Auditoria Del Desarrollo de Sistemas de Informacion

Carrera de Ingeniera de Sistemas Computacionales
Captulo I: PLAN DE INVESTIGACIN
1
Bach. Arturo Fernando Granados Rodrguez
I. GENERALIDADES
1.1. AUTOR Bach. Arturo Fernando Granados Rodrguez
1.2. ASESOR Ing. Hugo Alejandro Prez Quiroz
1.3. TITULO AUDITORA DEL DESARROLLO DE SISTEMAS DE INFORMACIN EN EL GOBIERNO REGIONAL CAJAMARCA.
1.4. INSTITUCIN A LA QUE PERTENECE EL PROYECTO Universidad Privada del Norte, Facultada de Ingeniera, Carrera de Ingeniera de Sistemas Computacionales
1.5. LUGAR DE EJECUCION DEL PROYECTO rea de sistemas del Gobierno Regional Cajamarca,
1.6. TIPO DE INVESTIGACION 1.6.1 De acuerdo al propsito de la investigacin: Aplicada 1.6.2 De acuerdo a su grado de profundidad: Descriptivo - Correlacional 1.6.3 De acuerdo al mtodo y tcnicas de investigacin: Ex post - facto
1.7. DURACION Se realizo en un tiempo de 4 meses (Marzo a Julio del 2012)
1.8. CRONOGRAMA DE TRABAJO
2
Cronograma de trabajo en Microsoft Project.
Figura N 01: Cronograma de Actividades Fuente Propia 1.9. RECURSOS 1.9.1. Humanos Director del CIS Staff. rea de planeamiento estratgico rea de sistemas Asesor Tesista 1.9.2. Materiales Materiales de escritorio y oficina Fotocopias Memoria USB Computadora de Escritorio Tintas para impresora Canon 1.9.3. Tecnolgicos Paquete Office 2007 (Microsoft Word, Microsoft Power Point, Microsoft Excel y Microsoft Project) Internet Speedy 2 MB Telefona Impresora
3
1.10. PRESUPUESTO Costo total del proyecto, teniendo en cuenta los recursos utilizados en el desarrollo del mismo.
Recursos
Humanos - Asesor Materiales - Papel Bond Atlas de 80 gr - Bolgrafos Faber Castell 0.35 - Corrector Faber Castell - Lpiz de Grafito Faber Castell - Fotocopias - Memoria USB de 8GB - Tintas para Impresora Canon - Computadora de Escritorio (Intel Core 2 Quad, 2GB RAM, 300GB Disco Duro), Monitor Samsung 22, Mouse & Teclado Logitech, Parlantes 5.1 Logitech) Tecnolgicos - Impresora Multifuncional Canon Mp190 - Lnea Tarifa Semi-Plana + Speedy 2 MB
Unidad
Asesor
Cantidad
1
Costo uni(S/.)
300 Sub-Total 30 0.50 3 0.50 0.067 32 53 1
Costo total(S/.)
300 300 30 2.00 3 2.00 67 32 106 3200
Millar Unidad Unidad Unidad Unidad Unidad Unidad Unidad
1 4 1 4 1000 1 2 1
Sub-Total Unidad 1 180
3442 180
Unidad Costo Total
139 139 Sub-Total 319 4061
Tabla N 01: Presupuesto Fuente: Elaboracin Propia
1.11. FINANCIAMIENTO El presente proyecto ser autofinanciado.
4
II PLAN DE INVESTIGACION 2.1. EL PROBLEMA 2.1.1. Realidad Problemtica La investigacin surge a raz que en todo mbito institucional se requiere informacin oportuna y confiable, para la toma de decisiones realidad que ha permitido el desarrollo de sistemas de informacin. Usualmente, la mayora de las instituciones, y en este caso, el Gobierno Regional de Cajamarca, en el desarrollo de sistemas de informacin carece de un anlisis tcnico profesional, lo cual ha generado una informacin poco confiable, inoportuna e inconsistente a la hora de tomar decisiones. El Gobierno Regional Cajamarca, entra en vigencia por la Constitucin Poltica del Estado Peruano y la Ley N 27867 el ao 2003, y su modificatoria Ley Orgnica de Gobiernos Regionales. Esta, indica que es un organismo pblico con personera jurdica de derecho pblico, con autonoma poltica, econmica y administrativa en asuntos de su competencia. El Gobierno Regional cuenta con departamento de sistemas el cual lo denominan Centro de Informacin y Sistemas CIS, el mismo que da soporte tcnico a los diversos procesos administrativos de la institucin. Despus de haber tenido entrevistas con el Director del CIS (Centro de Informacin y Sistemas) as como con su staff, dieron a conocer algunos de los problemas que se mencionan a continuacin: - Falta de una metodologa y procedimientos estndares para el desarrollo de sistemas de informacin: gestin y planificacin del proyecto, viabilidad, anlisis, diseo, construccin, implantacin y mantenimiento. - Carencia de procedimientos de control interno, como garanta para una gestin eficaz orientada a la consecucin de los objetivos del CIS y de la institucin. - Falta de documentacin para la gestin del cambio, problemas e incidentes en el desarrollo del proyecto software. - Falta de mecanismos de comunicacin debidamente documentados entre el staff.
Ante estos problemas nace el presente trabajo de investigacin aplicativo que permitir mejorar el rea de Sistemas del Gobierno Regional Cajamarca. 2.1.2. Formulacin del Problema En qu medida la Aplicacin de una Auditora del Desarrollo de Sistemas de Informacin garantiza la integridad, confiabilidad de la informacin del Gobierno Regional Cajamarca?
5
2.1.3. Antecedentes del Problema Presento algunos antecedentes de casos de instituciones a Nivel Internacional y Nacional que han desarrollado Auditoras Informticas con mucho xito. Nivel Internacional 1. Autor: Ttulo: Carlos Giovanni Guzmn de Len Lineamientos Generales para una Auditora de Sistemas en el Centro de Informacin de una Institucin Bancaria Agosto 2000
Institucin: Universidad Mariano Glvez de Guatemala Obtener Grado Acadmico: MAGISTER SISTEMAS con nfasis en Finanzas ARTIUM EN
Resumen u Objetivo: Importancia que tiene la funcin de la Auditora de Sistemas, en las instituciones financieras, as como la necesidad de planificarla y desarrollarla. 2. Autor: Ttulo: Guillermo Ramn Caal Chupina Planeacin de la Auditora Operacional en el rea de Ingresos de una empresa que utiliza el Comercio Electrnico Octubre 2006
Institucin: Universidad de San Carlos de Guatemala Obtener Titulo de: Contador Pblico y Auditor en el Grado de Licenciado Resumen u Objetivo: Los elementos del proceso administrativo y la necesidad de considerar la participacin de un especialista en Auditora; asimismo, apoyar la actualizacin e innovacin de herramientas electrnicas y metodolgicas para el desarrollo de la actividad del Contador Pblico y Auditor en la planeacin y ejecucin de una Auditora operacional. 3. Autor: Ttulo: Francisco Dagoberto Xiloj Charuc Auditora Externa en un Ambiente de Sistemas de Informacin Computarizado en el rea de Ingresos de una Empresa Comercializadora de Vehculos Agosto 2008
Institucin: Universidad de San Carlos de Guatemala
6
Obtener Titulo de: Contador Pblico y Auditor Resumen u Objetivo: La importancia de comprender los procedimientos y tcnicas de Auditora a aplicarse en una empresa Comercializadora de Vehculos, as mismo saber cmo aplicar los procedimientos y las tcnicas ms eficientes para Auditar estos nuevos y cada vez ms complejos sistemas de informacin, con la ayuda de la tecnologa. Nivel Nacional 1. Autor: Ttulo: Jos A. Rau lvarez Auditora Estratgica y Plan de Negocios de una Empresa de Confecciones de Calcetines 2004
Institucin: Pontificia Universidad Catlica del Per Obtener Grado de Mster en: Administracin de Negocios Resumen u Objetivo: Efecta una auditora estratgica, que analiza factores tales como la recesin que es uno de los ms importantes a nivel macro, el estudio recomienda aprovechar los actuales espacios que existen para reducir costos. Debe introducirse mejoras tecnolgicas y de capacitacin para una mejor asignacin de costos y reduccin de los mismos. As, con un desarrollo de un mejor control de calidad y manejo de mermas podra reducirse costos y ofrecer artculos con un mayor valor para el cliente. 2. Autor: Ttulo: Liliana Antonieta Palomino Chvez Auditora de Gestin en la Escuela de Ingeniera de Sistemas
Institucin: Universidad Nacional de Trujillo Obtener Titulo de: Ingeniero Informtico Resumen u Objetivo: Identifica aspectos prioritarios en la parte de Gestin, aplicando Tecnologas Informticas que mejoren el proceso que ms incurren en incidencias que es el proceso de Matriculas de la Facultad de Ingeniera de Sistemas. 3. Autor: Ttulo: Gissela Karina Chvez Garca Auditora Informtica Aplicada al Sistema Integrado de Gestin Comercial, Comercializadora y Distribuidora Jimnez S.A. de la Empresa Distribuidora Codijisa - Trujillo - 2008
7
Institucin:
Universidad Privada del Norte Trujillo
Obtener Titulo de: Ingeniero de Sistemas Resumen u Objetivo: La aplicacin de una Auditora Informtica permite mejorar el sistema, minimizando los errores en un 88.33%. . 2.1.4. Justificacin del Problema La confiabilidad de la informacin cobra cada vez mayor importancia en la sociedad, pues se enfoca en la proteccin de la infraestructura computacional y todo lo relacionado con esta. Para ello existen una serie de estndares, protocolos, mtodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la informacin. La seguridad informtica comprende software, bases de datos, archivos y todo lo que la organizacin valore (activo) y signifique un riesgo si sta llega a manos de otras personas. Este tipo de informacin se conoce como informacin privilegiada o confidencial. La presente investigacin es necesaria pues la administracin del Gobierno Regional de Cajamarca, demanda sistemas de informacin que le permita realizar la gestin con eficacia y eficiencia. Esto conlleva al desarrollo de un sistema de informacin, que controle, evale y fortalezca la validez y confiabilidad de procesamiento de la Informacin. El estudio ha permitido identificar las principales deficiencias, que actualmente carece de procedimientos de control, verificar su correcta definicin y aplicacin que garanticen la integridad y confiabilidad de la informacin. Por ello, es conveniente realizar la mejora a travs de la Auditora del desarrollo de sistemas de informacin, que permita identificar y minimizar los riesgos de la informacin. La presente investigacin se justifica en los siguientes aspectos: Justificacin Acadmica 1. El presente proyecto de tesis ayudar a profundizar el conocimiento en investigacin acerca de la realizacin de una Auditora del Desarrollo de Sistemas de Informacin en el Gobierno Regional de Cajamarca. 2. El desarrollo de la tesis permitir hacer uso de los conocimientos adquiridos durante el transcurso de la carrera profesional de Ingeniera de Sistemas. 3. Servir como base, aporte y guas de futuras tesis y proyectos relacionadas al campo de Auditora Informtica. Justificacin Operativa Staff del rea de sistemas del Gobierno Regional Cajamarca Tesista
8
2.2. HIPTESIS
Asesor
La aplicacin de una Auditora del Desarrollo de Sistemas de Informacin permite mejorar la integridad y confiabilidad de la informacin en el rea de Sistemas en el Gobierno Regional Cajamarca. 2.3. OBJETIVOS 2.3.1. Objetivo General
Realizar una Auditora del Desarrollo de Sistemas de Informacin para mejorar la integridad y confiabilidad de la informacin en rea de Sistemas en el Gobierno Regional Cajamarca.
2.3.2. Objetivos Especficos - Analizar el contexto en el que acta el rea de sistemas del Gobierno Regional.
-
Disear una metodologa para la aplicacin de la Auditora para mejorar la integridad y confiabilidad de la informacin. en el rea de sistemas del Gobierno Regional de Cajamarca. Desarrollar encuestas dirigidas al staff del rea de sistemas del Gobierno Regional. Aplicar la Auditora del desarrollo de sistemas de informacin Evaluar los resultados y hallazgos de la autora aplicada al desarrollo de sistemas de informacin al rea de sistemas del Gobierno Regional de Cajamarca.
2.4. VARIABLES 2.4.1. Variable Independiente: Auditora del Desarrollo de Sistemas. Definicin conceptual.Auditora del Desarrollo de Sistemas Es una disciplina encargada de aplicar un conjunto de tcnicas y procedimientos con el fin de evaluar la seguridad de los sistemas de informacin durante todo el proceso de desarrollo. Definicin operacional.- Se medir a travs de los siguientes indicadores: Documentacin, Ciclo de vida, Equipo Tcnico, Alcance del proyecto, Situacin actual del proyecto, Modelo del Sistema, Interfaces, Plan de pruebas, Validacin de requisitos, Arquitectura del Sistema, Migracin y carga inicial de datos, Entorno de desarrollo y pruebas, Tcnicas de programacin, Programacin de componentes, Pruebas de integracin de componentes, Plan de formacin y aceptacin por usuarios,
9
Capacitacin a usuarios, Monitorear nivel de servicio, Registro de peticiones de mantenimiento
2.4.2. Variable Dependiente: Mejorar la Integridad y Confiabilidad Definicin Conceptual.- El trmino integridad se refiere a la correccin de los datos. Y la confiabilidad est referida a la calidad de la informacin que produce y tambin a la eficiencia con la que ese sistema funciona. Definicin operacional.- Se medir a travs de los siguientes indicadores: Errores encontrados, Errores corregidos. 2.5. INDICADORES El proceso se ha llevado a cabo a travs de una encuesta cuyo instrumento de recopilacin de datos ha sido el cuestionario diseado en concordancia con los indicadores seleccionados: VARIABLE INDEPENDIENTE: DEFINICIN DIMENSIONES Gestin y planificacin del proyecto Es una disciplina encargada de aplicar un conjunto de tcnicas y procedimientos con el fin de evaluar la seguridad de los sistemas de informacin durante todo el proceso de desarrollo. Fase de Viabilidad Auditora del Desarrollo de Sistemas INDICADORES INSTRUMENTO Documentacin Ciclo de vida del proyecto Equipo Tcnico Alcance del proyecto Situacin actual del proyecto Modelo del Sistema Interfaces Plan de pruebas Validacin de requisitos
Fase Anlisis
Fase Diseo
Arquitectura del Sistema Migracin y carga inicial de datos Entorno de desarrollo y pruebas Tcnicas de programacin Programacin de componentes Pruebas de integracin de componentes
Observacional, a travs de encuestas, cuestionarios, entrevistas al staff.
Fase Construccin
10
Fase de Implantacin y Aceptacin Fase de Mantenimiento
Plan de formacin y aceptacin por usuarios Capacitacin a usuarios Monitorear nivel de servicio Registro de peticiones de mantenimiento.
Tabla N 2 Indicadores de Variable Independiente Fuente: Elaboracin Propia
VARIABLE DEPENDIENTE: Mejorar la Integridad y Confiabilidad DEFINICIN DIMENSIONES INDICADORES INSTRUMENTO El trmino integridad se Eficacia refiere a la Integridad Fiabilidad correccin y Validez completitud de Consistencia los datos en una base de datos. Y la confiabilidad de un Sistema de Porcentaje. Informacin Funcionamiento est referida a Confiabilidad Seguridad la calidad de la Desempeo informacin que Relevancia produce y Calidad tambin a la eficiencia con la que ese sistema funciona. Tabla N 3 Indicadores de Variable Dependiente Fuente: Elaboracin Propia
2.6. Limitaciones de la Investigacin El dominio de la investigacin est delimitado al Gobierno Regional Cajamarca en el rea de sistemas. Y el periodo de estudio caracteriza a la investigacin como trasversal, porque se realizar en un momento determinado del tiempo, durante los meses de marzo a julio del 2012.
11
Captulo II: MARCO TERICO
12
II. MARCO TEORICO 2.1 Qu es un Sistema? Segn el Ing. Villanueva Snchez Grover en su Tesis Sistema de Gestin Estratgica aplicando el Enfoque Sistmico y las Tecnologas de la Informacin para lograr Ventajas Competitivas en el Instituto Nacional de Cultura de La Libertad. Ref. Tes [2]. "Un sistema es una entidad autnoma dotada de una cierta permanencia, y constituida por elementos interrelacionados, que forman subsistemas estructurales y funcionales. Se transforma, dentro de ciertos lmites de estabilidad, gracias a regulaciones internas que le permiten adaptarse a las variaciones de su entorno especfico". Brian Wilson sostiene que el vocablo sistema tiene varias interpretaciones, dependiendo del contexto en el que es usado. Por otra parte, Stafford Beer refiere que hablar de un sistema es hablar de la cohesin de un cierto nmero de entidades llamadas partes de un sistema. Un sistema no es algo dado por la naturaleza sino definido por la inteligencia. Rodrguez Ulloa (1994) Por lo tanto, se define a un Sistema como un conjunto de elementos interrelacionados que responden a un propsito determinado que como un todo tiene caracterstica que sus partes separadamente no tienen. Est conectado, interacta y es influenciado por su entorno. Villanueva Snchez (2008)
Figura N 02: Definicin de Sistema Fuente Tes [1] 2.2 Informacin Segn John Burch & Gary Grudnitski en su libro "Diseo de sistemas de informacin" Ref. Lib [1].
13
Es el eslabn indispensable que une a todos los componentes de la organizacin para una mejor operacin y para su supervivencia en un ambiente competitivo y poco amigable.
Figura N03 El Ciclo de la Informacin (Burch) Lib[1]. Pag.20 Adems hace mencin que la calidad de la informacin est en base a: exactitud (inf. clara y libre de tendencias o desviaciones) oportunidad (dentro del marco de tiempo necesario) y relevancia (importancia).
Figura N04 Atributos de la Calidad de la Informacin Lib[1]. Pag.20 2.3 Sistema de Informacin (SI) Segn Ralph M. Stair, en su libro Principios de SISTEMAS DE INFORMACION Enfoque Administrativo. Ref. Lib [02] Un Sistema de Informacin (SI) es un conjunto de componentes interrelacionados para recolectar, manipular y diseminar datos e informacin y para disponer de un mecanismo de retroalimentacin til en el cumplimiento de un objetivo.
14
Todos interactuamos en forma cotidiana con sistemas de informacin, para fines tanto personales como profesionales; utilizamos cajeros automticos, los empleados de las tiendas registran nuestras compras sirvindose de cdigos de barras y escner u obtenemos informacin en mdulos equipados con pantallas sensibles al tacto, las muy famosas touch screen. Las principales compaas gastan en la actualidad ms de 1 000 millones de dlares al ao en tecnologa de informacin y el futuro dependeremos an ms de los sistemas de informacin
Segn Kenneth Laudon. & Jane Laudon en su libro Sistemas De Informacin Gerencial. Ref. Lib [03] Un sistema de informacin se puede definir tcnicamente como un conjunto de componentes interrelacionados que recolectan (o recuperan), procesan, almacenan y distribuyen informacin para apoyar la toma de decisiones y el control en una organizacin. Adems de apoyar la toma de decisiones, la coordinacin y el control, los sistemas de informacin tambin pueden ayudar a los gerentes y trabajadores a analizar problemas, visualizar asuntos complejos y crear productos nuevos. Los sistemas de informacin contienen informacin acerca de gente, lugares y cosas importantes dentro de la organizacin o en el entorno que se desenvuelven. Por informacin se entiende los datos que se han modelado en una forma significativa y til para los seres humanos. En contraste, los datos son consecuencia de los hechos en bruto y representan eventos que ocurren en las organizaciones o en el entorno fsico antes de ser organizados y ordenados en una forma que las personas puedan entender y utilizar. Hay tres actividades en un sistema de informacin que producen la informacin que las organizaciones necesitan para tomar decisiones, controlar operaciones, analizar problemas y creas nuevos productos o servicios. Estas actividades son entrada, procesamiento y salida. La entrada captura o recolecta datos en bruto tanto al interior de la organizacin como de su entorno externo. El procesamiento convierte esta entrada de datos en una forma significativa. La salida transfiere la informacin procesada a la gente que lo usar o a las actividades para las que se utilizar. Los sistemas de informacin tambin requieren retroalimentacin que es la salida que se devuelve al personal adecuado de la organizacin para ayudarle a evaluar o corregir la etapa de entrada.
15
Figura N05 Actividades de un Sistema de Informacin Fuente: Sistemas de Informacin Gerencial Lib [03]
Segn Mario Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruz. En su libro Auditora de Tecnologas y Sistemas de Informacin. Ref Lib [06]. Pg. 346. En un sentido amplio se puede considerar que un SI es un conjunto de elementos que interactan para que la empresa pueda alcanzar sus objetivos satisfactoriamente. Segn COBIT los componentes o recursos de un SI son los siguientes: Datos En general se consideran datos tanto los estructurados como los no estructurados, las imgenes, los sonidos, etc. Aplicaciones Se incluyen las aplicaciones manuales y las informticas Infraestructura En infraestructura se incluyen las tecnologas y las instalaciones (por ejemplo hardware, sistemas operativos, sistema de gestin de base de datos, sistemas de red, multimedia y el medio en el que se ubican) que permiten que se procesen las aplicaciones. Personal Los conocimientos que ha de tener el personal de los sistemas de informacin para planificarlos, organizarlos, administrarlos y gestionarlos
16
Figura N06 Sistema de Informacin Fuente: Auditora de Tecnologas y Sistemas de Informacin. Ref Lib [06]. Pg. 347.
Para comprobar que el sistema de informacin est funcionando segn lo previsto, este habr de disponer de un sistema de control interno que prevenga los eventos no deseados o en su defecto los detecte y los corrija. Es conveniente recordar que el resultado de la Auditora parcial de un sistema de informacin no se puede extrapolar al conjunto del sistema. EI funcionamiento inadecuado de alguno (o algunos) de los procesos y recursos que intervienen en otras partes del sistema (subsistemas) puede invalidar el sistema de informacin.
2.4 Clasificacin de los Sistemas de Informacin Segn Vince Fernndez Alarcn, en su libro Desarrollo de Sistemas De Informacin Una metodologa basada en el modelado. Ref. Lib [04]. Propone diversos criterios para la clasificacin de los Sistemas de Informacin: 1. Por el grado de formalidad: Sistemas de Informacin Formales y los Informales 2. Por el nivel de automatizacin conseguido: En las organizaciones, pueden existir sistemas que necesitan una alta participacin de los trabajadores poco automatizadas (Por ejemplo, los sistemas para responder a preguntas personalizadas a travs de un e-mail) -, mientras que otros sistemas son capaces de trabajar sin la intervencin
17
humana muy automatizadas (por ejemplo, las centrales telefnicas totalmente automatizadas). 3. Por su relacin con la toma de decisiones Una de las funciones que deben cumplir los sistemas de informacin es colaborar en la toma de decisiones. En funcin del lugar jerrquico en donde se tomen las decisiones, los sistemas de informacin se podrn clasificar en estratgicos, de control u operativos 4. Por la naturaleza de sus entradas y salidas Un sistema de informacin puede recibir informacin de diversas fuentes de informacin (personas, empresas, otros sistemas de informacin, etc.) as como en distintos formatos (a travs de un teclado, por la red, de un disquete, memoria USB, CD, DVD etc.) del mismo modo, los Sistema de Informacin pueden proporcionar informacin a travs de distintos formatos (impreso, por pantalla, en internet, etc.) 5. Por el origen y el grado de personalizacin En las empresas se pueden encontrar Sistemas de Informacin que han sido diseados e implementados slo para ellos, o tambin sistemas comprados que son utilizados por otras empresas. 6. Por el valor que representan para las organizacin El sistema que contiene la informacin de los clientes suele tener una mayor importancia que el sistema de informacin de presupuestos (ya que este es ms sencillo y se puede hacer manualmente).
2.5 Tipos de Sistemas de Informacin Segn Kenneth Laudon. & Jane Laudon en su libro Sistemas De Informacin Gerencial. Ref. Lib [03] Plantean cuatro principales tipos de sistemas de informacin que dan servicio a los diferentes niveles de la organizacin: sistemas a nivel operativo, sistemas a nivel del conocimiento, sistemas a nivel administrativo y sistemas a nivel estratgicos. 2.5.1 Los sistemas a Nivel Operativo apoyan a los gerentes operativos en el seguimiento de las actividades y transacciones elementales de la organizacin como ventas, ingresos, depsitos en efectivo, nmina, decisiones de crdito y flujo de materiales en una fbrica. El objetivo principal de los sistemas a este nivel es responder las preguntas de rutina y seguir el flujo de las transacciones
18
a travs de la organizacin. Cuntas partes hay en el inventario? Qu pas con el pago del seor Gutirrez? En general, para contestar este tipo de preguntas la informacin debe estar a la mano y ser actual y precisa. Entre los ejemplos de sistemas a nivel operativo estn un sistema para registrar los depsitos realizados en un cajero automtico o uno que lleve el registro del nmero de horas trabajadas cada da por los empleados de una fbrica. 2.5.2 Los sistemas a Nivel del Conocimiento apoyan a los trabajadores del conocimiento y de datos de una organizacin. El propsito de estos sistemas es ayudar a las empresas comerciales a integrar el nuevo conocimiento en los negocios y ayudar a la organizacin a controlar el flujo del trabajo de oficina. Los sistemas a nivel del conocimiento, especialmente en forma de estaciones de trabajo y sistemas de oficina, estn entre las aplicaciones de crecimiento ms rpido en los negocios actuales. 2.5.3 Los sistemas a Nivel Administrativo sirven a las actividades de supervisin, control, toma de decisiones y administrativas de los gerentes de nivel medio. La pregunta principal que plantean estos sistemas es van bien las cosas? Por lo general este tipo de sistemas proporcionan informes peridicos ms que informacin instantnea de operaciones. Un ejemplo es un sistema de control de reubicacin que informe los costos totales de mudanza, bsqueda de vivienda y financiamiento de vivienda para empleados de todas las divisiones de la compaa y notifique cualquier costo actual que exceda los presupuestos. 2.5.4 Los sistemas a Nivel Estratgico ayudan a los directores a enfrentar y resolver aspectos estratgicos y tendencias a largo plazo, tanto en la empresa como en el entorno externo. Su funcin principal es compaginar los cambios del entorno externo con la capacidad organizacional existente. Cules sern los niveles de empleo dentro de cinco aos? Cules son las tendencias a largo plazo de los costos de la industria y dnde encaja nuestra empresa? Qu productos deberemos estar elaborando dentro de cinco aos? Los sistemas de informacin tambin apoyan las principales funciones empresariales como ventas y marketing, manufactura, finanzas, contabilidad, y recursos humanos. Una organizacin tpica tiene sistemas a nivel operativo, administrativo, del conocimiento y estratgico para cada rea funcional.
2.6 AUDITORA. 2.6.1 Definicin de Auditora En su libro, Carlos Muoz Razo. Auditora en Sistemas Computacionales, Ref. Lib [05]
19
Los inicios de la Auditora se remontan a la revisin y el diagnstico que se practicaba a los registros operacionales contables de las empresas; despus se pas al anlisis, verificacin y evaluacin de sus aspectos financieros; posteriormente se ampli al examen de algunos rubros de la administracin, siguiendo con el anlisis de aquellos aspectos que intervenan en todas sus actividades y, por ltimo, su alcance se increment conforme se avanz en la llamada revisin integral. Nos muestra adems una definicin de auditora: Auditora es la revisin independiente que realiza un auditor profesional, aplicando tcnicas, mtodos y procedimientos especializados, a fin de evaluar el cumplimiento de las funciones, actividades, tareas y procedimientos de una entidad administrativa, as como dictaminar sobre el resultado de dicha evaluacin.
En la pgina Web del INEI: QU ES LA AUDITORA INFORMTICA? Ref. URL [1]

Hare referencia a: La Auditora cumple una funcin muy valiosa e independiente, no toma acciones pero da sugerencias, y sus conclusiones deben tomarse en cuenta en la toma de decisiones. La auditora se apoya de herramientas de anlisis, verificacin y exposicin conformando as elementos de juicio, los cuales permitirn determinar las debilidades y disfunciones. Es muy probable que se afecte la susceptibilidad del personal auditado, debido a que se interrumpe de alguna manera sus tareas, en el momento de realizar la auditora, adems esta actitud es comprensible. Pero los sistemas en ocasiones son muy sofisticados, lo cual hace que el auditor disponga de un nivel tcnico adecuado e insuficiente frente al tiempo que tiene para realizar su trabajo. Como parte de la auditora esta la evaluacin del personal, para esto existe el Chek List, que es un cuestionario, el cual es archivado bajo estrictas medidas de seguridad por las empresas que se encargan de realizar este trabajo de Auditora, por considerarse informacin confidencial y activos muy importantes que respaldan su actividad. La evaluacin debe ceirse de acuerdo a las normas o reglas implantadas y se considera que debe aplicarse una metodologa que pueda resolver los problemas que puedan presentarse.
Francisco Dagoberto Xiloj Charuc, en su Tesis Ref. Tes [03]: Auditora Externa en un Ambiente de Sistemas de Informacin Computarizado en el rea de Ingresos de una Empresa Comercializadora de Vehculos. Nos menciona: La Auditora consiste en un examen sistemtico de los libros, documentos y dems registros contables de una entidad, con el objeto de obtener elementos de juicio y evidencia comprobatoria suficiente y competente para fundamentar
20
de una manera objetiva y profesional la opinin que el Contador Pblico y Auditor, emite sobre los estados financieros preparados por la entidad, a una fecha determinada y el resultado de las operaciones por un perodo terminado en esa fecha, as como los estados de flujos de efectivo y patrimonio de los accionistas.
2.7 Auditor En su libro, Carlos Muoz Razo. Auditora en Sistemas Computacionales, Ref. Lib [05] Del latn Auditor, oris s.m. 1. Persona capacitada para realizar auditoras en empresas u otras instituciones. Pertenece a un colegio oficial. Del latn auditor; el que oye, del verbo audire. Or. Anteriormente oyente El autor del libro propone la siguiente definicin para la Auditora: Es la revisin independiente de alguna o algunas actividades, funciones especficas, resultados u operaciones de una entidad administrativa, realizada por un profesional de la Auditora, con el propsito de evaluar su correcta realizacin y, con base en ese anlisis, poder emitir una opinin sobre la razonabilidad de sus resultados y cumplimiento de sus operaciones Segn la Pgina Web, QU ES LA AUDITORA INFORMTICA? Del Instituto Nacional De Estadstica e Informtica (INEI). Ref URL [1]. Pg 11 Si nos remontamos al campo de la etimologa veremos que auditora viene del latn auditorius, proviniendo de aqu la palabra auditor, la misma que significa o que se refiere a aquel que tiene la virtud de oir. 2.8 ISACA (Information Systems Audit and Control Association Asociacin de Control y Auditora de Sistemas de Informacin) Ref. URL
[5]:
Desde su creacin, ISACA se ha convertido en una organizacin global que establece las pautas para los profesionales del gobierno, control, seguridad y auditora de informacin. Sus normas de auditora y control de SI son seguidos por profesionales de todo el mundo y sus investigaciones abordan temas profesionales que son desafos para sus constituyentes. 2.9 Principios de Auditora En el libro Auditora de Tecnologas y Sistemas de Informacin de Mario Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruz. Ref Lib [06]. Pg. 349, 350, 351, 352. Algunos de los principios publicados por ISACA son:
21
1. Formalidad Responsabilidad, atribuciones y obligaciones
Las responsabilidades, atribuciones y obligaciones que abarca la funcin de auditora de los sistemas de informacin deben documentarse de manera apropiada (formal) en unos estatutos de auditora en el caso de la auditora interna, o en una carta de encargo o contrato en el caso de la auditora externa. 2. Independencia Independencia profesional
En todas las cuestiones relacionadas con la Auditora, el auditor de sistemas de informacin debe ser independiente de la organizacin auditada tanto en actitud como en apariencia.
Relacin con la organizacin La funcin de auditora de los sistemas de informacin debe ser lo suficientemente independiente del rea que se est auditando para permitir realizar de manera objetiva la Auditora. 3. tica y normas profesionales Condigo de tica profesional
Al igual que en otros colectivos profesionales, distintos organismos han publicado unos cdigos de conducta o normas deontolgicas que el auditor de sistemas de informacin ha de cumplir. As el auditor que sea miembro de ISACA debe acatar el Cdigo de tica Profesional de ISACA, de lo contrario se pueden se pueden tomar medidas disciplinarias. Diligencia profesional
En todos los aspectos del trabajo del auditor de sistemas de informacin, se debe ejercer la atencin profesional correspondiente y el cumplimiento de las normas aplicables de auditora profesional. 4. Idoneidad Habilidades y conocimientos
22
EI auditor de sistemas de informacin debe ser tcnicamente idneo y tener la experiencia y los conocimientos necesarios para realizar el trabajo de auditor.
Formacin profesional contina
EI auditor de sistemas de informacin debe mantener la idoneidad tcnica mediante su formacin profesional continua. 5. Planificacin Planificacin de la Auditora
EI auditor de sistemas de informacin debe planificar el trabajo de auditora para satisfacer los objetivos de la Auditora y para cumplir con las normas de auditora aplicables a la profesin. 6. Ejecucin de la Auditora Evidencia
Durante el transcurso de una Auditora, el auditor de sistemas de informacin debe obtener evidencia adecuada (fiable, relevante y til) y suficiente para lograr los objetivos de la Auditora. Los hallazgos y conclusiones de la Auditora se deben basar en el anlisis e interpretacin apropiados de dicha evidencia. Documentacin
EI proceso de Auditora deber documentarse, describiendo las labores de auditora realizadas y la evidencia de auditora que respalda los hallazgos y conclusiones del auditor. Supervisin
EI personal de auditora de SI debe ser supervisado para brindar una garanta razonable de que se lograran los objetivos de la Auditora y que se cumplirn las normas profesionales de auditora aplicables. 7. Informacin Contenido y formato de los informes
En el momento de completar el trabajo de auditora, el auditor de sistemas de informacin debe proporcionar un informe con un formato apropiado a los destinatarios. EI informe de auditora debe enunciar el alcance, los objetivos, el periodo de cobertura y la naturaleza y
23
amplitud del trabajo de auditora realizado. El informe debe identificar al auditarlo (cliente), los destinatarios en cuestin y cualquier restriccin con respecto a su circulacin. EI informe debe enunciar los hallazgos, las conclusiones y las recomendaciones, y cualquier reserva o consideracin que tuviera el auditor con respecto a la Auditora.
2.10 Objetivos Generales de la Auditora En el Libro Auditora en Sistemas Computacionales, de Carlos Muoz Razo. Ref Lib [05]. Entre los objetivos ms relevantes, encontramos a los siguientes: Realizar una revisin independiente de las actividades, reas o funciones especiales de una institucin, a fin de emitir un dictamen profesional sobre la razonabilidad de sus operaciones y resultados. Hacer una revisin especializada, desde un punto de vista profesional y autnomo, del aspecto contable, financiero y operacional de las reas de la empresa. Evaluar el cumplimiento de los planes, programas, polticas, y lineamientos que regulan la actuacin de los empleados y funcionarios de una institucin, as como evaluar las actividades que se desarrollan en sus reas y unidades administrativas. Dictaminar de manera profesional e independiente sobre los resultados obtenidos por una empresa y sus reas, as como sobre el desarrollo de sus funciones y el cumplimiento de sus objetivos y operaciones. 2.11 Alcance de la Auditora En el libro Auditora de Tecnologas y Sistemas de Informacin de Mario Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruz. Ref Lib [06]. Pg. 352. EI auditor debe determinar el alcance de su trabajo de acuerdo con las Normas Tcnicas y decidir los procedimientos de auditora, as como su extensin, el auditor utilizar su juicio profesional, teniendo en cuenta, muy especialmente, los conceptos de importancia relativa y los riesgos. EI concepto de importancia relativa es inherente al trabajo del auditor. En consecuencia, los procedimientos diseados para soportar la opinin tcnica en aquellas areas ms significativas y en las que sea ms probable que se puedan producir errores importantes deben ser ms amplios y extensos que en aquellas otras en que no se den estas circunstancias. EI auditor debe requerir del auditado (cliente) cuanta informacin precise para realizar los trabajos de auditora. Cualquier limitacin al trabajo impuesta por el auditado o sobrevenida a lo largo del trabajo que impida la aplicacin de lo
24
dispuesto en las Normas Tcnicas debe ser considerada en el informe de auditora como una limitacin al alcance. Para planificar y organizar la actividad de auditora de sistemas de informacin, el auditor debe incluir en el alcance de la Auditora los procesos relevantes y los procesos para supervisar esa actividad as como todos los recursos relacionados con el SI.
2.12 Implantacin de sistema de control interno informtico Segn Mario Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruz. En su libro Auditora de Tecnologas y Sistemas de Informacin. Ref Lib [06] 2.12.1 Controles de desarrollo, adquisicin y mantenimiento de sistemas de informacin Permiten alcanzar la eficacia del sistema, economa y eficiencia, integridad de los datos, proteccin de los recursos y cumplimiento con las leyes y regulaciones: Metodologa del ciclo de vida del desarrollo de sistemas: su empleo podr garantizar a la alta Direccin que se alcanzaran los objetivos definidos para el sistema. Estos son algunos controles que deben existir en la metodologa: La alta Direccin debe publicar una normativa sobre el uso de metodologa de ciclo de vida del desarrollo de sistemas y revisar esta peridicamente. La metodologa debe establecer los papeles y responsabilidades de las distintas areas del Departamento de Informtica y de los usuarios, as como la composicin y responsabilidades del equipo del proyecto. Las especificaciones del nuevo sistema deben ser definidas por los usuarios y quedar escritas y aprobadas antes de que comience el proceso de desarrollo. Debe establecerse un estudio tecnolgico de viabilidad en el cual se formulen formas alternativas de alcanzar los objetivos del proyecto acompaadas de un anlisis coste-beneficio -de cada alternativa-. Cuando se seleccione una alternativa debe realizarse el plan director del proyecto. En dicho plan deber existir una metodologa de control de costes. Procedimientos para la definicin y documentacin de especificaciones de: diseo, de entrada, de salida, de ficheros, de procesos, de programas, de controles de seguridad, de pistas de auditora, etc. Plan de validacin, verificacin y pruebas. Estndares de prueba de programas, de pruebas de sistemas Plan de conversin; prueba de aceptacin final.
25
Los procedimientos de adquisicin de software debern seguir las polticas de adquisicin de la Organizacin y dichos productos debern ser probados y revisados antes de pagar por ellos y ponerlos en uso. La contratacin de programas de servicios de programacin a medida ha de estar justificada mediante una peticin escrita de un director de proyecto. Debern prepararse manuales de operacin y mantenimiento como parte de todo proyecto de desarrollo o modificacin de sistemas de informacin, as como manuales de usuario. Explotacin y mantenimiento: el establecimiento de controles asegurara que los datos se tratan de forma congruente y exacta y que el contenido de sistemas solo ser modificado mediante autorizacin adecuada. Estos son algunos de los controles que se deben implantar: Procedimientos de control de explotacin Sistema de contabilidad para asignar a usuarios los costos asociados con la explotacin de un sistema de informacin. Sistema de contabilidad para asignar a usuarios los costes asociados con la explotacin de un sistema de informacin. Procedimientos para realizar un seguimiento y control de los cambios de un sistema de informacin.
2.13 Motivos para Efectuar una Auditora de Tecnologas de Informacin Segn el Mg. Ing. Alberto Mendoza De Los Santos, en una presentacin de sus clases de la Universidad Privada del Norte. Ref. PPT [1]. Pg. 15, 16, 17 Entre los principales justificativos o motivos de una auditora, encontramos: Aumento del presupuesto del Departamento de procesamiento de datos. Desconocimiento de la situacin informtica de la empresa. Falta total o parcial de seguridades lgicas y fsicas que garanticen la integridad del personal, equipos e informacin. Descubrimientos de fraudes efectuados con el uso del computador. Falta de una planificacin informtica. Falta de visin. Organizacin que no funciona correctamente, debido a falta de polticas, objetivos, normas, metodologa, estndares, delegacin de autoridad, asignacin de tareas y adecuada administracin del recurso humano. Descontento general de los usuarios, motivado generalmente, por incumplimiento de plazos y mala calidad de resultados. Falta de documentacin o documentacin incompleta de sistemas.
Dentro de los motivos para efectuar una Auditora, el INEI en su pgina Web: QU ES LA AUDITORA INFORMTICA? Ref. URL [1]. Hace referencia a:
26
Cuando existen sntomas de debilidad en la empresa, stas acuden a las auditoras externas para poder determinar en donde estn las falencias. Estos sntomas se pueden agrupar clases:
Cuando existe Desorganizacin y Descoordinacin: - Los promedios conseguidos no se habitan a los estimados, por que los parmetros de productividad no son respetados y sufren un desvo. - Los objetivos que la empresa persigue, no coinciden con los obtenidos. - Esto puede darse debido a un cambio masivo de personal, o tambin porque un rea tuvo una mala reestructuracin, tambin puede deberse a una norma importante que haya sido modificada. Cuando hay insatisfaccin del cliente y una mala imagen: - Cuando no hay capacidad de satisfacer las necesidades del cliente. - Las fallas en hardware no son reparadas, ni se resuelven las incidencias en plazos establecidos y razonables, ocasionando un descontento en el usuario por sentirse abandonado. - Los resultados peridicos no son entregados en los plazos establecidos. Las pequeas imprecisiones pueden ocasionar que la informacin no refleje lo real y que la actividad que ejerce el usuario se vea afectada por este motivo. Debilidades Econmico-Financieras: - Elevacin de costos de forma repentina y desmesurada. - Cuando se da la necesidad de justificar las inversiones informticas. - Cuando se dan otras prioridades en el aspecto presupuestario. - Costos y plazos de nuevos proyectos. Cuando existe inseguridad: Se da una evaluacin de nivel de riesgos, la que contempla los puntos siguientes: Seguridad Lgica. Seguridad Fsica. Aspectos de confidencialidad. - La continuidad en el servicio es importante. En ocasiones se considera ms importante que los aspectos de seguridad. - Si existen problemas en los que el centro de procesamiento de datos se encontrara fuera de control, una auditora no tendra sentido por considerarse intil, por eso deben tomarse en cuenta los ms mnimos indicios para su aplicacin.
2.14 CONTROL INTERNO Segn el Mg. Ing. Alberto Mendoza De Los Santos, en una presentacin de sus clases de la Universidad Privada del Norte. Ref. PPT [2]. Pg. 22
27
Esta referido fundamentalmente a la adopcin de medidas preventivas, que tienen como finalidad salvaguardar los bienes de la empresa. Busca evitar acciones nefastas como sabotajes, fraudes y otro tipo de situaciones que lleven a inestabilidad o desaparicin del negocio.
Segn Mario Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruz. En su libro Auditora de Tecnologas y Sistemas de Informacin. Ref Lib [06] Pag. 05, 06 El Control Interno informtico controla diariamente que todas las actividades de sistemas de informacin sean realizadas cumpliendo los procedimientos, estndares y normas fijados por la Direccin de la Organizacin y/o la Direccin de Informtica, as como los requerimientos legales. La misin del Control Interno Informtico es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y validas. Como principales objetivos podemos indicar los siguientes: Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. Asesorar sobre el conocimiento de las normas. Colaborar y apoyar el trabajo de Auditora Informtica, as como de las auditoras externas al Grupo. Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informtico, lo cual no debe considerarse como que la implantacin de los mecanismos de medida y la responsabilidad del logro de esos niveles se ubique exclusivamente en la funcin de Control Interno, sino que cada responsable de objetivos y recursos es responsable de esos niveles, as como de la implantacin de los medios de medida adecuados.
2.14.1 Componentes del Control Interno Segn el Mg. Ing. Alberto Mendoza De Los Santos, en una presentacin de sus clases de la Universidad Privada del Norte. Ref. PPT [2]. Pg. 22. La nueva economa ha obligado a las empresas a realizar cambios. Algunos de estos cambios, se pueden resumir en: Restructuracin de los procesos empresariales (BPR: Business Process Re-engineering)
28
Gestin de la calidad (TQM) Redimensionamiento por reduccin o crecimiento hasta el nivel correcto Outsourcing Descentralizacin Los cambios que se mencionan, se deben a fuerzas externas que presionan a la empresa (ver Figura N 5). Ante esta situacin, l as empresas deben evaluar sus sistemas de control interno de manera permanente. Para enfrentar y manejar estas fuerzas, se hace necesaria la adopcin de la tecnologa disponible. Los Sistemas de informacin constituyen un soporte fundamental para poner en marcha las estrategias planteadas por la alta direccin. Esto origina tambin un aumento de las necesidades de control y Auditora. Es en este escenario que aparecen 2 conceptos fundamentales: El control interno y la Auditora informtica
Figura N07 Actividades de un Sistema de Informacin
2.15 AUDITORA INFORMTICA En el libro Auditora de Tecnologas y Sistemas de Informacin de Mario Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruz. Ref Lib [06] Pag. 07 La Auditora Informtica es el proceso de recoger, agrupar y evaluar evidencias parar determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos. De este modo la Auditora Informtica sustenta y confirma la consecucin de los objetivos tradicionales de la Auditora:
29
Objetivos de proteccin de activos e integridad de datos Objetivos de gestin que abarcan, no solamente los de proteccin de activos, sino tambin los de eficacia y eficiencia.
En el Libro Auditora en Sistemas Computacionales, de Carlos Muoz Razo. Ref Lib [05]. Es la revisin tcnica especializada y exhaustiva que se realiza a los sistemas computacionales, software e informacin utilizados en una empresa, sean individuales, compartidos y/o de redes, as como a sus instalaciones, telecomunicaciones, mobiliario, equipos de perifricos y dems componentes. Dicha revisin se realiza de igual manera a la gestin informtica, el aprovechamiento de sus recursos, las medias de seguridad y de los bienes de consumo necesarios para el funcionamiento del centro de cmputo. El propsito fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso de datos, el procesamiento adecuado de la informacin y la emisin oportuna de sus resultados en la institucin, incluyendo la evaluacin en el cumplimiento de las funciones, actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los sistemas computacionales a la empresa.
El INEI en su pgina Web: QU ES LA AUDITORA INFORMTICA?. Ref. URL [1]. Hace referencia a los objetivos fundamentales de la Auditora informtica: La Auditora debe iniciar su actividad cuando los Sistemas estn operando, ste es el principal objetivo, el de mantener tal situacin. Tal objetivo debe conseguirse tanto a nivel global como parcial. La operatividad de los sistemas ha de constituir entonces la principal preocupacin del Auditor informtico. Para conseguirla hay que acudir a la realizacin de Controles tcnicos generales de operatividad y Controles tcnicos especficos de operatividad, previos a cualquier actividad de aquel.
2.15.1 Control Interno y Auditora Informtica: Campos Anlogos El control interno Informtico y la auditora Informtica, tienen similitudes en sus objetivos profesionales. Son campos anlogos que propician una transicin natural entre ambas disciplinas. Sin embargo existen diferencias que conviene resaltar.
30
Tabla N4 Similitudes y Diferencias entre Control Interno y Auditora Informtica
2.16 Tcnicas y Herramientas Usadas por la Auditora Informtica El INEI en su pgina Web: QU ES LA AUDITORA INFORMTICA?. Ref. URL [1]. Hace referencia a: Cuestionarios La informacin recopilada es muy importante, y esto se consigue con el levantamiento de informacin y documentacin de todo tipo. Los resultados que arroje una auditora se ven reflejadas en los informes finales que estos emitan y su capacidad para el anlisis de situaciones de debilidades o de fortalezas que se dan en los diversos ambientes. El denominado trabajo de campo consiste en que el auditor busca por medio de cuestionarios recabar informacin necesaria para ser discernida y emitir finalmente un juicio global objetivo, los que deben ser sustentados por hechos demostrables, a quienes se les llama evidencias. Esto se puede conseguir, solicitando el cumplimiento del desarrollo de formularios o cuestionarios lo que son pre impresos, los cuales son dirigidas a las personas que el auditor considera ms indicadas, no existe la obligacin de que estas personas sean las responsables de dichas reas a auditar. Cada cuestionario es diferente y muy especfico para cada rea, adems deben ser elaborados con mucho cuidado tomando en cuenta el fondo y la forma. De la informacin que ha sido analizada cuidadosamente, se elaborar otra informacin la cual ser emitida por el propio Auditor. Estas informaciones sern cruzadas, lo que vine a ser uno de los pilares de la auditora. Muchas veces el auditor logra recopilar la informacin por otros medios, y que estos pre impresos podan haber proporcionado, cuando se da este caso, se puede omitir esta primera fase de la auditora.
Entrevistas
31
Existen tres formas para que el auditor logre relacionarse con el personal auditado. La solicitud de la informacin requerida, esta debe ser concreta y debe ser de la materia de responsabilidad del auditado. En la entrevista no se sigue un plan predeterminado ni un mtodo estricto de sometimiento a un cuestionario. La entrevista es un medio por el que el auditor usar metodologas las que han sido establecidas previamente con la finalidad de encontrar informacin concreta. La importancia que la entrevista tiene en la auditora se debe a que, la informacin que recoge es mayor y se encuentra mejor elaborada, y es ms concreta que las que pueden proporcionar los medios tcnicos o los cuestionarios. La entrevista personal entre el auditor y el personal auditado, es basada en una serie de preguntas especficas en las que el auditado deber responder directamente. El sistema de interrogacin se establece previamente y el auditor tendr mucho cuidado, esta entrevista se debe dar de una forma muy cordial y bajo los parmetros de lo correcto, esto se hace con la finalidad de que sea lo menos tensa posible, y que el auditado conteste de la forma ms natural, con mucha sencillez. Slo que esta sencillez con la que se elaboran las preguntas debern tener un fondo muy profundo, el cual es distinto en cada caso. El auditor cuando es ducho en la materia y tiene mucha experiencia, realiza un trabajo de reelaboracin de sus cuestionarios de acuerdo a la situacin y al escenario auditado. Este es un personaje que sabe que es lo que busca, debido a que tiene bien en claro lo que necesita, y porque lo necesita. Su trabajo es el pilar fundamental para el anlisis, cruce y elaboracin posterior del informe final, pero esto no indica que el auditado tenga que ser sometido a un interrogatorio automatizado lo cual no ofrece ningn camino. Por el contrario el auditor realiza la entrevista de tal forma que el auditado pueda responder a las preguntas formuladas de manera normal, lo que servir para llegar al cumplimiento de los cuestionarios de sus Check Lists.
2.17 AUDITORA DE SISTEMAS DE INFORMACIN Segn Alonso Tamayo Alzate en su Libro Auditora de Sistemas Una visin prctica. Ref Lib [07] La Auditora de sistemas es la parte de la auditora interna que se encarga de llevar a cabo la evaluacin de normas, controles, tcnicas y procedimientos que se tienen establecidos en una empresa para logar confiabilidad, oportunidad, seguridad y confidencialidad de la informacin que se procesa a travs de
32
computadores; es decir, en estas evaluaciones se est involucrado tanto los elementos tcnicos como humanos que intervienen en el proceso de informacin
Figura N08 Definicin de Auditora de Sistemas Segn el Instituto Nacional de Estadstica e Informtica (INEI) en su investigacin Auditora de Sistemas. Ref. URL [2].
La Auditora de Sistemas es el conjunto de tcnicas que permiten detectar deficiencias en las organizaciones de informtica y en los sistemas que se desarrollan u operan en ellas, incluyendo los servicios externos de computacin, que permitan efectuar acciones preventivas y correctivas para eliminar las fallas y carencias que se detecten. Se verifica la existencia y aplicacin de todas las normas y procedimientos requeridos para minimizar las posibles causas de riesgos tanto en las instalaciones y equipos, como en los programas computacionales y los datos, en todo el mbito del Sistema: usuarios, instalaciones, equipos. Las Instituciones efectan Auditoras de Sistemas, con la finalidad de asegurar la eficiencia de las organizaciones de informtica, as como la confiabilidad y seguridad de sus sistemas.
Segn el Mg. Ing. Alberto Mendoza De Los Santos, en una presentacin de sus clases de la Universidad Privada del Norte. Ref. PPT [1]. Pg. 05 La Auditora de Tecnologas de Informacin es un Examen objetivo, crtico, sistemtico, eminentemente posterior y selectivo de las polticas, normas, prcticas, procedimientos y procesos con el fin de emitir una opinin respecto a la eficiencia en la utilizacin de los recursos informticos; la confiabilidad, consistencia, integridad y oportunidad de la informacin y la efectividad de los controles en los sistemas de informacin computarizados.
33
Segn Mario Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruz. En su libro Auditora de Tecnologas y Sistemas de Informacin. Ref Lib [06] Pag. 33 En la dcada del 1970 (concretamente se funda en 1967) se consolida la que hoy se llama Information Systems Audit and Control Association (ISACA), siendo aun hoy la nica entidad, a nivel mundial, de los auditores de SI, y que gestiona una certificacin en esta materia: Certified Information Systems Auditor (CISA). Esta asociacin, que est presente en ms de 140 pases, a travs de ms de 170 captulos (Chapters, en ingls) en todo el mundo, establece normas y procedimientos para la funcin de la Auditora de SI y los profesionales que las realizan. Las preocupaciones fundamentales con respecto a la tecnologa aludida anteriormente siguen siendo GIS mismas o se han incrementado con la evolucin tecnolgica. Estas inquietudes tanto de la Direccin de una entidad, como de sus accionistas o de la sociedad en general, se pueden concretar en: La veracidad de la informacin, en cuanto a su totalidad y exactitud, procesada por los sistemas de tecnologa. La utilizacin racional y ajustada a las necesidades reales de los recursos tecnolgicos. EI "mantenimiento" o "sostenibilidad" de la estructura tecnolgica y su crecimiento no debe ser traumtico en el soporte de nuevas actividades. La confidencialidad de la informacin La proteccin de sus activos, especialmente el software y la informacin.
2.18 Objetivos de la Auditora de Sistemas Segn Alonso Tamayo Alzate en su Libro Auditora de Sistemas Una visin prctica. Ref Lib [07] A continuacin se exponen los objetivos que persigue la Auditora de sistemas, los cuales se presentan agrupados en objetivos generales y objetivos especficos, de la siguiente forma:
34
Figura N09 Objetivos de Auditora de Sistemas Objetivos Generales Evaluar las polticas generales sobre la planeacin, ambiente laboral, entrenamiento y capacitacin, desempeo, supervisin, motivacin y remuneracin del talento humano. Evaluar polticas generales de orden tcnico con respecto al software, hardware, desarrollo, implantacin, operacin y mantenimiento de sistemas de informacin Evaluar polticas generales sobre seguridad fsica con respecto a instalaciones, personal, equipos, documentacin, back-ups, plizas y planes de contingencias. Evaluar los recursos informticos de la empresa con nfasis en su nivel tecnolgicos, produccin de software y aplicaciones ms comnmente utilizadas. Asesorar a la gerencia y altos directivos de la empresa en lo relacionado con los sistemas de informacin, de tal forma que el proceso de toma de decisiones se efecte lo ms acertadamente posible. Conocer las polticas generales y actitudes de los directivos frente a la Auditora y seguridad de los sistemas de informacin y proceder a hacer las recomendaciones pertinentes.
2.19 Planteamiento y Metodologa En el libro Auditora de Tecnologas y Sistemas de Informacin de Mario Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruz. Ref Lib [06] Pag. 575 La Auditora se desglosa en: Auditora de la organizacin y gestin del rea de desarrollo y mantenimiento Auditora de la planificacin y gestin del proyecto
35
Auditora de la fase de estudio de viabilidad Auditora de la fase de anlisis Auditora de la fase de diseo Auditora de la fase de construccin Auditora de la fase de implantacin Auditora de la fase de mantenimiento
La metodologa que se aplica es la propuesta por la ISACA (Information Systems Audit and Control Association), que est basada en COBIT (Control Objectives for Information and Related Technologies), la cual proporciona un conjunto estructurado de buenas prcticas y metodologas para su aplicacin, cuyo objetivo es facilitar el gobierno de las TIC. COBIT est basado en la evaluacin de riesgos, de manera que partiendo de los riesgos potenciales a los que est sometida la actividad, en este caso el desarrollo o mantenimiento de SI, se determinan una serie de objetivos de control de alto nivel que minimicen esos riesgos.
Para cada objetivo de control de alto nivel, agrupados por cada una de las fases del ciclo de vida del software identificadas en Mtrica versin 3 (MAP, 2007), se especifican uno o ms objetivos de control de detalle o tambin denominadas practicas de control, que contribuyen a lograr el cumplimiento de dicho objetivo de control de alto nivel; para lo cual se ha basado tambin en la propuesta de Rodero (2001). As mismo, se aportan una serie pruebas de cumplimiento que permitan comprobar la existencia y correcta aplicacin de dichos controles. Ser la funcin del auditor determinar el grado de cumplimiento y madurez de cada uno de ellos.
36
Captulo III: METODOLOGA
37
III. METODOLOGIA 3.1 Tipo de Investigacin: El presente estudio es una investigacin aplicadadescriptivo correlacional; el diseo es Ex post - facto de corte transversal, porque la naturaleza del problema no es de causalidad, pues se realiza sin manipular deliberadamente las variables, puesto que solo se observaron los hechos como se presentan en su contexto. 3.2 mbito de Estudio: El presente trabajo de investigacin se desarroll en el rea de sistemas del Gobierno Regional de Cajamarca. 3.3 Poblacin y muestra: Est conformado por el rea de sistema del Gobierno Regional de Cajamarca. Por ser el nmero de unidades de anlisis pequea (07 miembros del staff) se han considerado a todos ellos. 3.4 Unidad de Anlisis: Est conformada por el total del personal del rea y desarrollo del sistema de informacin del Gobierno Regional de Cajamarca 3.5 Tcnica e Instrumentos de Recoleccin de Datos: Tcnicas: Durante el proceso de ejecucin del presente estudio, se revisaran trabajos de investigacin relacionados con el tema, as como fuentes bibliogrficas primarias. Instrumentos y Recoleccin de Datos: Para realizar la Auditora y plantear las mejoras al desarrollo del sistema de informacin, se ha elaborado un cuestionario, el cual consta de 47 preguntas. Para la Auditora: La metodologa que se aplica es la propuesta por la ISACA (Information Systems Audit and Control Association), que est basada en COBIT (Control Objectives for Information and Related Technologies), la cual proporciona un conjunto estructurado de buenas prcticas y metodologas para su aplicacin, cuyo objetivo es facilitar el gobierno de las Tecnologas de Informacin y Comunicaciones. COBIT est basado en la evaluacin de riesgos, de manera que partiendo de los riesgos potenciales a los que est sometida la actividad, en este caso el desarrollo o mantenimiento de SI, se determinan una serie de objetivos de control de alto nivel que minimicen esos riesgos. Para cada objetivo de control de alto nivel, se agrupa por cada una de las fases del ciclo de vida del software identificadas en Mtrica versin 3 (MAP, 2007), se especifican uno o ms objetivos de control de detalle o tambin denominadas practicas de control, que contribuyen a lograr el cumplimiento de dicho objetivo de control de alto nivel. As mismo, se aportan una serie pruebas de cumplimiento que permitan comprobar la existencia y correcta aplicacin de dichos controles. 3.6 Procesamiento, anlisis e interpretacin de datos: Luego de aprobado el tema de tesis, se procedi a recolectar los datos; de la encuesta dirigida al staff. Estos datos son vaciados al programa Microsoft Excel; cuyos resultados son presentados en grficos. En el anlisis y discusin se tomar en cuenta el marco terico y los antecedentes de estudio.
38
3.7 Para determinar el Desarrollo de Sistemas de Informacin. Se realiz a travs de la evaluacin de sus fases de desarrollo de sistemas, cumplimiento de estndares y normas de control interno.
39
Captulo IV: DESARROLLO
40
IV. ASPECTOS GENERALES DE LA ENTIDAD 4.1. IDENTIFICACIN DE LA ENTIDAD AUDITADA El Gobierno Regional Cajamarca, al amparo de la Constitucin Poltica del Estado y la Ley N 27867, Ley Orgnica de Gobiernos Regionales y modificatorias, es un organismo pblico con personera jurdica de derecho pblico, con autonoma poltica, econmica y administrativa en asuntos de su competencia; constituyendo para su administracin econmica y financiera un pliego presupuestal. 4.2. Direccionamiento Estratgico 4.2.1 MISIN El Gobierno Regional de Cajamarca, en cumplimiento de sus competencias exclusivas, compartidas y delegadas, contribuye al desarrollo integral y sostenible de la regin, organizando y conduciendo democrtica, descentralizada y desconcentradamente la gestin pblica regional, en el marco de las polticas nacionales y sectoriales. 4.2.2 VISIN Institucin pblica regional con identidad propia, capital humano calificado y nivel tecnolgico avanzado, capaz de administrar y brindar con calidad recursos y servicios pblicos, propiciar condiciones favorables para el desarrollo de la inversin privada y liderar procesos de concertacin con la sociedad civil, en el marco de una efectiva lucha contra la pobreza y la defensa del medio ambiente y sus recursos.
4.3 Ubicacin Geogrfica
4.3.1 LOGO
Figura N10 Logo Institucional Fuente: Gobierno Regional Cajamarca 4.3.2 DIRECCIN Jr. Santa Teresa de Journet 351- Urb. La Alameda Telfonos: 599000 - 599001 - 599002
41
4.3.3 Vista Satelital
Gobierno Regional Cajamarca
Figura N11 Vista Satelital del Gobierno Regional Cajamarca Fuente: Google Maps
4.3.4
Exteriores del Gobierno Regional
Figura N12 Exteriores del Gobierno Regional Cajamarca Fuente: Gobierno Regional Cajamarca
42
4.4
ORGANIGRAMA La estructura orgnica del Gobierno Regional Cajamarca, fue aprobada mediante la Ordenanza Regional N 020-2005-GR.CAJ-CR de fecha 18 de octubre del ao 2005, de acuerdo con las disposiciones legales vigente y en amparo del artculo 9 inciso a) de la Ley Orgnica de Gobiernos Regionales Ley N 27867, donde se dispone que los Gobiernos Regionales son competentes para aprobar su organizacin interna. Es necesario indicar que la actual estructura orgnica es el resultado de haber modificado la anterior que estuvo vigente el ao 2005, dadas las condiciones y para un mejor funcionamiento del Gobierno Regional.
43
Figura N13 Estructura Orgnica del Gobierno Regional Cajamarca Fuente: Gobierno Regional Cajamarca
44
4.5. ANLISIS DE LA ENTIDAD AUDITADA El Gobierno Regional Cajamarca cuenta con el Centro de Informacin y Sistemas, en el cual procesan toda la informacin necesaria para los Sistemas de Informacin, pero no figura en su Estructura Orgnica. Segn nos relat el Director de dicha oficina; el Centro de Informacin y Sistemas (CIS) debera estar como una dependencia de la Gerencia de Desarrollo Social. Segn Reglamento de Organizacin y Funciones (ROF) del Gobierno Regional Cajamarca. Artculo 92 El Centro de Informacin y Sistemas cumple con las funciones siguientes: a. Formular y evaluar el programa de Sistemas de Informacin, segn las necesidades del Gobierno Regional y sobre la base del soporte tecnolgico informtico. Formular, ejecutar y evaluar los programas de control de software y mantenimiento de los equipos de cmputo; y de contingencia. Ejecutar y participar en la ejecucin de otros programas informticos definidos por la Alta Direccin del Gobierno Regional o por mandato de norma nacional expresa. Mantener actualizado el Portal de Informacin del Gobierno Regional. Otras funciones que le sean asignadas. aprobado por Ordenanza
b.
c.
d. e.
Fuente: Reglamento de Organizacin y Funciones, Regional N 020 2005 GRCAJ- CR.
4.6 MARCO LEGAL DEL CENTRO DE INFORMACIN Y SISTEMAS El Centro de Informacin y Sistemas del Gobierno Regional de Cajamarca es integrante del Sistema Nacional de Informtica y se desarrolla acorde con los lineamientos, normas y recomendaciones tcnicas de la Oficina Nacional de Gobierno Electrnico e Informtica de la Presidencia del Consejo de Ministros. Incluyendo adems las evaluaciones y seguimientos informticos que realizan las Oficinas de la Contralora, INDECOPI, y otros organismos reguladores y controladores. Por otro lado el CIS cuenta con la siguiente base legal: 1. Ordenanza Regional 020-2005-GR.CAJ-CR., que aprueba el Reglamento de Organizacin y Funciones del Gobierno Regional Cajamarca. 2. Resolucin Ministerial N 073-2004-PCM, Gua para la Administracin Eficiente del Software Legal en la Administracin Pblica. 3. El Centro de Informacin y Sistema forma parte del Sistema Nacional de Informtica, con RESOLUCION MINISTERIAL N 206-2004-PCM se Constituyen el Padrn Nacional de Unidades Informticas de la
45
Administracin Pblica y autorizan ejecucin de registro de unidades informticas del Sistema Nacional de Informtica. 4. La Oficina de Derechos de Autor del INDECOPI, es la autoridad nacional competente responsable de cautelar y proteger administrativamente el derecho de autor y propiedad intelectual, mediante Decreto Ley N 807 en la que estipula multas y procedimientos a aplicarse en caso de infracciones a los mismos. Durante el proceso de Planificacin Estratgica se defini la Misin, Visin de Futuro y Valores que orientarn al Centro de Informacin y Sistemas del Gobierno Regional de Cajamarca: 1.1. Misin
Planificar, dirigir, ejecutar, supervisar y evaluar el empleo de equipos, soporte, comunicaciones y sistemas de informacin; contribuyendo con el Gobierno Regional de Cajamarca para que organice y conduzca la gestin pblica, en el marco de las polticas nacionales y sectoriales para contribuir al desarrollo integral y sostenible de la regin. 1.2. Visin
El Centro de Informacin y Sistemas, es capaz de utilizar tecnologa de ltima generacin para proporcionar un servicio eficiente, confiable y oportuno, generando confianza y transparencia en la ciudadana. As mismo administra todos los recursos informticos; propone y ejecuta proyectos que simplifican los procesos administrativos, de planeamiento y de evaluacin de gestin institucional, que identifican a la institucin como una de las ms eficientes y modernas. 1.3. Principios de Conducta tica
Constituyen principios de conducta tica del personal los siguientes: a. Imagen Todo el personal, deber estar comprometido con el Centro de Informacin y Sistemas; les corresponde como responsabilidad conjunta, la promocin y preservacin de su imagen positiva como un valor que pertenece a todos, que es compartido y del cual se es responsable por el slo hecho de compartir un ideal comn y ser un miembro del CIS. b. Integridad
46
El Personal del CIS deber actuar con rectitud, honradez, y honestidad, procurando satisfacer los intereses legtimos del Gobierno Regional Cajamarca, sus usuarios y la sociedad en su conjunto; desechando el provecho o ventaja personal obtenido por s o interpuesta por personas. Profesar y practicar un claro rechazo a la corrupcin en todos los mbitos de desempeo de la institucin y cumplir cabalmente con sus funciones. c. Eficiencia El personal del CIS brindar calidad en cada una de las labores a su cargo, buscando el resultado ms adecuado y oportuno. d. Idoneidad El personal del CIS, se desenvolver con aptitud tcnica, legal y moral en el desempeo de su labor. Propender a una formacin slida acorde a la realidad, capacitndose permanentemente para el debido cumplimiento de sus labores. e. Veracidad El personal del CIS se expresar con autenticidad en las relaciones laborales con todos los miembros del Gobierno Regional y con terceros. f. Lealtad y Obediencia El personal del CIS actuar con fidelidad y solidaridad hacia toda la Institucin, cumpliendo rdenes que le imparta el superior jerrquico competente, en la medida que renan las formalidades del caso y tengan por objeto la realizacin de actos de servicio que se vinculen con las labores a su cargo, salvo los supuestos de arbitrariedad o ilegalidad manifiestas, los cuales deber poner en conocimiento de la administracin de la institucin. Asimismo, actuar con reserva y diligencia en el manejo de la informacin que conoce. g. Justicia y Equidad El personal del CIS, actuar con permanente disposicin para el cumplimiento de sus funciones, otorgando a cada uno lo que le es debido, actuando con equidad en sus relaciones con sus superiores, los subordinados y con la ciudadana en general. Fuente: Plan Operativo Informtico 2012
47
4.7 ESTRUCTURA ORGNICA INTERNA DEL CENTRO DE INFORMACIN Y SISTEMAS

Director
Apoyo Administrativo
Administrador Red
Sistemas
Investigacin y Gestin de Proyectos
Soporte Tcnico
Web
Anlisis y Desarrollo
Figura N14 Estructura Orgnica del Centro de Informacin y Sistemas Fuente: Plan Operativo Informtico Se debe mencionar que no se cuenta con personal Asistente Administrativo, pero se incluye en el presente organigrama por ser un cargo que se debera considerarse 4.8 RECURSOS HUMANOS DEL CENTRO DE INFORMACIN Y SISTEMAS RECURSOS HUMANOS DIRECCIN O GERENCIA Jefe Asistente administrativo REDES Y COMUNICACIONES Administrador de Red y Soporte SISTEMAS Analista de Sistemas Web Master Programador de Aplicaciones Diseador de Interfaces PLANEAMIENTO ESTRATGICO INFORMTICO Gestor de Proyectos Informticos Responsable de Investigacin y Planeamiento SOPORTE TECNICO Tcnico Electrnico Soporte Help Desk TOTAL Cuadro N01 Personal del CIS Fuente: Plan Operativo Informtico CANTIDAD 1 1 1 1 1 1 1 1 1 2 1 12
48
4.9 PROBLEMTICA DEL CENTRO DE INFORMACIN Y SISTEMAS La problemtica actual del Centro de Informacin y Sistemas se presenta mediante el anlisis FODA, por medio de este anlisis de Fortalezas, Debilidades, Oportunidades y Amenazas, se obtendr un diagnstico que permitir tomar decisiones acordes con los objetivos y polticas que formularemos. SITUACION ACTUAL DESCRIPCION F1. Elaboracin del Plan Operativo Informtico 2012. F2. Personal identificado con el CIS. F3. Coordinacin permanente con los diferentes usuarios. F4. Equipo de trabajo eficiente y eficaz. F5. Capacidad de asesoramiento permanente en relacin a sistemas informticos y sus aplicaciones. F6. Implementacin de los sistemas de informacin mediante el desarrollo de software personalizado. F7. Infraestructura fsica acorde a las exigencias del rea. F8. Uso y administracin del portal web, que permite fortalecer la imagen institucional. F9. Deseo e iniciativa del personal informtico en actualizarse en las nuevas tecnologas informticas. F10. Decisin institucional para modernizar y estandarizar tecnolgicamente el gobierno regional. F11. Adecuacin de Data Center y Red de Cmputo de la Sede del Gobierno Regional Cajamarca (Proyecto Gobierno Electrnico). O1. Desarrollo tecnolgico que ofrece nuevas oportunidades para lograr mayor eficiencia. O2. Disponibilidad de software en el mercado para la implementacin del requerimiento de aplicaciones. O3. Existencia de normatividad estadstica e informtica a nivel nacional que sirve de referencia para un normal desarrollo de las actividades informticas. O4. Tendencia a un Modelo de Gobierno Electrnico. O5. Existencia de entidades pblicas como INDECOPI, Contralora, MEF. O6. Potencial productivo que ofrece internet. O7. Mejoramiento de la Red de Datos y Telefnica. O8. Promocin del intercambio de informacin con la Implementacin de MAD y MOD a nivel Regional. D1. Uso de software no licenciado. D2.Falta de equipos de contingencia para continuidad de servicios crticos. D3. El CIS no figura dentro de la Estructura Orgnica del Gobierno Regional.
49
Fortalezas a utilizar
Principales Oportunidades para aprovechar
Principales Debilidades a superar
Principales Amenazas a neutralizar
D4. Desconocimiento por parte del personal del Gobierno Regional Cajamarca acerca del Rol que cumple el CIS A1. Situacin econmica del Pas, que se expresa en el escaso presupuesto para la adquisicin de equipos de cmputo y Licencias de software. A2. Constante amenazas de virus informticos, correos maliciosos; en la red. A3. Creciente demanda por servicios informticos relacionados a consultas masivas. A4. La realidad del crecimiento tecnolgico trae como consecuencia la obsolescencia de los equipos de cmputo. A5. Dbil planificacin nacional en el mbito informtico debido a la falta de integracin del sector pblico. A6. Alto costo de software. A7. Inestabilidad laboral. Cuadro N02 Anlisis FODA - CIS Fuente: Plan Operativo Informtico
4.10
Alineamiento con el Plan Estratgico Institucional y Sectorial Las acciones que pretende realizar el Centro de Informacin y Sistemas se encuentran alineadas con el Plan Estratgico Sectorial Multianual (PESEM 2007-2011) de la Presidencia del Consejo de Ministros (PCM), aprobado mediante Resolucin Ministerial N 281- 2007 PCM :
OBJETIVO ESTRATGICO SECTORIAL 1. Lograr un estado moderno, eficaz y eficiente que responda a las necesidades de la ciudadana.
OBJETIVOS INSTITUCIONALES a) Contribuir con el incremento de las capacidades de las personas, facilitando la igualdad de oportunidades para la poblacin; impulsando la mejora de la calidad y cobertura de los servicios pblicos de educacin, salud, saneamiento y la asistencia social, as como la reduccin del analfabetismo y la desnutricin infantil y fomentando el desarrollo de la ciencia, la tecnologa y la cultura en la Regin. b) Lograr niveles de eficiencia y transparencia, en la gestin pblica regional, institucionalizando estrategias de rendicin de cuentas,
OBJETIVOS ESPECIFICOS INFORMTICOS a.1 Mejorar la gestin pblica y propiciar la descentralizacin del estado mediante el uso intensivo de las tecnologas de la informacin y comunicacin.
b.1. Promover el incremento de capacidades competitivas en la Administracin Pblica, empresas y ciudadanos por medio del uso de las
50
facilitando el acceso a la tecnologas de la informacin pblica y informacin. promoviendo la vigilancia y b.2. Fortalecimiento del Auditora social. rgano Institucional. b.3. Fortalecimiento del c) Contribuir con la integracin rgano Informtico de la Regin Cajamarca Institucional. desarrollando la articulacin vial, elctrica, c.1.Optimizar el flujo de la de telecomunicaciones; informacin de los sistemas y la comunicacin de las implementando estrategias de coordinacin y estaciones de la red interna cooperacin con instituciones a travs del mejoramiento, pblicas estandarizacin y de los y privadas; revalorando la actualizacin identidad regional y elementos que conforman fortaleciendo la la red institucional Concertacin y cooperacin interregional a todo nivel. Cuadro N03 Alineamiento con el Plan Estratgico Institucional y Sectorial Fuente: Plan Operativo Informtico 4.11 Estrategias para el logro de las metas del Plan Operativo Informtico Las siguientes son las principales estrategias planteadas de acuerdo a las diferentes necesidades tecnolgicas por las que atraviesa el Gobierno Regional Cajamarca 1. Mejorar la disponibilidad de herramientas tecnolgicas. 2. Desarrollar la infraestructura tecnolgica. 3. Generar rentabilidad de forma sostenible en el desarrollo de proyectos informticos. 4. Analizar requerimientos funcionales para incorporarlos a la cadena de valor midiendo el avance hacia sus objetivos. 5. Disponer de personal de sistemas con nivel competitivo y asegurar que dicho nivel se mantenga. 6. Llevar a cabo el cumplimiento de normativas como ente del Sistema Nacional de Informtica. 7. Desarrollar programas de capacitacin continua a los usuarios 8. Fortalecer las actividades y procesos del Gobierno Regional Cajamarca. 9. Mejorar la atencin a los usuarios 10. Desarrollar sistemas de informacin. 11. Reducir la vulnerabilidad de la red. 12. Integrar por medio de una base de datos institucional los procesos dentro del GRC.
51
4.12
APLICACIN DE AUDITORA DEL DESARROLLO DE SISTEMAS DE INFORMACIN EN EL CENTRO DE INFORMACIN Y SISTEMAS
4.12.1 AUDITORA DE LA ORGANIZACIN Y GESTIN DEL REA DE SISTEMAS 4.12.2 Objetivo de Control OG1: Procesos, organizacin y relaciones: El rea de sistemas debe tener definidos los procesos de su organizacin. SI NO Observaciones
OG1-C1: Deben establecerse de forma clara las funciones del rea. Existe algn documento que contiene las X
funciones que son competencia del centro de informacin y sistemas, est aprobado y se respeta.
OG1-C2: Debe especificarse en el organigrama puestos del rea y el staff. Existe un organigrama con la estructura de organizacin del rea. OG1-C3: Debe establecerse el marco de trabajo de los procesos del rea de sistemas, de modo que permita la ejecucin y puesta en prctica del plan operativo informtico. EI marco de trabajo permite la definicin y seguimiento de los objetivos de los procesos que han sido definidos e implementados, as como formalmente documentados y aprobados. OG1-C4: Deben establecerse roles y responsabilidades para la gestin del aseguramiento de la calidad, gestin de riesgos, seguridad y conformidad. El staff cuenta con los sistemas de aseguramiento de la calidad apropiados, as como los controles y asesoramiento de expertos. Las responsabilidades y roles han sido X X X
correctamente
establecidos,
formalizados, X
documentados y satisfacen los requisitos del rea. Son ejecutados por personal con la suficiente formacin y experiencia en la materia.
4.12.3 Objetivo de Control OG2: Gestin de Recursos Humanos: El rea de
52
sistemas debe contar con recursos humanos adecuados para gestionar el desarrollo y mantenimiento de SI. OG2-C1: Deben existir procedimientos de contratacin objetivos. Las ofertas de puestos del rea se difunden de forma suficiente fuera de la organizacin y las selecciones del personal se hacen de forma objetiva. Las personas seleccionadas cumplen los X X
requisitos del puesto al que acceden. OG2-C2: Debe existir un plan de capacitacin que este en consonancia con los objetivos del rea y alineados con los objetivos institucionales. Se tiene aprobado un plan de capacitacin a corto, medio y largo plazo que sea coherente con el plan operativo informtico OG2-C3: Debe existir una biblioteca accesible por el personal del rea. Estn disponibles un nmero suficiente de libros, publicaciones peridicos, monografas de X X
reconocido prestigio, ya sea en formato electrnico o papel. El personal tiene acceso a ellos. OG2-C4: El personal debe estar motivado en la realizacin de su trabajo. Existe algn mecanismo que permita a los empleados hacer sugerencias sobre mejoras en la organizacin del rea. No existe una gran rotacin de personal, existe un buen ambiente de trabajo. X X
4.12.4 Objetivo de Control OG3: Plan Estratgico de Tecnologas de la Informacin del rea: El rea de sistemas debe participar en la definicin del plan estratgico de Tecnologas de la Informacin OG3-C1: el rea debe tener y difundir su propio plan a corto, medio y largo plazo. Existe el plan estratgico de Tecnologas de la Informacin. Se revisa y actualiza con periodicidad en funcin de las nuevas situaciones. X X
53
Se difunde a todo el staff para que se sientan participes del mismo.
OG3-C2: La realizacin de nuevos proyectos debe basarse en el plan estratgico de Tecnologas de la Informacin y en el plan operativo informtico en cuanto a objetivos, marco general. Las fechas de realizacin coinciden con las del plan estratgico. La documentacin relativa a cada proyecto que existe en el plan estratgico se pone a disposicin del director de proyecto una vez comenzado el mismo. Esta informacin debe contener los objetivos, los requisitos generales y un plan inicial. X X
4.12.5 Objetivo de Control OG4: Gestin de la calidad: El rea de sistemas debe disponer de procesos de desarrollo regidos por estndares y principios de ingeniera de software ampliamente aceptados. OG4-C1: Debe existir un registro de problemas que se producen en los proyectos del rea, incluyendo los fracasos de proyectos completos. Existe un catlogo de problemas, incluyendo para cada uno de ellos la solucin o soluciones encontradas, proyecto en el que sucedi, persona que lo resolvi. EI catlogo es accesible para todos los miembros del rea, esta actualizado y tiene uno o varios ndices que faciliten la bsqueda. Se registran y controlan todos los proyectos fracasados (aquellos que comienzan y no llegan a su fin), as como los recursos invertidos en los mismos. OG4-C2: Debe mantenerse y comunicarse peridicamente al rea las modificaciones del plan de calidad a fin de promover la mejora continua. El plan existe y se actualiza peridicamente. Existen y se ejecutan actividades de mejora continua segn y los estndares, de prcticas, del X X X X X
procedimientos
polticas
calidad
54
departamento adoptadas por el rea de sistemas. OG4-C3: Debe existir algn mecanismo de creacin y actualizacin de prcticas y estndares de calidad as como de prcticas, estndares de desarrollo y mantenimiento. EI mecanismo para la creacin y actualizacin de prcticas y estndares est documentado y es conocido en el rea. Estn definidas las prcticas de anlisis y diseo, e incluye las tcnicas y herramientas a usar. As como tambin hay una gua o prcticas de programacin para cada uno de los lenguajes homologados Hay un estndar general generada, tcnica (anlisis, para toda la X X X
documentacin documentacin
incluyendo diseo,
documentacin de los programas), manuales de usuario, etc. OG4-C4: Debe existir un procedimiento de monitorizacin y medicin del cumplimiento de estndares y prcticas de calidad as como de los de desarrollo y mantenimiento. Se realizan informes ejecutivos peridicamente sobre la calidad de los SI en el rea. Estn definidas mtricas de calidad y stas estn alineadas con los objetivos de calidad del rea y ayudan en la consecucin de los objetivos del rea. Se realizan inspecciones en los hitos de los proyectos para verificar el cumplimiento de los estndares y prcticas. OG4-C5: Debe practicarse la reutilizacin del software. Existe un repositorio con todos los productos software susceptibles de ser reutilizados: libreras de funciones, clases de objetos, componentes software, documentos (catlogo de requisitos comunes, arquitecturas). EI repositorio o catlogo es conocido y accesible por todos los miembros del rea, esta actualizado
55
y tiene uno o varios ndices que faciliten la bsqueda.
OG4-C6: Debe existir un modelo de la arquitectura de informacin que se actualice regularmente y defina los sistemas apropiados que optimicen el uso de la informacin. Existe un diccionario de datos institucional con las reglas de sintaxis de la organizacin, el esquema de clasificacin de datos y sus niveles de seguridad correspondientes. Se garantiza la consistencia y seguridad de la informacin de los SI con los recursos X X
proporcionales y dicha informacin se alinea con la estrategia y objetivos de la institucin. OG4-C7: Los lenguajes, compiladores, software de pruebas, software de control de versiones; utilizados en el rea deben ser previamente vlidos. Existe un mecanismo para la adquisicin y validacin de cualquier nuevo producto software usado en el desarrollo. Se deben evaluar al menos los siguientes parmetros: productividad, X
portabilidad a otros entonos, transicin desde los productos cumplimiento actuales, de los riesgo de cambio, del rea,
estndares
compatibilidad con el entono tecnolgico, costos, entre otros. Cuando se valida un nuevo producto de desarrollo se forma al personal del rea que lo vaya a manejar. Se registra la informacin ms importante acerca de la configuracin de los productos recin adquiridos. Tabla N 05: Auditora de la organizacin y gestin del rea de sistemas Fuente: Propia X X
56
4.13 AUDITORA DE PROYECTOS DE DESARROLLO Y MANTENIMIENTO 4.13.1 Auditora de la gestin y planificacin del proyecto SI NO Observaciones
4.13.2 Objetivo de Control P1: El proyecto de desarrollo debe estar aprobado, definido y planificado formalmente. P1-C1: Debe existir documento de aprobacin del proyecto que defina claramente los objetivos, restricciones y las reas afectadas. Existe algn documento de aprobacin del X
proyecto autorizada por algn rgano competente. En el documento de aprobacin estn definidos de forma ciara y precisa los objetivos del mismo y las restricciones de todo tipo que deben tenerse en cuenta (recursos tcnicos y humanos, X
presupuesto, entre otros.) y su alineacin con el plan estratgico. Se han identificado las unidades de la X
organizacin a las que afecta. P1-C2: Debe designarse un responsable o director del proyecto. La designacin se ha llevado a cabo segn el procedimiento establecido. Se le ha comunicado al director su designacin junto con toda la informacin relevante del proyecto. P1-C3: El proyecto debe ser catalogado en funcin de sus caractersticas, se debe determinar el modelo de ciclo de vida que seguir. Se ha descrito y dimensionado el proyecto segn las normas establecidas. Se han evaluado los riesgos asociados al proyecto, especialmente cuando se van a usar tecnologas no usadas hasta el momento. Se ha elegido el ciclo de vida ms adecuado al tipo de proyecto. Se ha hecho uso de la informacin histrica que se dispone tanto para dimensionar el proyecto y sus riesgos como para seleccionar el ciclo de vida.
57
P1-C4: Una vez determinado el ciclo de vida a seguir, se debe elegir el equipo tcnico que realizar el proyecto y se determinar el plan del proyecto. La designacin del equipo de desarrollo se ha llevado a cabo segn el procedimiento establecido. Se ha comunicado a todos los miembros del staff de desarrollo los objetivos del proyecto, la responsabilidad que tendrn en el mismo, las fechas en las participaran y la dedicacin completa o parcial. EI plan de proyecto realizado es realista y utiliza la informacin histrica de la que se disponga para realizar estimaciones. X X X
4.13.3 Objetivo de Control P2: El proyecto se debe gestionar de forma que se consigan los mejores resultados posibles teniendo en cuenta las restricciones de tiempo y recursos. P2-C1: Los responsables de las areas afectadas por el proyecto deben participar en la gestin del proyecto. Se ha constituido formalmente el comit de direccin del proyecto y estn incluidos los X
responsables de todas las unidades afectadas. EI comit tiene una periodicidad de reunin mnima, y en cualquier caso siempre que lo exija el desarrollo del proyecto, debe tener competencia para asignacin de recursos, la revisin de la marcha del proyecto y para modificar el plan del proyecto en funcin de las revisiones. Las reuniones se hacen con un orden del da previo y las decisiones tomadas quedan X X
documentadas en las actas de dicho comit. EI nmero de reuniones y la duracin de las mismas no superan un lmite razonable X
comparado con la envergadura del proyecto. P2-C2: Se debe establecer un mecanismo para la resolucin de los problemas que pueden surgir a lo largo del proyecto.
58
Existen hojas de registro de problemas y hay alguna persona del proyecto encargada de su recepcin, as como un procedimiento conocido de tramitacin. X
Existe un mtodo para catalogar y dar prioridad a los problemas, as como para trasladarlos a la persona que de los debe resolver, informando si es necesario al director del proyecto y al comit de direccin. X
Se controla la solucin del problema y se deja constancia del mismo.
P2-C3: Debe existir un control de cambios a lo largo del proyecto. Existe un mecanismo para registrar los cambios que pudieran producirse, as como para evaluar el impacto de los mismos. La documentacin afectada se actualiza de forma adecuada y se !leva un control de versiones de cada producto, consignando la ultima fecha de actualizacin. Se remite la nueva versin de los documentos actualizados a los participantes en el proyecto. P2-C4: Cuando sea necesario reajustar el plan del proyecto, normalmente en un hito al finalizar una fase, debe hacerse de forma adecuada. Se respetan los lmites temporales y X X X X
presupuestarios marcados al inicio del proyecto. Si no es as debe ser aprobado por el comit de direccin. Se ha tenido en cuenta los riesgos del reajuste. Se ha hecho uso de la informacin histrica que se dispone en el rea sobre estimaciones. Se notifica el cambio a todas las personas que participen en el proyecto y se ven afectados. X
P2-C5: Debe hacerse un seguimiento de los tiempos utilizados tanto por tarea como a lo largo del proyecto Existe algn procedimiento que permite registrar el X
59
tiempo que dedica y qu tarea realiza cada participante. Existe algn procedimiento para analizar las desviaciones y proponer acciones correctivas. P2-C6: Se debe controlar que se sigan las etapas del ciclo de vida adoptado para el proyecto y que se generan todos los documentos asociados a la metodologa usada. Antes de comenzar una nueva etapa, se ha documentado la etapa previa y se ha revisado y aceptado, especialmente en las fases de anlisis y diseo. La documentacin cumple los estndares y procedimientos establecidos en el rea. Se respeta el uso de recursos previamente establecido. P2-C7: Cuando termina el proyecto se debe cerrar toda la documentacin del mismo, liberar los recursos utilizados y hacer balance. La documentacin del proyecto es completa y est catalogada posteriores. Los recursos, tanto personales como materiales, se ponen a disposicin del rea del que provienen. El comit de direccin y el director del proyecto hacen balance del proyecto, estudiando los posibles problemas y sus causas, los cambios del plan. Toda esta informacin se registra en los archivos problemas. histricos sobre estimaciones y X X perfectamente para accesos X X X X X
Tabla N 06: Auditora de proyectos de desarrollo y mantenimiento Fuente: Propia
60
4.14 AUDITORA DE LA FASE DE ESTUDIO DE VIABILIDAD SI NO Observaciones
4.14.1 Objetivo de Control V1: Antes de la definicin del proyecto deben estudiarse los requisitos, situacin actual, identificando seguidamente las alternativas de solucin y seleccionando aquella que satisfaga ms eficaz y eficientemente los requisitos identificados. V1-C1: Debe haberse establecido el alcance de las iniciativas requeridas para satisfacer las necesidades planteadas por el usuario. Existe un documento que recoge la descripcin general de la necesidad planteada por el usuario y los objetivos generales as como las posibles restricciones tcnicas, operativas y econmicas. Se han determinado formalmente el grupo de usuarios que participar en el proyecto, X X
identificndose sus perfiles y dejando claras sus tareas y responsabilidades. V1-C2: Debe estudiarse la situacin actual y determinar los sistemas afectados. Se han realizado modelos del sistema. Se ha realizado un diagnstico de la situacin actual. V1-C3: Los usuarios y responsables de las unidades que afecta el nuevo sistema establecern de forma clara los requisitos del mismo. Se ha realizado un plan detallado de entrevistas con el grupo de usuarios y con los responsables de las unidades afectadas que permita conocer cmo valoran el sistema actual y lo que esperan del nuevo sistema. Existe un catlogo de requisitos. Cada requisito tiene una prioridad y est clasificado en funcional y no funcional. EI catlogo de requisitos ha sido revisado y aprobado por el grupo de usuario y los X X X X X
responsables as como por el comit de direccin.
61
4.15 AUDITORA DE LA FASE DE ANLISIS 4.15.1 Objetivo de Control A1: Se debe elaborar una especificacin detallada que permita describir con precisin el sistema de informacin. A1-C1: Debe realizarse un plan detallado de sesiones de trabajo con el grupo de usuarios del proyecto y los responsables de las unidades afectadas para recopilar la informacin necesaria. Las tcnicas que se utilizan para la recopilacin de informacin es la adecuada en funcin de las caractersticas del proyecto y los tipos de usuario a entrevistar. Se remite el guin a los entrevistados con tiempo suficiente para que estos puedan preparar la entrevista y la documentacin que deseen aportar a la misma. Y el guin incluye todas las cuestiones necesarias para obtener la informacin sobre las funciones deseadas y problemas que se quieren resolver. A1-C2: A partir de la informacin obtenida de las entrevistas se debe realizar la descripcin inicial del SI y obtener el catlogo de requisitos detallado del mismo. Existe un catlogo de requisitos, estos estn justificados y detallados. Cada requisito tiene una prioridad y estn clasificados en funcionales y no funcionales. La especificacin del sistema incluye los requisitos no funcionales: de seguridad, rendimiento, X X X X X
disponibilidad, formacin. A1-C3: Se estructura el sistema de informacin en subsistemas de anlisis, para facilitar la especificacin de los distintos modelos y la traza de requisitos. La desintegracin de los subsistemas est X
orientada a los procesos del sistema. Se han asignado los requisitos a cada uno de los subsistemas identificados, y consecuentemente actualizado el catlogo de requisitos. A1-C4: Se debe realizar el modelo del sistema que sirva de base para el diseo. En el caso de anlisis estructurado, mediante la elaboracin y descripcin detallada del modelo de datos y de procesos. Y en el caso de un anlisis orientado a objetos a travs del modelo de clases y el de interaccin de objetos, mediante el anlisis de los
62
casos de uso. Los modelos son correctos tcnicamente y se han realizado con la tcnica adecuada. Existe un diccionario de datos o repositorio, es correcto y se gestiona de forma de automatizada, respetndose todos los procedimientos de gestin de cambios. A1-C5: Se deben especificar todas las interfaces entre el sistema y el usuario, tales como formatos de pantallas, dilogos, formatos de informes y formularios de entrada. Se han descrito con suficiente detalle las X X
interfaces: pantallas a travs de las cuales el usuario navegar por la aplicacin, incluyendo todos los campos significativos, mens, botones, etc.; as como informes y formularios asociados si existen. Si hay normas de diseo o estilo de pantallas, informes, formularios, etc. en el rea, se verificar que se respetan. La interfaz de usuario se ha aprobado por el grupo de usuarios y por el comit de direccin. A1-C6: Debe especificarse el plan de pruebas que el nuevo sistema debe superar para ser aceptado. Se han definido los requisitos del entono de pruebas y el alcance de las pruebas. Se ha elaborado el plan de pruebas de aceptacin del sistema, ste es coherente con el catlogo de requisitos y con la especificacin funcional del sistema. X X X X
4.15.2 Objetivo de Control A2: Se debe garantizar la calidad de los distintos modelos generados en el proceso de anlisis del SI, y asegurar que los usuarios y los analistas tienen el mismo concepto del sistema. A2-C1: Se debe de verificar la calidad tcnica de cada modelo y asegurar la coherencia entre los distintos modelos. La calidad formal de los distintos modelos, comprobando si son conforme a la tcnica seguida X
63
para la elaboracin de cada producto y a las normas determinadas en el catlogo de normas. Se ha realizado una validacin de los distintos modelos con los requisitos especificados para el sistema de informacin, tanto a travs del catlogo de requisitos, mediante la traza de requisitos, como a travs de la validacin directa del usuario. A2-C2: Debe realizarse una validacin formal de la especificacin de requisitos y de los modelos del anlisis del sistema. Los usuarios ratifican que los requisitos X X
especificados en el catlogo de requisitos, as como los casos de uso son validos, consistentes y completos. Cualquier peticin de cambio en los requisitos que pueda surgir posteriormente deben ser evaluada y aprobada. La actualizacin del plan de proyecto seguir los criterios, detallndose en este punto en mayor medida la entrega y transicin al nuevo sistema.
4.16 AUDITORA DE LA FASE DE DISEO 4.16.1 Objetivo de Control D1: Se debe definir una arquitectura del sistema que sea coherente con la especificacin funcional que se tenga y con el entorno tecnolgico. D1-C1: organizacin en subsistemas de diseo, la especificacin del entono tecnolgico, requisitos de operacin, administracin, seguridad y control de acceso deben estar definidos de forma clara y ser conformes a los estndares y normas del centro de informacin y sistemas. Estn diferenciados y definidos los subsistemas especficos adelante, del sistema de informacin y (en los X
subsistemas
especficos)
subsistemas de soporte. Estn definidos todos los elementos que
configuran el entorno tecnolgico (servidores, PC, perifricos, conexiones de red, sistemas gestores de bases de datos) junto con su planificacin de capacidades y sus requisitos de operacin, X
64
administracin, seguridad y control de acceso. Existe un catlogo de excepciones, de requisitos, normas y estndares originados como X
consecuencia de la adopcin de una determinada solucin de arquitectura o infraestructura. Los elementos seleccionados estn dentro de los estndares del rea y son capaces de responder a los requisitos establecidos de volmenes, tiempos de respuesta, seguridad. D1-C2: Se debe realizar un diseo detallado de los subsistemas de soporte y del sistema de informacin especfico. Se han identificado los mecanismos genricos de diseo, as como las libreras y clases reutilizables. EI tamao de los mdulos o clases es adecuado y el factor de acoplamiento entre ellos es mnimo y la cohesin interna es mxima. Los mdulos o clases, se disean para poder ser reutilizados en el futuro por otros SI. D1-C3: Se debe disear la estructura de datos adaptando las especificaciones del sistema al entorno tecnolgico. EI modelo de datos tiene en cuenta el entorno tecnolgico y los requisitos de rendimiento para los volmenes y frecuencias de acceso estimados, migracin de datos. X X X X X
4.16.2 Objetivo de Control D2: Se deben generar todas las especificaciones necesarias para la construccin del sistema de informacin: D2-C1: Se deben generar unas especificaciones de construccin. Se han fijado formalmente las directrices para la construccin de los componentes del sistema, as como de las estructuras de datos. D2-C2: Se debe especificar el procedimiento de migracin y carga inicial de datos as como los requisitos de operacin. Se definen los procedimientos de migracin y sus componentes asociados, con las especificaciones X X
65
de construccin oportunas. Se definen los requisitos relativos a la propia formacin del sistema en el entorno de operacin y aquellos relacionados con la documentacin que el usuario requiere para operar con el nuevo sistema. D2-C3: Debe realizarse la especificacin tcnica del plan de pruebas. Existe el plan de pruebas y contempla todos los recursos necesarios para llevarlas a efecto. Es adecuado para validar cada uno de los componentes del sistema, incluyendo pruebas de caja blanca. Tendrn en cuenta las posibles condiciones lgicas de ejecucin, adems de posibles fallos del hardware o software de base y ataques de seguridad. Permite validar la integracin de los distintos componentes y el sistema en conjunto. D2-C4: Se debe realizar una aprobacin formal del diseo del sistema. Se realiza la presentacin del diseo al comit de direccin y se registra la aprobacin del mismo. Se actualiza el plan de proyecto segn los criterios de direccin y se registra la aprobacin del mismo. X X X X X X
4.17 AUDITORA DE LA FASE DE CONSTRUCCIN 4.17.1 Objetivo de Control CS-1: Los componentes que se desarrollen deben utilizar tcnicas de programacin correctas CS1-C1: Se debe preparar adecuadamente el entorno de desarrollo y de pruebas, as como los procedimientos de operacin y seguridad. Se han creado e inicializado las bases de datos o ficheros necesarios y cumplen las especificaciones de construccin del sistema obtenidas en la fase de diseo. Se han preparado los editores, compiladores, herramientas necesarias y estn disponibles los puestos de trabajo. X X
66
Se han preparado los procedimientos de copia de seguridad y restauracin. Estn disponibles todos los elementos lgicos y fsicos para realizar las pruebas unitarias y de integracin. X
Estn documentados todos los procedimientos de operacin, seguridad y control de acceso al SI para cuando el sistema este en explotacin. Y estos procedimientos y normas tienen del en cuenta los de X
estndares
departamento
informtica, recogidos previamente en el catlogo de normas y estndares. CS1-C2: Se debe programar, probar y documentar cada uno de los componentes identificados en el diseo del sistema. Se han desarrollado todos los componentes y se han seguido los estndares, normas de X
programacin y documentacin del rea (cdigo comentado y documentado). Se ha probado cada componente de forma unitaria siguiendo el plan de pruebas y se ha generado el informe de prueba. Se ha realizado la codificacin, prueba de los componentes y procedimientos de migracin y carga inicial de datos. CS1-C3: Deben realizarse las pruebas de integracin para verificar si los subsistemas interactan correctamente a travs de sus interfaces, tanto internas como externas, cubren la funcionalidad establecida y se ajustan a los requisitos especificados en las verificaciones correspondientes. Se han llevado a cabo y realizado un informe segn lo especificado en el plan de pruebas. Se han evaluado las pruebas y se han tomado las acciones correctoras necesarias para solventar las incidencias encontradas, actualizndose el X X X X
proyecto en consecuencia. CS1-C4: Deben realizarse las pruebas de sistema para comprobar la integracin del sistema de informacin globalmente.
67
Las pruebas verifican el funcionamiento correcto de las interfaces entre los distintos subsistemas que lo componen y con el resto de sistemas de informacin con los que se comunica, as como el cumplimiento de la especificacin de requisitos, de acuerdo a las verificaciones establecidas en el plan de pruebas para el nivel de pruebas del sistema. X
Se ha generado un informe de pruebas de sistema y se han evaluado las pruebas y tomndose las acciones correctoras necesarias para solventar las incidencias encontradas, actualizndose el X
proyecto en consecuencia. No han participado los usuarios, solo particip el equipo de desarrollo. X
4.17.2 Objetivo de Control CS-2: Los proyectos de desarrollo deben definir los procedimientos y formacin necesarios para que los usuarios puedan utilizar el nuevo sistema adecuadamente. CS2-C1: El desarrollo de los componentes de usuarios debe estar planificado. En el plan de proyecto, est incluido el plan para el desarrollo de los procedimientos de usuario e incluye todas las actividades y recursos X
necesarios. Los procedimientos se han realizado despus de la especificacin del SI y antes de su formacin. CS2-C2: Se deben especificar los perfiles de usuario requeridos para el nuevo sistema. Estn definidos los distintos perfiles de usuario requeridos para la formacin y explotacin del nuevo sistema. Para cada perfil se ha definido el rango de fechas y la dedicacin necesaria CS2-C3: Se deben desarrollar todos los procedimientos de usuario siguiendo los estndares del rea. X X X
68
Estn desarrollados todos los procedimientos de usuario, recopilados formando el manual de usuario, y son coherentes con las actividades descritas en la especificacin del sistema. X
Los
manuales
de
usuario
el
resto
de X
procedimientos cumplen los estndares del rea y llevan asociado su control de versiones.
4.18 AUDITORA DE LA FASE DE IMPLANTACIN Y ACEPTACIN. 4.18.1 Objetivo de Control IA-1: El sistema debe ser aceptado formalmente por los usuarios antes de ser puesto en explotacin. IA1-C1: El plan de formacin y aceptacin se debe revisar para adaptarlo a la situacin final del proyecto. Se revisa el plan de formacin original y se documenta adecuadamente. Se establece un plan de formacin con la implantacin necesaria para el equipo de X X
formacin, en funcin de los distintos perfiles y niveles de responsabilidad identificados y se cuenta con la infraestructura y recursos humanos para llevarla a cabo. Esta incluida la instalacin de as todos como los los X
componentes elementos utilidades).
desarrollados, adicionales
(formacin,
libreras,
IA1-C2: Se deben realizar las pruebas de formacin y aceptacin del sistema que se especificaron en fases anteriores. Se prepara el entorno real de operacin y los recursos necesarios para realizar las pruebas Las pruebas de formacin del sistema participan los usuarios y con ellas se verifica si el SI cumple las especificaciones funcionales as como detalles de diseo interno, como interacta correctamente con el entorno. Se han evaluado los resultados de las pruebas y X X X
69
se
han
tornado para
las
acciones las el
correctoras incidencias proyecto en
necesarias encontradas,
solventar
actualizndose
consecuencia. IA1-C4: El sistema debe ser aprobado formalmente antes de ponerse en explotacin. Se ha realizado las pruebas de formacin y aceptacin. Se ha fijado el acuerdo de nivel de servicio. El grupo de usuarios y el comit de direccin firman su conformidad. X X X
4.18.2 Objetivo de Control IA-2: El sistema se pondr en explotacin formalmente y pasar a estar en mantenimiento slo cuando haya sido aceptado y est preparado todo el entorno el que se ejecutar. IA2-C1: Se deben instalar todos los procedimientos de explotacin. Se han instalado adems del sistema principal todos los procedimientos auxiliares, como copias, recuperacin, etc., tanto manual como automtico. Estn documentados de forma correcta. Los usuarios finales han recibido la formacin necesaria y tienen en su poder toda la X X X
documentacin
necesaria,
fundamentalmente
manuales de usuario. Se han eliminado procedimientos antiguos que sean incompatibles con el nuevo sistema. IA2-C2: Si existe un sistema antiguo, el sistema nuevo se pondr en explotacin de forma coordina con la retirada del antiguo, migrando los datos si es necesario. Hay un periodo de funcionamiento en paralelo de los dos sistemas, hasta que el nuevo sistema este funcionando con todas las garantas. Esta X X
situacin no debe prolongarse ms tiempo del necesario. Los datos se convierten y de se acuerdo verifica al la X
procedimiento
desarrollado
70
consistencia de la informacin entre el sistema nuevo y et antiguo. IA2-C4: Para terminar el proyecto se pondr en marcha el mecanismo de mantenimiento. EI mecanismo existe y est aprobado por el director de proyecto, por el comit de direccin y por el rea de desarrollo y mantenimiento. Tiene en cuenta los tiempos de respuesta mximos que se pueden permitir ante situaciones de no funcionamiento. EI procedimiento a seguir ante cualquier problema o para el mantenimiento del sistema ser conocido por todos los usuarios. X X X
4.19 AUDITORA DE LA FASE DE MANTENIMIENTO 4.19.1 Objetivo de Control M-1: La gestin del proceso de mantenimiento de sistemas de informacin debe ser eficiente y eficaz para conseguir mantener el coste del mantenimiento de los SI del rea bajo control. M1-C1: Debe existir una estrategia y un plan para la gestin del mantenimiento de los SI del rea y de infraestructura tecnolgica. El plan existe y est aprobado por la direccin del rea y se revisa peridicamente. EI plan acordado es compatible con el proceso de gestin de cambios y de problemas. Existe un procedimiento definido y acordado por todas las reas participantes en el plan de mantenimiento a fin de facilitar que la gestin de los cambios o ejecucin de las peticiones de mantenimiento as como gestin de los problemas de los SI se haga de una manera eficaz y eficientemente. X X X
4.19.2 Objetivo de Control M-2: Todos los cambios, ya sean incidentes, problemas o peticiones de mantenimiento, incluido el mantenimiento correctivo de emergencia o cambios relacionados con la infraestructura tecnol6gica del entorno de produccin, deben de ser gestionados formalmente y de una manera controlada a fin de asegurar
71
la mitigacin del riesgo debido a los impactos negativos en la estabilidad e integridad del SI en produccin. M2-C1: Se debe establecer un sistema estandarizado de registro de informacin para las peticiones de mantenimiento, con el fin de controlar y canalizar los cambios propuestos por un usuario, mejorando el flujo de trabajo y proporcionando una gestin efectiva del mantenimiento. Existe un catalogo de problemas y de peticiones de mantenimiento sobre los sistemas de X
informacin. Todas las peticiones de mantenimiento son presentadas de una forma estandarizada, para permitir su clasificacin y facilitar la identificacin del tipo de mantenimiento requerido. En cada peticin de cambio se recoge al menos la identificacin, origen y tipo de peticin, se le asigna una prioridad inicial y se le incorpora una descripcin, lo ms precisa posible, que facilite su posterior anlisis. Para cada peticin de mantenimiento aceptada se determina de quien es la responsabilidad de atender la solicitud para proceder a su estudio posterior, es decir, se le asigna un responsable de mantenimiento. M2-C2: Se debe llevar a cabo un diagnstico y anlisis del cambio para dar respuesta a las peticiones de mantenimiento que son aceptadas. La informacin registrada es la correcta. Si se trata de una peticin de mantenimiento correctivo, se evala hasta qu punto es crtico el problema. Si el problema es crtico, su anlisis y solucin comienza inmediatamente con el fin de reanudar rpidamente el nivel de servicio. Y el procedimiento de actuacin establecido no exime de una revisin posterior del problema para valorar los posibles efectos secundarios, establecer una solucin definitiva y actualizar todos los productos implicados y su documentacin. X X X X X
72
M2-C3: Se realiza el seguimiento de los cambios que se estn llevando a cabo en los procesos de desarrollo, de acuerdo a los puntos de control del ciclo de vida del cambio establecidos previamente. Slo se han modificado los elementos que se ven afectados por el cambio y que se han realizado las pruebas correspondientes, especialmente las X
pruebas de integracin y del sistema. Se realiza un informe de la evaluacin del cambio para su posterior aprobacin. Se realizan las en pruebas la de regresin que X
especificadas
actividad
anterior, X
comprobando que ningn sistema no modificado, pero con posibilidades de verse afectado, ha variado su comportamiento habitual. La aprobacin de la peticin se realiza al finalizar las pruebas de regresin, y despus de comprobar que todo lo que ha sido modificado o puede verse afectado por el cambio, funciona correctamente.
Tabla N 07: Auditora de la fase de estudio de via bilidad, fase anlisis, fase diseo, construccin, implantacin, aceptacin y mantenimiento Fuente: Propia
73
Captulo V:
ANLISIS DE RESULTADOS
74
Carrera de Ingeniera de Sistemas istemas Computacionales
V. RESULTADOS Y DISCUSIN 4.1 Pregunta N 01 Grfico N 01. Auditoras anteriores. El Centro de Informacin y Sistemas ha sido auditado con anterioridad (cualquier tipo de auditoria)?
a)SI b)NO c)No Sabe No Opina
100%
Fuente: Elaboracin propia En el grfico N 01, muestra que el Centro de informacin y sistemas (CIS), del Gobierno Regional Cajamarca, entre las fechas comprendidas de Enero del 2011 a Julio del 2012, no ha sido auditado. Ello significa que no tienen procedimientos de control interno, como mo garanta para una gestin eficaz orientada a la consecucin de los objetivos.
4.2 Pregunta N 02 Grfico N 02. Documentacin de funciones. Existe algn documento que establece en forma clara las funciones del rea?
100%
Fuente: Elaboracin propia
75
En el grfico N 02 muestra que existe, este documento es el ROF (Reglamento ( de Organizacin y Funciones) Funciones el cual se constituye en un documento tcnico normativo de gestin in institucional que establece entre otras: Las funciones generales y especficas de la entidad y de cada uno de sus rganos y unidades orgnicas. Las funciones del Centro entro de informacin y sistemas (CIS) estn contemplados en el Artculo 92 del ROF del Gobierno Regional Cajamarca.
4.3 Pregunta N 03 Grfico N 03. Organigrama Existe un organigrama con la estructura de organizacin del rea?
100%
En el grfico N 03, muestra que existe una Estruct ura Orgnica del Gobierno Regional Cajamarca, aprobado con Ordenanza Regional N 020 -2005 2005-GR.CAJ-CR 18.10.05. Y Modificada por Ordenanza Regional N 00 1-2009-GR.CAJ 1 GR.CAJ 21.01.09. Con ello se demuestra que constan cons diferentes niveles de jerarqua, qua, y la relacin entre ellos. Cabe mencionar que el CIS no figura en la Estructura Orgnica del Gobierno Regional. Existe como una unidad funcional que depende de la Sub Gerencia de Desarrollo Institucional. Actualmente est est en propuesta en el Plan Operativo Informtico en el Formato N F1 07 la creacin de la Sub Gerencia de Desarrollo Institucional y Tecnologas de Informacin.
76
4.4 Pregunta N 04 Grfico N 04. Puesto de Trabajo Cada puesto de trabajo describe roles, responsabilidades, funciones, dependencia jerrquica, requisitos mnimos de formacin y experiencia?
29%
71%
Fuente: Elaboracin propia En el grfico N 04, muestra que slo el 71% tiene con ocimiento que cada puesto de trabajo describe: roles, responsabilidades, funciones, dependencia jerrquica, requisitos mnimos de formacin y experiencia. El 29% no tiene conocimiento acerca de los puestos de trabajo del rea. El documento que presenta la descripcin de puestos es el ROF (Reglamento (Reglamento de Organizacin y Funciones). Funciones Las funciones del Centro de informacin y sistemas (CIS) estn contemplados en el Artculo 92 del ROF del Gobierno Regional Cajamarca. Cajam
4.5 Pregunta N 05 Grfico N 05. Promocin de Staff a puestos superiores Estn establecidos los procedimientos de promocin de personal a puestos superiores, teniendo en cuenta la experiencia y formacin?
20% 80%

77
En el grfico N 05, seala que el 80% dice que no est establecido el procedimiento de promocin de staff; en cambio el 20% afirma que existe dicho procedimiento. El Gobierno Regional cada vez que requiere de staff, procede a convocatoria o concurso pblico, en el cual establece Objetivos y Bases Legales (Decretos Supremos) sealando requisitos mnimos, funciones a desempear segn el servicio o cargo a ocupar, periodo de contratacin (con opcin a renovacin). Pero no indica promocin de staff a puestos superiores.
4. 6 Pregunta N 06 Grfico N 06. Staff cumple requisitos al puesto que accede n El personal seleccionado cumple los requisitos del puesto al que acceden?
14% 14% 72%
Fuente: Elaboracin propia En el grfico N 06, nos seala que existe un 72% que afirma que el staff seleccionado cumple con los requisitos del puesto, por el contrario el 14% niega dicha afirmacin. Y el 14% no sabe no opina. El Gobierno Regional cuando requiere staff, procede a convocatoria o concurso concurso pblico, sealando requisitos mnimos, en el que el postulante debe cumplir.
78
4.7 Pregunta N 07 Grfico N 07. Formacin y motivacin del staff El personal de rea cuenta con la formacin adecuada y son motivados para la realizacin de su trabajo?
100%
El Grfico N 07 nos muestra que todo el staff del rea cuenta con la formacin necesaria y adems son motivados para la realizacin de su trabajo. Esta motivacin la realiza el director del CIS, enfatizando las cualidades del staff.
4.8 Pregunta N 08 Grfico N 08. Sugerencias del staff Existe algn mecanismo que permita al personal hacer sugerencias sobre mejoras en la organizacin del rea?
40% 60%
79
El Grfico N 08 muestra que solo el 60% afirma que existe un mecanismo que permite a los miembros del staff hacer sugerencias para la mejora del rea. Sin embargo existe un 40% que niega dicha afirmacin. El director del CIS confirm que hacen reuniones peridicas en las cuales los miembros del staff realizan sugerencias para la mejora del rea, las cuales se toman en cuenta.
4.9 Pregunta N 09 Grfico N 09. Aprobacin del proyecto. Existe algn documento de aprobacin del proyecto informtico autorizado por la alta gerencia?
14%
86%
Fuente: Elaboracin propia El grfico N 09 seala que el 86% no existe documento de aprobacin de proyecto informtico autorizado por alta gerencia, en cambio el 14% afirma que si existe dicho documento. El Gobierno Regional Cajamarca emite Resolucin Ejecutiva Regional y basndose en el Plan Operativo Informtico detallando lo siguiente Ficha Tcnica para la Programacin de Actividades y Proyectos Informticos, el cual describe objetivos, costo total, duracin, unidad ejecutora del proyecto.
80
4.10 Pregunta N 10 Grfico N 10. Metodologa de desarrollo de sistemas de inf ormacin Se tiene implantada una metodologa de desarrollo de sistemas de informacin soportada por herramientas de ayuda?
40% 60%
Fuente: Elaboracin propia El Grfico N 10 seala que el 60% afirma que se establece una metodologa de desarrollo de sistemas de informacin soportada por herramientas de ayuda. Por el contrario rario el 40% niega dicha afirmacin. En la documentacin proporcionada y revisada, no se tiene una metodologa de desarrollo de sistemas de informacin documentada.
4.11 Pregunta N 11 Grfico N 11. Metodologa cubre las fases y es adaptable La metodologa cubre todas las fases del desarrollo y es adaptable a distintos tipos de proyectos?
100%
81
El grfico N 11 indica que la metodologa de desar rollo de sistemas de informacin cubre todas las fases del desarrollo. Es adaptable a los distintos tipos de proyectos software. En la documentacin proporcionada y revisada, no se tiene ti una metodologa de desarrollo de sistemas de informacin documentada.
4.12 Pregunta N 12 Grfico N 12. Asignacin de responsable de proyecto. Se ha asignado un responsable o director de proyecto?
14% 14%
72%
El grfico N 12 indica que el 72% conoce la asigna cin de un responsable o director de proyecto informtico. Por el contrario el 14% no conoce la designacin del responsable del proyecto. En tanto el 14% no sabe no opina. Cada proyecto informtico del CIS es asignado a un responsable, el cual lo dirige siguiendo lo establecido en el Plan Operativo Informtico.
82
4.13 Pregunta N 13 Grfico N 13. Dimensin del proyecto. Se ha descrito y dimensionado el proyecto; evaluando riesgos y ciclo de vida del proyecto?
14% 43%
43%
El grfico N 13 muestra que el 43% que no sabe y n o opina y el 43% que desconoce las dimensiones, riesgos y ciclo de vida del proyecto; indican la gran falta de informacin acerca del proyecto por parte del staff del CIS. Slo 14% conoce que se ha descrito descrito y dimensionado el proyecto, evaluando riesgos y el ciclo de vida que se tomar cada proyecto. 4.14 Pregunta N 14 Grfico N 14. Registro de problemas Existe un registro de problemas que se producen en los proyectos de desarrollo de sistemas?
29%
71%
83
El grfico N 14 muestra que el 71% no lleva un reg istro de problemas que se producen los proyectos de desarrollo de sistemas. Por el contrario el 29% afirma que si existe un registro del mismo. De la documentacin revisada no existe un registro de los incidentes, problemas y soluciones que se producen en el desarrollo de sistemas.
4.15 Pregunta N 15 Grfico N 15. Informacin Histrica.

Se ha hecho uso de la informacin histrica que se dispone tanto para dimensionar el proyecto y sus riesgos como para seleccionar el ciclo de vida ?
100%
Fuente: Elaboracin propia El grfico N 15 muestra que al 100% se ha hecho us o de la informacin histrica existente, para dimensionar el proyecto, riesgos y el ciclo de vida segn el proyecto.
84
4.16 Pregunta N 16 Grfico N 16. Equipos de trabajo y responsables de las re as. Se ha constituido formalmente al equipo de trabajo, as como los responsables de las reas inmersas en el proyecto?
14%
86%
En el grfico N 16 indica que el 86% se constituye formalmente al equipo de trabajo, adems de los responsables de las reas donde se ve inmerso el proyecto. En cambio el 14% no sabe no opina. La integracin del staff y de los responsables de las reas donde se implantar el nuevo software, se constituye de manera verbal, mas no documentado. 4.17 Pregunta N 17 Grfico N 17. Reuniones del equipo de trabajo. Se realizan reuniones con una frecuencia mnima y las decisiones tomadas quedan documentadas?
14%
86%

85
En el grfico N 17 seala que el 86% si realizan r euniones peridicas y las decisiones de aquellas reuniones son documentadas. En cambio el 14% niega dicho enunciado. Las reuniones de staff si se hace con frecuencia mnima (cada 7 das), pero las decisiones tomadas no quedan documentadas, slo se las menciona.
4.18 Pregunta N 18 Grfico N 18. Documentacin del proyecto. La documentacin del proyecto es completa y est catalogada para accesos posteriores?
14%
86%
Fuente: Elaboracin propia En el grfico N 18 muestra un 86% que existe docum entacin del proyecto, es completo y est catalogada. En cambio existe un 14% no sabe no opina. opina De la informacin revisada y analizada que puede afirmar que la documentacin es completa, pero no est catalogada catal para accesos posteriores.
86
4.19 Pregunta N 19 Grfico N 19. Documentacin de requisitos. Existe un documento que recoge la descripcin general de requisitos establecidos por el usuario?
29%
71%
En el grfico N 19 indica un 71% que existe un doc umento que recoge los requisitos del usuario. Pero existe un 29% que niega dicho enunciado. De la toma de requisitos se puede afirmar que se realiza la documentacin necesaria.
4.20 Pregunta N 20 Grfico N 20. Solicitud de participacin de pers onal nal de otras reas. Existe un protocolo para solicitar al resto de las reas la participacin del personal en el proyecto y se aplica dicho protocolo?
20%
20%
60%
87
En el grfico N 20 muestra que el 20% que no sabe y no opina y el 60% que desconoce la existencia de un protocolo de solicitud de participacin de personal de otras reas inmersas en el proyecto. En cambio el 20 % afirma dicho enunciado. La participacin de personal de otras otras reas incluidas en el proyecto se hace de manera verbal, mas no existe un protocolo especfico.
4.21 Pregunta N 21 Grfico N 21. Nuevos proyectos software. La realizacin de nuevos proyectos software se basa en el Plan Operativo informtico?
40%
40%
20%
Fuente: Elaboracin propia En el grfico N 21 muestra que entre el 40% que no sabe y no opina y el 20% que desconoce si los proyectos se basan en el POI; podemos afirmar junto con el 40% que la realizacin de nuevos proyectos software se basa ntegramente al Plan Operativo Informtico.
88
4.22 Pregunta N 22 Grfico N 22. Fechas de realiz acin del proyecto. Las fechas de realizacin del proyecto coinciden con los del Plan Operativo Informtico?
20%
20%
60%
En el grfico N 22 indica que entre el 20% que no sabe y no opina y el 20% que tiene desconocimiento acerca de las fechas de realizacin de proyectos inmersos en el POI. Se puede afirmar junto con el 60% que las fechas de realizacin coinciden con el POI, pues ste dispone fechas a corto plazo.
4.23 Pregunta N 23 Grfico N 23. Recopilacin de informacin. La recopilacin de informacin es la adecuada en funcin de las caractersticas del proyecto y a los tipos de usuario a entrevistar?
14%
86%

89
En el grfico N 23 seala que el 86% afirma que re copilan de la informacin es la adecuada. Por el contrario el 14% niega dicho enunciado. La recopilacin de la informacin se realiza de manera adecuada con las caractersticas del proyecto y los usuarios a entrevistar Pregunta N 24 Grfico N 24. Mtricas. Se realizan varios tipos de mtricas para poder estimar la calidad del software?
40% 60%
Fuente: Elaboracin propia En el grfico N 24 indica que existe un 60% que no realizan mtricas para estimar la calidad del software. Por el contrario existe un 40% que afirma dicho enunciado. No realizan ninguna mtrica para estimar la calidad del software.
4.25 Pregunta N 25 Grfico N 25. Guas de prcticas de anlisis y diseo.

Se definen prcticas de anlisis y diseo. Adems existe una gua de practicas para cada lenguaje de programacin? a)SI b)NO c)No Sabe No Opina
40% 60%

90
En el grfico N 25 indica que el 40% afirma que se definen prcticas de anlisis y diseo, adems existe una gua para cada lenguaje de programacin. Por el contrario, existe un 60% que niega dicho enunciado. Las prcticas de anlisis y diseo se realizan de manera emprica adems no existe una gua de prcticas para cada lenguaje de programacin.
4.26 Pregunta N 26 Grfico N 26. Modelo del sistema. Se han realizado modelos del sistema?
100%
Fuente: Elaboracin propia En el grfico N 26 indica al 100% que se realiza modelos del sistema. 4.27 Pregunta N 27 Grfico N 27. Divisin de subsistemas. La divisin de los subsistemas estn orientados a los procesos de la organizacin?
14% 14% 72%

91
En el grfico N 27 muestra que el 72% afirma que l a divisin de los subsistemas est orientada a los procesos de la organizacin. El 14% niega lo expuesto. Y por ltimo el 14% no sabe no opina. La subdivisin de los subsistemas se hace a travs de Mdulos: : Modulo de Administracin Documentaria (MAD) y Modulo de Administracin Organizacional (MAO).
4.28 Pregunta N 28 Grfico N 28. Interfaces. Se detallan las interfaces: pantallas a travs de las cuales el usuario navegar por la aplicacin, mens, botones y formularios asociados?
100%
En el grfico N 28 indica que el 100% afirma que s e detallan las interfaces del sistema.
92
4.29 Pregunta N 29 Grfico N 29. Normas de diseo. Existen normas de diseo o estilo de pantallas, informes, formularios?
14% 14%
72%
Fuente: Elaboracin propia En el grfico N 29 muestra que el 72% afirma que e xisten normas de diseo. El 14% niega lo expuesto. Y por ltimo el 14% no sabe no opina.
4.30 Pregunta N 30 Grfico N 30. Plan de pruebas. Debe especificarse un plan de pruebas definiendo requisitos de alcance y entorno?
14% 43%
43%
Fuente: Elaboracin propia En el grfico N 30 seala que existe un 43% que af irma que se especifica un plan de pruebas, por el contrario el 43% niega lo expuesto. Y el 14% no sabe no opina.
93
4.31 Pregunta N 31 Grfico N 31. Aceptacin del sistema. Se ha elaborado un plan de pruebas de aceptacin del sistema, es coherente con los requisitos y con la especificacin funcional del sistema?
43% 57%
Fuente: Elaboracin propia En el grfico N 31 muestra que el 43% afirma que s e elabora un plan de pruebas de aceptacin del sistema, por el contrario el 57% niega dicho enunciado.
4.32 Pregunta N 32 Grfico N 32. Validacin de la especificacin. Se ha realizado una validacin formal de la especificacin de requisitos y de los modelos del anlisis del sistema?
29%
71%
En el grfico N 32 seala que el 71% afirma que re alizan validacin formal de la especificacin de requisitos y modelos del anlisis del sistema. Por el contrario el
94
29% niega dicho enunciado. La validacin se realiza pero no de manera documentada.
Grfico N 33. Arquitectura del sistema. Pregunta N 33 Se ha definido una arquitectura del sistema que sea coherente con la especificacin funcional y con el entorno tecnolgico?
14%
86%
En el grfico N 33 indica que el 86% afirma que se define la arquitectura del sistema, es coherente con la especificacin funcional y con el entorno tecnolgico. Por el contrario el 14% dice que no a la pregunta.
95
4.34 Pregunta N 34 Grfico N 34. Migracin y carga inicial de datos. Se especifica el procedimiento de migracin y carga inicial de datos as como los requisitos de operacin?
14% 43%
43%
Fuente: Elaboracin propia En el grfico N 34 muestra que el 43% afirma que se especifica el procedimiento de migracin y carga inicial de datos, as como los requisitos de operacin. En cambio el 43% niega el enunciado. Y por ltimo el 14 % no sabe no opina.
4.35 Pregunta N 35 Grfico N 35. Entorno de desarrollo y pruebas. Se prepara adecuadamente el entorno de desarrollo y de pruebas, as como los procedimientos de operacin y seguridad?
14% 14% 72%
96
En el grfico N 35 indica que el 72% prepara adecu adamente el entorno de desarrollo y pruebas, procedimientos de operacin y seguridad. Sin embargo el 14% dice que no preparan el entorno y otro 14% no sabe no opina.
4.36 Pregunta N 36 Grfico N 36. Repositorio de productos software.
Existe un repositorio con todos los productos software susceptibles de ser reutilizados: Libreras de funciones, clases de objetos, componentes software, documentos (catalogo de requisitos comunes, arquitecturas).
20%
80%
En el grfico N 36 indica un 80% que existe un rep ositorio con todos los productos software que pueden ser reutilizados. Por el contrario el 20% niega dicha existencia.
97
4.37 Pregunta N 37 Grfico N 37. Tcnicas de programacin. Los componentes que se desarrollan utilizan tcnicas de programacin correctas?
100%
En el grfico N 37 indica que el 100% de los compo nentes se desarrollan utilizando tcnicas de programacin correctas.
4.38 Pregunta N 38 Grfico N 38. Programar, probar y documentar componentes. Se programa, prueba y documenta cada uno de los componentes identificados en el diseo del sistema?
14% 29% 57%
98
En el grfico N 38 indica que el 57% si se program a, prueba y documenta todos los componentes identificados en el diseo del sistema. En cambio existe un 29% que niega dicho enunciado. Y por ltimo el 14% no sabe no opina.
4.39 Pregunta N 39 Grfico N 39. Estndares y normas de programacin. Se programa todos los componentes, siguendo estndares y normas de programacin y documentacin (cdigo comentado y documentado)?
43% 57%
En el grfico N 39 indica que el 57% afirma que se programan todos componentes, siguiendo estndares y normas de programacin, as como tambin de documentacin. Pero el 43% dice que no a la pregunta. Se programa con estndares de programacin pero no se documenta.
99
4.40 Pregunta N 40 Grfico N 40. Prueba de cada componente. Se prueba cada componente de forma unitaria siguiendo el plan de pruebas. Si se detecta un fallo de especificacin o diseo, el proyecto se actualizar segn el procedimiento establecido para ello?
14% 29% 57%
Fuente: Elaboracin propia En el grfico N 40 indica un 57% afirmando que se prueba cada componente de forma unitaria siguiendo el plan de pruebas. Si se detecta un fallo de especificacin o diseo, el proyecto se actualizar segn procedimiento establecido. establecido Por el contrario el 29% niega dicho enunciado. Y por ltimo un 14% que no sabe no opina. 4.41 Pregunta N 41 Grfico N 41. Procedimientos de migracin y carga inicial de datos. Se realiza codificacin, prueba de los componentes y procedimientos de migracin y carga inicial de datos?
14%
29%
57%
100
En el grfico N 41 indica que entre el 14% que no sabe y no opina y el 29% que dice que no se realiza codificacin ni pruebas ni mucho menos migracin y carga inicial de datos. Por el contrario el 29% afirma dicha interrogante. Si se realiza la codificacin, prueba de componentes y se realiza procedimientos de migracin y carga inicial de datos al nuevo sistema.
4.42 Pregunta N 42 Grfico N 42. Aceptacin formal del sistema. El sistema debe ser aceptado formalmente por los usuarios antes de ser puesto en ejecucin total?
100%
En el grfico N 42 indica al 100% la aceptacin de l nuevo sistema por parte de los usuarios. Pero dicha aceptacin no es documentada.
101
4.43 Pregunta N 43 Grfico N 43. Plan de formacin y aceptacin. Existe un plan de formacin y aceptacin?
14%
86%
En el grfico N 43 indica que el 86% niega que exi sta un plan de formacin y aceptacin del nuevo sistema, por el contrario el 14% afirma dicha pregunta.
4.44 Pregunta N 44 Grfico N 44. Capacitacin a usuarios. Los usuarios reciben capacitacin necesaria y tienen toda la documentacin, fundamentalmente manuales de usuario?
100%
102
En el grfico N 44 indica que el 100% afirma que s e capacita a los usuarios y se les proporciona manual de usuarios.
4.45 Pregunta N 45 Grfico N 45. Procedimientos de mantenimiento. Existe un procedimiento de mantenimiento a fin de facilitar la gestin de cambios?
43% 57%
En el grfico N 45 indica que existe el 57% afirma que el procedimiento de mantenimiento se realiza a fin de facilitar la gestin de cambios. En cambio el 43% niega dicha existencia.
103
4.46 Pregunta N 46 Grfico N 46. Monitorear nivel de servicio. Se revisa peridicamente el nivel de servicio para monitorizar su grado de cumplimiento?
29%
14%
57%
Fuente: Elaboracin propia En el grfico N 46 seala entre el 57% que dice no a la pregunta y el 29% que no sabe no opina; se tiene un gran desconocimiento acerca del del monitoreo del servicio. Por el contrario slo el 14% afirma que se revisa peridicamente el nivel de servicio para monitorizar el grado de cumplimiento.
4.47 Pregunta N 47 Grfico N 47. Peticiones de mantenimiento. Las peticiones de mantenimiento se presentan de forma estndar, para permitir su clasificacin y facilitar la identificacin del tipo de mantenimiento requerido?
12% 38%
50%

104
En el grfico N 47 entre el 50% que dice no a la p regunta y el 38% que no sabe no opina; se tiene un gran desconocimiento acerca de las peticiones de mantenimiento. Por el contrario slo el 12% afirma que las peticiones de mantenimiento se presentan de forma que permite su clasificacin e identificacin del tipo de mantenimiento.
105
Captulo VI:
DISEO DE CONTRASTACIN
106
VI. Diseo De Contrastacin La verificacin ser lgica, pues es la prueba de coherencia de los enunciados segn la literatura consultada. Se utilizar Investigacin Ex post-facto, la cual es el estudio de los fenmenos que ya se han producido. La poblacin de estudio est constituida por 7 miembros del staff del rea de sistemas. La muestra est representada por los 7 empleados. Por lo tanto, se ha determinado que el tamao de la muestra para la presente investigacin es de 7 miembros del staff a quienes se aplic la encuesta de Auditora de Sistemas de Informacin. Formalizacin:
M2
rea de Sistemas CIS
Post Test Sin grupo de control
Figura N 15: Diseo de Contrastacin Fuente Propia donde, X : Aplicacin de la Auditora del desarrollo de sistemas. M2: Situacin problemtica despus de la aplicacin de la Auditora del desarrollo de sistemas de informacin. A travs de la aplicacin de la Auditora se contrastar con la hiptesis Al finalizar la presente investigacin se analiza M2, para determinar la validez de la hiptesis, con el planteamiento de los mejoras del desarrollo de sistemas de informacin. La solucin est referida a una serie de recomendaciones que debe seguir el Gobierno Regional de Cajamarca., siendo la principal establecer una metodologa para el desarrollo de sistemas de informacin, El uso de una
107
metodologa sera muy eficiente pues se estara desarrollando sistemas de informacin conforme a un estndar.
108
Captulo VII:
CONCLUSIONES Y RECOMENDACIONES
109
VII. CONCLUSIONES Y RECOMENDACIONES
7.1 CONCLUSIONES No se cumple con los estndares y normas de control interno en el desarrollo de sistemas de informacin.
La metodologa evaluada en el desarrollo de sistemas de informacin no es la adecuada, pues se realiza de manera muy informal y emprica.
La identificacin de las fases de la metodologa no son las correctas. Fases importantes como la gestin de proyectos software no son tomadas en cuenta.
La evaluacin de la adecuacin entre el proceso de desarrollo y los objetivos de la institucin no son ptimos.
No cumplen con normas de seguridad e integridad de datos, ni tampoco el control de cambios.
Falta de comunicacin entre el staff.
Falta de documentacin crtica en casi todas las fases del proyecto software.
7.2 RECOMENDACIONES
1. Establecer una metodologa para el desarrollo de sistemas de informacin, El uso de una metodologa sera muy eficiente pues se estara desarrollando sistemas de informacin conforme a un estndar.
2. Establecer e incluir las siguientes fases en el proyecto software: gestin de proyectos, viabilidad del proyecto, anlisis, diseo, programacin o construccin, implantacin y aceptacin y mantenimiento de software.
3. Establecer un control interno y as de esta manera mejorar el rea de sistemas.
110
4. Implementar una gestin de comunicacin entre el staff.
5. Implementar un proceso de documentacin adecuada de todos los procesos de desarrollo y que todo el personal tenga acceso.
6. Cumplir con lo establecido de las normativas ISO y Mtricas aplicadas sobre la metodologa de desarrollo de sistemas de informacin.
7. Dar continua capacitacin especializada en temas especficos de Desarrollo de Sistemas de Informacin a todo el staff. 8. Realizar regularmente copias de seguridad de la informacin esencial de la entidad, adems del software en concordancia con polticas institucionales.
9. Realizar investigaciones acerca de auditoras informticas que permitan tener un eficiente control interno.
10. La presente investigacin se realiz con el diseo de Investigacin ex-post-facto, para futuras investigaciones se podra tomar como diseo de la investigacin pre test y post test.
111
Captulo VIII: REFERENCIAS BIBLIOGRFICAS - ANEXOS
112
VIII. REFERENCIAS BIBLIOGRFICAS
Tesis:
Tes [01]:
CHVEZ GARCA, Gissela Karina. Auditora Informtica Aplicada al Sistema Integrado de Gestin Comercial, Comercializadora y Distribuidora Jimnez S.A. de la Empresa Distribuidora CodijisaTrujillo. [Tesis para optar el Ttulo Profesional de Ingeniero de Sistemas]. Trujillo: Universidad Privada del Norte. 2004
Tes [02]:
VILLANUEVA SNCHEZ, Grover Eduardo. Sistema de Gestin Estratgica aplicando el Enfoque Sistmico y las Tecnologas de la Informacin para lograr Ventajas Competitivas en el Instituto Nacional de Cultura de La Libertad. [Tesis para optar el Ttulo Profesional de Licenciado en Administracin]. Trujillo. Universidad Csar Vallejo. 2008
Tes [03]:
XILOJ CHARUC, Francisco Dagoberto. Auditora Externa en un Ambiente de Sistemas de Informacin Computarizado en el rea de Ingresos de una Empresa Comercializadora de Vehculos. [Tesis para optar el Ttulo Profesional de Contador Pblico y Auditor]. Guatemala. 2008
Libros: Lib [01] BURCH & GRUDNITSKI, Diseo de Sistemas de Informacin Teora y Prctica, Editorial Limusa, 1996
Lib [02]
STAIR, Ralph M. Principios de SISTEMAS DE INFORMACION Enfoque Administrativo, Internacional Thomson Editores S.A., 1999
Lib [03]
LAUDON, Kenneth C. & LAUDON, Jane P. Sistemas De Informacin Gerencial, Pearson Educacin S.A. de C.V., 2004
Lib [04]
FERNANDEZ ALARCON, Vince. Desarrollo de Sistemas De Informacin Una metodologa basada en el modelado, Ediciones UPC., 2006
Lib [05]
MUOZ RAZO, Carlos. Auditora en Sistemas Computacionales, Pearson Educacin de Mxico.
Lib [06]
PIATTINI VELTHUIS, Mario, DEL PESO NAVARRO, Emilio DEL PESO RUZ, Mar. Auditora de Tecnologas y Sistemas de Informacin, Editorial Ra-Ma, 2008.
113
Lib [07]
TAMAYO ALZATE, Alonso. Auditora de Sistemas Una visin prctica, Universidad Nacional de Colombia Sede Manizales, 2001 Universidad de Buenos Aires. Manual de Procedimientos de Auditora Interna [en lnea]. Buenos Aires. [Fecha de acceso 08 de abril 2012]. URL disponible en http://www.uba.ar/download/institucional/informes/manual.pdf
Lib [08]
Direcciones Electrnica Pginas Web:
URL [1]:
INSTITUTO NACIONAL DE ESTADSTICA E INFORMTICA (INEI) QU ES LA AUDITORA INFORMTICA? [En lnea] [Fecha de acceso 08 de abril 2012]. URL disponible en http://www1.inei.gob.pe/biblioineipub/bancopub/Inf/Lib5105/Libro. Oficina Nacional de Gobierno Electrnico e Informtica (ONGEI) Auditora de Sistemas [En lnea] [Fecha de acceso 08 de abril 2012]. URL disponible en http://www.ongei.gob.pe/publica/metodologias/Lib5002/libro.htm Oficina Nacional de Gobierno Electrnico e Informtica (ONGEI) Auditora de Sistemas [En lnea] [Fecha de acceso 08 de abril 2012]. URL disponible en http://www.ongei.gob.pe/publica/metodologias/Lib5002/libro.htm
URL [2]:
URL [3]:
URL [4]:
Desarrollo gil de Software [En lnea] [Fecha de acceso 08 de abril 2012]. URL disponible en http://es.wikipedia.org/wiki/Desarrollo_%C3%A1gil_de_software Historia de ISACA [En lnea] [Fecha de acceso 08 de abril 2012]. URL disponible en http://www.isaca.org/AboutISACA/History/Espanol/Pages/default.aspx
URL [5]:
Diapositivas: PPT [1]: Mg. Ing. Alberto Mendoza De los Santos. Auditora de Sistemas. [Diapositiva]. Cajamarca: Universidad Privada del Norte; 2009. 19 diapositivas. PPT [2]: Mg. Ing. Alberto Mendoza De los Santos. Control Interno. [Diapositiva]. Cajamarca: Universidad Privada del Norte; 2009. 44 diapositivas.
114
ANEXOS
115
IX. HALLAZGOS DE AUDITORA A continuacin de enumeran los principales hallazgos despus de haber aplicado la Auditora del desarrollo de sistemas de informacin:
1. Hallazgos de Sistemas:
Auditora de la Organizacin y Gestin del rea de
No existen responsabilidades y roles correctamente establecidos, formalizados, documentados. Adems No son ejecutados por personal con la suficiente formacin y experiencia en la materia.
No estn disponibles un nmero suficiente de libros, publicaciones peridicos, monografas de reconocido prestigio, ya sea en formato electrnico o papel. Casi todo el personal no tiene acceso a ellos.
No existe una gran rotacin de personal. El Plan Estratgico se revisa pero No se actualiza con periodicidad en funcin de las nuevas situaciones. La documentacin relativa a cada proyecto que existe en el plan estratgico No se pone a disposicin del director de proyecto una vez comenzado el mismo.
No existe un catlogo de problemas. Existe plan de calidad, pero No existen ni se ejecutan actividades de mejora continua. No se realizan informes ejecutivos peridicamente sobre la calidad de los Sistemas de Informacin. No estn definidas mtricas de calidad. No existe repositorio o catlogo. No existen actividades de mejora continua segn los estndares de calidad. No existe un diccionario de datos institucional con las reglas de sintaxis de la organizacin.
2. Hallazgos de Auditora de la gestin y planificacin del proyecto: No existe una periodicidad de reunin mnima. No existen hojas de registro de problemas y no existe alguna persona del proyecto encargada de su recepcin. No existe mtodo para catalogar y dar prioridad a los problemas.
116
No existe un mecanismo para registrar los cambios que pudieran producirse. No se respetan los lmites temporales y presupuestarios marcados al inicio del proyecto. No se notifica el cambio a todas las personas que participen en el proyecto y se ven afectados. La documentacin NO cumple los estndares y procedimientos establecidos en el rea. La documentacin del proyecto No es completa y tampoco est catalogada perfectamente para accesos posteriores.
3. Hallazgos de Auditora de la Fase de Estudio de Viabilidad: No se ha realizado un plan detallado de entrevistas con el grupo de usuarios. 4. Hallazgos de Auditora de la Fase de Anlisis: No se remite el guin a los entrevistados con tiempo suficiente para que estos puedan preparar la entrevista y la documentacin que deseen aportar a la misma. No existe un catlogo de requisitos. La interfaz de usuario NO se ha aprobado por el grupo de usuarios.
5. Hallazgos de Auditora de la Fase de Diseo: No existe un catlogo de excepciones, de requisitos, normas y estndares. No se actualiza el plan de proyecto segn los criterios de direccin y se registra la aprobacin del mismo. 6. Hallazgos de Auditora de la Fase de Construccin: No se han preparado los procedimientos de copia de seguridad y restauracin. No se documentan todos los procedimientos de operacin, seguridad y control de acceso al SI para cuando el sistema este en explotacin. No se generan informes de pruebas de sistema y no se ahn evaluado las pruebas.
117
7. Hallazgos de Auditora de la Fase de Implantacin y Aceptacin: No existe un periodo de funcionamiento en paralelo de los dos sistemas, hasta que el nuevo sistema este funcionando con todas las garantas. No existe mecanismo de mantenimiento aprobado por el director de proyecto. 8. Hallazgos de Auditora de la Fase de Mantenimiento: No existe un el plan para la gestin del mantenimiento de los Sistemas de Informacin. No existe un catalogo de problemas ni de peticiones de mantenimiento sobre los sistemas de informacin. No se realizan peticiones de cambios y/o mantenimiento. No se realiza informe de la evaluacin del cambio para su posterior aprobacin.
9. Aplicativos informticos que administra el Gobierno Regional Cajamarca: N 1. Sistema Regionales Denominacin de Descripcin
Aplicaciones Sistema Integrado para la administracin de datos de las diferentes reas y sectores del gobierno regional; siendo estas:
personal, informtico. 2. Sistema de Abastecimiento
planillas,
visitar,
inventario
Para el control de requerimientos, rdenes de compra, servicios, pecosas y almacn.
3.
Sistema de Gestin Documentaria
Para el registro, control y seguimiento de la documentacin a nivel regional.
Tabla N 08: Aplicativos informticos Gobierno Regi onal Cajamarca Fuente: Centro de Informacin y Sistemas
10. Documentacin de los Aplicativos: Manual de Usuario: S (Desactualizado), el Modulo de Planillas del sistema SAR no cuenta con manual de usuarios. Manual Tcnico: NO Diccionario de Datos: SI, pero solo actualizado al 2010.
11. Ausencia de una metodologa en el desarrollo de sistemas de informacin.
118
12. Ausencia de copias de seguridad o respaldo (backup) de la informacin esencial de la entidad y de los aplicativos informticos que pondran en riesgo la integridad de la informacin.
13. La gestin del cambio en los sistemas informticos no se encuentra documentada, lo cual no permite el control y seguimiento de las actualizaciones y podra afectar la continuidad de las operaciones de la entidad. Los requerimientos en mencin se realizan verbalmente o a travs de correo electrnico, denotndose la ausencia de documentos que permitan rastrear las modificaciones.
14. Datos duplicados, inconsistentes, incompletos o de pruebas en la base de datos de produccin del Sistema de Aplicaciones Regionales, esto limita el uso y explotacin y afecta directamente la confiabilidad de la informacin. Se constat la presencia de datos inconsistentes, incompletos o de pruebas tal como se muestra:
Figura N 16: Datos inconsistentes en la base de da tos Fuente: Centro de Informacin y Sistemas
15. No se realiza control de versiones de los cdigos fuentes, ejecutables de los sistemas informticos, lo cual no permite identificar los cambios o actualizaciones correspondientes a cada versin del sistema software.
119
16. Desactualizacin y, en algunos casos, ausencia de documentos que orienten y uniformicen los procesos de mantenimiento, administracin y uso de los aplicativos. Esto dificulta la compresin y uso de la informacin, generando riesgos de errores y omisiones.
120

Auditoria Del Desarrollo de Sistemas de Informacion

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoria Del Desarrollo de Sistemas de Informacion

Cargado por

Copyright:

Formatos disponibles

Carrera de Ingeniera de Sistemas Computacionales

Captulo I: PLAN DE INVESTIGACIN

Carrera de Ingeniera de Sistemas Computacionales

1.1. AUTOR Bach. Arturo Fernando Granados Rodrguez

1.2. ASESOR Ing. Hugo Alejandro Prez Quiroz

1.7. DURACION Se realizo en un tiempo de 4 meses (Marzo a Julio del 2012)

1.8. CRONOGRAMA DE TRABAJO

Carrera de Ingeniera de Sistemas Computacionales

Cronograma de trabajo en Microsoft Project.

Carrera de Ingeniera de Sistemas Computacionales

Millar Unidad Unidad Unidad Unidad Unidad Unidad Unidad

Sub-Total Unidad 1 180

Unidad Costo Total

139 139 Sub-Total 319 4061

Tabla N 01: Presupuesto Fuente: Elaboracin Propia

1.11. FINANCIAMIENTO El presente proyecto ser autofinanciado.

Carrera de Ingeniera de Sistemas Computacionales

Carrera de Ingeniera de Sistemas Computacionales

Institucin: Universidad de San Carlos de Guatemala

Carrera de Ingeniera de Sistemas Computacionales

Carrera de Ingeniera de Sistemas Computacionales

Universidad Privada del Norte Trujillo

Carrera de Ingeniera de Sistemas Computacionales

Carrera de Ingeniera de Sistemas Computacionales

Capacitacin a usuarios, Monitorear nivel de servicio, Registro de peticiones de mantenimiento

Observacional, a travs de encuestas, cuestionarios, entrevistas al staff.

Carrera de Ingeniera de Sistemas Computacionales

Fase de Implantacin y Aceptacin Fase de Mantenimiento

Tabla N 2 Indicadores de Variable Independiente Fuente: Elaboracin Propia

Carrera de Ingeniera de Sistemas Computacionales

Captulo II: MARCO TERICO

Carrera de Ingeniera de Sistemas Computacionales

Carrera de Ingeniera de Sistemas Computacionales

Carrera de Ingeniera de Sistemas Computacionales

Carrera de Ingeniera de Sistemas Computacionales

Carrera de Ingeniera de Sistemas Computacionales

Carrera de Ingeniera de Sistemas Computacionales

Carrera de Ingeniera de Sistemas Computacionales

Carrera de Ingeniera de Sistemas Computacionales

En la pgina Web del INEI: QU ES LA AUDITORA INFORMTICA? Ref. URL [1]

Carrera de Ingeniera de Sistemas Computacionales

Carrera de Ingeniera de Sistemas Computacionales

1. Formalidad Responsabilidad, atribuciones y obligaciones

Carrera de Ingeniera de Sistemas Computacionales

Formacin profesional contina

Carrera de Ingeniera de Sistemas Computacionales

Carrera de Ingeniera de Sistemas Computacionales

Carrera de Ingeniera de Sistemas Computacionales

Carrera de Ingeniera de Sistemas Computacionales

Carrera de Ingeniera de Sistemas Computacionales

Carrera de Ingeniera de Sistemas Computacionales

Figura N07 Actividades de un Sistema de Informacin

Carrera de Ingeniera de Sistemas Computacionales

Carrera de Ingeniera de Sistemas Computacionales

Tabla N4 Similitudes y Diferencias entre Control Interno y Auditora Informtica

Carrera de Ingeniera de Sistemas Computacionales

Carrera de Ingeniera de Sistemas Computacionales

Carrera de Ingeniera de Sistemas Computacionales

Carrera de Ingeniera de Sistemas Computacionales

Carrera de Ingeniera de Sistemas Computacionales

Carrera de Ingeniera de Sistemas Computacionales

Captulo III: METODOLOGA

Carrera de Ingeniera de Sistemas Computacionales

Carrera de Ingeniera de Sistemas Computacionales