Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
PARA LA ELABORACIN DE
AUDITORAS DE SISTEMAS
INFORMTICOS EN ENTIDADES DEL
SISTEMA NACIONAL DE CONTROL
PERUANO
Jos Carbajal-Romero
Lima, abril de 2013
FACULTAD DE INGENIERA
Master en Direccin Estratgica en Tecnologas de la Informacin
DEFINICINDEUNAMETODOLOGAPARALAELABORACINDEAUDITORASDESISTEMAS
INFORMTICOSENENTIDADESDELSISTEMANACIONALDECONTROLPERUANO
UNIVERSIDAD DE PIURA
FACULTAD DE INGENIERIA
Prlogo
En el Per, la auditora de sistemas informticos es un tipo de auditora relativamente nueva,
que se viene aplicando en el sector pblico y privado. Al respecto, en el sector pblico
peruano las auditoras (incluida las auditoras de sistemas informticos) deben de realizarse en
funcin del marco normativo aplicable a las entidades integrantes del Sistema Nacional de
Control Peruano.
Al respecto, la normatividad peruana vigente no cuenta con una gua metodolgica explcita
de cmo realizar las auditoras de sistemas informticos en el sector pblico peruano,
debiendo indicar que en las entidades integrantes del Sistema Nacional de Control Peruano es
requisito indispensable el cumplimiento del marco normativo peruano. Sin embargo, se debe
cumplir y aplicar correctamente la normatividad emitida por la Contralora General de la
Repblica, en su calidad de ente rector tcnico del Sistema Nacional de Control Peruano.
Sobre el particular, es de resaltar la importancia de las auditoras de sistemas informticos ya
que contribuyen con recomendaciones (producto de los informes emitidos) a identificar
situaciones que afectaran el cumplimiento de los objetivos institucionales de las entidades del
sector pblico peruano; y es en ese sentido, que dichas entidades pblicas pueden disponer las
medidas correctivas que permitan corregir las situaciones identificadas por los auditores
gubernamentales.
Resumen
El presente trabajo de tesis tiene como objetivo principal proponer una metodologa que
permita guiar a los auditores gubernamentales del Sistema Nacional de Control Peruano en las
auditoras de sistemas informticos que se realizan en el sector pblico peruano.
Para alcanzar dicho objetivo, se han planteado los siguientes objetivos especficos:
ndice General
Dedicatoria
Prlogo
Resumen
ndice General
Introduccin
Captulo 1: Marco normativo aplicable al proceso de auditoras de
sistemas informticos del Sistema Nacional de Control
Peruano en el Sector Pblico Peruano
1.1. Normativa relacionada al Sistema Nacional de Control Peruano y
Contralora General de la Repblica
1.1.1. Ley Orgnica del Sistema Nacional de Control y de la Contralora
General de la Repblica
1.1.1.1. Sistema Nacional de Control
1.1.1.2. Contralora General de la Repblica
1.1.1.3. Control Gubernamental
a. Control Interno Gubernamental
b. Control Externo Gubernamental
1.1.2. Reglamento de los rganos de Control Institucional
1.1.3. Ley de Control Interno de las Entidades del Estado
1.1.3.1. Sistema de Control Interno
a. Objetivos del Sistema de Control Interno
b. Componentes del Sistema de Control Interno
1.1.4. Normas de Control Interno
1.1.4.1. Principios aplicables al Sistema de Control Interno
a. Autocontrol
b. Autorregulacin
c. Autogestin
1.1.4.2. Componentes de la Estructura del Sistema de Control
Interno
a. Ambiente de Control
b. Evaluacin de Riesgos
c. Actividades de Control Gerencial
d. Informacin y Comunicacin
e. Supervisin
1.1.4.3. Limitaciones
a. Recursos Humanos
b. Recursos Materiales
1.1.5. Gua para la implementacin del Sistema de Control Interno de las
entidades del Estado
1.1.6. Normas de Auditora Gubernamental
Pg.
2
3
4
5
9
10
11
11
11
12
12
13
14
16
17
17
17
17
20
20
20
20
20
21
21
22
22
25
26
27
28
28
29
30
30
31
31
31
31
31
31
31
32
32
32
32
32
32
32
33
34
35
36
37
37
39
40
40
41
41
41
41
41
42
44
44
45
45
45
46
46
47
48
49
52
54
54
55
57
60
61
62
63
64
65
65
65
66
68
69
69
69
69
71
74
74
75
75
75
75
76
86
5.2.3 Entregables
5.3 Etapa de Elaboracin del Informe de Auditora
5.3.1 Objetivo
5.3.2 Actividades que incluyen la presente etapa
a. Se inicia con
b. Contina con
c. Finaliza con
5.3.3 Entregables
Anexos de la Propuesta Metodolgica
Anexo A-1: Controles de Normas de Control Interno
(Basados en COSO)
Anexo A-2: Relacionando COBIT 4.1 con ISO/IEC 27002:2005
Anexo A-3: Relacionando ISO/IEC 27002:2005 con COBIT 4.1
Resumen del Captulo 2
Captulo 3: Aplicacin y Validacin de la Propuesta Metodolgica que
permite guiar a los auditores gubernamentales del Sistema
Nacional de Control Peruano en las auditoras de sistemas
informticos del Sector Pblico Peruano
3.1. Antecedentes
3.2. Aplicacin de la Propuesta Metodolgica
3.3. Validacin de la Propuesta Metodolgica
3.3.1. Etapa de Planificacin
3.3.2. Etapa de Ejecucin
3.3.3. Etapa de Elaboracin del Informe de Auditora
Resumen del Captulo 3
Conclusiones
Bibliografa
Anexos del Trabajo de Tesis
Anexo N 1: Marco Legal emitido por el Congreso Peruano relacionado al
Sistema Nacional de Control Peruano
Anexo N 2: Marco Legal emitido por la Contralora General de la Repblica
Anexo N 3: Detalle de los 133 controles de la NTP ISO-IEC/17799-2007
Anexo N 4: Marco Legal emitido por la ONGEI PCM
Anexo N 5: Detalle de los 215 Objetivos de Control Especficos - COBIT 4.1
86
87
87
88
88
88
92
92
93
94
96
112
121
122
123
124
125
125
127
129
132
133
136
140
141
142
144
148
149
Introduccin
El presente trabajo de tesis plantea una metodologa que permite guiar el proceso de auditoras
de sistemas informticos en el sector pblico peruano, el cual es realizado por los auditores
gubernamentales del Sistema Nacional de Control Peruano.
Al respecto, la Contralora General de la Repblica en su calidad de ente tcnico rector del
Sistema Nacional de Control Peruano establece disposiciones necesarias para articular los
procesos de control gubernamental de las diversas entidades del sector pblico con la finalidad
que la gestin de los recursos, bienes y operaciones de las entidades pblicas se efecte
correcta y eficientemente.
En ese sentido, el presente trabajo de tesis se ha estructurado de la siguiente manera:
-
Captulo 1
Marco normativo aplicable al proceso de auditoras de sistemas
informticos del Sistema Nacional de Control Peruano en el Sector Pblico
Peruano.
Antes de proceder a detallar el marco normativo aplicable al proceso de auditoras de sistemas
informticos en el Sector Pblico Peruano es importante tener en cuenta que el Estado Peruano
est conformado por el Poder Legislativo, Poder Ejecutivo, Poder Judicial, Organismos
Constitucionales Autnomos, Gobiernos Regionales y Gobiernos Locales; los cuales a su vez
estn integrados por una serie de entidades que conforman el Sector Pblico Peruano.
Sobre el particular, el Poder Legislativo es el encargado de emitir, entre otros, las normas que
regulan la labor del control gubernamental as como las relacionadas a temas informticos.
Dicho poder del Estado, a travs del Congreso de la Repblica, emiti la Ley Orgnica del
Sistema Nacional de Control y de la Contralora General de la Repblica. Asimismo, la
Constitucin Poltica del Per del ao 1993 emitida por el Congreso Constituyente
Democrtico, estableci en su Artculo 82 que la Contralora General de la Repblica es una
entidad descentralizada de Derecho Pblico que goza de autonoma conforme a su ley
orgnica, siendo este organismo autnomo el rgano superior del Sistema Nacional de
Control, encargndose de supervisar los actos de las instituciones sujetas a control
gubernamental.
Del mismo modo, el Poder Ejecutivo se encarga de reglamentar las normas del Poder
Legislativo vinculadas, entre otras, las relacionadas a las funciones de control gubernamental
as como las relacionadas a temas informticos. Asimismo, el Poder Judicial acoge, entre
otros, las denuncias que se sustentan en los informes emitidos por el Sistema Nacional de
Control Peruano para su respectiva investigacin y pronunciamiento correspondiente, con el
fin de determinar responsabilidad civil o penal. Adems, son parte del Estado Peruano los
gobiernos regionales y locales (provincias, distritos y centros poblados), tal como se muestra
en el siguiente grfico:
11
Poder
Ejecutivo
Poder
Judicial
OrganismoConstitucional
Autnomo
Gobiernos
Regionales
Gobiernos
Locales
ContraloraGeneral
delaRepblica
12
ContraloraGeneralde
laRepblica
1.1.1.2.
rganosdeAuditora
Interna
Sociedadesde
AuditoraExterna
1.1.1.3.
Control Gubernamental
Es un proceso continuo, permanente, dinmico e integral realizado por
todos los trabajadores de la entidad que consiste en supervisar, vigilar
y verificar (mediante la aplicacin de principios, sistemas y
procedimientos tcnicos) los siguientes objetivos del control
gubernamental dentro de la organizacin:
- El uso de los recursos y bienes del Estado, en trminos de
economa, eficiencia, eficacia y transparencia.
- El cumplimiento de las normas legales.
- La evaluacin de los sistemas de administracin, gerencia y
control interno.
13
Control Gubernamental
Objetivos
El uso de los recursos y bienes del Estado,
en trminos de economa, eficiencia, eficacia
y transparencia.
El cumplimiento de las normas legales.
La evaluacin de los sistemas de
administracin, gerencia y control interno.
La correcta, eficiente y
transparente utilizacin y
gestin de los recursos y
bienes del Estado.
Prevenir y
Verificar
El desarrollo honesto y
probo de las funciones y
actos de las autoridades,
funcionarios y servidores
pblicos.
Finalidad
Mejoramiento continuo a travs de la adopcin de acciones preventivas y correctivas.
14
Input
(entradas)
Proceso
Output
(salidas)
Control Previo
Control Simultneo
Control Posterior
Controles que se
aplican antes del
proceso
Controles que se
aplican durante el
proceso
Actividades que se
aplican despus del
proceso
Control Preventivo
Control Interno
Realizado por autoridades, funcionarios y
servidores pblicos de las entidades (funciones
inherentes).
Realizado
por
los
responsables superiores
del servidor o por el
de
control
rgano
institucional.
Control Externo
Es realizado por la Contralora General de la Repblica u otro rgano del
Sistema Nacional de Control por encargo o designacin de sta.
El control externo podr ser preventivo o simultneo, cuando se determine taxativamente por la Ley N
27785 o por normativa expresa.
15
16
17
18
19
Objetivos
Componentes
1. Ambiente de Control
2. Evaluacin de Riesgos
3. Actividades de Control Gerencial
4. Actividades de Prevencin y Monitoreo
5. Sistemas de Informacin y Comunicacin
6. Seguimiento de Resultados
7. Compromisos de Mejoramiento
Contrarrestar
Actos
y
indebidas
corrupcin.
prcticas
o
de
20
21
1.1.4.2.
Ambiente de Control
Evaluacin de Riesgos
Actividades de Control
Sistemas de Informacin y Comunicacin
Supervisin
22
23
24
25
26
27
5.1.2. Monitoreo
5.3.2. Evaluaciones
1.1.4.3. Limitaciones
28
a.
Recursos Humanos:
- Error de concepcin, criterio, negligencia o corrupcin.
- Si el personal que realiza el control interno no entiende cual es
su funcin en el proceso o decide ignorarlo, el control interno
resultar ineficaz.
b.
Recursos Materiales:
- Debe considerarse los costos de los controles a implementar en
funcin al beneficio que se obtendr, producto de su
implantacin en la entidad.
29
30
Auditora Gubernamental
La Auditora Gubernamental es el examen objetivo, sistemtico y
profesional que se realiza a las operaciones financieras y/o
administrativas de las entidades sujetas al Sistema Nacional de
Control, efectuada con posterioridad a la ejecucin de las operaciones
de la entidad; la cual se materializa en el correspondiente informe de
auditora.
-
31
1.1.6.3.
1.1.6.4.
32
1.1.6.6.
33
34
35
36
Normas
de
Auditora
Gubernamental (NAGU)
1.10
Entrenamiento Tcnico y
Capacidad Profesional
1.20
Independencia
1.30
Cuidado
y
Esmero
Profesional
1.40
Confidencialidad
1.50
Participacin
de
Profesionales
y/o
Especialistas
1.60
Control de Calidad
2.10
Planificacin General
2.20
Planificacin Especfica
2.30
Programas de Auditora
2.40
Archivo Permanente
3.10
Estudio y Evaluacin del
Control Interno
3.20
Evaluacin
del
Cumplimiento
de
Disposiciones Legales y
Reglamentarias
3.30
Supervisin del Trabajo de
Auditora
3.40
Evidencia
Suficiente,
Competente y Relevante
3.50
Papeles de Trabajo
3.60
Comunicacin
de
Observaciones
3.70
Carta de Representacin
4.10
Forma Escrita
4.20
Oportunidad del Informe
4.30
Presentacin del Informe
4.40
Contenido del Informe
4.50
Informe Especial
4.60
Seguimiento
de
Recomendaciones
de
Auditoras Anteriores
()
: Sustitucin Total de Norma
() : Incorporacin de Norma
() : Sustitucin Parcial de Norma
(07.DIC.2000)
(21.ENE.2002)
(09.MAY.2002)
(28.OCT.2011)
37
38
39
40
41
42
43
Obtencin de informacin
bsica
Recopilacin
normas
legales y reglamentarias
Examen preliminar
Identificacin de aspectos
a examinar
Definicin de criterios a
utilizar
Memorndum
de
programacin y plan de
examen
Aplicacin de pruebas y
obtencin de evidencias
Desarrollo de hallazgos
Identificacin y evaluacin
de irregularidades
Asuntos
referidos
a
responsabilidad civil y/o
penal
Asuntos
referidos
responsabilidad
administrativa
Conclusiones
Recomendaciones
44
(SIC)
Se ha identificado en el Apndice 5 del Manual de Auditora
Gubernamental (MAGU) que los controles relativos al Sistema de
Informacin Computarizado estn clasificados en Controles Generales,
Controles de Aplicaciones y Controles de Usuarios, tal como se detalla
a continuacin:
a. Controles Generales: Son polticas y procedimientos que se
aplican a la totalidad de las operaciones computarizadas de una
entidad, creando el medio en el cual se aplican los controles de
aplicacin y de usuario. Dichos controles se subdividen en:
Organizacin y Segregacin de Funciones: Son controles
generales relacionados a la organizacin del Sistema de Informacin
Computarizado. Al respecto, dichos controles incluyen lo siguiente:
El procesamiento de informacin debe ser realizado por personal
autorizado y debidamente supervisado.
La segregacin de funciones debe ser apropiada.
Realizar un seguimiento de las recomendaciones efectuadas
durante las revisiones internas y externas realizadas a las
operaciones computarizadas.
Diseo de sistemas, desarrollo y modificacin: Son controles
generales que incluyen lo siguiente:
Las modificaciones realizadas a los sistemas informticos deben
ser debidamente autorizadas y aprobadas cumpliendo los
procedimientos de prueba establecidos.
Se deben usar las metodologas de desarrollo y mantenimiento de
sistemas.
Se debe considerar a los usuarios como parte integral del
desarrollo y mantenimiento de sistemas.
Seguridad: Los controles generales de seguridad proveen la certeza
que los recursos computarizados estn protegidos en contra del
acceso fsico y lgico no autorizado, prdida o deterioro. Al
respecto, dichos controles incluyen lo siguiente:
Proteger a la entidad de la prdida de recursos computarizados,
debido a robo, destruccin, desastres naturales u otros medios.
Limitar el impacto de prdidas de recursos computarizados.
45
46
1.1.8.1.
Normativa Fecha
Sumilla
Objetivo
Ley
27785
Ley Orgnica
del SNC y de la
CGR
Reglamento de
los OCI
Obtener
un
apropiado, Contribuir al mejoramiento de las
oportuno y efectivo ejercicio actividades y servicios de la entidad
pblica en beneficio del pas.
del control gubernamental.
Regular la actuacin de los Fortalecer la labor del OCI y
OCI, la vinculacin de contribuir con el correcto ejercicio
dependencia administrativa del control gubernamental.
y funcional del OCI y de su
Jefe con la CGR as como
sus funciones, obligaciones
y atribuciones.
Establecer las normas para regular la implantacin, funcionamiento,
perfeccionamiento y evaluacin del control interno en las entidades
del Estado, con el propsito de cautelar y fortalecer los sistemas
administrativos y operativos mediante acciones y actividades de
control previo, simultneo y posterior, con el fin de enfrentar los
actos y prcticas indebidas o de corrupcin, propendiendo al logro
de los fines, objetivos y metas institucionales
Fortalecimiento de los SCI y el mejoramiento de la gestin pblica
de las entidades del Estado, considerando la proteccin del
patrimonio pblico y el logro de los objetivos y metas
institucionales.
N 22.JUL.2002
RC N 459- 28.OCT.2008
2008-CG
Ley
28716
N 17.ABR.2006
Ley de Control
Interno de las
Entidades del
Estado
RC N 320- 30.OCT.2006
2006-CG
Normas
de
Control Interno
Finalidad
47
RC N 458- 28.OCT.2008
2008-CG
RC N 162- 22.SET.1995
95-CG
RC N 152- 18.DIC.1998
98-CG
1.1.8.2.
una
adecuada
Gua para la Proveer de lineamientos, Permitir
implementacin herramientas y mtodos a implementacin del SCI.
las entidades del Estado para
del SCI
la implementacin de los
componentes que conforman
el SCI establecido en las
NCI
NAGU
Uniformizar y optimizar los resultados del trabajo de auditora
gubernamental con el fin de obtener resultados de calidad.
MAGU
Establecer la metodologa de la auditora gubernamental, con el
propsito de uniformizar el trabajo de los auditores.
22.JUL.2002
17.ABR.2006
48
1.1.8.3.
RC N 320-2006-CG: Aprueban
Normas de Control Interno
Ambiente de control
Ambiente de control
Evaluacin de riesgos
Evaluacin de riesgos
Informacin y comunicacin
Seguimientos de resultados
Supervisin
Compromisos de mejoramiento
Por otro lado, es de significar que las principales normas emitidas por el Congreso
Peruano y que son aplicables al Sistema Nacional de Control Peruano se encuentran en
el Anexo N 1 del presente trabajo de tesis. Asimismo, en Anexo N 2 se encuentra la
normatividad emitida por la Contralora General de la Repblica y que son aplicables
al presente trabajo de tesis.
49
1.2.
5. Poltica de Seguridad
5.1
6.2
Seguridad en los
accesos de terceras
partes
7.2
Clasificacin de la
informacin
8.2
Durante el empleo
8.3
Finalizacin o cambio
del empleo
Creado mediante Decreto Legislativo N 604 del 30.ABR.1990 con el fin de organizar las actividades y
proyectos que en materia de informtica realizan las entidades del Estado Peruano; est conformado, entre
otros, por las oficinas informticas pblicas.
El estndar ISO/IEC 17799:2005 posteriormente cambio de nombre convirtindose en estndar
internacional ISO/IEC 27002:2005
50
9.1
10. Gestin de
comunicaciones y
operaciones
10.1
reas seguras
9.2
Procedimientos y
responsabilidades
de operacin
10.2
Seguridad de los
equipos
12. Adquisicin,
desarrollo y
mantenimiento de
sistemas
11.1
12.1
Requisitos de
seguridad de los
sistemas
12.2
Seguridad de las
aplicaciones del
sistema
11.2
Gestin de
servicios externos
10.3
Gestin de acceso de
usuarios
Planificacin y
aceptacin del
sistema
11.3
10.4
Proteccin contra
software malicioso
11.4
10.5
Gestin de
respaldo y
recuperacin
11.5
10.6
10.8
Intercambio de
informacin
10.9
Servicios de correo
electrnico
10.10
Monitoreo
Control de acceso a la
red
Controles
criptogrficos
12.4
Seguridad de los
archivos del sistema
12.5
Seguridad en los
procesos de
desarrollo y soporte
Control de acceso al
sistema operativo
11.6
Utilizacin de los
medios de
informacin
12.3
Responsabilidades de los
usuarios
Gestin de
seguridad en redes
10.7
Requisitos de negocio
para el control de
accesos
12.6
Gestin de la
vulnerabilidad tcnica
11.7
Informtica mvil y
teletrabajo
CLAUSULAS y CATEGORAS
14. Gestin de continuidad del
negocio
14.1 Aspectos de la gestin de
continuidad del negocio
15. Cumplimiento
15.1
15.2
Revisiones de la poltica de
seguridad y de la conformidad
tcnica
15.3
Consideraciones sobre la
auditoria de sistemas
51
52
1.3.
53
54
1.4.
55
4. Informacin y Comunicacin
5. Monitoreo (Supervisin)
En el ao 2004 COSO emiti el documento Marco Integrado para la
Administracin de Riesgos Empresariales (Enterprise Risk Management
Integrated Framework) que proporciona un punto de referencia para las
organizaciones con el fin evaluar y mejorar sus procesos relacionados a la
administracin de sus riesgos empresariales (ERM) y proporciona seguridad
razonable para la consecucin de los siguientes objetivos de control interno:
Estratgicos.
Eficacia y eficiencia en las operaciones.
Confiabilidad en la informacin financiera.
Cumplimiento de las leyes y regulaciones.
Ambiente interno
Establecimiento de objetivos
Identificacin de eventos
Evaluacin de riesgos
Respuesta a los riesgos
Actividades de control
Informacin y comunicacin
Supervisin
56
Versiones 1, 2, 3, 4, 4.1 y 5 emitidas en los aos 1996, 1998, 2000, 2005, 2007 y 2012 respectivamente.
57
PO4
Definir procesos,
organizacin y
relaciones de TI
PO5
Administrar la
inversin en TI
PO6 Comunicar las
aspiraciones y la
direccin de la
Gerencia
PO7 Administrar recursos
humanos de TI
DS4
Garantizar la
continuidad del
servicio.
DS5
TI.
AI6 Administrar cambios.
DS6
Garantizar la seguridad
de los sistemas.
Identificar y asignar
costos.
DS7
Administrar la mesa de
servicio y los
incidentes.
Administrar la
configuracin.
y el uso.
soluciones y
cambios.
PO8
Administrar calidad
DS8
PO9
Evaluar y administrar
riesgos de TI
DS9
P10
Administrar
proyectos
DS10
Administrar los
problemas.
DS11
DS12
DS13
ME4
Proporcionar
gobierno de TI.
58
59
60
Captulo 2
Propuesta metodolgica que permite guiar a los auditores gubernamentales
del Sistema Nacional de Control Peruano en las auditoras de sistemas
informticos del Sector Pblico Peruano
La auditora gubernamental enfocada a los sistemas informticos est compuesta por las
siguientes tres etapas consecutivas:
-
Planificacin
Ejecucin y
Elaboracin de Informe de Auditora.
Cada una de dichas etapas est compuesta por una serie de actividades, las cuales son detalladas
en la propuesta metodolgica que se muestra a continuacin:
METODOLOGA DE AUDITORA DE
SISTEMAS INFORMTICOS EN
ENTIDADES DEL SISTEMA
NACIONAL DE CONTROL
Versin 1.0
63
INDICE
INTRODUCCIN
1. ALCANCE
2. MARCO CONCEPTUAL
3. ROLES
4. RESPONSABILIDADES
5. ETAPAS DE LA AUDITORA GUBERNAMENTAL
5.1 ETAPA DE PLANIFICACIN
5.1.1
5.1.2
5.1.3
OBJETIVO
ACTIVIDADES QUE INCLUYEN LA PRESENTE ETAPA
ENTREGABLES
OBJETIVO
ACTIVIDADES QUE INCLUYEN LA PRESENTE ETAPA
ENTREGABLES
OBJETIVO
ACTIVIDADES QUE INCLUYEN LA PRESENTE ETAPA
ENTREGABLES
6. ANEXOS DE LA METODOLOGA
ANEXO A-1:
ANEXO A-2:
ANEXO A-3:
64
INTRODUCCIN
La presente metodologa (versin 1.0) ofrece a los auditores gubernamentales del sector
pblico peruano pertenecientes al Sistema Nacional de Control Peruano un instrumento til
para guiar las auditoras de sistemas informticos en entidades pblicas, permitiendo de
esta manera, alcanzar los siguientes objetivos:
-
Indicar los pasos que deben realizar los auditores gubernamentales en las etapas de
Planificacin, Ejecucin y Elaboracin del Informe de Auditora, correspondientes a las
auditoras gubernamentales de tipo informtico.
Indicar cundo utilizar los estndares internacionales tales como COSO, COBIT e
ISO/IEC 27002 en las auditoras gubernamentales de tipo informtico que permitan la
identificacin de riesgos asociados a los procesos de la entidad.
Indicar los diversos documentos que deben ser emitidos en cada una de las etapas de
las auditoras gubernamentales de tipo informtico.
65
1. ALCANCE
La presente metodologa es aplicable a todas las auditoras gubernamentales de tipo
informtico que se realicen en entidades pblicas a cargo de auditores gubernamentales
que pertenezcan al Sistema Nacional de Control Peruano.
2. MARCO CONCEPTUAL
La Metodologa de Auditora de Sistemas Informticos en entidades del Sistema Nacional
de Control Peruano se basa en el marco normativo emitido por la Contralora General de
la Repblica en su calidad de ente rector tcnico del Sistema Nacional de Control
Peruano.
Asimismo, la presente metodologa toma en cuenta la Norma Tcnica Peruana (NTPISO/IEC 17799:2007) cuyo cumplimiento es obligatorio en las entidades pblicas
pertenecientes al Sistema Nacional de Informtica segn lo establecido por la Oficina
Nacional de Gobierno Electrnico e Informtica (ONGEI) de la Presidencia del Consejo
de Ministros en su calidad de ente rector tcnico del Sistema Nacional de Informtica.
Del mismo modo, se hace referencia a los estndares internaciones COSO, COBIT e
ISO/IEC 27002.
3. ROLES
Las auditoras de sistemas informticos en entidades del Sistema Nacional de Control
Peruano estn conformadas por Comisiones de Auditoras, las cuales estn integradas por
personal que cumple los siguientes roles:
-
Supervisor:
Es la persona que supervisa las auditoras gubernamentales relacionadas a temas
informticos, de acuerdo a las disposiciones que regulan el Sistema Nacional de
Control; con el fin de formular recomendaciones que permitan contribuir con el
cumplimiento de los fines y metas institucionales.
Asimismo, es la persona encargada de verificar el trabajo realizado por el Auditor
Encargado y Auditores conformantes de la Comisin de Auditora.
Auditor Encargado:
Es la persona que realiza las auditoras gubernamentales relacionadas a temas
informticos, de acuerdo a las disposiciones que regulan el Sistema Nacional de
Control; con el fin de formular recomendaciones que permitan contribuir con el
cumplimiento de los fines y metas institucionales.
66
Auditores:
Es la persona o personas que se encargan de desempear el trabajo que el Auditor
Encargado les asigne relacionado a las auditoras gubernamentales de temas
informticos, de acuerdo a las disposiciones que regulan el Sistema Nacional de
Control; con el fin de formular recomendaciones que permitan contribuir con el
cumplimiento de los fines y metas institucionales.
Es importante indicar que cada integrante de la Comisin de Auditora puede asumir otros
roles, dependiendo del alcance y caractersticas de la auditora gubernamental.
4. RESPONSABILIDADES
Cada uno de los integrantes de la Comisin de Auditora, tienen una serie de
responsabilidades a desempear durante la auditora gubernamental en funcin del rol que
cumplan. En ese sentido, las responsabilidades de cada uno de los integrantes de la
Comisin de Auditora son las siguientes:
67
68
Planificacin
Ejecucin
ElaboracindelInforme
deAuditora
69
Planificacin
Ejecucin
ElaboracindelInforme
deAuditora
5.1.1 OBJETIVO
Establecer las diversas actividades que permitan guiar la planificacin de las
auditoras gubernamentales enfocadas a los sistemas informticos.
70
Riesgos identificados.
Denuncias realizadas.
Monto econmico involucrado.
Falta de controles internos.
reas o procesos de importancia.
Indicios de irregularidades detectadas.
Conocimiento que el rgano de control institucional posee de la
entidad.
la
al
al
la
71
72
Lugares fsicos:
Instalaciones
Centros de Cmputo (data center)
Hardware
Microcomputadores, Servidores
Software
Sistemas operativos
Lenguajes de programacin
Sistemas de informacin realizados por la propia entidad as
como los adquiridos a proveedores externos
Licencias de software
Base de datos
Telecomunicaciones
Redes (LAN, WAN)
Internet
Intranet
Extranet
Documentacin
Normas, estndares, polticas, y procedimientos
Manuales del sistema
Manuales del usuario
Flujogramas de procesos ms importantes
Personal
Personal que trabaja en las reas de TI y servicios
prestados por terceros
Principales usuarios de cada sistema
Satisfaccin de los usuarios finales
73
Rubro
Nombre de la Auditora
Origen
Objetivos
a. Objetivo General
Detalle
Se consigna el nombre de la auditora
gubernamental que se est realizando.
Es el motivo o razn por la cual se est
realizando la auditora gubernamental.
b. Objetivos Especficos
4
5
Naturaleza
Alcance
Criterios de Auditora
Procedimientos
Ejecutar
Personal asignado
Presupuesto de tiempo
10
11
Fecha de Elaboracin
Firma
Mnimos
74
5.1.3 ENTREGABLES
La etapa de Planificacin de las auditoras gubernamentales enfocada a los
sistemas informticos tiene como entregables los siguientes documentos:
-
75
Planificacin
Ejecucin
ElaboracindelInforme
deAuditora
5.2.1 OBJETIVO
Establecer las diversas actividades que se realizan durante el trabajo de campo
de las auditoras gubernamentales enfocadas a los sistemas informticos.
5.2.2 ACTIVIDADES QUE INCLUYE LA PRESENTE ETAPA
a. SE INICIA CON: Memorndum de Presentacin de la Comisin de
Auditora.
1. Mediante Memorndum de Presentacin de la Comisin de Auditora,
el Jefe del rgano de Control Institucional comunica al Jefe del rea
auditada el inicio de la auditora gubernamental, en el que se consigna
el nombre de la auditora y los nombres del Supervisor y Auditor
Encargado de la Comisin de Auditora con el fin de que se disponga
76
Fecha
Pruebas
(Adjuntar
evidencias
que sustenten
las
pruebas
realizadas)
Actividades
realizadas
Participantes
de la entidad
Participantes
de la Comisin
de Auditora
Resultados
(Hallazgos y/o
comentarios de
las
pruebas
realizadas)
77
Planificacin
Organizacin
Monitoreo
Controles Detallados de TI
Adquirir e Implementar
Entrega y Soporte
ISO/IEC 27002:2005
(NTP-ISO/IEC 17799:2007)
y 5. Poltica de Seguridad
6. Aspectos organizativos para la
seguridad
7. Clasificacin y control de activos
8. Seguridad en recursos humanos
9. Seguridad fsica y del entorno
10. Gestin de comunicaciones y
operaciones
11. Control de accesos
12.
Adquisicin,
desarrollo
y
mantenimiento de sistemas
13. Gestin de incidentes en la
seguridad de informacin
14. Gestin de continuidad del
negocio
15. Cumplimiento
78
Situacin identificada
79
Disponibilidad
Amenazas
Vulnerabilidades
de la entidad
Riesgos
asociados
a las TI
Impacto
Sistemas
Informticos
que se estn
auditando
PROCESOS
DE LA
ENTIDAD
Impacto
Donde:
Amenazas: Son aquellas causales internas externas a la entidad
que pueden ocasionar consecuencias negativas en la operatividad
de la entidad pudiendo ser accidentales o intencionales. Dichas
causales pueden ser: personas, materiales, instalaciones y entorno.
Vulnerabilidades: Son debilidades o ausencias de control que
facilitan que las amenazas se materialicen. Es de significar que por
80
Vulnerabilidad
(Debilidades
o
ausencias de control)
La entidad no actualiza
el antivirus en los
computadores
Riesgo de TI
(Efecto)
Infraestructura
insuficiente
de
TI
Definicin
Es muy frecuente la materializacin del riesgo o se presume que
llegar a materializarse.
Posible
Improbable
81
De Impacto
Categora
Desastroso
Definicin
Si el hecho llegara a presentarse, tendra alto impacto o efecto
sobre la entidad.
Moderado
Si el hecho llegara a presentarse tendra medio impacto o efecto
en la entidad.
Leve
Si el hecho llegara a presentarse tendra bajo impacto o efecto en
la entidad.
Fuente: Gua para la implementacin del Sistema de Control Interno
Nivel
Improbable
Posible
Probable
De Impacto
Impacto
Nivel
0 25
Leve
26 70
Moderado
71 100
Desastroso
Fuente: Gua para la implementacin del Sistema de Control Interno
Probabilidad
1
2
Leve
Moderado
3:
6:
Probable
3
Riesgo
Riesgo
Moderado
Importante
2:
4:
Posible
2
Riesgo
Riesgo
Tolerable
Moderado
1:
2:
Improbable
1
Riesgo
Riesgo
Aceptable
Tolerable
Fuente: Gua para la implementacin del Sistema de Control Interno
3
Desastroso
9:
Riesgo
Inaceptable
6:
Riesgo
Importante
3:
Riesgo
Moderado
82
Descripcin
Se requiere accin inmediata. Planes de tratamiento
requeridos, implementados y reportados a la Alta Direccin.
Se requiere atencin de la alta direccin. Planes de
tratamiento requeridos, implementados y reportados a los jefes
de las oficinas, divisiones, entre otros.
Debe ser administrado con procedimientos normales de
control.
Menores efectos que pueden ser fcilmente remediados. Se
administra con procedimientos rutinarios
Riesgo insignificante. No se requiere ninguna accin.
Riesgo
Moderado
Riesgo
Tolerable
Riesgo
Aceptable
Fuente: Gua para la implementacin del Sistema de Control Interno
Virus
informticos
que
son
transmitidos
por
medios
informticos
Requerimiento
de
TI
no
solicitado por
el
rea
usuaria
Vulnerabilidad
(Debilidades
o
ausencias
de
control)
La
entidad
no
actualiza
el
antivirus en los
computadores
Riesgo de TI
(Efecto)
Recomendacin
Probabilidad
es
que
el
virus
infect
los
computadores
Infraestructura
TI insuficiente
Probabilidad de
que la reas que
utilizan las TI no
puedan alcanzar
sus objetivos
Disponer
la
actualizacin
peridica de los
antivirus de los
computadores de
la entidad
Solicitar al rea
usuaria,
los
requerimientos de
TI
necesarios
para
el
cumplimiento de
sus funciones
de
83
Introduccin
II
Detalle
Se especifica: Memorndum de
Control Interno correspondiente al
nombre de la auditora de sistemas
informticos que se est realizando.
Se deja constancia que los hechos
informados no revelan necesariamente
todas las debilidades del sistema de
control interno realizado a la entidad
que se est evaluando, toda vez que
la muestra es de carcter selectivo.
a. Ambiente de Control
b. Evaluacin del Riesgo
c. Actividades de Control Gerencial
d. Informacin y Comunicacin
III
e. Supervisin
Conclusiones
IV
Recomendaciones
Anexos
84
Comentario
Ningn aspecto contenido en la normativa evaluada se cumple.
Algunos de los aspectos contenidos en la normativa evaluada
se cumplen.
Todos los aspectos contenidos en la normativa evaluada se
cumplen.
Objetivo de Aspectos
la Norma
contenidos
Nivel
de Opinin del auditor
cumplimiento
Virus
informticos
que
son
transmitidos
por
medios
informticos
Requerimiento
de
TI
no
solicitado por
el
rea
usuaria
Vulnerabilidad
(Debilidades o
ausencias
de
control)
< Condicin >
La entidad no
actualiza
el
antivirus en los
computadores
Riesgo de TI
< Efecto >
Normatividad
< Criterio >
Probabilidad es que
el virus infect los
computadores
Infraestructura
de
TI
insuficiente
Probabilidad de que
la reas que utilizan
las TI no puedan
alcanzar
sus
objetivos
El
Procedimiento
interno relacionado a la
prevencin, deteccin y
eliminacin de virus
informticos establece
las
acciones
preventivas que deben
realizar los usuarios
respecto de los virus
informticos.
Mediante Dec.Leg. N
1017 se aprob la Ley
de Contrataciones del
Estado,
el
cual
establece en su Art.13
las
caractersticas
tcnicas de los bienes,
servicios y obras a
contratar.
85
86
11. El Auditor Encargado remite al Titular y/o nivel Jefatural (al cual se ha
estado auditando) el proyecto sugerido de Carta de Representacin
para que en cumplimiento de las Normas de Auditora Gubernamental
procedan a confirmar al Auditor Encargado si han puesto a disposicin
de la Comisin de Auditora toda la informacin importante y necesaria
que obra en sus archivos y de ser el caso si han informado de
situaciones irregulares que involucren a sus trabajadores; con el fin
que no se haya afectado los resultados de la evaluacin de la
Comisin de Auditora. (NAGU 3.70: CARTA DE REPRESENTACIN)
5.2.3 ENTREGABLES
-
87
Planificacin
Ejecucin
ElaboracindelInforme
deAuditora
5.3.1 OBJETIVO
Establecer las diversas actividades que se realizan durante la elaboracin del
informe de auditora gubernamental enfocado a los sistemas informticos.
88
89
Denominacin
Introduccin
1. Origen
2. Naturaleza y Objetivos
3. Alcance
II.
Detalle
Nombre de la Auditora
Observaciones
1. Sumilla
2. Elementos de la observacin
situacin
deficiente detectada.
Criterio:
Norma,
disposicin
o
parmetro de medicin aplicable al
hecho situacin observado.
Efecto: Consecuencia real o potencial
(cuantitativa o cualitativa) ocasionada
por el hecho o situacin observado.
Causa: Motivo que dio lugar al hecho
o situacin observada.
Respuestas proporcionadas por el
personal
comprendido
en
las
observaciones, especificando si dicho
personal
adjunt
documentacin
90
III.
Conclusiones
IV.
Recomendaciones
sustentatoria.
Resultado del anlisis realizado por la
Comisin de Auditora respecto de los
comentarios
y/o
aclaraciones
del
personal
comprendido
en
las
observaciones.
En concordancia a la Ley N 29622 y su
5
se
debe
incluir
la
reglamento ,
identificacin
de
las
presuntas
responsabilidades
administrativas
funcionales
por
la
comisin
de
infracciones leves, graves y muy graves.
Argumentos de carcter profesional que
se formulan en funcin de los Aspectos
de Importancia y/o Observaciones
identificados producto de la auditora
realizada.
Medidas especficas y posibles que se
sugieren al Titular y/o Jefaturas de la
entidad que permitan superar las causas
y deficiencias evidenciadas en la
auditora realizada, las cuales estn
destinadas a mejorar la gestin de la
entidad y contribuir al logro de los
objetivos de la entidad en trminos de
economa, eficiencia y eficacia.
En concordancia a la Ley N 29622 y su
reglamento, de haberse identificado
presuntas
responsabilidades
administrativas
funcionales
por
la
comisin de infracciones leves, graves y
muy graves se debe proceder a:
V.
Anexos
Ley que modifica la Ley N 27785 y ampla las facultades en el proceso para sancionar en materia de responsabilidad
administrativa funcional; publicada el 07.DIC.2010. As como el Decreto Supremo N 23-2011-PCM del 18.MAR.2011
que aprueba el Reglamento de la Ley N 29622, denominado Reglamento de infracciones y sanciones para la
responsabilidad administrativa funcional derivada de los informes emitidos por los rganos del Sistema Nacional de
Control
91
Introduccin
Fundamentos de Hecho
Fundamentos de Derecho
Identificacin de partcipes en
los Hechos
Pruebas
Recomendacin
Detalle
Estar identificado como Informe Especial, el
cual debe incluir un ttulo relacionado al tema
que se est auditando.
Se incluye el origen, motivo y alcance de la
auditora (accin de control). Este punto
incluye:
Documento de acreditacin
Perodo
92
c. FINALIZA CON:
8. Remisin del Informe de Auditora por parte del Jefe del rgano de
Control Institucional al:
-
5.3.3 ENTREGABLES
-
ANEXO A-1
CONTROLES DE NORMAS DE CONTROL INTERNO
(BASADO EN COSO)
Objetivo: Identificar en forma preliminar los controles y riesgos asociados a los procesos de
la entidad que se estn auditando, haciendo uso de las normas de control interno.
Referenciado en: Pgina 73, correspondiente al numeral 9 del literal b. CONTINUA CON
de la Etapa de Planificacin de la Propuesta Metodolgica.
Las 32 normas de control interno que conforman los 5 componentes del Sistema Control
Interno se detallan a continuacin:
1.
Ambiente de Control
1.1 Filosofa de la Direccin
1.2 Integridad y valores ticos
1.3 Administracin estratgica
1.4 Estructura organizacional
1.5 Administracin de los recursos humanos
1.6 Competencia profesional
1.7 Asignacin de autoridad y responsabilidad
1.8 rgano de Control Institucional
2.
Evaluacin de Riesgos
2.1
2.2
2.3
2.4
3.
4.
Informacin y Comunicacin
4.1 Funciones y caractersticas de la informacin
95
4.2
4.3
4.4
4.5
4.6
4.7
4.8
4.9
5.
Informacin y responsabilidad
Calidad y suficiencia de la informacin
Sistemas de informacin
Flexibilidad al cambio
Archivo institucional
Comunicacin interna
Comunicacin externa
Canales de comunicacin
Supervisin
5.1 Normas Bsica para las Actividades de Prevencin y Monitoreo
5.1.1 Prevencin y monitoreo
5.1.2 Monitoreo oportuno del control interno
5.2 Normas Bsicas para el Seguimiento de Resultados
5.2.1 Reporte de deficiencias
5.2.2 Seguimiento e implantacin de medidas correctivas
5.3 Normas Bsicas para los Compromisos de Mejoramiento
5.3.1 Autoevaluacin
5.3.2 Evaluaciones independientes
ANEXO A-2
RELACIONANDO COBIT 4.1 CON ISO/IEC 27002:2005
COBIT4.1
ISO/IEC 27002:2005
PLANIFICAR Y ORGANIZAR
PO1
PO2
PO1.1
PO1.2
PO2.1
PO2.2
PO2.3
PO2.4
PO3
PO3.2
97
PO4
PO3.3
PO3.4
Estndares tecnolgicos
PO3.5
Consejo de arquitectura de TI
PO4.1
PO4.2
PO4.3
Comit directivo de TI
PO4.4
PO4.5
Estructura organizacional de TI
PO4.6
PO4.7
PO4.8
PO4.9
98
PO5
PO6
PO4.10
Supervisin
PO4.11
Segregacin de funciones
PO4.12
Personal de TI
PO4.13
Personal clave de TI
PO4.14
PO4.15
Relaciones
Administrar la inversin en TI
PO5.1
PO5.2
PO5.3
Proceso presupuestal
PO5.4
Administracin de costos de TI
PO5.5
Administracin de beneficios
99
100
PO8
Administrar calidad
PO8.1
PO9
Administrar proyectos
PO10.1
PO10.2
PO10.3
PO10.4
PO10.5
PO10.6
PO10.7
PO10.8
PO10.9
101
102
AI1.2
AI1.3
AI1.4
AI2
en
de
de
de
AI2.1
AI2.2
AI2.3
AI2.4
AI2.5
AI2.6
AI2.7
AI2.8
AI2.9
103
AI2.10
AI3.1
AI3.2
AI3.3
Mantenimiento de la Infraestructura
AI3.4
AI4.1
AI4.2
AI4.3
AI4.4
AI5.1
Control de adquisiciones
AI5.2
AI5.3
Seleccin de proveedores
AI5.4
Adquisicin de recursos de TI
AI6.1
AI6.2
AI6.3
Cambios de emergencia
AI6.4
AI6.5
Entrenamiento
104
105
COBIT4.1
ISO/IEC 27002:2005
ENTREGAR Y DAR SOPORTE
DS1
DS1.5 Monitoreo y reporte del cumplimento de los niveles 10.2.2 Monitoreo y revisin de los servicios de terceros
10.2.3 Gestin de cambios a los servicios de terceros
de servicio
DS1.6 Revisin de los acuerdos de niveles de servicio y de los contratos
DS2
DS3
DS4
con
DS4.2
Planes de continuidad de TI
DS4.3
Recursos crticos de TI
106
DS5
DS4.4
DS4.5
DS4.6
DS4.7
DS4.8
DS4.9
DS4.10
Revisin post-reanudacin
Administracin de la seguridad de TI
DS5.2
Plan de seguridad de TI
DS5.3
Administracin de identidad
DS5.4
DS5.5
107
DS5.6
DS5.7
DS5.8
DS5.9
DS6
DS5.10
Seguridad de la red
DS5.11
108
Identificacin de necesidades de
formacin
Brindar educacin y entrenamiento
educacin
DS9.2
DS9.3
DS11
Administrar la configuracin.
DS9.1
DS10
DS9
DS10.1
DS10.2
DS10.3
Cierre de problemas
DS10.4
DS11.4
Requerimientos
del
negocio
para
administracin de datos
Acuerdos para el almacenamiento y
conservacin
109
DS12
DS13
DS11.5
Respaldo y restauracin
DS11.6
DS12.2
DS12.3
Acceso Fsico
DS12.4
DS12.5
DS13.1
DS13.2
Programacin de tareas
DS13.3
Monitoreo de la infraestructura de TI
DS13.4
DS13.5
110
COBIT 4.1
ISO/IEC 27002:2005
MONITOREAR Y EVALUAR
ME1
ME2
ME1.2
ME1.3
Mtodo de monitoreo
ME1.4
ME1.5
ME1.6
Acciones correctivas
ME2.2
ME3
Revisiones de Supervisin
la
de
la
la
de
ME2.3
Excepciones de control
ME2.4
Autoevaluacin de control
ME2.5
ME2.6
ME2.7
Acciones correctivas
ME3.2
de
111
ME4
ME3.3
ME3.4
ME3.5
Reportes Integrados
ME4.1
ME4.2
Alineamiento estratgico
ME4.3
Entrega de valor
ME4.4
Administracin de recursos
ME4.5
Administracin de riesgos
ME4.6
ME4.7
Aseguramiento independiente
ANEXO A-3
RELACIONANDO ISO/IEC 27002:2005 CON COBIT 4.1
ISO/IEC 27002:2005
COBIT4.1
5.0 POLTICA DE SEGURIDAD
5.1
5.1.1
5.1.2
Organizacin interna
6.1.1
Compromiso de la gerencia con la seguridad de la
informacin
113
6.1.2
6.2
114
7.2
7.1.2
7.1.3
Clasificacin de la informacin
7.2.1
7.2.1 Lineamientos
para la clasificacin
7.2.2
7.2.2 Etiquetado y
manejo de la
informacin
8.2
8.3
8.1.2
Verificacin
8.1.3
Durante el Empleo
8.2.1
Responsabilidades de la Gerencia
8.2.2
8.2.3
Procesos disciplinarios
8.3.1
Responsabilidades en el cese
8.3.2
Devolucin de activos
115
8.3.3
9.2
9.1.3
9.1.4
9.1.5
9.1.6
Servicios de soporte
9.2.3
9.2.4
Mantenimiento de equipos
9.2.5
9.2.6
9.2.7
10.2
10.3
10.1.2
Gestin de cambios
10.1.3
Segregacin de funciones
10.1.4
10.2.2
10.2.3
116
10.3.2
10.4
10.5
Respaldos
10.5.1
Respaldo de la
informacin
10.6
10.6.2
10.7
10.8
10.9
10.10
Seguridad de
los servicios de red
10.7.2
10.7.3
10.7.4
Intercambio de informacin
10.8.1
Polticas y procedimientos para el intercambio de
informacin
10.8.2
Acuerdos de intercambio
10.8.3
10.8.4
10.8.5
Sistemas de informacin del negocio
Servicios de comercio electrnico
10.9.1
Comercio electrnico
10.9.2
Transacciones en lnea
10.9.3
Monitoreo
10.10.1
Logs de auditora
117
10.10.2
10.10.3
Proteccin de logs
10.10.4
10.10.5
Logs de errores
10.10.6
Sincronizacin de relojes
11.1
11.2
11.2.2
Gestin de privilegios
11.2.3
11.2.4
11.3
11.4
11.5
Responsabilidades de usuario
11.3.1
Uso de contraseas
11.3.2
11.3.3
11.4.2
11.4.3
11.4.4
11.4.5
Segregacin en redes
11.4.6
11.4.7
118
11.6
11.7
11.5.1
11.5.2
11.5.3
11.5.4
11.5.5
11.5.6
11.7.2
Teletrabajo
12.2
12.3
12.2.4
Validacin de datos de salida
Controles criptogrficos
12.3.1
Polticas de uso de controles criptogrficos
12.4
12.3.2
Gestin de claves
Seguridad de archivos del sistema
12.4.1
Control del software de operaciones
12.5
12.4.2
12.4.3
12.5.1
12.5.2
119
12.5.3
12.6
Restricciones en los cambios a los paquetes de software AI2.5 Configuracin e implementacin de software de
aplicacin adquirido
AI6.1 Estndares y procedimientos para cambios
AI6.2 Evaluacin de impacto, priorizacin y autorizacin
AI6.3 Cambios de emergencia
DS9.2 Identificacin y mantenimiento de elementos de la
configuracin
12.5.4
Fuga de informacin
AI2.4 Seguridad y disponibilidad de las aplicaciones
AI7.7 Pruebas de aceptacin final
12.5.5
Outsourcing de desarrollo de software
PO8.3 Estndares para desarrollos y adquisiciones
AI2.7 Desarrollo de software aplicativo
AI5.2 Gestin de contratos con proveedores
DS2.4 Monitoreo del desempeo de proveedores
Gestin de vulnerabilidades tcnicas
12.6.1
Control de
AI3.3 Mantenimiento de la infraestructura
vulnerabilidades tcnicas
AI6.2 Evaluacin de impacto, priorizacin y autorizacin
AI6.3 Cambios de emergencia
DS5.5 Pruebas, vigilancia y monitoreo de la seguridad
DS5.7 Proteccin de la tecnologa de seguridad
DS9.2 Identificacin y mantenimiento de elementos de la
configuracin
13.2
Aprendiendo de
los incidentes de
seguridad de informacin
13.2.3
Recoleccin de
evidencia
14.1.2
14.1.3
14.1.4
14.1.5
120
15.0 CUMPLIMIENTO
15.1
15.2
15.1.2
15.1.3
15.1.4
15.1.5
15.1.6
15.2.2
15.3
Verificacin de
cumplimiento tcnico
121
Captulo 3
Aplicacin y Validacin de la Propuesta Metodolgica que permite guiar a
los auditores gubernamentales del Sistema Nacional de Control Peruano en
las auditoras de sistemas informticos del Sector Pblico Peruano
El presente captulo trata sobre el uso de la metodologa propuesta en el Captulo 2 del presente
trabajo de tesis aplicado en la Oficina de Control Interno de la Superintendencia Nacional de
Aduanas y de Administracin Tributaria (SUNAT), especficamente en la Divisin de Auditora
de Sistemas Informticos.
Es de significar que la Oficina de Control Interno de la SUNAT en su calidad de rgano de
control institucional forma parte del Sistema Nacional de Control Peruano, el cual depende
funcionalmente de la Contralora General de la Repblica y administrativamente de la
SUNAT. La dependencia es funcional debido a que la Contralora General dirige la labor
operativa de los rganos de control institucional. Asimismo, la dependencia es administrativa
debido a que la SUNAT asigna los recursos necesarios (infraestructura, logsticos y humanos)
para el cumplimiento de las funciones encomendadas.
Sobre el particular, en concordancia al principio de autocontrol establecido en las Normas de
Control Interno 7 , aplicable a las entidades del Estado; el suscrito aplic la propuesta
metodolgica como parte del autocontrol que cada funcionario servidor pblico debe realizar
en su propio trabajo, con el fin de efectuar correctivos para el mejoramiento de las labores
asignadas.
123
3.1.
Antecedentes
Desde setiembre del ao 2004, el suscrito viene trabajando como auditor
gubernamental en la Divisin de Auditora de Sistemas Informticos de la Oficina de
Control Interno de la Superintendencia Nacional de Aduanas y de Administracin
Tributaria (SUNAT), luego de haber ganado un concurso interno para cubrir una plaza
vacante en dicha unidad organizacional.
Asimismo, segn el Reglamento de Organizacin y Funciones de la SUNAT 8 , la
Oficina de Control Interno es el rgano encargado de cautelar la correcta
administracin de recursos de la institucin y la confiabilidad de su informacin
financiera, mediante el control posterior de la gestin contable, financiera y
administrativa, as como verificar la debida aplicacin de las normas, procedimientos y
tcnicas de la institucin, en armona con las disposiciones del Sistema Nacional de
Control y dems normas vigentes.
Dicho rgano de control institucional est conformado por cuatro (4) divisiones, tal
como se muestra en el siguiente grfico:
Divisin de Auditora de
Sistemas Administrativos
Divisin de Auditora de
Operaciones Tributarias
Divisin de Auditora de
Operaciones Aduaneras
Divisin de Auditora de
Sistemas Informticos
8
9
124
Ao
2004
2005
2006
2007
2008
2009
2010
2011
2012
3.2.
Auditor
2
2
1
1
1
2
5
1
2
17
Total
2
3
5
2
3
2
7
2
4
30
Ao
2011
2012
Auditor
Encargado
1
2
3
Etapas de la Auditora
Gubernamental
Planificacin
Ejecucin
Elaboracin de Informe
Auditor
1
2
3
Total: 6 auditoras gubernamentales
Etapas de la
Auditora
Gubernamental
Ejecucin
125
3.3.
126
127
: Mayor
: Mayor
: Mayor
: Mayor
128
129
: Mayor
: Mayor
: Mayor
: Mayor
130
: Mayor
: Mayor
: Mayor
: Mayor
131
10
132
Conclusiones
Respecto de la evaluacin realizada al marco normativo aplicable al proceso de auditora
de sistemas informticos del Sistema Nacional de Control Peruano en entidades del
Sector Pblico Peruano, se concluye lo siguiente:
1. Se ha determinado el marco normativo peruano aplicable a la propuesta metodolgica que
permite guiar las auditoras de sistemas informticos en entidades del sector pblico
peruano, el cual incluye, entre otros, la Ley Orgnica del Sistema Nacional de Control y de
la Contralora General de la Repblica, el Reglamento de los rganos de Control
Institucional, la Ley de Control Interno de las Entidades del Estado, Normas de Control
Interno, Gua para la implementacin del Sistema de Control Interno de las entidades del
Estado, Normas de Auditora Gubernamental y Manual de Auditora Gubernamental.
Asimismo, dentro de dicho marco normativo se encuentra la normativa emitida por el
Congreso de la Repblica, Presidencia del Consejo de Ministros a travs de la Oficina
Nacional de Gobierno Electrnico e Informtica (ONGEI) y normativa propia aplicable
para cada entidad pblica.
2. Se ha identificado que la Gua para la implementacin del Sistema de Control Interno de
las entidades del estado emitida por la Contralora General de la Repblica establece que
para poder establecer controles relacionados a las tecnologas de la informacin y
comunicaciones debe tomarse en cuenta estndares o buenas prcticas internacionales,
entre las cuales se encuentra COBIT e ISO/IEC 27002 que permita desarrollar un marco
propio adaptable a la realidad de cada entidad perteneciente al sector pblico peruano. En
ese sentido, considerando que la Contralora General de la Repblica no ha emitido
normatividad explcita que permita guiar las auditoras de sistemas informticos en
entidades del sector pblico peruano, se hace necesario el uso de dichos estndares o
buenas prcticas internacionales en las auditoras gubernamentales enfocadas a los
sistemas informticos, permitiendo de est manera evaluar controles que podran ser
utilizados en los procesos informticos de las entidades pblicas con el fin de minimizar
riesgos que puedan afectar el logro de los objetivos y metas institucionales.
134
135
Bibliografa
a. Respecto de la Ley Orgnica del Sistema Nacional de Control y de la Contralora
General de la Repblica:
1. Congreso de la Repblica del Per. (2002). Ley N 27785 Ley Orgnica del
Sistema Nacional de Control y de la Contralora General de la Repblica. Publicado
en el Diario Oficial El Peruano el 23 de julio del 2002.
2. Congreso de la Repblica del Per. (2004). Ley 28396 Ley que modifica el Art. 43
de la Ley N 27785. Publicado en el Diario Oficial El Peruano el 25 de noviembre del
2004.
3. Congreso de la Repblica del Per. (2004). Ley 28422 Ley que modifica el inciso
i del Art. 22 de la Ley N 27785. Publicado en el Diario Oficial El Peruano el 17 de
diciembre del 2004.
4. Congreso de la Repblica del Per. (2010). Ley 29622 Ley que modifica la Ley N
27785 y ampla las facultades en el proceso para sancionar en materia de
responsabilidad administrativa funcional. Publicado en el Diario Oficial El Peruano el
07 de diciembre del 2010.
6. Congreso de la Repblica del Per. (2011). Ley 29743 Ley que modifica el Art. 10
de la Ley 28716, Ley de Control Interno de las entidades del Estado. Publicado en el
Diario Oficial El Peruano el 09 de julio del 2011.
137
138
i. Pginas WEB:
19. Portal del Estado Peruano. (2012). Organizacin del Estado Peruano. En Internet.
Accesible en www.peru.gob.pe.
20. Portal del Congreso de la Repblica del Per. (2012). Archivo digital de la
21. Portal del Diario Oficial El Peruano. (2012). Normas Legales publicadas por las
diversas entidades del Estado Peruano. En Internet. Accesible en www.elperuano.pe.
139
Anexo N 1
Marco Legal emitido por el Congreso Peruano relacionado al Sistema
Nacional de Control Peruano
Objetivo: Identificar las leyes emitidas por el Congreso Peruano y que son de cumplimiento
para las entidades pertenecientes al Sistema Nacional de Control Peruano.
Referenciado en:
27785
28396
28422
29622
Fecha
de
Promulgacin
Fecha
Publicacin
22/07/2002
23/07/2002
24/11/2004
25/11/2004
16/12/2004
17/12/2004
06/12/2010
07/12/2010
de
Denominacin
Ley Orgnica del Sistema Nacional de Control y de la
Contralora General de la Repblica.
Ley que modifica el Art. 43 de la Ley N 27785.
Ley que modifica el inciso i del Art. 22 de la Ley N
27785.
Ley que modifica la Ley N 27785 y ampla las facultades
en el proceso para sancionar en materia de
responsabilidad administrativa funcional.
28716
29743
Fecha
de
Promulgacin
17/04/2006
30/06/2011
Fecha
de
Publicacin
18/04/2006
09/07/2011
Denominacin
Ley de Control Interno de las Entidades del Estado.
Ley que modifica el Art. 10 de la Ley 28716, Ley de
Control Interno de las entidades del Estado
Anexo N 2
Marco Legal emitido por la Contralora General de la Repblica
Objetivo: Identificar las Resoluciones de Contralora emitidas por la Contralora General de
la Repblica y que son de cumplimiento para las entidades pertenecientes al
Sistema Nacional de Control Peruano.
Referenciado en:
RC N 459-2008-CG
RC N 99-2010-CG
Fecha
Promulgacin
28/10/2008
de
21/04/2010
Fecha
de
Publicacin
30/10/2008
23/04/2010
Denominacin
Contralor General autoriza aprobar Reglamento
de los rganos de Control Institucional
Modifican el Reglamento de los rganos de
Control Institucional
RC N 320-2006-CG
Fecha
Promulgacin
30/10/2006
de
Fecha
de
Publicacin
03/11/2006
Denominacin
Aprueban las Normas de Control Interno
RC N 162-95-CG
Fecha
Promulgacin
22/09/1995
de
Fecha
de
Publicacin
26/09/1995
RC N 141-99-CG
25/11/1999
29/11/1999
RC N 259-2000-CG
07/12/2000
13/12/2000
RC N 12-2002-CG
21/01/2002
22/01/2002
RC N 89-2002-CG
09/05/2002
11/05/2002
Denominacin
Aprueban
las
Normas
de
Auditora
Gubernamental
Modifican Normas y Manual de Auditoria
Gubernamental
Modifican Normas de Auditora Gubernamental
Sustituyen texto de la Norma de Auditora
Gubernamental 4.50 - Informe Especial
Suspende obligacin de remitir Informes
Especiales al Comit de Calidad de la Contralora
General, dispuesta por la NAGU 4.50.
RC N 152-98-CG
Fecha
Promulgacin
18/12/1998
RC N 141-99-CG
25/11/1999
de
Fecha
de
Publicacin
19/12/1998
29/11/1999
Denominacin
Aprueba:
[1] Manual de Auditora Gubernamental,
[2]Gua
de
Planeamiento
de
Auditora
Gubernamental,
[3]Gua de Elaboracin del Informe de Auditora
Gubernamental,
[4]Gua de Papeles de Trabajo
Modifican Normas y Manual de Auditoria
Gubernamental
143
Implementacin de recomendaciones
Resolucin
1
RC N 279-2000-CG
Fecha
Promulgacin
29/12/2000
de
Fecha
de
Publicacin
30/12/2000
Denominacin
Aprueban Directiva N 14-2000-CG/B150 Directiva para la Verificacin y Seguimiento de
implementacin de recomendaciones derivadas
de Informes de Acciones de Control
Anexo N 3
Detalle de los 133 controles de la NTP ISO-IEC/17799-2007
Objetivo: Identificar los controles establecidos en la NTP ISO-IEC/17799-2007 relacionados
a las buenas prcticas para la implementacin de controles en los sistemas de
gestin de seguridad de la informacin.
Referenciado en:
Poltica de seguridad
de la informacin
5.1.1
5.1.2
Documento de la
Poltica de
seguridad de la
informacin
Revisin y
evaluacin
CLAUSULAS y CATEGORAS
6. Aspectos organizativos
7. Clasificacin y control de
8. Seguridad en recursos
para la seguridad
activos
humanos
6.1
7.1
Organizacin interna
Responsabilidad sobre 8.1 Seguridad antes del
los activos
empleo
6.1.1
6.1.2
6.1.3
6.1.4
6.1.5
6.1.6
6.1.7
6.1.8
6.2
Comit de gestin de
seguridad de la
informacin
Coordinacin de la
seguridad de la
informacin
Asignacin de
responsabilidades
sobre seguridad de la
informacin
Proceso de
autorizacin de
recursos para el
tratamiento de la
informacin
Acuerdos de
confidencialidad
Contacto con
autoridades
Contacto con grupos
de inters especial
Revisin
independiente de la
seguridad de la
informacin
6.2.2
6.2.3
Identificacin de
riesgos por el
acceso de terceros
Requisitos de
seguridad cuando
sea trata con
clientes
Inventario de
activos
8.1.1
Inclusin de la
seguridad en las
responsabilidades y
funciones laborales
7.1.2
Propiedad de los
activos
8.1.2
Seleccin y poltica de
personal
7.1.3
Uso adecuado de
los activos
8.1.3
Acuerdos de
confidencialidad
7.1.1
Clasificacin de la
informacin
8.2
Durante el empleo
7.2.1
Guas de
clasificacin
8.2.1
7.2.2
Marcado y
tratamiento de la
informacin
8.2.2
Responsabilidades de
la gerencia
Conocimiento,
educacin y
entrenamiento de la
seguridad de
informacin
8.2.3
Proceso disciplinario
Requisitos de
seguridad en
contratos de
outsourcing
8.3
Responsabilidades de
finalizacin
Retorno de activos
145
8.3.3
CLAUSULAS y CATEGORAS
9. Seguridad fsica y del
entorno
9.1
10.1
reas seguras
Permetro de
seguridad fsica
Controles fsicos de
entradas
9.1.3 Seguridad de
oficinas, despachos
y recursos
9.1.1
9.1.2
10. Gestin de
comunicaciones y
operaciones
Procedimientos y
responsabilidades de
operacin
10.1.1
10.1.2
10.1.4
Proteccin contra
amenazas externas
y ambientales
9.1.5 El trabajo en las
reas seguras
9.1.6 Acceso publico,
reas de carga y
descarga
Seguridad de los
equipos
11.1
12.1
Documentacin
de
procedimientos
operativos
Gestin de
Cambios
Requisitos de negocio
para el control de
accesos
Requisitos de seguridad de
los sistemas
Poltica de control
de accesos
11.1.1
10.1.3
9.1.4
9.2
10.2
Segregacin de
tareas
Separacin de los
recursos para
desarrollo y para
produccin
Gestin de servicios
externos
10.2.1
10.2.2
10.2.3
11.2
Servicio de
entrega
Monitoreo y
revisin de los
servicios externos
Gestionando
cambios para los
servicios externos
Gestin de acceso de
usuarios
11.2.1
11.2.2
11.2.3
11.2.4
10.3
Planificacin y
aceptacin del sistema
11.3
10.3.1
11.3.1
10.3.2
Aceptacin del
sistema
11.3.2
11.3.3
10.4
Proteccin contra
software malicioso
10.4.1
Medidas y
controles contra
software
malicioso
10.4.2
Medidas y
controles contra
cdigo mvil
11.4
Registro de
usuarios
11.4.1
11.4.2
11.4.3
11.4.4
Poltica de uso de
los servicios de la
red
Autentificacin de
usuario para
conexiones
externas
Identificacin de
equipos en las
redes
Diagnostico
remoto y
configuracin de
proteccin de
puertos
Validacin de los
datos de entrada
Control del proceso
interno
12.2.3
Integridad de
mensajes
Validacin de los
datos de salida
12.2.4
12.3
Controles criptogrficos
Uso de
contraseas
Equipo
informtico de
usuario
desatendido
Poltica de
pantalla y
escritorio limpio
Control de acceso a la
red
Seguridad de las
aplicaciones del sistema
12.2.1
12.2.2
Gestin de
privilegios
Gestin de
contraseas de
usuario
Revisin de los
derechos de
acceso de los
usuarios
Responsabilidades de
los usuarios
Planificacin de la
capacidad
12.2
12.4
12.3.1
12.3.2
Gestin de claves
12.4.1
12.4.2
12.4.3
146
11.4.5
11.4.6
11.4.7
10.5
Gestin de respaldo y
recuperacin
11.5
Recuperacin de
la informacin
10.5.1
Control de acceso al
sistema operativo
11.5.1
11.5.2
11.5.3
11.5.4
11.5.5
11.5.6
10.6
10.7
10.8
10.9
Gestin de seguridad
en redes
10.6.1
Controles de red
10.6.2
Seguridad en los
servicios de redes
Utilizacin de los
medios de informacin
10.7.1
10.7.2
10.7.3
10.7.4
Gestin de
medios
removibles
Eliminacin de
medios
Procedimientos
de manipulacin
de la informacin
Seguridad de la
documentacin
de sistemas
Intercambio de
informacin
10.8.1
10.8.2
10.8.3
10.8.4
10.8.5
Polticas y
procedimientos
para el
intercambio de
informacin y
software
Acuerdos de
Intercambio
Medios fsicos en
trnsito
Seguridad en la
mensajera
electrnica
Sistemas de
Informacin de
Negocios
Servicios de correo
electrnico
10.9.1
10.9.2
Comercio
Electrnico
Transacciones en
lnea
11.6
11.6.2
12.5
Procedimientos
de conexin de
terminales
Identificacin y
autenticacin del
usuario
Sistema de
gestin de
contraseas
Utilizacin de las
facilidades del
sistema
Desconexin
automtica de
sesiones
Limitacin del
tiempo de
conexin
11.6.1
11.7
Segregacin en
las redes
Control de
conexin a las
redes
Control de
enrutamiento en
la red
Restriccin de
acceso a la
informacin
Aislamiento de
sistemas
sensibles
Informtica mvil y
teletrabajo
11.7.1
Informtica mvil
y comunicaciones
11.7.2
Teletrabajo
12.5.3
12.5.4
12.5.5
Procedimientos de
control de cambios
Revisin tcnica de
los cambios en el
sistema operativo
Restricciones en los
cambios a los
paquetes de software
Fuga de Informacin
Desarrollo externo
del software
12.6
Gestin de la vulnerabilidad
tcnica
Control de las
vulnerabilidades
tcnicas
12.6.1
147
10.9.3
10.10
Informacin
publica disponible
Monitoreo
10.10.1
10.10.2
10.10.3
10.10.4
10.10.5
10.10.6
Registro de la
auditoria
Monitoreando el
uso del sistema
Proteccin de la
informacin de
registro
Registro de
administradores y
operadores
Registro de la
avera
Sincronizacin
del reloj
CLAUSULAS y CATEGORAS
14. Gestin de continuidad del
negocio
14.1
Aspectos de la gestin de
continuidad del negocio
14.1.1
13.1.1
13.1.2
14.1.2
14.1.3
14.1.4
14.1.5
13.2
13.2.3
15.1
Incluyendo la seguridad de
informacin en el proceso
de gestin de la
continuidad del negocio
Continuidad del negocio y
evaluacin de riesgos
15.1.1
15.1.2
15.1.3
Redaccin e implantacin
de planes de continuidad
que incluyen la seguridad
de informacin
Marco de planificacin
para la continuidad del
negocio
Prueba, mantenimiento y
reevaluacin de los planes
de continuidad
15.1.4
15.1.5
15.1.6
Derechos de propiedad
intelectual (DPI)
Responsabilidades y
procedimientos
Aprendiendo de los
incidentes en la seguridad
de informacin
Recoleccin de evidencia
15.3
15.2.1
15.2.2
Comprobacin de la conformidad
tcnica
Total: 39 Categoras
Identificacin de la legislacin
aplicable
15.2
15. Cumplimiento
Controles de auditoria de
sistemas
Proteccin de las herramientas
de auditoria de sistemas
Anexo N 4
Marco Legal emitido por la ONGEI PCM
Objetivo: Identificar la normatividad emitida por la Presidencia del Consejo de Ministros
Repblica y que es de cumplimiento para las entidades del sector pblico peruano.
Referenciado en:
DS N 037-2005PCM
DS N 024-2006PCM
DS N 002-2007PCM
RM N 246-2007PCM
DS N 52-2008PCM
Fecha
de
Promulgacin
Fecha
de
Publicacin
12/02/2003
13/02/2003
16/03/2004
17/03/2004
27/05/2004
28/05/2004
14/06/2004
15/06/2004
09/05/2005
11/05/2005
22/05/2006
24/05/2006
10/01/2007
11/01/2007
22/08/2007
25/08/2007
18/07/2008
19/07/2008
08/08/2008
09/08/2008
26/11/2008
27/11/2008
23/07/2010
24/07/2010
23/05/2012
25/05/2012
DS N 053-2008PCM
DS N 077-2008PCM
DS N 76-2010PCM
RM N 129-2012PCM
Denominacin
Dictan medidas para garantizar la legalidad de la adquisicin de
programas de software en entidades y dependencias del Sector
Pblico
Aprueban documento "Gua Tcnica sobre evaluacin de software
para la administracin pblica"
Aprueban Gua para la Administracin eficiente del software legal
en la Administracin Pblica
Aprueban uso obligatorio de la Norma Tcnica Peruana NTPISO/IEC 12207:2004 Tecnologa de la Informacin. "Procesos del
Ciclo de Vida del Software, 1 Edicin en entidades del Sistema
Nacional de Informtica.
Modifican el D.S. N 013-2003-PCM, fijando plazo para que las
entidades cumplan con inventariar los software que utilizan
Aprueban Reglamento de la Ley N 28612 - Ley que norma el uso,
adquisicin y adecuacin del software en la Administracin Pblica
Modifican el D.S. N 013-2003-PCM y establecen disposiciones
referidas a licenciamiento de software en entidades pblicas
Aprueban uso obligatorio de la Norma Tcnica Peruana "NTPISO/IEC 17799:2007 EDI Tecnologa de la Informacin. Cdigo de
buenas prcticas para la gestin de la seguridad de la informacin.
2da Edicin" en todas las entidades integrantes del Sistema
Nacional de Informtica [Adopcin de la norma ISO/IEC
27002:2005]
Reglamento de la Ley 27269 - Ley de Firmas y Certificados
Digitales
Modifica el artculo 4 del Decreto Supremo N 013-2003-PCM para
el cumplimiento de la Administracin Pblica de las normas
vigentes en materia de Derechos de Autor en el Marco de la
Reforma del Estado y la implementacin del Acuerdo de Promocin
Comercial Per - Estados Unidos
Modifican el Artculo 4 del Decreto Supremo N 013-2003-PCM
para el cumplimiento en la Administracin Pblica de las normas
vigentes en materia de derechos de autor en el marco de la reforma
del Estado y la implementacin del Acuerdo de Promocin
Comercial Per - Estados Unidos
Decreto Supremo que modifica el Decreto Supremo N 013-2003PCM estableciendo disposiciones referidas a las adquisiciones de
computadoras personales que convoquen las entidades pblicas
Aprueban el uso obligatorio de la Norma Tcnica Peruana "NTPISO/IEC 27001:2008 EDI Tecnologa de la Informacin. Tcnicas
de Seguridad. Sistemas de gestin de la seguridad de la
informacin. Requisitos" en todas las entidades integrantes del
Sistema Nacional de Informtica. [Adopcin de la norma ISO/IEC
27001:2005]
Anexo N 5
Detalle de los 210 Objetivos de Control Especficos COBIT 4.1
Objetivo: Identificar los controles establecidos en COBIT 4.1 relacionados a las buenas
prcticas para un adecuado Gobierno de las Tecnologas de Informacin.
Referenciado en:
PLANIFICAR Y ORGANIZAR
(Planificar)
PO1
PO1.1
Administracin
valor de TI
del
AI1.1
PO1.2
Alineacin de TI con
el negocio
AI1.2
PO1.3 Evaluacin
del
desempeo y la
capacidad actual
PO1.4 Plan estratgico de
TI
AI1.3
AI1.4
Definicin
y
mantenimiento de los
requerimientos tcnicos y
funcionales del negocio.
Reporte de anlisis de
riesgos
DS1.1
Marco
de
administracin
de
niveles de servicio
ME1.1
Enfoque
Monitoreo
del
DS1.2
Definiciones de los
servicios
ME1.2
y
de
de
Estudio de factibilidad y
formulacin de cursos
alternativos de accin
Requerimientos, decisin
de
factibilidad
y
aprobacin.
DS1.3
Acuerdos de niveles
de servicio (ANS)
ME1.3
Definicin
recoleccin
datos
monitoreo
Mtodo
monitoreo
DS1.4
Acuerdos de niveles
de operacin
ME1.4
Evaluacin del
desempeo
DS1.5
Monitoreo y reporte
del cumplimento de
los
niveles
de
servicio
Revisin
de
los
acuerdos de niveles
de servicio y de los
contratos
ME1.5
Reportes
Consejo
Directivos y
ejecutivos
Acciones
correctivas
PO1.6 Administracin
portafolio de TI
PO2
DS1.6
del
PO2.2
PO2.3
PO2.4
Modelo
de
arquitectura de
informacin
empresarial
Diccionario
de
datos
empresarial
y
reglas de sintaxis
de datos
Esquema
de
clasificacin de
datos
Administracin
de integridad
el DS2
ME1.6
de
al
a
AI2.1
DS2.1
Identificacin
de
todas las relaciones
con proveedores
ME2.1
Monitoreo
del
marco
de
trabajo
del
control interno
AI2.2
Diseo detallado
DS2.2
Administracin
relaciones
proveedores
de
con
ME2.2
Revisiones
Supervisin
AI2.3
Control y auditabilidad
de las aplicaciones
DS2.3
Administracin
riesgos
proveedores
de
de
ME2.3
Excepciones de
control
AI2.4
Seguridad y
disponibilidad de las
aplicaciones.
DS2.4
Monitoreo
desempeo
proveedores
del
de
ME2.4
Autoevaluacin
de control
de
150
AI2.5
Configuracin e
implementacin de
software aplicativo
adquirido
ME2.5
Aseguramiento
del
control
interno
AI2.6
Actualizaciones
importantes en
sistemas existentes
ME2.6
Control interno
para terceros
AI2.7
Desarrollo de software
aplicativo
ME2.7
Acciones
correctivas
AI2.8
Aseguramiento de la
calidad del software
AI2.9
Administracin de los
requisitos de las
aplicaciones
Mantenimiento del
software aplicativo
AI2.10
PO3
PO4
la DS3
ME3.1
Capacidad
desempeo actual
ME3.2
DS3.3
Capacidad
desempeo futuro
ME3.3
DS3.4
Disponibilidad
recursos de TI
de
ME3.4
DS3.5
Monitoreo y reporte
PO3.1
Planeacin de la
orientacin
tecnolgica
AI3.1
Plan de adquisicin de
infraestructura tecnolgica
DS3.1
Planeamiento
desempeo
y
capacidad
PO3.2
Plan
de
infraestructura
tecnolgica
AI3.2
Proteccin y disponibilidad
de la infraestructura
DS3.2
PO3.3
Monitoreo
tendencias
regulaciones
futuras
AI3.3
Mantenimiento de la
Infraestructura
PO3.4
Estndares
tecnolgicos
AI3.4
Ambiente de prueba de
factibilidad
PO3.5
Consejo
arquitectura
TI
de
y
de
de
Definir
procesos, AI4 Facilitar la operacin y el uso.
organizacin y relaciones
de TI
DS4
ME3.5
Identificar
los
Requerimientos
de las Leyes,
Regulaciones y
Cumplimientos
Contractuales
Optimizar
la
Respuesta
a
Requerimientos
Externos
Evaluacin
del
Cumplimiento
con
Requerimientos
Externos
Aseguramiento
Positivo
del
Cumplimiento
Reportes
Integrados
gobierno
PO4.1
Marco de trabajo
de procesos de
TI
AI4.1
Planificacin
de
soluciones operacionales
DS4.1
Marco de trabajo
de continuidad de
TI
ME4.1
Establecer
un
marco
de
trabajo
de
gobierno para TI
PO4.2
Comit
estratgico de TI
AI4.2
Transferencia
conocimiento
a
Gerencia del negocio
de
la
DS4.2
Planes
de
continuidad de TI
ME4.2
Alineamiento
estratgico
PO4.3
Comit
de TI
directivo
AI4.3
DS4.3
Recursos crticos
de TI
ME4.3
Entrega de valor
PO4.4
Ubicacin
organizacional de
la funcin de TI
Estructura
organizacional de
TI
Establecer roles y
responsabilidade
s
Responsabilidade
s
para
el
aseguramiento
de la calidad de
TI (QA)
AI4.4
Transferencia
de
conocimiento
a
los
usuarios finales
Transferencia
de
conocimiento al personal
de operaciones y soporte
DS4.4
Mantenimiento del
plan
de
continuidad de TI
ME4.4
Administracin
de recursos
DS4.5
ME4.5
Administracin
de riesgos
DS4.6
Entrenamiento en
el
plan
de
continuidad de TI
ME4.6
Medicin
del
desempeo
DS4.7
Distribucin
del
plan
de
continuidad de TI
ME4.7
Aseguramiento
independiente
PO4.5
PO4.6
PO4.7
151
PO4.8
Responsabilidad
sobre el riesgo, la
seguridad y el
cumplimiento
Propiedad de los
datos y sistemas
DS4.8
Recuperacin
y
reanudacin
de
los servicios de TI
DS4.9
PO4.10
Supervisin
DS4.10
Almacenamiento
externo
y
respaldos
Revisin
postreanudacin
PO4.11
Segregacin
funciones
PO4.12
Personal de TI
PO4.13
Personal clave de
TI
PO4.14
Polticas
y
procedimientos
para el personal
contratado
Relaciones
PO4.9
PO4.15
PO5
de
PO5.2
PO5.3
PO5.4
PO5.5
Marco de trabajo
para
la
administracin
financiera
Priorizacin dentro
del presupuesto de
TI
Proceso
presupuestal
Administracin
de
costos de TI
Administracin
beneficios
DS5
Garantizar la seguridad de
los sistemas.
AI5.1
Control de adquisiciones
DS5.1
Administracin de
la seguridad de TI
AI5.2
Administracin
de
contratos de proveedores
DS5.2
Plan de seguridad
de TI
AI5.3
Seleccin de proveedores
DS5.3
Administracin de
identidad
AI5.4
Adquisicin de recursos
de TI
DS5.4
Administracin de
cuentas
del
usuario
Pruebas, vigilancia
y monitoreo de la
seguridad
Definicin
de
incidente
de
seguridad
Proteccin de la
tecnologa
de
seguridad
Administracin de
llaves
criptogrficas
Prevencin,
deteccin
y
correccin
de
software malicioso
Seguridad de la
red
DS5.5
de
DS5.6
DS5.7
DS5.8
DS5.9
DS5.10
DS5.11
PO6
Comunicar
las AI6 Administrar cambios.
aspiraciones
y
la
direccin de la Gerencia
PO6.1
Poltica y entorno de
control de TI
AI6.1
AI6.2
AI6.3
DS6
Intercambio
de
datos sensitivos
Identificar
costos.
asignar
Estndares
y
procedimientos
para
cambios
Evaluacin de impacto,
priorizacin y autorizacin
DS6.1
Definicin de
servicios
DS6.2
Contabilizacin de TI
Cambios de emergencia
DS6.3
Modelamiento de
costos y cargos
152
PO6.4 Implantacin
de
polticas, estndares
y procedimientos de
TI
PO6.5 Comunicacin de los
objetivos
y
la
direccin de TI
PO7
Administrar
humanos de TI
Seguimiento y reporte de
estado de los cambios
AI6.5
Cierre y documentacin
del cambio
DS6.4
DS7.1
PO7.2 Competencias
del
personal
PO7.3 Asignacin de roles
AI7.2
Plan de pruebas
DS7.2
AI7.3
Plan de
implementacin
DS7.3
PO7.4 Entrenamiento
personal de TI
del
AI7.4
Ambiente de prueba
PO7.5 Dependencia
individuos
de
AI7.5
Conversin de datos y
sistemas
PO7.6 Verificacin
de
antecedentes
del
personal
PO7.7 Evaluacin
del
desempeo
del
empleado
PO7.8 Cambios y ceses en
los
puestos
de
trabajo
AI7.6
Pruebas de cambios
AI7.7
Pruebas de aceptacin
final
AI7.8
Promocin
produccin
AI7.9
Revisin posterior a la
implementacin
Reclutamiento
retencin
personal
y
del
PO8.1
PO8.2
PO8.3
PO8.4
PO8.5
Identificacin
de
necesidades
de
educacin
y
formacin
Brindar educacin y
entrenamiento
Evaluacin
entrenamiento
recibido
del
DS8
Administrar calidad
Mantenimiento del
modelo de costos
AI7.1
PO7.1
PO8
AI6.4
Sistema
de
administracin
de
calidad
Estndares
y
prcticas de calidad
Estndares
para
desarrollos
y
adquisiciones
Enfoque
en
el
cliente de TI
Mejora continua
Administrar la mesa de
servicio y los incidentes.
DS8.1
Mesa de Servicios
DS8.2
Registro de consultas
de clientes
DS8.3
Escalamiento
incidentes
DS8.4
Cierre de incidentes
DS8.5
Reportes y anlisis
de tendencias
de
Evaluar y administrar
riesgos de TI
PO9.1
PO9.2
Marco de trabajo de
administracin
de
riesgos
Establecimiento del
contexto del riesgo
PO9.3 Identificacin
eventos
de
DS9
Administrar
configuracin.
la
DS9.1
Repositorio y lnea
base
de
configuracin
DS9.2
Identificacin
mantenimiento
elementos
configuracin
Revisin
integridad
de
configuracin
DS9.3
y
de
de
de
la
153
PO9.4 Evaluacin
riesgos de TI
PO9.5 Respuesta a
riesgos
PO9.6 Mantenimiento
monitoreo de
plan de accin
riesgos
P10
de
los
y
un
de
Administrar proyectos
PO10.1
PO10.2
PO10.3
PO10.4
PO10.5
PO10.6
PO10.7
PO10.8
PO10.9
PO10.10
PO10.11
PO10.12
PO10.13
PO10.14
DS10
Marco de trabajo
para
la
administracin
de programas
Marco de trabajo
para
la
administracin de
proyectos
Enfoque
de
administracin de
proyectos
Compromiso de
los interesados
Identificacin
clasificacin
problemas
y
de
DS10.2
Seguimiento
resolucin
problemas
y
de
DS10.3
Cierre
problemas
de
DS10.4
Integracin de la
administracin de
configuracin,
incidentes
y
problemas
Declaracin
de
alcance
del
proyecto
Inicio de las fases
del proyecto
Plan
integrado
del proyecto
Recursos
del
proyecto
Administracin de
riesgos
del
proyecto
Plan de calidad
del proyecto
Control
de
cambios
del
proyecto
Planeamiento del
proyecto
y
mtodos
de
aseguramiento
Medicin
del
desempeo,
reporte
y
monitoreo
del
proyecto
Cierre
del
proyecto
DS11
DS11.2
DS11.3
DS11.4
Requerimientos
del negocio para
la administracin
de datos
Acuerdos para el
almacenamiento y
la conservacin
Sistema
de
administracin de
libreras
de
medios
Eliminacin
154
DS12
DS11.5
Respaldo
restauracin
DS11.6
Requisitos
de
seguridad para la
administracin de
datos
Administrar el ambiente
fsico.
DS12.1
DS12.2
Acceso Fsico
DS12.4
Proteccin contra
factores
ambientales
Administracin de
instalaciones
fsicas
Administrar
operaciones.
Subtotal: 40
Procedimientos e
instrucciones de
operacin
DS13.2
Programacin
tareas
DS13.3
Monitoreo de la
infraestructura de
TI
DS13.4
Documentos
sensitivos
dispositivos
salida
de
y
de
Mantenimiento
preventivo
del
hardware
Subtotal: 71
Total: 210 Objetivos de Control Especficos
las
DS13.1
DS13.5
Subtotal: 74
Seleccin y diseo
del
centro
de
datos
Medidas
de
seguridad fsica
DS12.3
DS12.5
DS13
Subtotal: 25