PARTE I

AUDITORIA INFORMATICA
1.1. ORIGEN DE LA AUDITORIA:

La presente Auditoria se realiza en mrito a tener una mejora continua por parte de la empresa. 1.2. OBJETIVOS Y ALCANCE

1.2.1. OBJETIVO GENERAL Evaluar los controles aplicados a los sistemas informticos; a la utilizacin, eficiencia y seguridad de los equipos de cmputo; de la MUNICIPALIDAD DISTRITAL DE MORO para el procesamiento de la informacin. 1.2.2. OBJETIVOS ESPECIFICOS
Evaluar el desarrollo de los sistemas informticos. Evaluar los procedimientos de control de operacin y el cumplimiento Verificar el cumplimiento de las disposiciones y reglamentos.

de los mismos.

1.3.

ANTECEDENTES

La Municipalidad Distrital de Moro es un rgano de gobierno local con autonoma econmica, poltica y administrativa; que promueve la adecuada prestacin de los servicios pblicos locales mediante el uso racional de los recursos con que dispone; involucrando a autoridades locales, regionales, empresarios, autoridades y sociedad civil organizada en la realizacin de actividades y planes concertados orientados al desarrollo integral, sostenible y armnico del Distrito. 1.4. ENFOQUE A UTILIZAR

La presente auditoria se realiza de acuerdo con normas de auditora y control COBIT. 1.5. RELACION DE FUNCIONARIOS O PERSONAL DEL AREA DE INFORMATICA

Ing. Jos Cashpa Laveriano 1.6. CRONOGRAMA DE TRABAJO PROGRAMA DE AUDITORIA

EMPRESA: MUNICIPALIDAD DISTRITAL DE MORO FECHA: 23/06/2011 HOJA N1 FASE I: VISITA PRELIMINAR 05 Horas

ACTIVIDADES: Solicitud de Manuales y Documentaciones. Elaboracin de los cuestionarios, Recopilacin de la informacin organizacional: estructura orgnica, recursos humanos, presupuestos.

FASE II:

DESARROLLO DE LA AUDITORIA

29 Horas

Aplicacin del cuestionario al personal. Entrevistas a lderes y usuarios ms relevantes de la direccin. Anlisis de las claves de acceso, control, seguridad, confiabilidad y respaldos. Evaluacin de la estructura orgnica: departamentos, puestos, funciones, autoridad y responsabilidades. Evaluacin de los Recursos Humanos y de la situacin Presupuestal y Financiera: desempeo, capacitacin, condiciones de trabajo, recursos en materiales y financieros mobiliario y equipos. Evaluacin de los sistemas: relevamiento de Hardware y Software, evaluacin del diseo lgico y del desarrollo del sistema. Evaluacin del Proceso de Datos y de los Equipos de Cmputos: seguridad de los datos, control de operacin, seguridad fsica y procedimientos de respaldo.

FASE III:

REVISION Y PREINFORME

20 Horas

Revisin de los papeles de trabajo. Determinacin del Diagnostico e Implicancias. Elaboracin de la Carta de Gerencia. Elaboracin del Borrador. INFORME

FASE IV:

Elaboracin y presentacin del Informe. 1.7. DOCUMENTOS A SOLICITAR

Polticas, estndares, normas y procedimientos. Plan de sistemas. Planes de seguridad y continuidad Contratos, plizas de seguros. Organigrama y manual de funciones. Manuales de sistemas. Registros Entrevistas Archivos Requerimientos de Usuarios

1.8. EJECUCION DE LA REVISION ESTRATEGICA 1.8.1. CONOCIMIENTO INICIAL DE LA ENTIDAD En la unidad de informtica cuenta con una pequea rea de 4 m2 en donde solo trabajan 5 personas el director de informtica, el encargado de subir los proyectos de inversin publica, y 3 personas mas de la unidad de logstica la cual comparten la pequea oficina con la unidad de informtica, los calues estn al tanto del servicio informatico que se brinda a los usuarios como tambin verlar por la integridad de los datos, asi mismo ver el correcto funcionamiento de la lnea inalmbrica de internet brindada a todo el pueblo.

1.8.2. AUTORIDADES DE LA EMPRESA RELACIONADAS CON EL AREA INFORMATICA

Ing. Jose Cashpa Laveriano: Director de la unidad de informtica

1.8.3. PRINCIPALES ACTIVIDADES:

Configuraciones de hardware Informacin sobre las licitaciones de obras. Servicio de subir archivos al OPI. Otros servicios al usuario

1.8.4. FUNCIONES GENERALES

a) Apoyar computacionalmente las actividades de todos las Direcciones, Departamentos y otras unidades de la Empresa, preocupndose del desarrollo de programas como de la actualizacin de todo su equipo.

b) Mantener y administrar las redes, sistemas y equipos computacionales de la Empresa.

c) Prestar soporte a usuarios en todo lo relativo a la plataforma computacional de la Empresa.

d) Subir Archivos de las obras en lnea al OPI para su respectivo aprobamiento.

1.9 ORGANIGRAMA

1.12. OFICINA DE UNIDAD DE LOGISTICA E INFORMATICA 1.12.1. UNIDAD DE INFORMATICA MISION: Tiene por objetivo hacer un mantenimiento preventivo de los recursos del rea de informtica y fuera de ella sobre el mismo tema y de los ordenadores computacionales y colaborar a la optimizacin de los procedimientos administrativos. VISION: Mejorar la calidad de servicio a los usuarios externos e internos mejorando as la imagen de la Municipalidad Distrital de Moro.

1.12.2. SITUACION ACTUAL

Ubicacin:

Moro est ubicada exactamente a 441 kilmetros de la ciudad de Lima, as mismo se encuentra al Sur de Chimbote a 60 kilmetros de distancia, as mismo en el kilmetro 405 de la panamericana norte podemos tomar el desvi que nos llevara por los distritos de Nepea y San Jacinto para finalmente llegar a Moro.

RECURSOS HUMANOS:

ALCALDE: IVO RINCO RUIZ REGIDORA: VERONICA PEREZ CURA REGIDORA: LIZBETH DEL ROSARIO COMESANA ALEGRE REGIDOR: SAONA SANCHEZ PERCY RAMON REGIDOR: LUIS LLANTO ROSAS REGIDOR: DIEGO LLANTO WILMER EPIFANIO. JEFE DE LA UNIDAD DE INFORMATICA: ING. JOSE CASHPA LAVERIANO

PARTE II

Contenido 1. Presentacin de la empresa

Nombre de empresa: Municipalidad Distrital de Moro Nombre del puesto o cargo: Jefe de Unidad de Tesorera: Richard Huamn Jefe de Unidad de Logstica: Daniel Cipiran Jefe de Unidad de Contabilidad: Marco Rodrguez Jefe de Unidad de Recursos Humanos: Mariela Rodrguez Jefe de Unidad de Administracin Tributaria: Tania salcedo Jefe de Unidad de Ejecucin Coactiva: Martha Prez Jefe de Unidad de Informtica: Ing. Jos Cashpa Laveriano

2. Objetivo de la auditoria

Verificacin de Control sobre el proceso de TI Definicin de la organizacin y de las relaciones de TI que satisface los requerimientos de negocio Prestacin de servicios de TI OBJETIVOS DE CONTROL DE ALTO NIVEL
PO PLANEACION Y ORGANIZACION
PO4 Definicin de la Organizacin y las Relaciones de la Tecnologa de la Informacin
Control sobre el proceso de TI de: Definicin de la organizacin y de las relaciones de TI que satisface los requerimientos de negocio de: Prestacin de servicios de TI se hace posible a travs de: Una organizacin conveniente en nmero y habilidades, con tareas y responsabilidades definidas y comunicadas y toma en consideracin: Comit de direccin Responsabilidades a nivel de alta gerencia o del consejo Descripcin de puestos Niveles de asignacin de personal Personal clave

3. Objetivos especficos de control

1. Comit de planeacin o direccin de la funcin de servicios de informacin 2. Ubicacin de los servicios de informacin en la organizacin 3. Revisin de Logros Organizacionales 4. Funciones y Responsabilidades

4. Personal a entrevistar (en funcin de la empresa)

Director General o quin corresponda Director de Operaciones o quin corresponda Director de TI o quin corresponda

5. Objetivos de control
1. Comit de planeacin o direccin de la funcin de servicios de informacin 2. Servicios de informacin en la organizacin (Ubicacin) 3. Logros Organizacionales (Revisin) 4. Funciones y Responsabilidades (?????) 5. Aseguramiento de calidad (Responsabilidad) 6. Seguridad Lgica y Fsica (Responsabilidad) 7. Propiedad y Custodia (?????) 8. Datos y Sistemas (Propiedad) 9. Supervisin (?????) 10. Funciones (Segregacin) 11. Personal para Tecnologa de Informacin (Asignacin) 12. Puestos para el Personal de la Funcin de Servicios de Informacin (Descripcin) 13. Personal Clave de Tecnologa de Informacin (Identificacin) 14. Personal por contrato (Procedimientos) 15. Relaciones (?????)

6. Cronograma de entrevistas Fecha de entrevista Entrevistado Cargo Nombre de la persona Nombre Director de Ing. Jose Cashpa 01/07/2011 Informtica Laveriano Alcalde Sr. Ivo Rinco Ruiz 01/07/2011
Gerente Ing. Manuel Chancafe Gutierrez

Entrevistador Cargo Auditor Auditor Auditor

01/07/2011

Ing. Alan Villon Bautista Ing. Alan Villon Bautista Ing. Alan Villon Bautista

s de planeacin de la Presidencia Objetivos y planes a largo y corto plazo organizacionales Objetivos y planes a largo y corto plazo de tecnologa de informacin Organigrama organizacional que muestre la relacin entre la funcin de servicios de informacin y otras Polticas y procedimientos relacionadas con la organizacin y las relaciones de tecnologa de informacin Polticas y procedimientos relacionados con el aseguramiento de la calidad Polticas y procedimientos utilizados para determinar los requerimientos de asignacin de personal de la funcinde servicios de informacin Organigrama organizacional de la funcin de servicios de informacin Funciones y responsabilidade s de la funcin de servicios de informacin

7. Informacin requerida Informacin a solicitar Nombre Cargo Funciones y Ing. Jose responsabilidade Cashpa
Ing. Jose Cashpa Ing. Jose Cashpa

Solicitada a Nombre Director de Informtica

Director de Informtica Director de Informtica

Solicitada por Cargo Alan Villon Auditor Bautista Alan Villon Bautista Alan Villon Bautista Alan Villon Bautista Auditor

Fechas De solicitud De entrega 04/07/2011 08/07/2011

04/07/2011

08/07/2011

Auditor

04/07/2011

08/07/2011

Ing. Jose CAshpa

Director de Informtica

Auditor

04/07/2011

08/07/2011

Sr Ivo Rinco Ruiz

Alcalde

Alan Villon Bautista

Auditor

04/07/2011

08/07/2011

Sr Ivo Rinco Ruiz

Alcalde

Alan Villon Bautista Alan Villon Bautista

Auditor

04/07/2011

08/07/2011

Sr Ivo Rinco Ruiz

Alcalde

Auditor

04/07/2011

08/07/2011

Sr Ivo Rinco Ruiz

Alcalde

Alan Villon Bautista Alan Villon Bautista

Auditor

04/07/2011

08/07/2011

Sr Ivo Rinco Ruiz

Alcalde

Auditor

04/07/2011

08/07/2011

Descripcin de los puestos clave de la funcin de servicios de informacin Reportes de estatus y minutas de las reuniones del comit de planeacin

Ing. Manuel Chancafe

Gerente

Alan Villon Bautista Alan Villon Bautista

Auditor

04/07/2011

08/07/2011

Ing Manuel Chancafe

Gerente

Auditor

04/07/2011

08/07/2011

8. Checklist (Permite elaborar encuestas y secuencia de actividades de auditoria pertinentes a la empresa)

Evaluar los controles: 8Considerando s: 1. Las polticas y los comunicados de la Presidencia aseguran la independencia y la autoridad de la funcin de los servicios de informacin. 2. Se han definido e identificado la calidad de miembro, las funciones y las responsabilidades del comit de planeacin de la funcin de servicios de informacin. 3. Los estatutos del comit de planeacin de la funcin de servicios de informacin alinean las metas del comit con lo sobjetivos y los planes a largo y corto plazo de la organizacin y con los objetivos y planes a largo y corto plazo de tecnologa de informacin. 4. Se han establecido procesos para incrementar el conocimiento la conciencia, la comprensin y la habilidad para identificar y resolver problemas de administracin de la informacin. 5. Las polticas consideran la necesidad de evaluar y modificar la estructura organizacional para satisfacer objetivos y circunstancias cambiantes. 6. Existen procesos e indicadores de desempeo para determinar la efectividad y aceptacin de la funcin de servicios de informacin. 7. La Presidencia se asegura que las funciones y responsabilidades estn siendo llevadas a cabo. 8. Existen polticas que determinen las funciones y responsabilidades para todo el personal dentro de la organizacin con respecto a sistemas de informacin, control y seguridad internos. 9. Existen campaas regulares para incrementar la conciencia y disciplina en cuanto al control y la seguridad interna. 10. Existen polticas y funciones de aseguramiento de la calidad. 11. La funcin de aseguramiento de la calidad cuenta con la independencia suficiente con respecto al personal de desarrollo de sistemas y con una asignacin de personal y experiencia adecuados para llevar a cabo sus responsabilidades. 12. Existen procedimientos establecidos dentro del aseguramiento de la calidad para calendarizar recursos y asegurar el cumplimiento de las pruebas y aprobacin del aseguramiento de la calidad antes de que se implementen nuevos sistemas o cambios a los sistemas. 13. La Gerencia ha asignado formalmente la responsabilidad a lo largo de toda la organizacin para la formalicen de polticas y procedimientos de control y seguridad internos (tanto lgicos como fsicos) a algn funcionario de seguridad de la informacin. 14. El funcionario de seguridad de la informacin comprende adecuadamente las funciones y responsabilidades y si stas han mostrado consistencia con respecto a la poltica de seguridad de la informacin de la organizacin. 15. La poltica de seguridad de la organizacin define claramente las responsabilidades sobre la seguridad de la informacin que cada propietario de activos (por ejemplo, usuarios, administracin y administradores de seguridad) debe llevar a cabo. 16. Existen polticas y procedimientos que cubran datos y propiedad de sistemas para todas las fuentes de datos y sistemas ms importantes. 17. Existen procedimientos para revisar y mantener cambios en la propiedad de los datos y los sistemas regularmente. 18. Existen polticas y procedimientos que describan las prcticas de supervisin para asegurar que las funciones y responsabilidades sean ejercidas apropiadamente y que todo el personal cuente con suficiente autoridad y recursos para llevar a cabo sus funciones y responsabilidades. 19. Existe una segregacin de funciones entre los siguientes pares de unidades: 1. Desarrollo y mantenimiento de sistemas 2. Desarrollo y operaciones de sistemas 3. Desarrollo/mantenimiento de sistemas y seguridad de la informacin. 4. Operaciones y control de datos 5. Operaciones y usuarios 6. Operaciones y seguridad de la informacin 20. La asignacin de personal y la competencia de la funcin de servicios de informacin es mantenida para asegurar su habili dad para proporcionar soluciones tecnolgicas efectivas.

21. Existen polticas y procedimientos para la evaluacin y revalidacin de las descripciones de puestos de la funcin de servicios de informacin. 22. Existen funciones y responsabilidades para procesos clave, incluyendo actividades del ciclo de vida de desarrollo de sistemas (requerimientos, diseo, desarrollo, pruebas), seguridad de la informacin, adquisicin y planeacin de capacidad. 23. Se utilizan indicadores clave de desempeo y/o factores crticos de xito al medir los resultados de la funcin de servicios de informacin en el logro de objetivos organizacionales. 24. Existen polticas y procedimientos en la funcin de servicios de informacin para controlar las actividades de consultores y dems personal por contrato, asegurando as la proteccin de los activos de la organizacin. 25. Existen procedimientos aplicables a tecnologa de informacin por contrato que sean adecuados y consistentes con las polticas de adquisicin organizacionales. 26. Existen procesos para coordinar, comunicar y documentar los intereses dentro y fuera del directorio de la funcin de servicios de informacin. Evaluar la suficiencia: 8Probando que: 1. El comit planeador de la funcin de servicios de informacin vigila a la funcin de servicios de informacin y sus actividades. 2. La propiedad de la jerarqua de reporte para la funcin de servicios de informacin. 3. La efectividad de la localizacin de la funcin de servicios de informacin dentro de la organizacin en cuanto a facilitar una relacin de sociedad con la alta Gerencia. 4. La Presidencia de la funcin de servicios de informacin comprenda cules son los procesos utilizados para monitorear, medir y reportar el desempeo de la funcin de servicios de informacin. 5. La utilizacin de indicadores clave para evaluar el desempeo. 6. Los procesos para analizar los resultados reales contra los niveles meta, con el fin de determinar las acciones correctivas realizadas cuando los resultados reales no alcanzan los niveles meta. 7. Las acciones realizadas por la administracin en cuanto a cualquier variacin significativa con respecto a los niveles esperados de desempeo. 8. La administracin de usuarios/propietarios evala la capacidad de respuesta y la habilidad de la funcin de servicios de informacin para proporcionar soluciones de tecnologa de informacin que satisfagan las necesidades de usuarios/ propietarios. 9. La Gerencia de la funcin de servicios de informacin conoce sus funciones y responsabilidades. 10. Aseguramiento de la calidad se involucre en la prueba y aprobacin de los planes de proyectos de la funcin de servicios de informacin. 11. El personal de seguridad de la informacin revisa los sistemas operativos y los sistemas de aplicacin esenciales. 12. La adecuacin de los reportes o documentacin de la funcin de seguridad de la informacin al evaluar la seguridad de la informacin (tanto lgica como fsica) ya existente o en desarrollo. 13. Existe suficiente conocimiento, conciencia y una aplicacin consistente de las polticas y procedimientos de seguridad de la informacin. 14. El personal asiste a los entrenamientos de seguridad y control interno. 15. La propiedad de los datos y sistemas se encuentra definida para todos los activos de informacin. 16. Los propietarios de datos y sistemas hayan aprobado los cambios realizados a dichos datos y sistemas. 17. Todos los datos y sistemas cuentan con un propietario o custodio que sea responsable del nivel de control sobre los datos y sistemas. 18. El acceso a todos los activos de datos y sistemas es aprobado por el/los propietario(s) de los activos. 19. La lnea directa de autoridad y supervisin asociada con el puesto est en conformidad con las responsabilidades del beneficiado. 20. Las descripciones de puestos delinean claramente tanto la autoridad como la responsabilidad. 21. Las descripciones de puestos describen claramente las aptitudes de negocios, relaciones y tcnicas requeridas. 22. Las descripciones de puestos hayan sido comunicadas con precisin y hayan sido comprendidas por el personal. 23. Las descripciones de puestos para la funcin de servicios de informacin contienen indicadores clave de desempeo que han sido comunicados al personal. 24. Las funciones y responsabilidades del personal de la funcin de servicios de informacin corresponden tanto a las descripciones de puestos publicadas como al organigrama. 25. Existan descripciones de puestos para las posiciones clave y que stas incluyan los mandatos de la organizacin relativos a sistemas de informacin, control y seguridad internos. 26. La precisin de las descripciones de puestos comparadas contra las responsabilidades actuales de los encargados de dichas posiciones. 27. La naturaleza y el alcance de la suficiencia de la segregacin de funciones deseada y de las limitaciones de funciones de ntro de la funcin de servicios de informacin. 28. El mantenimiento de la competencia del personal de tecnologa de informacin. 29. La propiedad de las descripciones de puestos como base para la adecuacin y la claridad de las responsabilidades, autoridad y criterios de desempeo. 30. Las responsabilidades de administracin por contrato hayan sido asignadas al personal apropiado.

31. Los trminos de los contratos sean consistentes con los estndares normales para contratos de la organizacin y que los trminos y condiciones contractuales estndar hayan sido revisados y evaluados por un consultor legal, cuyo acuerdo haya sido obtenido. 32. Los contratos contienen clusulas apropiadas con respecto al cumplimiento de: polticas de seguridad corporativa y control interno y estndares de tecnologa de informacin. 33. Existen procesos y/o estructuras que garantizan una coordinacin efectiva y eficiente para lograr relaciones exitosas. Evaluar el riesgo de los objetivos de control no cumplidos: 8Llevando a cabo: 1. Mediciones ("Benchmarking") de la organizacin y de las relaciones contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas por la industria apropiadas. 2. Una revisin detallada para determinar el impacto sobre la organizacin causada por un comit de planeacin de la funcin de servicios de informacin no efectivo. 3. Una revisin detallada para medir el progreso de la funcin de servicios de informacin al tratar con problemas de sistemas de informacin e implementar soluciones tecnolgicas. 4. Una revisin detallada para evaluar la estructura organizacional, las aptitudes del personal, las funciones y responsabilidades asignadas, la propiedad de datos y sistemas, supervisin, segregacin de funciones, etc. 5. Una revisin detallada de la funcin de aseguramiento de la calidad para determinar su efectividad en la satisfaccin de los requerimientos de la organizacin. 6. Una revisin detallada de la funcin de seguridad de la informacin para determinar su efectividad para proporcionar seguridad general en la organizacin (tanto lgica como fsica) y entrenamiento de conocimiento y conciencia de seguridad. 7. Una revisin detallada de una muestra de contratos para confirmar que stos hayan sido ejecutados apropiadamente por ambas partes y que cumplan con los trminos contractuales estndar de la organizacin. 8Identificando: 1. Debilidades en la funcin de servicios de informacin y sus actividades ocasionadas por una vigilancia no efectiva por parte del comit de planeacin de dicha funcin. 2. Lagunas, traslapes, etc. en la estructura organizacional que traen como resultado ineficacia e ineficiencia en la funcin de servicios de informacin. 3. Estructuras organizacionales inapropiadas, funciones faltantes, personal insuficiente, deficiencias en competencia, funciones y responsabilidades no apropiadas, confusin en la propiedad de datos y sistemas, problemas de supervisin, falta de segregacin de funciones, etc. 4. Sistemas en proceso de desarrollo, modificado o implementado que cumplen con los requerimientos de aseguramiento de la calidad. 5. Sistemas en proceso de desarrollo, modificados o implementados que cumplen con los requerimientos de seguridad (lgica, fsica, o ambos). 6. Contratos que no cumplen con los requerimientos contractuales de la organizacin. 7. Coordinacin y comunicacin no efectivas entre la funcin de servicios de informacin y otros intereses dentro y fuera de esta funcin.

9. Encuestas Tomando como referencia los checklist del item anterior se elaboran encuestas de auditoria que son aplicadas por el equipo de auditoria al personal de la empresa. 10. Actividades Tomando como referencia los checklist del item anterior se elaboran Actividades de auditoria y son desarrolladas por el equipo auditor y comprenden: observacin directa de mtodos y procedimientos, revisin documentaria, test (si aplica), entre otras tcnicas. 11. Hallazgos Relacin de situaciones anormales detectadas al aplicar las encuestas o al realizar las actividades de auditoria. 12. Nivel de madurez En base a los resultados de aplicar los checklist, encuestas, actividades y hallazgos se puede establecer el nivel de madurez del proceso auditado. Para establecer el nivel de madurez se aplica un cuestionario con puntuacin relacionado con los factores crticos de xito (CSF), indicadores de logro de objetivos (KGI) e indicadores clave de rendimiento (KPI). La sumatoria final es valorada de acuerdo a los niveles de madurez

Tabla de puntajes de evaluacin: No aplica=0 Regular=1 Bueno=2 Excelente=3 Puntos

2 2 1 1 2 1 1 0
8 puntos Indicadores Clave de logro de Objetivo (KGI) Tabla de puntajes de evaluacin: No aplica=0 Regular=1 Bueno=2 Excelente=3 Puntos

Descripcin de factor crtico de xito La organizacin de TI comunica sus objetivos y resultados a todos los niveles TI est organizada para participar en todos los procesos de decisin, responder a las iniciativas clave del negocio y enfocarse en todas las necesidades corporativas de automatizacin El modelo organizacional de TI est en concordancia con las funciones del negocio y se adapta rpidamente a los cambios en el entorno del negocio Estimulando y promoviendo la asuncin de responsabilidad, la organizacin de TI desarrolla y cultiva las personas y eleva la colaboracin Hay procesos claros de direccin y control, con segregacin donde se necesita, especializacin donde se requiere y delegacin de autoridad donde sea beneficioso La organizacin de TI establece debidamente funciones de seguridad, control interno y calidad, y balancea adecuadamente supervisin y empoderamiento Se establece un fuerte control de administracin sobre los servicios de outsourcing de TI, con una poltica clara, y con conocimiento del costo total de outsourcing Las funciones esenciales de TI estn identificadas explcitamente en el modelo de organizacin, con roles y responsabilidades especificados claramente.

1 1 1 2 1
6 puntos Indicadores Clave de Desempeo (KPI) Tabla de puntajes de evaluacin: No aplica=0 Regular=1 Bueno=2 Excelente=3 Puntos

Descripcin del indicador clave de logro de objetivo El nmero de proyectos de negocio atrasados debido a la inercia organizacional de TI o a la no disponibilidad de las capacidades necesarias El nmero de actividades fundamentales de TI fuera de la organizacin de TI que no son aprobadas y que no estn sujetas a las estndares organizacionales de TI El nmero de unidades de negocio soportadas por la organizacin de TI La clasificacin de encuesta del enfoque de negocio, la moral y la satisfaccin del trabajo que tienen los miembros del personal de TI El porcentaje de utilizacin del personal de TI en los procesos de TI que producen beneficios directos de negocio

2 1 2 1 1 1
Factores crticos de exito (SCF)

Descripcin del indicador clave de desempeo La edad del cambio organizacional, incluyendo reorganizacin o reevaluacin organizacional Porcentaje de funciones organizacionales de TI que tienes su correspondiente en la estructura organizacional del negocio Nmero de unidades de TI con objetivos de negocios que recaen directamente en las funciones y responsabilidades individuales Porcentaje de funciones con descripciones documentadas del puesto de trabajo El nmero de recomendaciones de evaluacin organizacional sobre las que no se emprendi accin Tiempo promedio que transcurre entre el cambio en la orientacin del negocio y el reflejo del cambio en la estructura organizacional de TI

1
9 puntos

Porcentaje de las funciones esenciales que estn identificadas explcitamente en el modelo organizacional con funciones y responsabilidades claras.

Puntaje obtenido 05

Valoracin CMM 0 Inexistente

6 15

1 Inicial / Ad Hoc

16 25

2 Repetible pero intuitivo

26 45

3 Proceso definido

46 55

4 Administrado y medible

Descripcin La organizacin de TI no est establecida de manera efectiva para concentrarse en el logro de los objetivos del negocio Las actividades y funciones de TI son reactivas e implementadas de manera inconsistente. No hay una estructura organizacional definida, las funciones y responsabilidades son asignadas de manera informal, y no existen lneas claras de responsabilidad. La funcin de TI es considerada una funcin de apoyo, sin una perspectiva general de la organizacin. Hay un entendimiento implcito de la necesidad de una organizacin de TI; sin embargo, las funciones y responsabilidades no estn formalizadas y no se hacen cumplir. La funcin de TI est organizada para responder de manera tctica, pero inconsistente, a las necesidades del cliente y a las relaciones del vendedor. La necesidad de una organizacin estructurada y de un manejo de los vendedores es comunicada, pero las decisiones son todava dependientes de los conocimientos y habilidades de las personas clave. Hay un surgimiento de tcnicas comunes para manejar la organizacin de TI y las relaciones con los vendedores. Existen roles y responsabilidades definidos para la organizacin de TI y para terceros. La organizacin de TI est desarrollada, documentada, comunicada y en concordancia con la estrategia de TI. El diseo organizacional y el entorno de control interno estn definidos. Hay formalizacin de las relaciones con otras partes, incluyendo los comits de direccin, auditora interna y el manejo de vendedores. La organizacin de TI est completa desde el punto de vista funcional; sin embargo, est ms enfocada en las soluciones tecnolgicas que en usar la tecnologa para resolver problemas de negocio. Hay definiciones de las funciones que deben ser realizadas por el personal de TI y de las que sern ejecutadas por los usuarios. La organizacin de TI es sofisticada, responde a los cambios de manera proactiva e incluye todos las funciones necesarias para satisfacer los requerimientos del negocio. La administracin de TI, la propiedad del proceso, la responsabilidad y la obligacin estn definidas y balanceadas. Los requisitos esenciales de contratacin de personal de TI y las necesidades de experiencia estn satisfechos. Se han aplicado en la

56 60

5 Optimizado

organizacin las mejores prcticas internas de las funciones de TI. La administracin de TI tiene la experiencia y las habilidades apropiadas para definir, implementar y monitorear la organizacin y las relaciones preferidas. Las mtricas de medicin para soportar los objetivos del negocio y los factores crticos de xito definidos por el usuario estn estandarizados. Hay disponibles inventarios de habilidades para apoyar la contratacin de personal del proyecto y el desarrollo profesional. El balance entre las habilidades y los recursos disponibles internamente y los que se necesitan de las organizaciones externas est definido y se hace valer. La estructura organizacional de TI refleja de manera apropiada las necesidades del negocio prestando servicios en concordancia con los procesos estratgicos del negocio, en vez de concordar con tecnologas aisladas. La estructura organizacional de TI es flexible y se adapta fcilmente. Hay una definicin formal de las relaciones con usuarios y con terceros. Las mejores prcticas de la industria estn implementadas. El proceso para desarrollar y manejar la estructura organizacional es sofisticado, seguido y bien manejado. Se utilizan conocimientos tcnicos extensos internos y externos. Hay un uso extenso de tecnologa para asistir en el monitoreo de funciones y responsabilidades organizacionales. TI respalda la tecnologa para apoyar las organizaciones complejas, distribuidas geogrficamente y las virtuales. Est establecido un constante proceso de mejoramiento.

13. Conclusiones
Los resultados obtenidos despus de aplicar el modelo de madurez, nos dan un total de 23 puntos los cual nos refleja que la empresa tiene un proceso repetible pero intuitivo. La funcin de TI est organizada para responder de manera tctica, pero inconsistente, a las necesidades de los Usuario de la Municipalidad Distrital de Moro.

14. Recomendaciones

Debe existir r responsabilidades definidos para la unidad de informtica para terceros. La Municipalidad Distrital de Moro debe estar desarrollada, documentada, comunicada y en concordancia con la estrategia de TI.

2.3 INFORME FINAL DE LA AUDITORIA Moro, 14 de julio de 2011 Seor: Municipalidad Distrital de Moro Atte. Sr. Alcalde Ivo Rincon Ruiz.

De nuestra consideracin: Tengo el agrado de dirigirme a Ud. A efecto de entregarle a consideracin el alcance del trabajo de prctica de auditora de sistemas del rea de informtica practicada el da viernes 13 de mayo del 2011, hecho a permiso de su persona a travs de la solicitud que le hice llegar das atrs, sobre la auditoria en base al anlisis y procedimientos detallados de toda la informacin recopiladas y emitidos en el presente informe, qu a nuestro criterio es razonable. Sntesis de la revisin realizada, clasificado en las siguientes secciones: A. Seguridad fsica y lgica El Contenido del informe ha sido dividido de la siguiente forma a efectos de facilitar su anlisis: a. Observaciones: Describe brevemente las debilidades resultantes de nuestro anlisis. b. Efectos y/o implicancias probables: Enuncian los posibles riesgos a que se encuentran expuestos las operaciones realizadas por la Cooperativa. c. ndice de importancia establecida: Indica con una calificacin del 0 al 3 el grado crtico del problema y la oportunidad en que se deben tomar las acciones correctivas del caso. 0 = Alto ( acciones correctivas inmediatas) 1 = Alto ( acciones preventivas inmediatas) 2 = Medio ( acciones diferidas correctivas) 3 = Bajo ( acciones diferidas preventivas) d. Sugerencias: Indicamos a la Gerencia la adopcin de las medidas correctivas tendientes a subsanar las debilidades comentadas. Segn el anlisis realizado hemos encontrado una fortaleza en tener una unidad de informtica; falencias en la seguridad lgica de la informacin; no existe auditoria de sistemas; accesos de los usuarios; falta de plan de contingencias; y entorno de desarr ollo y mantenimiento de las aplicaciones. El detalle de las deficiencias encontradas, como as tambin las sugerencias de solucin se encuentran especificadas en el Anexo adjunto. La aprobacin y puesta en prctica de estas sugerencias ayudarn a la municipalidad a brindar un servicio ms eficiente a todos sus ciudadanos. Agradesco la colaboracin prestada durante la visita y quedo a vuestra disposicin para cualquier aclaracin y/o ampliacin d e la presente que estime necesaria.

Atentamente. Alan Villn

2.4 DOCUMENTO DE TRABAJO . 2.4.1. Seguridad Fsica Y Lgica. 1. Entorno General a. Observaciones No existe una vigilancia estricta del rea de Informtica por personal de seguridad dedicado a este sector. No existe detectores, ni extintores automticos. Existe material altamente inflamable. Carencia de un estudio de vulnerabilidad de la Cooperativa, frente a las riesgos fsicos o no fsicos, incluyendo el riesgo Informtico. No existe un puesto o cargo especifico para la funcin de seguridad Informtica. b. Efectos y/o implicancias probables Probable difusin de datos confidenciales. Alta facilidad para cambios involuntarios o intencionales de datos, debido a la falta de controles internos. Posterga de los trabajos por falta de informacin e incomodidad de las personas naturales y juridicas. c. ndice de importancia establecida..0 ( cero ) d. Sugerencias A los efectos de minimizar los riesgos descriptos, se sugiere: Aplicar la seguridad a travs de privilegios y restricciones en el sistema de las computadoras de los trabajadores de acuerdo a sus necesidades. Establecer guardia de seguridad, durante horarios no habilitados para el ingreso al rea de Informtica. Colocar detectores y extintores de incendios automticos en los lugares necesarios. Remover del Centro de Cmputos los materiales inflamables. Determinar orgnicamente la funcin de seguridad. Realizar peridicamente un estudio de vulnerabilidad, documentando efectivamente el mismo, a los efectos de implementar las acciones correctivas sobre los puntos dbiles que se detecten. 2. Auditora de Sistema a. Observaciones Hemos observado que la municipalidad carece de auditora Informtica , ni con polticas formales que establezcan responsables, frecuencias y metodologa a seguir para efectuar revisiones de los archivos de auditora. c. Efectos y/o implicancias probables Posibilidad de que adulteraciones voluntarias o involuntarias sean realizadas a los elementos componentes del procesamiento de datos (programas, archivos de datos, definiciones de seguridad de acceso, etc ) o bien accesos a datos confidenciales por personas no autorizadas que no sean detectadas oportunamente. c. ndice de importancia establecida..0 ( cero ) d. Sugerencias Establecer normas y procedimientos en los que se fijen responsables, periodicidad y metodologa de control de todos los archivos de auditoria que pudieran existir como asimismo, de todos los elementos componentes de los sistemas de aplicacin. 3. Operaciones de Respaldo a. Observaciones Existe una rutina por parte de los trabajadores de tomar una copia de respaldo de datos en un USB en oficina de unidad de informtica. Si bien existen la copia de seguridad, no se poseen normas y/o procedimientos que exijan la prueba sistemtica de las mismas a efectos de establecer los mnimos niveles de confiabilidad.

e. Efectos y/o implicancias probables La municipalidad est expuesta a la perdida de informacin por no poseer un chequeo sistemtico peridico de los backup's. c. ndice de importancia establecida..0 ( cero ) d. Sugerencias Minimizar los efectos, ser posible a travs de: Desarrollar normas y procedimientos generales que permitan la toma de respaldo necesarios, utilitario a utilizar. Implementar pruebas sistemticas semanales de las copias y distribucin de las mismas. 4. Plan de Contingencias a. Observacin Ausencia de un Plan de Contingencia debidamente formalizado en la unidad de Informtica. No existen normas y procedimientos que indiquen las tareas manuales e informticas que son necesarias para realizar y recuperar la capacidad de procesamiento ante una eventual contingencia (desperfectos de equipos, incendios, cortes de energa con ms de una hora ), y que determinen los niveles de participacin y responsabilidades del rea de sistemas y de los usuarios. b. Efectos y/o implicancia probable Prdida de informacin vital. Prdida de la capacidad de procesamiento. Prdida de Tiempo. c. ndice de Importancia relativa..1 ( uno ) d. Sugerencias Establecer un plan de contingencia escrito, en donde se establezcan los procedimientos manuales e informticos para restablecer la operatoria normal de la Municipalidad y establecer los responsables de cada sistema. Efectuar pruebas simuladas en forma peridica, a efectos de monitorear el desempeo de los funcionarios responsables ante eventuales desastres. Establecer convenios bilaterales con empresas o proveedores a los efectos de asegurar los equipos necesarios para sustentar la continuidad del procesamiento. 5. Relevamiento de Hardware

5.1 Comunicaciones

En casa central existe una red local (Ethernet) conectada al equipo central (Pentium IV). Cableado El cableado es estructurado y con cables del tipo UTP categora S. En General no presenta problemas de cableado. Utiliza internet inalmbrico para la poblacin en general no libre de fuerzas naturales, como lluvias,etc. Lo cual seria perjudicial para los equipos.