la capacitacin del personal nuevo en el rea. Se incrementa an ms la posibilidad de producir modificaciones errneas y/o no autorizadas a los programas o archivos y que las mismas no sean detectadas en forma oportuna. c. ndice de importancia establecida: 1 ( uno ) d. Sugerencias Para reducir el impacto sobre los resultados de los efectos y consecuencias probables sugerimos: Elaborar toda la documentacin tcnica correspondiente a los sistemas implementados y establecer normas y procedimientos para los desarrollos y su actualizacin. Evaluar e implementar un software que permita mantener el resguardo de acceso de los archivos de programas y an de los programadores. Implementar y conservar todas las documentaciones de prueba de los sistemas, como as tambin las modificaciones y aprobaciones de programas realizadas por los usuarios Hardware Equipamiento Central. La cooperativa cuenta actualmente con un Equipo Central Pentium IV con las siguientes caractersticas: Procesador Intel Pentium IV de 1.600 mhz Memoria: Ram 128 MB Almacenamiento: 35 GB de 10 K RPM Conexin: Ethernet 10/100 Es un equipamiento ideal para las funciones que cumple y su configuracin es aceptable. Tiene posibilidades de crecimiento y el fabricante cuenta con repuestos y mantenimientos que garantizan la buena utilizacin del mismo. Equipamiento Perifrico La cooperativa cuenta en su casa central con 30 PCs de las cuales el 50%(cincuenta por ciento) aproximadamente son Pentium III de 550Mhs con 64 MB de memoria y discos de 5 GB. El resto son de menor porte, pero el parque de computadoras personales es suficientemente apto para los requerimientos actuales. Las impresoras: de sistema (conectadas al equipo central) son de marca Epson 1170 y Epson 1200. Adems cuentan con equipos de HP 560 de chorro de tintas conectadas a algunos equipos. Equipamiento en Sucursales

Las sucursales cuentan con PCs AMD Athlon de 750 Mhz, 64 de memoria y discos de 5 GB. Equipamiento holgadamente apto para las funciones que cumple. Las sucursales tienen una impresora matricial del sistema y algunos usuarios cuentan con impresoras a chorro de tinta. Cableado El cableado es estructurado y con cables del tipo UTP categora 5, tanto en sucursales Como rea Informtica Software Software de Base El sistema operativo con el que cuenta la Pentium IV es el de Windows Server 2000 que posee una importante estructura de seguridad. Con sistema de red Windows 2000. Base de datos FOX. AUDITORIA DE SISTEMAS CONSEJOS 1. Utiliza un buen antivirus y actualzalo frecuentemente. 2. Comprueba que tu antivirus incluye soporte tcnico, resolucin urgente de nuevos virus y servicios de alerta. 3. Asegrate de que tu antivirus est siempre activo. 4. Verifica, antes de abrir, cada nuevo mensaje de correo electrnico recibido. 5. Evita la descarga de programas de lugares no seguros en Internet. 6. Rechaza archivos que no hayas solicitado cuando ests en chats o grupos de noticias (news). 7. Analiza siempre con un buen antivirus los disquetes que vayas a usar en tu ordenador. 8. Retira los disquetes de las disqueteras al apagar o reiniciar tu ordenador. 9. Analiza el contenido de los archivos comprimidos. 10. Mantente alerta ante acciones sospechosas de posibles virus. 11. Aade las opciones de seguridad de las aplicaciones que usas normalmente a tu poltica de proteccin antivirus. 12. Realiza peridicamente copias de seguridad. 13. Mantente informado. 14. Utiliza siempre software legal. 15. Exige a los fabricantes de software, proveedores de acceso a Internet y editores de publicaciones, que se impliquen en la lucha contra los virus. INDICE BIBLIOGRAFIA