Ejemplo de Informe Auditoria 2020

Evaluación del nivel de
cumplimiento de
disposiciones y
procedimientos técnicos
establecidos para el
sistema de la PANDEMIA
Fecha
04 de Mayo del 2021
INFORME FINAL
Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas
Tecnológicas
0
Contenido
RESUMEN EJECUTIVO.....................................................................................................................................2
1. OBJETIVOS Y ALCANCE DE LA CONSULTORÍA...............................................................................7
2. EVALUACIÓN DE LA SITUACIÓN DE LA ACTIVIDAD.......................................................................7
2.1. DESARROLLO DE OBJETIVOS................................................................................................................8
2.2. ASPECTOS DE IMPORTANCIA................................................................................................................9
2.3. OPORTUNIDADES DE MEJORAS, RIESGOS DETECTADOS Y SU IMPACTO EN LA INSTITUCIÓN...........................19
3. CONCLUSIONES Y RECOMENDACIONES.....................................................................................33
4. FECHA DE INICIO Y FECHA DE TÉRMINO DE LA EVALUACIÓN......................................................33
5. ANEXOS.................................................................................................................................... 34
5.1. ANEXO 1: PROPUESTA PROCEDIMIENTO TRANSITORIO..........................................................................34
5.2. ANEXO 2: PROPUESTA MODELO DEL SERVICIO DESARROLLO DE APLICACIONES SOFTWARE.........................36
5.3. ANEXO 3: INFORME DE LAS ENCUESTAS AL PERSONAL VUCE.................................................................50
5.4. ANEXO 4: INFORME DE LA NTP 12207:2016, GRADO DE MADUREZ, CVDS..........................................57
5.5. ANEXO 5: PROPUESTA DEL CICLO DE VIDA DEL SOFTWARE ALINEADO A LA NTP ISO 12207:2014.............69
5.6. ANEXO 6: MODELO DEL SISTEMA DE CALIDAD VUCE...........................................................................84
5.7. ANEXO 7: INFORMACIÓN DOCUMENTADA...........................................................................................86
5.8. ANEXO 8: OPERACIÓN.....................................................................................................................88
5.9. ANEXO 9: PROCEDIMIENTOS DEL SISTEMA DE CALIDAD.......................................................................101
5.10. ANEXO 10: MODELO DE FORMATOS DEL SISTEMA DE CALIDAD............................................................104
5.11. ANEXO 11: MODELO DE INSTRUCTIVOS............................................................................................109
5.12. ANEXO 12: EJEMPLOS DE EVIDENCIAS PARA MEJORAS.........................................................................111
Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas Tecnológicas

1
RESUMEN EJECUTIVO
EVALUACIÓN DEL NIVEL DE CUMPLIMIENTO DE DISPOSICIONES Y PROCEDIMIENTOS TÉCNICOS
ESTABLECIDOS PARA EL SISTEMA DE LA VENTANILLA ÚNICA DE COMERCIO EXTERIOR (VUCE)
La presente actividad del consultor se realizó en cumplimiento al requerimiento de revisión del nivel de
cumplimiento de las disposiciones y procedimientos técnicos establecidos para los sistemas de la VUCE,
que aseguren la integridad de la operación de la Ventanilla Única de Comercio Exterior y que recopile
buenas prácticas en la transición de aplicación de estas en las definiciones de la VUCE 2.0 y que
coadyuve en el proceso de implementación de las nuevas definiciones de la VUCE 2.0.
La Dirección de la Ventanilla Única de Comercio Exterior y Plataformas Tecnológicas (DVUCEPT), tiene

como misión el desarrollo de una oferta exportable, la facilitación del comercio exterior, el desarrollo de
mercados de destino y el desarrollo de una cultura exportadora.
La Ventanilla Única de Comercio Exterior (VUCE) inicio sus operaciones el año 2010 y a la fecha se
encuentra a puertas de iniciar una nueva etapa denominada VUCE 2.0, que incluye la adopción de
actividades sustanciales tales como: Capacitación a Entidades en Gestión de Procesos, Rediseño de
Procesos en Entidades de mayor impacto, Facilitación de herramientas de BI a Entidades, Atención de
requerimientos inmediatos, Apoyo para la implementación en Entidades de Trámites Documentarios
Estándares, Diseño y construcción de Port Community System y el Diseño y la Construcción de la VUCE
Central.
El consultor revisó los procesos del ciclo de vida del software, con referencia a la NTP-ISO/IEC 12207, los
procesos de Tecnologías de la Información y Seguridad con referencia a COBIT 5.0 y la NTP-ISO/IEC
27002 respectivamente y finalmente los procesos de Gestión de Servicios con referencia a la ISO/IEC
20000. Adicionalmente se revisó la normativa vigente aplicada a la gestión administrativa de la VUCE.
En opinión del consultor, los controles que miden y corrigen la eficiencia de la gestión de las tecnologías
de información en la Ventanilla Única de Comercio Exterior (VUCE), funcionan de manera razonable. Sin
embargo, es necesario que se atiendan algunos aspectos de control que permitirán mejorar la calidad y la
eficiencia con la que brindan sus servicios.
La DVUCEPT debe considerar la implementación de una herramienta de WorkFlow para fortalecer la

eficiencia de su Ciclo de Vida de Software (CVS).
Se propone una herramienta de WorkFlow para la automatización de las tareas del CVS, de tal forma
que se establece un orden y jerarquía, además de vincular a los colaboradores de la entidad con los
procesos del CVS. Las ventajas de una herramienta de WorkFlow son las siguientes:
- Optimiza integralmente los trabajos.

- Divide en forma más clara y comprensible los procesos del CVS.
- Ahorra tiempo e incrementa la productividad de las mejoras y/o cambios.
- Optimiza los tiempos de circulación de la información.
- Mejora la toma de decisiones.
- Visibiliza la participación de los colaboradores.
- Reduce los errores de redacción, pérdida de información y otros que puedan limitar la
ejecución y análisis de los procesos del CVS.

2
Oportunidades de Mejora
Asimismo, el consultor, ha incluido en este informe diez Oportunidades de Mejora que tienen por objetivo
optimizar la gestión de la VUCE en los siguientes aspectos: Mejoras en la Gestión del Ciclo de Vida de
Software, Fortalecimiento de la Gestión de Continuidad de Negocios, Mejoras en la Arquitectura de
Desarrollo de Sistemas, Mejoras en la Gestión de Problemas. Por último, se está recomendando que
haya un mejor alineamiento de la DVUCEPT a la normativa de gestión vigente y de igual forma a la Ley
de Datos Abiertos.
1. Fortalecer la supervisión del servicio de infraestructura que le brindan como soporte a la plataforma
tecnológica de VUCE a través de un personal de planta o CAS.
Es necesario que se cuente con personal que realice funciones de coordinación y/o supervisión de
los distintos servicios de la plataforma tecnológica que se tienen contratados, para que verifique y
constate la correcta ejecución de las actividades. Asimismo, en caso se presente alguna incidencia
podría coordinar rápidamente con los responsables de tecnológica de MINCETUR.
Por lo mencionado anteriormente es que se ha visto por conveniente recomendar a la DVUCEPT

(Dirección de la Ventanilla Única Comercio Exterior y Plataformas Tecnológicas), fortalecer la
coordinación de las actividades de la plataforma tecnológica con los proveedores a fin de evitar
potenciales riesgos.
2. Se requiere implementar diferentes comités como Comité de Pases a Producción, Comité de

Pendientes de Atención y Seguimiento.
Se ha visto que es necesario el fortalecimiento del nivel de coordinación entre los principales actores
de la gestión tecnológica de los procesos de la VUCE, por tal motivo se ha considerado necesario la
creación de dos comités:
Comité de Pase a Producción. - Permitirá identificar riesgos potenciales, evaluar las prioridades para
la liberación de las soluciones, además de promover actividades requeridas para verificar si el
cambio efectuado corresponde a los requerimientos solicitados.
Comité de Pendientes de atención y seguimiento. - Permitirá evaluar los pendientes de las diferentes
áreas, el estado de las modificaciones y/o los cambios por parte de la fábrica, el estado de los
requerimientos, el estado de las pruebas, los tiempos de ejecución, entre otros.
3. Se requiere contar con modelos de empresa para la fábrica de software y pruebas donde se vea
mejor el trabajo orientado a culminar los requerimientos, es decir contratar una fábrica de software.
Consideramos que se debe evaluar la posibilidad de contar con los servicios de una Fábrica de
Software y una Fábrica de Pruebas, con la finalidad de descargar y agilizar las atenciones de los
distintos requerimientos. Esta modalidad, permite focalizar los esfuerzos en actividades core del
negocio y tercerizar las otras partes del CVS.
Por lo mencionado anteriormente se ha visto por conveniente evaluar la implementación de un

modelo de fábrica de software que permita planificar y programar los cambios o mejoras con una
visión más integral.

3
4. Fortalecer el CVS en el sistema de la calidad que comprende el Análisis, Diseño y Desarrollo de
Software, Gestión de operaciones (infraestructura, Capacitación, Mesa de ayuda, Gestión de
Incidentes) de la Ventanilla Única de Comercio Exterior
La DVUCEPT planifica la realización del producto mediante la identificación y desarrollo de los macro
procesos necesarios para su realización (Dirección, Gestión de la Calidad, Análisis, Diseño y
Desarrollo de Software, Gestión de Operaciones, Gestión Administrativa), identificando su interacción
descrita en el “Manual de Procesos y Procedimientos” de la VUCE y las fichas de proceso de Nivel 1.
Por lo expuesto anteriormente, se ha visto por conveniente recomendar lo siguiente:
- Implementar mayores escenarios de pruebas para garantizar los pases a producción y reducir el
riesgo en la liberación a producción.
- Disponer que todos los coordinadores puedan estandarizar un único Excel de Prioridades que
permita a los diferentes equipos las prioridades y que todos se encentren informados.
- Disponer que en los diferentes procesos del ciclo de vida definan sus riesgos como medida de
garantizar y fortalecer la liberación de los cambios en producción.
- identificado unas oportunidades de mejoras que se detallan a continuación:
5. Fortalecer las coordinaciones entre la DVUCEPT y los responsables de la Seguridad de Información

en MINCETUR para el cumplimiento de la NTP ISO 27002:2013
No se pudo apreciar la participación de algún responsable de la DVUCEPT en el comité de seguridad

de información que es de responsabilidad MINCETUR; del mismo modo la política general de
Seguridad de Información recién está en proceso de aprobación.
Por lo mencionado anteriormente se recomienda a la Dirección de la Ventana Única de Comercio

Exterior y Plataformas Tecnológicas que coordine con los responsables de MINCETUR la
participación en el Comité de Seguridad de la Información y que planifique actividades para fomentar
una cultura de Seguridad de Información en la Dirección.
6. Se deben fortalecer los controles que reduzcan los tiempos de interrupción de la plataforma VUCE.
Se ha evidenciado que no existe un Plan de Continuidad de Negocios en la VUCE y que tampoco

existen controles para garantizar la continuidad de sus operaciones, tales como la falta de un grupo
electrógeno y la imposibilidad de habilitar el Site de Contingencia, entre las más importantes.
Por lo mencionado anteriormente, se ha visto por conveniente recomendar que se elabore un BIA
(Business Impact Analysis) y un DRP (Disaster Recovery Plan), que establezca el proceso de
recuperación de los datos, el hardware y software crítico, para que la empresa pueda reanudar sus
operaciones en caso de un desastre natural o causado por humanos. Finalmente evaluar el control
más conveniente que garantice la continuidad de sus servicios ante un corte de energía eléctrica de
la red comercial.
7. Evaluar la adopción de una gestión proactiva que permita mejorar los indicadores de atención y
disponibilidad de los servicios que brinda la VUCE.
Se revisó la información de los tickets de la Mesa de Ayuda en la cual se puede apreciar que existe
un gran número de llamadas con incidencias que caen en la categoría Sistema, Sistema de
Autenticación e Interconexión. Vale la pena mencionar que existe una gestión coordinada de
incidentes y problemas asociados a los servicios que brinda la VUCE, pero que sin embargo puede
ser reforzada.
Por lo mencionado anteriormente, se ha visto por conveniente recomendar que los responsables de
los procesos y los responsables de la gestión de incidentes, problemas, cambios y configuración
4
opten por la creación de un comité de mejora continua, que se reúna regularmente para discutir
problemas conocidos y cambios que se hayan planificado.
Por otro lado, también se recomendó asignar un coordinador de VUCE que supervise los costes
totales originados por los problemas, que registre los esfuerzos de cambio que sean resultado de la
gestión de problemas, que reduzca las soluciones temporales y haga un seguimiento de los cambios
que van presentando los problemas.
Finalmente, identificar y proponer las soluciones permanentes identificando la causa raíz, y gestionar
solicitudes de cambio a través de los procesos de gestión de cambios establecidos.
8. Evaluar, las ventajas de adoptar el uso de microservicios con la finalidad de reducir los tiempos de
interrupción originados por problemas en los servicios web de las instituciones que forman parte de la
VUCE.
La VUCE cuenta con un servicio que mensualmente le brinda un informe de cumplimiento de SLA’s y
servicio; este informe incluye información correspondiente a servicios de monitoreo, gestión de
cambios y gestión de incidentes de la infraestructura de la VUCE. De la muestra se puede evidenciar
que los tiempos más altos de interrupción de los servicios están en las incidencias de los servicios
web de las entidades que participan en la VUCE y sobre las cuales la VUCE no tiene mayor control.
Por lo mencionado anteriormente, se ha visto por conveniente recomendar a la DVUCEPT (Dirección

de la Ventanilla Única Comercio Exterior y Plataformas Tecnológicas) evaluar la conveniencia de
adoptar una arquitectura de microservicios.
9. En el plan operativo institucional y en el presupuesto de los años 2017 y 2018 del MINCETUR, no se
identifica la programación de actividades, proyectos y las adquisiciones informáticas a ejecutarse en
dicho período por la unidad ejecutora VUCE. Asimismo, se carece de un plan operativo informático.
Se consultó a un funcionario de la DVUCETP acerca de la modalidad en la que la VUCE articula su

gestión de contrataciones, el funcionario indico que la Oficina General de Administración con la
Oficina de Abastecimiento y Servicios Auxiliares son los responsables de conducir los procesos del
Plan Anual de Contrataciones y Adquisiciones y como unidad orgánica hacen el registro del Plan
Operativo Institucional en el sistema gestor.
Por otro lado, en el Portal de Transparencia de MINCETUR, se observa que la Oficina General de
Planificación, Presupuesto y Desarrollo, en cumplimiento de las funciones asignadas en el
Reglamento de Organización y Funciones - ROF del MINCETUR, aprobado mediante Decreto
Supremo N° 005-2002-MINCETUR y modificatorias presenta la propuesta del Plan Operativo
Institucional de la Unidad Ejecutora 004: Plan COPESCO Nacional, en el Pliego 035: habiéndose
aprobado por la máxima autoridad desde los años 2011 al 2019, procediendo con la emisión de las
Resoluciones Ministeriales respectivas, incluidas sus modificaciones
Por lo mencionado anteriormente, se ha visto por conveniente recomendar a la DVUCEPT (Dirección

de la Ventanilla Única Comercio Exterior y Plataformas Tecnológicas), que en coordinación con
MINCETUR estandaricen los documentos de gestión, para mejorar los mecanismos de control y para
brindar una mayor autonomía en la gestión de la VUCE. Asimismo, coordine con los organismos
rectores de los Sistemas Administrativos del Estado para documentar de manera óptima las acciones
y coordinaciones realizadas, con el MINCETUR, para dar cumplimiento a las disposiciones emitidas
por la Secretaría de Gobierno Digital.
10. No se evidencia las coordinaciones realizadas a través de la dirección de la VUCE para el

5
cumplimiento de la ley de datos abiertos y el modelo de gestión documental con las áreas
responsables del MINCETUR
El Gobierno del Perú emitió el Decreto Supremo N° 016-2017-PCM que aprueba la “Estrategia
Nacional de Datos Abiertos Gubernamentales del Perú 2017 - 2021” y el “Modelo de Datos Abiertos
Gubernamentales del Perú”, el cual tiene por finalidad promover la apertura de datos de la
información de las entidades públicas.
Por otro lado, se aprobó el Modelo de Gestión Documental en el marco del Decreto Legislativo N°
1310 con Resolución de Secretaría de Gobierno Digital N° 001-2017-PCM/SEGDI mediante el cual
se aprueban medidas adicionales de simplificación administrativa, entre ellas, la establecida en el
artículo 8 sobre la interconexión de los sistemas de trámite documentario o equivalentes de las
entidades de la Administración Pública, para el envío automático de documentos electrónicos entre
dichas entidades a través de la Plataforma de Interoperabilidad del Estado (PIDE) administrado por la
Presidencia del Consejo de Ministros a través de la Oficina Nacional de Gobierno Electrónico e
Informática (ONGEI), actualmente Secretaría de Gobierno Digital (SEGDI).
Por lo mencionado anteriormente, se ha visto por conveniente recomendar que la DVUCEPT

(Dirección de la Ventanilla Única Comercio Exterior y Plataformas Tecnológicas) cumpla con la
adopción de la ley de Datos Abiertos y el Modelo de Gestión Documental tal como se indican en el
Decreto Supremo N° 016-2017-PCM y en la Resolución de Secretaría de Gobierno Digital N° 001-
2017-PCM/SEGDI respectivamente.

6
1. Objetivos y alcance de la Consultoría
Realizar un servicio de evaluación del nivel de cumplimiento de disposiciones y procedimientos
técnicos establecidos para el sistema de la Ventanilla Única de Comercio Exterior (VUCE), en
adelante EL SERVICIO, para el cumplimiento de los objetivos del Proyecto VUCE.
Objetivos Específicos:
1. Evaluación del nivel de cumplimiento de los procesos establecidos del ciclo de vida del
software, con referencia a la Norma Técnica Peruana NTP-ISO/IEC 12207. La evaluación
incluye la revisión completa de los procesos principales, de apoyo y organizativos indicados
por la norma.
2. Evaluación del nivel de cumplimiento de los procesos establecidos sobre Tecnología de la

Información, Técnicas de Seguridad, Código de Prácticas para Controles de Seguridad de la
Información, con referencia a las Normas Técnicas Peruanas NTP-ISO/IEC 27001 y 27002
indicadas. La evaluación incluye la revisión completa de los procesos indicados por la
norma.
3. Evaluación del nivel de cumplimiento de los procesos relacionados con la ISO/IEC 20000,
COBIT o ITIL de Gestión y Capacidad Operativa del Servicio.
4. Evaluación del nivel de cumplimiento de los planes y procedimientos derivados de la

dirección, así como los principales controles operativos, contables y financieros.
5. Elaborar y proponer procedimientos de revisión y verificación del cumplimiento de los

aspectos técnico – informáticos considerados en los términos de referencia de los procesos
y/o procedimientos establecidos para la VUCE.
6. Realizar el análisis de causas de las desviaciones de cumplimiento encontradas.
7. Elaborar la documentación que sustente su informe técnico.
Evaluación del nivel de cumplimiento de los procesos establecidos para el sistema de la VUCE,
en los siguientes aspectos:
 Los procesos del ciclo de vida del software, con referencia a la Norma Técnica Peruana
NTP-ISO/IEC 12207.
 Los procesos de Tecnología de la Información, Técnicas de Seguridad, Código de
Prácticas para Controles de Seguridad de la Información, con referencia a la Norma
Técnica Peruana NTP-ISO/IEC 27002.
 Los procesos de Gestión del Servicio, con referencia a la ISO/IEC 20000.
 Los procesos de cumplimiento de los planes y procedimientos derivados de la dirección.
 Los procesos de aplicación de los controles operativos, contables y financieros.
2. Evaluación de la situación de la actividad.

La VUCE en el Perú se inició con el propósito de solucionar la ineficiencia de los canales de
acceso de los operadores hacia las entidades del Estado, encargadas de tramitar los
permisos y autorizaciones para el comercio de las llamadas mercancías restringidas. Los
objetivos de la primera etapa de la VUCE (2010-2016) fueron disminuir los tiempos de
espera por parte de los usuarios para la obtención de esos permisos y autorizaciones, los
costos de desplazamiento de estos, así como las demoras y los rechazos de solicitudes.

7
Actualmente, el sistema de la VUCE contempla tres componentes:
 Componente de mercancías restringidas: el cual permite a los administrados realizar, por

medios electrónicos, los trámites para la obtención de los permisos, certificaciones, licencias
y demás autorizaciones exigidas por las autoridades competentes para el ingreso, tránsito o
salida de mercancías que lo requieran.
 Componente origen: Permite la emisión y gestión de la calificación de los Certificados de
Origen.
 Componente portuario: Permite la gestión de los procedimientos administrativos vinculados
con la recepción, estadía y despacho de las naves en los puertos del país y los
procedimientos relacionados con los servicios portuarios.
Como parte de las acciones y actividades que se vienen ejecutando en el Proyecto VUCE 2.0, se ha
recibido de la Dirección de la Ventanilla Única de Comercio Exterior y Plataformas Tecnológicas
(DVUCEPT), el requerimiento de revisar el nivel de cumplimiento de las disposiciones y
procedimientos técnicos establecidos para los sistemas de la VUCE, que aseguren la integridad de la
operación de la Ventanilla Única de Comercio Exterior y que recopile buenas prácticas en la
transición de aplicación de estas en las definiciones de la VUCE 2.0.
Por ello se plantea la atención de esta evaluación del nivel de cumplimiento de disposiciones y
procedimientos técnicos establecidos para el sistema de la VUCE, a fin de asegurar dicha transición.
2.1. Desarrollo de Objetivos.

- Evaluar el nivel de cumplimiento de los procesos establecidos en el Ciclo de Vida del
Software, con referencia a la NTP-ISO/IEC 12207.
En relación al presente objetivo podemos concluir que la alineación a la norma es de NTP

12207 Ciclo de Vida podemos apreciar que:
El análisis ha permitido determinar que:

 Procesos Principales del ciclo de vida, con resultado de 46.66% Alineado.
 Procesos de Apoyo del ciclo de vida, con resultado de 46.53% Alineado.
 Procesos organizativos del ciclo de vida, con resultado de 38.53% Alineado.
DOMINIOS Alineado No Alineado

1. PROCESOS PRINCIPALES DEL CICLO DE VIDA 46.66% 53.34%
2. PROCESOS DE APOYO DEL CICLO DE VIDA 46.53% 53.47%
3. PROCESOS ORGANIZATIVOS DEL CICLO DE VIDA 38.50% 61.50%
TOTAL 43.89% 56.11%
- Evaluar el nivel de cumplimiento de los procesos establecidos sobre Tecnología de la

Información, Técnicas de Seguridad, Código de Prácticas para Controles de Seguridad de la
Información, con referencia a las NTP-ISO/IEC 27001 y 27002 indicadas.
En el desarrollo a la alineación a la Norma NTP- ISO/IEC 27001 y 27002 podemos apreciar

que en lo que concierne a los dominios de Control de Accesos, seguridad perimetral,
controles en el desarrollo de sistemas, Contingencia, el cumplimiento es de un nivel
razonable, sin embargo, se identifica que hay necesidad de una mayor supervisión de las
actividades que realizan los terceros, de incorporar prácticas de continuidad y evaluar
nuevas tecnologías de desarrollo de servicios.
.
- Evaluar el nivel de cumplimiento de los procesos relacionados con la ISO/IEC 20000, COBIT
8
o ITIL de Gestión y Capacidad Operativa del Servicio.
En relación a la alineación con lo requerido a la ISO/IEC 20000, COBIT o ITIL de Gestión y

Capacidad Operativa del Servicio. Podemos apreciar que gracias la certificación en la ISO
9000 están alineados a varios procesos sin embargo se requiere implementar acciones que
la DVUCEPT debe implementar para poder considerar buscar certificarse, pero el nivel es
aceptable en el contexto de la norma.
- Evaluar el nivel de cumplimiento de los planes y procedimientos derivados de la dirección,

así como los principales controles operativos, contables y financieros.
En relación al cumplimiento de los planes y procedimientos derivados de la dirección se

pudo apreciar que están en un nivel de cumplimiento aceptable, sin embargo, se han
identificado aspectos por mejorar en la gestión de la VUCE, particularmente aquellos que
tienen que ver con el alineamiento de los documentos de gestión, adopción de normativa del
sector público tales como la ley de datos abiertos y la de gestión documental.
- Elaborar y proponer procedimientos de revisión y verificación del cumplimiento de los

aspectos técnico – informáticos considerados en los términos de referencia de los procesos
y/o procedimientos establecidos para la VUCE.
En Relación al cumplimiento de los aspectos técnicos – informáticos la DVUCEPT hasta la

se encuentra en un nivel aceptable, sin embargo, se ha podido identificar algunas
oportunidades de mejoras para que encuentra alineada a la ley de Datos Abiertos, Decreto
Supremo N° 016-2017-PCM ni al Modelo de Gestión Documental, Resolución de Secretaría
de Gobierno Digital N° 001-2017-PCM/SEGDI.
2.2. Aspectos de importancia.

Evaluación del nivel de cumplimiento de los procesos establecidos del ciclo de vida del software, con
referencia a la Norma Técnica Peruana NTP-ISO/IEC 12207. La evaluación incluye la revisión
completa de los procesos principales, de apoyo y organizativos indicados por la norma
La Ventanilla Única de Comercio Exterior – VUCE es un instrumento estratégico para la facilitación

del comercio exterior, administrado por el MINCETUR, el cual es importante porque implica mejorar
la colaboración entre los organismos gubernamentales vinculados con el comercio exterior, así como
aumentar la competitividad del sector Comercio Exterior.
Misión: Gestionar los procesos y la interoperabilidad de la plataforma tecnológica de la VUCE para el

desarrollo de aplicaciones tecnológicas, que permitan agilizar los trámites de comercio exterior del
Perú y gestionar las incidencias de las operaciones con la plataforma para su óptimo funcionamiento
de acuerdo con los niveles de accesibilidad, disponibilidad y seguridad de la información.
Visión: Llegar a ser una plataforma tecnológica líder de la región y principal herramienta tecnológica
que propicia la competitividad de las operaciones de comercio exterior del Perú mediante la
utilización de las Tecnologías de la Información y Comunicaciones - TICs.
Valores:
a. Compromiso: Nos identificamos con los objetivos estratégicos institucionales, actuando con
disposición permanente y entregando lo mejor de cada uno. Cumplimos con el deber
asignado para el logro de los objetivos
b. Probidad: Actuamos con rectitud, honradez y honestidad; de manera ideal, razonable, justa,
recta y decente; anteponiendo los fines e intereses del MINCETUR y de la población sobre
los propios.
9
c. Transparencia: Estamos en la capacidad de mostrar, sustentar y comunicar nuestras
actuaciones, manejando la información de forma clara, completa y veraz.
d. Justicia: Reconocemos los derechos de todos y cada uno de los integrantes con criterios de
equidad de los recursos públicos.
e. Lealtad: Somos fieles en las labores de la función pública al dar cumplimiento al marco
legal, orientando nuestras funciones al servicio de la población y los fines del Estado.
Reseña Histórica: La VUCE fue creada mediante Decreto Supremo N.º 165-2006-EF.
Hitos de la VUCE
La VUCE funciona como un sistema integrado que permite a las partes involucradas en el comercio y
transporte internacional, gestionar a través de medios electrónicos, los trámites requeridos por las
diversas entidades competentes, de acuerdo con la normatividad vigente, o solicitados por dichas
partes para el tránsito, ingreso o salida del territorio nacional de mercancías.
La VUCE cuenta con una Comisión Especial que coadyuva su implementación, que participan 27
instituciones: 17 del sector público, 9 gremios empresariales del comercio exterior y 1 administrador
portuario. Entre las instituciones públicas se encuentran:

10
Resultados
Este Manual de Calidad documenta la estructura y funcionamiento del Sistema de Gestión de la

Calidad (SGC) de la Dirección de la Ventanilla Única de Comercio Exterior y Plataformas
Tecnológicas (DVUCEPT), describiendo el alcance del SGC, la estructura de los procesos
establecidos por la Dirección, los cuales responden al cumplimiento de los requisitos de la norma ISO
9001:2015.
Gestión Estratégica de la Calidad

11
El alcance del Sistema de Gestión de la Calidad comprende el “Análisis, Diseño y Desarrollo de
Software, Gestión de Operaciones (Infraestructura, Capacitación, Mesa de Ayuda, Gestión de
Incidentes) de la Ventanilla Única de Comercio Exterior para la realización de los trámites
electrónicos de los administrados y su evaluación por las entidades de control del comercio exterior
relacionadas con los componentes de Mercancías Restringidas, Origen y Portuario”.
La organización ha establecido, implementado, mantenido la mejora continuamente del SGC, el cual

incluye los procesos necesarios y sus interacciones de acuerdo a la norma ISO 9001:2015. Dichos
procesos son identificados en el Gráfico Nº02 Mapa de procesos de la VUCE y se encuentran
detallados en el DVUCEPT.MP.02 Manual de procesos de la DVUCEPT, que contiene las fichas de
caracterización de los procesos, los cuales incluyen las entradas y salidas, la secuencia e
interacción, los criterios, métodos establecidos en los respectivos procedimientos, incluyendo el
seguimiento, las mediciones e indicadores de desempeño relacionados para asegurar la operación
eficaz y el control de estos procesos, asimismo se indican los recursos necesarios para asegurar su
disponibilidad, también se indican la asignación de responsabilidades y autoridades para estos
procesos, asimismo se abordan los riesgos y oportunidades que han sido identificados en la matriz
de riesgos de la DVUCEPT especificados en el punto 6.1. Estos procesos son evaluados mediante la
revisión de los indicadores de gestión del desempeño y el cumplimiento de objetivos y metas
revisados por la Dirección semestralmente, los cuales permiten generar las solicitudes de acciones
correctivas y las solicitudes de cambio correspondientes para asegurar los resultados previstos que
permitan mejorar los procesos y la eficacia del SGC.
Estos procesos se han clasificado según su aporte a la Cadena de Valor presentándose 3 tipos:
 Procesos Estratégicos (E). Procesos que definen las políticas, estrategias, objetivos y metas
de la organización, así como asegurar su cumplimiento.
 Procesos Misionales (M). Son los procesos operativos o de producción de bienes y servicios
que se entrega al cliente, son los que reciben e identifican los requisitos y necesidades,
transformándolos mediante los procesos, agregando valor y son encargados de lograr la
satisfacción de este.
 Procesos de Soporte (S). Procesos que realizan actividades de apoyo necesarias para el
buen funcionamiento de los procesos misionales y estratégicos. Los procesos estratégicos
definen la orientación hacia dónde debe operar los procesos misionales, los cuales se
apoyan de los procesos de soporte para cumplir con los objetivos planificados.
La DVUCEPT ha documentado sus procesos a un segundo nivel N2, estos niveles se detallan en el
cuadro N.º 1, llegando a un nivel de procedimientos como el nivel de máximo detalle de
documentación.

12
Detalle de Procesos
Estos procesos de nivel 0 (macroprocesos), nivel 1 (procesos), nivel 2 (procedimientos) se

encuentran identificados en el inventario de procesos de la VUCE mostrado en el cuadro N.º 2.
Los procedimientos incluyen una descripción detallada explicando el ¿Cómo se realizan las
actividades de los subprocesos? y ¿Qué roles o puestos participan?
La Organización mantiene información documentada según lo establecido en el procedimiento

“DVUCEPT03, Control de Documentos y Registros”, para apoyar las operaciones de sus procesos
mediante la actualización y conservación del Manual de la Calidad, así como de los procesos,
procedimientos incluidos en el SGC al igual que sus registros para asegurar que los procesos se
realicen según lo planificado.
Mapa de Procesos de la VUCE (N0)
Mapa de Procesos de la VUCE (N1)

13
Inventario de Procesos de la VUCE
La DVUCEPT ha establecido, implementado, revisado y mantenido la política de la calidad de la

VUCE, que establece lo siguiente:
“Se busca consolidar a la VUCE como una herramienta de facilitación del comercio exterior, que
brinde servicios de calidad, oportunos, transparentes y predecibles a los administrados y autoridades
administrativas, a fin de que realicen sus operaciones vinculadas al comercio exterior”.
La DVUCEPT realiza sus actividades asumiendo los siguientes compromisos:

a. Brindar servicios de calidad cumpliendo los requisitos de la Norma ISO 9001:2015, la normativa
vigente y los procedimientos del SGC establecidos por la Dirección.
b. Promover la mejora continua del SGC y su eficacia.
 Incentivar el desarrollo profesional del personal, comprometiéndolos a desarrollar su
14
capacidad de liderazgo y excelencia dentro de la organización.
 Implementar oportunidades de mejora para añadir valor al servicio, comprometiendo a las
organizaciones vinculadas.
La Dirección de la DVUCEPT es responsable del funcionamiento de su SGC, asegurar que su

planeamiento se lleve adelante, a través de la aprobación e implementación de la política y objetivos
de la calidad, así como de proporcionar los recursos necesarios para el funcionamiento del SGC y de
revisarlo periódicamente.
La Dirección de la DVUCEPT ha detallado las responsabilidades, la autoridad para los puestos y

roles integrantes del SGC para el cumplimiento de sus funciones y ejecución de sus actividades, a
través de los documentos del SGC como son el Manual de Perfil de Puestos (que contiene la
organización de la VUCE según los niveles de autoridad, la misión del puesto y las funciones
principales), los procedimientos, las directivas y el presente Manual de la Calidad. Estos documentos
son comunicados a todos los niveles de la VUCE, asimismo en el cuadro N° 4 se presenta el
resumen de las principales atribuciones y responsabilidades de la organización en cuanto al SGC.
Estas responsabilidades se han comunicado, difundido, han sido comprendidas y están disponibles
por todo el personal integrante del SGC, mediante la difusión del presente Manual.

15
Organigrama de la DVUCEPT

16
En el organigrama establece la organización del SGC de la DVUCEPT, indicando los niveles de
autoridad funcional y sus dependencias entre los puestos definidos para ejercer las funciones
establecidas por la Dirección.
Acciones para abordar riesgos y oportunidades
1. La planificación del SGC considera la comprensión del contexto de la organización y de las

expectativas de las partes interesadas el cual se ha identificado los riesgos y oportunidades en la
matriz de riesgos con el fin de asegurar los resultados previstos por el SGC, aumentar los efectos
deseables, prevenir o reducir los efectos no deseados y lograr la mejora continua.
2. La DVUCEPT ha planificado las acciones para abordar los riesgos y oportunidades, así como la
manera de integrar e implementar las acciones en sus procesos mediante la actualización del
proceso de planeamiento y el procedimiento de “DVUCEPT.01, Planeamiento”, que describe los
lineamientos básicos de la Gestión de Riesgos, así como la planificación a las respuestas a los
riesgos, oportunidades, el control y la evaluación de la eficacia de los riesgos.
La planificación del SGC se realiza anualmente. La Planificación se encuentra detallada en el

Registro “DVUCEPT.01.RE.85, Plan y Programación de Actividades”, así como en la matriz de
identificación de riesgos y oportunidades.
Los riesgos de niveles inaceptables y altos o sus equivalentes deberán implementarse controles o
actividades de respuesta al riesgo, las mismas que deberá actualizarse según sean requeridas.
Objetivos de la calidad y planificación para lograrlos

17
La DVUCEPT ha establecido los objetivos de la calidad para las funciones, niveles pertinentes y los
procesos necesarios para el SGC.
Los objetivos de la Calidad han sido definidos por la DVUCEPT, estos se determinan sobre la base
de los objetivos estratégicos del Sector Comercio Exterior definidos por el MINCETUR en el PESEM
y PENX, el análisis externo e interno de la VUCE realizado mediante la matriz FODA (fortalezas,
oportunidades, debilidades y amenazas), estos objetivos son coherentes con la política de la calidad
establecida, el enfoque a los procesos del SGC, son medibles y son objeto de seguimiento a través
de indicadores, son pertinentes para la conformidad de los productos y servicios, son actualizados y
comunicados oportunamente a los interesados según corresponda.
Objetivos de la Calidad
Para la planificación del logro de los objetivos de la calidad se han determinado las acciones
operativas generales requeridas que se realizaran, así como los recursos requeridos para su
ejecución y son determinados durante la formulación del Plan Operativo Institucional (POI), los
responsables son los Coordinadores de Línea en Coordinación con el Director de la DVUCEPT, los
plazos establecidos figuran en el documento de POI, los indicadores con que se evaluarán los
resultados obtenidos se detalla en el ítem 9.1.1.1.
Acciones Operativas
18
La política, objetivos y metas de la calidad son revisados y aprobados anualmente, para su continua
adecuación y mejoramiento de la eficacia del SGC por el Director General de la DGFCE del
MINCETUR.
El Plan y Programación de actividades detallaran las actividades requeridas para ejecutar las
acciones operativas requeridas y cumplir los objetivos y metas establecidas; su avance y
cumplimiento del plan, son actualizados trimestralmente por los responsables de proceso o
Coordinadores de Línea respectivos, debiendo mantenerse disponible dicho Plan en la ruta
compartida del SGC. Los Coordinadores de Línea informarán trimestralmente al Director de la
DVUCEPT con copia al Coordinador de Procesos y Calidad del avance o cumplimiento de los
objetivos y metas establecidas, así como su modificación.
Planificación de los cambios
Cuando se determina la necesidad de los cambios del SGC, estos son implementados de manera
planificada, evaluándose previamente su impacto en el proceso, para asegurarse que estos logren
los resultados planificados, debiéndose considerar:
a. El propósito de los cambios y sus impactos.

b. La integridad del SGC.
c. La disponibilidad de recursos para su ejecución.
d. La asignación o reasignación de responsabilidades y autoridades.
Los cambios se registrarán en el control de cambio que figura en los documentos del SGC
(procedimientos, manuales, instructivos) o en las solicitudes de cambio que justifican su aprobación,
por el Director de la DVUCEPT o Coordinador de Línea responsable o según lo establecido en su
respectivo procedimiento.

19
2.3. Oportunidades de Mejoras, Riesgos detectados y su impacto en la
institución.
OPORTUNIDADES DE MEJORAS
Como parte de la actividad de consultoría realizada a los procesos de la Ventanilla Única de

Comercio Exterior (VUCE), Unida Ejecutora dependiente del Ministerio de Comercio Exterior y
Turismo (MINCETUR), el equipo de auditoria, alineado con el marco internacional para la práctica
profesional de la Auditoria Interna, identifico 05 oportunidades de mejora, las mismas que fueron
tratadas con los funcionarios de la VUCE, las cuales se detallan a continuación:
1. Fortalecer la supervisión del servicio de infraestructura que le brindan como soporte a la

plataforma tecnológica de VUCE a través de un personal de planta o CAS.
De la evaluación al servicio de soporte a la plataforma tecnológica de VUCE que brinda la

empresa Business Solution Consultores (BSC), se ha podido apreciar que como requisito de su
servicio debe emitir mensualmente reportes del servicio, en el que informa de las incidencias en
la plataforma tecnológica; del mismo modo cuentan con un personal que está monitoreando la
situación y estado de los servidores y el comportamiento del servicio. En ese mismo sentido
cuando se libera un cambio o mejora se le comunica para que dicha función sea realizada por el
proveedor; Las actividades que realizan no cuenta con la supervisión de la entidad, simplemente
ejecutan lo que se les pide, es por ello que esto configura un riesgo potencial ya que no se sabe
el estado del cambio, y como se realiza la liberación. Por ello, siempre debería contarse con un
coordinador de parte de la dirección o del proyecto para que verifique y constate el
desenvolvimiento de las actividades y tenga un rol de responsabilidad y fortalezcan las
coordinaciones tanto si es la liberación o el cambio en el centro de cómputo de MINCETUR
como de la plataforma de Americatel; el control sería más oportuno y si se presentara alguna
incidencia podría coordinar con mayor eficacia con los responsables de tecnológica de
MINCETUR. Por otro lado, solo se complementaría las actividades que ya se viene realizando
actualmente con los coordinadores de Requerimiento y Producción y Calidad y Procesos.
Lo mencionado anteriormente no se alinea con la Norma de Control Interno, aprobada mediante

Resolución de Contraloría General N° 320-205-CG de 206.10.30, en el numeral II.5.1.1.
Prevención y Monitoreo de las Normas Básicas para las actividades de Prevención y Monitoreo
que forma parte de las Normas Generales de Control Interno, que señala lo siguiente: “El
monitoreo de los procesos y operaciones de la entidad debe permitir conocer oportunamente si
éstos se realizan de forma adecuada para el logro de sus objetivos y si en el desempeño de las
funciones asignadas se adoptan las acciones de prevención, cumplimiento y corrección
necesarias para garantizar la idoneidad y calidad de los mismos”.
Del mismo modo, no se alinea con la Resolución Ministerial N° 246-2007-PCM, la Presidencia de

Consejo de Ministros aprueba el uso Obligatorio de la Norma Técnica Peruana “NTP-ISO /IEC
17799:2007 EDI. Tecnología de información: Código de buenas Prácticas para la Gestión de la
Seguridad de la Información, en el Capítulo 14, Gestión de Continuidad del Negocio, inciso 14.1.
Donde se indica lo siguiente: “Aspecto de la Continuidad de Negocio” reaccionar a la interrupción
de las actividades negocios y sus procesos críticos frente a continuas fallas de los sistemas de
información o desastres”.
Dicha oportunidad de mejora, que se está presentando y que no se ha considerado formalizar

pues se cuenta con el apoyo del consultor de la unidad ejecutora 5, que tiene otros roles pero
que actualmente está apoyando a fortalecer este rol de coordinador, debería ser ampliado y
formalizarlo.

20
De continuar trabajando de esta manera, podría incurrir en un riesgo potencial, ya que se podría
dejar de atender requerimientos o cambios con la oportunidad o prioridad que requiera por la
debilidad de la coordinación en tiempo y en roles ya que siempre seria con personal propia del
MINCETUR.
Recomendación
Que la DVUCEPT (Dirección de la Ventanilla Única Comercio Exterior y Plataformas

Tecnológicas) evalué la necesidad de fortalecer el Rol de coordinación de Infraestructura
permitiendo que pueda reducir la posibilidad de riesgos potencial ante cualquier coordinación del
servicio o incidencia que se presente por la plataforma tecnológico de VUCE.
2. Se requiere implementar diferentes comités como Comité de Pases a Producción, Comité de

Pendientes de Atención y Seguimiento
De las reuniones sostenidas con los diferentes consultores que interviene en los procesos del
ciclo de vida del sistema VUCE, se ha podido apreciar que no se reúnen de forma continua para
fortalecer las actividades y procesos de una mejora o cambio en la plataforma tecnológica; las
generaciones de comités permitirán fortalecer las actividades requeridas en el ciclo de vida de la
plataforma tecnológica de VUCE, estos comités podrían ser:
Comité de Pase a Producción: Reunión de coordinación que permite identificar los riesgos
potenciales, evaluar las prioridades para la liberación de la solución, actividades requeridas para
verificar si el cambio efectuado corresponde a los requerimientos emitidos y sobre todo validar y
verificar el comportamiento de la mejora o el cambio. Del mismo modo se identifican
responsables y roles requeridos, así como los cambios que se pueden efectuar en la parte de
infraestructura y que requieren ser comunicados a todas las instancias.
Comité de Pendientes de atención y seguimiento: Reunión de coordinación donde se evalúan los

pendientes de las diferentes áreas, por ejemplo, el estado de los modificaciones o cambios por
parte de la fábrica, el estado de los requerimientos, el estado de las pruebas que se están
efectuando y el tiempo de culminación, los problemas que se están presentando y las
actividades o acciones requeridas para superarlos, entre otros.
Al respecto, la Norma de Control Interno, aprobada mediante Resolución de Contraloría General

N° 320-205-CG de 206.10.30, en el numeral II.5.1.1. Prevención y Monitoreo de las Normas
Básicas para las actividades de Prevención y Monitoreo que forma parte de las Normas
Generales de Control Interno, señala lo siguiente: “El monitoreo de los procesos y operaciones
de la entidad debe permitir conocer oportunamente si éstos se realizan de forma adecuada para
el logro de sus objetivos y si en el desempeño de las funciones asignadas se adoptan las
acciones de prevención, cumplimiento y corrección necesarias para garantizar la idoneidad y
calidad de los mismos”.
Asimismo, como una práctica usualmente aceptada de Cobit 4.1 “Objetivos de Control para la
Información y la Tecnología” en el dominio “Monitorear y evaluar”, ME2 “Monitorear y evaluar el
control interno”, indica que: “Establecer un programa de control interno efectivo para TI requiere
un proceso bien definido de monitoreo. Este proceso incluye el monitoreo y el reporte de las
excepciones de control, resultados de las auto-evaluaciones y revisiones por parte de terceros.
Un beneficio clave del monitoreo del control interno es proporcionar seguridad respecto a las
operaciones eficientes y efectivas y el cumplimiento de las leyes y regulaciones aplicables”
Dicha oportunidad de mejora se presenta pues no se ha considerado formalizar las reuniones

que se efectúan los diferentes comités que anteriormente se ha podido explicar como finalidad,
por otro lado, no se evidencia en registros la acreditación de los avances y seguimiento

21
formalmente de las tareas, pendientes, proyectos etc. Como se puedan alinear con la visión de la
alta dirección y de las principales áreas de la institución.
De continuar trabajando de esta manera, se incurriría en un riesgo potencial, ya que se podría

atender requerimientos sin ningún grado de prioridad o por orden de llegada, y no se tendría
información para gestionar eficazmente los recursos que cuentan.
Recomendación
Que la DVUCEPT disponga lo necesario por medio de los diferentes coordinadores la

formalización de los diferentes comités que sugerimos siempre orientados a mejorar la gestión
en la DVUCEPT.
3. Se requiere contar con modelos de empresa para la fábrica de software y pruebas donde se vea
mejor el trabajo orientado a culminar los requerimientos, es decir contratar una fábrica de
software.
Al evaluar todos los procesos que se ejecutan para los diferentes procesos en la atención de los
requerimientos, como un mecanismo de fortalecer consideramos que podrían evaluar la
posibilidad de contar con –Fábricas de Software y Fábrica de pruebas diferentes ambas como la
manera de descargar y agilizar las atenciones de los diferentes requerimientos, existen en el
mercado y lo utilizan diferentes entidades del estado dicha forma de trabajar ya que permite
focalizar los esfuerzo en el CORE del negocio y tercerizar las otras partes del ciclo de vida; ello
significa también que se considere una buena Metodología para Gobernar o administrar dicha
posibilidad.
Como una práctica usualmente aceptada de Cobit 4.1 ‘Objetivos de Control para la Información y
la Tecnología’ en el dominio Planear y Organizar, indica que se debería:” Asignar la
responsabilidad para el desempeño de la función de aseguramiento de calidad y proporcionar al
grupo de aseguramiento los sistemas de aseguramiento de calidad, los controles y la experiencia
para comunicarlos. La ubicación organizacional y las responsabilidades y tamaño del grupo de
aseguramiento de calidad satisfacen los requerimientos de la organización”. De la misma manera
menciona que: “Se debe elaborar y mantener un sistema de administración de calidad, el cual
incluya procesos y estándares probados de desarrollo y de adquisición. Esto se facilita por medio
de la planeación, implantación y mantenimiento del sistema de administración de calidad,
proporcionando requerimientos, procedimientos y políticas claras de calidad. Los requerimientos
de calidad se deben manifestar y documentar con indicadores cuantificables y alcanzables. La
mejora continua se logra por medio de un constante monitoreo, corrección de desviaciones y la
comunicación de los resultados a los interesados. La administración de calidad es esencial para
garantizar que TI está dando valor al negocio, mejora continua y transparencia para los
interesados”.
Al respecto, como práctica generalmente aplicable y aceptada de control y administración en

Tecnologías de Información, la dirección correspondiente deberá definir e implementar
estándares de sistemas de información y adoptar una metodología del ciclo de vida de desarrollo
de sistemas que rija el proceso de desarrollo, adquisición, implementación y mantenimiento de
sistemas de información computarizados y tecnología afín. La metodología del ciclo de vida de
desarrollo de sistemas elegida deberá ser la apropiada para los sistemas a ser desarrollados,
adquiridos, implementados y mantenidos. Asimismo, se deberá definir procedimientos
destinados a evaluar el aseguramiento de la calidad sobre el cumplimiento de Estándares de
Desarrollo.
De la misma manera, la Norma Técnica Peruana NTP-ISO/IEC 12207:2016 Ingeniera de

Software y sistemas. Procesos del ciclo de vida del Software 3era Edición, aprobada mediante
Resolución Ministerial Nº 013-2016-INACAL/DN, el 27 febrero 2017”, en el punto 6. Procesos de
22
Apoyo del Ciclo de Vida, apartado 6.3. “Proceso de Aseguramiento de la Calidad” menciona que:
‘El proceso de aseguramiento de la calidad es un proceso para proporcionar la seguridad
apropiada de que los productos y procesos software del ciclo de vida del proyecto son conformes
con sus requerimientos especificados y se adhieren a los planes establecidos. Para ser
imparcial, el aseguramiento de la calidad necesita libertad organizativa y autoridad respecto a las
personas directamente responsables el desarrollo del producto software o, que ejecutan el
proceso del proyecto.’
Dicha situación genera un riesgo potencial ya que se podría ingresar cambios o mejoras y no
contar con los recursos necesarios, pero contar con una fábrica de software se puede garantizar
la continuidad de servicios.
Recomendación
Se recomienda a la Dirección de la Ventana Única de Comercio y Plataformas Tecnológicas que

realice las siguientes acciones:
 Evaluar la implementación de un modelo de fábrica de software que permitan planificar,

programar los cambios o mejoras con una visión más integral, para ello en el Anexo 2 se
propone un modelo que es utilizado en el estado.
 Deben tener un coordinador y mantener los consultores en desarrollo para cambios muy
puntuales y la fábrica para proyectos y soluciones de mayor complejidad, así mismo la
fábrica se contrata por horas o bolsa de horas.
4. Fortalecer el CVDS en el sistema de la calidad que comprende el Análisis, Diseño y Desarrollo

de Software, Gestión de operaciones (infraestructura, Capacitación, Mesa de ayuda, Gestión de
Incidentes) de la Ventanilla Única de Comercio Exterior
El alcance del Sistema de Gestión de la Calidad comprende el “Análisis, Diseño y Desarrollo de

Software, Gestión de Operaciones (Infraestructura, Capacitación, Mesa de Ayuda, Gestión de
Incidentes) de la Ventanilla Única de Comercio Exterior para la realización de los trámites
electrónicos de los administrados y su evaluación por las entidades de control del comercio
exterior relacionadas con los componentes de Mercancías Restringidas, Origen y Portuario”.
Servicio de Diseño, desarrollo e Implementación de procedimientos de entidades o sus
modificaciones a la plataforma tecnológica de la VUCE.
La DVUCEPT planifica la realización del producto mediante la identificación y desarrollo de los

macroprocesos necesarios para su realización (Dirección, Gestión de la Calidad, Análisis, Diseño
y Desarrollo de Software, Gestión de Operaciones, Gestión Administrativa), identificando su
interacción mediante el gráfico Nº 3 Mapa de procesos de la VUCE y su documentación descrita
en el “Manual de Procesos y Procedimientos” de la VUCE y las fichas de proceso de Nivel 1.
Mediante el gráfico Nº4 se visualiza el proceso productivo de elaboración de aplicativos de

software, con las entradas y salidas de cada proceso, los cuales se complementan con las fichas
de proceso de Nivel Uno. Seguidamente la documentación de los procesos se ha realizado hasta
un segundo nivel N2, llegando a documentar hasta el nivel de procedimientos.
La DVUCEPT determina los requisitos requeridos por el cliente mediante los procedimientos
“DVUCEPT.08, Análisis Funcional” y los requisitos legales y reglamentarios aplicables, se cuenta
con los procedimientos que detallan el diseño, desarrollo, implementación de software:
“DVUCEPT.08, Análisis Funcional”, “DVUCEPT.09, Análisis Técnico”, “DVUCEPT.10,
Codificación”, “DVUCEPT.11, Pruebas”, “DVUCEPT.12, Certificación”, “DVUCEPT.13,
Despliegue”.

23
Por lo expuesto anterior mente, se ha identificado unas oportunidades de mejoras que se
detallan a continuación:
- Ampliar los escenarios de pruebas para garantizar mejor los pases a producción; se ha
identificado que las pruebas son realizadas en un nivel de pruebas unitarias, además de las
pruebas funcionales, sin embargo, para fortalecer el esquema de pruebas debería realizarse
pruebas integrales, pruebas de regresión etc. con la finalidad de fortalecer el proceso de
pruebas y reducir el riesgo a la hora de liberar un cambio en producción.
- Se ha identificado que se cuenta con Excel de Prioridades que lo mantiene el equipo de

análisis, La idea del Excel de “Prioridades” es tener la visión general y el orden de trabajo de
todos los procesos no solo lo debe utilizar el equipo de análisis, debería ser para todos y así
tener una solo visión y un mismo horizonte, y a su vez también transparentar todos los
requerimientos que están atendiendo como DVUCEPT. En ese mismo orden de ideas la
toma de requerimientos y todos los procesos del CVDS1 deben seguir las “Prioridades”, pero
se aprecia que en algunos procesos no se comunican los cambios que tienen en
prioridades, y/o no comunican la labor que están realizando. Este Excel solo lo mantiene el
equipo de análisis y en ocasiones cuando desarrollo tiene una nueva tarea que prioriza no
se aprecia que exista la comunicación y por ende el equipo de análisis no conoce de esos
cambios y se entera cuando ya pasó a producción y salieron tickets.
- En los diferentes formatos que se utilizan para el ciclo de vida se aprecia que el equipo de
análisis cuenta con un análisis de riesgos establecido en su formato, sin embargo, en el
proceso tanto de Desarrollo, pruebas, y liberación a producción debe tener establecidos un
análisis de dicho cambio pues son distintas a considerar en cada proceso.
- Se pudo identificar que existen cambios de urgencia o de emergencia que no han pasado
formalmente por el proceso formal que se efectúa para el ciclo de vida de los cambios o
mejoras, dicha situación se puede detectar cuando se liberó a producción y se solicita la
actualización de los formatos correspondientes, pero requiere su formalización.
De las oportunidades de mejoras, podemos decir que no se alinea con la Norma Técnica
Peruana NTP-ISO/IEC 12207:2016 Ingeniera de Software y sistemas. Procesos del ciclo de vida
del Software 3era Edición, aprobada mediante Resolución Ministerial Nº 013-2016-INACAL/DN,
el 27 febrero 2017”, en el punto 6. Procesos de Apoyo del Ciclo de Vida, apartado 6.3. “Proceso
de Aseguramiento de la Calidad” menciona que: ‘El proceso de aseguramiento de la calidad es
un proceso para proporcionar la seguridad apropiada de que los productos y procesos software
del ciclo de vida del proyecto son conformes con sus requerimientos especificados y se adhieren
a los planes establecidos. Para ser imparcial, el aseguramiento de la calidad necesita libertad
organizativa y autoridad respecto a las personas directamente responsables el desarrollo del
producto software o, que ejecutan el proceso del proyecto.’
Del mismo modo, lo expresado anteriormente no se alinea al El Código de Buenas Prácticas

para la Gestión de la Seguridad de la Información, ISO 27002:2013, En el Capítulo
“Procedimientos de control de cambios del sistema”, dice “Los cambios a los sistemas dentro
del ciclo de vida de desarrollo se deberían controlar mediante el uso de procedimientos de
control de cambios formales”, además Los procedimientos de control de cambios formales se
deberían documentar para garantizar la integridad del sistema, las aplicaciones y productos,
desde las primeras etapas del diseño a través de todos los esfuerzos de mantenimiento
posteriores. La introducción de nuevos sistemas y cambios importantes a los sistemas existentes
debería seguir un proceso formal de documentación, especificación, pruebas, control de calidad
e implementación administrada. El proceso debería incluir una evaluación de riesgos, un análisis
de los impactos de los cambios y la especificación de los controles de seguridad necesarios.
1
CVDS Ciclo de Vida del Software
24
Este proceso además de garantizar que no se vean comprometidos los procedimientos de
seguridad y control, que los programadores de soporte cuenten con acceso solo para las partes
del sistema necesarias para su trabajo y que se obtenga el acuerdo y la aprobación formal para
cualquier cambio.
Donde sea factible, se deberían integrar los procedimientos de control de cambios de aplicación
y operacionales. Los procedimientos de control de cambios deberían incluir, pero sin limitarse a:
a. Mantenimiento de un registro de niveles de autorización acordados;

b. Garantizar que los cambios los emiten los usuarios autorizados;
c. Revisar los procedimientos de control e integridad para garantizar que no se verán
comprometidos por los cambios;
d. Identificación de todo el software, la información, las entidades de la base de datos y el
hardware que requiere modificaciones;
e. Identificación y verificación del código crítico de seguridad para minimizar la
probabilidad de debilidad de seguridad conocidas; obtención de una aprobación formal
para las propuestas detalladas antes de que comience el trabajo;
f. Asegurarse de que los usuarios autorizados acepten los cambios antes de la
implementación;
Así mismo, dicha oportunidad de mejora no se alinea con la Norma de Control Interno, aprobada
mediante Resolución de Contraloría General N° 320-2006-CG de 206.10.30, en el numeral
II.5.1.1. Prevención y Monitoreo de las Normas Básicas para las actividades de Prevención y
Monitoreo que forma parte de las Normas Generales de Control Interno, señala lo siguiente: “El
monitoreo de los procesos y operaciones de la entidad debe permitir conocer oportunamente si
éstos se realizan de forma adecuada para el logro de sus objetivos y si en el desempeño de las
funciones asignadas se adoptan las acciones de prevención, cumplimiento y corrección
necesarias para garantizar la idoneidad y calidad de los mismos”.
Del mismo modo, como práctica generalmente aplicable y aceptada de control y administración
en Tecnologías de Información, la dirección correspondiente deberá definir e implementar
estándares de sistemas de información y adoptar una metodología del ciclo de vida de desarrollo
de sistemas que rija el proceso de desarrollo, adquisición, implementación y mantenimiento de
sistemas de información computarizados y tecnología afín. La metodología del ciclo de vida de
desarrollo de sistemas elegida deberá ser la apropiada para los sistemas a ser desarrollados,
adquiridos, implementados y mantenidos. Asimismo, se deberá definir procedimientos
destinados a evaluar el aseguramiento de la calidad sobre el cumplimiento de Estándares de
Desarrollo.
De las oportunidades de mejoras identificadas en el proceso del ciclo de vida desarrollo de

sistemas, podemos apreciar que es un riesgo potencial ya que se podría ingresar a producción
cambios y/o mejoras sin las fortalezas necesarias, como las pruebas integrales, documentación
de requeridos que garanticen su correcto funcionamiento en producción.
Recomendación
Se recomienda a la Dirección de la Ventana Única de Comercio Exterior y Plataformas

Tecnológicas que realice las siguientes acciones:
 Implementar mayores escenarios de pruebas para garantizar mejor los pases a producción y
reducir el riesgo en la liberación a producción.
 Disponer que todos los coordinadores de los diferentes procesos puedan uniformar un único
Excel de Prioridades que permita a los diferentes equipos la integridad de las prioridades y
25
todos se encentren informados.
 Disponer que en los diferentes procesos del ciclo de vida definan sus riesgos como medida
de garantizar y fortalecer la liberación de los cambios en producción.
 Disponer la creación de un procedimiento, cambios de urgencia o de emergencia que no
han pasado formalmente por el proceso formal para ello en el ANEXO 1 se propone un
ejemplo para su evaluación y adopción.
5. Fortalecer las coordinaciones entre la DVUCEPT y los responsables de la Seguridad de

Información en MINCETUR para el cumplimiento de la NTP ISO 27002:2013
El MINCETUR 2 como ente responsable cuenta con direcciones y unidades ejecutivas para dirigir
todo lo relacionado al comercio y turismo en el Perú, como entidad del estado esta alienado al
cumplimiento de la ISO NTP/IEC 27001:2014 3 la norma técnica exige entre otros aspectos la
participación y creación de un comité de gestión de seguridad de la información conformada por
el Titular de la entidad o su representante, responsable de la administración, responsable de la
planificación, responsable de informática, responsable de Legal, oficial de seguridad y los
representante que consideren de las diferentes direcciones; la fecha de cumplimiento de la
creación del comité fue el 04/07/32017 y la fecha de cumplimiento de la implementación de la
norma fue en enero 2018 para todas las entidades del estado.
En ese sentido, no se ha podido apreciar la participación de algún responsable de la DVUCEPT4

en el comité de seguridad de información que es de responsabilidad MINCETUR; del mismo
modo las Políticas generales de seguridad de información recién está en proceso de aprobación
y posterior difusión para todas las direcciones que pertenezca al ministerio.
En ese sentido, también se ha podido apreciar el cumplimiento de algunos de los 14 dominios
desde los que podemos citar, el dominio de control acceso, control de equipos, perfiles y
usuarios, seguridad perimetral, etc.
También hay aspectos requeridos en la norma que requiere ser difundido en todas las
direcciones que pertenece al ministerio.
En Resolución Ministerial N°004-2016-PCM en el Artículo 5 Del Comité de Gestión de Seguridad

de la Información específica: Que cada entidad designará un comité de Gestión de Seguridad de
la Información, conformado por:
- El Titular de la Entidad;
- El responsable de administración o quien haga sus veces;
- El responsable del área de informática o quien haga sus veces;
- El responsable del área legal o quien haga sus veces y el oficial de seguridad de la
información;
- Las funciones del comité de Gestión de seguridad de la información serán establecidas por
cada entidad de acuerdo a la norma que se aprueba mediante el artículo 1 de la presente
resolución ministerial.
- El Código de Buenas Prácticas para la Gestión de la Seguridad de la Información, ISO
NTP/IEC 27001:2014, aprobada con Resolución Ministerial N°004-2016-PCM en el Dominio
“Políticas de Seguridad de Información”, dice “La Dirección de la Seguridad de Información”;
Proporcionar dirección y apoyo de la gerencia para la seguridad de información en
concordancia con los requisitos de las leyes y regulaciones relevantes.
De continuar trabajando de esta manera, se incurre en un riesgo potencial ya que no se tendría

la información de las acciones de seguridad de información además los personales de la
dirección no conocerían todos los aspectos de las políticas de información a su vez no se
2
MINCETUR- Ministerio de Comercio Exterior y Turismo
3
Resolución Ministerial N°004-2016-PCM – ISO NTP/IEC 27001:2014 Técnicas de Seguridad, Sistema de Gestión de Seguridad de la
Información del 08/01/2016.
4
DVUCEPT – Dirección de la Ventana Única de Comercio Exterior y Plataformas Tecnológicas
26
difundirían con efectividad los aspectos de integridad, disponibilidad y confidencial de la
información que se procesan en el ministerio.
Se aprecia también que MINCETUR ha conformado su comité y que están en proceso de

formalizar, aprobar y difundir las Políticas de Seguridad de Información son unos de los aspectos
de las causas de la falta de participación de las diferentes direcciones en los aspectos de
seguridad de información.
Recomendación
Se recomienda a la Dirección de la Ventana Única de Comercio Exterior y Plataformas

Tecnológicas que realice las siguientes acciones:
 Coordinar con los responsables de MINCETUR la participación en el comité de seguridad de

la información
 Planificar actividades de fomentar una cultura de seguridad de información en la dirección
 Que los procesos de seguridad de información que ha definido la responsable seguridad de
información del Ministerio sean coordinados y fortalecidos para el cumplimiento de la norma
en toda la entidad.
6. Se deben fortalecer los controles que reduzcan los tiempos de interrupción de la plataforma
VUCE.
La Ventanilla Única de Comercio Exterior (VUCE), desde su creación se ha convertido en un

driver clave para facilitar el comercio exterior. Administrado por el MINCETUR, su función
principal es la de mejorar la colaboración entre los organismos gubernamentales5, gremios
empresariales6 y administradores portuarios7 vinculados con el comercio exterior, así como
aumentar la competitividad del sector Comercio Exterior.
Por lo mencionado anteriormente, es de vital importancia que el soporte tecnológico de la VUCE

cuente con los recursos necesarios para garantizar la continuidad de sus servicios. En este
contexto el equipo de consultoría identificó situaciones recientes que se pasan a comentar:
 Se pudo evidenciar en el Informe de Cumplimiento de SLAs y Servicio de la VUCE del mes

de diciembre 2018, entregado por la empresa Business Solution Consultores (BSC), las
siguientes incidencias:
o “Debido a un mantenimiento de Luz del Sur programado el día 01 de diciembre

desde las 12:00 horas hasta las 17:10 horas del día 02 de diciembre se tuvo que
apagar los servidores y bajar los servicios VUCE”.8
o “El tiempo de habilitación del site de contingencia aún no se puede medir porque
está pendiente de actividades para la activación como tal”.
o Existe una alerta crítica con respecto al espacio libre en el equipo storage con
solamente 22 Gb libres.
 Se pudo evidenciar en el Informe de Actividades de Administración de Base de Datos Oracle

del mes de diciembre de 2018, entregado por la empresa Business Solution Consultores
(BSC), la siguiente incidencia:
5
MINCETUR, PCM, MEF, MTC, PRODUCE, SUNAT, DIGESA, DIGEMID, SENASA, SANIPES, SERFOR, SUCAMEC, APN, DIRESA Callao, DICAPI y
MIGRACIONES
6
Asociación de Agentes de Aduana del Perú (AAAP), Asociación de Exportadores (ADEX), Asociación Peruana de Agentes de Carga Internacional (APACIT),
Cámara de Comercio de Lima (CCL), Sociedad de Comercio Exterior del Perú (COMEX PERÚ), Sociedad Nacional de Industrias (SNI), Asociación Marítima del Perú
(ASMARPE), Asociación Peruana de Agentes Marítimos (APAM) y Asociación Peruana de Operadores Portuarios (ASPPOR)
7
DP World Callao SA y ENAPU
8
Esta problemática se ha dado también en los meses de enero y octubre.
27
o En el punto referido a las Pruebas de Respaldo se puede leer que “No existe
infraestructura para realizar la restauración de los backup generados”.
Al respecto, en el modelo de referencia COBIT 5.0, en el dominio “Entregar, dar Servicio y

Soporte” Proceso DSS04 “Gestionar la Continuidad”, establece como objetivo de control
DSS04.01 “Definir la política de continuidad de negocio, objetivos y alcance” que establece
definir la política y alcance de continuidad de negocio alineada con los objetivos de negocio y de
las partes interesadas.
En ese mismo orden de ideas, el objetivo de control DSS04.02 “Mantener una estrategia de
continuidad”, establece evaluar las opciones de gestión de la continuidad de negocio y escoger
una estrategia de continuidad viable y efectiva en coste, que pueda asegurar la continuidad y
recuperación de la empresa frente a un desastre u otro incidente mayor o disrupción.
De lo mencionado anteriormente se puede corregir que existe un riesgo bastante alto de que los
servicios de la VUCE puedan presentar interrupciones en la prestación de sus servicios, debido a
que no se cuenta con una estrategia formal de continuidad que le permita desarrollar e
implementar una respuesta basada en procedimientos y la información necesaria para facilitar
que la VUCE continúe con sus actividades críticas.
Recomendación:
Se recomienda a la DVUCEPT (Dirección de la Ventanilla Única Comercio Exterior y Plataformas

Tecnológicas), realizar las siguientes acciones:
 Elaborar un BIA (Business Impact Analysis), que proporcione una base para identificar
los procesos críticos para la operación de la VUCE y la consiguiente priorización de
estos procesos siguiendo el criterio de cuanto mayor sea el impacto, mayor será la
prioridad. Para esto se debe definir el Tiempo Objetivo de Recuperación (RTO) que es
el período tolerado para la recuperación de un proceso de negocio a un nivel aceptable
luego de una interrupción o desastre, y el Punto Objetivo de Recuperación (RPO) que
está referido a la antigüedad máxima de los datos que el negocio puede permitir para
operar con datos de respaldo.
 Una vez se tenga un BIA aprobado y formalizado se deberá elaborar un DRP (Disaster
Recovery Plan), que establezca el proceso de recuperación de los datos, el hardware y
software crítico, para que la empresa pueda reanudar sus operaciones en caso de un
desastre natural o causado por humanos. Este plan también debe incluir planes para
enfrentarse a la pérdida inesperada o repentina de personal clave.
 Evaluar la adquisición de un grupo electrógeno que garantice la continuidad de los

servicios ante un corte de la energía eléctrica comercial.
7. Evaluar la adopción de una gestión proactiva que permita mejorar los indicadores de atención y
disponibilidad de los servicios que brinda la VUCE.
La Ventanilla Única de Comercio Exterior (VUCE) cuenta con un servicio de Mesa de Ayuda para
la atención de las incidencias de sus 3 componentes: Mercancías Restringidas, Componentes de
Origen y Componente Portuario; para tal fin cuentan con los servicios de la empresa Business
Solution Consultores (BSC) que mensualmente emiten el Informe “Servicio de Mesa de Ayuda y
de Monitoreo de Gestión de Incidentes a la Infraestructura de la Ventanilla Única de Comercio
Exterior, para Sostener la Continuidad del Servicio”.

28
Las llamadas están divididas en las siguientes categorías: Solicitud de Información, Error
Petición Entidad, Apoyo Varios, Catálogos, Sistemas, Autenticación, IO SUNAT, Error Petición
de Usuario, Interconexión, Pagos a Bancos y SUNAT Regularización de Pago.
Se revisó el Informe correspondiente al mes de agosto 2018, en el cual se puede apreciar, entre
otra información, para Mercancía Restringida, los tickets por Tipo de Llamada por Categoría. En
este rubro se puede evidenciar que un porcentaje importante de las incidencias reportadas
corresponden a las categorías Sistema, Autenticación, Interconexión:
Mercancia restringida
categoria
1600
1400
1200
1000
800
Cantidad de atenciones
600
400
200
0
n ad io
s os a n T io n os o
ac
io
tid ar l og tem a cio NA uar exio a nc pag
n V ta s c U s n n
rm E s
Ca Si ti S U co B ió
fo io
n yo ten IO de er sa ac
In c o u t o i z
ta ti Ap A io
n In
Pa
g ar
l i ci / Pe tic g ul
r e e
So ro r/
P r
Er ro AT
E r N
SU
Fuente: Informe N° 11 – Ítem 01 Informe de cumplimiento de SLAs y servicio de la VUCE. Mes de Servicio: Agosto 2018
Actualmente el servicio de Mesa de Ayuda incluye las atenciones de las consultas recibidas de
los administrados mediante llamada telefónica, correo electrónico y vía chat, para sostener la
continuidad del servicio de la ventanilla única de comercio exterior. Este servicio es
complementado con la ayuda de Administración de Operaciones y personal del área de Sistemas
de la VUCE. Lo mencionado anteriormente evidencia la existencia de una gestión coordinada de
incidentes y problemas asociados a los servicios que brinda la VUCE, pero que sin embargo
puede ser reforzada.
Sobre el particular, en el modelo de referencia COBIT 5.0, en el dominio “Entregar, dar Servicio y
Soporte” Proceso DSS03 “Gestionar los Problemas”, establece como objetivo de control
DSS03.05 “Realizar una gestión de problemas proactiva” que establece recoger y analizar datos
operacionales (especialmente registros de incidentes y cambios) para identificar tendencias
emergentes que puedan indicar problemas. Registrar problemas para permitir la valoración.
La gestión proactiva de los problemas le serviría a la VUCE para mejorar sus indicadores de
atención y disponibilidad, además de reducir los riesgos que atenten contra la continuidad del
negocio al identificar tendencias o problemas significativos.
Recomendación:

Tecnológicas) evaluar la adopción de las siguientes prácticas:
 Que los responsables de los procesos y los responsables de la gestión de incidentes,

problemas, cambios y configuración opten por la creación de un comité de mejora continua,
29
que se reúna regularmente para discutir problemas conocidos y cambios que se hayan
planificado.
 Asignar un coordinador de VUCE que supervise lo siguiente:

o Los costes totales originados por los problemas, registrar los esfuerzos de cambio
que sean resultado de la gestión de problemas, por ejemplo, la solución de
problemas y errores conocidos y recurrentes e informar de ellos.
o Reducir las soluciones temporales y hacer un seguimiento de los cambios que van
presentando los problemas.
 Identificar y proponer las soluciones permanentes identificando la causa raíz, y gestionar

solicitudes de cambio a través de los procesos de gestión de cambios establecidos.
8. Evaluar, las ventajas de adoptar el uso de microservicios con la finalidad de reducir los tiempos
de interrupción originados por problemas en los servicios web de las instituciones que forman
parte de la VUCE.
La VUCE cuenta con un servicio que mensualmente le brinda un informe de cumplimiento de

SLA’s y servicio; este informe incluye información correspondiente a servicios de monitoreo,
gestión de cambios y gestión de incidentes de la infraestructura de la VUCE. Entre los puntos
más importantes se pueden citar los siguientes:
 Disponibilidad del servicio de información e infraestructura incluyendo gestión con

proveedores y alineamientos con SLA’s.
 Gestión de cambios en el servicio y en la infraestructura de la VUCE central y entidades
incluyendo las coordinaciones realizadas con los proveedores.
 Gestión de capacidad de la infraestructura y proyecciones de crecimiento futuro, incluye
especificaciones técnicas de dimensionamiento, sobre los siguientes aspectos: espacio de
almacenamiento disponible, consumo de recursos CPU, I/O, memoria RAM, uso de ancho
de banda de Internet y de enlaces dedicados.
 Transacciones realizadas por los sistemas.
El consultor tomó una muestra y revisó los informes de los meses de enero, febrero, marzo y
diciembre de 2018 del mencionado servicio, poniendo especial énfasis en aquellos incidentes
que generan interrupción de los servicios:
INFRAESTRUCTURA 2018
MES MINUTOS DE INTERRUPCION
Enero 39 minutos
Febrero 49 minutos
Noviembre 61 minutos
Diciembre 0 minutos
TOTAL 149 MINUTOS
WEB SERVICES Y OTROS 2018

MINUTOS DE
MES ENTIDADES INCIDENTE
INTERRUPCION
Enero SANIPES, DIGEMID, SUNAT, SUCAMEC Web Services, problemas de conexión. 360 minutos
Febrero DIGEMID, SUNAT, SANIPES, SENASA Web Services, problemas de conexión 303 minutos
Noviembre SUNAT, SANIPES, DIGESA, SERFOR Web Services, pagina no disponible. 530 minutos
Diciembre SUNAT Web Services 72 minutos
TOTAL 1,265 MINUTOS
PASES A PRODUCCIÓN 2018

MES MINUTOS DE INTERRUPCION
Enero 0 minutos
Febrero 0 minutos
Noviembre 99 minutos
Diciembre 11 minutos

30
TOTAL 110 MINUTOS
De la muestra se puede evidenciar que los tiempos más altos de interrupción de los servicios
están en las incidencias de los servicios web de las entidades que participan en la VUCE y sobre
las cuales la VUCE no tiene mayor control.
Sobre el particular, en el modelo de referencia COBIT 5.0, en el dominio “Construir, Adquirir e

Implementar” Proceso BAI03 “Gestionar la Identificación y la Construcción de Soluciones”,
establece como objetivo de control BAI03.01 “Diseñar soluciones de alto nivel”, que establece el
desarrollar y documentar diseños de alto nivel usando técnicas de desarrollo ágil o por fases
apropiadas y acordadas. Asegurar el alineamiento con la estrategia TI y la arquitectura
empresarial. Revalorar y actualizar los diseños cuando sucedan cuestiones significativas durante
las fases de diseño detallado o de construcción o según la solución evolucione. Asegurar que las
partes interesadas participen activamente en el diseño y en la aprobación de cada versión.
En este orden de ideas, la arquitectura de microservicios es un enfoque para el desarrollo de

software en el que una gran aplicación se construye como un conjunto de servicios modulares;
servicios centrados en el cliente, pequeños, con versiones independientes y escalables, con
objetivos comerciales específicos, que se comunican entre sí a través de protocolos estándar
con interfaces bien definidas.
La idea principal detrás de los microservicios es que algunos tipos de aplicaciones se vuelvan
más fáciles de construir y mantener cuando se dividen en piezas más pequeñas que funcionan
juntas. En otras palabras, cada componente se desarrolla por separado, y la aplicación es
simplemente la suma de sus componentes constituyentes.
Las principales ventajas de una arquitectura de microservicios son las siguientes:
 El software creado como microservicios se puede dividir en servicios de componentes

múltiples, para que cada uno de estos servicios se pueda implementar y luego
implementar de forma independiente sin comprometer la integridad de una aplicación.
 Mejor aislamiento de fallos. Si un microservicio falla, el otro continuará funcionando.
 Fácil integración e implementación automática; utilizando herramientas de integración
continua de código abierto.
 Escalabilidad y reutilización, así como también eficiencia; fácil de escalar e integrar con
servicios de terceros.
 Los componentes se pueden distribuir en varios servidores o incluso en varios centros
de datos.
 Los microservicios simplifican la supervisión de seguridad porque las diversas partes de
una aplicación están aisladas. Un problema de seguridad podría ocurrir en una sección
sin afectar otras áreas del proyecto.
Es recomendable que la VUCE evalué las posibilidades que brinda la arquitectura de

microservicios principalmente a los problemas de indisponibilidad de los servicios. Luego de una
evaluación interna debería proponerlo a las entidades que la integran para que, en caso se
llegue a un entendimiento, se defina un proyecto para la migración de los servicios web actuales
a una basada en microservicios.
Recomendación:

Tecnológicas) evaluar la conveniencia de adoptar una arquitectura de microservicios para la
VUCE.
9. En el plan operativo institucional y en el presupuesto de los años 2017 y 2018 del MINCETUR,
31
no se identifica la programación de actividades, proyectos y las adquisiciones informáticas a
ejecutarse en dicho período por la unidad ejecutora VUCE. Asimismo, se carece de un plan
operativo informático.
La Ventanilla Única de Comercio Exterior - VUCE es un instrumento estratégico para la

facilitación del comercio exterior, administrado por el MINCETUR, el cual es importante porque
implica mejorar la colaboración entre los organismos gubernamentales vinculados con el
comercio exterior, así como aumentar la competitividad del Sector Comercio Exterior.
MINCETUR cuenta con Unidades Ejecutoras entre las cuales se cuenta la VUCE y el Plan
COPESCO por ejemplo, la VUCE fue creada mediante Decreto Supremo Nº 165-2006-MEF,
otorgándose rango de Ley a su creación, a través de la Primera Disposición Complementaria del
Decreto Legislativo Nº 1036;
Consultado un funcionario de la DVUCETP acerca de la modalidad en la que la VUCE articula su

gestión de contrataciones, contestó mediante correo electrónico del 13.02.2018 que la Oficina
General de Administración con la Oficina de Abastecimiento y Servicios Auxiliares son los
responsables de conducir los procesos del Plan Anual de Contrataciones y Adquisiciones y como
unidad orgánica hacen el registro del Plan Operativo Institucional en el sistema gestor, cuyos
reportes se adjuntaron al correo electrónico.
Al respecto, en el Portal de Transparencia de MINCETUR, se observa que la Oficina General de

Planificación, Presupuesto y Desarrollo, en cumplimiento de las funciones asignadas en el
Reglamento de Organización y Funciones - ROF del MINCETUR, aprobado mediante Decreto
Supremo N° 005-2002-MINCETUR y modificatorias presenta la propuesta del Plan Operativo
Institucional de la Unidad Ejecutora 004: Plan COPESCO Nacional, en el Pliego 035: habiéndose
aprobado por la máxima autoridad desde los años 2011 al 2019, procediendo con la emisión de
las Resoluciones Ministeriales respectivas, incluidas sus modificaciones.
Siendo el Plan Operativo Institucional un instrumento de gestión de corto plazo, que permite
definir las actividades anuales de las entidades de la Administración Pública, es recomendable
identificar las actividades, proyectos y las adquisiciones a ejecutarse por la Unidad Ejecutora
VUCE; al respecto en el Portal de Transparencia del MINCETUR, se ha registrado para la
Unidad Ejecutora COPESCO el Plan Operativo Institucional respectivo, por lo cual se debería
estandarizar también para la VUCE su tratamiento, tanto en la planificación, como el seguimiento
del mismo.
Asimismo, en los reportes financieros revisados, no se identifica el registro de partidas

presupuestales, PAAC, necesidades o programaciones, lo cual podría derivarse de que algunas
de estas necesidades, se financien con fondos de Cooperación Internacional o por temas de
prioridad no se asignen los fondos presupuestales a nivel del Ministerio asignado, de acuerdo a
lo indicado en el artículo 9 del Decreto Legislativo N° 1440.
Recomendación:

Tecnológicas) que en coordinación con MINCETUR estandaricen los documentos de gestión,
para mejorar los mecanismos de control y para brindar una mayor autonomía en la gestión de la
VUCE. Asimismo, coordine con los organismos rectores de los Sistemas Administrativos del
Estado para documentar de manera óptima las acciones y coordinaciones realizadas, con el
MINCETUR, para dar cumplimiento a las disposiciones emitidas por la Secretaría de Gobierno
Digital.
10. No se evidencia las coordinaciones realizadas a través de la dirección de la VUCE para el

cumplimiento de la ley de datos abiertos y el modelo de gestión documental con las áreas
32
responsables del MINCETUR
El 10.02.2017, el Gobierno del Perú emitió el Decreto Supremo N° 016-2017-PCM que aprueba
la “Estrategia Nacional de Datos Abiertos Gubernamentales del Perú 2017 - 2021” y el “Modelo
de Datos Abiertos Gubernamentales del Perú”, el cual tiene por finalidad promover la apertura de
datos de la información de las entidades públicas, la innovación en la generación de valor público
con la reutilización de los datos abiertos para la creación de nuevos productos y servicios con el
uso de las tecnologías de la información y comunicación (TIC), para el desarrollo social y
económico, en el marco de un gobierno abierto. Asimismo, busca promover alianzas público-
privadas a través de la apertura y reutilización de los datos abiertos, para mejorar los servicios a
la ciudadanía.
El Objeto de los Datos Abiertos es la implementación del Modelo y la Estrategia Nacional de

Datos Abiertos Gubernamentales, que tiene por objeto mejorar la prestación de los servicios
públicos que el Estado brinda a la ciudadanía, como parte del proceso de modernización de la
gestión pública, promoviendo la colaboración y la participación ciudadana en el marco de un
gobierno abierto. Esta estará a cargo de la Secretaría de Gestión Pública de la Presidencia del
Consejo de Ministros.
Este decreto supremo se aplica en concordancia a las normas en materia de transparencia y

acceso a la información pública y normas complementarias, con irrestricto respeto a los derechos
de la persona. La publicación de los datos abiertos de las entidades públicas se considera de
carácter oficial y sus contenidos son responsabilidad de las mismas.
Por otro lado, el 21.07.2017 se aprobó el Modelo de Gestión Documental en el marco del
Decreto Legislativo N° 1310 con Resolución de Secretaría de Gobierno Digital N° 001-2017-
PCM/SEGDI mediante el cual se aprueban medidas adicionales de simplificación administrativa,
entre ellas, la establecida en el artículo 8 sobre la interconexión de los sistemas de trámite
documentario o equivalentes de las entidades de la Administración Pública, para el envío
automático de documentos electrónicos entre dichas entidades a través de la Plataforma de
Interoperabilidad del Estado (PIDE) administrado por la Presidencia del Consejo de Ministros a
través de la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI), actualmente
Secretaría de Gobierno Digital (SEGDI).
Asimismo, señala que las entidades del Poder Ejecutivo deben adecuar sus sistemas de trámite
documentario o equivalentes para el envío automático de documentos electrónicos con otras
entidades, así como dentro de sus áreas, órganos y unidades, hasta el 31 de diciembre de 2018.
El Modelo de Gestión Documental se apoya en componentes interrelacionados que permiten a

las entidades de la Administración Pública implementar y mantener la documentación generada
en las instituciones con un enfoque orientado a procesos, identificando al suscriptor del
documento, facilitando su digitalización, trazabilidad, conservación y usabilidad de los mismos,
así como también el intercambio de documentos electrónicos técnica y jurídicamente válidos
entre los diversos sistemas o aplicaciones de gestión documental de las entidades e inter
administrativamente.
El Modelo aprobado aborda los siguientes procesos (Recepción, Emisión, Archivo, Despacho)
para todos los trámites puestos a disposición para los administrados; con lo cual el proyecto
VUCE 2.0 debe considerar el Modelo de Gestión Documental que se establezca a nivel del
MINCETUR y las entidades participantes.
Recomendación:

Tecnológicas) que cumpla con la adopción de la ley de Datos Abiertos y el Modelo de Gestión
33
Documental tal como se indican en el Decreto Supremo N° 016-2017-PCM y en la Resolución de
Secretaría de Gobierno Digital N° 001-2017-PCM/SEGDI respectivamente.
3. Conclusiones y recomendaciones.
Como resultado de la evaluación realizada a la Ventanilla Única de Comercio Exterior (VUCE), el
equipo consultor ha podido identificar las siguientes conclusiones y recomendaciones:
Conclusiones
 La Ventanilla Única de Comercio Exterior y Plataformas Tecnológicas DVUCEPT presenta

algunas carencias en la supervisión, principalmente de los servicios de infraestructura que
prestan terceros.
 Se ha evidenciado la ausencia de un modelo de fábrica de software que le permita a la

VUCE planificar y programar los cambios de manera integral en ambientes cada vez más
complejos.
 Es necesario que la VUCE fortalezca los distintos procesos del Ciclo de Vida del Software
que le permita reducir los riesgos ante escenarios de emergencia o de alta carga de
solicitudes de procesamiento.
 Es necesario que la VUCE y el MINCETUR coordinen de forma más estrecha y coordinada

mente en lo que respecta a la implementación del proceso de Seguridad de Información y
las actividades de concienciación anexas.
 La VUCE no cuenta con una política de Continuidad de Negocios que le permita tener
definido un plan ante desastres.
 En su operatividad diaria, la VUCE tiene interrupciones originadas por problemas tanto

internos como externos que atentan contra la calidad de sus servicios.
 Existen aspectos por mejorar en la gestión de la VUCE, particularmente aquellos que tienen
que ver con el soporte documental que le permita tener un mejor control y autonomía de su
gestión.
 A la fecha, la VUCE no se encuentra alineada a la ley de Datos Abiertos, Decreto Supremo

N° 016-2017-PCM ni al Modelo de Gestión Documental, Resolución de Secretaría de
Gobierno Digital N° 001-2017-PCM/SEGDI.
4. Fecha de inicio y fecha de término de la evaluación.

La consultoría tiene como fecha de inicio el 31 de Enero del 2019 y tiene como fecha Fin el 01 de
Marzo del 2019.
34
5. ANEXOS
5.1. Anexo 1: Propuesta Procedimiento Transitorio
PROCEDIMIENTO DE ATENCIÓN DE LOS SISTEMAS DE INFORMACION EN ESTADO

TRANSITORIO
N° Actividades Definición Acción Responsable Apoyo
Es el mantenimiento que
se ha originado por un El Coordinador de Desarrollo
error en el Ambiente de de Sistemas o quien haga
Operación, los sus funciones ingresara el
resultados de las requerimiento a la
pruebas serán anexados herramienta automatizada
por personal de solicitando la atención de un
Aviso del Desarrollo o pase Transitorio (APROBAR
mantenimiento Infraestructura según TRANSITORIO /
TRANSITORIO sea el caso. TRANSITORIO
JSD
fuera del horario Se necesita resolver de AUTORIZADO).
de labores por forma inmediata porque Enviara un correo al
Correo. afecta la operatividad Coordinador de Operaciones
del negocio. y Control de Plataforma o
Los cambios del quien haga sus funciones,
Software pueden ser asimismo se debe enviar
solicitados por el usuario copia del correo al
y autorizados por los Coordinador de Calidad de
Coordinadores de Soluciones.
Desarrollo de Sistemas.
Ordenar la El Coordinador de JO
atención del Operaciones y Control de
mantenimiento Plataforma o quien haga sus
transitorio para funciones, verifica la
su atención documentación relacionada al
transitorio solicitado (Anexo
2, Solicitud de Cambio y Acta
de Pruebas en Desarrollo),
luego procede a ordenar en la
herramienta automatizada la
atención del transitorio
(ORDENAR TRANSITORIO/
TRANSITORIO ORDENADO)
a uno de los operadores
reenviando el correo recibido
35
TRANSITORIO
en el cuál autoriza su
ejecución en Producción.
El operador de turno
encargado de Operaciones y
Control de Plataformas se
encarga de atender el correo
recibido y ejecuta el
Procesar el
transitorio (ATENDER
mantenimiento OC AD
TRANSITORIO /
transitorio
TRANSITORIO
PROCESADO), Mediante el
pase de los programas
involucrados desde el
ambiente de Desarrollo.
Posterior a la ejecución del
mantenimiento transitorio en
Producción, el operador
encargado de Operaciones y
Control de Plataformas
deberá enviar un correo de
Solicita la
respuesta al Coordinador
regularización
Desarrollo de Sistemas o
del OC
quien haga sus funciones con
mantenimiento
copia al Coordinador de
transitorio
Calidad de Soluciones en el
cuál comunica que se ejecutó
el transitorio solicitado.
Asimismo, indicando que se
debe regularizar en el
ambiente de certificación.
Regularización El analista de Desarrollo AD ACS
del procederá con la
mantenimiento regularización en el ambiente
transitorio de Certificación, en un plazo
máximo de 24 horas
ejecutando el merge de los
programas al ambiente de
certificación y enviando
correo para su regularización.
Él analista de Calidad de
Soluciones verifica y valida
que la documentación y que
los elementos del
mantenimiento se encuentren
correctos, luego de lo cual,
realiza la migración del
software afectado del
ambiente de Desarrollo al
ambiente de Certificación y
dejando registrado en la
herramienta automatizada
36
TRANSITORIO
como TRANSITORIO
REGULARIZADO.
Informar a El analista de Calidad de
desarrollo que el Soluciones responde el
mantenimiento correo indicando que el ACS
transitorio fue mantenimiento Transitorio se
regularizado encuentra Regularizado
El Coordinador Calidad de
Soluciones emitirá un informe
Informe mensual
mensual al área de Riesgos
de estados de
con copia a los
los JCS
Coordinadores de producción
Mantenimientos
y Desarrollo de la relación de
Transitorios.
Transitorios Pendientes de
Regularizar.
LEYENDA
Abrev. Descripción
JCS Coordinador Calidad de Soluciones
JD Coordinador de Desarrollo de Sistemas de Información
JO Coordinador de Operaciones y Control de Plataforma
JSD Coordinador de Desarrollo de SI
OC Operador de Consola
AD Analista Desarrollo.
ACS Analista Calidad de Soluciones
5.2. Anexo 2: Propuesta Modelo del Servicio Desarrollo de Aplicaciones

Software
OBJETO
Definir los lineamientos asociados al modelo de operación entre la institución y la empresa Fábrica de
Software, durante la contratación del Servicio de Desarrollo de Aplicaciones de Software.
BASE LEGAL
Norma Técnica Peruana NTP-ISO/IEC 12207:2006 TECNOLOGIA DE LA INFORMACION. Procesos

del Ciclo de Vida del Software, aprobada mediante Resolución Ministerial N.º 179-2006-PCM, el
28.JUL.2006.
VIGENCIA
La presente Modelo entraré en vigencia a partir de la fecha de su publicación.
DISPOSICIONES GENERALES Y ESPECÍFICAS
Disposiciones generales
La contratación del Servicio de Desarrollo de Aplicaciones Software, se efectuará de conformidad con
lo establecido en el Texto Único Ordenado de la Ley de Contrataciones y Adquisiciones del Estado.
37
La prestación del servicio deberá iniciarse conforme al plazo indicado en el contrato y únicamente
cuando el contrato por el Servicio de Desarrollo de Aplicaciones Software, se encuentre debidamente
suscrito por la empresa que realizará el servicio, no admitiéndose regularización alguna.
Cuando la Gerencia de Informática (DSI) de la Institución, haya aprobado la contratación de una

empresa que brinde el Servicio de Desarrollo de Aplicaciones Software, se establecerá un Equipo de
Trabajo a iniciativa de la parte técnica de la institución que estará integrado como mínimo por:
 Líder del equipo de trabajo de la División DSI
Miembros:
 Analista funcional
 Arquitecto de tecnologías de información (IyC)
 Analista de calidad del área Calidad de Soluciones. (CS)
 Analista de operaciones del área Operaciones y Control de Plataformas. (OyCP)
 Analista de Gestión de Tecnologías de Información (GTI)
 Usuario Experto del Departamento solicitante de la aplicación de software.
Se sugiere que se consideren los siguientes miembros de equipo:

 Analista de base de datos
 Analista de comunicaciones
Las responsabilidades que deberán cumplir los miembros de equipo de trabajo son:
Tabla N° 01: Roles y responsabilidades

Rol Responsabilidades
Líder del equipo de - Es el responsable de dirigir y coordinar el proyecto con la Fábrica de
trabajo de la División Software y el área usuaria, supervisando las funciones y los recursos de
DSI análisis funcional, técnico y programación asignados al proyecto.
- Evaluar y dimensionar las necesidades y requerimientos de los usuarios.
Analista funcional de
- Coordinar con los usuarios y especialistas de la Gerencia de Informática en
la División DSI
la definición, factibilidad, especificación y validación de requerimientos.
Arquitecto de - Diseñar y especificar la Arquitectura de Hardware y Software que requiere el
tecnologías de proyecto.
información de la - Buscará la simplificación de los esquemas de integración con otras redes.
División IyC
Analista de base de - Participar en el diseño inicial del modelo de BD y su puesta en marcha, así
datos de la División como controlar, y administrar los requerimientos.
IyC
Analista de - Definir la arquitectura de comunicaciones del o los aplicativos a desarrollarse
comunicaciones de la por la Fábrica de Software y su integración con los servicios informáticos que
División IyC posee la institución.
Analista de - Aplicará las políticas y procedimientos de seguridad de acuerdo al plan de
operaciones de la seguridad informática y al Plan de Continuidad del Negocio en el ámbito de su
División Producción competencia.
- Coordinar y participar en la planificación de las pruebas dentro de los planes
de trabajo del equipo de trabajo.
- Revisar y validar la documentación requerida para las pruebas de
Analista de calidad
certificación de acuerdo a la metodología y estándares establecidos. Así
de la Sección Calidad
como, coordinar la disponibilidad de los recursos necesarios para su
de Soluciones.
ejecución.
- Garantizar el aseguramiento de la calidad de las soluciones de tecnologías
de información, productos, software, hardware y procesos.
Analista de la - Monitorear y gestionar las alertas que el proceso de Seguimiento y control
38
División de Gestión amerite, las cuales deberán de ser comunicadas al Líder del equipo de trabajo
de TI de la Institución para que se tomen las medidas correctivas necesarias.
- Coordinará directamente con el Analista Funcional durante la toma de
requerimientos.
Usuario experto
- Realizará Pruebas Funcionales y de Operación de la aplicación en
coordinación con el Analista de Calidad.
El líder del equipo de trabajo de DSI tendrá un suplente designado al momento de la conformación
del equipo de trabajo.
Ante la ausencia del Líder del equipo de trabajo, lo reemplazará el suplente designado en el punto
4.1.5.; de no estar presente o habilitado, lo reemplazará el Analista funcional de DSI.
Se ha definido la siguiente organización a nivel de Institución en la que se muestra la interacción con

la Fábrica de Software.

39
INSTITUCION
GERENCIA DE INFORMATICA
LIDER DEL EQUIPO DE

TRABAJO
MIEMBROS DEL USUARIO EXPERTO

EQUIPO DE
TRABAJO
LIDER DEL EQUIPO DE TRABAJO
LIDER DE PROYECTO DE LA FÁBRICA DE

SOFTWARE
FÁBRICA DE SOFTWARE
LIDER DE PROYECTO
DE LA FÁBRICA DE
SOFTWARE
EQUIPOS DE
TRABAJO
Gráfico N° 01: Interacción entre la Fábrica de Software y la Institución.
Se ha esquematizado la organización del Modelo de Operación para el Servicio de Desarrollo de

Aplicaciones de Software de la siguiente forma:

40
Fase I
Términos de Referencia Firma del Contrato
Fase II
Identificación
Coordinación
de requerimientosDesarrollo
y autorización del de
servicio
la aplicación
Gestión del
Certificación
Cambio Pasede laa producción
aplicación de la aplicación
Seguimiento y control
Fase III
Transferencia del Conocimiento Finalización
APLICACIÓN DE SOFTWARE
Gráfico N° 02: Modelo de Operación para el Servicio de Desarrollo de Aplicaciones de Software.
DISPOSICIONES ESPECÍFICAS
Sobre los términos de referencia

a) Los términos de referencia para la contratación del Servicio de Desarrollo de Aplicaciones
Software, deben ser elaborados teniendo en consideración los siguientes aspectos:
 Alcance de la(s) aplicación(es) de software
 Tipo(s) de aplicación(es) de software a desarrollar
 Perfiles requeridos para el desarrollo de la(s) aplicación(es) de software.
 Estimación de horas necesarias para el desarrollo de la(s) aplicación(es) de software
b) Los términos de referencia, entre otros, deben incluir lo siguiente:

 Los entregables de cada ítem del punto 5.
 Definición del lugar, horarios de ejecución del servicio y los responsables de proporcionar
los recursos necesarios para llevar a cabo el servicio.
 Cláusulas de confidencialidad definidas por la institución.
 Consideraciones sobre el tratamiento de los errores y/o observaciones durante la
Certificación del Producto Software por parte de Calidad de Soluciones del Institución.
41
 Consideraciones sobre la realización de los pagos a la Fábrica de Software.
Sobre los especialistas que proporcionará la Fábrica de Software

a) La Fábrica de Software nombrará a un especialista como Líder del Proyecto, quien será
responsable de las coordinaciones que la Fábrica de Software mantenga con el Líder del
equipo de trabajo del Institución.
b) La Fábrica de Software proporcionará los especialistas tomando como referencia los perfiles
identificados como necesarios en los términos de referencia.
c) Los especialistas deberán estar dedicados a tiempo completo a la ejecución del servicio en
lo relacionado a los aspectos de gestión y técnicos.
d) La Fábrica de Software deberá contar con el respaldo de especialistas de reemplazo ante
cualquier eventualidad. El reemplazo puede ser solicitado por el Institución (a través del
Líder del equipo de trabajo), o por la Fábrica de Software, a través de su líder de proyecto.
En este último caso, se debe contar con la aprobación del Líder del equipo de trabajo de la
institución. Cabe indicar que los especialistas reemplazantes deberán contar como mínimo
con las mismas competencias y experiencia técnica comprobada del especialista que será
reemplazado, con lo cual se garantice la continuidad del servicio.
e) El Institución, a través del Líder del equipo de trabajo, se reserva el derecho, en todo
momento, de solicitar el cambio de (los) especialistas asignados por la Fábrica de Software,
si a su criterio, el (los) mismo(s) no cumple(n) con los requisitos para la función
encomendada.
Sobre el contrato
a) Una vez que se haya elegido a la empresa ganadora para Servicio de Desarrollo de Aplicaciones
Software, el Institución, a través del Líder del equipo de trabajo del Institución, entregará:
- Metodología de Desarrollo de Sistemas
- Directiva del Ciclo de Vida del Software
- Metodología de Gestión de Proyectos
- Estándares de Programación
- Estándares de Base de Datos
b) Considerar el periodo de garantía de soporte al desarrollo de la(s) aplicación(es) de software, en
caso de que se presenten inconvenientes relacionados al despliegue del aplicativo en el
ambiente de producción del Institución.
INSTRUCCIONES OPERATIVAS
Identificación de los requerimientos de la(s) aplicación(es) de software

a) Los entregables generados por el Líder del equipo de trabajo del Institución en coordinación
con su equipo de trabajo, deben encontrarse debidamente visados por el usuario experto y
firmados por su Gerencia en señal de conformidad de los requerimientos para el desarrollo
de la(s) aplicación(es) de software.
b) Los entregables firmados y visados serán entregados al Líder del Proyecto de la Fábrica de
Software.
c) El detalle de los entregables se muestra en el punto 6.3 (Fase II. Identificación de
requerimientos).
Coordinación y autorización del servicio

a) Una vez que el Líder del Proyecto de la Fábrica de Software haya recibido los entregables
del punto 5.1., a través de los canales establecidos, procederá a realizar una revisión de su
contenido. De encontrarse conforme, se iniciará el desarrollo de la aplicación de software,
caso contrario, en un tiempo no mayor de 24 horas, deberán realizarse las coordinaciones
necesarias con el Líder del equipo de trabajo del Institución hasta llegar a un acuerdo en
común.
b) El líder del equipo de trabajo del Institución debe aclarar las dudas y/o inconvenientes que
se presenten a nivel de la Gerencia de Informática como del área usuaria, ante el Líder del
42
Proyecto de la Fábrica de Software.
c) De acuerdo a la documentación entregada por el Líder del equipo de trabajo del Institución
al Líder de Proyecto de la Fábrica de Software, ésta elaborará un Plan de Trabajo, el
Cronograma preliminar para el servicio, y el Plan para la Gestión de Calidad.
d) La Fábrica de Software, a través del Líder del Proyecto, deberá entregar el cronograma
preliminar que deberá ser aprobado por el Líder de equipo de trabajo del Institución y
Usuario Experto, el cual deberá incluir:
- Actividades
- Fechas de cumplimiento
- Cantidad de Horas / Hombre
e) El Líder del equipo de trabajo, deberá complementar el cronograma del proyecto, el cual
considera los tiempos de la Sección CS y de la Sección OyCP. Este cronograma debe ser
visado por División DSI, División IyC, Sección CS, División Producción, División GTI y
Gerencia del Área Usuaria.
Desarrollo de la aplicación de software

a) La Fábrica de Software iniciará el desarrollo de la aplicación de software una vez que el
Institución, a través del Líder del equipo de trabajo, le remita la documentación del punto 5.1
y se acepte el cronograma del desarrollo de la aplicación de software del punto 5.2.
b) El plan para la gestión de la calidad deberá ejecutarse durante todo el proceso de desarrollo
de la aplicación de software y pruebas de la Fábrica de Software, las cuales serán
ejecutadas con herramientas especializadas de software9, a fin de garantizar el perfecto
funcionamiento de la aplicación desarrollada, así como también, su adecuado desempeño
en el ambiente de pruebas de la Sección CS y en la ambiente producción de la Sección
OyCP.
c) La Fábrica de software deberá desarrollar las pruebas de software (Unitarias, Integrales, de
esfuerzo, y de seguridad) en el ambiente de desarrollo que la Institución le otorgue. En este
escenario los datos que sean necesarios para la ejecución de las pruebas deberán ser
generados por la Fábrica de Software. La Institución podrá proporcionar datos de prueba
enmascarados, a solicitud del Líder del Proyecto de la Fábrica de Software, lo cual deberá
de ser coordinado con el Líder del equipo de trabajo de la Institución y autorizado por el
Coordinador de DSI.
d) El desarrollo de las actividades del ciclo de vida del software por parte de la Fábrica de
Software no deberá contraponerse a lo señalado en la Directiva “Ciclo de Vida del Software”
en el punto ‘Proceso de Desarrollo de Software’, a excepción del punto ‘Requerimientos del
Software’, el cual es tratado en el punto 5.1 del presente documento.
e) Los entregables generados por la fábrica de software serán básicamente los mencionados
en la Directiva “Ciclo de Vida del Software” en el punto ‘Proceso de Desarrollo de Software’,
a excepción del punto ‘Requerimientos del Software’, el cual es tratado en el punto 5.1 de la
presente circular y entregables definidos en la Metodología de Desarrollo de Aplicaciones de
la Fábrica de Software del Institución. Además de ello, considerar:
- Plan de Pruebas
- El código fuente, documento técnico y componentes desarrollados de las
aplicaciones, debidamente probados por el área de Calidad de Soluciones de la
Institución.
- Informes periódicos de avance mensual
f) En caso de que la fábrica de Software requiera desarrollar interfaces o componentes
reutilizables, tendrá que presentar un inventario de los componentes desarrollados y la
documentación técnica para que otros proyectos reutilicen dichos componentes.
Gestión del Cambio

a) En caso sea necesario producir cambios en los requerimientos de las aplicaciones de
9
La Fábrica de Software utilizará herramientas compatibles con las herramientas utilizadas en La
institución, y proporcionará las licencias necesarias para su utilización durante la ejecución del servicio.
43
software y prioridades por parte de la Institución, que deriven en adecuaciones y/o
modificaciones en el alcance y entregables acordados al inicio del desarrollo, éstos deberán
ser solicitados por la Gerencia del usuario experto formalmente a la Gerencia de Informática
adjuntando el sustento de cada una de las adecuación(es) y/o modificación(es), los cuales,
a través del líder del equipo de trabajo se entregarán a la Fábrica de Software con
antelación10 al inicio de las actividades o entregables a ser reemplazados.
b) Con la información de las modificaciones solicitadas por la Institución a la Fábrica de
Software, ésta estimará el nuevo cronograma de atención, el cual deberá de ser visado por
la Gerencia de Informática.
Certificación de la aplicación de software

a) El Líder del equipo de trabajo de la Institución deberá coordinar con Calidad de Soluciones la
ejecución de pruebas, según el cronograma establecido.
b) El Líder del equipo de trabajo de la Institución deberá incluir los entregables emitidos por la
Fábrica de Software la(s) herramientas del Ciclo de Vida de Software que la Institución
utiliza.
c) La certificación de las Pruebas se efectúa a nivel funcional y no funcional de los productos
software y, cuyas actividades y entregables se encuentran especificadas.
d) En caso de encontrarse observaciones y/o errores en la aplicación de software desarrollada
por la Fábrica de Software, el líder del equipo de trabajo informará, con la documentación de
sustento, al Líder del Proyecto de la Fábrica de Software para la corrección y/o actualización
de la aplicación de software.
Pase a producción de la aplicación de software

a) El pase a producción de la aplicación de software deberá de alinearse a las actividades
definidas del “Ciclo de Vida del Software” en el punto ‘Proceso de operación del Software’.
Seguimiento y control
a) La Fábrica de Software, a través del Líder del Proyecto, deberá proponer indicadores de
gestión que serán aplicados durante el desarrollo de la(s) aplicación(es) de software. Estos
indicadores de gestión serán entregados al Líder del equipo de trabajo de la Institución para
su aprobación. Una vez aprobados deberán de ser presentados de manera mensual al Líder
del equipo de trabajo de la Institución.
b) La Fábrica de Software, a través del Líder del Proyecto, deberá planificar, gestionar y
realizar el seguimiento adecuado de las labores de su(s) equipo(s). Dicho seguimiento
deberá realizarse con un sistema de gestión de proyectos de tal manera que los integrantes
del equipo de desarrollo realicen el registro diario de cada una de las actividades realizadas
y permita el monitoreo del avance por parte del Líder del equipo de trabajo de la Institución.
El sistema de gestión de proyectos será proporcionado por la Fábrica de Software durante el
periodo de duración del servicio (Incluye licencias para su utilización).
c) La Fábrica de Software presentará un informe de avance de las actividades en forma
quincenal, o cuando la Institución lo solicite a través del Líder del equipo de trabajo. Este
informe será dirigido al líder del equipo de trabajo de la Institución, el cuál será revisado, y,
eventualmente se podrán realizar ajustes debidamente coordinados y sustentados.
d) La institución y la Fábrica de Software realizarán reuniones de coordinación con una
periodicidad quincenal, o cuando la Institución lo solicite a través del Líder del equipo de
trabajo, a fin de garantizar la correcta marcha del servicio, las cuales serán convocadas por
el Líder del equipo de trabajo de la Institución. En estas reuniones necesariamente
participará el Líder del equipo de trabajo la Institución.
Transferencia de conocimiento
10
Antelación definida en los Términos de Referencia
44
a) La Fábrica de Software, a través del Líder del Proyecto, deberá proponer un Plan de
Transferencias de Conocimientos Técnicos de la(s) aplicación(es) con una duración
coordinada entre el Líder del equipo de trabajo de la Institución y el Líder del proyecto de la
Fábrica de Software, lo cual debe ser aprobado por la Gerencia de Informática
b) El Plan de Transferencias de Conocimientos Técnicos debe incluir mentoría entre los equipos
técnicos de la institución (Relacionado a sistemas de información, infraestructura,
comunicaciones, bases de datos, y consideraciones para el despliegue en producción) y el
respectivo equipo técnico de la Fábrica de Software, sobre los aspectos de gestión de la
fábrica y sobre la codificación y aplicaciones mantenidas o construidas por la misma.
c) La Fábrica de Software deberá realizar una capacitación en el uso de la aplicación de
software a los usuarios en por lo menos una sesión de 4 horas por aplicación.
d) Las capacitaciones a los a usuarios debe incluir Manuales de Operación donde se explique
detalladamente las funcionalidades de la(s) aplicación(es) de software. Esta capacitación se
desarrollará en las instalaciones que la institución defina previamente con el Usuario experto
en la ciudad de Lima Metropolitana.
Finalización
a) La Fábrica de Software, a través del Líder del Proyecto, deberá generar como entregables:
 Informe final del servicio con la descripción de todas las actividades y entregables,
incluyendo los indicadores de gestión del servicio, mes a mes y consolidado del
proyecto.
 Manuales y documentación técnica actualizada del aplicativo desarrollado.
 El código fuente, deberá de encontrarse correctamente desplegado en el ambiente
de producción (de acuerdo a lo señalado en el punto 5.5 de la presente circular).
b) El Líder del equipo de trabajo y el Usuario Experto deberán de emitir el acta de conformidad
por el cumplimiento del desarrollo del aplicativo de software.
ANEXOS
Definición de términos
 Área usuaria: Área de la Institución que solicita el desarrollo de aplicaciones de software de la
gerencia de Informática.
 Capacitación: Actividad destinada a instruir a los usuarios de la aplicación de software sobre
el uso de esta.
 Fábrica de Software: Proveedor especializado en el servicio de desarrollo de aplicaciones
de software
 No cumplimiento: Requerimientos funcionales no incluidos en el desarrollo de la aplicación
de software desarrollada por la Fábrica de Software.
 Transferencia del conocimiento: Actividad destinada a instruir al personal de Desarrollo de
Sistemas en temas técnicos relacionados con la aplicación de software desarrollada por la
Fábrica de Software.
 Usuarios: Personal de las áreas de la Institución que hacen uso de las aplicaciones de
software desarrolladas
 Usuario experto: Usuario que solicita la aplicación de software y que especifica los
requerimientos funcionales y no funcionales del mismo.
Abreviaturas utilizadas
 División DSI: Desarrollo de Sistemas de Información.
 División IyC: Infraestructura y Comunicaciones
 División GTI: Gestión de TI
 Sección CS: Calidad de Soluciones
 Sección OyCP: Operaciones y Control de Plataformas

45
Entregables del servicio fábrica de software
FASE ETAPA RESPONSABLE ENTREGABLES

Líder del equipo de trabajo
Términos de Referencia Términos de Referencia
de la institución
Metodología de Desarrollo de Aplicaciones de
Software
Fase I
Líder del equipo de trabajo Directiva del Ciclo de Vida del Software
Contrato
de la institución Metodología de Gestión de Proyectos
Estándares de Programación
Estándares de Base de Datos
Requerimientos de Software (RDS)
Especificaciones de Requerimientos de
Software (SRS)
Especificaciones de Caso de Uso (ECU)
funcionales y no funcionales
Identificación de Líder del equipo de trabajo Diagrama de Flujo de Datos (DFD)
Requerimientos de la Institución Prototipos de la Aplicación de Software
Priorización de Casos de Uso
Perfiles de Accesos
Arquitetura Tecnológica del Banco de la
Nación
Proyección estimada en horas
Plan de Trabajo
Líder del Proyecto de la
Coordinación y Cronograma preliminar del Servicio
Fábrica de Software
Autorización del Plan para la Gestión de Calidad
Servicio Líder del equipo de trabajo
Cronograma del Servicio
de la institución
Directiva del Ciclo de Vida del Software -
Fase II Proceso de Desarrollo de Software (1)
Plan de Pruebas
Desarrollo de la Líder del Proyecto de la Código Fuente
Aplicación de Software Fábrica de Software Documento Técnico
Componentes desarrollados (Incluye
documentación técnica)
Informes de avance quincenal
Líder del equipo de trabajo Adecuaciones y/o modificaciones a los
Gestión del Cambio
de la institución requerimientos
Certificación de la Líder del equipo de trabajo Documentación de pruebas de acuerdo al
Aplicación de Software de la institución P.T.O. Certificación de Productos Software
Pase a Producción de
la Aplicación de Informe del pase a producción
de la institución
Software
Indicadores de Gestión
Líder del Proyecto de la
Informe mensual de indicadores de Gestión
Seguimiento y Control Informe quincenal de avance de actividades
Actas de reunión quincenales
de la institución
Plan de Transferencia de conocimientos
Transferencia del Líder del Proyecto de la
técnicos
Conocimiento Fábrica de Software
Actas de capacitación
Informe Final del Servicio
Fase III Líder del Proyecto de la
Manuales y documentación técnica
Finalización Código Fuente
Acta de Conformidad
de la institución
(1) Excepto el punto 'Requerimienos del Software'
Gráfico N° 03: Entregables del Servicio de Desarrollo de Aplicaciones de Software.
Modelo de términos de referencia
Objetivos
La Institución, a través de la Gerencia de Informática, requiere contar con los servicios de una
empresa con demostrada experiencia, conocimiento en el desarrollo y mantenimiento de software
sobre las distintas plataformas y problemáticas que aborda su quehacer y que sean capaces de
entregar estos servicios abarcando todas las áreas de conocimiento que involucra el proceso de
desarrollo de software.

46
La empresa seleccionada efectuará por área de especialidad, desarrollos, pruebas y mantenimientos
de aplicaciones (evolutivo y/o correctivo, aplicable a algunos de los sistemas existentes en la
Institución, los que serán dados a conocer a la empresa que obtenga la buena pro) en las áreas de
conocimiento especificadas en el numeral 15 de este capítulo, por una cantidad de ( Definir cantidad)
horas de servicios informáticos, según se consigna en el numeral 14 de este capítulo.
De las Características del Servicio

a) El CONTRATISTA mediante personal calificado realizará las tareas de Desarrollo y
Mantenimiento en las plataformas de desarrollo indicadas en el numeral 14 de este capítulo.
Las tareas comprendidas en el servicio involucran la evaluación de los requerimientos
recibidos, planificación, análisis y diseño de la solución, construcción y pruebas de
aceptación.
b) Para la atención de los requerimientos de horas-hombre por plataforma, de acuerdo a lo
indicado en el numeral 14 de este capítulo, El CONTRATISTA proveerá un equipo
especializado que cuente con la calificación y experiencia conforme se indica en el numeral
15 de este capítulo, lo cual será validado por la Institución. Cabe destacar que la demanda
del servicio podrá ser modificada de acuerdo a lo establecido en el acápite 5 de los
presentes Términos de Referencia.
c) Es responsabilidad exclusiva del CONTRATISTA el pago de las remuneraciones y
beneficios sociales correspondientes a su personal, así como cualquier otro costo
relacionado.
d) Sobre el inicio del servicio:
- El CONTRATISTA deberá estar en disposición de iniciar las labores de desarrollo de
software en un plazo no mayor a los 10 días laborables de firmado el contrato.
- El CONTRATISTA dictará un curso de inducción al personal que designe la Institución
(máximo 16 personas), acerca de la metodología para dimensionar el esfuerzo de
desarrollo y pruebas, no debiendo el mismo de exceder en 10 horas en el lapso de una
semana. El curso se dictará en las instalaciones de la Institución el cual facilitará los
equipos necesarios para lo cual el contratista hará llegar sus requerimientos
previamente.
- La Institución (a solicitud del CONTRATISTA), realizará un proceso de transferencia y/o
capacitación de los sistemas de la Institución, sobre los cuales se requiere el servicio de
desarrollo y mantenimiento de software
- La inducción antes mencionada se realizará de forma previa al inicio del servicio de
desarrollo y pruebas, sin incurrir en costos adicionales para la Institución.
e) El CONTRATISTA deberá planificar, gestionar y realizar el seguimiento adecuado de las
labores de su equipo. Dicho seguimiento deberá realizarse con un sistema de gestión de
proyectos de tal manera que los integrantes del equipo del CONTRATISTA realicen el
registro diario de cada una de las actividades realizadas y permita el monitoreo del avance
por parte del personal de la Institución (La Institución para el registro de actividades y
monitoreo de avances de proyectos utiliza el producto ( Definir el producto). El sistema de
gestión de proyectos, y las licencias necesarias, será proporcionado por EL CONTRATISTA
durante el periodo de duración del servicio.
f) Al inicio del servicio el Coordinador de la Gerencia de Informática entregará al
CONTRATISTA la información de cada proyecto y/o tarea (especificaciones generales
necesarias, así como toda la documentación elaborada por el personal de la Institución para
el desarrollo de este) comprendidas en el presente servicio. Con esta información, el
CONTRATISTA en una etapa de evaluación elaborará el plan de trabajo y el cronograma
detallado para cada proyecto y/o tarea, y definirá las fechas y horas-hombre a emplear para
la culminación de los entregables a definir en cada proyecto y/o tarea, incluyendo el plan
para la gestión de calidad. Para cada proyecto y/o tarea, el CONTRATISTA deberá de
emplear en la etapa de evaluación hasta un máximo de 10% del total de horas asignadas al
mismo y en conjunto con la ejecución del plan de gestión de calidad, hasta un máximo de

47
25% del total de horas11. Estos planes y cronogramas serán entregados al Coordinador de la
Gerencia de Informática de la Institución para su aprobación en un plazo máximo de una
semana, incluyendo las posibles solicitudes de reconsideración de parte la Institución. En el
caso excepcional de que ambas partes no se pongan de acuerdo con los planes
presentados y en la asignación de horas por proyecto y entregables, se podrá resolver el
contrato. Una vez acordados y aprobados los planes de trabajo y el cronograma de
entregables con las horas-hombre requeridas, el CONTRATISTA está obligado a cumplir
con los entregables en los plazos acordados. Para cualquier incumplimiento que no esté
amparado en causas de fuerza mayor o caso fortuito o razones atribuibles al Institución,
entre otros, el Institución no reconocerá un mayor número de horas-hombre y aplicará las
penalidades a las que se refiere el contrato.
g) Los equipos de trabajo del CONTRATISTA deberán ceñirse al procedimiento de gestión de
versiones que tiene implementado la Institución para el control de los sistemas informáticos
involucrados. La Institución utiliza el software (Indicar el Software de versiona miento).
h) El plan para la gestión de la calidad deberá ejecutarse durante todo el proceso de desarrollo
de software y pruebas unitarias.
i) El CONTRATISTA deberá realizar las pruebas necesarias (testing), con herramientas
especializadas de software (herramientas especializadas para realizar testing como por
ejemplo [indicar herramientas], etc.), a fin de garantizar el perfecto funcionamiento del
software desarrollado, así como su adecuado performance una vez puesto en producción.
j) Condiciones Generales:
- EL CONTRATISTA deberá seguir una metodología y estándares que no se
contrapongan con los utilizados por la Institución en las actividades de desarrollo y
pruebas, así como con la metodología de Gestión de Proyectos del Institución. (los
estándares que actualmente tiene la Institución serán entregados a la empresa
ganadora de la buena pro). Si en algún caso la Institución no contara con los
estándares para un procedimiento o escenario definido, EL CONTRATISTA propondrá
los estándares y procedimientos necesarios, los cuales antes de su implementación
deberán ser revisados y aprobados por la Institución.
- EL CONTRATISTA se compromete a mantener actualizada la documentación
(manuales técnicos y otros) de todos los sistemas a los cuales se encuentra dando
mantenimiento, siguiendo los estándares de la Institución.
- EL CONTRATISTA presentará un informe de avance de las actividades en forma
quincenal dirigido al Departamento de Informática de la Institución. La Institución
realizará la revisión de dicho informe en el que eventualmente se podrán realizar
ajustes a dicha programación por adiciones, ya sea a pedido de la Institución o de EL
CONTRATISTA, en este último caso debidamente sustentado. Los ajustes a la
programación se harán en acuerdo con el contratista y podrán implicar horas
adicionales que no modificarán la sumatoria de todas las horas a usar.
- La Institución designará a un Líder y un equipo de trabajo, como contraparte para las
coordinaciones de los temas técnicos relacionados a cada entregable que forme parte
del servicio.
- EL CONTRATISTA y la Institución programarán reuniones de coordinación con una
periodicidad de al menos dos veces al mes a fin de garantizar la correcta marcha del
servicio. En estas reuniones necesariamente participarán el Gerente de informática (o
quien haga sus veces), el Líder del Equipo de Trabajo. EL CONTRATISTA presentará
una vez al mes un informe del avance del plan de trabajo e indicadores de gestión del
11
Por ejemplo: La institución requiere la construcción de un proyecto A (La institución considera que
deberá ser terminado en un plazo máximo de 90 días/hombre, y en el mismo se encuentran incluidas las
etapas de elaboración, construcción y las pruebas). La institución entrega al proveedor la información del
proyecto (tal como consta en las bases) y el proveedor (luego de una revisión de documentación y
coordinaciones con el Coordinador de proyecto designado por La institución) elabora el cronograma de
dicho proyecto. Si dicho cronograma tiene una duración de 85 días/hombre, el tiempo para llegar a
elaborar dicho cronograma, no deberá de exceder los 8,5 días/hombre. Adicionalmente el proveedor
contará con un máximo de 17 días/hombre para el aseguramiento de calidad (esta tarea deberá de
realizarse en forma paralela y durante todo el proceso de elaboración y construcción)
48
servicio. Para las reuniones de coordinación la Institución facilitará lo necesarios
(espacio físico, proyectores, etc.) con excepción de las PC’s o Laptop que serán
provistas por el CONTRATISTA.
Plataformas de Desarrollo Involucradas

Las plataformas de desarrollo involucradas en el presente servicio se detallan en el numeral 14 de
este capítulo.
Entregables
EL CONTRATISTA, deberá presentar los entregables definidos en la ‘metodología de Desarrollo de
Aplicaciones de Software’ (basada en metodología RUP, por ejemplo), o entregables definidos en la
metodología de Desarrollo de Proyectos del CONTRATISTA, siempre que la misma sea compatible
con la metodología de la Institución.
Esto es un requisito para que la Institución de la conformidad al servicio. Asimismo, EL
CONTRATISTA, deberá de tener en cuenta lo siguiente:
a) Entregables durante el Inicio del Servicio:
a. Plan de trabajo
b. Cronograma preliminar del Servicio
c. Plan para la Gestión de la Calidad
b) Entregables durante el desarrollo:
a. Documentación indicada en la Directiva del Ciclo de Vida del Software (Excepto los
documentos de requerimientos del software)
b. Documentación indicada en la Metodología de Desarrollo de Aplicaciones Software
c. Plan de pruebas
d. Código fuente
e. Documento técnico
f. Componentes desarrollados (Incluye información técnica)
g. Informes de avance quincenal.
c) Entregables relacionados al Seguimiento y Control
a. Indicadores de Gestión
b. Informe mensual de Indicadores de Gestión
c. Informe quincenal de avance de actividades
d) Entregables relacionados a la Transferencia de Conocimientos
a. Plan de Transferencia de Conocimientos técnicos (Documentación relacionada como
manuales, tutoriales, etc.)
b. Actas de capacitación
e) Entregables relacionados a la Finalización del Servicio
a. Informe final del servicio con la descripción de todas las actividades y entregables,
incluyendo los indicadores de gestión del servicio (indicadores de cumplimento de tiempos y
entregables en base a los cronogramas de cada proyecto), mes a mes y consolidado del
proyecto. La entrega se realizará en medio electrónico.
b. Manuales y documentación técnica actualizada por cada proyecto o mantenimiento del
sistema involucrado en el servicio. El CONTRATISTA realizará sesiones de transferencia de
conocimiento técnico al personal de la Institución sobre los proyectos y mantenimientos
realizados, a solicitud de la Institución. La actualización de documentos solo tiene por
alcance la(s) funcionalidad(es) desarrolladas por el contratista. Las sesiones de
transferencia forman parte del cronograma a que se hace referencia en el (Señalar Capitulo,
numeral, e inciso de las Bases)
c. Código fuente y los ejecutables encargados, conforme al cronograma del respectivo
proyecto, debidamente probados (testing) y que cuenten con la conformidad por parte de la
Institución.
Gestión del cambio

49
De producirse cambios en los requerimientos y prioridades por parte de la Institución que deriven en
adecuaciones y/o modificaciones en el alcance y entregables acordados al inicio del servicio, la
Institución entregará las modificaciones o nuevas especificaciones al CONTRATISTA con una
antelación no menor a los 5 días al inicio de las actividades o entregables a ser reemplazados.
Con la información de las modificaciones o nuevas especificaciones, el CONTRATISTA estimará el

nuevo cronograma de atención. En caso estimara que la cantidad de recursos asignados para la
consecución de los nuevos entregables fuera insuficiente, deberá de ponerlo en conocimiento del
Coordinador de la Gerencia de Informática dentro de las 48 horas siguientes, solicitando se revalúe el
alcance y entregables establecidos.
De no presentar observaciones se dará por aceptados los cambios presentados. En caso de que el
CONTRATISTA presentara alguna observación a los entregables que no es aceptada por la Gerencia
de Informática y no se llegue a un acuerdo, el CONTRATISTA deberá limitarse a cumplir con lo
establecido al inicio del servicio.
De los especialistas que el contratista deberá proporcionar

El CONTRATISTA proporcionará los especialistas tomando como referencia lo indicado en el
numeral 14 de este capítulo. Asimismo, en el numeral 15 de este capítulo se indica la calificación y
experiencia solicitada para cada uno de los roles.
Los especialistas deberán estar dedicados a tiempo completo a realizar el servicio en aspectos
relacionados a la gestión y aspectos técnicos.
El CONTRATISTA deberá contar con el respaldo de especialistas de reemplazo ante cualquier

eventualidad. El reemplazo puede ser solicitado por la Institución o por el CONTRATISTA. En este
último caso, se debe contar con la aprobación de la Institución. Cabe indicar que los especialistas
reemplazantes deberán contar como mínimo con las mismas competencias y experiencia técnica
comprobada del especialista que será reemplazado, con lo cual se garantice la continuidad del
servicio.
La Institución se reserva el derecho, en todo momento, de solicitar el cambio del personal asignado al
proyecto, si a su criterio, el mismo no cumple con los requisitos para la función encomendada. Para
el reemplazo, EL CONTRATISTA deberá presentar al candidato para su aprobación por parte de la
Institución, en un plazo no mayor de tres (3) días calendario. Este plazo podrá extenderse a
consideración del Institución, siempre y cuando no sea mayor a tres días laborables. Aceptado el
reemplazo del especialista, la institución no reconocerá doble cargo de horas-hombre para ninguna
etapa del proyecto y/o tarea, obligándose al contratista a cumplir con el cronograma y horas-hombre
acordadas para el proyecto y/o tarea y los entregables en los que trabajará el nuevo especialista
Gerencia del proyecto

Para permitir la correcta ejecución de los servicios materia del presente concurso, EL CONTRATISTA
deberá asignar a un Líder del Proyecto. Como parte de las actividades que deberá desarrollar el líder
del Proyecto se pueden mencionar las siguientes:
- Elaborar y supervisar el cumplimiento del plan de trabajo y los cronogramas para el
cumplimiento del servicio, así como la verificación de las horas/hombre utilizadas.
- Proponer cambios y mejoras para el desarrollo y diseño de sistemas en función a los
requerimientos definidos por la Institución.
- Implementar el plan de gestión de calidad propuesto por EL CONTRATISTA.
- Velar por el cumplimiento de las metodologías de desarrollo de software, de gestión de
proyectos y de las normas de seguridad establecidas por la Institución y otras que crea
conveniente.
- Administrar el personal asignado al proyecto e informar a la Institución los cambios que
pudieran ocurrir a lo largo del servicio.
- Coordinar las acciones correctivas relacionadas a los errores y/o observaciones generadas
50
durante la ejecución de pruebas en la Sección Calidad de Soluciones.
- Coordinar la ejecución del servicio, de manera permanente con el Líder del equipo de
trabajo del Institución y presentar los informes quincenales respectivos.
Lugar y horarios de ejecución de los servicios

El lugar de ejecución de los servicios del CONTRATISTA será en las instalaciones de la Institución,
pudiendo ser, en caso sea necesario y aceptado por el Banco de la Nación, en las oficinas del
CONTRATISTA.
Las coordinaciones entre el Líder de Proyectos y el personal del ( Definir el horario), pudiéndose
realizar las mismas fuera de este horario, a solicitud de la Institución.
De los recursos que proporcionará el Institución

Durante el período de ejecución del servicio la Institución proporcionará sin costo a EL
CONTRATISTA el espacio físico, los muebles y accesorios, la conexión a la red y servidores, de ser
el caso. La distribución de estos recursos se hará de acuerdo a lo que defina la Institución.
De los recursos que proporcionará el Contratista

El CONTRATISTA deberá disponer del equipamiento y de las herramientas de software que estime
oportuno utilizar para ejecutar el servicio y que no pueda ser proporcionado por la Institución, siempre
que su empleo no vulnere los estándares previstos por la Institución. Los nombres y versiones de las
tecnologías utilizadas serán proporcionados a la empresa ganadora de la buena pro. Una vez
entregada por el ganador de la buena pro, la información de las herramientas adicionales a usar, la
Institución dará a conocer cuál de ellas vulneran los estándares que tiene.
Pacto de confidencialidad
EL CONTRATISTA suscribirá un pacto de confidencialidad, en virtud del cual se obliga a no difundir,
aplicar, ni comunicar a terceros información, base de datos ni cualquier otro aspecto relacionado con
la Institución a la que tenga acceso durante la ejecución del servicio. En el caso de que EL
CONTRATISTA incumpla el pacto de confidencialidad, la Institución a su sola discreción podrá
resolver el contrato, sin perjuicio de adoptar las acciones legales que correspondan.
Plazo de ejecución del servicio

El presente servicio tiene una vigencia hasta agotar el número de horas/hombre contratadas y hasta
el cumplimiento de los entregables acordados al inicio del servicio o un plazo máximo de doce (12)
meses contados a partir del día siguiente de suscrito el contrato y la conformidad de la recepción de
la prestación a cargo de EL CONTRATISTA. Durante este periodo la Institución hará uso del servicio
de acuerdo a las tareas de desarrollo y pruebas de sistemas informáticos definidas al inicio del
servicio y en las plataformas de desarrollo indicadas en el numeral 14 de este capítulo, y en la forma
que establecen las presentes bases.
Formas de pago
Los pagos se realizarán en forma mensual, considerando para esto la conformidad del servicio
realizado en cada mes, el cumplimiento de entregables y el uso de horas/hombre definidos al inicio
del servicio para la consecución de dichos entregables.
El responsable de dar conformidad al servicio es el Gerente de Informática. Para esto deberá de

cumplirse con los procedimientos internos de verificación de cumplimiento de servicios (entre otros,
con las aprobaciones de los líderes usuarios y el líder del equipo de trabajo). Esta conformidad,
deberá de realizarse en un plazo que no exceda de los diez (10) días calendario de recibido el
entregable.
En el caso de haber controversia, esta será definida en reunión conjunta en la que participarán los
representantes del CONTRATISTA y de la Institución a realizarse dentro de los cinco días útiles
siguientes a la presentación de las observaciones.

51
Información de las plataformas de desarrollo
Plataforma de Horas/Hombre Meses de Ejecución N° de personas

Desarrollo (referencial) (referencial)
TOTAL
Nota 1: Se ha tomado como referencia un total de 8 horas por día y entre 19 a 22 días útiles por mes
(dependiendo del mes).
Nota 2: La empresa contratista además deberá de incluir como parte de su personal al Líder a través
del Líder del Proyecto, y al personal que considere necesario para llevar a cabo su plan de calidad.
Perfiles del personal requerido

Considerar:
- Puesto
- Objetivo y funciones
- Requisitos
5.3. Anexo 3: Informe de las Encuestas al Personal VUCE

¿Cuál es el nivel de interacción que tiene con el sistema VUCE?
Respuesta Código Frecuencia Porcentaje
a) Ingreso, actualización y consulta 1 9 39.13%
b) Solo consulta 2 1 4.35%
c) Procesamiento de información 3 3 13.04%
d) Emisión de reportes 4 4 17.39%
e) otros 5 6 26.09%
TOTAL 23
¿Cuál es el nivel de interacción que tiene con el

sistema VUCE?
26%
39%
17%
4%
13%
1 2 3 4 5

52
OPINIÓN DE MEJORA
Del 100% de los encuestados, el 39.13% de los encuestados interactúa con el sistema VUCE a un
nivel de "Ingreso, actualización y consulta".
¿Cuál es el tipo de problemas frecuentes que tiene al interactuar con el sistema

VUCE?
Códig
Respuesta o Frecuencia Porcentaje
a) en el ingreso de información (entrada) 1 3 16.67%
b) en el almacenamiento de la información 2 1 5.56%
c)en el procesamiento de la información 3 6 33.33%
d) en la salida de la información 4 1 5.56%
e) otros 5 7 38.89%
TOTAL 18
¿Cuál es el tipo de problemas frecuentes que tiene al

interactuar con el sistema VUCE?
17%
39% 6%
33%
6%
1 2 3 4 5
OPINIÓN DE MEJORA
Del 100% de los encuestados, el 33.33% de los encuestados tienen como problema frecuente al
interactuar con el sistema VUCE "en el procesamiento de la información".

53
¿Cuál es el tipo de iniciativas de mejoras para el sistema VUCE que usted
propone?
Códig
Respuesta o Frecuencia Porcentaje
Contratar especialistas en BD y Arquitectura 1 1 5.00%
Rendimiento (reducción de tiempo) 2 6 30.00%
Mejoras de experiencia de usuario 3 5 25.00%
Digitalización de documentos 4 1 5.00%
Mayor seguridad 5 1 5.00%
Implementación de gestión de calidad total 6 1 5.00%
Manejador de excepciones/errores 7 1 5.00%
Mejora de la documentación técnica 8 1 5.00%
Contingencia (Sunat) 9 1 5.00%
Rediseño de Pagina Web 10 2 10.00%
TOTAL 20
¿Cuál es el tipo de iniciativas de mejoras para el

sistema VUCE que usted propone?
10% 5%
5%
5%
30%
5%
5%
5%
5%
25%
1 2 3 4 5 6 7 8 9 10
OPINIÓN DE MEJORA
Del 100% de los encuestados, el 30.00% de los encuestados han tomado como iniciativa de mejora
para el sistema VUCE el "Rendimiento del sistema (Reducción de tiempo)".

54
¿Diga usted, cuáles son los riesgos identificados en el sistema VUCE?
Códig Frecuenci Porcentaj
Respuesta o a e
Data perdida 1 1 5.26%
Falta Performance / Interfaz poco amigable 2 2 10.53%
Documentación técnica incompleta 3 2 10.53%
Falta escalamiento para resolver incidencias 4 3 15.79%
Verificar el correcto despliegue en ambientes de prueba 5 3 15.79%
Dependencia de otros sistemas / Caídas de otros sist. Y
Mincetur 6 5 26.32%
Lentitud del sistema (usuarios múltiples/archivos grandes) 7 1 5.26%
Falta de un sistema DRP 8 1 5.26%
Elevado tiempo de respuesta 9 1 5.26%
TOTAL 19
¿Diga usted, cuáles son los riesgos identificados en el

sistema VUCE?
5% 5%
5%
11%
5%
11%
26%
16%
16%
1 2 3 4 5 6 7 8 9
OPINIÓN DE MEJORA
Del 100% de los encuestados, el 26.32% de los encuestados han identificado como riesgo en el
sistema VUCE la "Dependencia y caídas de otros sistemas y Mincetur"

55
¿Cómo está gestionando esos riesgos y que acciones de mitigación propone en el sistema
VUCE?
Códi Frecuen Porcent
Respuesta go cia aje
Solicitud de Arquitecto De Soft. Para tareas de verificación y
escalamiento técnico 1 1 5.88%
Desarrolladores alinean una mejora en buenas practicas 2 3 17.65%
Se cuenta con cartilla de pasos a seguir contra un incidente /
Matriz de riesgos 3 3 17.65%
Cambio a Data Center de Americatel / Construcción de propia
autenticación 4 3 17.65%
Están adquiriendo nuevos equipos y diseño de arquitectura 5 1 5.88%
Implementación de controles de seguridad 6 1 5.88%
Revisión de flujo de datos de las pantallas (más amigable) 7 2 11.76%
Se está utilizando el SVN / Informar lo antes posible a Fabrica 8 2 11.76%
Capacitación e implementación gradual de un DRP 9 1 5.88%
TOTAL 17
¿Cómo está gestionando esos riesgos y que acciones

de mitigación propone en el sistema VUCE?
6% 6%
12%
18%
12%
6% 18%
6%
18%
1 2 3 4 5 6 7 8 9
OPINIÓN DE MEJORA
Del 100% de los encuestados, el 17.65% de los encuestados han dado como solución el "Cambio de
Data Center a Americatel" como plan de contingencia.

56
En cuanto a los responsables del sistema VUCE ¿Cuál es el tiempo que demoran
para brindar un soporte?
a) 1-2 días 1 9 52.94%
b) 3-5 días 2 2 11.76%
c) 6-15 días 3 0 0.00%
d) 15-30 días 4 0 0.00%
e) otros 5 6 35.29%
TOTAL 17
En cuanto a los responsables del sistema VUCE ¿Cuál

es el tiempo que demoran para brindar un sosporte?
5
35%
1
53%
2
12%
1 2 3 4 5
OPINIÓN DE MEJORA
Del 100% de los encuestados, el 52.94% de los encuestados presentan que el tiempo que demoran en
brindar un soporte los responsables del sistema VUCE es entre 1 a 2 días.

57
¿Tiene algún otro aspecto que considere importante y relevante para contribuir con el sistema
VUCE?
Definir SLA, con compromiso, definir turnos y compensación de
feriados, limites, línea de crecimiento profesional en miembros
de la VUCE 1 1 9.09%
Realizar documentación adecuada 2 1 9.09%
Uso de las buenas practicas 3 1 9.09%
Mejorar los pagos de la VUCE con otras modalidades (pago en
línea, cajeros, etc.) 4 1 9.09%
Estandarizar con mecanismo workflow, BPM, SOA, Arqui.
empresarial TOGAF 5 1 9.09%
Registrar procedimientos/conocimientos/capacitaciones para
nuevos ingresantes a la oficina 6 3 27.27%
Actualización de tecnología / mejora a nivel de interfaces 7 1 9.09%
Utilizar máquinas virtuales en desarrollo 8 1 9.09%
Contratar más personal en Fabrica VUCE 9 1 9.09%
TOTAL 11
¿Tiene algún otro aspecto que considere importante y

relevante para contribuir con el sistema VUCE?
9% 9%
9% 9%
9% 9%
9%
27% 9%
1 2 3 4 5 6 7 8 9
OPINIÓN DE MEJORA
Del 100% de los encuestados, el 27.27% de los encuestados opinan que "Se debe registrar
procedimiento, conocimientos, capacitaciones para los nuevos trabajadores de la VUCE".

58
5.4. Anexo 4: Informe de la NTP 12207:2016, Grado de Madurez, CVDS
1. OBJETIVO
Verificar que DVUCEPT, cuenta los procesos necesarios para poder dar soporte al negocio a través
de todo el ciclo de vida del software, como parte esencial de los sistemas convencionales y de
tecnología de la información.
2. METODOLOGÍA
La validación se practicó de acuerdo a la metodología de auditoría generalmente aceptada en el

marco común de la NTP 12207:2016 aceptada por esta consultoría, e incluyó, entre otros, el análisis
de la normativa vigente y la revisión de la documentación pertinente, proporcionado por el oficial de
seguridad de información.
Este marco de referencia cubre el ciclo de vida del software desde la conceptualización de ideas
hasta su retirada y consta de procesos para adquirir y suministrar productos y servicios de software.
Cubre además el control y la mejora de estos procesos como se muestra en el siguiente gráfico está
compuesta por tres Procesos el ciclo de vida: principales, de apoyo y organizativos; cada uno de
estos cuenta con 5, 13 y 4 procesos respectivamente que en total contienen 74 actividades.

59
3. RESUMEN EJECUTIVO
De acuerdo con los antecedentes proporcionados por DVUCEPT, durante el período comprendido
entre el 01 de febrero del 2019 al 01 de marzo del presente año, el cual permite revisar los procesos
del ciclo de vida del software, junto a toda la información que se encuentra disponible.
El análisis ha permitido determinar que:

 Procesos Principales del ciclo de vida, con resultado de 46.66% Alineado.
 Procesos de Apoyo del ciclo de vida, con resultado de 46.53% Alineado.
 Procesos organizativos del ciclo de vida, con resultado de 38.50% Alienado.
DOMINIOS Alineado No Alineado

1. PROCESOS PRINCIPALES DEL CICLO DE VIDA 46.66% 53.34%
2. PROCESOS DE APOYO DEL CICLO DE VIDA 46.53% 53.47%
3. PROCESOS ORGANIZATIVOS DEL CICLO DE 38.50% 61.50%
VIDA
TOTAL 43.89% 56.11%
4. PROCESOS PRINCIPALES DEL CICLO DE VIDA

60
4.1. Proceso de adquisición
4.2. Proceso de suministro

61
4.3. Proceso de desarrollo

62
4.4. Proceso de operación
4.5. Proceso de mantenimiento

63
1. PROCESOS PRINCIPALES DEL CICLO DE VIDA!
47%
Cumplimiento
53% Imcumplimiento
5. PROCESOS DE APOYO EN EL CICLO DE VIDA
5.1. Proceso de documentación

64
5.2. Proceso de gestión de configuraciones

65
5.3. Proceso de aseguramiento de la calidad

66
5.4. Proceso de verificación
5.5. Proceso de validación
5.6. Proceso de Revisión Conjunta

67
2. PROCESOS DE APOYO DEL CICLO DE VIDA
47% Cumplimiento
53% Imcumplimiento
6. PROCESOS ORGANIZATIVOS DEL CICLO DE VIDA
6.1. Proceso de gestión

68
6.2. Proceso de infraestructura
6.3. Proceso de mejora

69
6.4. Proceso de recursos humanos
3. PROCESOS ORGANIZATIVOS DEL CICLO DE VIDA
39%
Cumplimiento
Imcumplimiento
62%

70
7. CONCLUSIONES
Conforme a lo expuesto en el presente informe, se deberán adoptar las acciones necesarias para
disminuir la brecha existente para estar mínima mente alineado a lo que recomienda esta norma
internacional, entre las cuales se estima necesario considerar por el nivel bajo de cumplimiento
(<45%):
PROCESOS PRINCIPALES DEL CICLO DE VIDA
1. Proceso de Suministros / Planificación: Se encuentra mínimamente evidenciada la

Planificación.
2. Proceso de Desarrollo / Diseño de la Arquitectura de Software: No se evalúan los
requerimientos según la arquitectura del sistema.
3. Proceso de Desarrollo / Diseño de la arquitectura del sistema: No se especifica temas
básicos como si las arquitecturas del sistema tienen identificados los elementos de
hardware y software.
4. Proceso de Mantenimiento / Retirada del software: Procesos inexistentes o no
documentados.
PROCESOS DE APOYO DEL CICLO DE VIDA
1. Proceso de gestión de Configuraciones / Implementación del Proceso: Planes

inexistentes, criterios no establecidos.
2. Proceso de gestión de Configuraciones / Identificación de la Configuración: Estructura
inexistente.
3. Proceso de Revisión Consulta / Revisiones Técnicas: Falta de documentación de
respaldo.
PROCESOS ORGANIZATIVOS DEL CICLO DE VIDA
1. Proceso de Gestión / Revisión y Evaluación: No se mantiene documentación de

resultados, fortalecer la relación objetivos esperados y resultados obtenidos.
2. Proceso de Gestión / Finalización: Seguimiento ineficiente a la finalidad de los
productos, no existe registro de los resultados obtenidos.
3. Proceso de Mejora / Mejora del Proceso de Mejora: Falta de evidencia de mejoras
necesarias, así como de la recopilación y análisis de los datos históricos.
4. Proceso de Recursos Humanos / Implementación del Plan de Formación: Planes sin
controles.
REFLEXIONES
 Se requiere fortalecer los canales de información de las políticas internas al personal, afín
de que cumplan debidamente sus funciones.
 Generar un plan de capacitación al personal en las diversas áreas del negocio afín de que
obtengan mejores competencias y una línea de carrera, “preparar al personal para que esté
preparado si se va, tratar a mis colaboradores de tal forma que no piensen en irse”.
 Reingeniería a los procesos críticos, de la parte de tecnología en aquellos que no me brinda

valor tratarlo de poder dar a terceros en su ejecución.

71
5.5. Anexo 5: Propuesta del Ciclo de Vida del Software alineado a la NTP
ISO 12207:2014
1. OBJETO
Normar los principales procesos del Ciclo de Vida del Software, para el desarrollo, certificación,
operación y mantenimiento de los sistemas y servicios de software implementados en la VUCE.
2. FINALIDAD
La presente directiva definirá el marco de trabajo bajo el cual la VUCE deberá cubrir el ciclo de
vida de los productos, sistemas y servicios software desarrollado.
3. ALCANCE
Las disposiciones establecidas en la presente norma alcanzan a todos los usuarios de la VUCE,
personal nombrado y contratado; así como personas o empresas que tengan participación en
alguna actividad en el ciclo de vida del software, en el marco de intercambio de servicios, de un
mandato, de un periodo de práctica, de una colaboración u otro servicio debidamente autorizado.
4. VIGENCIA
La presente Directiva entrará en vigencia a partir de la fecha de su aprobación y difusión.
5. BASE LEGAL
a) Resolución Ministerial N° 179-2004-PCM, aprobada el 14.JUN.2004.
b) Norma Técnica Peruana NTP-ISO/IEC 12207:2006 TECNOLOGIA DE LA
INFORMACION. Procesos del Ciclo de Vida del Software, aprobada mediante Resolución
Ministerial Nº 179- 2006-PCM, el 28. JUL 2006.
c) Circular G-140-SBS: 2009 De la Gestión de la Seguridad de la Información.
6. DEFINICIÓN DE TÉRMINOS
a) Acreditación: Proceso a través del cual el usuario experto, previo cumplimiento de los
requerimientos especificados en la Solicitud de Cambio y/o requerimiento de un proyecto
nuevo, autoriza a la Sección Calidad de Soluciones la certificación de un producto
software.
b) Arquitectura del Software: Consiste en un conjunto de patrones y abstracciones

coherentes que proporcionan el marco de referencia necesario para guiar la construcción
del software para un sistema de información.
c) Certificación: Es el proceso para asegurar que los productos software reúnan todas las
características y/o requisitos esperados del usuario experto, a través de la ejecución de
pruebas funcionales y no funcionales; siendo uno de los principales objetivos la
satisfacción del usuario final.
d) Ciclo de Vida del Software: Marco de referencia que contiene los procesos, actividades y
tareas involucradas en el desarrollo, operación y mantenimiento de un producto software,
y que abarca toda la vida del sistema desde la definición de sus requisitos hasta el final de
su uso.
e) Ciclo de prueba: Un ciclo de prueba incluye la ejecución de una, alguna o todas las
pruebas planificadas para el producto software. Cada ciclo de prueba está asociado a una
versión del producto, y cada nuevo ciclo de prueba implicará una nueva versión de uno o
más componentes del sistema, y al culminarla se emitirá un informe que describa los
problemas y/u observaciones encontrados durante su ejecución.

72
f) Comité de Arquitectura TI: Es un equipo de profesionales líderes en tecnología designado
por el Comité de Informática, que desarrollan, comunican e introducen una arquitectura
empresarial y estándares de TI. Este Comité también guía a los técnicos y programadores
(*) de la Gerencia de Informática a diseñar o implementar correctamente nuevos
productos o servicios tecnológicos teniendo una visión general de la infraestructura,
comunicaciones y aplicaciones con las que cuenta la VUCE.
g) Comité de Calidad de Soluciones: Tiene como objetivo evaluar y aprobar el inicio del
proceso de certificación de productos, controlando el impacto sobre los procesos de
negocios de la VUCE.
h) Comité de Informática: Está constituido por el Gerente y los (*) Coordinador de

Informática. Tiene la finalidad de establecer los lineamientos para el funcionamiento del
Comité de Informática; así como la organización y funciones que están bajo su ámbito de
competencia.
i) Despliegue: Proceso de migración y/o instalación de programas Host y Open, de un

ambiente a otro.
j) Incidente Tecnológico: Evento no planificado, que no es parte de la operación estándar de

un servicio y que provoca una interrupción del servicio TI o una reducción en la calidad de
este. También se considera incidente a una falla en algún componente tecnológico, que
aún no ha impactado en el servicio.
k) NTP ISO/IEC 12207:2006 TECNOLOGIA DE LA INFORMACION. Procesos del ciclo de

vida del software: Norma Técnica Peruana vigente que establece un marco de referencia
para la administración de los procesos de ingeniería de software asimismo define los
procesos, actividades y tareas asociadas a los procesos del ciclo de vida de software
desde la concepción hasta su retiro.
l) NTP ISO/IEC 12207:2004 Adaptado a la VUCE: La adaptación de esta Norma Técnica

Peruana a la VUCE define un marco de trabajo bajo el cual se deberá cubrir el ciclo de
vida de los productos, sistemas y servicios del producto software desarrollados
principalmente por (*) Coordinador de Informática y terceros, pero involucrando a
diferentes áreas funcionales de la organización como: Planeamiento, Logística, Recursos
Humanos, Auditoría y todas las áreas clientes.
m) Pruebas funcionales: Prueba funcional es una prueba basada en la ejecución, revisión y

retroalimentación de las funcionalidades previamente diseñadas para el producto
software. Las pruebas funcionales se realizan mediante el diseño de casos de prueba que
buscan evaluar cada una de las opciones con las que cuenta el producto software.
n) Pruebas no funcionales: Involucra la realización de distintos tipos de pruebas orientadas a

analizar la estructura interna de los productos software para evaluar su comportamiento
bajo determinados escenarios.
o) Requerimientos Funcionales: Definen el comportamiento interno del software y

usualmente son especificados como: cálculos, detalles técnicos, manipulación de datos y
otras funcionalidades específicas que muestran cómo los casos de uso serán llevados a la
práctica. Estos requerimientos describen las transformaciones que el sistema realiza
sobre las entradas para producir salidas.
p) Requerimientos No Funcionales: Especifican criterios que pueden usarse para juzgar la

73
operación de un sistema en lugar de sus comportamientos específicos, ya que éstos
corresponden a los requerimientos funcionales. Por tanto, se refieren a todos los
requisitos que no describen información a guardar, ni funciones a realizar. Ejemplo:
Estabilidad, portabilidad, costo, aspectos legales y de licencias, plataforma,
documentación, dependencia de otras partes, etc.
7. DISPOSICIONES GENERALES
La presente directiva establece el marco de trabajo o metodología constituida por un conjunto de

procesos del Ciclo de Vida del Software, los cuales se encuentran clasificados en: Procesos
Principales, de Apoyo y de Gestión.
El Reglamento normará tres de los Procesos Principales relacionados con el Desarrollo,
Certificación, Operación y Mantenimiento de Software más un Proceso de Apoyo, los cuales se
describen a continuación:
7.1. PROCESO DE DESARROLLO DE SOFTWARE
1. Requerimientos del Software: Los requerimientos pueden ser definidos como

características o propiedades del producto software. Funcionalidades que el software debe
resolver y atributos de calidad y seguridad a satisfacer. Se clasifican en:
 Requerimientos Funcionales (capacidad), y
 Requerimiento No Funcionales (condiciones) con evaluaciones de riesgos
operativos.
2. Diseño del Software: Este proceso da como resultado la definición de la arquitectura,

seguridad, componentes, interfaces y otras características de un sistema o componente. El
diseño es dividido en dos partes esenciales:
 Diseño Arquitectónico, y
 Diseño en detalle de los componentes de la arquitectura.
3. Implementación (codificación) y Pruebas Unitarias del Software: La prueba unitaria verifica

al componente o unidad (programas, subprogramas, etc.) de manera aislada del resto de los
componentes. Los Métodos de diseño de pruebas de software se dividen en:
 Método de Diseño de pruebas de Comportamiento conocido como Caja Negra,
está orientado en asegurar los requerimientos funcionales, en el análisis de
datos de entrada y los de salida.
 Método de Diseño de pruebas de Estructura o Caja Blanca , se considera un
conocimiento explícito de la estructura interna del software.
4. Integración: El objetivo de la Construcción de Software es entregar un conjunto de

funciones y capacidades del sistema que puedan ser probadas antes de ser desplegado en el
ambiente de certificación. En el caso de Empresas desarrolladoras de software, es la
comprobación de la calidad y seguridad del producto antes de desplegarlo en el ambiente de
certificación.
5. Apoyo a la Aceptación del Software: En esta fase se busca identificar los criterios de
aceptación que el usuario o cliente determine, asimismo, se prepara el Plan de Aceptación del
producto y el diseño de los casos de prueba. Esta aceptación concluye con la emisión del
Acta de Revisión Conjunta.
6. Transición del Software a Certificación: Este proceso consiste en hacer que el producto
software y artefactos relacionados se encuentren disponibles para su despliegue en el
ambiente de certificación y se den inicio a las pruebas con el usuario experto

74
7.2. PROCESO DE CERTIFICACION DEL SOFTWARE
Este proceso lo lleva a cabo la Sección Calidad de Soluciones, el cual permite verificar y validar la
calidad de los productos software. Su función es clave para la detección del alineamiento con los
estándares definidos como: identificar fisuras o fallas. La Certificación de las Pruebas se efectúa a
nivel funcional y no funcional de los productos software y consta de los siguientes subprocesos:
1. Participación en los Requerimientos Software: La fase inicial, el proceso de captura de

requerimientos es una etapa de suma importancia dentro del proceso de desarrollo de
software. Por lo cual la Sección Calidad de Soluciones participará solo en las actividades
implicadas en el numeral 7.1.1 Requerimientos del Software.
2. Planificación de pruebas: Esta fase tiene como principal función la gestión de los recursos
disponibles, para la atención de los requerimientos ingresados a través del comité de Calidad
de Soluciones. Este sub-proceso debe cumplir con dos factores críticos de éxito:
 Identificación del Alcance (tipos y escenarios de prueba) y enfoque de los
requerimientos del usuario experto.
 Administración de recursos requeridos, calendario, responsables y manejo de
riesgos, asociados a las pruebas.
3. Despliegue del producto software: En esta fase se realiza el despliegue de todos los
programas, componentes, base de datos, etc. que constituyen el producto software, en el
ambiente de certificación.
4. Pruebas Previas: En esta fase, el ejecutor de la actividad es el analista de calidad. Verifica

que el producto software y artefactos relacionados cumplan con los requerimientos
especificados por el usuario experto.
Las actividades que intervienen en las pruebas previas permiten asegurar que el
ambiente de certificación esté listo para las pruebas con el usuario avanzado.
5. Pruebas de Acreditación Esta fase consiste en validar con presencia del usuario experto,
las pruebas funcionales y no funcionales, del plan de pruebas del producto software,
desarrollado o actualizado por la (*) Coordinador Desarrollo de Sistemas o por una empresa
desarrolladora de software.
6. Pase a Producción: Consiste en solicitar el despliegue del ambiente de Certificación a

Producción.
7. Seguimiento de Producto certificado: Es la última etapa de la certificación de Productos

Software. El objetivo es identificar si se han presentado inconvenientes o incidencias en el
ambiente de producción. Esta fase es de real importancia, ya que muestra el nivel de
satisfacción y errores de las pruebas ejecutadas en el ambiente de certificación.
7.3. PROCESO DE OPERACIÓN DEL SOFTWARE

Durante este proceso se realizan la instalación y evaluación del producto software (puesta en
funcionamiento) en el entorno del usuario, según las especificaciones establecidas. Se debe
brindar una asistencia técnica permanente. (Ver anexo N° 01)
7.4. PROCESO DE MANTENIMIENTO DEL SOFTWARE

Desde la perspectiva NTP-ISO/IEC 12207:2004 el Mantenimiento de Software define las
actividades para la gestión de las modificaciones al producto software de manera que se mantenga
actualizado y operativo (Ver anexo N° 01). Los tipos de mantenimiento se encuentran clasificados
en cuatro (04) tipos fundamentales:

75
 Mantenimiento correctivo del software, consiste en la corrección de errores o fallas.
 Mantenimiento adaptativo del software, aquellas modificaciones requeridas debido al
cambio de la configuración.
 Mantenimiento preventivo del software, incluye incorporaciones, modificaciones y
eliminaciones necesarias debido a requerimientos de usuarios
 Mantenimiento perfectivo del software, acciones llevadas a cabo para mejorar la calidad
interna del sistema en cualquiera de sus características.
8. DISPOSICIONES ESPECÍFICAS
8.1. PROCESO DE DESARROLLO DE SOFTWARE
8.1.1. Actividades de Requerimientos de Software
a) Identificar a partir de los requerimientos del software las fuentes involucradas con el
producto a desarrollar, así como las necesidades y expectativas del usuario; la (*)
Coordinador Desarrollo de Sistemas deberá:
i. Validar que el requerimiento solicitado por el usuario (Requerimiento de Software
(RDS) o Solicitud de Cambio (SC)), tenga la autorización del (*) Coordinador o
equivalente para ser aceptado.
ii. Desarrollar el documento de Especificación de Requerimientos de Software (SRS);
definiendo con suficiente precisión el alcance del producto software y ciertas
condiciones del proyecto.
iii. Analizar e interpretar los requerimientos (necesidades) del usuario con el fin de
recopilar la información necesaria.
iv. Definir el Sistema Software, procediendo a refinar las Especificaciones de
Requerimientos de Software, estructurar las Especificaciones de Casos de Uso (ECU
´s), y los Diagramas de Flujo de Datos (DFD’s).
v. Priorizar los requerimientos de Software, casos de uso por escenario y procesos;
asimismo documentar la vista de los casos de uso y evaluar los resultados.
vi. Refinar las definiciones del sistema, mediante el detalle de los requerimientos y casos
de uso funcionales y no funcionales.
b) Analizar, organizar y clasificar los requerimientos de acuerdo al sistema establecido por la

Institución. La (*) Coordinador Desarrollo de Sistemas deberá realizar un análisis previo
de los casos de uso en base a los requerimientos.
c) Validar los requerimientos para asegurar un mejor entendimiento de los mismos y que
exista consenso con los usuarios finales. La (*) Coordinador Desarrollo de Sistemas
deberá:
i. Desarrollar el prototipo del Sistema Software y validarlo con los usuarios finales.
ii. Realizar una revisión conjunta de los requerimientos, entre ellos: peticiones de
cambio/ requerimientos de software, modelos de requerimientos (ECU’s/DFD’s), y
posteriormente informar acerca de la revisión y cambios. Esta revisión conjunta
contará con el visto bueno del líder usuario, aceptando la(s) modificación(es) de los
requerimientos iniciales.
d) Administrar los cambios a los requerimientos, tomando en cuenta las solicitudes de los
usuarios o peticiones de cambios. La (*) Coordinador Desarrollo de Sistemas deberá:
i. Evaluar el impacto del cambio sobre los requerimientos, su factibilidad y posterior
aprobación del cambio.
ii. Realizar una revisión conjunta de los requerimientos, entre ellos: las peticiones de
cambio/requerimientos de software, modelos de requerimientos (Casos de
76
Uso/DFD’s), posteriormente se informa acerca de la revisión y los cambios.
iii. Mantener un estricto y formal control de cambios, que será debidamente apoyado por
sistemas Informáticos en el caso de ambientes complejos o con alto número de
cambios.
8.1.2. Actividades del Diseño de Software
a) Desarrollar un resumen de la arquitectura, que muestre una solución técnica posible, y

que satisfaga los requerimientos significativos. La (*) Coordinador Desarrollo de Sistemas
deberá:
i. Realizar un análisis de la Arquitectura, desarrollando una Visión Arquitectónica Global
e identificando Escenarios y requerimientos significativos.
ii. Coordinar con la (*) Coordinador Infraestructura y Comunicaciones respecto a la
disponibilidad de los componentes necesarios para la implementación del diseño
arquitectónico y de Base de Datos.
iii. Definir en coordinación con la (*) Coordinador Seguridad Informática y Coordinador
de Aseguramiento y Calidad la capa de seguridad en el producto software a
desarrollar, asociado a controles técnicos con el objetivo de garantizar la
disponibilidad, confidencialidad e integridad de los datos.
iv. Aplicar técnicas de encriptamiento sobre la información crítica que debe ser protegida,
de acuerdo a lo definido por la (*) Coordinador Seguridad Informática de la
Aseguramiento y Calidad
v. Definir los perfiles de acceso del producto software, así como el propietario del mismo.
vi. De requerir nuevos componentes en la arquitectura propuesta, deberá exponerse en
el Comité de Arquitectura TI y contar con su aprobación para:
 Construir las Pruebas de Concepto de la arquitectura propuesta, para esto se
deben definir técnicas, valorar prototipos y el modelamiento conceptual y
finalmente seleccionar los elementos y tecnologías para la prueba de conceptos.
 Evaluar la viabilidad de las pruebas de concepto de arquitectura y seguridad,
asimismo determinar los criterios y métodos de evaluación para la obtención de
resultados de dichas pruebas.
b) Definir la Arquitectura adecuada, estableciendo la arquitectura inicial del producto

software o modificando la existente. La (*) Coordinador Desarrollo de Sistemas deberá:
i. Realizar el análisis Arquitectónico, elaborando una visión general e identificando
escenarios y Requerimientos significativos. Incluye el componente de seguridad.
ii. Realizar el Diseño de los Caso de Uso/Escenario, identificando elementos claves e
interacciones entre estos elementos.
c) Realizar un análisis del comportamiento, transformando la descripción del comportamiento

en un conjunto de elementos apropiados para realizar el diseño del producto. La (*)
i. Analizar los casos de uso, aplicando según sea el caso la técnica para Diseño
Orientado a Objetos o la Técnica para Diseño Estructurado.
ii. Identificar los elementos de diseño, entre ellos las señales disparadoras, clases,
subsistemas e Interfaces.
iii. Diseñar la interfaz de usuario, identificando elementos primarios y definiendo la
estructura de navegación; así como elaborar el diseño detallado de la interfaz del
usuario, la cual será validada con los usuarios finales.
iv. Revisar el Diseño del sistema, conjuntamente con las interpretaciones de los casos
de uso, los diseños de los DFD’s y los Modelos de Datos.
d) Diseñar los Componentes de software, definiendo en forma detallada las características

77
de cada componente software de la arquitectura. La (*) Coordinador Desarrollo de
Sistemas deberá:
i. Diseñar los subsistemas, distribuir y documentar su comportamiento, y describir las
dependencias entre estos.
ii. Realizar el Diseño de clases, unificar clases de diseño, aplicar patrones de diseño,
definir operaciones de clases, y diseñar asociaciones de clases.
iii. Realizar el Diseño procesos describiendo procedimientos y funciones de la biblioteca
o componente, asimismo distribuir procedimientos y funciones a componentes.
iv. Implementar las alertas tempranas, con las cuales permitirá a la Sección Operaciones
y Control de Plataformas, monitorear dicha aplicación disminuyendo el riesgo de
inoperatividad e impacto negativo en el negocio.
e) Diseñar la Base de Datos, solucionando los requerimientos de persistencia de la

información. La (*) Coordinador Desarrollo de Sistemas deberá:
i. Realizar el diseño de la Base de Datos.
ii. Validar y aprobar el diseño de la Base de Datos propuesta con el administrador de
base de datos de (*) Coordinador Infraestructura y Comunicaciones. Dicho diseño
debe incluir los registros mínimos requeridos de manera que permita guardar
consistencia, trazabilidad y pistas de auditoría de las operaciones ejecutadas.
iii. Incorporar en el código del programa los controles de seguridad informática
apropiados, así como las consideraciones para la base de datos, evitando generar
una degradación de la calidad del producto software. Los controles a implementar
deben guardar consistencia con las capacidades de la infraestructura tecnológica de
la VUCE, sin perjudicar la integridad, disponibilidad y confidencialidad de la
información.
f) Diseño de la migración y carga de datos, esta se realizará cuando el proyecto conlleve un

traslado de datos desde otro sistema o se requiera de una carga inicial de datos, para
poder colocar el producto software en producción. La (*) Coordinador Desarrollo de
Sistemas deberá:
i. Definir el Entorno de Migración a nivel tecnológico tanto para los procesos de
migración como para la carga de datos, así como estimar las necesidades de
infraestructura (espacio de almacenamiento y comunicaciones).
ii. Diseñar los procedimientos de migración y carga de datos, definir el proceso de
migración de datos, así como la carga inicial de datos y la verificación final a estos
procesos.
iii. Diseñar los componentes de migración necesarios, definiendo la prioridad y orden de
ejecución.
iv. Coordinar con la (*) Coordinador Infraestructura y Comunicaciones a través de su
Administrador de Base de Datos a fin de:
 Efectuar la revisión de la Planificación de la Migración y carga inicial antes de la
ejecución del Plan.
 Validar el flujo de la ejecución de las cargas de datos.
v. El área usuaria es la única autorizada para visualizar su información en producción.
8.1.3. Actividades de Implementación (codificación) y Pruebas Unitarias
a) Organizar el Modelo de Implementación, obteniendo un conjunto de subsistemas de

implementación que puedan desarrollarse de manera independiente. La (*) Coordinador
Desarrollo de Sistemas deberá:
i. Definir y establecer la estructura del modelo de implementación, actualizando la vista
de implementación.
ii. Definir la estructura del modelo de implementación para Pruebas, establecer los
78
elementos de prueba, y actualizar la vista de implementación.
iii. Evaluar el modelo de implementación mediante la evaluación de acoplamiento entre
componentes, consistencias del acoplamiento y la estructura de la arquitectura, según
el estilo arquitectónico seleccionado.
iv. Se deberá evitar el uso de bases de datos operacionales conteniendo información
personal o cualquier otra información confidencial para propósitos de pruebas.
v. Planificar la integración de componentes, diseñando una estrategia con el objetivo de
construir los componentes y subsistemas en base a la arquitectura de software. La (*)
 Identificar subsistemas mediante la determinación de los casos de uso
desarrollados y los subsistemas participantes.
 Definir construcciones requeridas para el desarrollo e integración, asimismo se
definirá el contenido de cada construcción y de los subsistemas de apoyo
(dummies).
 Evaluar la Integración priorizando el orden definido previamente, es necesaria
también una evaluación de las dependencias de los subsistemas de apoyo como
del orden de integración con el orden de desarrollo de los componentes.
b) Implementar la unidad software12 escribiendo o generando parte o la totalidad el código

del programa desde las especificaciones del diseño. La (*) Coordinador Desarrollo de
Sistemas deberá:
i. Implementar elementos de diseño preparando las condiciones necesarias, tanto para
programación estructurada como la orientada a objetos, finalizando con la evaluación
de código y detección de errores sintácticos.
ii. Implementar elementos de prueba como subsistemas de apoyo (dummies), clases,
procedimientos y su integración con herramientas automatizadas de prueba.
c) Verificar los componentes de software, como parte de esta actividad se realizan los
ajustes de los defectos y pruebas unitarias, para solicitar o verificar los cambios. La (*)
i. Ejecutar, evaluar y verificar pruebas unitarias.
ii. Revisar el código fuente, estableciendo hitos de revisión para su implementación,
revisando y documentando los defectos y emitiendo un reporte posterior.
iii. Implementar mecanismos que permitan controlar acceso a las librerías de programas
fuente.
d) Probar cada construcción, mediante la integración de subsistemas, una vez producidos los
resultados satisfactorios, es llevada completamente al espacio de Integración. La (*)
i. Identificar componentes a probar y elementos, seleccionar técnicas de
implementación e implementar Pruebas de Integración de Unidades en Subsistemas,
asimismo establecer los Datos de Prueba y verificar la Implementación.
ii. Ejecutar Pruebas de Integración en Subsistemas asimismo evaluar la ejecución,
verificar y reportar los resultados.
iii. Integrar componentes o librerías de códigos en Subsistemas y entregar la Integración
para la creación de línea base.
8.1.4. Actividades de Integración
a) Desarrollar construcciones13 del producto en la que se busca la integración de los

12
Unidad software: Pieza de código compilable por separado [NTP ISO/IEC 12207:2006]
13
La construcción de software es una versión operativa de un producto software o parte de este que demuestra un conjunto de
capacidades.
79
diferentes subsistemas en la construcción final; la (*) Coordinador Desarrollo de Sistemas
deberá:
i. Integrar los subsistemas en la construcción, para esto se deberá aceptar los
subsistemas, producir las construcciones intermedias y promover construcciones a
líneas bases.
b) Probar la integración del Subsistema de Implementación, asegurando que los

componentes del modelo de implementación operen de manera apropiada en el ambiente
de desarrollo. La (*) Coordinador Desarrollo de Sistemas deberá:
i. Preparar los artefactos Plan de Pruebas de desarrollo y Especificación de casos de
Prueba, antes de efectuar el pase al ambiente de certificación, dichos artefactos
servirán de entrada para preparar el plan de pruebas de certificación.
ii. Diseñar pruebas de integración del sistema.
iii. Implementar artefactos de pruebas requeridos y ejecutar la Prueba de Integración del
Sistema.
iv. Analizar, evaluar y emitir reportes de los resultados de las Pruebas de Integración del
Sistema.
c) Planificar el despliegue del producto de software en el ambiente de certificación. La (*)

i. Preparar el plan de despliegue del software en el ambiente de certificación, el cual
deberá coordinarse con la Sección de Calidad de Soluciones para precisar cuándo y
en qué plataforma estará disponible el producto para las pruebas con el usuario.
8.1.5. Actividades de apoyo a la Aceptación del Software
a) Preparar Plan de Aceptación del Producto en la que se definen los criterios para la
aceptación del producto, la (*) Coordinador Desarrollo de Sistemas deberá:
i. Identificar criterios para aceptación, determinando los recursos requeridos para las
pruebas para esto se desarrollará un cronograma de actividades de aceptación y se
preparará el plan de Aceptación del producto y el diseño de los casos de prueba.
8.1.6. Actividades de Transición del Software a Certificación
a) Planificar el despliegue del producto de software. (*) Coordinador Desarrollo de Sistemas

deberá:
i. Ejecutar el Plan de Despliegue del Software en el ambiente de certificación, el cual
deberá indicar cuando y en qué plataforma estará disponible el producto software a
certificar por los usuarios.
ii. La (*) Coordinador Desarrollo de Sistemas deberá proporcionar entrenamiento al
personal de la (*) Coordinador Gestión de Servicios de Tecnologías de información,
para esto se estimará los recursos requeridos, se preparará el cronograma y definirá
los riesgos asociados.
iii. La (*) Coordinador Desarrollo de Sistemas deberá incluir dentro del entrenamiento al
personal de (*) Coordinador Gestión de Servicios de Tecnologías de información, la
identificación de los códigos o mensajes de error que se puedan presentar en el
software y sus soluciones o soluciones temporales, para una atención rápida y
efectiva del Soporte al Usuario en el primer nivel.
iv. La (*) Coordinador Desarrollo de Sistemas deberá establecer los niveles de
escalamiento para el manejo de incidentes en segundo y tercer nivel e informarlo a la
(*) Coordinador Gestión de Servicios de Tecnologías de información. Entiéndase por
segundo nivel (personal experto de la VUCE) y tercer nivel (proveedores).

80
b) Desarrollar el material de soporte asegurando que el despliegue de la aplicación en el
entorno de certificación se realice de manera efectiva y exitosa. La (*) Coordinador
i. Elaborar el material de entrenamiento, definiendo su contenido y estructura.
ii. Desarrollar del Material de Soporte, donde se define el contenido, la estructura y se
elabora el material de soporte.
c) El desarrollo de la Unidad para despliegue14, o empaquetado consiste en una colección de

ejecutables, código, documentación y artefactos para la instalación. La (*) Coordinador
i. Desarrollar los artefactos de instalación, consolidar elementos para la distribución del
producto e implementar artefactos de instalación
ii. Desarrollar la Unidad para Despliegue, empaquetar elementos de instalación y
publicar y establecer accesos a los instaladores del producto.
8.2. PROCESO DE CERTIFICACIÓN DEL SOFTWARE
8.2.1. Actividades de Participación en Requerimientos de Software
a) Las actividades que intervienen en la participación de Requerimientos del Software son

las siguientes:
i. Recibir la invitación, emitida por la (*) Coordinador de Desarrollo de Sistemas, cuando
se da inicio a un proyecto nuevo.
ii. Designar al analista de Calidad que asistirá a las reuniones. El cual posteriormente
será el encargado de realizar las pruebas correspondientes en el ambiente de
certificación.
iii. El Analista deberá participar en las reuniones de coordinación y captura de
requerimientos.
iv. Archivar la Revisión Conjunta de requerimientos (artículo d. del numeral 8.1.1
Requerimientos del Software), para la posterior validación de la trazabilidad de los
requerimientos que han sido desarrollados e ingresados para la ejecución de pruebas
funcionales y no funcionales en el ambiente de certificación.
8.2.2. Actividades de Planificación de las Pruebas
a) Iniciar la certificación de productos software, para lo cual, la Sección Calidad de

Soluciones deberá identificar dos factores críticos de éxito:
 Identificación del alcance (tipos y escenarios de prueba) y enfoque de los
requerimientos del usuario experto.
 Administración de recursos requeridos, calendario, responsables y manejo de
riesgos, asociados a las pruebas.
Las actividades que intervienen en la Planificación de las pruebas son las siguientes:
i. Recibir, revisar y analizar previamente los artefactos RUP o documento
relacionados con el mantenimiento y/o proyecto (especificaciones de casos de
uso, especificaciones de casos de prueba, Acta de Conformidad, etc.). Tener en
cuenta que existen 2 tipos de Productos Software, los cuales albergan distintas
formas de proceder:
 Mantenimiento y/o Proyecto Host. - Se validan que los programas contenidos
en la Solicitud de Cambio correspondan a los que han sido copiados a la
librería de certificación.
14
La unidad para despliegue se define a partir de la construcción de software (ejecutables, código de los componentes),
documentación (material de soporte al usuario) y artefactos de instalación
81
 Mantenimiento y/o Proyecto Open. - Se valida el artefacto de Despliegue y
se verifica la existencia de los archivos asociados, en las rutas establecidas.
ii. De encontrarse todo conforme, se gestiona los recursos requeridos para la

prueba, ya sea analista responsable, tiempos, complejidad y alcance de la
prueba. En caso contrario, se procede a devolver el mantenimiento y/o proyecto
a la (*) Coordinador Desarrollo de Sistemas.
8.2.3. Actividades de Despliegue del producto software en ambiente de Certificación
a) Desplegar de todos los programas, componentes, base de datos, etc. que constituyen el
producto software, en el ambiente de certificación, para ello, la Sección Calidad de
Soluciones deberá:
i. Verificar la existencia de los elementos a desplegar
ii. En caso existieran elementos open, se procede a desplegar las aplicaciones en los
servidores que les corresponde.
iii. En caso de ser necesario, se efectúan coordinaciones con la (*) Coordinador
Infraestructura y Comunicaciones y/u otras áreas asociadas al producto software para
su implementación en el ambiente de Certificación.
8.2.4. Actividades de Pruebas Previas
a) Verificar que el producto software y artefactos relacionados cumplan con los

requerimientos especificados por el usuario experto, mediante el aseguramiento que los
componentes del modelo de implementación operen de manera apropiada en el ambiente
de Certificación. Coordinador Calidad de Soluciones deberá:
i. Verificar y analizar los artefactos asociados a la solicitud de cambio tomando como
fuente el repositorio de datos definido por (*) Coordinador Informática.
ii. Elaborar del plan de pruebas.
iii. Validar la congruencia del caso de prueba presentado en la solicitud de cambio o
charter del proyecto, con los requisitos previos para la implementación del ambiente.
iv. Definir los datos de prueba, determinando los datos de entrada y resultados
v. Ejecutar las pruebas integrales, funcionales y no funcionales, con el fin de verificar el
correcto funcionamiento e implementación del ambiente de certificación para las
posteriores pruebas de acreditación.
vi. En caso de existir observaciones y/o errores durante la ejecución de las pruebas
previas relacionadas al producto software, se procederá a elaborar del Documento de
Pruebas Previas, el cual deberá de ser firmado por el analista desarrollador
responsable del producto a certificar. Este documento será un precedente para tomar
en cuenta durante las pruebas de acreditación.
En caso de haberse incurrido en observaciones y/o errores solicitar a la (*)
Coordinador Desarrollo de Sistemas la corrección del producto software, por un
máximo de 3 veces. En caso se realicen 3 ciclos de pruebas y aún tenga
observaciones y/o errores el producto software la solicitud de certificación será
devuelta a la (*) S Coordinador a Desarrollo de Sistemas
8.2.5. Actividades de Pruebas de Acreditación
a) Validar, con la presencia del usuario los diferentes tipos de pruebas realizadas al producto
de software antes de su certificación, tomando datos ficticios como datos de prueba.
Las actividades que intervienen en la ejecución de pruebas de acreditación son las
siguientes:
i. Citar al usuario experto a las pruebas en el ambiente de certificación, por medio de un
correo electrónico, consignando la fecha, hora y lugar.
82
ii. Citar al personal (*) Finanzas y Contabilidad y el Coordinador Riesgos, que haya
participado en el proceso de desarrollo de software, por medio de un correo
electrónico, consignando la fecha, hora y lugar.
iii. Ejecutar las pruebas de acreditación con el usuario experto.
iv. Redactar los documentos de: Resultado de Pruebas y Revisión Conjunta con los
resultados obtenidos de las pruebas. Además, se elabora el documento de encuesta
para la firma del usuario experto.
v. Aprobar el producto software por medio de la firma de los documentos señalados en
el punto anterior.
vi. En caso de éxito durante las pruebas, se procede con las actividades de pase a
producción, en caso contrario, se cuenta con un ciclo de pruebas adicional y se
evalúa su devolución a la (*) Coordinador Desarrollo de Sistemas
8.2.6. Actividades de Pase a Producción
a) Solicitar el despliegue del ambiente de Certificación a Producción, para lo cual, la Sec.

Calidad de Soluciones deberá:
i. Recibir los documentos firmados por (*) los responsables que solicitaron el desarrollo
y/o mantenimiento del producto software.
ii. Certificar el producto software y autorizar el despliegue del mismo en el ambiente de
producción a través de la herramienta de administración de pases a producción
definida por (*) Coordinador Informática.
iii. Dependiendo del impacto que pudiera tener el producto software en el(los) servicio(s)
de la VUCE se deberán realizar reuniones de coordinación para el despliegue en
Producción entre los involucrados (*) Coordinador de Informática para definir el
momento óptimo del pase a producción.
8.2.7. Actividades de Seguimiento y Control
a) Se realizará el seguimiento inicial a los productos desplegados en el ambiente de

producción en coordinación con los usuarios con el fin de identificar si se han presentado
inconvenientes o incidencias en el ambiente de producción.
Las actividades que intervienen en el seguimiento y control del producto software
certificados son las siguientes:
i. Cada analista de Calidad deberá comunicarse con los usuarios involucrados en las
pruebas realizadas, con el fin de identificar algún fallo durante la ejecución de sus
actividades correspondientes al mantenimiento probado en el ambiente de
certificación.
ii. De existir incidencias se informa a la (*) Gestión de Servicios de Tecnología de
Información para la atención inmediata. Así mismo, toda incidencia se registra en el
documento de seguimiento de pruebas.
8.3. PROCESO DE OPERACIÓN DE SOFTWARE
8.3.1. Pruebas de Operación
a) La Sección Operaciones y Control de Plataforma, realizará procedimientos conjuntos de

revisión con la Sección Calidad de Soluciones, (*) Coordinador Aseguramiento y Calidad y
el área de negocio solicitante para asegurar que los requerimientos capturados se
encuentran trasladados efectivamente a los elementos de software.
i. La Sección Operaciones y Control de Plataformas deberá monitorear y registrar los
eventos de los canales de atención
8.3.2. Operación del Sistema

83
a) Operar el Sistema, verificando que las actividades descritas en el manual de operaciones
garanticen la adecuada respuesta según los requerimientos establecidos. La (*)
i. Brindar entrenamiento al personal de la Sección Operaciones y Control de
Plataformas, para esto se estimarán los recursos requeridos, se preparará el
cronograma y definirá los riesgos asociados.
i. Como producto de la implementación del nuevo software, deberá indicar el
tratamiento a la información resultante que permitirá a la Sección Operaciones y
Control de Plataformas desarrollar procedimientos parar trasladar los datos de
manera efectiva a los niveles de almacenamiento adecuados a medida que su estado
cambie.
La Sección Operaciones y Control de Plataformas deberá:
ii. Monitorear el rendimiento de procesos, cumpliendo para esto con lo especificado en
el manual de operaciones, identificar procesos de cómputo y métricas que evalúen
rendimiento y solicitar una evaluación de procesos cuando se requiera.
8.3.3. Soporte al Usuario
a) Establecer mecanismos para proporcionar soporte de primer nivel de incidentes que se

pudieran presentar en el ambiente de Producción a través de la (*) Gestión de Servicios
de Tecnologías de información de las Operaciones de Tecnología de Información.
i. La (*) Infraestructura y Comunicaciones deberá brindar soporte a la infraestructura
tecnológica necesaria para el soporte de primer nivel.
i. Medir la satisfacción del usuario final respecto a la calidad de Soporte a Usuario y de
los servicios de T.I.
ii. Establecer la función de Soporte a Usuario, para registrar, comunicar, atender y
analizar todas las llamadas, incidentes, reportados, requerimientos de servicio y
solicitudes de información.
iv. Garantizar que la asignación de incidentes y su monitoreo permanecen en la (*)
Servicios de Tecnologías de Información., independientemente de que grupo de TI
este trabajando en las actividades de resolución.
v. Identificar tendencias de problemas recurrentes de forma que el servicio pueda
mejorarse de forma continua.
8.4. PROCESO DE MANTENIMIENTO DE SOFTWARE
8.4.1. Análisis del problema o Planteamiento de la modificación
a) Analizar el Problema o Planteamiento de la modificación, mediante la determinación de los

costos y el impacto en el cambio de software. La (*) Coordinador Desarrollo de Sistemas
deberá:
i. Efectuar una evaluación del impacto, para lo cual verificará el problema, identificará
los elementos impactados y los riesgos asociados.
i. Realizar un análisis de costos de efectuarse el cambio, evaluando su factibilidad.
ii. Realizar el planeamiento de la ejecución y mantenimiento, estimando los recursos
requeridos y programar el cronograma de trabajo.
8.4.2. Implementación de las Modificaciones
a) Implementar la modificación, para lo cual el plan y cronograma de mantenimiento se

deberán realizar una vez determinado los problemas y la necesidad de las modificaciones.
8.4.3. Revisión y Aceptación del Mantenimiento

84
a) Revisar y aceptar del mantenimiento, llevando a cabo actividades conjuntas para asegurar
que los requerimientos hayan sido trasladados de manera efectiva a aquellos elementos
del software no afectados por esta petición, de acuerdo al proceso de Certificación de
Software.
9. RESPONSABILIDADES
9.1. (*) Coordinador de Informática

Administrar el Ciclo de Vida de Software asociado a los proyectos de tecnología de información
de la VUCE, así como proponer actualizaciones a la metodología implementada.
9.2. (*) Proyectos e Innovación

Asegurar el cumplimiento de la norma, metodología y estándares propuestos en el Ciclo de Vida
de Software aplicados a los proyectos de tecnologías de información.
9.3. (*) Desarrollo de Sistemas

Implementar los procesos principales de desarrollo y mantenimiento que normen el Ciclo de Vida
de Software, así como aplicar las metodologías, estándares y/o técnicas que se indiquen.
9.4. (*) Infraestructura y Comunicaciones

Validar los componentes necesarios para la implementación del diseño arquitectónico y bases de
datos propuestos por la (*) Desarrollo de Sistemas
9.5. (*) Operaciones de Tecnología de Información

Implementar y desplegar, el producto software con su documentación requerida en el ambiente
de producción de acuerdo a la metodología y estándares establecidos.
Calidad de Soluciones
Implementar, probar, validar y desplegar el producto software con su documentación requerida
en el ambiente de certificación de acuerdo a la metodología y estándares establecidos.
9.7. (*) Coordinador de Riesgos
9.7.1. (*) Riesgos de Operación y Tecnología

Apoyar y asistir (*) Informática a realizar una adecuada identificación y evaluación de
riesgos en los procesos de Ciclo de Vida del Software, así como en el seguimiento a la
implementación de planes de acción para reducir los riesgos fuera de los niveles aceptados,
de acuerdo a la metodología de la Gestión de Riesgo Operacional.
9.7.2. Seguridad Informática

Definir los lineamientos respecto a la seguridad informática que permita una guía para
establecer los controles hacia la información garantizando la disponibilidad, integridad y
confidencialidad de esta. Deberá brindar asesoría a las áreas pertinentes para definir
controles no cubiertos en su lineamiento. Adicionalmente participar en coordinación con (*)
Informática asegurando el cumplimiento de los requisitos y controles a implementar.

85
86
5.6. Anexo 6: Modelo del Sistema de Calidad VUCE
RECURSOS
Generalidades
La DVUCEPT determina, asigna y proporciona los recursos necesarios (bienes y servicios) para el
establecimiento, implementación, mantenimiento y mejora continua del SGC, para la ejecución de las
actividades programadas. Dichos recursos son determinados mediante la formulación del Plan
Operativo Institucional (POI) del año respectivo, y valorización del cuadro de necesidades, por el cual
se elaboran los Términos de Referencia o especificaciones técnicas de los bienes y servicios
requeridos por los Coordinadores de Línea respectivos, los cuales son revisados y aprobados por la
DVUCEPT y por la DGFCE según corresponda. Considerándose las capacidades y limitaciones de
los recursos existentes y lo que se necesita obtener de los proveedores externos.
El Gestor de Contrataciones de la VUCE, coordina con los Coordinadores de línea, la DVUCEPT, la

DGFCE y la OGA (Oficina General de Administración) la contratación de bienes y servicios
requeridos según los Términos de Referencia o especificaciones técnicas aprobadas por el Director
de la DVUCEPT para el cumplimiento de objetivos y metas del SGC, según el procedimiento
“DVUCEPT.18, Gestión de Adquisiciones de Bienes y Servicios”.
Personas
La Dirección determina y proporciona las personas necesarias para la implementación eficaz del
SGC, para la operación y control de los procesos. Dichas personas han sido organizadas en los
puestos definidos según el organigrama de la VUCE contenidos en el Manual “DVUCEPT.19.RE.063,
Perfiles de Puesto” o mediante los criterios de evaluación, para aquellos trabajos que afectan
directamente a la calidad del producto o servicio. Estos documentos, se han establecido teniendo en
cuenta los requisitos mínimos de educación, formación, habilidades y experiencia requerida para el
puesto.
El Gestor de Contrataciones coordina con los Coordinadores de Línea, Director DVUCEPT, DGFCE y
la OGA la contratación de los recursos humanos requeridos según el procedimiento “DVUCEPT.19,
Contratación Administrativa de Servicios CAS”, asegurando que sean competentes para lo solicitado.
Infraestructura
La DVUCEPT ha determinado, proporciona y mantener la infraestructura necesaria para la operación
de los procesos y lograr la conformidad de los productos y servicios.
La infraestructura incluye:
 Edificio central de la DVUCEPT y servicios asociados (1er piso).
 Equipos informáticos (hardware, software).
 Tecnologías de la Información y la Comunicación
 Recursos de transporte.
Requerimientos mínimos de infraestructura para el funcionamiento de la VUCE:
a.1. Hardware
 Servidores físicos de virtualización tipo Blade limitado por storage
 Servidores de base de datos tipo Blade limitado por storage
 Servidores de producción web y de aplicaciones con un sistema operativo tipo Red Hat
Enterprise Linux X86-64
 Servidores de notificaciones y de correo
 Servidores de desarrollo y test.
 Equipo de almacenamiento de datos tipo storage.
 Equipos de comunicaciones con firewall y switch tipo Core y LAN y router internet CISCO y
de enlace dedicado
87
 Línea de internet con ancho de banda que garantice la comunicación con las entidades.
a.2. Software
 Sistema Operativo Red Hat
 Oracle RAC 11g
 Basic Support/Subscription for vCenter Server
 Basic Support/Subscription VMware vSphere
 Basic Subscription for VMware vFabric SuiteWindows 8.1
 Microsoft Office Professional 2010
La DVUCEPT subcontrata los servicios asociados de Mesa de Ayuda (MDA) y servicios de

administración de la infraestructura. El desarrollo de estas actividades se realizará de acuerdo con
los Términos de Referencia y los contratos suscritos de prestación del servicio. Para dichos casos se
cuenta con los procedimientos “DVUCEPT.15, Mesa de Ayuda” y “DVUCEPT.17, Infraestructura”,
respectivamente.
Para acceder a los servicios de la Plataforma Tecnológica de la VUCE los usuarios deberán contar
con los siguientes requisitos mínimos de hardware y software:
 Intel Pentium IV
 4GB de RAM
 1GB de espacio libre en disco
 Windows XP Service Pack 2+
 Internet Explorer 7.0, Firefox 3.0, Google Chrome 3.0, Safari 4.0
Ambiente para la operación de los procesos

La Dirección determina, proporciona y mantiene el ambiente de trabajo necesario para la operación
de sus procesos para lograr la conformidad de los productos y servicios. Un ambiente adecuado,
tranquilo (oficina) y un mobiliario adecuado, donde se prohíbe toda forma de discriminación y libre de
conflictos. Asimismo, reúne las condiciones físicas de temperatura adecuada, iluminación,
ventilación, humedad, higiene y ruido para la adecuada operación de los procesos.
Recursos de seguimiento y medición
a.1 Generalidades
La Dirección determina y proporciona los recursos necesarios para asegurar la validez y fiabilidad de
los resultados cuando se realice el seguimiento o la medición para verificar la conformidad de los
productos y servicios.
La Dirección asigna a cada Coordinador de Línea la responsabilidad de la supervisión, monitoreo,
seguimiento periódico del desempeño de los procesos que son responsables, a través de los
indicadores de los procesos, asimismo cada responsable de proceso se encarga de la medición de
sus respectivos indicadores de acuerdo a la ficha del indicador del proceso.
Se mantiene la información documentada apropiada como evidencia que los recursos de seguimiento
y medición sean idóneos para su propósito.
a.2 Trazabilidad de las mediciones

Se verifica la trazabilidad de las mediciones realizadas anualmente por los equipos de medición,
conservándose como información documentada para tal fin, la base de datos o reporte utilizado para
la verificación, debiendo identificarse la fuente de información, la fecha de reporte y el responsable de
su elaboración, a fin de determinar su estado y proteger contra manipulaciones, ajustes, daño o
deterioro que pudieran invalidar los resultados de la medición.
Asimismo, en caso de la validez de los resultados de medición se hayan visto afectada de manera
adversa y se consideren no aptos para su propósito previsto se realizarán las acciones de revisión,
verificación y validación.

88
Conocimiento de la organización
La organización ha determinado los conocimientos específicos (propiedad intelectual, experiencia no
documentada, mejoras en los procesos, normas, conferencias, entrevistas, reuniones, charlas,
acuerdos, recopilación de conocimientos provenientes de proveedores, administrados, usuarios,
stakeholder, involucrados, comisión especial).
Estos conocimientos se mantienen, se actualizan y se ponen a disposición mediante el registro de las

lecciones aprendidas disponible en la ruta compartida del SGC, las mismas que se utilizan,
comparten para lograr los objetivos del SGC. Asimismo, se cuenta con el registro de la Lista Maestra
que contiene información de la documentación del SGC clasificado según documentos externos
(normativa), internos (manuales, procedimientos, instructivos, registros).
Competencia
La DVUCEPT determina la competencia del personal que realizan según su control, un trabajo que
afecta al desempeño y eficacia del SGC, basándose en la educación, formación, experiencia
apropiada contenida en el registro “DVUCEPT.19.RE.63, Perfiles de Puestos” asimismo, ha
establecido el procedimiento “DVUCEPT.20, Capacitación de Personal”, para la determinación de las
necesidades de capacitación y entrenamiento, el mejoramiento de dichas competencias que estén
orientadas al logro de los Objetivos de la Calidad.
Asimismo, se ha establecido el mecanismo de evaluación de la eficacia de la capacitación para

asegurar la mejora de las competencias del personal, así como del cumplimiento de la política y logro
de los objetivos de la calidad.
Se mantiene los requisitos mínimos requeridos del Perfil de Puestos en el f ile de Datos Personales
que contiene las copias de las constancias, certificados, documentos que evidencian el cumplimiento
de los requisitos de educación, formación y experiencia requerida para el personal de la DVUCEPT.
Toma de conciencia
Mediante la difusión del presente Manual de la Calidad y del Manual del Perfil de Puesto, a todo el
personal del SGC y su disposición en la ruta compartida, que contiene los perfiles de puesto del
SGC, se asegura que el personal sea consciente de la importancia de la política, de los objetivos de
la calidad pertinentes, el alineamiento a los procesos del SGC y de su contribución mediante el
desempeño de las funciones en los puestos y roles del SGC, asimismo en las acciones, actividades
programadas al logro de la eficacia de los procesos del SGC y el logro de beneficios de la mejora de
su desempeño, también mediante la realización de charlas de sensibilización o capacitación del
SGC, se refuerzan dichos aspectos y se conoce las implicancias del incumplimiento de los requisitos
del SGC mediante la realización de las auditorías periódicas al SGC.
Comunicación
La DVUCEPT propicia la comunicación interna entre los diferentes niveles de la organización con
respecto al SGC y su efectividad. Esta comunicación incide principalmente en:
a. El cumplimiento de la política y de los objetivos de la calidad.
b. El estado del desempeño de los procesos.
c. La satisfacción de los clientes.
d. Los cambios y mejoras del SGC.
5.7. Anexo 7: Información Documentada

Para documentar el SGC la DVUCEPT ha tomado en cuenta la información requerida por la ISO
9001:2015, así como la información determinada como necesaria para la eficacia del SGC, la
extensión de la información documentada ha sido definida de acuerdo a su tamaño y tipo de
actividades, procesos, productos, servicios, la complejidad e interacción de sus procesos, así como
las competencias de su personal.

89
La estructura y contenido de los documentos del SGC se encuentra en el Instructivo
“DVUCEPT.00.01, Elaborar y Estandarizar Procedimientos o Instructivos” y el formato es solo
referencial.
Los documentos del SGC están jerarquizados y clasificados según la estructura general que se
muestra en el gráfico N° 5: Los documentos internos están conformados por: Manuales,
procedimientos, instructivos y registros.
Estructura de la Documentación del SGC-VUCE
Los Procedimientos documentados establecidos para el SGC se incluyen en el registro

“DVUCEPT.04.RE.08 Lista Maestra de Documentos”.
Creación y actualización
Para crear y actualizar la información documentada, la organización se asegura que sea el apropiado
y sea elaborado de acuerdo al instructivo: “DVUCEPT.00.01, Elaborar y Estandarizar Procedimientos
o Instructivos” y que contemplan:
a. La identificación y descripción de la información documentada (título, fecha, autor, versión o
número de referencia).
b. El formato (idioma, versión del software, gráficos) y los medios de soporte (papel,
electrónico).
c. La revisión y aprobación respecto de la conveniencia y adecuación, sea realizada por los
responsables de los procesos y la DVUCEPT.
Para el control de la información documentada, se abordan las siguientes actividades, según

corresponda.
a. La distribución de la información documentada es realiza por los responsables de cada proceso

según corresponda vía electrónica (email) o en forma física, según sea requerido por las
personas autorizadas que deben tener la información, la recuperación se realiza mediante el
acceso en el caso que sea necesario a las copias de seguridad almacenadas periódicamente
indicadas en el procedimiento “DVUCEPT.03, Control de Documentos y Registros”.
b. El almacenamiento de la información documentada se realiza en la ruta indicada en la “Lista

Maestra de Documentos y Registros”, la preservación se indica en el procedimiento de
“DVUCEPT.03, Control de Documentos y Registros”, esta se realiza por 5 años como mínimo y
que es mantenida legiblemente durante dicho periodo.
c. El control de cambios se realiza identificando y registrando los cambios en el respectivo

documento en elaboración o modificación en el formato, estableciendo el cambio realizado y el
que aprueba el cambio. Las versiones serán actualizadas siempre en cuando haya cambios

90
significativos, las mismas que serán autorizadas por la Dirección.
d. La conservación de los documentos será de acuerdo a lo indicado en el procedimiento de

“DVUCEPT.03, Control de Documentos y Registros”, esta se almacenará en las respectivas
rutas de acceso indicadas en la “Lista Maestra de Documentos”, para la documentación
electrónica y la documentación física se almacenará en los respectivos archiveros de la
DVUCEPT, resguardada por los respectivos responsables de proceso. La información
documentada vigente y oficial se encontrará disponible a los integrantes del SGC en la ruta
compartida.
La información documentada de origen externo, necesaria para la planificación y la operación del

SGC se identifica y controla mediante la “Lista Maestra de Documentos”.
La información documentada que se conserva como evidencias de la conformidad con los requisitos
establecidos (registros de calidad) permanecen legibles, fácilmente identificables y recuperables de
acuerdo al procedimiento “DVUCEPT.03 Control de Documentos y Registros”, este se protege contra
modificaciones no intencionadas, almacenándola en una carpeta restringida a la cual se tiene acceso
únicamente por el área de calidad.
5.8. Anexo 8: Operación

Servicio de Diseño, desarrollo e Implementación de procedimientos de entidades o sus
modificaciones a la plataforma tecnológica de la VUCE.
La DVUCEPT planifica la realización del producto mediante la identificación y desarrollo de los

macroprocesos necesarios para su realización (Dirección, Gestión de la Calidad, Análisis, Diseño y
Desarrollo de Software, Gestión de Operaciones, Gestión Administrativa), identificando su interacción
mediante el gráfico N.º 3 Mapa de procesos de la VUCE y su documentación descrita en el “Manual
de Procesos y Procedimientos” de la VUCE y las fichas de proceso de Nivel 1.
Mediante el gráfico Nº4 se visualiza el proceso productivo de elaboración de aplicativos de software,

con las entradas y salidas de cada proceso, los cuales se complementan con las fichas de proceso
de Nivel Uno. Seguidamente la documentación de los procesos se ha realizado hasta un segundo
nivel N2, llegando a documentar hasta el nivel de procedimientos.
La DVUCEPT determina los requisitos requeridos por el cliente mediante los procedimientos
“DVUCEPT.08, Análisis Funcional” y los requisitos legales y reglamentarios aplicables, se cuenta con
los procedimientos que detallan el diseño, desarrollo, implementación de software: “DVUCEPT.08,
Análisis Funcional”, “DVUCEPT.09, Análisis Técnico”, “DVUCEPT.10, Codificación”, “DVUCEPT.11,
Pruebas”, “DVUCEPT.12, Certificación”, “DVUCEPT.13, Despliegue”.

91
Servicio de Mesa de ayuda y monitoreo, gestión de cambios y gestión de incidentes a la
infraestructura de la ventanilla única de comercio exterior
La Planificación de la realización de los Servicios de la VUCE se ha desarrollado mediante la

identificación y diseño de procesos basados en la Gestión del Servicio mostrado en el gráfico N.º 7,
(Estrategia, Diseño, Transición, Operación, Mejora Continua), todos los procesos en conjunto están
alineados hacia la mejora continua del servicio, según el ciclo PDCA de Deming (Planear, hacer,
verificar, actuar) y según los requisitos establecidos en los Términos de Referencia y el Contrato
Suscrito.

92
Gestión del servicio de la VUCE
Asimismo, la DVUCEPT planifica, implementa y controla los procesos necesarios para cumplir los
requisitos para la provisión de productos y servicios de acuerdo a lo indicado en el Manual de
“Procesos y Procedimientos” del SGC y para implementar las acciones determinadas en la matriz de
riesgos y oportunidades identificadas, que cumple con:
 La determinación de los requisitos para los productos y servicios mediante las fichas de
caracterización de los productos y servicios realizados.
 El establecimiento de criterios para los procesos incluidos en los procedimientos del SGC y
criterios para la aceptación de los productos y servicios establecidos en las fichas de
caracterización de los productos y servicios realizados.
 La determinación de los recursos necesarios para lograr la conformidad con los requisitos
de los productos y servicios mediante la formulación del POI y el cuadro de necesidades de
bienes y servicios.
 La implementación del control de los procesos de acuerdo con los criterios establecidos en
el Manual de Procesos o en los procedimientos del SGC, a través de los indicadores
establecidos para su control.
 La determinación, mantenimiento y conservación de la información documentada en la
extensión necesaria
 La salida de esta planificación es adecuada para las operaciones de la organización.
 Los Coordinadores de línea en coordinación con los responsables de proceso, controlan los
cambios planificados y revisa las consecuencias de los cambios no previstos, tomando
acciones para mitigar cualquier efecto adverso, según sea necesario. Asimismo, se
aseguran de que los procesos contratados externamente estén controlados.
Comunicación con los Clientes

La DVUCEPT establece las disposiciones necesarias para lograr una comunicación eficaz con sus
clientes, que incluye: información a los servicios brindados que es ofrecida mediante su página web
www.vuce.gob.pe. La atención de las quejas descrito en el procedimiento “DVUCEPT.15, Mesa de
Ayuda”. A un primer nivel de atención a través de la mesa de ayuda VUCE, mediante correo
93
electrónico a vuceayuda@mincetur.gob.pe y llamadas telefónicas a los Números: 207-1510/7134646,
la atención de consultas también podría incluir una atención por chat. A un segundo nivel de atención
se realiza la atención por el personal de operaciones de la VUCE. A un tercer nivel a través de las
entidades según los lineamientos descritos en el procedimiento “DVUCEPT.15, Mesa de Ayuda”. El
servicio de Mesa de Ayuda incluye la retroalimentación del cliente brindando información al estado de
su queja o reclamación, así como toda la asesoría respectiva para ayudar a los administrados a
realizar sus trámites y permisos vinculados al comercio exterior a través de la VUCE.
Existe implementado el procedimiento “DVUCEPT.14, Gestión de Capacitación a Usuarios” donde la

mesa de ayuda puede inscribirse en las capacitaciones brindadas periódicamente para el mejor uso
de la plataforma VUCE en la realización de los trámites de comercio exterior requeridos por los
clientes.
Determinación de los requisitos para los productos y servicios

La DVUCEPT determina los requisitos para sus productos y servicios que ofrece, sobre la base de
los requisitos especificados por sus clientes (usuarios, administrados) especificados en el
procedimiento de “DVUCEPT.08, Análisis Funcional”, que incluye los requisitos legales y
reglamentarios aplicables. Asimismo, cada responsable de proceso determina los requisitos de
entrada para su proceso que son necesarios y exigibles para sus procesos proveedores, las mismas
que están documentadas en las fichas de caracterización de cada proceso, asegurándose su
cumplimiento.
Asimismo, el Excel de mapeo técnico contiene los criterios de aceptación del producto o software
desarrollado, indicando sus características esenciales para su uso seguro y correcto según el
procedimiento “DVUCEPT.10, Codificación”.
Revisión de los requisitos para los productos y servicios

Durante la ejecución de los procedimientos que se realizan en el proceso de Diseño y Desarrollo
(Análisis Funcional, Análisis Técnico, Codificación), cada responsable de proceso asegura de cumplir
con:
 Tener la capacidad de cumplir los requisitos para los productos y servicios que van a ofrecer
a los clientes (usuario, administrado), antes de comprometerse a suministrar los productos y
servicios, incluyendo los requisitos para las actividades de entrega y las posteriores a las
mismas.
 Los requisitos no establecidos por el cliente, pero necesarios para el uso especificado o
previsto.
 Los requisitos especificados por la organización.
 Los requisitos legales y reglamentarios aplicables a los productos y servicios.
 Las diferencias existentes entre los requisitos del contrato o pedido y los expresados
previamente.
 La DVUCEPT se asegura que se resuelva las diferencias existentes entre los requisitos
establecidos en el mapeo funcional, contrato o pedido y los expresados previamente.
 La DVUCEPT confirma los requisitos del cliente (usuarios, administrados) antes de la
aceptación, cuando el cliente no proporcione una declaración documentada de sus
requisitos.
Los responsables de cada proceso conservan información documentada cuando sea aplicable a los
resultados de la revisión realizada y a cualquier requisito nuevo para los productos y servicios.
Cambios en los requisitos para los productos y servicios

Cuando los requisitos de los productos y servicios son modificados según lo indicado en el
procedimiento “DVUCEPT.08 Análisis Funcional”, se verifica que la información documentada
pertinente a estos cambios sea modificada y que el personal sea consciente de los requisitos

94
modificados y ejecute los cambios realizados según lo indicado en los procedimientos de
“DVUCEPT.09, Análisis Técnico” y “DVUCEPT.10 Codificación”.
Diseño y desarrollo de los productos y servicios.

El Coordinador Técnico establece, implementa y mantiene el proceso de diseño y desarrollo el
adecuado y su posterior provisión de productos y servicios.
Planificación del Diseño y Desarrollo

Durante la Planificación del Diseño y Desarrollo, el Coordinador Técnico de la DVUCEPT revisa, la
planificación y programación de actividades del año y elabora el plan del diseño y desarrollo de los
procesos de: Análisis Funcional, Análisis Técnico, Codificación, Pruebas, Certificación, Despliegue,
asimismo revisa, valida y formula en coordinación con los responsables de proceso los Planes de
trabajo para el Diseño y Desarrollo y lo registra en el (Excel de Fábrica VUCE), definiendo
responsables de su ejecución, las etapas del proceso requeridas, las revisiones del diseño y
desarrollo aplicables, las actividades de verificación requeridas y la validación del diseño y desarrollo,
así como las responsabilidades y autoridades involucradas en el proceso de diseño y desarrollo, las
necesidades de recursos internos y externos para el diseño y desarrollo de los productos y servicios,
los controles para el diseño y desarrollo, controles de interfaces entre las personas que participan
activamente en el diseño y desarrollo, la necesidad de participación activa de los clientes (usuarios,
administrados), los requisitos para la posterior provisión de productos y servicios, el nivel de control
del proceso de diseño y desarrollo esperado por los clientes y otras partes interesadas pertinentes, la
información documentada necesaria para demostrar que se han cumplido los requisitos del diseño y
desarrollo, asimismo estima las fechas de realización de las actividades. Para determinar dicha
planificación considera la naturaleza, duración y complejidad de las actividades de diseño y
desarrollo.
Entradas para el Diseño y Desarrollo

El Coordinador Técnico en coordinación con los responsables de cada proceso de diseño y
desarrollo han determinado los requisitos esenciales para los tipos específicos de productos y
servicios a diseñar y desarrollar.
Entre ellos tenemos:
a. El documento de inicio de la incorporación del TUPA o requerimiento de desarrollo de la
autoridad administrativa recibida por algún medio de comunicación.
b. Excel de Mapeo Funcional.
c. Los requisitos funcionales y de desempeño.
d. La información proveniente de actividades previas de diseño y desarrollo similares.
e. Los requisitos legales y reglamentarios aplicables.
f. Normas o códigos de buenas prácticas que la organización se ha comprometido a
implementar.
g. Las consecuencias potenciales de fallar debido a la naturaleza de los productos y servicios.
h. Solicitud de cambio de desarrollo.
Las entradas son adecuadas para los fines del diseño y desarrollo, están completas y sin
ambigüedades.
Los controles aplicados para el diseño y desarrollo son:

Revisiones del diseño y desarrollo para evaluar la capacidad de los resultados para cumplir los
requisitos.
Estas revisiones son sistemáticas, orientadas a evaluar, si los resultados cumplen con lo establecido
y a la vez permiten identificar problemas entonces se plantea soluciones pertinentes y oportunas con
la revisión de las actividades del diseño y desarrollo en cada proceso, desde el Análisis Funcional,
Análisis Técnico, Codificación, mediante las revisiones de actas, mapeos técnicos, pruebas unitarias,
los mismos que se precisan en sus respectivos procedimientos.

95
a. Verificaciones del diseño y desarrollo para asegurar que las salidas cumplan los requisitos
de entrada y lo planificado descritas en el procedimiento de “DVUCEPT.11, Pruebas”.
b. Validaciones del diseño y desarrollo para asegurarse que los productos y servicios
resultantes satisfagan los requisitos para su aplicación especificadas o uso previsto. Estas
se realiza con los evaluadores de cada autoridad administrativa, validando que el software o
aplicativo desarrollado en cumplimiento de los requisitos planificados y acordados para su
uso previsto o aplicación detallados en el Excel de Mapeo Técnico, suscribiendo el acta de
certificación correspondiente según procedimiento “DVUCEPT.12, Certificación”, siendo esto
un requisito para la aprobación de la Resolución Ministerial del MINCETUR donde se
autoriza el ingreso a la VUCE de los correspondientes procedimientos de las entidades de
control realizando posteriormente su implementación y puesta en producción mediante el
procedimiento “DVUCEPT.13, Despliegue”.
c. Acciones necesarias a problemas determinados durante las revisiones, verificaciones,
validaciones.
d. Información documentada de las actividades.
Salidas del Diseño y Desarrollo

Las salidas del diseño y desarrollo son:
 Los componentes de la aplicación web desarrollada (tablas maestras BD, procedimientos
almacenados, consultas, interfaces gráficas, servicios)
 Excel de mapeo funcional, Excel de mapeo técnico
Estas salidas cumplen los requisitos de los elementos de entrada para los procesos del “diseño y
desarrollo” y son adecuadas para los procesos posteriores de producción y provisión del servicio
realizados mediante “DVUCEPT.12 Certificación”, “DVUCEPT.13 Despliegue” y “DVUCEPT.14
Operación”). Asimismo, estos procesos hacen referencia al seguimiento y medición, propio de cada
proceso mediante el establecimiento de sus indicadores de gestión por proceso y al cumplimiento de
los criterios de aceptación para los productos, definidos en sus procedimientos. Se mantiene
información documentada sobre las salidas del diseño y desarrollo.
Tipo y alcance del control

La organización se asegura que los procesos suministrados externamente permanecen dentro del
control de su SGC.
Información para los proveedores externos.

El coordinador de línea respectivo se asegura de los requisitos requeridos antes de su comunicación
al proveedor externo, mediante la elaboración de los Términos de Referencia y gestión de su
aprobación, la cual es comunicada al proveedor seleccionado, el cual debe contener los requisitos
para los procesos, productos y servicios a proporcionar al proveedor. Así como requisitos para la
aprobación de productos y servicios, métodos, procesos, equipos, liberación de los productos y
servicios, competencias del personal, interacciones con el proveedor y la organización, el control y
seguimiento del desempeño del proveedor externo, las actividades de verificación y validación a
llevarse a cabo en las instalaciones del proveedor externo.
Control de la producción y de la provisión del servicio

96
Las condiciones controladas comprenden lo siguiente para cada servicio:
a. La disponibilidad de información documentada que define las características del producto y
servicio brindado disponible en la página web de la VUCE, así como de las actividades a
desempeñar y los resultados esperados. El acceso y disponibilidad de los procedimientos e
instructivos de trabajo accesibles en la ruta del SGC que se encuentra registrada en la “Lista
Maestra de Documentos”.
b. La disponibilidad y uso de los recursos de seguimiento y medición adecuados. Estos
recursos se dan mediante el acceso al archivo compartido del Excel de Fábrica VUCE
(Google drive), donde están contenidos los registros de las fechas de ingreso y término de
cada una de las fases o procesos del diseño y desarrollo, implementación, para verificar que
se cumplen los criterios de control de los procesos, sus salidas y los criterios de aceptación
de los productos y servicios.
c. La implementación de actividades de seguimiento y medición en las etapas apropiadas de
cada proceso, para verificar que se cumplan los criterios para el control de los procesos o
sus salidas y los criterios de aceptación para los productos y servicios.
d. El uso de infraestructura y equipamiento apropiado, entorno adecuado para la operación de
los procesos descrito en el punto 7.1.3 Infraestructura del presente manual.
e. La designación de personas competentes, incluyendo cualquier calificación requerida,
descrita en los perfiles de puesto respectivos.
f. La implementación de acciones preventivas de errores humanos registradas en las
lecciones aprendidas.
g. La implementación de actividades de liberación, entrega, descrito en el procedimiento
“DVUCEPT.13, Despliegue”, que se realiza posteriormente a la Certificación del producto
ante el cliente según el procedimiento “DVUCEPT.12, Certificación”.
h. Para el caso del servicio de Mesa de Ayuda y monitoreo, gestión de cambios y gestión de
incidentes de los servicios y la infraestructura de la VUCE, este se realiza mediante el
seguimiento de los indicadores del cumplimiento.
La validación y revalidación periódica de la capacidad para alcanzar los resultados planificados en los
procesos de producción y de prestación del servicio, cuando las salidas resultantes no puedan
verificarse mediante actividades de seguimiento o mediciones posteriores se detallan a continuación
para cada servicio:
 Servicio de diseño, desarrollo e Implementación de software: Para la incorporación de
procedimientos de entidades a la VUCE mediante el diseño y desarrollo de software, se
realiza la validación antes de su puesta en producción mediante los procesos de pruebas y
Certificación donde se realiza una simulación del funcionamiento del software desarrollado
para la detección y corrección de errores antes de su liberación y operación por los usuarios
de la VUCE.
 Servicio de Mesa de Ayuda: Se valida el servicio por medio de una evaluación del personal
ingresante como operador de la Mesa de Ayuda, asimismo mediante la aprobación del acta
de conformidad, según “DVUCEPT.18 Gestión de Adquisiciones de Bienes y Servicios” y
según Directiva N.º 04-2014-MINCETUR/SG procedimiento para emitir conformidad de las
prestaciones contratadas por el MINCETUR, además de realizar visitas inopinadas al local
del proveedor de ser necesario, la DVUCEPT asegurará en lo posible que las características
del servicio brindado, sean según los requisitos contractuales establecidos y realizando
coordinaciones continuas. Se monitoreará el servicio según los procedimientos e instructivos
de Mesa de Ayuda.
 Servicio de Capacitación a usuarios: Se valida el Servicio mediante una evaluación al
expositor, el empleo de los equipos requeridos durante la capacitación.
Identificación y Trazabilidad
En el Servicio de Diseño, desarrollo e Implementación de software o incorporación de procedimientos

de entidades a la VUCE, se asigna el código del formato en relación con el N.º del TUPA de la
autoridad administrativa. Asimismo, las conformidades de los productos y de los servicios se
97
identifican y registran mediante el proceso de Certificación (Incorporación de formatos de
procedimientos de comercio exterior) y el Análisis Funcional para las solicitudes de cambios
realizados a los procedimientos de comercio exterior. En ambos casos las salidas se identifican con
el código del formato para asegurar la conformidad de los productos y servicios y su estado con
respecto a los requisitos de seguimiento y medición a través de la producción y prestación de los
servicios. Se mantiene la información documentada necesaria para permitir la trazabilidad.
En el servicio de Mesa de Ayuda (MDA), se asigna un ticket con un ID de solicitud con una
numeración correlativa a las solicitudes presentadas por los administrados, los mismos que permiten
indicar el número de solicitud única de comercio exterior (SUCE) de los trámites realizados en la
VUCE, siendo este número el que permite identificar, ubicar y realizar el seguimiento de trazabilidad
en los sistemas de la entidad contra los tickets presentados de mesa de ayuda.
Propiedad perteneciente a los Clientes o proveedores externos.

Este requisito se aplica a la información del cliente (administrados o usuarios o proveedores
externos) registrada en los sistemas de la VUCE. La privacidad en el uso de esta información del
cliente es verificada y protegida por la DVUCEPT mediante los controles de acceso implementados a
los Sistemas de Información de la VUCE mediante empleo de roles de usuarios de acceso y
contraseñas de seguridad que se cambian periódicamente.
Preservación
La DVUCEPT preserva las salidas durante la producción y prestación del servicio, para asegurar la
conformidad con los requisitos, durante el desarrollo de los procesos internos y su entrega final, esta
preservación incluye su adecuada identificación, manipulación, almacenamiento, transmisión de la
información, transferencia y protección al producto y se aplica también a las partes constitutivas del
producto o servicio realizando copias de seguridad o backups a la información, protegiendo de
infiltraciones mediante el uso de antivirus, firewall, contando con programas repositorios en
ambientes preservados, haciendo uso de servidores de copias según sea requerido su aplicación,
asimismo se cuenta con procedimientos e instructivos que han sido difundidos para su empleo en la
operación.
Actividades posteriores a la entrega

La DVUCEPT cumple los requisitos para las actividades posteriores a la entrega descritas en el
procedimiento “DVUCEPT. 13. Despliegue” asociadas a los productos y servicios. Para determinar el
alcance de estas actividades se han considerado:
a. Los requisitos legales y reglamentarios de la normativa vigente.
b. Las consecuencias potenciales no deseadas asociadas a sus productos y servicios.
c. La naturaleza, el uso y la vida útil prevista de sus productos y servicios.
d. Los requisitos del cliente (administrado, usuarios).
e. La retroalimentación del cliente.
Control de los cambios

La DVUCEPT revisa y controla los cambios para la producción y prestación del servicio para
asegurarse de la continuidad en la conformidad de los requisitos de acuerdo a lo planificado en las
solicitudes de cambio aprobadas por el comité de cambios. Estos documentos se mantienen como
información documentada que describe los resultados de la revisión de los cambios por las personas
que autorizan los cambios y de las acciones necesarias que surjan de la revisión.
Liberación de los productos y servicios.

La DVUCEPT ha implementado mediante el procedimiento “DVUCEPT13. Despliegue” las
disposiciones planificadas en las etapas adecuadas, para verificar que se cumplen los requisitos de
los productos y servicios. La liberación de los productos y servicios al cliente no debe llevarse a cabo
hasta que se haya completado satisfactoriamente las disposiciones planificadas, es decir que hayan
pasado por los procesos del ciclo de vida del software (Análisis funcional, análisis técnico,

98
codificación, pruebas, certificación) a menos que sea aprobado de otra manera por la autoridad
pertinente y cuando sea aplicable por el cliente.
Se mantiene la información documentada a la liberación de los productos y servicios. La información
documentada incluye:
 La evidencia de la conformidad con los criterios de aceptación, mediante el acta de
certificación suscrita o solicitud de cambio.
 La trazabilidad a las personas que autorizan la liberación.
Control de las salidas no conformes

La DVUCEPT asegura que las salidas que no sean conformes con los requisitos solicitados por el
cliente interno o externo o con los requisitos legales y reglamentarios, se identifican y controlan para
prevenir su uso o entrega no intencionada mediante el procedimiento “DVUCEPT.05. Control de
Salidas No Conformes”, en dicho procedimiento se definen los controles y responsabilidades y
autoridades relacionadas al tratamiento de las salidas no conformes.
Se mantienen registros de la no conformidad y de las acciones tomadas posteriormente, incluyendo

las concesiones que se hayan obtenido. Esto se aplica también a los productos y servicios no
conformes detectados después de la entrega de los productos durante o después de la provisión de
los servicios. La DVUCEPT trata las salidas no conformes de una o más de las siguientes maneras:
a. Corrección.
b. Separación, contención, devolución o suspensión de provisión de productos y servicios.
c. Información al cliente
d. Obtención de autorización para su aceptación según su concesión.
La DVUCEPT a través de cada proceso operativo se conserva la información documentada:

a. Describe la no conformidad
b. Describe las acciones tomadas
c. Describe las concesiones obtenidas
d. Identifica la autoridad que decide la acción con respecto a la no conformidad.
La información se registra en la ruta compartida de la Lista Maestra de documentos en relación con

las salidas no conformes de cada proceso. Cada cliente interno deberá validar a cada proceso
proveedor la inclusión de sus registros de productos no conformes, informando al Coordinador de
Calidad con copia al Director DVUCEPT de ser necesario.
Acciones Operativas

99
Pasos para Identificar los Indicadores

100
Criterios de Clasificación y Definición de Indicadores
Dimensiones de medición
Seguimiento y Medición de los Productos

En la incorporación de procedimientos de entidades a la plataforma tecnológica de la Ventanilla
Única de Comercio Exterior (Software) o servicios de interoperabilidad e intercambio electrónico de
datos, se podrán medir cualquier característica o atributo de calidad contenida en la ISO/IEC 25010,
teniendo en cuenta el propósito y uso requerido para controlar las características de calidad del

101
software desarrollado por la VUCE, las mismas que se definen su aplicación en el procedimiento
“DVUCEPT.11 Pruebas”.
a. En el Servicio de Mesa de Ayuda (MDA)

Se considera concluido el servicio cuando se han completado satisfactoriamente todas las
actividades planificadas que puede ser realizadas en el primer nivel (Mesa de Ayuda), segundo nivel
(escaladas al área de Operaciones) y al tercer nivel (escaladas a las Autoridades Administrativas
correspondientes).
Se mide el servicio al realizarse el cierre correspondiente de los tickets de atención mediante el envío
del link de acceso al formulario de medición del servicio brindado, asimismo se envía un correo
electrónico comunicando el cierre de atención del servicio brindado. Dentro de las características de
calidad medidas tenemos:
a. La difusión de la información, procedimientos, instructivos de atención de MDA
b. actualizados.
c. Los tiempos de espera de contacto a la persona que pueda resolver la incidencia.
d. El trato recibido en la atención.
e. Los conocimientos de las operadoras sobre la resolución de las incidencias.
f. La rapidez de la resolución de la incidencia.
g. La claridad de la respuesta brindada, si se absolvió las dudas del cliente de una
h. manera clara.
i. La satisfacción de uso del servicio de Mesa de Ayuda.

102
Análisis y evaluación
La DVUCEPT recopila, analiza y evalúa los datos y la información apropiados del SGC que surgen
por el seguimiento y medición realizada a través de los procesos del SGC, dichos resultados del
análisis son utilizados para evaluar:
Análisis y Evaluación de Datos
Auditoría interna
La DVUCEPT lleva a cabo auditorías internas de gestión de la calidad semestralmente para
determinar si:
a. Es conforme con los requisitos de la Norma ISO 9001:2015 y con los requisitos establecidos
por la Dirección para el SGC.
b. Se ha implementado y se mantiene de manera eficaz.
Entradas de la revisión por la dirección

La información de entrada para la revisión por la dirección se planifica y lleva a cabo considerando:
a. El estado de las acciones de las revisiones por la Dirección previas.
b. Los cambios externos e internos que son pertinentes al SGC.
c. La información sobre el desempeño y la eficacia del SGC incluidas, así como las tendencias
relativas a:
 La satisfacción del cliente y la retroalimentación de las partes interesadas pertinentes
 El Logro de los objetivos de la calidad
 El desempeño de los procesos y conformidad de los productos y servicios
 Las no conformidades y acciones correctivas
 Los resultados de seguimiento y medición
 Los resultados de las auditorias
 El desempeño de los proveedores externos
d. La adecuación de los recursos
e. La eficacia de las acciones tomadas para abordar los riesgos y las oportunidades
f. Las oportunidades de mejora
g. Los resultados de la evaluación de riesgos críticos o de nivel alto
Salidas de la revisión por la dirección

Las salidas de la revisión por la Dirección incluyen todas las decisiones y acciones relacionadas con:
a. Las oportunidades de mejora.
b. Cualquier necesidad de cambio en el SGC.
c. Las necesidades de recursos.
Se mantiene la información documentada como evidencia de los resultados de las revisiones por la
dirección.
Estas oportunidades de mejora incluyen:

103
a. Mejora de los productos y servicios para cumplir los requisitos y considera satisfacer las
necesidades y expectativas de los administrados o usuarios.
b. Corregir, prevenir, o reducir los efectos no deseados en los usuarios o administrados.
c. Mejora el desempeño y la eficacia del SGC. Estas acciones incluyen actividades de
corrección, acciones correctivas, mejora continua, cambios abruptos, rediseño, innovación y
reorganización.
Mejora Continua
La DVUCEPT mejora continuamente la conveniencia, adecuación y eficacia del SGC, considerando
los resultados del análisis y evaluación y las salidas de la “Revisión por la Dirección”, para determinar
las necesidades y oportunidades que deben considerarse como parte de la mejora continua.
La DVUCEPT, los Coordinadores de Línea y responsables de procesos son los responsables de la
ejecución de los procesos del SGC que orientan el SGC hacia la mejora continua de su eficacia
según el gráfico N° 13, incorporando el Ciclo de Deming (P, H, V, A) a cada uno de los procesos,
permitiendo tener procesos con actividades orientadas hacia la planificación, ejecución, control y
mejora del SGC como se aprecia en el Gráfico Nº14.
Ciclo de Mejora Continua-Procesos Involucrados

104
Ciclo de Mejora Continua-Actividades involucradas
5.9. Anexo 9: Procedimientos del Sistema de Calidad

PLANEAMIENTO VUCE
Establecer el procedimiento, los criterios, lineamientos y responsabilidades para la formulación de los
Planes, programas y proyectos de la Ventanilla Única de Comercio Exterior.
Planificar, programar y realizar el seguimiento a la ejecución de las actividades, proyectos de corto,

mediano y largo plazo que afectan a la operatividad de la Ventanilla Única de Comercio Exterior para
el cumplimiento de los objetivos de la VUCE y de los objetivos de la Calidad establecidos por el SGC.
RELACIONES INTERINSTITUCIONALES
Establecer el procedimiento, los criterios, lineamientos y responsabilidades para establecer y
mantener las relaciones con las entidades integradas a la Ventanilla Única de Comercio Exterior
(VUCE) y con otras instituciones nacionales e internacionales involucradas en las autorizaciones de
licencias y permisos respecto a los componentes de Mercancías restringidas.
Asegurar el apoyo y participación de las entidades vinculadas directa o indirectamente con la VUCE,
que le permitan su sostenibilidad y su mejora continua.
CONTROL DE DOCUMENTOS Y REGISTROS

Establecer el procedimiento, los criterios, lineamientos y responsabilidades para el control de los
documentos y registros (revisión, actualización, aprobación, distribución), así como de la
identificación, almacenamiento, protección, recuperación, disposición de los registros del Sistema de
Gestión de Calidad (SGC) de la VUCE, tanto en su versión física como magnética. Hay que asegurar
que los documentos y registros del Sistema de Gestión de Calidad (SGC) se encuentren
legiblemente aprobados, actualizados y estén disponibles en los puntos de uso o sean accesibles en
cada puesto de trabajo, asimismo asegurar la identificación, protección, recuperación y disposición
de los registros del SGC afín de proporcionar evidencia de la conformidad con los requisitos y de la
eficacia del SGC.

105
AUDITORÍAS INTERNAS DE GESTIÓN DE CALIDAD
Establecer el procedimiento, los criterios, lineamientos y responsabilidades para realizar los procesos
de Auditoría Interna del Sistema de Gestión de la Calidad de la VUCE.
Determinar si el Sistema de Gestión de Calidad (SGC) de la VUCE:
a. Es conforme con las actividades planificadas y con los requisitos de la Norma ISO 9001:2008,
para cumplir los requisitos de las entidades y administrados, así como de los requisitos legales y
reglamentarios aplicables a la VUCE.
b. Se ha implementado y se mantiene de manera eficaz.
CONTROL DE PRODUCTOS NO CONFORMES

Establecer el procedimiento, los criterios, lineamientos y responsabilidades para identificar, controlar
los productos no conformes con los requisitos del producto brindado por la VUCE.
Prevenir el uso o entrega de productos no conformes no intencionados, así como gestionar su
tratamiento para corregir las no conformidades detectadas en el producto, autorizar su uso, liberación
o aceptación de la autoridad pertinente o el cliente, impedir su uso o aplicación después de su
entrega o cuando haya empezado su uso según sea requerido.
ACCIONES CORRECTIVAS Y PREVENTIVAS

Establecer el procedimiento, los criterios, lineamientos y responsabilidades para la elaboración del
plan de acciones correctivas y preventivas de la VUCE, su implementación y seguimiento.
Prevenir los riesgos o eventos que puedan impactar negativamente en el cumplimiento de los
objetivos programados, así como eliminar las causas raíces de las no conformidades detectadas y
corregir los problemas que afectan el funcionamiento del Sistema de Gestión de la Calidad de la
VUCE.
ANÁLISIS FUNCIONAL
Establecer el procedimiento, los criterios, lineamientos y responsabilidades para realizar el análisis
funcional de las aplicaciones informáticas o servicios brindados por la Dirección de Ventanilla Única
de Comercio Exterior y Plataformas Tecnológicas (VUCEPT).
Recopilar, analizar, validar y aprobar los requerimientos funcionales y no funcionales de las entidades
u otros usuarios para el diseño y desarrollo de las aplicaciones informáticas o servicios brindados por
la DVUCEPT de acuerdo con los principios de simplicidad, seguridad, disponibilidad, reutilizabilidad,
integridad, accesibilidad y rapidez.
ANÁLISIS TÉCNICO
Establecer el procedimiento, los criterios, lineamientos y responsabilidades para realizar el análisis
técnico o análisis de la base de datos de las aplicaciones informáticas requeridas por la Ventanilla
Única de Comercio Exterior (VUCE).
Diseñar el modelo de datos de las aplicaciones informáticas requeridas por la VUCE de acuerdo con
los requerimientos funcionales validados y aprobados por las entidades y; de acuerdo con los
principios de simplicidad, seguridad, disponibilidad, reutilizabilidad, integridad y accesibilidad de la
información.
CODIFICACIÓN
Establecer el procedimiento, criterios, lineamientos y responsabilidades para la codificación de la
estructura de la base de datos y demás componentes de la aplicación.
Crear los componentes tanto de la base de datos como de la aplicación para la ejecución de las
pruebas de la funcionalidad requerida.
PRUEBAS
Establecer el procedimiento, los criterios, los lineamientos y las responsabilidades para el desarrollo
de las “Pruebas” de los aplicativos desarrollados en la plataforma de la Ventanilla Única de Comercio
Exterior.

106
Detectar y corregir errores en los ambientes de pruebas que permitan restaurar la operación normal
de los servicios y sistemas en producción, así como incorporar nuevas funcionalidades, validándolas
y reduciendo al mínimo
CERTIFICACION
Establecer el procedimiento, los criterios, los lineamientos y las responsabilidades para la
certificación de la funcionalidad requerida de las aplicaciones desarrolladas en la plataforma de la
Ventanilla Única de Comercio Exterior.
Dar a conocer y certificar ante los usuarios de las entidades correspondientes, la funcionalidad de las
aplicaciones que han sido desarrolladas de acuerdo con lo solicitado en el análisis funcional, previo a
su publicación u operación en la Ventanilla Única de Comercio Exterior.
DESPLIEGUE
Establecer el procedimiento, los criterios, los lineamientos y las responsabilidades para el despliegue
o implementación de las aplicaciones nuevas o de sus modificaciones en la plataforma de la
Ventanilla Única de Comercio Exterior.
Poner en funcionamiento los nuevos aplicativos o sus modificaciones (scripts, archivos desplegables,
códigos de programación) en el ambiente de producción de la plataforma de la Ventanilla Única de
Comercio Exterior, así como detectar y corregir errores en su implementación.
GESTIÓN DE LA CAPACITACIÓN DE USUARIOS DE LA VUCE

Establecer el procedimiento, los criterios, los lineamientos para gestionar la capacitación de los
usuarios de la plataforma de la Ventanilla Única de Comercio Exterior.
Promover el uso de Ventanilla Única de Comercio Exterior en la comunidad de comercio exterior, así
como mejorar el conocimiento de los usuarios en el empleo de la plataforma VUCE.
SERVICIO DE MESA DE AYUDA VUCE

Determinar el procedimiento que establezca los criterios, los lineamientos y las responsabilidades
para la atención y resolución de las consultas relacionadas con problemas del funcionamiento de la
Ventanilla Única de Comercio Exterior (VUCE), respecto al componente de mercancías restringidas.
Ayudar, orientar y resolver las consultas y complicaciones de los usuarios de los servicios de las
operaciones de comercio exterior que brinda la VUCE.
GESTION DE INCIDENTES
Determinar el procedimiento que establezca, los criterios, los lineamientos y las responsabilidades
para gestionar y resolver de la manera más rápida y eficaz cualquier incidente que cause interrupción
en el servicio de la VUCE, sea ésta de software o hardware.
Minimizar el impacto de los incidentes que provoquen interrupciones en el servicio de las operaciones
de comercio exterior realizadas a través de la plataforma tecnológica.
SOPORTE DE INFRAESTRUCTURA
Establecer el procedimiento, los criterios, los lineamientos y las responsabilidades para resolver de la
manera más rápida y eficaz cualquier incidente de infraestructura que cause interrupción en el
servicio de la VUCE, sea ésta de software o hardware.
Monitorear y prevenir el impacto de los incidentes de infraestructura que provoquen interrupciones en

el servicio de la plataforma tecnológica de la VUCE a fin de cumplir adecuadamente con los niveles
de servicio requeridos, mediante criterios por disponibilidad, accesibilidad, seguridad, rapidez.
GESTIÓN DE ADQUISICIONES DE BIENES Y SERVICIOS

Establecer el procedimiento, los criterios, los lineamientos y las responsabilidades para gestionar las
adquisiciones de bienes y servicios” de carácter trascendente para la VUCE.

107
Gestionar el trámite para las adquisiciones de bienes y servicios oportunamente, ante la Oficina de
Abastecimiento y Servicios Auxiliares del MINCETUR, para el desarrollo de las actividades
programadas de la Ventanilla Única de Comercio Exterior.
GESTIÓN DE LA CONTRATACIÓN ADMINISTRATIVA DE SERVICIOS

Establecer el procedimiento, los criterios, los lineamientos y las responsabilidades para gestionar el
trámite de la “Contratación Administrativa de Servicios” para la Ventanilla Única de Comercio Exterior
(VUCE).
Realizar el trámite de requerimiento de personal según modalidad de “Contrato Administrativo de
Servicios CAS” ante la Oficina de Personal del MINCETUR y realizar su seguimiento respectivo para
su incorporación a la VUCE para el desarrollo de las funciones requeridas por la VUCE.
CAPACITACIÓN DEL PERSONAL

Establecer el procedimiento, los criterios, los lineamientos y las responsabilidades para gestionar la
capacitación del personal de la Ventanilla Única de Comercio Exterior. Asegurar una efectiva y
permanente capacitación al personal de la institución, orientados al cumplimiento de los objetivos de
la calidad.
Mejorar los conocimientos del personal de la VUCE que contribuyan a la reducción de brechas de
desempeño y al desarrollo de las competencias requeridas (habilidades, capacidades y destrezas)
para un desempeño eficaz y eficiente de las funciones requeridas en la prestación de los servicios de
la VUCE.
LEGAL
Establecer el procedimiento, los criterios, los lineamientos y las responsabilidades para el desarrollo
de las actividades de carácter técnico legal requeridas en apoyo al funcionamiento de la Ventanilla
Única de Comercio Exterior (VUCE).
Asegurar el sustento técnico legal para la ejecución de las distintas actividades que se realizan en la
VUCE en apoyo a las entidades y administrados, en el marco de la normativa vigente y de los
acuerdos o tratados comerciales suscritos por el Estado Peruano.
5.10. Anexo 10: Modelo de Formatos del Sistema de Calidad

DVUCEPT.01.RE.001-002 Plan Operativo Institucional - Programa Financiero
Lograr el incremento sostenido del intercambio comercial, con énfasis en las exportaciones de los
sectores no tradicionales; y consolidar la imagen del Perú como país exportador de bienes y servicios
competitivos.
Lograr la Inserción competitiva de bienes y servicios en los mercados internacionales con la
participación de los actores de la cadena productiva con inclusión social.
DVUCEPT.01.RE.004 Plan de Implementación o mantenimiento SGC

Cronograma detallado del proyecto de diseño e implementación del sistema de gestión de la calidad
de la VUCE. Componente de mercancías restringidas.
DVUCEPT.01.RE.085 Plan y programación de actividades 2018 V3

Plan y programación de Actividades 2018
DVUCEPT.01.RE.110 Ficha del Indicador

Planificar, programar y realizar el seguimiento a la ejecución de las actividades, proyectos de corto,
mediano y largo plazo que afectan a la operatividad de la Ventanilla Única de Comercio Exterior para
el cumplimiento de los objetivos de la VUCE y de los objetivos de la Calidad establecidos por el SGC.
DVUCEPT.02.RE.006 Acta de Reunión V 4.0

108
Documento que tiene como finalidad listar los participantes de una reunión y describir los puntos
tratados y responsables.
DVUCEPT.02.RE.007 Resolución Ministerial (RM web)

Contiene el proyecto de la resolución ministerial.
DVUCEPT.03.RE.008 Lista Maestra de Documentos V 4.0

Contiene el listado de los documentos internos y externos de VUCE, así como la fecha de
aprobación, nombre de la persona que lo elaboró y quiero lo aprobó.
DVUCEPT.03.RE.009 Registro de control de cambios de los documentos

Es el control de versiones o cambios de los documentos de VUCE.
DVUCEPT.03.RE.012 Copia de Respaldo y Resguardo Información Backup

Programa de resguardo e información de backups.
DVUCEPT.04.RE.013 Programa Anual de Auditoria Interna

Programa anual de auditorías de gestión de la calidad, donde se da seguimiento a ciertos procesos o
actividades.
DVUCEPT.04.RE.014 Plan de Auditoria Interna

Objetivos de la Auditoría:
a) Evaluar el grado de implementación del SGC de VUCE.
b) Verificar si los procedimientos cumplen con el Instructivo para elaborar procedimientos.
c) Evaluar si el personal conoce y aplica adecuadamente los procedimientos que son de su
responsabilidad.
d) Verificar si existen controles de sus resultados.
e) Identificar deficiencias administrativas y operativas.
f) Identificar oportunidades de mejoras.
DVUCEPT.04.RE.015 Lista de Verificación de Auditoria

Se encuentra la lista de la verificación de la auditoria y los resultados del diagnóstico con gráficos.
DVUCEPT.04.RE.016 Lista de Asistencia de Auditoria

Lista de asistentes o involucrados en las auditorias que se realizan en la VUCE.
DVUCEPT.04.RE.019 Informe de Auditoria Interna V2

Luego de realizada la auditoria interna de Gestión de la Calidad se describen los hallazgos
encontrados y su oportunidad de mejoras.
DVUCEPT.05.RE.022 Tratamiento del Prod No Conforme

Describe y detalla el tratamiento del producto o servicio no conforme.
DVUCEPT.05.RE.023 Relación de tratam de Prod No Conformes

Relación de tratamientos de productos no conformes o tipos de incidencias donde detalla la
descripción del producto no conforme, causa, impacto, tratamiento del producto no conforme o
instructivo, fecha y el requisito de la norma ISO 9001 que no se evidencie su cumplimiento.
DVUCEPT.06.RE.024 Plan de Acciones correctivas preven V2

Plan de acciones correctivas, preventivas de las no conformidades.
DVUCEPT.06.RE.025 Plan de Mejoras de Procesos

Se detalla el plan de mejora de procesos y su seguimiento.
DVUCEPT.06.RE.026 Solicitud de Acciones correctivas

109
Formato de una Solicitud de Acción Correctiva / Preventiva (SACP)
DVUCEPT.07.RE.027 Solicitud de Cambios V6

Formato de una Solicitud de Cambio, donde se detalla la solicitud o requerimiento de cambio.
DVUCEPT.08.RE.028 Lista General de Requerimiento de Desarrollo

Se encuentra la lista de los requerimientos de desarrollo, donde se le da el seguimiento y el estatus
en que se encuentra cada uno.
DVUCEPT.08.RE.029 Plan de Trabajo

Se encuentra el plan de trabajo en un calendario de la aplicación Google calendar.
DVUCEPT.08.RE.030 Excel de Mapeo Funcional

Es el documento técnico de refleja las reglas del negocio de los procedimientos administrativos.
DVUCEPT.08.RE.031 Acta de Mapeo

Según los alcances y reuniones en las instalaciones de la VUCE y APN señaladas en la presente
acta, se procede a dar conformidad a la estructura del formato APN003. Con esta conformidad se
procede a dar inicio al desarrollo del formato correspondiente al procedimiento según el anexo
adjunto.
DVUCEPT.09.RE.032 Excel de Mapeo Tecnico

Formato del Mapeo Técnico.
DVUCEPT.09.RE.033 Excel de Fabrica VUCE compartido Google

Es un archivo compartido entre los trabajadores de VUCE en la aplicación de Google Drive.
DVUCEPT.09.RE.xxx Matriz de Riesgos VUCE

Matriz de Riesgos: Es la Gestión de Riesgos. Planificar, identificar, analizar, evaluar, planificar
respuestas, controlar los riesgos de la Dirección de la Ventanilla Única de Comercio Exterior y
plataformas tecnológicas.
DVUCEPT.11.RE.034.035 Conformidad de Pruebas - Inicio de pruebas

La conformidad de las pruebas se realiza mediante correo.
DVUCEPT.11.RE.036 Registro de incidencias de desarrollo

Para el registro de incidencias por desarrollo, utilizan la herramienta JIRA.
DVUCEPT.12.RE.037 Acta Certificación

Es el formato de “Certificación de la Entidad para operar con la Ventanilla Única de Comercio Exterior
(VUCE)”.
DVUCEPT.13.RE.038.039.040 Pase - Conformidad - Culminacion de producción

Toda confirmación es mediante correo.
DVUCEPT.14.RE.041 Encuesta de Capacitación

Es el formato de la encuesta para que sea utilizada en las capacitaciones de VUCE.
DVUCEPT.14.RE.041.042.043.045.046.047.048.103 Cronograma de Capacitacion

Se encuentran los cronogramas de capacitación por regiones y por Lima, también hay formatos y
resultados de exámenes tanto de entrada como de salida, formatos y resultados de encuestas.
DVUCEPT.14.RE.042 Cronograma de Capacitacion

Es el cronograma de las capacitaciones para la región de Lima.
110
DVUCEPT.14.RE.043 Cronograma de CApacitacion Region
Es el cronograma de las capacitaciones del año 2017 para las regiones.
DVUCEPT.14.RE.044 Control Viajes

Es un formato que se llena para solicitar un viaje, se realiza dentro de la Intranet del Mincetur, en un
anexo Planilla de Comisión de Servicios.
DVUCEPT.14.RE.044 Lista de Participantes de Capacitacion

Es el formato para registrar la lista de participantes de capacitaciones de usuarios.
DVUCEPT.14.RE.046-047 Programa de Capacitacion Lima-Region

Es el formato del Plan de capacitación de usuarios de lima y regiones de manera anual, que tiene
como objetivo difundir el manejo de la plataforma VUCE a los importadores y exportadores y difundir
el manejo de la VUCE a los usuarios de las entidades que operan en la VUCE a realizar sus trámites
para obtener un DR (Documento Resolutivo), que es requisito para la importación y exportación de
sus mercancías.
DVUCEPT.14.RE.048 Base de Datos de Capacitacion

Es el formato para obtener los resultados de las encuestas realizadas en cada capacitación.
DVUCEPT.14.RE.049 Material de Capacitación

Es una presentación para la capacitación del Sistema VUCE, que incluye la explicación general del
sistema y las diferencias que hay después de implementar el sistema VUCE.
DVUCEPT.14.RE.100 Base de Datos de Examenes de Entrada y Salida

Son los formatos que tienen los resultados de los exámenes de entrada y salida que se realizan en
cada capacitación.
DVUCEPT.14.RE.101 Examen de Entrada de Capacitacion

Es el formato para el examen de entrada de cada capacitación que se realiza.
DVUCEPT.14.RE.102 Examen de Salida de Capacitacion

Es el formato para el examen de salida de cada capacitación que se realiza.
DVUCEPT.15.RE.050 Informes de Mesa de ayuda

Es el formato para los informes de Mesa de Ayuda.
DVUCEPT.15.RE.051 Ticket de Incidencias

Usan como medio de comunicación para resolver las incidencias el correo.
DVUCEPT.15.RE.052 Encuesta de MDA_cierre

Es el formato de la encuesta del servicio de la mesa de ayuda de VUCE.
DVUCEPT.16.RE.053 Recomendaciones y sugerencias MDA

Es un formato en Excel donde se registran todas las recomendaciones o sugerencias para mejorar la
Mesa de Ayuda de VUCE.
DVUCEPT.16.RE.106 Encuesta de Funcionarios

Es el formato de la encuesta de funcionarios, es la medición de la satisfacción del cliente de la
VUCE, dirigido a funcionarios de entidades de control de mercancías restringidas.
DVUCEPT.17.RE.054 Informe mensual de soporte

Es el formato para el informe mensual del equipo de soporte con respecto a la disponibilidad,
rendimiento y gestión de problemas con los equipos de almacenamiento de la VUCE.
111
DVUCEPT.17.RE.055 Alerta
Las alertas del sistema también se envían por correo.
DVUCEPT.18.112 Evaluación de Proveedores de Bienes

Es el formato para la evaluación de proveedores de bienes donde se llena una ficha de evaluación.
DVUCEPT.18.113 Evaluación de Proveedores de Servicios

Es el formato para la evaluación de proveedores de servicios donde se llena una ficha de evaluación.
DVUCEPT.18.RE.056 Termino de Referencia

Se encuentran los términos de referencia de VUCE.
DVUCEPT.18.RE.057 Formato de Requerimiento de Bienes y Servicios

Es el formato de requerimiento de bienes y servicio, se encuentra un ejemplo.
DVUCEPT.18.RE.058 Contrato de bienes y servicios

Es un formato para los contratos de bienes y servicios, muestra un ejemplo.
DVUCEPT.18.RE.059 Orden de servicio

Es el formato de una orden de servicio para los procesos administrativos de la VUCE.
DVUCEPT.18.RE.060 Reporte Seguimiento al proceso de adjudicación

Es el formato para dar seguimiento al proceso de adjudicación de la VUCE.
DVUCEPT.18.RE.061 Formato Conformidad de servicios

Es el formato de conformidad de servicios prestados.
DVUCEPT.19.RE.062.064 Criterios de Evaluacion - Contrato Cas

Se encuentran los formatos para Contratación Administrativa de Servicios y el formato de criterios de
evaluación de candidatos.
DVUCEPT.19.RE.063 Perfiles de Puesto

Es el formato para los perfiles de puesto que se solicitan para la VUCE.
DVUCEPT.20.RE.065 Plan de Capacitación Personal

Es el formato para el plan de capacitación del personal de VUCE, el seguimiento de la ejecución del
plan y sus indicadores.
DVUCEPT.20.RE.066 Lista de Asistencia de Capacitación

Es el formato de la lista de asistencia de capacitación para el registro de los participantes de las
capacitaciones de VUCE.
DVUCEPT.20.RE.067 Evaluación de la eficacia de capacitación

Es el formato de la evaluación de la eficacia para las capacitaciones, como también se detallan la
identificación de necesidades en cada capacitación.
DVUCEPT.20.RE.115 2017 Matriz de Requerimiento de Capacitacion

Es el formato de la Matriz de Requerimiento de una Capacitación.
DVUCEPT.21.RE.068 Informe Tecnico Legal

Es el Informe técnico legal sobre la suscripción de Acuerdo Interinstitucional a realizar entre
MINCETUR y KOICA para el desarrollo de dos nuevos componentes en la VUCE.
DVUCEPT.83 Encuesta Percepcion de la VUCE

112
Es el formato de la encuesta de la percepción de la VUCE para la medición de la satisfacción del
servicio de la VUCE está dirigido a funcionarios de entidades de mercancías restringidas.
Lista de Verificación auditoria-Diagnostico ISO 9001-2015-2018 v2

Es el diagnostico de evaluación sistema de gestión de calidad según NTC ISO 9001-2015.
5.11. Anexo 11: Modelo de Instructivos
Elaborar y Estandarizar Procedimientos o Instructivos

Establecer los criterios, lineamientos y responsabilidades para estandarizar la elaboración de
procedimientos de la Ventanilla Única de Comercio Exterior (VUCE).
Documentar los procedimientos, instructivos vigentes de los procesos de la Ventanilla Única de
Comercio Exterior según los mismos lineamientos establecidos en el presente instructivo, para
facilitar el acceso de información que regule el desarrollo de los procedimientos de la VUCE.
Instructivo de Ejecución de Capacitación de Usuarios

Establecer los lineamientos, criterios para la ejecución de la capacitación a los administrados y a las
entidades vinculadas a la VUCE.
El desarrollo de la Capacitación se realiza conforme a los temas especificados, y en el marco general

publicado en la página web de la VUCE, link Capacitaciones:
 Cronograma de capacitación Mercancías Restringidas Enero a Diciembre 2014
 Cronogramas de Capacitaciones Regiones
El Presente instructivo aplica al expositor y a los participantes de la capacitación. El administrador de

capacitación de la VUCE responde por su aplicación y seguimiento
Instructivo de Ejecución de Capacitación de usuarios VUCE en Provincia

Establecer los lineamientos, criterios para la ejecución de la capacitación a los usuarios de la VUCE
en Provincia.
El desarrollo de la Capacitación se realiza conforme a los temas especificados, y en el marco general

publicado en la página web de la VUCE, link Capacitaciones:
 Cronograma de capacitación Mercancías Restringidas Enero a Diciembre 2014

 Cronogramas de Capacitaciones Regiones o provincias.
 El correo electrónico comunicando la necesidad de difusión del programa de capacitación de
provincia debe enviarse como mínimo 2 semanas antes de la fecha programada de
capacitación por el Coordinador de Operaciones.
 La entidad correspondiente se encargará de preparar las herramientas de comunicación,
difusión para transmitirlo, mediante cualquier mecanismo, publicidad, afiches, trípticos que
permitan su adecuada difusión para la inscripción correspondiente de los participantes a la
capacitación.
 Se debe contar con los datos de las personas interesadas en asistir a la capacitación
preferentemente previamente a la capacitación (cantidad de asistentes) para lo cual se hará
el registro de asistentes mediante la mesa de ayuda o mediante la entidad descentralizada
correspondiente.
Instructivo de Catalogo de Representantes Legales

El objetivo principal es establecer que todo personal responsable de solucionar los casos presentado
por los usuarios (MDA), tengan los conocimientos básicos de cómo llegar a identificar un incidente y
llegar a solucionarlos en el menor tiempo teniendo el visto bueno del Usuario.

113
El Instructivo va desde el envío de un correo electrónico de MDA a Soporte de los casos para su
verificación en la BD y finaliza con el cierre del Ticket por MDA.
La responsabilidad de la ejecución del instructivo va en forma coordinada de parte de Mesa de Ayuda
con Soporte Técnico y Coordinador de Operaciones de la VUCE.
Instructivo de Tratamiento de Incidentes de Mesa de Ayuda

El Instructivo va desde el envío de un correo electrónico de MDA a Soporte para su verificación en la
BD y finaliza confirmación de un funcionario y la sincronización de información con DIGEMID.
con Soporte Técnico, Coordinador de Operaciones de la VUCE y los funcionarios de la entidad.
Instructivo Catálogo de Sustancia DGM031

BD y finaliza confirmación de la sincronización de información con DIGEMID.
Instructivo Catálogo de Sustancia en Formato ERPF

BD y finaliza confirmación de la sincronización de información con DIGEMID.
Instructivo SUCE Finalizados en la Entidad Pendiente en VUCE

Reprocesar los DRs (N8s y N9s) que se encuentren pendientes en la VUCE.
El Instructivo inicia cuando MDA reporta un trámite finalizado en la entidad y está pendiente en la
VUCE y finaliza reprocesando los servicios en la VUCE.
La responsabilidad de la ejecución del instructivo va en forma es el Supervisor de la MDA y el
Coordinador de Operaciones de la VUCE.
Instructivo Rectificación DR
El Instructivo inicia cuando MDA comprueba el reclamo del administrado se certifica el DR finalizado
cuando verifica la corrección de error y procede a cerrar el ticket.
La responsabilidad de la ejecución del instructivo es el Supervisor de la Mesa de Ayuda.
Instructivo de Aplicación de Herramientas y/o Técnicas de la Calidad

El objetivo principal es brindar información básica sobre la aplicación de las herramientas y/o técnicas
más usadas en la gestión de la calidad.
114
La aplicación del presente instructivo corresponde a todo el personal de la VUCE que participa en el
desarrollo del procedimiento de Auditorías Internas de Gestión de la Calidad y Acciones Correctivas y
Preventivas.
El coordinador de Calidad dirigirá y supervisará y capacitará en la aplicación de las herramientas,
asimismo se encargará de la actualización del presente instructivo según sea requerido.
Instructivo de Evaluación de Proveedores

Evaluar a los proveedores de bienes y servicios, que garanticen el cumplimiento de los requisitos de
calidad y las especificaciones establecidas.
Comprende a todos los proveedores directos de la DVUCEPT de bienes y servicios que afectan
directamente la calidad de los productos y servicios brindados.
Instructivo Autorizaciones y Privilegios

Establecer los lineamientos para la asignación de autorizaciones y privilegios al ambiente de la
VUCE.
El instructivo va desde el envío de un correo electrónico por parte del interesado al Coordinador de
Desarrollo solicitando los permisos, hasta la ejecución y asignación del permiso solicitado.
Instructivo de Pruebas Unitarias

Con el fin de optimizar los productos entregados a control de calidad, es necesario realizar pruebas
con el objetivo de detectar errores de la aplicación y de especificaciones que no han quedado claras
en las actas, este proceso resulta una gran ayuda ya que da una medida de calidad siempre y
cuando sea llevada de una forma adecuada.
5.12. Anexo 12: Ejemplos de evidencias para mejoras

PRIORIZACIÓN DE REQUERIMIENTOS
Se puede verificar el procedimiento “08. DVUCEPT.08 Procedimiento Análisis Funcional V 4.0 -
01.08.2018” en la sección de “Disposiciones” principalmente numerales 5.7 y 5.11. Adicionalmente, el
registro de calidad se encuentra en la hoja “Prioridades Fábrica” del Excel “Fábrica VUCE Interno”
como se muestra en la imagen.
08. DVUCEPT.08 Procedimiento Análisis Funcional V 4.0 - 01.08.2018
5.7. Reglas generales para el análisis de requerimientos:

a. Se aplicarán los “Principios y prioridades de la VUCE” definidos en el procedimiento
DVUCEPT.01 Planeamiento, las mismas que se priorizarán teniendo en cuenta el cumplimiento
de los objetivos de la calidad establecidos.
b. La SUCE es una declaración Jurada, por lo que los datos son intangibles y no debe verse
afectados, salvo autorización expresa. Por lo que en los documentos de análisis se debe
explicitar si afecta a versiones anteriores, de lo contrario se considera nueva versión del formato.
c. Mientras más simple mejor, sin arriesgar que el requerimiento este completo. Simple no es
incompleto.
- Manejar los requerimientos de la manera más sencilla posible hará más fácil la administración
de los requerimientos.
- Se recoge toda la información necesaria para la administración, la información que en las
manos del responsable del proyecto es útil, pierde su aplicación al estar incompleta.
d. Redundancia de información es siempre un problema. Un análisis no cuidadoso puede caer
fácilmente en redundancia de información, colocando requerimientos del sistema o
características de la solución como necesidades de la organización, o bien repitiendo
información para rellenar los niveles de información comprometidos. El análisis de sistemas es,
de por sí, un adelanto de la programación del sistema, en el que cada componente tiene una
misión, y los componentes no está para construirlos una y otra vez, por el contrario se
construyen una vez, se colocan en el lugar adecuado y se utilizan las veces que sean necesaria,
115
esto es, los requerimientos se escriben una vez y se escriben de manera simple, se les da la
clasificación adecuada, y se trazan las veces necesarias.
e. Los requerimientos no desaparecen porque no se tengan en cuenta. Los requerimientos no se
acomodan o se desaparecen, se descubren. Una solución informática a un problema de negocio
tiene una cantidad de requerimientos intrínsecos que provienen del negocio. El no tomarlos en
cuenta no significa que el sistema no los necesite, sino que no han sido tomados en cuenta y
que, a la larga, los mismos han de ser desarrollados. No tomar en cuenta los requerimientos
desde un inicio, está más que probado, que es más costoso que hacer un buen análisis que los
contemple.
f. Tener atributos de calidad de software (funcionales y no funcionales) utilizando como
referencia el modelo FURPS.
5.8. Los documentos de análisis que requieren aprobación de la Entidad o VUCE y pasa por todo
el ciclo de desarrollo, utilizan los siguientes formatos según corresponda:
a. Gestión de requerimiento de Nuevo Trámite: Análisis para la Implementación de nuevo

procedimiento o servicio. Los siguientes corresponden a registros establecidos, pudiendo tener
más documentos de soporte según lo requiera:
- DVUCEPT.08.RE.31: Aprobación del Mapeo
- DVUCEPT.08.RE.30: Mapeo Funcional
b. Gestión de requerimientos y cambios Análisis para la implementación de cambios (normativos
u operativos), adecuaciones, mejoras y recomendaciones a productos ya operando en
producción. Así como la evaluación del impacto y alcance de los cambios. Los siguientes
corresponden a registros establecidos, pudiendo tener más documentos de soporte según lo
requiera:
- DVUCEPT.07.RE.27: Aprobación de requerimiento
NO CONFORMIDADES DEL CICLO DE DESARROLLO

Desde análisis hasta despliegue en producción, todas las incidencias los registramos en la columna
“NC” y “Observaciones” de la hoja “Lista Gral. de Requerimientos” del del Excel “Fábrica VUCE
Interno” como se muestra en la imagen, a fin de revisarlos y detectar oportunidades de mejora.

116
MAPAS DEL NEGOCIO
Usadas como parte de la inducción y del proceso de análisis.
SUCAMEC_Mapa_TUPAS_Explosivos

117

Ejemplo de Informe Auditoria 2020

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ejemplo de Informe Auditoria 2020

Cargado por

Copyright:

Formatos disponibles

Evaluación del nivel de

Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas Tecnológicas

La Dirección de la Ventanilla Única de Comercio Exterior y Plataformas Tecnológicas (DVUCEPT), tiene

La DVUCEPT debe considerar la implementación de una herramienta de WorkFlow para fortalecer la

- Optimiza integralmente los trabajos.

Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas Tecnológicas

Por lo mencionado anteriormente es que se ha visto por conveniente recomendar a la DVUCEPT

2. Se requiere implementar diferentes comités como Comité de Pases a Producción, Comité de

Por lo mencionado anteriormente se ha visto por conveniente evaluar la implementación de un

Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas Tecnológicas

Por lo expuesto anteriormente, se ha visto por conveniente recomendar lo siguiente:

5. Fortalecer las coordinaciones entre la DVUCEPT y los responsables de la Seguridad de Información

No se pudo apreciar la participación de algún responsable de la DVUCEPT en el comité de seguridad

Por lo mencionado anteriormente se recomienda a la Dirección de la Ventana Única de Comercio

Se ha evidenciado que no existe un Plan de Continuidad de Negocios en la VUCE y que tampoco

Por lo mencionado anteriormente, se ha visto por conveniente recomendar a la DVUCEPT (Dirección

Se consultó a un funcionario de la DVUCETP acerca de la modalidad en la que la VUCE articula su

Por lo mencionado anteriormente, se ha visto por conveniente recomendar a la DVUCEPT (Dirección

10. No se evidencia las coordinaciones realizadas a través de la dirección de la VUCE para el

Por lo mencionado anteriormente, se ha visto por conveniente recomendar que la DVUCEPT

Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas Tecnológicas

2. Evaluación del nivel de cumplimiento de los procesos establecidos sobre Tecnología de la

4. Evaluación del nivel de cumplimiento de los planes y procedimientos derivados de la

5. Elaborar y proponer procedimientos de revisión y verificación del cumplimiento de los

6. Realizar el análisis de causas de las desviaciones de cumplimiento encontradas.

7. Elaborar la documentación que sustente su informe técnico.

2. Evaluación de la situación de la actividad.

Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas Tecnológicas

 Componente de mercancías restringidas: el cual permite a los administrados realizar, por

2.1. Desarrollo de Objetivos.

En relación al presente objetivo podemos concluir que la alineación a la norma es de NTP

El análisis ha permitido determinar que:

DOMINIOS Alineado No Alineado

TOTAL 43.89% 56.11%

- Evaluar el nivel de cumplimiento de los procesos establecidos sobre Tecnología de la

En el desarrollo a la alineación a la Norma NTP- ISO/IEC 27001 y 27002 podemos apreciar

En relación a la alineación con lo requerido a la ISO/IEC 20000, COBIT o ITIL de Gestión y

- Evaluar el nivel de cumplimiento de los planes y procedimientos derivados de la dirección,

En relación al cumplimiento de los planes y procedimientos derivados de la dirección se

- Elaborar y proponer procedimientos de revisión y verificación del cumplimiento de los

En Relación al cumplimiento de los aspectos técnicos – informáticos la DVUCEPT hasta la

2.2. Aspectos de importancia.

La Ventanilla Única de Comercio Exterior – VUCE es un instrumento estratégico para la facilitación

Misión: Gestionar los procesos y la interoperabilidad de la plataforma tecnológica de la VUCE para el

Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas Tecnológicas

Este Manual de Calidad documenta la estructura y funcionamiento del Sistema de Gestión de la

Gestión Estratégica de la Calidad

Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas Tecnológicas

La organización ha establecido, implementado, mantenido la mejora continuamente del SGC, el cual

Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas Tecnológicas

Estos procesos de nivel 0 (macroprocesos), nivel 1 (procesos), nivel 2 (procedimientos) se

La Organización mantiene información documentada según lo establecido en el procedimiento

Mapa de Procesos de la VUCE (N0)

Mapa de Procesos de la VUCE (N1)

Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas Tecnológicas

La DVUCEPT ha establecido, implementado, revisado y mantenido la política de la calidad de la

La DVUCEPT realiza sus actividades asumiendo los siguientes compromisos:

La Dirección de la DVUCEPT es responsable del funcionamiento de su SGC, asegurar que su

La Dirección de la DVUCEPT ha detallado las responsabilidades, la autoridad para los puestos y

Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas Tecnológicas

Informe Final de la Consultoría a la Dirección de la Pandemia y Plataformas Tecnológicas

Acciones para abordar riesgos y oportunidades

1. La planificación del SGC considera la comprensión del contexto de la organización y de las