TEMA: ELABORACION DE HALLAZGOS PARA SISTEMAS DE

INFORMACION
1. OBJETIVOS DE LA PRÁCTICA
- Elaborar hallazgos según formato de la NAGU 3.60.

2. TRABAJO PREPARATORIO
- Leer la RC Nº 259-2000-CG correspondiente a la NAGU 3.60 Comunicación de
Hallazgos
- Leer la guía de prácticas

3. ASPECTOS TEÓRICOS COMPLEMENTARIOS

NAGU 3.60 COMUNICACIÓN DE HALLAZGOS.

Durante la ejecución de la acción de control, la Comisión Auditora debe comunicar
oportunamente los hallazgos a las personas comprendidas en los mismos a fin que, en un plazo
fijado, presenten sus aclaraciones o comentarios sustentados documentadamente para su debida
evaluación y consideración pertinente en el Informe correspondiente.
4. – PLANTEAMIENTO DE LA PRÁCTICA
Para los efectos de esta norma, los hallazgos se refieren a presuntas deficiencias o irregularidades
identificadas como resultado de la aplicación de los procedimientos de control gubernamental
empleados. Su formulación y comunicación se realiza teniendo en consideración los principios y
criterios que orientan el ejercicio del control.
La comunicación de hallazgos es el proceso mediante el cual, una vez evidenciadas las presuntas
deficiencias o irregularidades, se cumple con hacerlas de conocimiento de las personas
comprendidas en los mismos, estén o no prestando servicios en la entidad examinada, con el
objeto de brindarles la oportunidad de presentar sus aclaraciones o comentarios debidamente
documentados y facilitar, en su caso, la adopción oportuna de acciones correctivas.
Los hallazgos a ser comunicados revelarán necesaria-mente la situación o hecho detectado
(condición); la norma, disposición o parámetro de medición transgredido (criterio); el resultado
adverso o riesgo potencial identificado (efecto); así como la razón que motivó el hecho o
incumplimiento establecido (causa), cuando ésta última haya podido ser determinada a la fecha
de la comunicación

a.- Modelo de Hallazgo A desarrollar

 1.- HALLAZGOS EMERGENTES DEL EXAMEN ESPECIAL A LA OFICINA DE
INFORMATICA Y DE SISTEMAS DE LA DIRECCION REGIONAL DE CULTURA
CUSCO, PERIODO 2009-2010

Sede : Dirección Regional de Cultura Cusco.

Área : Unidad de control Patrimonial

Responsable: Br. Econ. Carlos Nolasco Manco.

Sumilla:
EN EL MARCO DE LAS LABORES QUE REALIZA LA OFICINA DE INFORMÁTICA
Y SISTEMAS (OIS-DRC-CUSCO) SE INCUMPLE CON EL PROCESO DE
MANTENIMIENTO DEL SISTEMA DE CONTROL PATRIMONIAL (SIAPA)
ESTABLECIDO EN LA NTP-ISO/IEC 12207:2004 "TECNOLOGÍA DE LA
INFORMACIÓN. Procesos del ciclo de vida del software. 1ª Edición", Y SE
INCUMPLE CON DIRECTIVA Nº 016-2002-INEI/DTNP “NORMAS TÉCNICAS PARA
EL ALMACENAMIENTO Y RESPALDO DE LA INFORMACIÓN PROCESADA POR
LAS ENTIDADES DE LA ADMINISTRACIÓN PÚBLICA” y La RESOLUCIÓN DE
CONTRALORÍA N° 320-2006-CG.- Normas de Control Interno.

Condición:
De la entrevista realizada al Jefe de la Unidad de Control Patrimonial Br. Econ. Carlos
Nolasco Manco, por cuanto dicha oficina hace uso del Sistema de Control Patrimonial
(SIAPA), de la revisión del Acta de Verificación de la Sub Área de Control Patrimonial, y
de la revisión de la hoja de requerimientos de esta oficina para el nuevo sistema de
control patrimonial, se establece que en el marco de las labores que realiza la OIS-INC-
CUSCO se incumple con las actividades y tareas del Proceso de Mantenimiento del
Sistema de Control Patrimonial (SIAPA) establecidas en la NTP-ISO/IEC 12207:2004
"TECNOLOGÍA DE LA INFORMACIÓN. Procesos del ciclo de vida del software. 1ª
Edición", y se incumple con los procedimientos para el adecuado manejo y control del
almacenamiento y respaldo de la información establecidas en la Directiva Nº 016-2002-
INEI/DTNP “NORMAS TÉCNICAS PARA EL ALMACENAMIENTO Y RESPALDO DE
LA INFORMACIÓN PROCESADA POR LAS ENTIDADES DE LA ADMINISTRACIÓN
PÚBLICA” y La RESOLUCIÓN DE CONTRALORÍA N° 320-2006-CG.- Normas de
Control Interno.

A). Se adjunta copia del Acta de Verificación de la Sub Área de Control Patrimonial.
B). Se adjunta copia de la hoja de requerimientos para el nuevo Sistema de Control
Patrimonial.
C). De la entrevista con el Br. Econ. Carlos Nolasco Manco, de la revisión del Acta
de Verificación de la Sub Área de Control Patrimonial con relación al Sistema de
Control Patrimonial (SIAPA), y de la revisión de la hoja de requerimientos para
el nuevo sistema de control patrimonial se observa:
 que el Sistema de Control Patrimonial (SIAPA) es un sistema con el que
se cuenta el código fuente en la Oficina de Informática y de Sistemas;
 que persiste la falta de implementación de las modificaciones solicitadas
al Sistema, visto en el informe Nº 143-2010-DRC-C/DOA-SGASA-UCP;
 que el sistema no tiene activo el módulo que registra los ajustes de
depreciación y la vida útil de los bienes;
 que todos los procedimientos que estén afectos a cuentas contables
requieren ajustes manuales;
  que los criterios u opiniones de los ajustes manuales respecto a las
cuentas contables, tanto en el área de Contabilidad así como en el área
de Control Patrimonial generan demora en la conciliación de las cuentas;
 que la Base de Datos respecto a las cuentas contables no está
actualizada, ni modificada según el nuevo plan contable gubernamental,
trasladando la información a una hoja de Excel para luego acondicionar
en forma manual al nuevo Plan Contable;
 que el SIAPA no genera reportes estadísticos de depreciaciones
automatizadas;
 que las transferencias internas de bienes son engorrosas y se realizan
bien por bien y no en grupos por no permitir el Sistema SIAPA;
 que no existe en el sistema SIAPA el procedimiento de actualización
masiva de la ubicación de bienes;
 que no existe en el Sistema SIAPA el reporte de actas de entrega y
recepción de bienes de un determinado cargo;
 que no existe en el Sistema SIAPA el control de salida y retorno de bienes
al exterior de la institución ya sea en comisiones de servicio y/o para
darles mantenimiento;
 que persiste la incompatibilidad del SIMI v 3.0 con el SIMI v 3.5 (Software
SBN) en el proceso de migración de datos, generando dependencia para
este proceso con la Oficina de Informática y de Sistemas;
 que no se permite realizar los backups de la información el Sistema
SIAPA;
 que no existen procedimientos de los históricos del movimiento de los
bienes y/o responsables en el SIAPA;
 que el sistema no contempla los requerimientos de reportes y consultas
de los usuarios, según se detalla en la hoja de REQUERIMIENTOS
FUNCIONALES DEL NUEVO SISTEMA DE CONTROL PATRIMONIAL,
alcanzada vía correo electrónico por la oficina de control patrimonial al
auditor.(se anexa dicho documento al presente informe de hallazgos).
D). Con Memorándum Nº 010-2010-DRC-C/INC-DOA-OIS del 10 de Octubre de
2010 se asigna funciones de mantenimiento al Sistema de Control Patrimonial
(SIAPA) a la Srta. Mariela Atausinchi Fernandez. Se observa de acuerdo a la
documentación alcanzada, que no existe documentos que permitan conocer si
se hizo seguimiento a las funciones asignadas ó se informó de las actividades y
tareas realizadas con respecto a los requerimientos sobre el Sistema de Control
Patrimonial (SIAPA) hechas por parte del área usuaria.

Criterio:
Transgrediendo:
 La Norma Técnica Peruana NTP-ISO/IEC 12207:2004 "TECNOLOGÍA DE LA
INFORMACIÓN. Procesos del ciclo de vida del software. 1ª Edición" aprobaba
mediante Resolución Comisión de Reglamentos Técnicos y Comerciales Nº 0048-
2004/CRT-INDECOPI del 13 de mayo de 2004, y aprobado su uso obligatorio por
las entidades del Sistema Nacional de Informática mediante RESOLUCIÓN
MINISTERIAL N° 179-2004-PCM del 14 de junio de 2004, que dice:

o Dentro del proceso de desarrollo (cap. 5.3) se hace referencia a sus siguientes
componentes:
 En el capítulo 5.3.3 “Diseño de la arquitectura del sistema”
5.3.3.1 señalando que se deberá establecer la arquitectura de alto nivel. La
arquitectura deberá identificar los elementos hardware, software y operaciones
 manuales. Se deberá asegurar que todos los requerimientos del sistema se
distribuyen ente estos elementos

 En el capítulo 5.3.6 “Diseño detallado del software”

5.3.6.1, se señala que se deberá asegurar que todos los requerimientos software
están asignados desde los componentes, hacia las unidades software

o En el capítulo 5.5, “Proceso de Mantenimiento”, define las actividades del

responsable de mantenimiento, quien proporciona el servicio de mantenimiento
del software; esto es, la gestión de las modificaciones al producto software
actualizado y operativo. Este proceso incluye la migración y retirada del producto
software.
5.5.1.1.- El responsable de mantenimiento deberá preparar, documentar y ejecutar
planes y procedimientos para llevar a cabo las actividades y tareas del proceso de
mantenimiento.
5.5.1.2.- El responsable de mantenimiento deberá establecer procedimientos para
recibir, registrar y hacer seguimiento a los informes de problemas y a las peticiones
de modificaciones de los usuarios y proporcionar información a los usuarios sobre
su situación.
5.5.1.3.- El responsable de mantenimiento deberá implementar el proceso de
gestión de la configuración para gestionar las modificaciones al sistema existente.

Capítulo 5.5.5 “Migración” indica que los datos usados por o asociados al antiguo
entorno deberán ser accesibles de acuerdo con los requerimientos del contrato
sobre la protección de datos y auditorias aplicables
5.5.5.2 se deberá preparar, documentar y ejecutar un plan de migración. Las
actividades de planificación deberán incluir a los usuarios. El plan deberá incluir
los siguientes elementos:
a) análisis de los requerimientos y definición de la migración
b) desarrollo de las herramientas de migración
c) conversión del producto software y de los datos
d) ejecución de la migración
e) verificación de la migración
f) soporte para el antiguo entorno en el futuro”

 La Directiva Nº 016-2002-INEI/DTNP “NORMAS TÉCNICAS PARA EL

ALMACENAMIENTO Y RESPALDO DE LA INFORMACIÓN PROCESADA POR
LAS ENTIDADES DE LA ADMINISTRACIÓN PÚBLICA”, aprobada mediante
Resolución Jefatural Nº 386-2002-INEI del 31 de diciembre de 2002, que dice:

“5.2.- las oficinas de informática de las entidades de la administración pública,

deberán definir un plan de respaldo de la información, de acuerdo a factores
legales, institucionales y otros.”
6.1.1.- La información que se procesa será respaldada por periodos, de acuerdo
a la frecuencia de modificación de la información y teniendo en cuenta los niveles
de importancia del numeral 5.2”

Causa:
La causa obedece en el cumplimiento de las obligaciones referentes a la aplicación de
las normas de control de mantenimiento y respaldo de información procesada por
entidades de administración pública por parte de las personas responsables del jefe del
área de informática y al jefe de la Unidad de Control Patrimonial.
No se cumplió con la implantación de requerimientos funcionales al sistema, lo cual
conduce al desprestigio de la utilidad del sistema SIAPA.

Efecto:
Como consecuencia el sistema está expuesto a la perdida de información, sin que exista
algún respaldo o backup de seguridad, los procesos para la selección múltiple de bienes
no pueden realizarse, de tal manera que el trabajo del manejo del sistema se vuelve
ineficiente, al no poder generar un reporte de actas de entrega no se puede corroborar
la información generada, el proceso de migración de datos generará incoherencias en
la información debido a la incompatibilidad detectado por SIMI v 3.0 con el SIMI v 3.5,
el hecho que las transferencias sean consideradas engorrosas aumenta la probabilidad
de que se cometa un error en una acción, el sistema no facilita las actividades y tareas
de los trabajadores.

Recomendación:
Realizar en carácter de urgencia, un plan de trabajo asignando responsabilidades para
el desarrollo del control de mantenimiento y levantamiento de observaciones descritos
en este documento, cubrir los requerimientos que no existen en el sistema, que se pueda
realizar copias de respaldo del sistema, corregir problemas de incompatibilidad para la
migración de datos, rediseñar el esquema de transferencias internas para que tenga un
manejo más simple, el sistema debe registrar procesos históricos y debe proporcionar
todos los reportes necesarios. Finalmente realizar un informe de la actividad realizada y
comprobar que se cumpla con los objetivos planteados. El responsable del área está en
la obligación de ser partícipe de procesos que permitan establecer confianza entre el
sistema y los trabajadores. También es recomendable pasar un proceso de pruebas
constante.

2.- HALLAZGOS EMERGENTES DEL EXAMEN ESPECIAL A LA OFICINA DE

INFORMATICA Y DE SISTEMAS DE LA DIRECCION REGIONAL DE CULTURA
CUSCO, PERIODO 2009-2010

Sede : Dirección Regional de Cultura Cusco.

Área : Sub Área de Remuneraciones

Responsable: Sr. Valentín Deza García.

Sumilla:
EN EL MARCO DE LAS LABORES QUE REALIZA LA OFICINA DE INFORMÁTICA
Y SISTEMAS (OIS-DRC-CUSCO) SE INCUMPLE CON EL PROCESO DE SOLUCION
DE PROBLEMAS DEL SISTEMA DE PLANILLAS - NOMBRADOS Y EL PROCESO
DE MANTENIMIENTO DEL SISTEMA DE PLANILLAS - CONTRATADOS
ESTABLECIDO EN LA NTP-ISO/IEC 12207:2004 "TECNOLOGÍA DE LA
INFORMACIÓN. Procesos del ciclo de vida del software. 1ª Edición" y La
RESOLUCIÓN DE CONTRALORÍA N° 320-2006-CG.- Normas de Control Interno.

Condición:
De la entrevista realizada al encargado del sub área de Remuneraciones – Sr. Valentín
Deza García, por cuanto dicha oficina hace uso del Sistemas de Planillas, y de la revisión
del Acta de Verificación de la Sub Área de Remuneraciones, se establece que en el
marco de las labores que realiza la OIS-INC-CUSCO se incumple con las actividades y
tareas del Proceso de Solución de Problemas del Sistema de Planillas - nombrados
(WINWAR) y del Proceso de Mantenimiento del Sistema de Planillas - contratados
(SISPLAN) establecidas en la norma técnica peruana NTP-ISO/IEC 12207:2004
"TECNOLOGÍA DE LA INFORMACIÓN. Procesos del ciclo de vida del software. 1ª
Edición" y La RESOLUCIÓN DE CONTRALORÍA N° 320-2006-CG.- Normas de Control
Interno.
.

A). Se adjunta copia del Acta de Verificación de la Sub Área de Remuneraciones.

B). De la entrevista con el Sr. Valentín Deza García y de la revisión del Acta de
Verificación del Sub Área de Remuneraciones con relación al Sistema de
Planillas (WINWAR) y al Sistema de Planillas (SISPLAN) se observa:
 que persiste la falta de implementación de las modificaciones solicitadas
al Sistema, visto en el informe Nº 090-2010-SGP-VDG-DOA-DRC-C/INC;
 que persiste la falta de implementación de las modificaciones solicitadas
al Sistema, visto en el informe Nº 0100-2010-SGP-VDG-DOA-DRC-
C/INC;
 que persiste la falta de implementación de las modificaciones solicitadas
al Sistema, visto en el informe Nº 0126-2010-SGP-VDG-DOA-DRC-
C/INC;
 que existen 2 diferentes sistemas de planillas, una para personal
contratado SISPLAN desarrollado por la institución, del cual se tiene el
código fuente y otro para personal nombrado WINWAR enviado por Lima,
del cual no se tiene el código fuente, que además es antiguo y trabaja
en plataforma de Windows 98, generando incompatibilidades en caso se
quiera realizar cualquier proceso relacionado a la data de ambos
sistemas, o que se quiera realizar un mismo proceso para ambos
sistemas es imposible;
 que los descuentos efectuados en planillas no concuerdan con las
planillas de aportes que genera la SBS - AFP NET, incompatibilidad de
dígitos de cuentas;
 que no existe conectividad con el sistema de control para transferir
información de inasistencias de empleados;
 que en las planillas de pagos a los trabajadores en estado de jubilación
o cese que continúan realizando labores, el sistema continua con los
descuentos de prima seguro de invalidez, sobrevivencia y gastos de
sepelio a los cuales ya esta exonerados según la resolución SBS Nº 938-
2001 de fecha 30-11-2001;
 que existe dependencia de la Oficina de Informática y de Sistemas y
Escalafón para la solución a problemas de descuentos indebidos ya que
en el sistema no contempla la exoneración según la resolución SBS Nº
938-2001 de fecha 30-11-2001, al personal de inversión;
 que falta en el reporte de las planillas NET el código de inicio y el código
de cese del trabajador;
 que no existe reportes estadísticos de los trabajadores activos con
montos salariales correspondientes, así como cálculo de totales a pagar,
en el Sistema SISPLAN;
 que se hace ingreso manual de la categoría del trabajador, no existiendo
enlace para este fin con el Sistema de Escalafón;
 que para el personal contratado-empleados no existe enlace con el
Sistema de Control respecto a las inasistencias, por lo que el reporte de
inasistencia para este tipo de personal se hace de manera manual.
 C). Con Memorándum Nº 002-2010-DRC-C/INC-DOA-OIS del 08 de Marzo de 2010
se asigna funciones de mantenimiento y soporte al Sistema de Planillas (para
personal nombrado, personal por inversión, CAS, y obrero) al Ing. Luis Carlos
Atayupanqui García. Se observa de acuerdo a la documentación alcanzada, que
no existe documentos que permitan conocer si se hizo seguimiento a las
funciones asignadas ó se informó de las actividades y tareas realizadas con
respecto a los requerimientos sobre el Sistema de Planillas hechas por parte del
área usuaria.

Criterio:
Transgrediendo:
 La Norma Técnica Peruana NTP-ISO/IEC 12207:2004 "TECNOLOGÍA DE LA
INFORMACIÓN. Procesos del ciclo de vida del software. 1ª Edición" aprobaba
mediante Resolución Comisión de Reglamentos Técnicos y Comerciales Nº 0048-
2004/CRT-INDECOPI del 13 de mayo de 2004, y aprobado su uso obligatorio por
las entidades del Sistema Nacional de Informática mediante RESOLUCIÓN
MINISTERIAL N° 179-2004-PCM del 14 de junio de 2004, que dice:

Capítulo 5.3.11 pruebas de calificación del sistema.- esta actividad consta de las
siguientes tareas que el desarrollador deberá llevar a cabo o proporcionar apoyo,
tal como requiere el contrato.
5.3.11.1.- las pruebas de calificación del sistema se deberá llevar a cabo de
acuerdo con los requerimientos de calificación especificados para el sistema. Se
deberá asegurar que se prueba la conformidad de la implementación de cada
requerimiento el sistema y que el sistema está listo para su entrega. Se deberán
documentar los resultados de las pruebas de calificación.

Capítulo 5.5.2.- Análisis de problemas y modificaciones

5.5.1.1 El responsable de mantenimiento deberá preparar documentar y ejecutar
planes y procedimientos para llevar a cabo las actividades y tareas del proceso de
mantenimiento
5.5.2.1 El responsable de mantenimiento deberá analizar el informe del problema
o la petición de modificación de acuerdo con su impacto en la organización…
5.5.2.3. Basándose en el análisis, el responsable de mantenimiento deberá
preparar alternativas para implementar la modificación.
5.5.2.4 El responsable de mantenimiento deberá documentar el problema/petición
de modificación, los resultados del análisis yu las alternativas de implementación.

 La RESOLUCIÓN DE CONTRALORÍA N° 320-2006-CG.- Normas de Control

Interno, con fecha de Lima, 30 de octubre de 2006, publicada en la misma fecha
en el diario el peruano:

4.2. Información y responsabilidad: La información debe permitir a los funcionarios

y servidores públicos cumplir con sus obligaciones y responsabilidades. Los datos
pertinentes deben ser captados, identificados, seleccionados, registrados,
estructurados en información y comunicados en tiempo y forma oportuna.

4.3. Calidad y suficiencia de la información: El titular o funcionario designado

debe asegurar la confiabilidad, calidad, suficiencia, pertinencia y oportunidad de
la información que se genere y comunique. Para ello se debe diseñar, evaluar e
implementar mecanismos necesarios que aseguren las características con las que
debe contar toda información útil como parte del sistema de control interno.
 4.7. Comunicación interna: La comunicación interna es el flujo de mensajes
dentro de una red de relaciones interdependientes que fluye hacia abajo, a
través de y hacia arriba de la estructura de la entidad, con la finalidad de obtener
un mensaje claro y eficaz. Asimismo debe servir de control, motivación y
expresión de los usuarios.

 La Directiva Nº 016-2002-INEI/DTNP “NORMAS TÉCNICAS PARA EL

ALMACENAMIENTO Y RESPALDO DE LA INFORMACIÓN PROCESADA POR
LAS ENTIDADES DE LA ADMINISTRACIÓN PÚBLICA”, aprobada mediante
Resolución Jefatural Nº 386-2002-INEI del 31 de diciembre de 2002, que dice:

5.2. Las Oficinas de Informática (o la que haga sus veces) de las entidades de la
administración pública, deberán definir un plan de respaldo de la información, de
acuerdo a factores legales, institucionales y otros.

5.5. Se establecerá un programa de revisión de la información respaldada en

medios de almacenamiento. La periodicidad del programa estará sujeta a los
niveles de importancia descritos en el numeral 5.2 y será establecida por el
responsable de la función de respaldo de la información. El programa de revisión
deberá considerar la verificación de la información del Directorio con el contenido
físico de los medios de almacenamiento.

6.4.1.- Dependiendo de la importancia del servicio que preste la institución y con

la finalidad de asegurar la continuidad de sus operaciones, esta dispondrá de un
sistema de respaldo de información en línea, de acuerdo a su disponibilidad
presupuestal”

Causa:
La causa obedece la falta de atención del encargado frente a las solicitudes pendientes,
poniéndolo en calidad de incompetente por no realizar una gestión correcta de sus
funciones, el responsable no le da importancia a la necesidad de la implementación
correcta y control adecuado de los sistemas de control de asistencia, e remuneraciones
y la coherencia en la información, así como la contemplación del uso de un sistema en
calidad de obsoleto.

Efecto:
Como consecuencia se está generando información incorrecta, la cual no tiene respaldo,
falta elaboración de reportes como modo de respaldo físico, quedan pendiente las
solicitudes de implementación y el manejo y administración en general se encuentra
sobre una plataforma obsoleta que generará cada vez más incompatibilidad frente a
nuevas necesidades.

Recomendación:
Debido a la incompetencia del responsable del área se recomienda que alguien con
mayor criterio asuma en carácter de urgencia un plan para el desarrollo de las solicitudes
de modificación del sistema, un análisis de las incoherencias en los descuentos de las
planillas de acuerdo a la Superintendencia de banca y seguros, un registro constante de
las inasistencias de los trabajadores de forma sistematizada, una corrección del sistema
para la unidad de escalafón y la implementación de las solicitudes realizadas.