You are on page 1of 35

Gerencia de Auditoria Interna

PLAN DE AUDITORIA INFORMATICO


EVALUACION A LA GESTION DEL EQUIPO INFORMATICA. PERIODO
2015

I.

ORIGEN DE LA AUDITORIA INFORMATICA


La Auditoria Informtica se lleva a cabo en cumplimiento del Plan Anual de Control 2016 del
rgano de Control Institucional de AGUAS ANDINAS, el mismo que fuera visado en principio
por el Titular de la Empresa y posteriormente aprobado por la Contralora General de la
Repblica, mediante Resolucin de Contralora No. 010-2015-CG de fecha 09.Ene.2015.

II.

ANTECEDENTES DE LA ENTIDAD
AGUAS ANDINAS, es una Empresa Estatal de Derecho Privado de propiedad del Estado,
creada mediante Decreto Legislativo No.150, constituida como Sociedad Annima e inscrita
en la Ficha No. 3722 de los Registros Pblicos de Lima.
Se rige por lo establecido en su Estatuto y la Ley General de Sociedades, con las
excepciones sealadas en la Ley de la Actividad Empresarial del Estado y su Reglamento y
las disposiciones que rigen a las entidades prestadoras de Servicio de Saneamiento y las
dems normas aplicables.
Con fecha 05 de mayo del 2000, la Junta General de Accionistas de AGUAS ANDINAS, aprob
la modificacin de los artculos 10, 11, 12,15, 20 y 40 de su Estatuto, los cuales fueron
inscritos el 14 de agosto del 2002, en la Partida No. 02005000 Asiento B00008 del Registro
de Personas Jurdicas de los Registros Pblicos de Lima.
Posteriormente, con fecha 02 de abril del 2004, la Junta General de Accionistas de AGUAS
ANDINAS, aprob la modificacin del artculo 7 del Estatuto, que fue inscrito el 15 de junio
del 2004, en la Partida No. 02005409 Asiento B0008 del Registro de Personas Jurdicas de los
Registros Pblicos de Lima.
La actividad principal de AGUAS ANDINAS es la captacin, potabilizacin y distribucin de
agua para uso domstico, industrial y comercial, servicios de Alcantarillado Sanitario y
Pluvial, Servicios de disposicin sanitaria de excretas y acciones de proteccin del medio
ambiente, vinculadas a los proyectos que ejecuta para el cumplimiento de sus fines; siendo
su responsabilidad las provincias de Lima y del Callao, pudiendo extenderse a otras
jurisdicciones, dichos servicios estn regulados por la Ley No. 26338, Ley General de
Servicios de Saneamiento promulgada el 24 de julio de 1994 y su Reglamento, aprobado
por Decreto Supremo No. 09-95 PRES del 28 de agosto de 1998.
AGUAS ANDINAS se encuentra en el mbito de la Ley No. 24984, Ley de la Actividad
Empresarial del Estado, promulgada en diciembre de 1998, modificada por la Ley No. 27170,
Ley del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado, publicada
en setiembre de 1999, las cuales definen el rgimen econmico, financiero y laboral de la
empresa, as como la relacin con los diversos niveles de gobierno y sistemas

administrativos. Asimismo, la Superintendencia Nacional de Servicios de Saneamiento SUNASS, es la encargada de fijar las tarifas y otros aspectos regulatorios.

III.

OBJETIVOS DE LA AUDITORIA INFORMATICA


Objetivo General
Evaluar la Gestin del Equipo Informtica respecto al cumplimiento de metas, planes y
normas vigentes. As como, el grado de asesoramiento y asistencia tcnica que brinda a la
empresa AGUAS ANDINAS; y el grado de seguridad fsica y lgica que existe respecto a la
custodia del hardware y software.

Objetivos Especficos

IV.

1.

Evaluar el cumplimiento de las metas y objetivos formulados en el Plan Operativo e


Indicadores de Gestin, Plan de Sistemas de Informacin y normativas vigentes
aplicables al Equipo Informtica.

2.

Evaluar el asesoramiento y asistencia tcnica que brinda el Equipo Informtica como


rgano de asesoramiento y asistencia tcnica a la empresa AGUAS ANDINAS.

3.

Determinar el grado de seguridad fsica y lgica que custodia el Equipo Informtica


respecto al hardware y software de la empresa.

ALCANCE DE LA AUDITORIA INFORMATICA


En concordancia con los objetivos previstos, en la presente Auditoria que comprendi la
revisin y evaluacin selectiva del 01.Ene.2015 a la fecha, ala Gestin del Equipo
Informtica respecto al cumplimiento de metas, planes y normas vigentes, estandarizacin
de procedimientos, as como su racionalidad en el uso de los recursos.
Para efecto del desarrollo del presente examen, se aplicaron normas y criterios tcnicos
establecidos en las Normas de Auditoria Gubernamental (NAGU), aprobada con Resolucin
de Contralora No. 162-95-CG del 22.Set.1995 y su modificatoria Resolucin de Contralora
No. 259-2000-CG del 07.Dic.2000; el Manual de Auditoria Gubernamental (MAGU), aprobado
con Resolucin de Contralora No. 152-98-CG del 18.Dic.1998 y las Normas de Control
Interno aprobadas con Resolucin de Contralora No. 320-2006-CG del 30.Oct.2006, y de
otros Procedimientos de Auditoria que se consideraron necesarios de acuerdo a las
circunstancias.
De acuerdo a los asuntos que sern examinados, se ha determinado evaluar selectivamente
las operaciones realizadas en las siguientes unidades orgnicas:
Gerencia de Desarrollo e Investigacin

Equipo Informtica
Gerencia de Logstica y Servicios

Equipo Planeamiento y Adquisicin de Bienes

Equipo Servicios Generales


Gerencia Comercial

Equipo(s) Comercial(es)

Equipo Micromedicin y Registros

Equipo Servicios y Clientes Especiales

Equipo Gestin Comercial

V.

CRITERIOS DE AUDITORA A UTILIZAR

Las principales disposiciones legales y reglamentacin interna, que regula las actividades de
las unidades orgnicas examinadas y que tienen relacin con el alcance y objetivos de la
presente accin de control, son entre otras las siguientes:
Norma Tcnica Peruana NTP-ISO/IEC 17799:2007 EDI. Tecnologa de la Informacin.
Cdigo de buenas prcticas para la gestin de la seguridad de la informacin. 2.
Edicin en todas las entidades integrantes del Sistema Nacional de Informtica
aprobada por Resolucin Ministerial No. 246-2007-PCM de fecha de publicacin
25.Ago.2007.

Normas y Procedimientos Internacionales basados en COBIT (Objetivos de Control para


la Informacin y Tecnologas relacionadas), encargado de investigar, desarrollar,
publicar y promover un conjunto de objetivos de control en tecnologa de informacin
con autoridad, actualizados, de carcter internacional y aceptados generalmente para
el uso cotidiano de Gerentes y auditores.

Normas de Auditoria Gubernamental NAGU, aprobado con Resolucin de Contralora


General de la Repblica No. 259-2000-CG. del 13.Dic.2000.

Normas de Control Interno para el Sector Pblico, aprobadas por Resolucin de


Contralora No. 320-2006-CG de fecha de publicacin 03.Nov.2006; y el Cdigo Marco
de Control Interno de las empresas del Estado aprobado mediante Acuerdo de
Directorio No. 001-2006/028-FONAFE.
Decreto Legislativo No. 822 del 23.Abr.1996, Ley sobre el Derecho de Autor.

VI.

Resolucin Ministerial No. 073-2004-PCM del 16.Mar.2004, Gua para la Administracin


Eficiente del Software Legal en la Administracin Pblica.

Resolucin de Gerencia General de AGUAS ANDINAS No. 264-2003-GG del 31.Jul.2002,


Gua para la Actualizacin de la Pgina Web de la Empresa.

Resolucin Jefatural No. 229-95-INEI, que aprueba la Directiva No. 011-95-INEI/SJI


Recomendaciones Tcnicas para la elaboracin de Planes de Sistemas de Informacin
en la Administracin Pblica del 14.Set.1996.

Manual de Organizacin y Responsabilidades General (MORG), aprobado con Resolucin


de Gerencia General No. 505-2013-GG del 25.Jul.2013.

Manual de Auditoria Gubernamental MAGU, aprobado con Resolucin de Contralora


General de la Repblica No. 152-98-CG. del 18.Dic.1998.

Plan de la Gestin Corporativa de Tecnologas de Informacin y Comunicaciones para


las empresas bajo el mbito del FONAFE: Periodo 2013 _ 2017, aprobado a travs de la
Resolucin de Direccin Ejecutiva No. 059-2013/DE-FONAFE del 21.Oct.2013.

RECURSOS DE PERSONAL
La conformacin del equipo de auditores designados para la realizacin del presente
examen especial es el siguiente:
Nombres y Apellidos

Cargo

Funcin

CPC. Walter Zuiga Paredes

Gerente de Auditora Interna

Gerente

ING. Felix Sandoval Linares

Jefe de Equipo Auditoria

Supervisor

ING. Mario Muoz Rojas

Auditor Principal

Auditor Encargado

ING. Jos Zapata Poma

Especialista de Auditoria

Integrante

ING. Sara Rina gamboa

VII.

Especialista de Auditoria

Integrante

PRESUPUESTO DE TIEMPO
Para el desarrollo del presente examen especial, si no se presentan imponderables y/o
imprevistos, se estima la utilizacin de 65 das tiles, desde el 25 Febrero al 20 de Mayo
2016, desagregado en las siguientes actividades:
Periodo

ETAPAS DE LA AUDITORA

Inicio
25/02/2016

Planificacin

Trmino
06/03/2016

06

Memorndum de Planeamiento

03

Programa de Auditoria

03

Ejecucin
Sistemas

de

la

auditora

de

07/03/2016

05/05/2016

52

Revisin de documentos

11

Constataciones Fsicas

08

Proceso de Informacin

23

Comunicacin de Hallazgos

05

Evaluacin de Descargos

05

Informe Final

06/05/2016

20/05/2016

10

Elaboracin del Informe

07

Sustentacin del Informe

02

Elevacin del Informe

01

TOTAL DE DAS TILES

VIII.

Total das
tiles

68

INFORME A EMITIR Y FECHA DE ENTREGA


Como resultado del examen especial, elaborado de acuerdo a las NAGU 4.10, 4.20, 4.30 y
4.40, se emitir un informe que ser elevado a la Gerencia de Auditora Interna, para su
aprobacin y se estima presentar el informe final el 19 de mayo del 2016, a las
entidades siguientes:

IX.

Contralora General de la Repblica.


FONAFE.
Ministerio de Vivienda, Construccin y Saneamiento.
Al Titular de la Entidad.

FECHA Y FIRMA
Lima, 02 de Marzo del 2016

______________________________
ING. Mario Muoz Rojas

________________________________
ING. Felix Sandoval Linares

Encargado de Comisin

Supervisor de Comisin

El Gerente de Auditora Interna aprueba el presente Plan de la Auditoria Informtica a realizarse y


luego de las coordinaciones previas hace suyo su contenido.

____________________________________
CPC. Walter Zuiga Paredes
Gerente de Auditoria Interna

Gerencia de Auditora Interna

PROGRAMA DE AUDITORIA INFORMATICA


EVALUACION A LA GESTION DEL EQUIPO INFORMATICA. PERIODO
2015
Nombre de la Entidad
: AGUAS ANDINAS
Fecha de Ejecucin
: Del 25.Feb.2016 al 20.May.2016
Alcance de la Auditoria Informtica :
Del 01.Ene.2015 al 31.Dic.2015
PROGRAMADO
Nombre

PROCEDIMIENTOS

Fecha
OBJETIVO GENERAL

Evaluar la Gestin del Equipo Informtica respecto al


cumplimiento de metas, planes y normas vigentes. As
como, el grado de asesoramiento y asistencia tcnica que
brinda a la empresa AGUAS ANDINAS; y el grado de
seguridad fsica y lgica que existe respecto a la custodia

EJECUTADO
Hecho
Ref.
Fecha
Por
P/T

del hardware y software.


Procedimientos:
MMR

MMR
JZP
MMR
JZP
SRG

25.Fe
b

1.

07.Ma
r
2.
10.Ma
r

MMR
3.

SRG
14.Ma
r
JZP
SRG

16.Ma
4.
r
5.
18.Ma
r
6.

MMR
Remisin del Memorndum al Presidente del Directorio
de AGUAS ANDINAS donde se pone de conocimiento el
inicio de la Auditoria Informtica, solicitndole las
facilidades del caso, para el logro de los objetivos de MMR
JZP
esta Comisin de Auditoria.
MMR
Solicitud a las reas examinadas, informacin JZP
documentada necesaria, para desarrollar el trabajo de SRG
campo.
MMR
Realizar la Inspeccin de Campo a fin de obtener SRG
informacin relevante, suficiente y competente que nos
permita alcanzar el objetivo de esta actividad.
JZP
SRG
Formular el Cuestionario de Control Interno.
Tomar muestras de la documentacin a evaluar, de
acuerdo a criterios de materialidad.

07.Ma
r
10.Ma
r

14.Ma
r
16.Ma
r
18.Ma
r

Aplicar procedimientos de Auditoria, para el desarrollo


de la Auditoria Informtica

OBJETIVOS ESPECIFICOS

JZP

25.Fe
b

JZP

Objetivo Especfico N 1
JZP
1.

JZP
07.Ma
r
JZP
JZP

10.Ma
r

JZP
Eval
uar el cumplimiento de las metas y objetivos formulados JZP
en el Plan Operativo e Indicadores de Gestin, Plan de
Sistemas de Informacin y normativas vigentes
JZP
aplicables al Equipo Informtica.
1.1

15.Ma
r

Revisar si se ha cumplido con las metas formuladas en JZP


el Plan Operativo e Indicadores.

10.Ma
r
15.Ma
r

1.2 Revisar si se ha cumplido con el Plan de Sistemas de


Informacin.

20.Ma
r

1.3

Revisar si se ha cumplido con las normativas principales


vigentes aplicables al Equipo Informtica.

20.Ma
r

30.Ma
r

1.4 Verificar si existe un planeamiento a mediano y largo plazo


respecto a la adquisicin y servicios que se realiza.

30.Ma
r

SRG

1.5 Verificar el grado de cumplimiento a la Gua para la SRG


Administracin Eficiente del Software Legal en la
Administracin Pblica, conforme a lo establecido en la
Resolucin Ministerial No. 073-2004-PCM del 16.Mar.2004.

SRG

SRG
Objetivo Especfico N 2

SRG

07.Ma
r

2.

Evaluar el asesoramiento y asistencia tcnica que brinda


el Equipo Informtica como rgano de asesoramiento y SRG

07.Ma
r

asistencia tcnica a la empresa AGUAS ANDINAS.


2.1

10.Ma
r
2.2

JZP
SRG

15.Ma
r

07.Ma
r

Determinar si el grado de desarrollo, operatividad


y mantenimiento de los recursos informticos permite la
atencin de los requerimientos de servicio informticos a
la Gerencia Comercial de AGUAS ANDINAS para el
cumplimiento de sus metas y objetivos.

10.Ma
r

Verificar si la entidad efecta evaluaciones peridicas


JZP
(comprobaciones y/o encuestas planificadas) a los
usuarios del software a fin de determinar sus necesidades
futuras que le permita ayudar a identificar y programar la SRG
compra de licencias y/o equipos de cmputo.

JZP

15.Ma
r

JZP
2.3 Verificar si se efecta campaas de difusin internas de la
prohibicin del uso indebido de software y capacitacin
del personal respecto al uso de determinados sistemas y/o SRG
programas.

SRG

Objetivo Especfico N 3
05.Ab
r
05.Ab
r
15.Ab
r
15.Ab
r

3.

Determinar el grado de seguridad fsica y lgica que


custodia el Equipo Informtica respecto al hardware y
software de la empresa.
3.1

Revisar y evaluar la seguridad fsica de los equipos,


programas y sistemas de la Empresa.

3.2

Revisar y evaluar la seguridad lgica para el acceso a la


red.

3.3

Verificar el grado de eficiencia en la supervisin por parte


del Equipo Informtica a Mesa de Ayuda (HelpDesk).

05.Ab
r
05.Ab
r
15.Ab
r
15.Ab
r

3.4 Verificar si el rea de informtica cuenta con un Plan de


Contingencia, que permita garantizar la continuidad de las
operaciones y la integridad de la informacin.

Lima, 06 de Marzo del 2016


__________________________
ING. Mario Muoz Rojas
Encargado de Comisin

_______________________
ING. Felix Sandoval Linares
Supervisor de Comisin

El Gerente de Auditora Interna aprueba el presente Plan de la Auditoria Informtica a


realizarse y luego de las coordinaciones previas hace suyo su contenido.
____________________________________
CPC. Walter Zuiga paredes
Gerente de Auditoria Interna

Ejemplo de Modelo de Acta de Inspeccin realizado al Equipo


Informtico de la empresa AGUAS ANDINAS. Elaboracin Propia.

Gerencia de Auditora Interna

ACTA DE VISITA INSPECTIVA


EVALUACION A LA GESTION DEL EQUIPO INFORMATICA. PERIODO 2015
FECHA : 22 Marzo Hora inicio: 10:00 am
2016
Hora Final: 11:40 am
Lugar: Equipo Informtico

Acta No.: 001

Participantes:
Nombres y Apellidos
ING. Mario Muoz Rojas
ING. Jos Zapata Poma
ING. Jos Pal Talavera
Surez

Equipos/Proyecto
s
Equipo Auditoria
Equipo Auditoria
Equipo Informtica

Cargo

Firma

Encargado de
Integrante
Comisin de
Jefe
del Equipo
Comisin
Informtica

Resumen:
Como resultado de la inspeccin in situ en el Equipo Informtica de AGUAS
ANDINAS de la utilizacin de los softwares adquiridos por AGUAS ANDINAS,
derivados del proceso de seleccin tipo ADS con No. 178-2015-SEDAPAL/B que tuvo
como objeto Adquisicin de Software, se determin que el nivel de Utilizacin de
dicho software, se realiza tal como consta en el Anexo No. 1.

Anexo N 1
Nivel de Utilizacin de los softwares adquiridos en el Ejercicio 2016 por AGUAS ANDINAS
Utilizacin

No.

Producto

Monto
adjudicad
o
(Soles)

01

SW. Control de
Versiones PVCS

22,491.0
0

02

SW. PL7PRO

8,327.13

03

SW. Magelis

1,220.94

04

SW. Adobe Page


Maker

2,552.55

27.Ene.20
15

05

SW. Proces.
Imgenessatelital
es

12,129.0
0

18.Ene.20
15

06

SW. CAD 3D 2013


en red

86,194.9
7

18.Ene.20
15

45,637.0
5

18.Ene.20
15

1,379.74

26.02.201
5

31,787.2
8

18.Ene.20
15

15

07
08

SW.
Administracin
Web
SW.
RecuperacinInfor
macin HD

No.
Adquirido
Versin
Licencias
18.Ene.20
15
18.Ene.20
15
18.Ene.20
15

1
1
1

SW. Laser Fiche


Team

09

SW. Laser Fisher


Retrieval
SW. Laser Fisher
Weblink United
SW. FullProduccion

8.1.4

9.1

Se
utiliza
(SI/No)

Equipo

Nombre Trabajador

Comentario

Gerencia de Auditora Interna

Memorando N088-201XEAOF-CA

Ing. Jos Pal Talavera Surez


Jefe del Equipo Informtica

Asunto

Evaluacin de la Estructura de Control Interno

Referencia

Plan Anual de Control 201X

Fecha

Lima, 20 de marzo de 201X

Tengo a bien dirigirme a usted, a fin de solicitarle desarrollar el Cuestionario de


Control Interno adjunto a este documento, referido a la Auditoria de Sistemas
denominada Evaluacin a la Gestin del Equipo Informtica, periodo 2015; en
donde se viene evaluando diversos aspectos relacionados a la Tecnologa de
Informacin y Comunicaciones (TIC).
Agradeceremos remitir la informacin solicitada a la brevedad posible, para que
de sta manera podamos cumplir con la programacin del Plan Anual de
Control.
Atentamente,

ING. Felix Sandoval Linares


Jefe de Equipo Auditoria
Supervisor de Comisin
Cc:/ File de Comisin
MSH

Gerencia de Auditora Interna

CUESTIONARIO DE AUDITORIA
EVALUACION A LA GESTION DEL EQUIPO INFORMATICA. PERIODO
2015

Informacin del Entrevistado


Apellidos y Nombres
:
Cargo
:

Ing. Jos Pal Talavera Surez


Jefe del Equipo Informtica

Cuestionario
El presente Cuestionario de Control Interno, deber
absolverse y sustentarse, adecuadamente mediante
documentacin pertinente, en virtud a los Objetivos
Generales y Especficos establecidos a efectos que la
Comisin Auditora, seguidamente proceda a corroborar
las respuestas dadas por el rea.
Objetivo General
Evaluar la Gestin del Equipo Informtica respecto al
cumplimiento de metas, planes y normas vigentes. As
como, el grado de asesoramiento y asistencia tcnica
que brinda a la empresa AGUAS ANDINAS; y el grado de
seguridad fsica y lgica que existe respecto a la custodia
del hardware y software.

Objetivos Especficos
1. Evaluar el cumplimiento de las metas y objetivos
formulados en el Plan Operativo e Indicadores de
Gestin, Plan de Sistemas de Informacin y normativas
vigentes aplicables al Equipo Informtica.
Siendo las preguntas para este objetivo especfico:
El Plan de Sistemas de Informacin actual tiene
como alcance el periodo 2013-2017; en ese
sentido, se cuenta con la elaboracin o propuesta
del nuevo plan que abarque los aos siguientes? Si
es afirmativo, sustentar.

Si

No N/A

Comentarios

El Plan de Sistemas de Informacin y/o Plan


Estratgico de Tecnologas de Informacin
considera los proyectos que se ha desarrollado
durante el ao 2015 en la Entidad? Detallar.
Existe un procedimiento y/o metodologa de
administracin de los Proyectos? Si es afirmativo,
sustentar.
Los proyectos que ha ejecutado en el ao 2015 han
contado con los recursos materiales y econmicos
necesarios para llevarlo a cabo? Si no es
afirmativo, detallar limitaciones.
Las tareas y actividades en el Plan Operativo 2015
han tenido la correspondiente y adecuada
asignacin de recursos? Detallar.
Existen Polticas (en virtud al Plan Institucional de
AGUAS ANDINAS) para la adquisicin de equipos de
cmputo y software en la Entidad? De no existir
polticas, explicar detalladamente las razones.
Nota: Se entiende como Poltica como las
directrices formuladas por la Alta Direccin previa
propuesta de la Gerencia de Desarrollo e
Investigacin a travs del Equipo de Informtica
para orientar y facilitar el cumplimiento de la
misin y el desarrollo de la visin.
Existe un Planeamiento a mediano y largo plazo por
parte del Equipo Informtica para la adquisicin
equipos de cmputo y de software legal en la
Entidad?. Si es afirmativo, adjuntar el Plan.
Cuenta con personal con conocimiento y experiencia
suficiente para cumplir con el trabajo y sobretodo
alcanzar las metas propuestas? Si no es afirmativo,
detallar limitaciones.
Ha existido cambios de la Plataforma informtica
por otra durante el periodo 2015? Si es afirmativo,
adjuntar los sustentos que autorizan dicho cambio
y el estudio de mercado para elegir la nueva
plataforma informtica de SEDAPAL.
Existen sistemas que no hayan sido desarrollados por
el Equipo Informtica, sino por otras reas dentro
de la empresa? Si es afirmativo, adjuntar relacin
de sistemas e indicar el tratamiento que se le ha
dado.
1. Evaluar el asesoramiento y asistencia tcnica que
brinda el Equipo Informtica como rgano de
asesoramiento y asistencia tcnica a la empresa
AGUAS ANDINAS.
Siendo las preguntas para este objetivo especifico:

El

personal del Equipo Informtica capacita al


personal usuario cuando se presenta cambios en
los Sistemas de la empresa? Si es afirmativo,
detallar.

Se ha adquirido el sistema SAP ERP Corporativo,


versin 6.0? Si es afirmativo. detallar su situacin
actual.
El grupo SAP depende de la Gerencia de Desarrollo e
Investigacin?. Indicar adems, quienes lo
conforman y cuales son sus funciones?
El

Sistema SCADA esta


Informtica? Detallar.

cargo

del

Equipo

Est debidamente organizado las acciones que se


realizan en el Centro de cmputo de AGUAS
ANDINAS? Si es afirmativo, detallar acciones.
Mantiene el Centro de cmputo un registro de
produccin de sus actividades? Si es afirmativo,
adjuntar el registro.
Todas las actividades del Centro de Computo estn
normadas
mediante
manuales,
instructivos,
normas, reglamentos, etc.? Si es afirmativo,
adjuntar dichas normativas.
Existe alguna gua, cartilla, etc. aprobada por la
entidad para dar de baja los equipos de cmputo.
Indicar adems donde se envan y/o custodia una
vez dadas de baja?.
Cuntas versiones se han actualizado durante el ao
2015 del sistema Corporativo ADROX? Adjuntar
detalle de modificaciones.

2. Determinar el grado de seguridad fsica y lgica que


custodia el Equipo Informtica respecto al hardware y
software de la empresa.
Siendo las preguntas para este objetivo especifico:
Son controladas las operaciones fuera de las horas
laborales (despus de las 17:00 pm)? Si es
afirmativo, indicar por quien y cuales son dichas
operaciones.
Est limitado el acceso del personal al Centro de
cmputo? Indicar que personal estn autorizados.
Esta
sujeto
a
evaluacin
permanente
el
funcionamiento del Centro de cmputo? Si es
afirmativo, que acciones se realiza y por quien.
Existe una persona y/o Grupo Funcional responsable
de la seguridad del Centro de cmputo?
Especificar.

Existe vigilancia en el Centro de cmputo las 24 horas


(cmaras de video, personal vigilancia, etc.?
Se registra el acceso al Centro de cmputo durante
las 24 horas? Si es afirmativo, detallar
procedimiento.
Se han formulado Polticas respecto a la seguridad,
privacidad y proteccin del Centro de Cmputo
ante eventos, como: incendio, vandalismo, robo y
uso indebido, intentos de violacin?
Se han realizado pruebas al Plan de Contingencia
del Sistema Corporativo ADROX y al Centro de
Cmputo? Sustentar.
Considera como riesgo latente la inundacin del
Centro de Cmputo por la ubicacin que tienen los
baos y las tuberas de agua cerca de este
ambiente? Si es afirmativo, detallar y sustentar las
acciones realizadas al respecto.
Considera como riesgo latente la posible prdida del
ambiente del Centro de Cmputo ante un desastre
natural? Si es afirmativo, detallar.
Considera adecuada la ubicacin del Centro de
Cmputo de AGUAS ANDINAS?
Se cuenta con un Plan de Emergencia? Si es
afirmativo, adjuntar.
Existe backup de los servidores y de la informacin de
la entidad (Indicar ubicacin)? Si es afirmativo,
detallar, sustentando.
Existe un Site Contingente para la Continuidad del
Negocio? Detallar.
Se ha adiestrado el personal en el manejo de los
extintores?
Si

es que existen extintores automticos son


activados por detectores automticos de fuego?

Se han instalado equipos que protejan la informacin


y los dispositivos en caso de variacin de voltaje
como: reguladores de voltaje, supresores pico, UPS,
generadores de energa?
Existe un grupo funcional y/o persona y/o outsourcing
que realiza la labor de auditoria interna y/o
Fiscal de Sistemas a las actividades del Equipo
Informtica? Si es afirmativo, detallar funciones,
reportes, etc.
Se mantiene un registro permanente (bitcora) de
todos los procesos realizados, dejando constancia
de suspensiones o cancelaciones de procesos? Si
es afirmativo, adjuntar copias.

Los backups de los programas de software se


custodian en lugares seguros y adecuados?
Se han contratado plizas de seguros para proteger la
informacin, equipos, personal y todo riesgo que se
produzca por casos fortuitos o mala operacin? Si
es afirmativo, adjuntar copia.
Dispone su institucin de un Plan de Seguridad de
Informacin? Si es afirmativo, adjuntar Plan y
normativa con el cual se aprueba.
Dispone su institucin de un Plan de Continuidad
del Negocio? Si es afirmativo, adjuntar Plan y
normativa con el cual se aprueba.
Existe un programa de Mantenimiento Preventivo
para cada dispositivo del sistema de cmputo? Si
es afirmativo, detallar.
Existe un contrato
afirmativo, detallar.

de

mantenimiento?

Si

es

Existe Plan de Mantenimiento Preventivo


aprobado por la Entidad o proporcionado por el
Proveedor? Si es afirmativo, adjuntar dicho Plan (si
es aprobado por la Entidad adjuntar la resolucin
de su aprobacin).
Se notifican las fallas y se les da seguimiento?
Describir.
Existen procedimientos de realizacin de copias de
seguridad y de recuperacin de datos?
Existen procedimientos de asignacin y distribucin
de contraseas?
Hay dadas de alta en el sistema cuentas de usuario
genricas, es decir, utilizadas por ms de una
persona? Si es afirmativo, indicar cuales.
Existe un perodo
contraseas?

mximo

de

vida

de

las

Cul es el destino de los equipos de computo y las


copias antiguas (versiones) y/o por cambio de
software cuando se dan de baja?.
Existe un Plan de implementacin de las
recomendaciones expuestas en la Norma Tcnica
Peruana
NTP-ISO/IEC
17799:2007
EDI.
Tecnologa de la Informacin. Cdigo de buenas
prcticas para la gestin de seguridad de la
informacin aprobado a travs de la Resolucin
Ministerial No. 246-2007-PCM publicada en el
Diario Oficial El Peruano el 25.Ago.2007?.

Lima, 20 de marzo de 2016

_____________________________

________________________________

ING. Mario Muoz Rojas

ING. Felix Sandoval Linares

Encargado de Comisin

Supervisor de Comisin

Gerencia de Auditoria Interna

CHECKLIST DE AUDITORIA
EVALUACION A LA GESTION DEL EQUIPO INFORMATICA. PERIODO
2015

Informacin del Entrevistado


Apellidos y Nombres:
Ing. Jos Pal Talavera Surez
Cargo
:
Jefe del Equipo Informtica
Fecha
:
01.Abr.2016
Correo electrnico : jtalavera@aguasandinas.com.pe

1. Plataformas de Hardware y Software utilizados por la empresa


AGUAS ANDINAS.
Plataforma

Descripcin

Sistemas Operacionales
Motores de Bases de Datos
Otras
Herramientas
Desarrollo
Software de Red.
Equipos Activos de la Red
Internet
Intranet

de

Extranet
Servidores
Electrnico

de

Correo

Firewalls
Servidores de Archivo
Mainframes
Minicomputares
Microcomputadores
E-business
Business Intelligence
Data Warehouse
Otras (indique)

2. Relacin de Aplicaciones (Portafolio) que cuenta la empresa AGUAS


ANDINAS y su importancia para la empresa.

Nombre de la Aplicacin

Nota: Importancia para los objetivos de la empresa.


5: Muy importante

Importancia
para la Empresa
1
2
3
4
5

4:
3:
2:
1:

Importante
Normal
Poco importante
Nada importante

3. Actividades de procesamiento de datos que se realiza la empresa


AGUAS ANDINAS.
N

Marque
con X

Descripcin

Grabacin (captura de Datos)

Control de Entradas y Salidas.

3
4

Produccin
archivos).
HelpDesk.

Soporte a usuarios de microcomputadores y LANs.

Mantenimiento de hardware.

Administracin de bases de datos (DBA)

Administracin de la Seguridad lgica (controles de acceso)

Planeacin estratgica de sistemas.

de

informacin

(Procesamiento

actualizacin

10

Administracin de contratos de terceras partes.

11

Definicin e implementacin de polticas de seguridad corporativas.

12

Anlisis y Diseo de Sistemas.

13
14

Construccin de Programas (Elaboracin


computador).
Mantenimiento de Software Aplicativo

15

Administracin de Telecomunicaciones.

16

QualityAssurance.

17

Otras (indquelas).

de

programas

de

de

4. Servicios de procesamiento de datos que son contratados con


terceros (Outsourcing).
N

Descripcin

Mantenimiento de hardware.

Administracin de los Centros de Procesamiento de Datos

Grabacin de Datos

Planeacin estratgica de sistemas.

Proyectos de sistemas.

Marque
con X

Planeacin de Contingencias en Sistemas de Informacin.

Anlisis y Diseo de Sistemas.

Programacin de aplicaciones.

Mantenimiento de Software Aplicativo

10

Administracin y soporte tcnico en Telecomunicaciones.

11

QualityAssurance (Aseguramiento de calidad).

12

Seguridad en Sistemas de Informacin.

13

Otras (indquelas).

5. Mdulos del Sistema Corporativo ADROIX (Sistema de Informacin


Comercial) utilizado en la empresa AGUAS ANDINAS
N

Descripcin

Facturacin.

Recaudacin

Solicitudes de Servicios

Atencin al cliente

Medidores

Financiacin de servicios y de deuda

Control de Perdidas y Fraudes

Cartera

Enlace Financiero

10

Seguridad y Administracin del sistema

11

Estadsticas

12

Cobranza

13

Otros (especifique)

Marque
con X

Lima, 25 de marzo de 2016

ING. Jos Zapata Poma


Integrante

_____________________________
ING. Mario Muoz Rojas
Encargado de Comisin

ING. Sara Rina gamboa


Integrante

________________________________
ING. Felix Sandoval Linares
Supervisor de Comisin

2015

2016

EMPRESA AGUAS ANDINAS


INFORME DE AUDITORIA INFORMTICA
EVALUACIN A LA GESTION DEL EQUIPO INFORMATICA. PERIODO
2015

INDICE

I.

II.

INTRODUCCION
1.
Origen de la Auditoria Informtica

Pgin
a
X
X

2.

Naturaleza y objetivos de la Auditoria Informtica

3.

Alcance de la Auditoria Informtica

4.

Antecedentes y base legal de la entidad

5.

Comunicacin de hallazgos

6.

Memorndum de Control Interno

OBSERVACIONES
La inadecuada Gestin de la Direccin de Informtica y
Sistemas de la empresa AGUAS ANDINAS, en los
aspectos de organizacin, seguridad fsica y lgica y la
falta de Planes de Sistemas debidamente aprobados por
la Alta Direccin para los aos 2008, 2009 y 2010; HA
CONLLEVADO a que no se desarrolle nuevas soluciones,
los Proyectos no estn alineados a ningn objetivo
estratgico de la organizacin y se adquiera recursos
informticos (servidor principal) para cubrir una
necesidad temporal; generndose implementacin de
aplicaciones inadecuadas y se invierta econmicamente
slo para el corto plazo.

III.

CONCLUSIONES

IV.

RECOMENDACIONES

V.

ANEXOS

EMPRESA AGUAS ANDINAS


INFORME DE AUDITORIA INFORMATICA
EVALUACIN A LA GESTION DEL EQUIPO INFORMATICA. PERIODO
2015

I.

INTRODUCCION

TORIA INFORMATICA
La Auditoria Informtica se lleva a cabo en cumplimiento del Plan Anual de
Control 2016 del rgano de Control Institucional de AGUAS ANDINAS, el
mismo que fuera visado en principio por el Titular de la Empresa y
posteriormente aprobado por la Contralora General de la Repblica,
mediante Resolucin de Contralora
No. 010-2010-CG de fecha
09.Ene.2010.

TIVOS DE LA AUDITORIA INFORMATICA


La Auditora realizada corresponde a una Auditoria
formulndose para el mismo los objetivos siguientes:

Informtica,

Objetivo General
Evaluar la Gestin del Equipo Informtica respecto al cumplimiento de
metas, planes y normas vigentes. As como, el grado de asesoramiento y
asistencia tcnica que brinda a la empresa AGUAS ANDINAS; y el grado de
seguridad fsica y lgica que existe respecto a la custodia del hardware y
software.

Objetivos Especficos
a. Evaluar el cumplimiento de las metas y objetivos formulados en el Plan
Operativo e Indicadores de Gestin, Plan de Sistemas de Informacin y
normativas vigentes aplicables al Equipo Informtica.

b. Evaluar el asesoramiento y asistencia tcnica que brinda el Equipo


Informtica como rgano de asesoramiento y asistencia tcnica a la
empresa AGUAS ANDINAS.
a. Determinar el grado de seguridad fsica y lgica que custodia el Equipo
Informtica respecto al hardware y software de la empresa.

DITORIA INFORMATICA
En concordancia con los objetivos previstos, en la presente Auditoria que
comprendi la revisin y evaluacin selectiva al 31.Dic.2009, a la Gestin
del Equipo Informtica respecto al cumplimiento de metas, planes y
normas vigentes, estandarizacin de procedimientos, as como su
racionalidad en el uso de los recursos.
Para efecto del desarrollo del presente examen, se aplicaron normas y
criterios tcnicos establecidos en las Normas de Auditoria Gubernamental
(NAGU), aprobada con Resolucin de Contralora No. 162-95-CG del
22.Set.1995 y su modificatoria Resolucin de Contralora No. 259-2000-CG
del 07.Dic.2000; el Manual de Auditoria Gubernamental (MAGU), aprobado
con Resolucin de Contralora No. 152-98-CG del 18.Dic.1998 y las Normas
de Control Interno aprobadas con Resolucin de Contralora No. 320-2006CG del 30.Oct.2006, y de otros Procedimientos de Auditoria que se
consideraron necesarios de acuerdo a las circunstancias.
La evaluacin por parte de esta Comisin Auditora se ha realizado
considerando el perodo enero 2009 a diciembre 2009.
De acuerdo a los asuntos que sern examinados, se ha determinado
evaluar selectivamente las operaciones realizadas en las siguientes
unidades orgnicas:
Gerencia de Desarrollo e Investigacin
Equipo Informtica
Gerencia de Logstica y Servicios
Equipo Planeamiento y Adquisicin de Bienes
Equipo Servicios Generales
Gerencia Comercial
Equipo(s) Comercial(es)
Equipo Micromedicin y Registros
Equipo Servicios y Clientes Especiales
Equipo Gestin Comercial

ASE LEGAL DE LA ENTIDAD

AGUAS ANDINAS, es una Empresa Estatal de Derecho Privado de propiedad


del Estado, creada mediante Decreto Legislativo No.150, constituida como
Sociedad Annima e inscrita en la Ficha No. 3722 de los Registros Pblicos
de Lima.
Se rige por lo establecido en su Estatuto y la Ley General de Sociedades,
con las excepciones sealadas en la Ley de la Actividad Empresarial del
Estado y su Reglamento y las disposiciones que rigen a las entidades
prestadoras de Servicio de Saneamiento y las dems normas aplicables.
Con fecha 05 de mayo del 2000, la Junta General de Accionistas de AGUAS
ANDINAS, aprob la modificacin de los artculos 10, 11, 12,15, 20 y
40 de su Estatuto, los cuales fueron inscritos el 14 de agosto del 2002, en
la Partida No. 02005000 Asiento B00008 del Registro de Personas Jurdicas
de los Registros Pblicos de Lima.
Posteriormente, con fecha 02 de abril del 2004, la Junta General de
Accionistas de AGUAS ANDINAS, aprob la modificacin del artculo 7 del
Estatuto, que fue inscrito el 15 de junio del 2004, en la Partida No.
02005409 Asiento B0008 del Registro de Personas Jurdicas de los
Registros Pblicos de Lima.
La actividad principal de AGUAS ANDINAS es la captacin, potabilizacin y
distribucin de agua para uso domstico, industrial y comercial, servicios
de Alcantarillado Sanitario y Pluvial, Servicios de disposicin sanitaria de
excretas y acciones de proteccin del medio ambiente, vinculadas a los
proyectos que ejecuta para el cumplimiento de sus fines; siendo su
responsabilidad las provincias de Lima y del Callao, pudiendo extenderse a
otras jurisdicciones, dichos servicios estn regulados por la Ley No. 26338,
Ley General de Servicios de Saneamiento promulgada el 24 de julio de
1994 y su Reglamento, aprobado por Decreto Supremo No. 09-95 PRES del
28 de agosto de 1998.
AGUAS ANDINAS se encuentra en el mbito de la Ley No. 24984, Ley de la
Actividad Empresarial del Estado, promulgada en diciembre de 1998,
modificada por la Ley No. 27170, Ley del Fondo Nacional de Financiamiento
de la Actividad Empresarial del Estado, publicada en setiembre de 1999,
las cuales definen el rgimen econmico, financiero y laboral de la
empresa, as como la relacin con los diversos niveles de gobierno y
sistemas administrativos. Asimismo, la Superintendencia Nacional de
Servicios de Saneamiento - SUNASS, es la encargada de fijar las tarifas y
otros aspectos regulatorios.

Base Legal

Las principales disposiciones legales y reglamentacin interna, que regula


las actividades de las unidades orgnicas examinadas y que tienen
relacin con el alcance y objetivos de la presente accin de control, son
entre otras las siguientes:

Norma Tcnica Peruana NTP-ISO/IEC 17799:2007 EDI. Tecnologa de la


Informacin. Cdigo de buenas prcticas para la gestin de la seguridad
de la informacin. 2. Edicin en todas las entidades integrantes del
Sistema Nacional de Informtica aprobada por Resolucin Ministerial No.
246-2007-PCM de fecha de publicacin 25.Ago.2007.

Normas y Procedimientos Internacionales basados en COBIT (Objetivos


de Control para la Informacin y Tecnologas relacionadas), encargado de
investigar, desarrollar, publicar y promover un conjunto de objetivos de
control en tecnologa de informacin con autoridad, actualizados, de
carcter internacional y aceptados generalmente para el uso cotidiano
de Gerentes y auditores.

Normas de Auditoria Gubernamental NAGU, aprobado con Resolucin de


Contralora General de la Repblica No. 259-2000-CG. del 13.Dic.2000.

Normas de Control Interno para el Sector Pblico, aprobadas por


Resolucin de Contralora No. 320-2006-CG de fecha de publicacin
03.Nov.2006; y el Cdigo Marco de Control Interno de las empresas del
Estado aprobado mediante Acuerdo de Directorio No. 001-2006/028FONAFE.

Decreto Legislativo No. 822 del 23.Abr.1996, Ley sobre el Derecho de


Autor.

Resolucin Ministerial No. 073-2004-PCM del 16.Mar.2004, Gua para la


Administracin Eficiente del Software Legal en la Administracin Pblica.

Resolucin de Gerencia General de AGUAS ANDINAS No. 264-2003-GG


del 31.Jul.2002, Gua para la Actualizacin de la Pgina Web de la
Empresa.

Resolucin Jefatural No. 229-95-INEI, que aprueba la Directiva No. 01195-INEI/SJI Recomendaciones Tcnicas para la elaboracin de Planes de
Sistemas de Informacin en la Administracin Pblica del 14.Set.1996.

Manual de Organizacin y Responsabilidades General (MORG),


aprobado con Resolucin de Gerencia General No. 505-2007-GG del
25.Jul.2006.

Manual de Auditoria Gubernamental MAGU, aprobado con Resolucin


de Contralora General de la Repblica No. 152-98-CG. del 18.Dic.1998.

Plan de la Gestin Corporativa de Tecnologas de Informacin y


Comunicaciones para las empresas bajo el mbito del FONAFE: Periodo

2008 _ 2011, aprobado a travs de la Resolucin de Direccin Ejecutiva


No. 059-2008/DE-FONAFE del 21.Oct.2008.

HALLAZGOS
La Comisin Auditora de conformidad con la Norma de Auditora
Gubernamental NAGU 3.60, aprobada con Resolucin de Contralora N
259-2000-CG del 07.Dic.2000, efectu la comunicacin de los hallazgos
emergentes de la presente Auditoria Informtica a ex funcionarios,
funcionarios y servidores de AGUAS ANDINAS comprendidos en las
presuntas deficiencias detectadas.
La relacin del personal considerados en las observaciones se incluye en el
Anexo N 01.
La evaluacin de los Comentarios y Aclaraciones se consigna en los
Anexos 02.

CONTROL INTERNO
Como resultado de la evaluacin realizada por la Comisin Auditora a la
implementacin de la Estructura de Control Interno dentro de las reas
examinadas,
se
identificaron
algunas
debilidades
de
control,
procedindose en mrito a lo establecido en la NAGU 3.10, a la emisin del
Memorndum No. XXX-2009-GAI del 26.Mar.2010, a travs del cual se
inform al Presidente del Directorio, las debilidades evidenciadas en el
proceso de revisin y las recomendaciones orientadas a que se adopten las
acciones dirigidas a su superacin. (Anexo N 03)

II.

OBSERVACIONES

Como resultado del desarrollo de la presente Auditoria Informtica, la Comisin


Auditora ha evidenciado la observacin siguiente:
La inadecuada Gestin de la Direccin de Informtica y Sistemas de la
empresa AGUAS ANDINAS, en los aspectos de organizacin, seguridad
fsica y lgica y la falta de Planes de Sistemas debidamente aprobados
por la Alta Direccin para los aos 2008, 2009 y 2010; HA CONLLEVADO
a que no se desarrolle nuevas soluciones, los Proyectos no estn
alineados a ningn objetivo estratgico de la organizacin y se
adquiera recursos informticos (servidor principal) para cubrir una
necesidad temporal; generndose implementacin de aplicaciones
inadecuadas y se invierta econmicamente slo para el corto plazo.
Condicin

AGUAS ANDINAS es una entidad pblica que pertenece al gobierno local. El rea
informtica esta a cargo de la Direccin de Informtica y Sistemas.
El da 06 de octubre del 2010 la Comisin de Auditoria realiz una inspeccin a
la Direccin de Informtica y Sistemas, entrevistndose con el Director de la
Direccin de Informtica y Sistemas y el responsable del rea de Soporte
Tcnico; por parte de la Comisin de Auditoria fue el Jefe de Comisin y el
Auditor de Sistemas.
El objetivo de la inspeccin fue inspeccionar las diversas actividades del rea de
Informtica y evaluar si cuentan con los documentos (planes, polticas,
procedimientos, entre otros) que permitan una adecuada gestin de dicha rea.
Criterio
Por todo ello, se colige que se ha transgredido:
Normas y Procedimientos Internacionales basados en COBIT (Objetivos de
Control para la Informacin y Tecnologas relacionadas), encargado de
investigar, desarrollar, publicar y promover un conjunto de objetivos de control
en tecnologa de informacin con autoridad, actualizados, de carcter
internacional y aceptados generalmente para el uso cotidiano de Gerentes y
auditores, donde se menciona:
P03. Determinar la Direccin Tecnolgica.
PO3.1 Planeacin de la Direccin Tecnolgica
Analizar las tecnologas existentes y emergentes y planear cul direccin
tecnolgica es apropiada tomar para materializar la estrategia de TI y la
arquitectura de sistemas del negocio. Tambin identificar en el plan qu
tecnologas tienen el potencial de crear oportunidades de negocio. El plan
debe abarcar la arquitectura de sistemas, la direccin tecnolgica, las
estrategias de migracin y los aspectos de contingencia de los
componentes de la infraestructura.
PO3.4 Estndares Tecnolgicos
Proporcionar soluciones tecnolgicas consistentes, efectivas y seguras para
toda la empresa, establecer un foro tecnolgico para brindar directrices
tecnolgicas, asesora sobre los productos de la infraestructura y guas
sobre la seleccin de la tecnologa, y medir el cumplimiento de estos
estndares y directrices.
P04. Definir los Procesos, Organizacin y Relaciones de TI.
PO4.11 Segregacin de Funciones
Implementar una divisin de roles y responsabilidades que reduzca la
posibilidad de que un solo individuo afecte negativamente un proceso
crtico. La gerencia tambin se asegura de que el personal realice slo las
tareas autorizadas, relevantes a sus puestos y posiciones respectivas.

P05. Administrar la Inversin en TI.


PO5.2 Prioridades Dentro del Presupuesto de TI
Implementar un proceso de toma de decisiones para dar prioridades a la
asignacin de recursos a TI para operaciones, proyectos y mantenimiento,
para maximizar la contribucin de TI a optimizar el retorno del portafolio
empresarial de programas de inversin en TI y otros servicios y activos de
TI
DS6 Identificar y Asignar Costos
DS6.1 Definicin de Servicios
Identificar todos los costos de TI y equipararlos a los servicios de TI para
soportar un modelo de costos transparente. Los servicios de TI deben
alinearse a los procesos del negocio de forma que el negocio pueda
identificar los niveles de facturacin de los servicios asociados.
Causa

La Direccin de Informtica y Sistemas de la empresa AGUAS ANDINAS, no


cuenta con un rea de Produccin 1, el rea de Desarrollo 2 asume dicha
responsabilidad, agravando la situacin an ms al no contar esta ltima con
una persona responsable de dicha rea.
Asimismo, para el desarrollo de sistemas no se cuenta con una metodologa
formal y para las pruebas se utiliza el mismo servidor donde se almacena toda
la informacin de la empresa.

Asimismo, entre los aos 2008, 2009 y 2010 se ha desarrollado nuevas


soluciones, se ha adquirido recursos informticos (servidor principal) y se ha
desarrollado Proyectos sin contar con un Plan de Sistema aprobado por la Alta
Direccin.
Efecto
Advierte la Comisin Auditora de la Auditoria Informtica aplicada a los recursos
informticos administrados por la Direccin de Informtica y Sistemas de la
empresa AGUAS ANDINAS, que esta situacin ha generado la implementacin de
aplicaciones inadecuadas y que se invierta econmicamente slo para el corto
plazo.
1 rea de Produccin: Encargado de la operacin del Centro de Cmputo, del soporte de
software base a las redes LAN, y el servidor de Mesa de Ayuda. Tambin tiene a su cargo el
mantenimiento del web site corporativo y la Intranet. Adicionalmente presta apoyo en la atencin
de los procesos administrativos del equipo (pedidos de adquisicin, control presupuestario, etc.)

2 rea de Desarrollo: Encargado del desarrollo y mantenimiento de los sistemas de informacin


corporativos y los sistemas de uso local o general implementados en plataforma PC.

La evaluacin de los comentarios efectuados por los profesionales


comprendidos en esta Observacin se consigna en el Anexo N 03.

Responsable
Por lo expuesto, en cumplimiento de las normativas vigentes, se identifica
Responsabilidad Administrativa al funcionario:
Ing. XXXXXXX, Jefe de la Direccin de Informtica y Sistemas (Perodo de
Funciones: Del 29.Jun.2006 a la actualidad), porque no dirigir en forma
administrativa y tcnica todas las actividades del rea informtica. Adems
por no organizar y determinar (empowerment) en su oportunidad al
responsable del rea de Desarrollo. Finalmente por no elaborar Planes que
sustenten la Gestin de dicha rea en la organizacin.

III.

CONCLUSIONES

Como resultado de la Auditoria Informtica llevado a cabo, se ha confirmado la


presencia de algunas irregularidades, que en conjunto denotan inobservancia a
diversa normativa y debilidades de control interno. Dicho juicio se basa en las
conclusiones siguientes:
1.

Se ha evidenciado que por parte de la Direccin de Informtica y Sistemas


de la empresa AGUAS ANDINAS, existe una inadecuada Gestin en los
aspectos de organizacin, seguridad fsica y lgica y la falta de Planes de
Sistemas debidamente aprobados por la Alta Direccin para los aos
2008, 2009 y 2010.
(Observacin N 1, Pgina No. XX)

2. AGUAS ANDINAS deber establecer las acciones necesarias a fin que


la implementacin de servicios compartidos de tecnologas de
informacin y comunicaciones (tic), en lo que respecta a la infraestructura
del servicio de comunicaciones, permita la continuidad de las
operaciones.
(Aspecto de Importancia N 7.1, Pgina No. YY)
3.

Los sistemas desarrollados por el Equipo Informtica deberan ser


registrados ante el Instituto Nacional de Defensa de la Competencia y de
la Proteccin de la Propiedad Intelectual INDECOPI, a fin de dar
seguridad jurdica a la propiedad intelectual de AGUAS ANDINAS.

(Control Interno N 1.6, Pgina No. ZZ)


4.

AGUAS ANDINAS no est cumpliendo con implementar las


Recomendaciones dispuestas en la Norma Tcnica Peruana NTP-ISO/IEC
17799:2007 EDI Tecnologa de la Informacin. Cdigo de Buenas prcticas
para la gestin de la Seguridad de la Informacin 2da. Edicin.
(Control Interno N 1.6, Pgina No. ZZ)

5. AGUAS ANDINAS no cuenta con un procedimiento formal y/o Gua para dar
de Altas, Bajas y determinar su destino final respecto al Software (Ciclo de
Vida til).
(Control Interno N 1.6, Pgina No. ZZ)
6.

AGUAS ANDINAS no cuenta con un Plan Estratgico de Tecnologas de


Informacin y el Plan de Continuidad del Negocio.
(Control Interno N 1.6, Pgina No. ZZ)

7.

La informacin que se encuentra publicado en la INTRANET de


AGUAS ANDINAS no se encuentra actualizada.
(Control Interno N 1.6, Pgina No. ZZ)

8.

Los Centros de Cmputo ubicados en los Centros Operativos Norte,


Centro y Sur, que dan soporte a los Sistemas Corporativos de AGUAS
ANDINAS en dichas sedes; cumplen parcialmente en los aspectos
referidos: Orden, Uso y Seguridad.
(Control Interno N 1.6, Pgina No. ZZ)

IV.

RECOMENDACIONES

En mrito a las Conclusiones expuestas en el presente Informe, se formulan las


recomendaciones siguientes:

A LA GERENCIA GENERAL:
1.

Que el Equipo Informtica de la empresa AGUAS ANDINAS, evale la


gestin que actualmente viene realizando, a fin de garantizar eficiencia
en la gestin, a fin de cumplir adecuadamente con los objetivos
establecidos.
(Conclusin N 1)

2.

Establecer las acciones necesarias a fin que la Implementacin de


Servicios Compartidos de Tecnologas de Informacin y Comunicaciones
(TIC), en lo que respecta a la Infraestructura del Servicio de
Comunicaciones, se d de la manera ms adecuada, en respaldo de la
continuidad de las operaciones de AGUAS ANDINAS.
Asimismo, hasta antes que se implemente los Servicios Compartidos de
Tecnologas de Informacin y Comunicaciones (TIC), se asegure la
continuidad del Servicio de Transmisin de Datos para los Centros de
Servicios y Agencias a nivel de Empresa.
(Conclusin N 2)

3.

Que el Equipo Informtica, Promueva la adecuada cautela de la propiedad


intelectual de los sistemas que son desarrollados por AGUAS ANDINAS, tal
como lo menciona el Decreto Legislativo No. 822 Ley sobre el Derecho de
Autor. Considerando adems, que este hecho podra dar lugar a un riesgo
(Norma de Control Interno No. 2.2 Identificacin de los Riesgos del
Componente Evaluacin de Riesgos) debido que no se est dando
seguridad jurdica de la propiedad intelectual de la empresa.
(Conclusin N 3)

4.

Que el Equipo Informtica, De acuerdo a la responsabilidad que le


compete, cumpla con la implementacin de las recomendaciones
dispuestas en la Norma Tcnica Peruana NTP-ISO/IEC 17799:2007 EDI
Tecnologa de la Informacin. Cdigo de Buenas prcticas para la gestin
de la Seguridad de la Informacin 2da. Edicin., debiendo considerarlas
adems en el Plan Operativo de su Equipo, tal como lo establece el
artculo 2 de la Resolucin Ministerial No. 246-2007-PCM de fecha
publicacin 22.Ago.2007. Asimismo, cabe sealar que esta situacin de
riesgo (Norma de Control Interno No. 2.2 Identificacin de los Riesgos
del Componente Evaluacin de Riesgos) podra devenir en alguna sancin
impuesta por algn ente supervisor.
(Conclusin N 4)

5.

Que el Equipo Informtica, concluya con la elaboracin de la Gua


para Altas, Bajas y Destino Final del Software Corporativo, a fin de contar
con un procedimiento formal respecto al tratamiento del software (Ciclo
de Vida til) de la empresa; considerando adems, que este hecho podra
dar lugar a un riesgo (Norma de Control Interno No. 2.2 Identificacin de

los Riesgos del Componente Evaluacin de Riesgos) en relacin a


aspectos contables, legales y de patrimonio de la empresa.
(Conclusin N 5)
6.

7.

Que el Equipo Informtica, En coordinacin con las dems reas, Formule


y proponga el Plan Estratgico de Tecnologas de Informacin y el Plan de
Continuidad del Negocio de la entidad, a fin de contar con instrumentos
que nos permitan apoyar a la gestin y a la toma de decisiones.
Considerando adems, que el no contar con dichos planes podra dar
lugar a un riesgo (Norma de Control Interno No. 2.2 Identificacin de los
Riesgos del Componente Evaluacin de Riesgos) ya que el Plan de
Continuidad del Negocio, permitira recuperar los servicios del negocio, en
el menor tiempo posible, de acuerdo a las definiciones de procesos
crticos, su impacto y recursos destinados por la empresa y el Plan
Estratgico de Tecnologas de Informacin, permitir alinear los objetivos
del negocio con las estrategias de Tecnologa de la Informacin.
(Conclusin N 6)
Que el Equipo Informtica, Asegure la confiabilidad, calidad, suficiencia,
pertinencia y oportunidad de la informacin que se publique en la pgina
Web Interna de AGUAS ANDINAS (INTRANET), a fin de garantizar el objeto
de contar con dicha red privada en la empresa.
(Conclusin N 7)

8.

Que el Equipo Informtica, En coordinacin con dichos Centros Operativos


supervise los Centros de Cmputo de los Centros de Servicios, a fin de
preveer y mejorar su situacin, en los aspectos referidos al Uso, Orden y
Seguridad, que existen en cada uno de ellos. Adems evale el Control
que existe sobre los accesos a los recursos o archivos que se encuentran
en dicho Centro de Cmputo. Considerando adems, que este hecho
podra dar lugar a un riesgo (Norma de Control Interno No. 2.2
Identificacin de los Riesgos del Componente Evaluacin de Riesgos)
proveniente al uso no exclusivo que se le d al ambiente de los
servidores; del bao ubicado dentro del ambiente del Centro de Cmputo,
los vidrios rotos, los toma corrientes sin tapas, evidenciados; as como del
acceso al mismo, entre otros.
(Conclusin N 8)

______________________________
ING. Mario Muoz Rojas

_____________________________
ING. Flix Sandoval Linares

Encargado de Comisin

Supervisor de Comisin

AL SEOR PRESIDENTE DE DIRECTORIO


El que suscribe, ha revisado el presente informe, encontrando que se ha sido
formulado conforme a las normas de auditora gubernamental, por lo que se le
sugiere disponga la implantacin de las recomendaciones que se consignan.

El Agustino, 18 de Mayo del 2016

_________________________________
CPC. Walter Zuiga Paredes
Gerente de Auditoria Interna