PROYECTO DE AUDITORIA DE SISTEMAS DE

INFORMACION CON COBIT

2009

HISTORIA
50 aos de la Primera y ms Grande Siderurgia.
Nace el 9 de mayo de 1956 la primera y ms grande siderrgica del pas, con la
creacin de la Sociedad de Gestin de la Planta Siderrgica de Chimbote y de la
Central Hidroelctrica del Can del Pato (SOGESA), con el fin de administrar la
industria pesada y el aprovechamiento hidrulico del Can del Pato.
En sus inicios, la siderrgica estaba constituida por la Planta de Hierro con dos hornos
elctricos de arco, la Planta de Acero equipada con dos hornos elctricos de arco y la
Planta de Laminacin No Planos, con un laminador desbastador y un laminador
mercantil.
NACIMIENTO DE LA SIDERURGIA
Con el hallazgo de mineral de hierro en 1923 en el Cerro Tunga en San Juan,
departamento de Ica, nace la preocupacin por desarrollar la industria siderrgica
nacional. La oficina dirigida por Larraaga envi circulares a los ingenieros e
instituciones, solicitando sus opiniones tcnicas sobre el sitio adecuado para la
instalacin de esta industria. De todos los informes presentados, Brassert consider
como el ms adecuado el proyecto del Ing. Antnez de Mayolo, que sealaba como de
mayores ventajas la ubicacin de Chimbote, por lo adecuado de la Baha El Ferrol para
un gran puerto y astillero, por la gran cantidad de agua del ro Santa, por la proximidad
de los yacimientos de carbn, antracita y hulla en los valles del Santa, Ancos y
Chuquicara y por la utilizacin de la cada de agua del Can del Pato, que abastecera
la gran demanda de energa elctrica, tanto de la planta siderrgica como las
industrias
derivadas
que
no
tardaran
en
formarse.
El informe final de Brassert, el 14 de mayo de 1941, despus de efectuar proyecciones
en Marcona, visitar Chimbote y el Can del Pato, recomendaba la instalacin de la
siderrgica en este puerto. En el ao 1943, el primer gobierno del Dr. Manuel Prado
cre la Corporacin Peruana del Santa, la cual recibi el encargo de establecer y
desarrollar
la
industria
siderrgica
nacional
en
Chimbote.
Para ese entonces, Chimbote era un pequeo pueblo de pescadores con menos de
cinco mil habitantes. El 9 de mayo DE 1956 se crea SOGESA, Sociedad de Gestin que
ese mismo ao obtiene su partida legal con la Resolucin Suprema del 27 de abril,
separndose as de la Corporacin Peruana del Santa. A partir de esa fecha, esta
ciudad costea atrajo la atencin nacional, convirtindose en el primer centro industrial
y siderrgico del pas para la produccin del genuino acero peruano

Vista General de la Antigua Planta de Hierro

Instante en que el Ing. Max Pea Prado, Presidente de la Corporacin Peruana del
Santa, firma los contratos con los representantes de los consorcios franceses.

Etapa de construccin de la Planta de Acero

INSTITUCIONAL
SIDERPERU es la principal empresa siderrgica del Per desde hace 50 aos. Contando
con instalaciones de reduccin, aceracin, laminacin de productos planos, laminacin
de productos no planos, productos planos revestidos, productos tubulares, viales y
numerosas instalaciones auxiliares. Para el abastecimiento de sus principales insumos,
tiene un muelle habilitado para recibir embarcaciones hasta de 50 mil toneladas.
Nuestros productos son requeridos por clientes de los distintos sectores econmicos,
principalmente al sector Construccin, Minero e Industrial; tanto en el mercado local
como
extranjero.
Desde 1956 nuestra empresa exhibe con orgullo ser la primera y ms grande
siderrgica del pas que ofrece al mercado nacional e internacional el mejor acero del
Per, gracias a la capacidad y esfuerzo de cada uno de sus trabajadores, quienes
aseguran en el futuro la continuidad de SIDERPER.

MISION
El grupo Gerdau es una empresa dedicada en siderurgia, que busca satisfacer las
necesidades de los clientes y crear valor para los accionistas comprometida con la
realizacin d las personas y con el desarrollo sostenible de la sociedad
VISION
Ser una empresa Siderrgica global, entre las ms rentables del sector
VALORES
CLIENTE SATISFECHO
SEGURIDAD TOTAL EN EL AMBIENTE DEL TRABAJO
PERSONAS COMPROMETIDAS Y REALIZADAS
CALIDAD EN TODO LO QUE SE HACE
ACTITUD EMPRENDEDORA Y RESPONSABLE
INTEGRIDAD
CRECIMIENTO Y RENTABILIDAD
ORGANIGRAMA:
FODA:
FORTALEZAS:
Se cuenta con un capital relacional que permite encontrar las respuestas y los
expertos para resolver los problemas que se presenten.
Colaboradores multifuncionales que posibilita atender la gama de rdenes

de

trabajo que se generan en el complejo.

Colaboradores motivados a propiciar innovaciones.
Laboratorios equipados, taller de calibracin, planta de fundicin, etc

DEBILIDADES:

Capacitacin orientada a la parte terica.

Falta de un sistema de motivacin que incentive la asistencia a los cursos de
capacitacin.
Problemas de comunicacin efectiva entre ciertos grupos de colaboradores.

OPORTUNIDADES:

Empleo de tecnologas de comunicacin para capacitacin virtual

Crecimiento de la produccin
Introduccin de nuevas tecnologas de mantenimiento.

AMENAZAS

Transferencia de conocimientos de personal prximo a retirarse sin una estrategia

adecuada para conservarlo.

Transferencia de experiencias externas de capacitacin, no se capitaliza como efecto

multiplicador.

PRINCIPALES PROCESOS DE LA OFICINA DE FINANZAS DE SIDERPERU S.A.A:

AREA DE MESA DE PARTES:
Recepcionar y Revisar documentos
Registrar documentos correctos en cuaderno
Entregar documentos firmados y con su cargo
SUMINISTROS:
Emitir en PC/OC
Aprobacion Virtual del O/C
Enviar O/C a Cuentas Por pagar
Enviar fsicamente la O/C a finanzas Chimbote para pago
ALMACENES:
Llegada de los materiales
Gestionar la conformidad tcnica
Verificar y Registrar la informacin Tecnica y se emite la N/I
Enviar N/I y Gua de Remisin a Finanzas
CUENTAS POR PAGAR
Recepcionar documentos de las areas antes mencionadas.
Verificar documentos fsicos correctos
Archivar documentos
Procesarincorrectos
planificacion y organizacion de
Verificar documentos correctos
el sistema
de O/C (orden de compra)
las TI (11p)en
(Dominio
1)
aprobados
Archivar documentos no aprobados
<<include>>
Verificar documentos O/C aprobados en el sistema de N/I (Nota de ingreso)
Archivar los documentos de N/I incorrectos
Contrarrestar veracidad de informacin de O/C, N/I y Factura de documentos de
N/I correctos.
Registrar Factura y contabilizarla
Enviar el archivo con la documentacin para pago en Tesoreria

Proocesar la adquisicion e
implementacion
de la TI(6p) (Dominio2)
TESORERIA
Auditores de TI
Verificar documentacion<<include>>
Area de Cuentas por Pagar (personal,
Procesar y Emitir Orden de Pago
todos los que trabajan)
Autorizacion de firmas de apoderados on-line
Pagar a proveedores
Envia el archivo con la documentacin para pago en Tesoreria
Verificar conformidad del pago en los bancos
Procesar
prestaciones y soporte de
Verificar pago en el
sistema
TI(13p) (Dominio 3)

DIAGRAMA DE CASO DE USO DE NEGOCIO - COBIT

<<include>>

Procesar monitoreo y control de TI (4p)

(Dominio 4)

PROCESAR PLANIFICACION Y ORGANIZACIN DE LAS TI

<<include>>

D1P1. Definicion de un Plan

Estrategico de TI
D1PO11: Administracion de
la Calidad de TI

D1P2: Definicion de la
Arquitectura de la informacion
<<include>>

<<include>>

D1PO3: Determinar la
Direccin Tecnolgica
<<include>>

D1PO10: Administracion de
Proyectos de TI
D1PO4 Definicion de la
organizacion de TI

<<include>>

DTI

<<include>>

D1PO9: Evaluacion de
Riesgos de TI
<<include>>

D1PO5 Manejo de la
inversioin T)
<<include>>

D1PO8Cumplir con los <<include>>

Requerimientos

<<include>>

D1PO7 Administracion de
Recursos Humanos

D1PO6: Comunicacion de la
direccion y aspiraciones

P1. DEFINICION DE UN PLAN ESTRATEGICO DE TI

Definir Objetivos y necesidades de TI en funcin de los objetivos de Negocios

2 Definir Planes de TI a Largo Plazo (mas de un ao

hasta 5)

1. Definir Planes de TI a Corto Plazo (1

ao)

Elaborar Diagnostico
de PETI a LP

Elaborar Diagnostico
de PETI a CP

Elaborar Direccionamiento
de PETI a LP

Elaborar Direccionamiento
de PETI a CP

Procesar el inventario de Soluciones e Infraestructura de TI actuales

1: Evaluar la
automatizacion

2: Evaluar la
funcionalidad TI

6: Evaluar
FODA de TI

5: Evaluar
costos TI

3: Evaluar al
Estabilidad TI
4: Evaluar la
complejidad TI

Adaptar los planes de TI a largo plazo

a los cambios organizacionales

Estudio oportuno
de factibilidad de TI

P2. DEFINICION DE LA ARQUITECTURA DE LA INFORMACION

Definir la documentacion consistente con las necesidades

Determinar la sintaxis de
datos de la organizacion

Determinar la propiedad y clasificacion de

la informacion del marco referencial

P3. DETERMINAR LA DIRECCION TECNOLOGICA

Definir la capacidad y evolucion de la infraestructura

Concordar planes a
largo y corto plazo

Evaluar los planes de adquisicion reflejados en

las necesidades de la infraestructura tecnologica

Evaluar los desarrollos

tecnologicos elegidos

Evaluar las contigencias

de la infraestructura

P4. DEFINICION D E LA ORGANIZACIN DE TI

Definir la funcion de servicios y actividades del comite de Direccion

Propiedad, Custodia
Designar formalmente a los
propietarios de los datos
Designar formalmente a
los custodios de los datos

Evaluar las funciones

y responsabilidades
Distribuir funciones a individuos para
evitar que resuelva un proceso critico
Verificar los roles y responsabilidades
de todo el personal

Descripcion de Puestos

Delinear las responsabilidades

como la autoridad

Definir la experiencia
necesaria para el puesto

Definir las
habilidades

Evaluar desempeo

Asignacion de Personal
Realizar evaluaciones de
requerimientos de cada nivel asignado
Asegurar una asignacion de
personal en el presente y futuro

Identificar al personal clave

de tecnologia de informacion

P5. MANEJO DE LA INVERSION TI

Adecuar su
utilizacion

Investigar
alternativas
Control de gasto real
Verificar el sistema
de contabilidad

Registrar,procesar y reportar los

costos de servicios de informacion

Justificacion de Costos y beneficios

Controlar las
ganancias

Garantizar los servicios

de informacion

Analizar los beneficios derivados

de las actividades de TI

P6. COMUNICACIN DE LA DIRECCION Y ASPIRACIONES

codigos establecidos y promovidos por la alta gerencia

codigo de
etica

Estandares de
control interno

codigo
...

cumplimiento de
reglas de etica

Cumplimiento
reglas de seguridad

Cumplimiento de
reglas de conducta

Directrices
tecnologicas

Asegurar y monitorear la
implementacion de sus politicas

Compromiso con la calidad

Filosofia de calidad

Servicios de Informacion

definir filosofia
de calidad

Compre
nder

documentar
filosofia de calidad

Implem
entar

mantener filosofia
de calidad

Mantener

Politica de Seguridad y control interno

Proposit
o

Objetivo
s

Estructura
gerencial

Definicion y asignacion Alcence dentro de

la organizacion
responsabilidades

P7. ADMINISYTRACION DE RECURSOS HUMANOS

Tener criterio objetivos (educacionm

experiencia y la responsabilidad)

Evaluar los requerimientos de

calificaciones del personal

Incrementar la capacitacitacion, los

programas de educacion de personal

Evaluacion objetiva y medible de desempeo

Evaluar el desempeo de las
responsablidades especificas del puesto
Recibir asesoria en
momento apropiado

P8. CUMPLIR CON LOS REQUERIMIENTOS EXTERNOS

Definicion y mantenimiento de procedimientos

Revisar el
requerimiento externo
Coordinacion de
Actividades TI.
Cumplimiento continuo de
las actividades de TI.

Leyes, regulaciones
y contratos
Revisiones regulares en
cuanto a cambios

Busqueda de asistencia
legal y modificaciones
Brindar Seguridad al ambiente de
trabajo de los usuarios y personal

Privada

Propiedad
intelectual

Flujo de datos externos y

criptografia

P9. EVALUACION DE RIESGOS DE TI

EVALUACION DE RIESGOS

Definir algunos limites de los riesgos y

metodologia para evaluacion de los riesgos

Identificacion, definicion y actualizacion de

los diferentes tipos de riesgos de TI

Metodologia de
evaluacion de riesgos

Actualizacion de
evolucion de riesgos

Medicion de riesgos cualitativos

y/o cuantitativas

Aceptacion de riesgos dependiendo de

la identificacion y la medicion de riesgo

Diferenciacion de un plan de accion contra los riesgos para asegurar

que existen controles y medidas de seguridad economicas

P10.ADMINISTRACION DE PROYECTOS TI
Administracion de proyectos

Definir un marco de referencia general, para la administracion de

proyectos que defina el alcance de los limites del mismo

Involucramiento de los usuarios en el desarrollo,

implementacion, modificacion en los proyectos

Asigancion de responsabilidadfes y
autoridades del personal asignado al proyecto
Aprobacion de fasaes de
proyecto por parte de usuarios

Presupuesto y metodologias de aseguramiento de calidad

que sean revisados y acordados por partes interesadas
Plan de administracion de riesgos
para eliminar o minimizar el riesgo
Plan de prueba, post
implementacion

P11. ADMINISTRACION DE LA CALIDAD DE TI.

P.11 Administracion de Calidad

Definicion y mantenimiento regular del plan de calidad

Promover la filosofia
de una mejor continua

Contestar preguntas basicas

de quien, que y como

Responsabilidades de aseguramiento de calidad que determine

los tipos de actividades de aseguramiento de calidad

Metodologia de ciclo de vida de sistemas

Proceso de
desarrollo

Adquisicion

Implementaci
on

Mantenimien
to S.I

Documentacion de
pruebas y programas

Revisiones y reportes de
aseguramiento de calidad

PROCESAR LA ADQUISICION E IMPLEMENTACION DE LA TI

D2. AI1. Identificar

Soluciones Automaticas
<<include>>

D2.AI2. Adquirir y Mantener

Software Aplicativo

D2.AI6. Administrar los

Cambios

<<include>>

<<include>>

DTI

<<include>>

<<include>>

D2.AI5. Instalar y Aceptar los

Sistemas

D2.AI3. Adquirir y Mantener

la Infraestructura Tecnologica

D2.AI4. Desarrollar y Mantener

los Procedimientos

P1. IDENTIFICAR LAS SOLUCIONES AUTOMATIZADAS

Definicion de requerimiento de TI para

aprobar un proyecto de desarrollo.

Estudio de Factibilidad para satisfacer

requerimientos del negocio

Arquitectura de Informacion para el modelo de datos

Analizar la
factibilidad

Definir
soluciones

Seguridad para controlar que los

costos no excedan los beneficios
Pistas de Auditoria - Mecanismos Adecuados
Proteger datos
sensitivos

Adquirir productos de calidad y

excelente estado
Contratacion
de terceros
Aceptacion de instalacion y tecnologia

Contrato
proveedor

Plan de aceptacion para

instalaciones y tecnologia

P2. AQUIRIR Y MANTENER SOFTWARE APLICATIVO

Requerimientos de usuario

Obtener un
software claro

Realizar correcto
analisis

Requerimientos de Archivos

Proceso

Entrada

Salida

Interface usuario-maquina
Software facil
de utilizar

Software capaz de
Autodocumentarse

Personalizacion de paquetes
Realizar pruebas funcionales

plan de prueba de proyecto

pruebas de
integracion

pruebas de
aplicacion

pruebas
unitarias

estandares establecidos

pruebas de
carga

prueba de
estres

pruebas
unitarias
prueba de
estres

pruebas de
aplicacion

pruebas de
integracion
pruebas de
carga

controles de aplicacion

requerimientos
funcionales
documentacion

material de
consulta

soporte para
usuarios

P3. ADQUIRIR Y MANTENER AL INFRAESTRUCTURA TECNOLOGICA

Evaluacion de tecnologia
Identificar el impacto del
nuevo software o hardware

Mantenimiento preventivo de hardware

Reducir frecuencia de
falla de rendimiento

Reducir impacto de fallas

de rendimientos

Seguridad de Almacenamiento de datos y programas

Seguridad del software

de sistema

Seguridad de
Instalacion

Seguridad de
Mantenimiento

P4. DESARROLLO Y MANTENIMIENTO DE PROCEDIMIENTOS

Manla de Procedimientos de usuarios y controles

permanente
actualizacion

Mejor desempeo de
los usuarios

Mejor control de
los usuarios

Manual de Operacione y Controles

Permanente
actualizacin

Materiales de entrenamiento
enfocado al uso del sistema

P5. INSTALAR Y ACEPTAR LOS SISTEMAS

Capacitacin del Personal

Plan de entrenamiento
definido

Materiales
relacionados

Elementos necesarios del sistema

anterior sean convertidos al sistema

Pruebas especificas

Pruebas
cambios

Pruebas
desempeo

prueba de
operacion

Prueba
aceptacion final

Acreditacion por la gerencia

Resultado de
las pruebas

Nivel de
seguridad

Riesgo residual
existente

Revision post Implementacion (reportar los beneficios

esperados de la manera mas economica)

P6. ADMINISTRAR LOS CAMBIOS

PROCESAR PRESTACIONES Y SOPORTE DE TI

P1. DEFINICION DE NIVELES DE SERVICIO

P2. ADMINISTRACION DE SERVICIO S PRESTADOS POR TERCEROS
P3. ADMINISTRACION DE DESEMPEO Y CAPACIDAD

P4. ASEGURAR EL SERVICIO CONTINUO

D3Ds2.Administracion de<<include>>
D3Ds3.Administracion de
<<include>>
D3Ds1.Definicion de niveles
servicios
prestados
por
terceros
desempeo y capacidad
de servicio
<<include>>

D3Ds13.Administracion de
la operacion

D3Ds4.Asegurar el servicio
continuo

<<include>>

<<include>>

D3Ds12.Administracion de
las instalacaiones

D3Ds5.Garantizar la
seguridad de sistemas

<<include>>

DTI

<<include>>

D3Ds11.Administracion de
datos

D3Ds6.Educacion y
entrenamiento de usuarios

<<include>>
<<include>>

<<include>>
<<include>>

<<include>>

D3Ds10.Administracion de
problemas
D3Ds9.Administracion de la D3Ds8.Apoyo y asistencia a D3Ds7.Identificacion y
asignacion de costos de TI
los clientes de TI
configuracion de TI

Mantenimiento de servicio disponible segun requerimiento y prevension caso interrupcion

Plan de continuidad del negocio y requerimiento de negocio
Plan
documentado

Planificacion
de serenidad

Procedimien
to alternativo

Pruebas y entrenimiento
sistematico y singular

Respaldo de recuperacion

P5. GARANTIZAR LA SEGURIDAD DE SISTEMAS

Control de
acceso logico
Instrumentacion de mecanismo de autenticacion de usuarios identificados

Autorizacion, autentificacion
y el acceso logico

Utilizacion
de firewalls

Identificacion de
usuarios

Prevencion y
deteccion de virus

Administracion de
llaves criptograficas
Manejar, reportar y seguir incidentes de
implementacion de capacidad de atencion

P6. EDUCACION Y ENTRENAMIENTO DE USUARIOS

Asegurar uso efectivo

del TI por los usuarios

Plan completo de entrenamiento y desarrollo

Campaas de
concientiacion

Curriculum de
entrenamiento

Tecnica de concientizacion y
entrenamiento wetico del TI

P7. IDENTIFICACION Y ASIGNACION DE COSTOS DE TI

Asegurar conocimiento
costos de TI

Sistema de contabilidad

Identificar, medir y predecir

elementos sujetos a cargo

Procedimientos y politicos de cargo que

formulen el buen uso de recursos TI
Definir e implementar procedimientos de
costos de prestamiento del servicio

P8.APOYO Y ASISTENCIA LOS CLIENTES DE TI

Atencion rapida y apropiada del problema

experimentado por el usuario

Soporte y asesoria

Consultas y respuestas a
problemas duro de ayuda

Monitoreo y despacho de consultas

reagsinadas el nivel adecuado

Analisis y reporte de preguntas y

solucion adecuadas

P9.ADMINISTRACION DE LA CONFIGURACION DE TI

Conteo de componentes de TI, prevencion

verificar y proporcionar sano manejo

Control de identificacion y registro activos de TI

Administracion
de cambios

Registro de
activos
Control de
almacenamiento

Chequeo de
software

P10.ADMINISTRACION DE PROBLEMAS

Resolucion e investigacion de
problemas e incidentes

Sistemas de manejo de problemas

Registro

P11.ADMINISTRACION DE DATOS

Seguimiento

Asegurar datos completos,

precisos y validados

Control general y de aplicacion sobre operaciones TI

Control de
documentos fuentes

Validacion
de datos

Definicion e implementacion de
procedimientos de seguridad

P12.ADMINISTRACION DE LAS INSTALACIONES

Control fisico
y ambiental

P13.ADMINISTRACION DE LA OPERACIN

Mantenimiento soporte
TI regular y ordenado

Organizacion de soporte
Calendarizacion de
actividades de soporte

Documentacion y reporte
periodicamente

PROCESAR MONITOREO Y CONTROL DE TI

D4M1. Monitoreo del

proceso

<<include>>

D4M4. Proveer Auditoria

Independiente

DTI

<<include>>

D4M3. Obtencion de
aseguramiento independiente

P1. MONITOREO DEL PROCESO

D4M2. Evaluar lo adecuado

del control interno

<<include>>

Definir los objetivos establecidos para los procesos de TI

Definir reportes
de P. de TI

Definir indicadores claves de desempeo

y/o factores criticos de exito

Atencion regular a los

reportes emitidos

Inplementacion de
Sistema de soporte de TI

Comparacion de desempeo y factores

criticos de exito con objetivos propuestos

Evaluar desempeo de
procesos de TI
Medir grado de satisfaccion de los clientes con respecto a los servicios de TI

Identificar deficiencias
de servicios de TI

Es tablecer objetivos de
mejoramiento de TI

Es tablecer s us objetivos y confeccionamiento de informe que

indiquen el avance d ela organizacion hacia los objetivos propuestos

P2. EVALUAR LO ADECUADO DEL CONTROL INTERNO

Monitorear efectividad de los controles internos

Realizar actividad de
supervision

Realizar actividad
administrativa

Otras acciones
rutinarias

Evaluar efectividad de
controles internos de TI

Reconciliaci
ones

Realizar
comparacion

Emitir reportes de efectividad de

controles internos en forma regular

Revisar existencia de
puntos vulnerables

Revisar existencia de
problemas de seguridad

P3. OBTENCION DE ASEGURAMIENTO INDEPENDIENTE

obtener certificacion o acreditacion

independiente de seguridad y control interna

Implementar nuevos servicios de TI que resulten criticos como asi

tambien para trabajar con nuevos proveedores de servicios de TI

Adoptar trabajo rutinario tanto hacer evaluaciones periodicas sobre la

efectividad de los servicios de Ti y proveedores de estos servicios de TI

Asegurar el cumplimiento de los compromisos contractuales de

los servicios de TI y d elos proveedores de estos servicios

P 4. PREVEER AUDITORIA INDEPENDIENTE

Establecer los estatutos

para la funcion de auditoria

Establecer los estatutos para la funcion de Auditoria

Responsabili
dad

Auditoria

Obligaciones

El auditor debera respetar la etica

y estandares profesionales

Seleccionar auditores que sean

tecnicamente competente

Asegurar tareas
efectivas y eficientes