PLAN DE TRABAJO EVALUACION

PROYECTO TRANFORMACION M&F 2.0

1. OBJETIVOS DE LA CONSULTORIA

Realizar un servicio de evaluación del nivel de cumplimiento de disposiciones y procedimientos técnicos establecidos
para el sistema de la TRANFORMACION M&Fen adelante EL SERVICIO, para el cumplimiento de los objetivos del
Proyecto TRANFORMACION M&F 2.0.

 OBJETIVOS ESPECIFICOS:
1. Evaluación del nivel de cumplimiento de los procesos establecidos del ciclo de vida del software, con referencia a
la Norma Técnica Peruana NTP-ISO/IEC 12207. La evaluación incluye la revisión completa de los procesos
principales, de apoyo y organizativos indicados por la norma.
2. Evaluación del nivel de cumplimiento de los procesos establecidos sobre Tecnología de la Información, Técnicas
de Seguridad, Código de Prácticas para Controles de Seguridad de la Información, con referencia a las Normas
Técnicas Peruanas NTP-ISO/IEC 27001 y 27002 indicadas. La evaluación incluye la revisión completa de los
procesos indicados por la norma.

3. Evaluación del nivel de cumplimiento de los procesos relacionados con la ISO/IEC 20000, COBIT o ITIL de
Gestión y Capacidad Operativa del Servicio.

4. Evaluación del nivel de cumplimiento de los planes y procedimientos derivados de la dirección, así como los
principales controles operativos, contables y financieros.

5. Elaborar y proponer procedimientos de revisión y verificación del cumplimiento de los aspectos técnico –
informáticos considerados en los términos de referencia de los procesos y/o procedimientos establecidos para la
TRANFORMACION M&F.

6. Realizar el análisis de causas de las desviaciones de cumplimiento encontradas.

7. Elaborar la documentación que sustente su informe técnico.

2. ALCANCE DEL SERVICIO

EL SERVICIO debe cubrir el siguiente alcance:

Evaluación del nivel de cumplimiento de los procesos establecidos para el sistema de la TRANFORMACION M&F, en
los siguientes aspectos:

 Los procesos del ciclo de vida del software, con referencia a la Norma Técnica Peruana NTP-ISO/IEC 12207.

 Los procesos de Tecnología de la Información, Técnicas de Seguridad, Código de Prácticas para Controles de
Seguridad de la Información, con referencia a la Norma Técnica Peruana NTP-ISO/IEC 27002.

 Los procesos de Gestión del Servicio, con referencia a la ISO/IEC 20000.

 Los procesos de cumplimiento de los planes y procedimientos derivados de la dirección.

8
  Los procesos de aplicación de los controles operativos, contables y financieros.

3. DESCRIPCION DE LAS ACTIVIDADES

La TRANFORMACION M&F en el Perú se inició con el propósito de solucionar la ineficiencia de los canales de acceso
de los operadores hacia las entidades del Estado, encargadas de tramitar los permisos y autorizaciones para el
comercio de las llamadas mercancías restringidas. Los objetivos de la primera etapa de la TRANFORMACION M&F
(2010-2016) fueron disminuir los tiempos de espera por parte de los usuarios para la obtención de esos permisos y
autorizaciones, los costos de desplazamiento de estos, así como las demoras y los rechazos de solicitudes.

Actualmente, el sistema de la TRANFORMACION M&F contempla tres componentes:

 Componente de mercancías restringidas: el cual permite a los administrados realizar, por medios electrónicos, los
trámites para la obtención de los permisos, certificaciones, licencias y demás autorizaciones exigidas por las
autoridades competentes para el ingreso, tránsito o salida de mercancías que lo requieran.

 Componente origen: Permite la emisión y gestión de la calificación de los Certificados de Origen.

 Componente portuario: Permite la gestión de los procedimientos administrativos vinculados con la recepción, estadía
y despacho de las naves en los puertos del país y los procedimientos relacionados con los servicios portuarios.

Como parte de las acciones y actividades que se vienen ejecutando en el Proyecto TRANFORMACION M&F 2.0, se ha
recibido de la Dirección de la Ventanilla Única de Comercio Exterior y Plataformas Tecnológicas (DTRANFORMACION
M&FPT), el requerimiento de revisar el nivel de cumplimiento de las disposiciones y procedimientos técnicos
establecidos para los sistemas de la TRANFORMACION M&F, que aseguren la integridad de la operación de la
Ventanilla Única de Comercio Exterior y que recopile buenas prácticas en la transición de aplicación de estas en las
definiciones de la TRANFORMACION M&F 2.0.

Por ello se plantea la atención de esta evaluación del nivel de cumplimiento de disposiciones y procedimientos técnicos
establecidos para el sistema de la TRANFORMACION M&F, a fin de asegurar dicha transición.

4. NORMATIVIDAD APLICABLE

Se cumplirá con aplicar las Normas de Auditoría Generalmente Aceptadas, Normas de Auditoría Gubernamental
aprobadas por la Contraloría General, mediante Resolución N° 162-95 de 95.09.22 y Normas Sustitutorias contenidas
en la Resolución N° 141-99 CG de 99.11.25; así como, las Normas Técnicas de Control Interno para el Sector Público;
las Directivas, Circulares y Memos Múltiples emitidos por las áreas involucradas internas y externas.

Compendio de Normas Técnicas Informáticas del Instituto Nacional de Estadística e Informática:

a.Normas técnicas para el almacenamiento y respaldo de la información que se procesa en las entidades del Estado.
(Resolución Jefatural Nº340-94-INEI)
b.Normas para la prevención, detección y eliminación de Virus Informáticos en los equipos de cómputo de la
Administración Pública. (Resolución Jefatural Nº 362-94-INEI)
c.Recomendaciones técnicas para la seguridad e integridad de la información que se procesa en la Administración
Pública. (Resolución Jefatural Nº O76-95-INEI)
d.Recomendaciones técnicas para la protección física de los equipos y medios de procesamiento de la información en la
Administración Pública. (Resolución Jefatural Nº090-95-INEI)
e.Recomendaciones técnicas para la organización y gestión de los servicios informáticos en la Administración Pública.
(Resolución Jefatural Nº 140-95-INEI)
f. Recomendaciones técnicas para la elaboración de planes de sistemas información en la Administración Pública.
(Resolución Jefatural Nº 229-95-INEI)
g.Modelo Cobit v 5.0

8
 El desarrollo de la Consultoría, así como, la evaluación del Informe resultante, se debe efectuar de acuerdo a la
normativa vigente de control.

Normas a ser aplicadas en la auditoría:

• Normas de Auditoría Generalmente Aceptadas – NAGA.
• Normas Internacionales de Auditoría – NIA.
• Manual Internacional de Pronunciamientos de Auditoría y Aseguramiento.
• Guías de Auditoría emitidas por el Instituto de Auditores Internos.
• Normas ISO relacionadas a la Seguridad de la Información; Gestión de Servicios y Continuidad.

5. INFORMES POR EMITIR Y FECHA DE ENTREGA

La formulación del proyecto de informe con los resultados de la consultoría, se hará al coordinador designado por
TRANFORMACION M&F, dentro de los cinco (05) de concluida la consultoría. Del mismo se emitirá una propuesta de
informe con las siguientes consideraciones:

Caratula
Índice

RESUMEN EJECUTIVO

Del informe propiamente dicho

I. Objetivos y alcance de la Consultoría.
II. Evaluación de la situación de la actividad.
a) Desarrollo de Objetivos.
b) Oportunidades de mejoras
c) Riesgos detectados y su impacto en la institución.
III. Conclusiones observaciones y recomendaciones.
IV. Fecha de inicio y fecha de término de la evaluación.

10. PRESUPUESTO DE TIEMPO

En la Consultoría se efectuará en los días calendarios especificados, debiendo iniciarse y culminar en las fechas
indicadas de acuerdo al siguiente detalle:

ACTIVIDAD Semana Trabajo

Planeamiento y Requerimiento de Información Del 04 al 08 Febrero
Trabajo de campo, entrevistas, Encuestas Del 01 al 15 Febrero
Procesamiento, Ordenamiento de los Papeles de Trabajo y Archivos Del 18 al 22 Febrero
Capacitación Del 04 al 08 Marzo
Supervisión, Revisión del Proyecto y Elaboración del Informe Final Del 31 al 08 Marzo

8
 PROGRAMA DE CONSULTORIA
EVALUACION INTEGRAL – PROYECTO TRANFORMACION M&F 2.0

LISTA MINIMA DE PROCEDIMIENTOS BASICOS

Iniciales
Documentos Fecha
Concepto Responsable
Trabajo ejecución

Objetivo General

Realizar un servicio de evaluación del nivel de cumplimiento de disposiciones y

procedimientos técnicos establecidos para el sistema de la Ventanilla Única de
Comercio Exterior (TRANFORMACION M&F).
1. Solicitar Información: Memo 04/02/2019 MFR
a) Documentos relacionados a cubrir las necesidades de
información para efectuar las actividades por parte de las
áreas que utilizan el sistema TRANFORMACION M&F.
b) Documentos emitidos por las diferentes áreas donde se
especifiquen modificaciones al sistema para mejoras o para la
mitigación de riesgos potenciales, (identificar, tratar y
controlar).
c) Al área de sistemas o el que haga sus veces, de documentos
que sustenten la ejecución de los sistemas informáticos,
desde el requerimiento hasta su puesta en producción (Ciclo
de vida de requerimientos).
2. Solicitar documentos al área responsable de evaluar los riesgos y las Memo 04/02/2019 MFR
incidencias de mayor criticidad, así como los informes emitidos por la
dirección sobre el tema.
3. Emitir encuestas para todas las áreas, y el área de T.I, respecto de la 07/02/2019
satisfacción de las áreas usuarias respecto del sistema TRANFORMACION
M&F:
a) Nivel de conocimiento del sistema.
b) Problemas e iniciativas de mejora del sistema.
c) Identificación de riesgos de los sistemas de información y Encuestas MFR
procesos.
d) Evaluación de los riesgos identificados.
e) Tratamiento de los riesgos identificados.
f) Tiempo de soporte de los responsables del sistema.
g) Otros aspectos del sistema.
h) Oportunidades de mejora.

4. Procesar la información recopilada, considerando: 11/02/2019

a) Normativas Internas sobre riesgos y procedimientos internos.
b) La ISO 27002, Gestión de Seguridad de Información, la /ISO 12207
Ciclo de Vida del software.
c) Cobit 5.0. Dominio “Entrega y Servicio” / ISO 20000 Gestión de
Servicios.
5. Resultado de la evaluación 18/02/2019

6. Organización de los papeles de trabajo Folios 04/03/2019 MFR

8
 Iniciales
Documentos Fecha
Concepto Responsable
Trabajo ejecución

7. Informe preliminar de este punto Informe 25/02/2019 MFR

1. Evaluación del nivel de cumplimiento de los procesos establecidos del ciclo
de vida del software, con referencia a la Norma Técnica Peruana NTP-
ISO/IEC 12207. La evaluación incluye la revisión completa de los procesos
principales, de apoyo y organizativos indicados por la norma.

1. Solicitar información al área encargada, de documentos emitidos sobre Memo 04/02/2019 MFR
mejoras o mantenimientos realizados al sistema TRANFORMACION M&F.

2. Documentación que evidencie como se promueve la cultura del buen uso de Memo 04/02/2019
los sistemas de información.
4. Documentación que evidencie la participación de las áreas responsables, así Memo 04/02/2019 MFR
como de otros aspectos de fortalecimiento.
5. Emitir un cuestionario basado en la NTP-ISO/IEC 12207 Ciclo de Vida, Cuestionario 07/02/2019 MFR
respecto del cumplimiento de sus fases:

a) Proceso Principales del Ciclo de Vida

a. Adquisición
b. Suministro
c. Operación
d. Desarrollo
e. Mantenimiento
b) Proceso de Apoyo del Ciclo de vida
a. Documentación
b. Gestión de Configuración
c. Aseguramiento de la Calidad
d. Verificación
e. Validación
f. Revisión Conjunta
g. Auditoria
h. Solución a Problemas
c) Proceso Organizativos del Ciclo de Vida
a. Gestión
b. Infraestructura
c. Mejora
d. Recursos Humanos

Memo MFR
7. Procesar la información recopilada, considerando: 11/02/2019
1. La norma técnica N° NTP-ISO/IEC 12207 Ciclo de Vida
2. Cobit 5.0
8. Resultado de la evaluación 18/02/2019
9. Organizar los papeles de trabajo Folio 04/03/2019 MFR

10. Informe preliminar Informe 25/02/2019 MFR

8
 Iniciales
Documentos Fecha
Concepto Responsable
Trabajo ejecución
2. Evaluación del nivel de cumplimiento de los procesos establecidos sobre
tecnología de la información, técnicas de seguridad, código de prácticas
para controles de seguridad de la información, con referencia a las normas
técnicas peruanas NTP-ISO/IEC 27001 y 27002 indicadas. La evaluación
incluye la revisión completa de los procesos indicados por la norma.

1. Solicitar información al área de responsable sobre las actividades y Memo 04/02/2019 MFR
acciones relacionadas a la Gestión de la Seguridad de Información.
2. Solicitar Información relacionado a la documentación (procesos,
procedimientos técnicos operativos, manuales, guías) que están
formalizados (publicados y autorizados) del área de Tecnologías de
Información en Seguridad de Información
3. A las áreas usuarias que indiquen los medios mediante los cuales se Memo 04/02/2019 MFR
enteran de un documento normativo de Seguridad de Información.
4. Emitir cuestionario basado en la Normas Técnicas Peruanas NTP-ISO/IEC 07/02/2019
27001 y 27002 Gestión de la Seguridad de Información, considerando los Cuestionario MFR
controles generales:
a) Seguridad Lógica.
b) Seguridad Personal.
c) Seguridad Física y Ambiental.
d) Inventario de Activos y Clasificación de la Información.
e) Administración de las Operaciones y Comunicaciones.
f) Adquisición, Desarrollo y Mantenimiento de Sistemas de
Información.
g) Procedimientos de respaldo.
h) Gestión de Incidente de Seguridad de Información.
i) Cumplimiento Normativo.
j) Privacidad de la Información.

5. Procesar la información recopilada 11/02/2019

6. Resultado de la evaluación 18/02/2019

7. organizar los papeles de trabajo Folio 04/03/2019 MFR

8. Informe preliminar Informe 25/02/2019 MFR

3. Evaluación del nivel de cumplimiento de los procesos relacionados con la

ISO/IEC 20000, COBIT o ITIL de Gestión y Capacidad Operativa del
Servicio.

1. Solicitar Información relacionado al servicio que proporciona el Sistema 04/02/2019

TRANFORMACION M&F.
2. Al área de sistemas o el que haga sus veces los documentos normativos Memo 04/02/2019 MFR
que utilizan para su gestión del servicios.
3. Al área responsable de gestionar la documentación (procesos, Memo 04/02/2019 MFR
procedimientos técnicos operativos, manuales, guías) que están
formalizados (publicados y autorizados) del área de Tecnologías de
Información.
4. Emitir cuestionario basado en la ISO/IEC 20000, COBIT o ITIL, Cuestionario 07/02/2019 MFR
considerando los siguientes procesos:

8
 Iniciales
Documentos Fecha
Concepto Responsable
Trabajo ejecución
 ISO/IEC 20000
a) Proceso de Provisión del Servicio.
b) Proceso de Cambios.
c) Proceso de Relaciones.
d) Proceso de Resolución.

 COBIT 5.0
e) Proceso de Evolución, Dirigir y Monitorear.
f) Proceso de Alinear, Planear y Organizar.
g) Proceso de Construir, Adquirir e Implementar.
h) Proceso Entregar, Servicio y dar Soporte.
i) Proceso Monitorear, Evaluar y Valorar.
j) Adquisición, Desarrollo y Mantenimiento de Sistemas de
Información.

5. Procesar la información recopilada, considerando: 11/02/2019

1. ISO 20000 Gestión de Servicios
2. Cobit 5.0
6. Resultado de la evaluación 18/02/2019

7. organizar los papeles de trabajo Folios 04/03/2019 MFR

8. Informe preliminar Informe 25/02/2019 MFR

4. Evaluación del nivel de cumplimiento de los planes y procedimientos MFR

derivados de la dirección, así como los principales controles operativos,
contables y financieros.
1.- Solicitar el Plan Operativo Informático 2017 y 2018. Se incluye los reportes Archivo 01/CD1 04/02/2019 MFR
de estado y cumplimiento de reporte ante el SEGDI.
2.- Solicitar el Plan de Adquisiciones 2017 y 2018. Se debe incluir todas las Archivo 01/CD1 04/02/2019 MFR
actualizaciones y los sustentos respectivos.
3.- Solicitar el Presupuesto 2017 y 2018, en relación con las partidas contables Archivo 01/CD1 04/02/2019 MFR
solicitadas para inversiones y/o mantenimientos del sistema
TRANFORMACION M&F.
4.- Solicitar el registro contable 2017 y 2018, en relación con los intangibles y Archivo 01 /CD1 04/02/2019 MFR
activos derivados de las adquisiciones realizadas para el sistema
TRANFORMACION M&F.
5.- Solicitar el Plan Estratégico vigente. Incluir los reportes de estado y Archivo 01/CD1 04/02/2019 MFR
cumplimiento.
6.- Solicitar el registro de bienes en el ENRIEP 2017 y 2018 en el SEGDI. Archivo 01/CD1 04/02/2019 MFR

7.- Solicitar el Plan de Datos Abiertos 2017 y 2018. Así como su estado y Archivo 01/CD1 04/02/2019 MFR
reporte realizado
8.- Solicitar el Plan para la implementación del Modelo de Gestión Documental Archivo 01/CD1 04/02/2019 MFR
aprobado. Así como su estado y reporte realizado.
8. Resultado de la evaluación Informe 11/02/2019 MFR

9. Organizar los papeles de trabajo Informe 04/03/2019 MFR

10. Informe preliminar Informe 25/02/2019 MFR

5. Elaborar y proponer procedimientos de revisión y verificación del MFR

8
 Iniciales
Documentos Fecha
Concepto Responsable
Trabajo ejecución
cumplimiento de los aspectos técnico – informáticos considerados en los
términos de referencia de los procesos y/o procedimientos establecidos
para la TRANFORMACION M&F.
1.- Solicitar los informes técnicos de los procesos que hayan considerado la Archivo 01/CD1 04/02/2019 MFR
compra o la contratación de servicios de elementos de tecnología, para el
sistema TRANFORMACION M&F en los años 2017 y 2018.
2.- Solicitar los estudios de mercado de los procesos del punto anterior. Archivo 01/CD1 04/02/2019 MFR

3.- Solicitar las evaluaciones técnicas a las propuestas de los procesos de Archivo 01/CD1 04/02/2019 MFR
adquisición del punto 1.
4.- Solicitar los contratos y/o adendas derivados del punto 1. Archivo 01/CD1 04/02/2019 MFR

5.- Procesar la información recopilada, considerando: Informe 11/02/2019 MFR

a) Normativas Internas.
b) Ley vigente de Contrataciones del estado en la fecha que los
procesos fueron convocados.
6.- Resultado de la evaluación. Informe 18/02/2019 MFR

7.- Organizar los papeles de trabajo. Informe 04/03/2019 MFR

8.- Informe preliminar. Informe 25/02/2019 MFR

6. Evaluar la relación de la organización con el(los) proveedor(es) de los 11/02/2019 MFR

servicios de tecnología.
1. Evaluar los contratos vigentes y la documentación relevante en cuanto a 11/02/2019 MFR
cambios en la instalación que puedan afectar la estructura del sistema.
3. Evaluar el registro de interrupción de los servicios por responsabilidad de 11/02/2019 MFR
terceros.
4. Revisar que se hayan aplicado los correctivos necesarios sobre las 11/02/2019 MFR
observaciones formuladas en auditorías anteriores.
5. Procesar la información recopilada, considerando: Informe 11/02/2019 MFR
a) Normativas Internas.
b) Normas relacionado al punto de evaluación.
6. Resultado de la evaluación. Informe 18/02/2019 MFR

7. Organizar los papeles de trabajo. Informe 04/03/2019 MFR

8. Informe preliminar. Informe 25/02/2019 MFR