Documentos de Académico
Documentos de Profesional
Documentos de Cultura
cumplimiento de
disposiciones y
procedimientos técnicos
establecidos para el
sistema de la PANDEMIA
Fecha
04 de Mayo del 2021
INFORME FINAL
Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas
Tecnológicas
0
Contenido
RESUMEN EJECUTIVO.....................................................................................................................................2
1. OBJETIVOS Y ALCANCE DE LA CONSULTORÍA...............................................................................7
2. EVALUACIÓN DE LA SITUACIÓN DE LA ACTIVIDAD.......................................................................7
2.1. DESARROLLO DE OBJETIVOS................................................................................................................8
2.2. ASPECTOS DE IMPORTANCIA................................................................................................................9
2.3. OPORTUNIDADES DE MEJORAS, RIESGOS DETECTADOS Y SU IMPACTO EN LA INSTITUCIÓN...........................19
3. CONCLUSIONES Y RECOMENDACIONES.....................................................................................33
4. FECHA DE INICIO Y FECHA DE TÉRMINO DE LA EVALUACIÓN......................................................33
5. ANEXOS.................................................................................................................................... 34
5.1. ANEXO 1: PROPUESTA PROCEDIMIENTO TRANSITORIO..........................................................................34
5.2. ANEXO 2: PROPUESTA MODELO DEL SERVICIO DESARROLLO DE APLICACIONES SOFTWARE.........................36
5.3. ANEXO 3: INFORME DE LAS ENCUESTAS AL PERSONAL VUCE.................................................................50
5.4. ANEXO 4: INFORME DE LA NTP 12207:2016, GRADO DE MADUREZ, CVDS..........................................57
5.5. ANEXO 5: PROPUESTA DEL CICLO DE VIDA DEL SOFTWARE ALINEADO A LA NTP ISO 12207:2014.............69
5.6. ANEXO 6: MODELO DEL SISTEMA DE CALIDAD VUCE...........................................................................84
5.7. ANEXO 7: INFORMACIÓN DOCUMENTADA...........................................................................................86
5.8. ANEXO 8: OPERACIÓN.....................................................................................................................88
5.9. ANEXO 9: PROCEDIMIENTOS DEL SISTEMA DE CALIDAD.......................................................................101
5.10. ANEXO 10: MODELO DE FORMATOS DEL SISTEMA DE CALIDAD............................................................104
5.11. ANEXO 11: MODELO DE INSTRUCTIVOS............................................................................................109
5.12. ANEXO 12: EJEMPLOS DE EVIDENCIAS PARA MEJORAS.........................................................................111
La presente actividad del consultor se realizó en cumplimiento al requerimiento de revisión del nivel de
cumplimiento de las disposiciones y procedimientos técnicos establecidos para los sistemas de la VUCE,
que aseguren la integridad de la operación de la Ventanilla Única de Comercio Exterior y que recopile
buenas prácticas en la transición de aplicación de estas en las definiciones de la VUCE 2.0 y que
coadyuve en el proceso de implementación de las nuevas definiciones de la VUCE 2.0.
La Ventanilla Única de Comercio Exterior (VUCE) inicio sus operaciones el año 2010 y a la fecha se
encuentra a puertas de iniciar una nueva etapa denominada VUCE 2.0, que incluye la adopción de
actividades sustanciales tales como: Capacitación a Entidades en Gestión de Procesos, Rediseño de
Procesos en Entidades de mayor impacto, Facilitación de herramientas de BI a Entidades, Atención de
requerimientos inmediatos, Apoyo para la implementación en Entidades de Trámites Documentarios
Estándares, Diseño y construcción de Port Community System y el Diseño y la Construcción de la VUCE
Central.
El consultor revisó los procesos del ciclo de vida del software, con referencia a la NTP-ISO/IEC 12207, los
procesos de Tecnologías de la Información y Seguridad con referencia a COBIT 5.0 y la NTP-ISO/IEC
27002 respectivamente y finalmente los procesos de Gestión de Servicios con referencia a la ISO/IEC
20000. Adicionalmente se revisó la normativa vigente aplicada a la gestión administrativa de la VUCE.
En opinión del consultor, los controles que miden y corrigen la eficiencia de la gestión de las tecnologías
de información en la Ventanilla Única de Comercio Exterior (VUCE), funcionan de manera razonable. Sin
embargo, es necesario que se atiendan algunos aspectos de control que permitirán mejorar la calidad y la
eficiencia con la que brindan sus servicios.
Se propone una herramienta de WorkFlow para la automatización de las tareas del CVS, de tal forma
que se establece un orden y jerarquía, además de vincular a los colaboradores de la entidad con los
procesos del CVS. Las ventajas de una herramienta de WorkFlow son las siguientes:
Asimismo, el consultor, ha incluido en este informe diez Oportunidades de Mejora que tienen por objetivo
optimizar la gestión de la VUCE en los siguientes aspectos: Mejoras en la Gestión del Ciclo de Vida de
Software, Fortalecimiento de la Gestión de Continuidad de Negocios, Mejoras en la Arquitectura de
Desarrollo de Sistemas, Mejoras en la Gestión de Problemas. Por último, se está recomendando que
haya un mejor alineamiento de la DVUCEPT a la normativa de gestión vigente y de igual forma a la Ley
de Datos Abiertos.
1. Fortalecer la supervisión del servicio de infraestructura que le brindan como soporte a la plataforma
tecnológica de VUCE a través de un personal de planta o CAS.
Es necesario que se cuente con personal que realice funciones de coordinación y/o supervisión de
los distintos servicios de la plataforma tecnológica que se tienen contratados, para que verifique y
constate la correcta ejecución de las actividades. Asimismo, en caso se presente alguna incidencia
podría coordinar rápidamente con los responsables de tecnológica de MINCETUR.
Se ha visto que es necesario el fortalecimiento del nivel de coordinación entre los principales actores
de la gestión tecnológica de los procesos de la VUCE, por tal motivo se ha considerado necesario la
creación de dos comités:
Comité de Pase a Producción. - Permitirá identificar riesgos potenciales, evaluar las prioridades para
la liberación de las soluciones, además de promover actividades requeridas para verificar si el
cambio efectuado corresponde a los requerimientos solicitados.
Comité de Pendientes de atención y seguimiento. - Permitirá evaluar los pendientes de las diferentes
áreas, el estado de las modificaciones y/o los cambios por parte de la fábrica, el estado de los
requerimientos, el estado de las pruebas, los tiempos de ejecución, entre otros.
3. Se requiere contar con modelos de empresa para la fábrica de software y pruebas donde se vea
mejor el trabajo orientado a culminar los requerimientos, es decir contratar una fábrica de software.
Consideramos que se debe evaluar la posibilidad de contar con los servicios de una Fábrica de
Software y una Fábrica de Pruebas, con la finalidad de descargar y agilizar las atenciones de los
distintos requerimientos. Esta modalidad, permite focalizar los esfuerzos en actividades core del
negocio y tercerizar las otras partes del CVS.
La DVUCEPT planifica la realización del producto mediante la identificación y desarrollo de los macro
procesos necesarios para su realización (Dirección, Gestión de la Calidad, Análisis, Diseño y
Desarrollo de Software, Gestión de Operaciones, Gestión Administrativa), identificando su interacción
descrita en el “Manual de Procesos y Procedimientos” de la VUCE y las fichas de proceso de Nivel 1.
- Implementar mayores escenarios de pruebas para garantizar los pases a producción y reducir el
riesgo en la liberación a producción.
- Disponer que todos los coordinadores puedan estandarizar un único Excel de Prioridades que
permita a los diferentes equipos las prioridades y que todos se encentren informados.
- Disponer que en los diferentes procesos del ciclo de vida definan sus riesgos como medida de
garantizar y fortalecer la liberación de los cambios en producción.
- identificado unas oportunidades de mejoras que se detallan a continuación:
6. Se deben fortalecer los controles que reduzcan los tiempos de interrupción de la plataforma VUCE.
Por lo mencionado anteriormente, se ha visto por conveniente recomendar que se elabore un BIA
(Business Impact Analysis) y un DRP (Disaster Recovery Plan), que establezca el proceso de
recuperación de los datos, el hardware y software crítico, para que la empresa pueda reanudar sus
operaciones en caso de un desastre natural o causado por humanos. Finalmente evaluar el control
más conveniente que garantice la continuidad de sus servicios ante un corte de energía eléctrica de
la red comercial.
7. Evaluar la adopción de una gestión proactiva que permita mejorar los indicadores de atención y
disponibilidad de los servicios que brinda la VUCE.
Se revisó la información de los tickets de la Mesa de Ayuda en la cual se puede apreciar que existe
un gran número de llamadas con incidencias que caen en la categoría Sistema, Sistema de
Autenticación e Interconexión. Vale la pena mencionar que existe una gestión coordinada de
incidentes y problemas asociados a los servicios que brinda la VUCE, pero que sin embargo puede
ser reforzada.
Por lo mencionado anteriormente, se ha visto por conveniente recomendar que los responsables de
los procesos y los responsables de la gestión de incidentes, problemas, cambios y configuración
Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas Tecnológicas
4
opten por la creación de un comité de mejora continua, que se reúna regularmente para discutir
problemas conocidos y cambios que se hayan planificado.
Por otro lado, también se recomendó asignar un coordinador de VUCE que supervise los costes
totales originados por los problemas, que registre los esfuerzos de cambio que sean resultado de la
gestión de problemas, que reduzca las soluciones temporales y haga un seguimiento de los cambios
que van presentando los problemas.
Finalmente, identificar y proponer las soluciones permanentes identificando la causa raíz, y gestionar
solicitudes de cambio a través de los procesos de gestión de cambios establecidos.
8. Evaluar, las ventajas de adoptar el uso de microservicios con la finalidad de reducir los tiempos de
interrupción originados por problemas en los servicios web de las instituciones que forman parte de la
VUCE.
La VUCE cuenta con un servicio que mensualmente le brinda un informe de cumplimiento de SLA’s y
servicio; este informe incluye información correspondiente a servicios de monitoreo, gestión de
cambios y gestión de incidentes de la infraestructura de la VUCE. De la muestra se puede evidenciar
que los tiempos más altos de interrupción de los servicios están en las incidencias de los servicios
web de las entidades que participan en la VUCE y sobre las cuales la VUCE no tiene mayor control.
9. En el plan operativo institucional y en el presupuesto de los años 2017 y 2018 del MINCETUR, no se
identifica la programación de actividades, proyectos y las adquisiciones informáticas a ejecutarse en
dicho período por la unidad ejecutora VUCE. Asimismo, se carece de un plan operativo informático.
Por otro lado, en el Portal de Transparencia de MINCETUR, se observa que la Oficina General de
Planificación, Presupuesto y Desarrollo, en cumplimiento de las funciones asignadas en el
Reglamento de Organización y Funciones - ROF del MINCETUR, aprobado mediante Decreto
Supremo N° 005-2002-MINCETUR y modificatorias presenta la propuesta del Plan Operativo
Institucional de la Unidad Ejecutora 004: Plan COPESCO Nacional, en el Pliego 035: habiéndose
aprobado por la máxima autoridad desde los años 2011 al 2019, procediendo con la emisión de las
Resoluciones Ministeriales respectivas, incluidas sus modificaciones
El Gobierno del Perú emitió el Decreto Supremo N° 016-2017-PCM que aprueba la “Estrategia
Nacional de Datos Abiertos Gubernamentales del Perú 2017 - 2021” y el “Modelo de Datos Abiertos
Gubernamentales del Perú”, el cual tiene por finalidad promover la apertura de datos de la
información de las entidades públicas.
Por otro lado, se aprobó el Modelo de Gestión Documental en el marco del Decreto Legislativo N°
1310 con Resolución de Secretaría de Gobierno Digital N° 001-2017-PCM/SEGDI mediante el cual
se aprueban medidas adicionales de simplificación administrativa, entre ellas, la establecida en el
artículo 8 sobre la interconexión de los sistemas de trámite documentario o equivalentes de las
entidades de la Administración Pública, para el envío automático de documentos electrónicos entre
dichas entidades a través de la Plataforma de Interoperabilidad del Estado (PIDE) administrado por la
Presidencia del Consejo de Ministros a través de la Oficina Nacional de Gobierno Electrónico e
Informática (ONGEI), actualmente Secretaría de Gobierno Digital (SEGDI).
Objetivos Específicos:
1. Evaluación del nivel de cumplimiento de los procesos establecidos del ciclo de vida del
software, con referencia a la Norma Técnica Peruana NTP-ISO/IEC 12207. La evaluación
incluye la revisión completa de los procesos principales, de apoyo y organizativos indicados
por la norma.
Evaluación del nivel de cumplimiento de los procesos establecidos para el sistema de la VUCE,
en los siguientes aspectos:
Los procesos del ciclo de vida del software, con referencia a la Norma Técnica Peruana
NTP-ISO/IEC 12207.
Los procesos de Tecnología de la Información, Técnicas de Seguridad, Código de
Prácticas para Controles de Seguridad de la Información, con referencia a la Norma
Técnica Peruana NTP-ISO/IEC 27002.
Los procesos de Gestión del Servicio, con referencia a la ISO/IEC 20000.
Los procesos de cumplimiento de los planes y procedimientos derivados de la dirección.
Los procesos de aplicación de los controles operativos, contables y financieros.
Como parte de las acciones y actividades que se vienen ejecutando en el Proyecto VUCE 2.0, se ha
recibido de la Dirección de la Ventanilla Única de Comercio Exterior y Plataformas Tecnológicas
(DVUCEPT), el requerimiento de revisar el nivel de cumplimiento de las disposiciones y
procedimientos técnicos establecidos para los sistemas de la VUCE, que aseguren la integridad de la
operación de la Ventanilla Única de Comercio Exterior y que recopile buenas prácticas en la
transición de aplicación de estas en las definiciones de la VUCE 2.0.
Por ello se plantea la atención de esta evaluación del nivel de cumplimiento de disposiciones y
procedimientos técnicos establecidos para el sistema de la VUCE, a fin de asegurar dicha transición.
Visión: Llegar a ser una plataforma tecnológica líder de la región y principal herramienta tecnológica
que propicia la competitividad de las operaciones de comercio exterior del Perú mediante la
utilización de las Tecnologías de la Información y Comunicaciones - TICs.
Valores:
a. Compromiso: Nos identificamos con los objetivos estratégicos institucionales, actuando con
disposición permanente y entregando lo mejor de cada uno. Cumplimos con el deber
asignado para el logro de los objetivos
b. Probidad: Actuamos con rectitud, honradez y honestidad; de manera ideal, razonable, justa,
recta y decente; anteponiendo los fines e intereses del MINCETUR y de la población sobre
los propios.
Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas Tecnológicas
9
c. Transparencia: Estamos en la capacidad de mostrar, sustentar y comunicar nuestras
actuaciones, manejando la información de forma clara, completa y veraz.
d. Justicia: Reconocemos los derechos de todos y cada uno de los integrantes con criterios de
equidad de los recursos públicos.
e. Lealtad: Somos fieles en las labores de la función pública al dar cumplimiento al marco
legal, orientando nuestras funciones al servicio de la población y los fines del Estado.
Reseña Histórica: La VUCE fue creada mediante Decreto Supremo N.º 165-2006-EF.
Hitos de la VUCE
La VUCE funciona como un sistema integrado que permite a las partes involucradas en el comercio y
transporte internacional, gestionar a través de medios electrónicos, los trámites requeridos por las
diversas entidades competentes, de acuerdo con la normatividad vigente, o solicitados por dichas
partes para el tránsito, ingreso o salida del territorio nacional de mercancías.
La VUCE cuenta con una Comisión Especial que coadyuva su implementación, que participan 27
instituciones: 17 del sector público, 9 gremios empresariales del comercio exterior y 1 administrador
portuario. Entre las instituciones públicas se encuentran:
Estos procesos se han clasificado según su aporte a la Cadena de Valor presentándose 3 tipos:
Procesos Estratégicos (E). Procesos que definen las políticas, estrategias, objetivos y metas
de la organización, así como asegurar su cumplimiento.
Procesos Misionales (M). Son los procesos operativos o de producción de bienes y servicios
que se entrega al cliente, son los que reciben e identifican los requisitos y necesidades,
transformándolos mediante los procesos, agregando valor y son encargados de lograr la
satisfacción de este.
Procesos de Soporte (S). Procesos que realizan actividades de apoyo necesarias para el
buen funcionamiento de los procesos misionales y estratégicos. Los procesos estratégicos
definen la orientación hacia dónde debe operar los procesos misionales, los cuales se
apoyan de los procesos de soporte para cumplir con los objetivos planificados.
La DVUCEPT ha documentado sus procesos a un segundo nivel N2, estos niveles se detallan en el
cuadro N.º 1, llegando a un nivel de procedimientos como el nivel de máximo detalle de
documentación.
Los procedimientos incluyen una descripción detallada explicando el ¿Cómo se realizan las
actividades de los subprocesos? y ¿Qué roles o puestos participan?
“Se busca consolidar a la VUCE como una herramienta de facilitación del comercio exterior, que
brinde servicios de calidad, oportunos, transparentes y predecibles a los administrados y autoridades
administrativas, a fin de que realicen sus operaciones vinculadas al comercio exterior”.
Estas responsabilidades se han comunicado, difundido, han sido comprendidas y están disponibles
por todo el personal integrante del SGC, mediante la difusión del presente Manual.
2. La DVUCEPT ha planificado las acciones para abordar los riesgos y oportunidades, así como la
manera de integrar e implementar las acciones en sus procesos mediante la actualización del
proceso de planeamiento y el procedimiento de “DVUCEPT.01, Planeamiento”, que describe los
lineamientos básicos de la Gestión de Riesgos, así como la planificación a las respuestas a los
riesgos, oportunidades, el control y la evaluación de la eficacia de los riesgos.
Los riesgos de niveles inaceptables y altos o sus equivalentes deberán implementarse controles o
actividades de respuesta al riesgo, las mismas que deberá actualizarse según sean requeridas.
Los objetivos de la Calidad han sido definidos por la DVUCEPT, estos se determinan sobre la base
de los objetivos estratégicos del Sector Comercio Exterior definidos por el MINCETUR en el PESEM
y PENX, el análisis externo e interno de la VUCE realizado mediante la matriz FODA (fortalezas,
oportunidades, debilidades y amenazas), estos objetivos son coherentes con la política de la calidad
establecida, el enfoque a los procesos del SGC, son medibles y son objeto de seguimiento a través
de indicadores, son pertinentes para la conformidad de los productos y servicios, son actualizados y
comunicados oportunamente a los interesados según corresponda.
Objetivos de la Calidad
Para la planificación del logro de los objetivos de la calidad se han determinado las acciones
operativas generales requeridas que se realizaran, así como los recursos requeridos para su
ejecución y son determinados durante la formulación del Plan Operativo Institucional (POI), los
responsables son los Coordinadores de Línea en Coordinación con el Director de la DVUCEPT, los
plazos establecidos figuran en el documento de POI, los indicadores con que se evaluarán los
resultados obtenidos se detalla en el ítem 9.1.1.1.
Acciones Operativas
Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas Tecnológicas
18
La política, objetivos y metas de la calidad son revisados y aprobados anualmente, para su continua
adecuación y mejoramiento de la eficacia del SGC por el Director General de la DGFCE del
MINCETUR.
El Plan y Programación de actividades detallaran las actividades requeridas para ejecutar las
acciones operativas requeridas y cumplir los objetivos y metas establecidas; su avance y
cumplimiento del plan, son actualizados trimestralmente por los responsables de proceso o
Coordinadores de Línea respectivos, debiendo mantenerse disponible dicho Plan en la ruta
compartida del SGC. Los Coordinadores de Línea informarán trimestralmente al Director de la
DVUCEPT con copia al Coordinador de Procesos y Calidad del avance o cumplimiento de los
objetivos y metas establecidas, así como su modificación.
Cuando se determina la necesidad de los cambios del SGC, estos son implementados de manera
planificada, evaluándose previamente su impacto en el proceso, para asegurarse que estos logren
los resultados planificados, debiéndose considerar:
Los cambios se registrarán en el control de cambio que figura en los documentos del SGC
(procedimientos, manuales, instructivos) o en las solicitudes de cambio que justifican su aprobación,
por el Director de la DVUCEPT o Coordinador de Línea responsable o según lo establecido en su
respectivo procedimiento.
Recomendación
De las reuniones sostenidas con los diferentes consultores que interviene en los procesos del
ciclo de vida del sistema VUCE, se ha podido apreciar que no se reúnen de forma continua para
fortalecer las actividades y procesos de una mejora o cambio en la plataforma tecnológica; las
generaciones de comités permitirán fortalecer las actividades requeridas en el ciclo de vida de la
plataforma tecnológica de VUCE, estos comités podrían ser:
Comité de Pase a Producción: Reunión de coordinación que permite identificar los riesgos
potenciales, evaluar las prioridades para la liberación de la solución, actividades requeridas para
verificar si el cambio efectuado corresponde a los requerimientos emitidos y sobre todo validar y
verificar el comportamiento de la mejora o el cambio. Del mismo modo se identifican
responsables y roles requeridos, así como los cambios que se pueden efectuar en la parte de
infraestructura y que requieren ser comunicados a todas las instancias.
Asimismo, como una práctica usualmente aceptada de Cobit 4.1 “Objetivos de Control para la
Información y la Tecnología” en el dominio “Monitorear y evaluar”, ME2 “Monitorear y evaluar el
control interno”, indica que: “Establecer un programa de control interno efectivo para TI requiere
un proceso bien definido de monitoreo. Este proceso incluye el monitoreo y el reporte de las
excepciones de control, resultados de las auto-evaluaciones y revisiones por parte de terceros.
Un beneficio clave del monitoreo del control interno es proporcionar seguridad respecto a las
operaciones eficientes y efectivas y el cumplimiento de las leyes y regulaciones aplicables”
Recomendación
3. Se requiere contar con modelos de empresa para la fábrica de software y pruebas donde se vea
mejor el trabajo orientado a culminar los requerimientos, es decir contratar una fábrica de
software.
Al evaluar todos los procesos que se ejecutan para los diferentes procesos en la atención de los
requerimientos, como un mecanismo de fortalecer consideramos que podrían evaluar la
posibilidad de contar con –Fábricas de Software y Fábrica de pruebas diferentes ambas como la
manera de descargar y agilizar las atenciones de los diferentes requerimientos, existen en el
mercado y lo utilizan diferentes entidades del estado dicha forma de trabajar ya que permite
focalizar los esfuerzo en el CORE del negocio y tercerizar las otras partes del ciclo de vida; ello
significa también que se considere una buena Metodología para Gobernar o administrar dicha
posibilidad.
Como una práctica usualmente aceptada de Cobit 4.1 ‘Objetivos de Control para la Información y
la Tecnología’ en el dominio Planear y Organizar, indica que se debería:” Asignar la
responsabilidad para el desempeño de la función de aseguramiento de calidad y proporcionar al
grupo de aseguramiento los sistemas de aseguramiento de calidad, los controles y la experiencia
para comunicarlos. La ubicación organizacional y las responsabilidades y tamaño del grupo de
aseguramiento de calidad satisfacen los requerimientos de la organización”. De la misma manera
menciona que: “Se debe elaborar y mantener un sistema de administración de calidad, el cual
incluya procesos y estándares probados de desarrollo y de adquisición. Esto se facilita por medio
de la planeación, implantación y mantenimiento del sistema de administración de calidad,
proporcionando requerimientos, procedimientos y políticas claras de calidad. Los requerimientos
de calidad se deben manifestar y documentar con indicadores cuantificables y alcanzables. La
mejora continua se logra por medio de un constante monitoreo, corrección de desviaciones y la
comunicación de los resultados a los interesados. La administración de calidad es esencial para
garantizar que TI está dando valor al negocio, mejora continua y transparencia para los
interesados”.
Dicha situación genera un riesgo potencial ya que se podría ingresar cambios o mejoras y no
contar con los recursos necesarios, pero contar con una fábrica de software se puede garantizar
la continuidad de servicios.
Recomendación
La DVUCEPT determina los requisitos requeridos por el cliente mediante los procedimientos
“DVUCEPT.08, Análisis Funcional” y los requisitos legales y reglamentarios aplicables, se cuenta
con los procedimientos que detallan el diseño, desarrollo, implementación de software:
“DVUCEPT.08, Análisis Funcional”, “DVUCEPT.09, Análisis Técnico”, “DVUCEPT.10,
Codificación”, “DVUCEPT.11, Pruebas”, “DVUCEPT.12, Certificación”, “DVUCEPT.13,
Despliegue”.
- Ampliar los escenarios de pruebas para garantizar mejor los pases a producción; se ha
identificado que las pruebas son realizadas en un nivel de pruebas unitarias, además de las
pruebas funcionales, sin embargo, para fortalecer el esquema de pruebas debería realizarse
pruebas integrales, pruebas de regresión etc. con la finalidad de fortalecer el proceso de
pruebas y reducir el riesgo a la hora de liberar un cambio en producción.
- En los diferentes formatos que se utilizan para el ciclo de vida se aprecia que el equipo de
análisis cuenta con un análisis de riesgos establecido en su formato, sin embargo, en el
proceso tanto de Desarrollo, pruebas, y liberación a producción debe tener establecidos un
análisis de dicho cambio pues son distintas a considerar en cada proceso.
- Se pudo identificar que existen cambios de urgencia o de emergencia que no han pasado
formalmente por el proceso formal que se efectúa para el ciclo de vida de los cambios o
mejoras, dicha situación se puede detectar cuando se liberó a producción y se solicita la
actualización de los formatos correspondientes, pero requiere su formalización.
De las oportunidades de mejoras, podemos decir que no se alinea con la Norma Técnica
Peruana NTP-ISO/IEC 12207:2016 Ingeniera de Software y sistemas. Procesos del ciclo de vida
del Software 3era Edición, aprobada mediante Resolución Ministerial Nº 013-2016-INACAL/DN,
el 27 febrero 2017”, en el punto 6. Procesos de Apoyo del Ciclo de Vida, apartado 6.3. “Proceso
de Aseguramiento de la Calidad” menciona que: ‘El proceso de aseguramiento de la calidad es
un proceso para proporcionar la seguridad apropiada de que los productos y procesos software
del ciclo de vida del proyecto son conformes con sus requerimientos especificados y se adhieren
a los planes establecidos. Para ser imparcial, el aseguramiento de la calidad necesita libertad
organizativa y autoridad respecto a las personas directamente responsables el desarrollo del
producto software o, que ejecutan el proceso del proyecto.’
1
CVDS Ciclo de Vida del Software
Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas Tecnológicas
24
Este proceso además de garantizar que no se vean comprometidos los procedimientos de
seguridad y control, que los programadores de soporte cuenten con acceso solo para las partes
del sistema necesarias para su trabajo y que se obtenga el acuerdo y la aprobación formal para
cualquier cambio.
Donde sea factible, se deberían integrar los procedimientos de control de cambios de aplicación
y operacionales. Los procedimientos de control de cambios deberían incluir, pero sin limitarse a:
Así mismo, dicha oportunidad de mejora no se alinea con la Norma de Control Interno, aprobada
mediante Resolución de Contraloría General N° 320-2006-CG de 206.10.30, en el numeral
II.5.1.1. Prevención y Monitoreo de las Normas Básicas para las actividades de Prevención y
Monitoreo que forma parte de las Normas Generales de Control Interno, señala lo siguiente: “El
monitoreo de los procesos y operaciones de la entidad debe permitir conocer oportunamente si
éstos se realizan de forma adecuada para el logro de sus objetivos y si en el desempeño de las
funciones asignadas se adoptan las acciones de prevención, cumplimiento y corrección
necesarias para garantizar la idoneidad y calidad de los mismos”.
Del mismo modo, como práctica generalmente aplicable y aceptada de control y administración
en Tecnologías de Información, la dirección correspondiente deberá definir e implementar
estándares de sistemas de información y adoptar una metodología del ciclo de vida de desarrollo
de sistemas que rija el proceso de desarrollo, adquisición, implementación y mantenimiento de
sistemas de información computarizados y tecnología afín. La metodología del ciclo de vida de
desarrollo de sistemas elegida deberá ser la apropiada para los sistemas a ser desarrollados,
adquiridos, implementados y mantenidos. Asimismo, se deberá definir procedimientos
destinados a evaluar el aseguramiento de la calidad sobre el cumplimiento de Estándares de
Desarrollo.
Recomendación
Implementar mayores escenarios de pruebas para garantizar mejor los pases a producción y
reducir el riesgo en la liberación a producción.
Disponer que todos los coordinadores de los diferentes procesos puedan uniformar un único
Excel de Prioridades que permita a los diferentes equipos la integridad de las prioridades y
Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas Tecnológicas
25
todos se encentren informados.
Disponer que en los diferentes procesos del ciclo de vida definan sus riesgos como medida
de garantizar y fortalecer la liberación de los cambios en producción.
Disponer la creación de un procedimiento, cambios de urgencia o de emergencia que no
han pasado formalmente por el proceso formal para ello en el ANEXO 1 se propone un
ejemplo para su evaluación y adopción.
El MINCETUR 2 como ente responsable cuenta con direcciones y unidades ejecutivas para dirigir
todo lo relacionado al comercio y turismo en el Perú, como entidad del estado esta alienado al
cumplimiento de la ISO NTP/IEC 27001:2014 3 la norma técnica exige entre otros aspectos la
participación y creación de un comité de gestión de seguridad de la información conformada por
el Titular de la entidad o su representante, responsable de la administración, responsable de la
planificación, responsable de informática, responsable de Legal, oficial de seguridad y los
representante que consideren de las diferentes direcciones; la fecha de cumplimiento de la
creación del comité fue el 04/07/32017 y la fecha de cumplimiento de la implementación de la
norma fue en enero 2018 para todas las entidades del estado.
- El Titular de la Entidad;
- El responsable de administración o quien haga sus veces;
- El responsable del área de informática o quien haga sus veces;
- El responsable del área legal o quien haga sus veces y el oficial de seguridad de la
información;
- Las funciones del comité de Gestión de seguridad de la información serán establecidas por
cada entidad de acuerdo a la norma que se aprueba mediante el artículo 1 de la presente
resolución ministerial.
- El Código de Buenas Prácticas para la Gestión de la Seguridad de la Información, ISO
NTP/IEC 27001:2014, aprobada con Resolución Ministerial N°004-2016-PCM en el Dominio
“Políticas de Seguridad de Información”, dice “La Dirección de la Seguridad de Información”;
Proporcionar dirección y apoyo de la gerencia para la seguridad de información en
concordancia con los requisitos de las leyes y regulaciones relevantes.
Recomendación
6. Se deben fortalecer los controles que reduzcan los tiempos de interrupción de la plataforma
VUCE.
5
MINCETUR, PCM, MEF, MTC, PRODUCE, SUNAT, DIGESA, DIGEMID, SENASA, SANIPES, SERFOR, SUCAMEC, APN, DIRESA Callao, DICAPI y
MIGRACIONES
6
Asociación de Agentes de Aduana del Perú (AAAP), Asociación de Exportadores (ADEX), Asociación Peruana de Agentes de Carga Internacional (APACIT),
Cámara de Comercio de Lima (CCL), Sociedad de Comercio Exterior del Perú (COMEX PERÚ), Sociedad Nacional de Industrias (SNI), Asociación Marítima del Perú
(ASMARPE), Asociación Peruana de Agentes Marítimos (APAM) y Asociación Peruana de Operadores Portuarios (ASPPOR)
7
DP World Callao SA y ENAPU
8
Esta problemática se ha dado también en los meses de enero y octubre.
Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas Tecnológicas
27
o En el punto referido a las Pruebas de Respaldo se puede leer que “No existe
infraestructura para realizar la restauración de los backup generados”.
En ese mismo orden de ideas, el objetivo de control DSS04.02 “Mantener una estrategia de
continuidad”, establece evaluar las opciones de gestión de la continuidad de negocio y escoger
una estrategia de continuidad viable y efectiva en coste, que pueda asegurar la continuidad y
recuperación de la empresa frente a un desastre u otro incidente mayor o disrupción.
De lo mencionado anteriormente se puede corregir que existe un riesgo bastante alto de que los
servicios de la VUCE puedan presentar interrupciones en la prestación de sus servicios, debido a
que no se cuenta con una estrategia formal de continuidad que le permita desarrollar e
implementar una respuesta basada en procedimientos y la información necesaria para facilitar
que la VUCE continúe con sus actividades críticas.
Recomendación:
Elaborar un BIA (Business Impact Analysis), que proporcione una base para identificar
los procesos críticos para la operación de la VUCE y la consiguiente priorización de
estos procesos siguiendo el criterio de cuanto mayor sea el impacto, mayor será la
prioridad. Para esto se debe definir el Tiempo Objetivo de Recuperación (RTO) que es
el período tolerado para la recuperación de un proceso de negocio a un nivel aceptable
luego de una interrupción o desastre, y el Punto Objetivo de Recuperación (RPO) que
está referido a la antigüedad máxima de los datos que el negocio puede permitir para
operar con datos de respaldo.
Una vez se tenga un BIA aprobado y formalizado se deberá elaborar un DRP (Disaster
Recovery Plan), que establezca el proceso de recuperación de los datos, el hardware y
software crítico, para que la empresa pueda reanudar sus operaciones en caso de un
desastre natural o causado por humanos. Este plan también debe incluir planes para
enfrentarse a la pérdida inesperada o repentina de personal clave.
7. Evaluar la adopción de una gestión proactiva que permita mejorar los indicadores de atención y
disponibilidad de los servicios que brinda la VUCE.
La Ventanilla Única de Comercio Exterior (VUCE) cuenta con un servicio de Mesa de Ayuda para
la atención de las incidencias de sus 3 componentes: Mercancías Restringidas, Componentes de
Origen y Componente Portuario; para tal fin cuentan con los servicios de la empresa Business
Solution Consultores (BSC) que mensualmente emiten el Informe “Servicio de Mesa de Ayuda y
de Monitoreo de Gestión de Incidentes a la Infraestructura de la Ventanilla Única de Comercio
Exterior, para Sostener la Continuidad del Servicio”.
Se revisó el Informe correspondiente al mes de agosto 2018, en el cual se puede apreciar, entre
otra información, para Mercancía Restringida, los tickets por Tipo de Llamada por Categoría. En
este rubro se puede evidenciar que un porcentaje importante de las incidencias reportadas
corresponden a las categorías Sistema, Autenticación, Interconexión:
Mercancia restringida
categoria
1600
1400
1200
1000
800
Cantidad de atenciones
600
400
200
0
n ad io
s os a n T io n os o
ac
io
tid ar l og tem a cio NA uar exio a nc pag
n V ta s c U s n n
rm E s
Ca Si ti S U co B ió
fo io
n yo ten IO de er sa ac
In c o u t o i z
ta ti Ap A io
n In
Pa
g ar
l i ci / Pe tic g ul
r e e
So ro r/
P r
Er ro AT
E r N
SU
Fuente: Informe N° 11 – Ítem 01 Informe de cumplimiento de SLAs y servicio de la VUCE. Mes de Servicio: Agosto 2018
Actualmente el servicio de Mesa de Ayuda incluye las atenciones de las consultas recibidas de
los administrados mediante llamada telefónica, correo electrónico y vía chat, para sostener la
continuidad del servicio de la ventanilla única de comercio exterior. Este servicio es
complementado con la ayuda de Administración de Operaciones y personal del área de Sistemas
de la VUCE. Lo mencionado anteriormente evidencia la existencia de una gestión coordinada de
incidentes y problemas asociados a los servicios que brinda la VUCE, pero que sin embargo
puede ser reforzada.
Sobre el particular, en el modelo de referencia COBIT 5.0, en el dominio “Entregar, dar Servicio y
Soporte” Proceso DSS03 “Gestionar los Problemas”, establece como objetivo de control
DSS03.05 “Realizar una gestión de problemas proactiva” que establece recoger y analizar datos
operacionales (especialmente registros de incidentes y cambios) para identificar tendencias
emergentes que puedan indicar problemas. Registrar problemas para permitir la valoración.
La gestión proactiva de los problemas le serviría a la VUCE para mejorar sus indicadores de
atención y disponibilidad, además de reducir los riesgos que atenten contra la continuidad del
negocio al identificar tendencias o problemas significativos.
Recomendación:
8. Evaluar, las ventajas de adoptar el uso de microservicios con la finalidad de reducir los tiempos
de interrupción originados por problemas en los servicios web de las instituciones que forman
parte de la VUCE.
El consultor tomó una muestra y revisó los informes de los meses de enero, febrero, marzo y
diciembre de 2018 del mencionado servicio, poniendo especial énfasis en aquellos incidentes
que generan interrupción de los servicios:
INFRAESTRUCTURA 2018
MES MINUTOS DE INTERRUPCION
Enero 39 minutos
Febrero 49 minutos
Noviembre 61 minutos
Diciembre 0 minutos
TOTAL 149 MINUTOS
De la muestra se puede evidenciar que los tiempos más altos de interrupción de los servicios
están en las incidencias de los servicios web de las entidades que participan en la VUCE y sobre
las cuales la VUCE no tiene mayor control.
La idea principal detrás de los microservicios es que algunos tipos de aplicaciones se vuelvan
más fáciles de construir y mantener cuando se dividen en piezas más pequeñas que funcionan
juntas. En otras palabras, cada componente se desarrolla por separado, y la aplicación es
simplemente la suma de sus componentes constituyentes.
Recomendación:
9. En el plan operativo institucional y en el presupuesto de los años 2017 y 2018 del MINCETUR,
Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas Tecnológicas
31
no se identifica la programación de actividades, proyectos y las adquisiciones informáticas a
ejecutarse en dicho período por la unidad ejecutora VUCE. Asimismo, se carece de un plan
operativo informático.
MINCETUR cuenta con Unidades Ejecutoras entre las cuales se cuenta la VUCE y el Plan
COPESCO por ejemplo, la VUCE fue creada mediante Decreto Supremo Nº 165-2006-MEF,
otorgándose rango de Ley a su creación, a través de la Primera Disposición Complementaria del
Decreto Legislativo Nº 1036;
Siendo el Plan Operativo Institucional un instrumento de gestión de corto plazo, que permite
definir las actividades anuales de las entidades de la Administración Pública, es recomendable
identificar las actividades, proyectos y las adquisiciones a ejecutarse por la Unidad Ejecutora
VUCE; al respecto en el Portal de Transparencia del MINCETUR, se ha registrado para la
Unidad Ejecutora COPESCO el Plan Operativo Institucional respectivo, por lo cual se debería
estandarizar también para la VUCE su tratamiento, tanto en la planificación, como el seguimiento
del mismo.
Recomendación:
El 10.02.2017, el Gobierno del Perú emitió el Decreto Supremo N° 016-2017-PCM que aprueba
la “Estrategia Nacional de Datos Abiertos Gubernamentales del Perú 2017 - 2021” y el “Modelo
de Datos Abiertos Gubernamentales del Perú”, el cual tiene por finalidad promover la apertura de
datos de la información de las entidades públicas, la innovación en la generación de valor público
con la reutilización de los datos abiertos para la creación de nuevos productos y servicios con el
uso de las tecnologías de la información y comunicación (TIC), para el desarrollo social y
económico, en el marco de un gobierno abierto. Asimismo, busca promover alianzas público-
privadas a través de la apertura y reutilización de los datos abiertos, para mejorar los servicios a
la ciudadanía.
Por otro lado, el 21.07.2017 se aprobó el Modelo de Gestión Documental en el marco del
Decreto Legislativo N° 1310 con Resolución de Secretaría de Gobierno Digital N° 001-2017-
PCM/SEGDI mediante el cual se aprueban medidas adicionales de simplificación administrativa,
entre ellas, la establecida en el artículo 8 sobre la interconexión de los sistemas de trámite
documentario o equivalentes de las entidades de la Administración Pública, para el envío
automático de documentos electrónicos entre dichas entidades a través de la Plataforma de
Interoperabilidad del Estado (PIDE) administrado por la Presidencia del Consejo de Ministros a
través de la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI), actualmente
Secretaría de Gobierno Digital (SEGDI).
Asimismo, señala que las entidades del Poder Ejecutivo deben adecuar sus sistemas de trámite
documentario o equivalentes para el envío automático de documentos electrónicos con otras
entidades, así como dentro de sus áreas, órganos y unidades, hasta el 31 de diciembre de 2018.
El Modelo aprobado aborda los siguientes procesos (Recepción, Emisión, Archivo, Despacho)
para todos los trámites puestos a disposición para los administrados; con lo cual el proyecto
VUCE 2.0 debe considerar el Modelo de Gestión Documental que se establezca a nivel del
MINCETUR y las entidades participantes.
Recomendación:
3. Conclusiones y recomendaciones.
Como resultado de la evaluación realizada a la Ventanilla Única de Comercio Exterior (VUCE), el
equipo consultor ha podido identificar las siguientes conclusiones y recomendaciones:
Conclusiones
Es necesario que la VUCE fortalezca los distintos procesos del Ciclo de Vida del Software
que le permita reducir los riesgos ante escenarios de emergencia o de alta carga de
solicitudes de procesamiento.
La VUCE no cuenta con una política de Continuidad de Negocios que le permita tener
definido un plan ante desastres.
Existen aspectos por mejorar en la gestión de la VUCE, particularmente aquellos que tienen
que ver con el soporte documental que le permita tener un mejor control y autonomía de su
gestión.
LEYENDA
Abrev. Descripción
JCS Coordinador Calidad de Soluciones
JD Coordinador de Desarrollo de Sistemas de Información
JO Coordinador de Operaciones y Control de Plataforma
JSD Coordinador de Desarrollo de SI
OC Operador de Consola
AD Analista Desarrollo.
ACS Analista Calidad de Soluciones
Definir los lineamientos asociados al modelo de operación entre la institución y la empresa Fábrica de
Software, durante la contratación del Servicio de Desarrollo de Aplicaciones de Software.
BASE LEGAL
VIGENCIA
Disposiciones generales
La contratación del Servicio de Desarrollo de Aplicaciones Software, se efectuará de conformidad con
lo establecido en el Texto Único Ordenado de la Ley de Contrataciones y Adquisiciones del Estado.
Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas Tecnológicas
37
La prestación del servicio deberá iniciarse conforme al plazo indicado en el contrato y únicamente
cuando el contrato por el Servicio de Desarrollo de Aplicaciones Software, se encuentre debidamente
suscrito por la empresa que realizará el servicio, no admitiéndose regularización alguna.
Miembros:
Analista funcional
Arquitecto de tecnologías de información (IyC)
Analista de calidad del área Calidad de Soluciones. (CS)
Analista de operaciones del área Operaciones y Control de Plataformas. (OyCP)
Analista de Gestión de Tecnologías de Información (GTI)
Usuario Experto del Departamento solicitante de la aplicación de software.
Las responsabilidades que deberán cumplir los miembros de equipo de trabajo son:
El líder del equipo de trabajo de DSI tendrá un suplente designado al momento de la conformación
del equipo de trabajo.
Ante la ausencia del Líder del equipo de trabajo, lo reemplazará el suplente designado en el punto
4.1.5.; de no estar presente o habilitado, lo reemplazará el Analista funcional de DSI.
FÁBRICA DE SOFTWARE
LIDER DE PROYECTO
DE LA FÁBRICA DE
SOFTWARE
EQUIPOS DE
TRABAJO
Fase II
Identificación
Coordinación
de requerimientosDesarrollo
y autorización del de
servicio
la aplicación
Gestión del
Certificación
Cambio Pasede laa producción
aplicación de la aplicación
Seguimiento y control
Fase III
APLICACIÓN DE SOFTWARE
DISPOSICIONES ESPECÍFICAS
Sobre el contrato
a) Una vez que se haya elegido a la empresa ganadora para Servicio de Desarrollo de Aplicaciones
Software, el Institución, a través del Líder del equipo de trabajo del Institución, entregará:
- Metodología de Desarrollo de Sistemas
- Directiva del Ciclo de Vida del Software
- Metodología de Gestión de Proyectos
- Estándares de Programación
- Estándares de Base de Datos
b) Considerar el periodo de garantía de soporte al desarrollo de la(s) aplicación(es) de software, en
caso de que se presenten inconvenientes relacionados al despliegue del aplicativo en el
ambiente de producción del Institución.
INSTRUCCIONES OPERATIVAS
Seguimiento y control
a) La Fábrica de Software, a través del Líder del Proyecto, deberá proponer indicadores de
gestión que serán aplicados durante el desarrollo de la(s) aplicación(es) de software. Estos
indicadores de gestión serán entregados al Líder del equipo de trabajo de la Institución para
su aprobación. Una vez aprobados deberán de ser presentados de manera mensual al Líder
del equipo de trabajo de la Institución.
b) La Fábrica de Software, a través del Líder del Proyecto, deberá planificar, gestionar y
realizar el seguimiento adecuado de las labores de su(s) equipo(s). Dicho seguimiento
deberá realizarse con un sistema de gestión de proyectos de tal manera que los integrantes
del equipo de desarrollo realicen el registro diario de cada una de las actividades realizadas
y permita el monitoreo del avance por parte del Líder del equipo de trabajo de la Institución.
El sistema de gestión de proyectos será proporcionado por la Fábrica de Software durante el
periodo de duración del servicio (Incluye licencias para su utilización).
c) La Fábrica de Software presentará un informe de avance de las actividades en forma
quincenal, o cuando la Institución lo solicite a través del Líder del equipo de trabajo. Este
informe será dirigido al líder del equipo de trabajo de la Institución, el cuál será revisado, y,
eventualmente se podrán realizar ajustes debidamente coordinados y sustentados.
d) La institución y la Fábrica de Software realizarán reuniones de coordinación con una
periodicidad quincenal, o cuando la Institución lo solicite a través del Líder del equipo de
trabajo, a fin de garantizar la correcta marcha del servicio, las cuales serán convocadas por
el Líder del equipo de trabajo de la Institución. En estas reuniones necesariamente
participará el Líder del equipo de trabajo la Institución.
Transferencia de conocimiento
10
Antelación definida en los Términos de Referencia
Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas Tecnológicas
44
a) La Fábrica de Software, a través del Líder del Proyecto, deberá proponer un Plan de
Transferencias de Conocimientos Técnicos de la(s) aplicación(es) con una duración
coordinada entre el Líder del equipo de trabajo de la Institución y el Líder del proyecto de la
Fábrica de Software, lo cual debe ser aprobado por la Gerencia de Informática
b) El Plan de Transferencias de Conocimientos Técnicos debe incluir mentoría entre los equipos
técnicos de la institución (Relacionado a sistemas de información, infraestructura,
comunicaciones, bases de datos, y consideraciones para el despliegue en producción) y el
respectivo equipo técnico de la Fábrica de Software, sobre los aspectos de gestión de la
fábrica y sobre la codificación y aplicaciones mantenidas o construidas por la misma.
c) La Fábrica de Software deberá realizar una capacitación en el uso de la aplicación de
software a los usuarios en por lo menos una sesión de 4 horas por aplicación.
d) Las capacitaciones a los a usuarios debe incluir Manuales de Operación donde se explique
detalladamente las funcionalidades de la(s) aplicación(es) de software. Esta capacitación se
desarrollará en las instalaciones que la institución defina previamente con el Usuario experto
en la ciudad de Lima Metropolitana.
Finalización
a) La Fábrica de Software, a través del Líder del Proyecto, deberá generar como entregables:
Informe final del servicio con la descripción de todas las actividades y entregables,
incluyendo los indicadores de gestión del servicio, mes a mes y consolidado del
proyecto.
Manuales y documentación técnica actualizada del aplicativo desarrollado.
El código fuente, deberá de encontrarse correctamente desplegado en el ambiente
de producción (de acuerdo a lo señalado en el punto 5.5 de la presente circular).
b) El Líder del equipo de trabajo y el Usuario Experto deberán de emitir el acta de conformidad
por el cumplimiento del desarrollo del aplicativo de software.
ANEXOS
Definición de términos
Área usuaria: Área de la Institución que solicita el desarrollo de aplicaciones de software de la
gerencia de Informática.
Capacitación: Actividad destinada a instruir a los usuarios de la aplicación de software sobre
el uso de esta.
Fábrica de Software: Proveedor especializado en el servicio de desarrollo de aplicaciones
de software
No cumplimiento: Requerimientos funcionales no incluidos en el desarrollo de la aplicación
de software desarrollada por la Fábrica de Software.
Transferencia del conocimiento: Actividad destinada a instruir al personal de Desarrollo de
Sistemas en temas técnicos relacionados con la aplicación de software desarrollada por la
Fábrica de Software.
Usuarios: Personal de las áreas de la Institución que hacen uso de las aplicaciones de
software desarrolladas
Usuario experto: Usuario que solicita la aplicación de software y que especifica los
requerimientos funcionales y no funcionales del mismo.
Abreviaturas utilizadas
División DSI: Desarrollo de Sistemas de Información.
División IyC: Infraestructura y Comunicaciones
División GTI: Gestión de TI
Sección CS: Calidad de Soluciones
Sección OyCP: Operaciones y Control de Plataformas
Objetivos
La Institución, a través de la Gerencia de Informática, requiere contar con los servicios de una
empresa con demostrada experiencia, conocimiento en el desarrollo y mantenimiento de software
sobre las distintas plataformas y problemáticas que aborda su quehacer y que sean capaces de
entregar estos servicios abarcando todas las áreas de conocimiento que involucra el proceso de
desarrollo de software.
Entregables
EL CONTRATISTA, deberá presentar los entregables definidos en la ‘metodología de Desarrollo de
Aplicaciones de Software’ (basada en metodología RUP, por ejemplo), o entregables definidos en la
metodología de Desarrollo de Proyectos del CONTRATISTA, siempre que la misma sea compatible
con la metodología de la Institución.
Esto es un requisito para que la Institución de la conformidad al servicio. Asimismo, EL
CONTRATISTA, deberá de tener en cuenta lo siguiente:
a) Entregables durante el Inicio del Servicio:
a. Plan de trabajo
b. Cronograma preliminar del Servicio
c. Plan para la Gestión de la Calidad
b) Entregables durante el desarrollo:
a. Documentación indicada en la Directiva del Ciclo de Vida del Software (Excepto los
documentos de requerimientos del software)
b. Documentación indicada en la Metodología de Desarrollo de Aplicaciones Software
c. Plan de pruebas
d. Código fuente
e. Documento técnico
f. Componentes desarrollados (Incluye información técnica)
g. Informes de avance quincenal.
c) Entregables relacionados al Seguimiento y Control
a. Indicadores de Gestión
b. Informe mensual de Indicadores de Gestión
c. Informe quincenal de avance de actividades
d) Entregables relacionados a la Transferencia de Conocimientos
a. Plan de Transferencia de Conocimientos técnicos (Documentación relacionada como
manuales, tutoriales, etc.)
b. Actas de capacitación
e) Entregables relacionados a la Finalización del Servicio
a. Informe final del servicio con la descripción de todas las actividades y entregables,
incluyendo los indicadores de gestión del servicio (indicadores de cumplimento de tiempos y
entregables en base a los cronogramas de cada proyecto), mes a mes y consolidado del
proyecto. La entrega se realizará en medio electrónico.
b. Manuales y documentación técnica actualizada por cada proyecto o mantenimiento del
sistema involucrado en el servicio. El CONTRATISTA realizará sesiones de transferencia de
conocimiento técnico al personal de la Institución sobre los proyectos y mantenimientos
realizados, a solicitud de la Institución. La actualización de documentos solo tiene por
alcance la(s) funcionalidad(es) desarrolladas por el contratista. Las sesiones de
transferencia forman parte del cronograma a que se hace referencia en el (Señalar Capitulo,
numeral, e inciso de las Bases)
c. Código fuente y los ejecutables encargados, conforme al cronograma del respectivo
proyecto, debidamente probados (testing) y que cuenten con la conformidad por parte de la
Institución.
De no presentar observaciones se dará por aceptados los cambios presentados. En caso de que el
CONTRATISTA presentara alguna observación a los entregables que no es aceptada por la Gerencia
de Informática y no se llegue a un acuerdo, el CONTRATISTA deberá limitarse a cumplir con lo
establecido al inicio del servicio.
Los especialistas deberán estar dedicados a tiempo completo a realizar el servicio en aspectos
relacionados a la gestión y aspectos técnicos.
La Institución se reserva el derecho, en todo momento, de solicitar el cambio del personal asignado al
proyecto, si a su criterio, el mismo no cumple con los requisitos para la función encomendada. Para
el reemplazo, EL CONTRATISTA deberá presentar al candidato para su aprobación por parte de la
Institución, en un plazo no mayor de tres (3) días calendario. Este plazo podrá extenderse a
consideración del Institución, siempre y cuando no sea mayor a tres días laborables. Aceptado el
reemplazo del especialista, la institución no reconocerá doble cargo de horas-hombre para ninguna
etapa del proyecto y/o tarea, obligándose al contratista a cumplir con el cronograma y horas-hombre
acordadas para el proyecto y/o tarea y los entregables en los que trabajará el nuevo especialista
Pacto de confidencialidad
EL CONTRATISTA suscribirá un pacto de confidencialidad, en virtud del cual se obliga a no difundir,
aplicar, ni comunicar a terceros información, base de datos ni cualquier otro aspecto relacionado con
la Institución a la que tenga acceso durante la ejecución del servicio. En el caso de que EL
CONTRATISTA incumpla el pacto de confidencialidad, la Institución a su sola discreción podrá
resolver el contrato, sin perjuicio de adoptar las acciones legales que correspondan.
Formas de pago
Los pagos se realizarán en forma mensual, considerando para esto la conformidad del servicio
realizado en cada mes, el cumplimiento de entregables y el uso de horas/hombre definidos al inicio
del servicio para la consecución de dichos entregables.
En el caso de haber controversia, esta será definida en reunión conjunta en la que participarán los
representantes del CONTRATISTA y de la Institución a realizarse dentro de los cinco días útiles
siguientes a la presentación de las observaciones.
TOTAL
Nota 1: Se ha tomado como referencia un total de 8 horas por día y entre 19 a 22 días útiles por mes
(dependiendo del mes).
Nota 2: La empresa contratista además deberá de incluir como parte de su personal al Líder a través
del Líder del Proyecto, y al personal que considere necesario para llevar a cabo su plan de calidad.
26%
39%
17%
4%
13%
1 2 3 4 5
17%
39% 6%
33%
6%
1 2 3 4 5
OPINIÓN DE MEJORA
Del 100% de los encuestados, el 33.33% de los encuestados tienen como problema frecuente al
interactuar con el sistema VUCE "en el procesamiento de la información".
5%
5%
30%
5%
5%
5%
5%
25%
1 2 3 4 5 6 7 8 9 10
OPINIÓN DE MEJORA
Del 100% de los encuestados, el 30.00% de los encuestados han tomado como iniciativa de mejora
para el sistema VUCE el "Rendimiento del sistema (Reducción de tiempo)".
11%
26%
16%
16%
1 2 3 4 5 6 7 8 9
OPINIÓN DE MEJORA
Del 100% de los encuestados, el 26.32% de los encuestados han identificado como riesgo en el
sistema VUCE la "Dependencia y caídas de otros sistemas y Mincetur"
12%
18%
12%
6% 18%
6%
18%
1 2 3 4 5 6 7 8 9
OPINIÓN DE MEJORA
Del 100% de los encuestados, el 17.65% de los encuestados han dado como solución el "Cambio de
Data Center a Americatel" como plan de contingencia.
5
35%
1
53%
2
12%
1 2 3 4 5
OPINIÓN DE MEJORA
Del 100% de los encuestados, el 52.94% de los encuestados presentan que el tiempo que demoran en
brindar un soporte los responsables del sistema VUCE es entre 1 a 2 días.
9% 9%
9% 9%
9%
27% 9%
1 2 3 4 5 6 7 8 9
OPINIÓN DE MEJORA
Del 100% de los encuestados, el 27.27% de los encuestados opinan que "Se debe registrar
procedimiento, conocimientos, capacitaciones para los nuevos trabajadores de la VUCE".
Verificar que DVUCEPT, cuenta los procesos necesarios para poder dar soporte al negocio a través
de todo el ciclo de vida del software, como parte esencial de los sistemas convencionales y de
tecnología de la información.
2. METODOLOGÍA
Este marco de referencia cubre el ciclo de vida del software desde la conceptualización de ideas
hasta su retirada y consta de procesos para adquirir y suministrar productos y servicios de software.
Cubre además el control y la mejora de estos procesos como se muestra en el siguiente gráfico está
compuesta por tres Procesos el ciclo de vida: principales, de apoyo y organizativos; cada uno de
estos cuenta con 5, 13 y 4 procesos respectivamente que en total contienen 74 actividades.
De acuerdo con los antecedentes proporcionados por DVUCEPT, durante el período comprendido
entre el 01 de febrero del 2019 al 01 de marzo del presente año, el cual permite revisar los procesos
del ciclo de vida del software, junto a toda la información que se encuentra disponible.
47%
Cumplimiento
53% Imcumplimiento
47% Cumplimiento
53% Imcumplimiento
39%
Cumplimiento
Imcumplimiento
62%
Conforme a lo expuesto en el presente informe, se deberán adoptar las acciones necesarias para
disminuir la brecha existente para estar mínima mente alineado a lo que recomienda esta norma
internacional, entre las cuales se estima necesario considerar por el nivel bajo de cumplimiento
(<45%):
REFLEXIONES
Se requiere fortalecer los canales de información de las políticas internas al personal, afín
de que cumplan debidamente sus funciones.
Generar un plan de capacitación al personal en las diversas áreas del negocio afín de que
obtengan mejores competencias y una línea de carrera, “preparar al personal para que esté
preparado si se va, tratar a mis colaboradores de tal forma que no piensen en irse”.
2. FINALIDAD
La presente directiva definirá el marco de trabajo bajo el cual la VUCE deberá cubrir el ciclo de
vida de los productos, sistemas y servicios software desarrollado.
3. ALCANCE
Las disposiciones establecidas en la presente norma alcanzan a todos los usuarios de la VUCE,
personal nombrado y contratado; así como personas o empresas que tengan participación en
alguna actividad en el ciclo de vida del software, en el marco de intercambio de servicios, de un
mandato, de un periodo de práctica, de una colaboración u otro servicio debidamente autorizado.
4. VIGENCIA
La presente Directiva entrará en vigencia a partir de la fecha de su aprobación y difusión.
5. BASE LEGAL
a) Resolución Ministerial N° 179-2004-PCM, aprobada el 14.JUN.2004.
b) Norma Técnica Peruana NTP-ISO/IEC 12207:2006 TECNOLOGIA DE LA
INFORMACION. Procesos del Ciclo de Vida del Software, aprobada mediante Resolución
Ministerial Nº 179- 2006-PCM, el 28. JUL 2006.
c) Circular G-140-SBS: 2009 De la Gestión de la Seguridad de la Información.
6. DEFINICIÓN DE TÉRMINOS
a) Acreditación: Proceso a través del cual el usuario experto, previo cumplimiento de los
requerimientos especificados en la Solicitud de Cambio y/o requerimiento de un proyecto
nuevo, autoriza a la Sección Calidad de Soluciones la certificación de un producto
software.
c) Certificación: Es el proceso para asegurar que los productos software reúnan todas las
características y/o requisitos esperados del usuario experto, a través de la ejecución de
pruebas funcionales y no funcionales; siendo uno de los principales objetivos la
satisfacción del usuario final.
d) Ciclo de Vida del Software: Marco de referencia que contiene los procesos, actividades y
tareas involucradas en el desarrollo, operación y mantenimiento de un producto software,
y que abarca toda la vida del sistema desde la definición de sus requisitos hasta el final de
su uso.
e) Ciclo de prueba: Un ciclo de prueba incluye la ejecución de una, alguna o todas las
pruebas planificadas para el producto software. Cada ciclo de prueba está asociado a una
versión del producto, y cada nuevo ciclo de prueba implicará una nueva versión de uno o
más componentes del sistema, y al culminarla se emitirá un informe que describa los
problemas y/u observaciones encontrados durante su ejecución.
g) Comité de Calidad de Soluciones: Tiene como objetivo evaluar y aprobar el inicio del
proceso de certificación de productos, controlando el impacto sobre los procesos de
negocios de la VUCE.
7. DISPOSICIONES GENERALES
5. Apoyo a la Aceptación del Software: En esta fase se busca identificar los criterios de
aceptación que el usuario o cliente determine, asimismo, se prepara el Plan de Aceptación del
producto y el diseño de los casos de prueba. Esta aceptación concluye con la emisión del
Acta de Revisión Conjunta.
6. Transición del Software a Certificación: Este proceso consiste en hacer que el producto
software y artefactos relacionados se encuentren disponibles para su despliegue en el
ambiente de certificación y se den inicio a las pruebas con el usuario experto
2. Planificación de pruebas: Esta fase tiene como principal función la gestión de los recursos
disponibles, para la atención de los requerimientos ingresados a través del comité de Calidad
de Soluciones. Este sub-proceso debe cumplir con dos factores críticos de éxito:
Identificación del Alcance (tipos y escenarios de prueba) y enfoque de los
requerimientos del usuario experto.
Administración de recursos requeridos, calendario, responsables y manejo de
riesgos, asociados a las pruebas.
3. Despliegue del producto software: En esta fase se realiza el despliegue de todos los
programas, componentes, base de datos, etc. que constituyen el producto software, en el
ambiente de certificación.
5. Pruebas de Acreditación Esta fase consiste en validar con presencia del usuario experto,
las pruebas funcionales y no funcionales, del plan de pruebas del producto software,
desarrollado o actualizado por la (*) Coordinador Desarrollo de Sistemas o por una empresa
desarrolladora de software.
8. DISPOSICIONES ESPECÍFICAS
a) Identificar a partir de los requerimientos del software las fuentes involucradas con el
producto a desarrollar, así como las necesidades y expectativas del usuario; la (*)
Coordinador Desarrollo de Sistemas deberá:
i. Validar que el requerimiento solicitado por el usuario (Requerimiento de Software
(RDS) o Solicitud de Cambio (SC)), tenga la autorización del (*) Coordinador o
equivalente para ser aceptado.
ii. Desarrollar el documento de Especificación de Requerimientos de Software (SRS);
definiendo con suficiente precisión el alcance del producto software y ciertas
condiciones del proyecto.
iii. Analizar e interpretar los requerimientos (necesidades) del usuario con el fin de
recopilar la información necesaria.
iv. Definir el Sistema Software, procediendo a refinar las Especificaciones de
Requerimientos de Software, estructurar las Especificaciones de Casos de Uso (ECU
´s), y los Diagramas de Flujo de Datos (DFD’s).
v. Priorizar los requerimientos de Software, casos de uso por escenario y procesos;
asimismo documentar la vista de los casos de uso y evaluar los resultados.
vi. Refinar las definiciones del sistema, mediante el detalle de los requerimientos y casos
de uso funcionales y no funcionales.
c) Validar los requerimientos para asegurar un mejor entendimiento de los mismos y que
exista consenso con los usuarios finales. La (*) Coordinador Desarrollo de Sistemas
deberá:
i. Desarrollar el prototipo del Sistema Software y validarlo con los usuarios finales.
ii. Realizar una revisión conjunta de los requerimientos, entre ellos: peticiones de
cambio/ requerimientos de software, modelos de requerimientos (ECU’s/DFD’s), y
posteriormente informar acerca de la revisión y cambios. Esta revisión conjunta
contará con el visto bueno del líder usuario, aceptando la(s) modificación(es) de los
requerimientos iniciales.
d) Administrar los cambios a los requerimientos, tomando en cuenta las solicitudes de los
usuarios o peticiones de cambios. La (*) Coordinador Desarrollo de Sistemas deberá:
i. Evaluar el impacto del cambio sobre los requerimientos, su factibilidad y posterior
aprobación del cambio.
ii. Realizar una revisión conjunta de los requerimientos, entre ellos: las peticiones de
cambio/requerimientos de software, modelos de requerimientos (Casos de
Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas Tecnológicas
76
Uso/DFD’s), posteriormente se informa acerca de la revisión y los cambios.
iii. Mantener un estricto y formal control de cambios, que será debidamente apoyado por
sistemas Informáticos en el caso de ambientes complejos o con alto número de
cambios.
c) Verificar los componentes de software, como parte de esta actividad se realizan los
ajustes de los defectos y pruebas unitarias, para solicitar o verificar los cambios. La (*)
Coordinador Desarrollo de Sistemas deberá:
i. Ejecutar, evaluar y verificar pruebas unitarias.
ii. Revisar el código fuente, estableciendo hitos de revisión para su implementación,
revisando y documentando los defectos y emitiendo un reporte posterior.
iii. Implementar mecanismos que permitan controlar acceso a las librerías de programas
fuente.
d) Probar cada construcción, mediante la integración de subsistemas, una vez producidos los
resultados satisfactorios, es llevada completamente al espacio de Integración. La (*)
Coordinador Desarrollo de Sistemas deberá:
i. Identificar componentes a probar y elementos, seleccionar técnicas de
implementación e implementar Pruebas de Integración de Unidades en Subsistemas,
asimismo establecer los Datos de Prueba y verificar la Implementación.
ii. Ejecutar Pruebas de Integración en Subsistemas asimismo evaluar la ejecución,
verificar y reportar los resultados.
iii. Integrar componentes o librerías de códigos en Subsistemas y entregar la Integración
para la creación de línea base.
a) Preparar Plan de Aceptación del Producto en la que se definen los criterios para la
aceptación del producto, la (*) Coordinador Desarrollo de Sistemas deberá:
i. Identificar criterios para aceptación, determinando los recursos requeridos para las
pruebas para esto se desarrollará un cronograma de actividades de aceptación y se
preparará el plan de Aceptación del producto y el diseño de los casos de prueba.
Las actividades que intervienen en la Planificación de las pruebas son las siguientes:
i. Recibir, revisar y analizar previamente los artefactos RUP o documento
relacionados con el mantenimiento y/o proyecto (especificaciones de casos de
uso, especificaciones de casos de prueba, Acta de Conformidad, etc.). Tener en
cuenta que existen 2 tipos de Productos Software, los cuales albergan distintas
formas de proceder:
Mantenimiento y/o Proyecto Host. - Se validan que los programas contenidos
en la Solicitud de Cambio correspondan a los que han sido copiados a la
librería de certificación.
14
La unidad para despliegue se define a partir de la construcción de software (ejecutables, código de los componentes),
documentación (material de soporte al usuario) y artefactos de instalación
Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas Tecnológicas
81
Mantenimiento y/o Proyecto Open. - Se valida el artefacto de Despliegue y
se verifica la existencia de los archivos asociados, en las rutas establecidas.
a) Desplegar de todos los programas, componentes, base de datos, etc. que constituyen el
producto software, en el ambiente de certificación, para ello, la Sección Calidad de
Soluciones deberá:
i. Verificar la existencia de los elementos a desplegar
ii. En caso existieran elementos open, se procede a desplegar las aplicaciones en los
servidores que les corresponde.
iii. En caso de ser necesario, se efectúan coordinaciones con la (*) Coordinador
Infraestructura y Comunicaciones y/u otras áreas asociadas al producto software para
su implementación en el ambiente de Certificación.
a) Validar, con la presencia del usuario los diferentes tipos de pruebas realizadas al producto
de software antes de su certificación, tomando datos ficticios como datos de prueba.
Las actividades que intervienen en la ejecución de pruebas de acreditación son las
siguientes:
i. Citar al usuario experto a las pruebas en el ambiente de certificación, por medio de un
correo electrónico, consignando la fecha, hora y lugar.
Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas Tecnológicas
82
ii. Citar al personal (*) Finanzas y Contabilidad y el Coordinador Riesgos, que haya
participado en el proceso de desarrollo de software, por medio de un correo
electrónico, consignando la fecha, hora y lugar.
iii. Ejecutar las pruebas de acreditación con el usuario experto.
iv. Redactar los documentos de: Resultado de Pruebas y Revisión Conjunta con los
resultados obtenidos de las pruebas. Además, se elabora el documento de encuesta
para la firma del usuario experto.
v. Aprobar el producto software por medio de la firma de los documentos señalados en
el punto anterior.
vi. En caso de éxito durante las pruebas, se procede con las actividades de pase a
producción, en caso contrario, se cuenta con un ciclo de pruebas adicional y se
evalúa su devolución a la (*) Coordinador Desarrollo de Sistemas
9. RESPONSABILIDADES
Calidad de Soluciones
Implementar, probar, validar y desplegar el producto software con su documentación requerida
en el ambiente de certificación de acuerdo a la metodología y estándares establecidos.
Generalidades
La DVUCEPT determina, asigna y proporciona los recursos necesarios (bienes y servicios) para el
establecimiento, implementación, mantenimiento y mejora continua del SGC, para la ejecución de las
actividades programadas. Dichos recursos son determinados mediante la formulación del Plan
Operativo Institucional (POI) del año respectivo, y valorización del cuadro de necesidades, por el cual
se elaboran los Términos de Referencia o especificaciones técnicas de los bienes y servicios
requeridos por los Coordinadores de Línea respectivos, los cuales son revisados y aprobados por la
DVUCEPT y por la DGFCE según corresponda. Considerándose las capacidades y limitaciones de
los recursos existentes y lo que se necesita obtener de los proveedores externos.
Personas
La Dirección determina y proporciona las personas necesarias para la implementación eficaz del
SGC, para la operación y control de los procesos. Dichas personas han sido organizadas en los
puestos definidos según el organigrama de la VUCE contenidos en el Manual “DVUCEPT.19.RE.063,
Perfiles de Puesto” o mediante los criterios de evaluación, para aquellos trabajos que afectan
directamente a la calidad del producto o servicio. Estos documentos, se han establecido teniendo en
cuenta los requisitos mínimos de educación, formación, habilidades y experiencia requerida para el
puesto.
El Gestor de Contrataciones coordina con los Coordinadores de Línea, Director DVUCEPT, DGFCE y
la OGA la contratación de los recursos humanos requeridos según el procedimiento “DVUCEPT.19,
Contratación Administrativa de Servicios CAS”, asegurando que sean competentes para lo solicitado.
Infraestructura
La DVUCEPT ha determinado, proporciona y mantener la infraestructura necesaria para la operación
de los procesos y lograr la conformidad de los productos y servicios.
La infraestructura incluye:
Edificio central de la DVUCEPT y servicios asociados (1er piso).
Equipos informáticos (hardware, software).
Tecnologías de la Información y la Comunicación
Recursos de transporte.
a.1. Hardware
Servidores físicos de virtualización tipo Blade limitado por storage
Servidores de base de datos tipo Blade limitado por storage
Servidores de producción web y de aplicaciones con un sistema operativo tipo Red Hat
Enterprise Linux X86-64
Servidores de notificaciones y de correo
Servidores de desarrollo y test.
Equipo de almacenamiento de datos tipo storage.
Equipos de comunicaciones con firewall y switch tipo Core y LAN y router internet CISCO y
de enlace dedicado
Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas Tecnológicas
87
Línea de internet con ancho de banda que garantice la comunicación con las entidades.
a.2. Software
Sistema Operativo Red Hat
Oracle RAC 11g
Basic Support/Subscription for vCenter Server
Basic Support/Subscription VMware vSphere
Basic Subscription for VMware vFabric SuiteWindows 8.1
Microsoft Office Professional 2010
Para acceder a los servicios de la Plataforma Tecnológica de la VUCE los usuarios deberán contar
con los siguientes requisitos mínimos de hardware y software:
Intel Pentium IV
4GB de RAM
1GB de espacio libre en disco
Windows XP Service Pack 2+
Internet Explorer 7.0, Firefox 3.0, Google Chrome 3.0, Safari 4.0
a.1 Generalidades
La Dirección determina y proporciona los recursos necesarios para asegurar la validez y fiabilidad de
los resultados cuando se realice el seguimiento o la medición para verificar la conformidad de los
productos y servicios.
La Dirección asigna a cada Coordinador de Línea la responsabilidad de la supervisión, monitoreo,
seguimiento periódico del desempeño de los procesos que son responsables, a través de los
indicadores de los procesos, asimismo cada responsable de proceso se encarga de la medición de
sus respectivos indicadores de acuerdo a la ficha del indicador del proceso.
Se mantiene la información documentada apropiada como evidencia que los recursos de seguimiento
y medición sean idóneos para su propósito.
Competencia
La DVUCEPT determina la competencia del personal que realizan según su control, un trabajo que
afecta al desempeño y eficacia del SGC, basándose en la educación, formación, experiencia
apropiada contenida en el registro “DVUCEPT.19.RE.63, Perfiles de Puestos” asimismo, ha
establecido el procedimiento “DVUCEPT.20, Capacitación de Personal”, para la determinación de las
necesidades de capacitación y entrenamiento, el mejoramiento de dichas competencias que estén
orientadas al logro de los Objetivos de la Calidad.
Toma de conciencia
Mediante la difusión del presente Manual de la Calidad y del Manual del Perfil de Puesto, a todo el
personal del SGC y su disposición en la ruta compartida, que contiene los perfiles de puesto del
SGC, se asegura que el personal sea consciente de la importancia de la política, de los objetivos de
la calidad pertinentes, el alineamiento a los procesos del SGC y de su contribución mediante el
desempeño de las funciones en los puestos y roles del SGC, asimismo en las acciones, actividades
programadas al logro de la eficacia de los procesos del SGC y el logro de beneficios de la mejora de
su desempeño, también mediante la realización de charlas de sensibilización o capacitación del
SGC, se refuerzan dichos aspectos y se conoce las implicancias del incumplimiento de los requisitos
del SGC mediante la realización de las auditorías periódicas al SGC.
Comunicación
La DVUCEPT propicia la comunicación interna entre los diferentes niveles de la organización con
respecto al SGC y su efectividad. Esta comunicación incide principalmente en:
a. El cumplimiento de la política y de los objetivos de la calidad.
b. El estado del desempeño de los procesos.
c. La satisfacción de los clientes.
d. Los cambios y mejoras del SGC.
Creación y actualización
Para crear y actualizar la información documentada, la organización se asegura que sea el apropiado
y sea elaborado de acuerdo al instructivo: “DVUCEPT.00.01, Elaborar y Estandarizar Procedimientos
o Instructivos” y que contemplan:
a. La identificación y descripción de la información documentada (título, fecha, autor, versión o
número de referencia).
b. El formato (idioma, versión del software, gráficos) y los medios de soporte (papel,
electrónico).
c. La revisión y aprobación respecto de la conveniencia y adecuación, sea realizada por los
responsables de los procesos y la DVUCEPT.
La información documentada que se conserva como evidencias de la conformidad con los requisitos
establecidos (registros de calidad) permanecen legibles, fácilmente identificables y recuperables de
acuerdo al procedimiento “DVUCEPT.03 Control de Documentos y Registros”, este se protege contra
modificaciones no intencionadas, almacenándola en una carpeta restringida a la cual se tiene acceso
únicamente por el área de calidad.
La DVUCEPT determina los requisitos requeridos por el cliente mediante los procedimientos
“DVUCEPT.08, Análisis Funcional” y los requisitos legales y reglamentarios aplicables, se cuenta con
los procedimientos que detallan el diseño, desarrollo, implementación de software: “DVUCEPT.08,
Análisis Funcional”, “DVUCEPT.09, Análisis Técnico”, “DVUCEPT.10, Codificación”, “DVUCEPT.11,
Pruebas”, “DVUCEPT.12, Certificación”, “DVUCEPT.13, Despliegue”.
Asimismo, la DVUCEPT planifica, implementa y controla los procesos necesarios para cumplir los
requisitos para la provisión de productos y servicios de acuerdo a lo indicado en el Manual de
“Procesos y Procedimientos” del SGC y para implementar las acciones determinadas en la matriz de
riesgos y oportunidades identificadas, que cumple con:
La determinación de los requisitos para los productos y servicios mediante las fichas de
caracterización de los productos y servicios realizados.
El establecimiento de criterios para los procesos incluidos en los procedimientos del SGC y
criterios para la aceptación de los productos y servicios establecidos en las fichas de
caracterización de los productos y servicios realizados.
La determinación de los recursos necesarios para lograr la conformidad con los requisitos
de los productos y servicios mediante la formulación del POI y el cuadro de necesidades de
bienes y servicios.
La implementación del control de los procesos de acuerdo con los criterios establecidos en
el Manual de Procesos o en los procedimientos del SGC, a través de los indicadores
establecidos para su control.
La determinación, mantenimiento y conservación de la información documentada en la
extensión necesaria
La salida de esta planificación es adecuada para las operaciones de la organización.
Los Coordinadores de línea en coordinación con los responsables de proceso, controlan los
cambios planificados y revisa las consecuencias de los cambios no previstos, tomando
acciones para mitigar cualquier efecto adverso, según sea necesario. Asimismo, se
aseguran de que los procesos contratados externamente estén controlados.
Asimismo, el Excel de mapeo técnico contiene los criterios de aceptación del producto o software
desarrollado, indicando sus características esenciales para su uso seguro y correcto según el
procedimiento “DVUCEPT.10, Codificación”.
Los responsables de cada proceso conservan información documentada cuando sea aplicable a los
resultados de la revisión realizada y a cualquier requisito nuevo para los productos y servicios.
La validación y revalidación periódica de la capacidad para alcanzar los resultados planificados en los
procesos de producción y de prestación del servicio, cuando las salidas resultantes no puedan
verificarse mediante actividades de seguimiento o mediciones posteriores se detallan a continuación
para cada servicio:
Servicio de diseño, desarrollo e Implementación de software: Para la incorporación de
procedimientos de entidades a la VUCE mediante el diseño y desarrollo de software, se
realiza la validación antes de su puesta en producción mediante los procesos de pruebas y
Certificación donde se realiza una simulación del funcionamiento del software desarrollado
para la detección y corrección de errores antes de su liberación y operación por los usuarios
de la VUCE.
Servicio de Mesa de Ayuda: Se valida el servicio por medio de una evaluación del personal
ingresante como operador de la Mesa de Ayuda, asimismo mediante la aprobación del acta
de conformidad, según “DVUCEPT.18 Gestión de Adquisiciones de Bienes y Servicios” y
según Directiva N.º 04-2014-MINCETUR/SG procedimiento para emitir conformidad de las
prestaciones contratadas por el MINCETUR, además de realizar visitas inopinadas al local
del proveedor de ser necesario, la DVUCEPT asegurará en lo posible que las características
del servicio brindado, sean según los requisitos contractuales establecidos y realizando
coordinaciones continuas. Se monitoreará el servicio según los procedimientos e instructivos
de Mesa de Ayuda.
Servicio de Capacitación a usuarios: Se valida el Servicio mediante una evaluación al
expositor, el empleo de los equipos requeridos durante la capacitación.
Identificación y Trazabilidad
En el servicio de Mesa de Ayuda (MDA), se asigna un ticket con un ID de solicitud con una
numeración correlativa a las solicitudes presentadas por los administrados, los mismos que permiten
indicar el número de solicitud única de comercio exterior (SUCE) de los trámites realizados en la
VUCE, siendo este número el que permite identificar, ubicar y realizar el seguimiento de trazabilidad
en los sistemas de la entidad contra los tickets presentados de mesa de ayuda.
Preservación
La DVUCEPT preserva las salidas durante la producción y prestación del servicio, para asegurar la
conformidad con los requisitos, durante el desarrollo de los procesos internos y su entrega final, esta
preservación incluye su adecuada identificación, manipulación, almacenamiento, transmisión de la
información, transferencia y protección al producto y se aplica también a las partes constitutivas del
producto o servicio realizando copias de seguridad o backups a la información, protegiendo de
infiltraciones mediante el uso de antivirus, firewall, contando con programas repositorios en
ambientes preservados, haciendo uso de servidores de copias según sea requerido su aplicación,
asimismo se cuenta con procedimientos e instructivos que han sido difundidos para su empleo en la
operación.
Acciones Operativas
Dimensiones de medición
Auditoría interna
La DVUCEPT lleva a cabo auditorías internas de gestión de la calidad semestralmente para
determinar si:
a. Es conforme con los requisitos de la Norma ISO 9001:2015 y con los requisitos establecidos
por la Dirección para el SGC.
b. Se ha implementado y se mantiene de manera eficaz.
Mejora Continua
La DVUCEPT mejora continuamente la conveniencia, adecuación y eficacia del SGC, considerando
los resultados del análisis y evaluación y las salidas de la “Revisión por la Dirección”, para determinar
las necesidades y oportunidades que deben considerarse como parte de la mejora continua.
La DVUCEPT, los Coordinadores de Línea y responsables de procesos son los responsables de la
ejecución de los procesos del SGC que orientan el SGC hacia la mejora continua de su eficacia
según el gráfico N° 13, incorporando el Ciclo de Deming (P, H, V, A) a cada uno de los procesos,
permitiendo tener procesos con actividades orientadas hacia la planificación, ejecución, control y
mejora del SGC como se aprecia en el Gráfico Nº14.
RELACIONES INTERINSTITUCIONALES
Establecer el procedimiento, los criterios, lineamientos y responsabilidades para establecer y
mantener las relaciones con las entidades integradas a la Ventanilla Única de Comercio Exterior
(VUCE) y con otras instituciones nacionales e internacionales involucradas en las autorizaciones de
licencias y permisos respecto a los componentes de Mercancías restringidas.
Asegurar el apoyo y participación de las entidades vinculadas directa o indirectamente con la VUCE,
que le permitan su sostenibilidad y su mejora continua.
ANÁLISIS FUNCIONAL
Establecer el procedimiento, los criterios, lineamientos y responsabilidades para realizar el análisis
funcional de las aplicaciones informáticas o servicios brindados por la Dirección de Ventanilla Única
de Comercio Exterior y Plataformas Tecnológicas (VUCEPT).
Recopilar, analizar, validar y aprobar los requerimientos funcionales y no funcionales de las entidades
u otros usuarios para el diseño y desarrollo de las aplicaciones informáticas o servicios brindados por
la DVUCEPT de acuerdo con los principios de simplicidad, seguridad, disponibilidad, reutilizabilidad,
integridad, accesibilidad y rapidez.
ANÁLISIS TÉCNICO
Establecer el procedimiento, los criterios, lineamientos y responsabilidades para realizar el análisis
técnico o análisis de la base de datos de las aplicaciones informáticas requeridas por la Ventanilla
Única de Comercio Exterior (VUCE).
Diseñar el modelo de datos de las aplicaciones informáticas requeridas por la VUCE de acuerdo con
los requerimientos funcionales validados y aprobados por las entidades y; de acuerdo con los
principios de simplicidad, seguridad, disponibilidad, reutilizabilidad, integridad y accesibilidad de la
información.
CODIFICACIÓN
Establecer el procedimiento, criterios, lineamientos y responsabilidades para la codificación de la
estructura de la base de datos y demás componentes de la aplicación.
Crear los componentes tanto de la base de datos como de la aplicación para la ejecución de las
pruebas de la funcionalidad requerida.
PRUEBAS
Establecer el procedimiento, los criterios, los lineamientos y las responsabilidades para el desarrollo
de las “Pruebas” de los aplicativos desarrollados en la plataforma de la Ventanilla Única de Comercio
Exterior.
CERTIFICACION
Establecer el procedimiento, los criterios, los lineamientos y las responsabilidades para la
certificación de la funcionalidad requerida de las aplicaciones desarrolladas en la plataforma de la
Ventanilla Única de Comercio Exterior.
Dar a conocer y certificar ante los usuarios de las entidades correspondientes, la funcionalidad de las
aplicaciones que han sido desarrolladas de acuerdo con lo solicitado en el análisis funcional, previo a
su publicación u operación en la Ventanilla Única de Comercio Exterior.
DESPLIEGUE
Establecer el procedimiento, los criterios, los lineamientos y las responsabilidades para el despliegue
o implementación de las aplicaciones nuevas o de sus modificaciones en la plataforma de la
Ventanilla Única de Comercio Exterior.
Poner en funcionamiento los nuevos aplicativos o sus modificaciones (scripts, archivos desplegables,
códigos de programación) en el ambiente de producción de la plataforma de la Ventanilla Única de
Comercio Exterior, así como detectar y corregir errores en su implementación.
GESTION DE INCIDENTES
Determinar el procedimiento que establezca, los criterios, los lineamientos y las responsabilidades
para gestionar y resolver de la manera más rápida y eficaz cualquier incidente que cause interrupción
en el servicio de la VUCE, sea ésta de software o hardware.
Minimizar el impacto de los incidentes que provoquen interrupciones en el servicio de las operaciones
de comercio exterior realizadas a través de la plataforma tecnológica.
SOPORTE DE INFRAESTRUCTURA
Establecer el procedimiento, los criterios, los lineamientos y las responsabilidades para resolver de la
manera más rápida y eficaz cualquier incidente de infraestructura que cause interrupción en el
servicio de la VUCE, sea ésta de software o hardware.
LEGAL
Establecer el procedimiento, los criterios, los lineamientos y las responsabilidades para el desarrollo
de las actividades de carácter técnico legal requeridas en apoyo al funcionamiento de la Ventanilla
Única de Comercio Exterior (VUCE).
Asegurar el sustento técnico legal para la ejecución de las distintas actividades que se realizan en la
VUCE en apoyo a las entidades y administrados, en el marco de la normativa vigente y de los
acuerdos o tratados comerciales suscritos por el Estado Peruano.
Instructivo Rectificación DR
El objetivo principal es establecer que todo personal responsable de solucionar los casos presentado
por los usuarios (MDA), tengan los conocimientos básicos de cómo llegar a identificar un incidente y
llegar a solucionarlos en el menor tiempo teniendo el visto bueno del Usuario.
El Instructivo inicia cuando MDA comprueba el reclamo del administrado se certifica el DR finalizado
cuando verifica la corrección de error y procede a cerrar el ticket.
La responsabilidad de la ejecución del instructivo es el Supervisor de la Mesa de Ayuda.
5.8. Los documentos de análisis que requieren aprobación de la Entidad o VUCE y pasa por todo
el ciclo de desarrollo, utilizan los siguientes formatos según corresponda:
SUCAMEC_Mapa_TUPAS_Explosivos