ejemplo cobit
-
Upload
ruth-lopez -
Category
Documents
-
view
8 -
download
0
description
Transcript of ejemplo cobit
AUDITORIA AL AREA DE TECNOLOGÍA DE INFORMACIÓN DE LA VARGAS LLOSA S.A Periodo: 01.AGO.2010 al 31.AGO.2010
MEMORÁNDUM DE PLANIFLIMACIÓN
1. ORIGEN DE LA EVALUACIÓN
En cumplimiento al Plan Anual de Control del año 2010, aprobado por el Directorio de la VARGAS LLOSA., el Órgano de Control Institucional procederá a realizar la actividad de control referida a la “Evaluación de los riesgos operativos y riesgos tecnológicos de la VARGAS LLOSA”
2. OBJETIVOS DE LA EVALUACIÓN
La evaluación se orientará fundamentalmente a cumplir los siguientes objetivos:
Objetivos General Determinar si los niveles de seguridad de la información y de controles internos implementados son adecuados. Así mismo, establecer si se está administrando adecuadamente los riesgos de operación y tecnológicos, relacionados al Área de Tecnología de la Información.
Objetivos Específicos
Objetivo Nº 1 Determinar si los niveles de seguridad son adecuados, para asegurar el cumplimiento de las exigencias normativas del Sistema Financiero, estableciendo de ser el caso, operaciones no autorizadas.
Objetivo Nº 2
Evaluar la estructura de control interno del Área de Tecnología de la Información.
Objetivo Nº 3 Establecer la adecuada administración de riesgos operativos y tecnológicos, relacionados al Área de Tecnología de la Información (Resolución SBS Nº 216-2009 y Circular SBS Nº G- 105-2006; G-139 y G-140 – 2009 y sus modifLimatorias).
3. ALCANCE DEL EXAMEN
La Evaluación realizada tiene un alcance del 01 de Agosto del 2009 al 31 de Agosto del 2010, el cual se efectúo de acuerdo a las Normas de Auditoria Generalmente Aceptadas – NAGA´s, orientándose fundamentalmente a cumplir el objetivo general.
4. DESCRIPCIÓN DE LAS ACTIVIDADES DE LA ENTIDAD
La Caja Municipal de Ahorro y Crédito de Lima S.A. es una empresa financiera de propiedad de la Municipalidad Provincial de Lima, la que es su único accionista. Fue autorizada a funcionar el 18 de octubre de 1989 mediante Resolución SBS Nº 593-89. Realiza las operaciones permitidas según la Ley Nº 26702 Ley General del Sistema Financiero y de Seguros y OrgánLima de la Superintendencia de Banca y Seguros, así como las descritas en el D.S. 157-90/EF. Cuenta además de la Oficina Principal, en la que
funcionan las áreas administrativas y Agencia Lima, con la Agencia Parcona que operan en la ciudad de Lima; asimismo, con cinco agencias en: Cañete – Agencia Imperial (con Oficinas Especiales en San Vicente de Cañete y Mala), Nazca (con Oficina Especial en Palpa), Puquio, Huamanga, Lurín en la ciudad de Lima, Agencia Chincha a partir del 01 de Julio de 2006; la Agencia San Isidro a partir del 09 de octubre de 2006; la agencia Andahuaylas; y la Agencia Camaná. (según el MOF)
Su principal actividad es la intermediación financiera, que consiste en captar recursos de los habitantes del espacio geográfico en el que se desenvuelve mediante las modalidades de ahorro corriente y a plazo; y, colocarlos en la forma de préstamos a aquellas personas que los requieran y que cumplan con los requisitos establecidos por las normas vigentes. Tiene como objetivos fundamentales fomentar el hábito de ahorro de los habitantes del área geográfLima donde se desarrolla y contribuir a la democratización del crédito, haciéndolo llegar a aquellos sectores que no lo tienen. La Gerencia de Riesgos constituye una de las principales bases para la administración de los riesgos a que está expuesta la entidad, de modo que ésta pueda operar normalmente. Respecto a su estructura ésta tiene dependencia directa del Directorio y cuenta con 01 Jefatura y 03 asistentes. La entidad cuenta con un Manual de Organización y Funciones en el cual se encuentran previstas las funciones de los puestos vinculados a las áreas y funciones examinadas. Asimismo, la entidad cuenta con un software informático (SICMAC I), el cual le permite asegurar una razonable gestión de sus actividades. Este Software cuenta con tres módulos: Negocios, Financiero y Administrativo; diseñados específLimamente para el manejo de las operaciones que realiza la entidad
Asimismo, VARGAS LLOSA., es una entidad financiera dedLimada principalmente a fomentar el ahorro y ofrecer créditos a los sectores populares (Crédito Prendario), a los pequeños y medianos empresarios (Créditos a la Pequeña Empresa) y al empresariado en general (Crédito Comercial), efectuando para ello las diferentes actividades de intermediación financiera que la Ley General lo faculta.
5. NORMATIVA APLLIMABLE A LA ENTIDAD
Base Legal
Normas del COBIT v 4.1 (Objetivos de Control para Tecnología de Información y Tecnologías Relacionados – del IT Governace Institute)
Decreto Supremo N° 02-2007-PCM que modifLima el Decreto Supremo N° 013-2003-PCM, publLimada el 13/02/2005 y su modifLimatoria D.S. N° 037-2005-PCM del 11/05/2005. “Medidas para garantizar la legalidad de la adquisición de programas de software en entidades y dependencias del Sector Público.
Resolución Ministerial N° 179-2004-PCM publLimada el 14/06/2004. Aprueban uso obligatorio de la Norma TécnLima Peruana NTP-ISO/IEC 12207/2004: Tecnología de la información. Procesos del ciclo de vida del software. 1° Edición en entidades del Sistema Nacional de InformátLima”, y su modifLimatoria a la Resolución Ministerial 396-2005-PCM publLimada el 08/11/2005.
Resolución Jefatural N° 053-2003-INEI publLimada el 23/02/2003 Aprueban Directiva sobre Norma TécnLima para la implementación del Registro de Recursos Informáticos en las instituciones de la Administración PúblLima
Normas TécnLimas de Control Interno para Tecnologías de Información, aprobadas por la Contraloría General de la RepublLima con Resolución N° 320-2006-CG
Resolución Comisión de Reglamentos Técnicos y Comerciales Nº 001-2007-INDECOPI-CRT del 5 de enero de 2007 se aprobó la Norma TécnLima Peruana “NTP-ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas práctLimas para la gestión de la seguridad de la información. 2ª Edición”.
Disposiciones emitidas por la Superintendencia de Banca, Seguros y AFP, relacionadas a la materia del examen
Normativas Internas: - Reglamento de Organización y Funciones vigente - Manual de Organización y Funciones vigente. - Normativas y Directivas Internas - Entre otros.
6. INFORME A EMITIR Y FECHA DE ENTREGA
La formulación del proyecto de informe con los resultados del examen, se realizará en un plazo máximo de 30 días calendarios de firmado el contrato, el proyecto del informe será elaborado de acuerdo con lo indLimado en el artículo 22º de la Resolución SBS Nº 11699-2008
|| La evaluación se dará inicio el 01 de Noviembre del 2010, culminando con el informe final el 20 de Noviembre del 2010.
7. IDENTIFLIMACIÓN DE ÁREAS CRÍTLIMAS
Sobre la base del estudio se identificó como área crítLima al Área de Tecnología de Información y los Coordinadores de:
Coordinador de Desarrollo.
Coordinador de Producción.
Coordinador de Soporte.
Analista Funcional.
Programador.
Oficial de Comercio Electrónico.
Operador Help Desk.
Auxiliar de Soporte Técnico. 8. PUNTOS DE ATENCIÓN
Hardware
Software
ComunLimaciones
Seguridad físLima
seguridad lógLima
Integridad de datos
Seguimiento de las medidas correctivas adoptadas a las observaciones realizadas en la Auditoria de Sistemas llevada a cabo el año 2008 – 2009.
9. PERSONAL DE AUDITORIA
El Equipo de Auditoria estará integrado por el siguiente personal:
Nombres y Apellidos Cargos CPC. Jefe del OCI Ing. Martin Figueroa Revilla Auditor Encargado
10. FUNCIONARIOS DE LA ENTIDAD A EXAMINAR
Nombres y Apellidos Cargos 9999 Jefe de Tecnología de Información
11. PRESUPUESTO DE TIEMPO POR CATEGORIAS
Las actividades se desarrollarán según el cronograma de actividades y de acuerdo al tiempo (horas/hombre) establecido. (Anexo N° 01).
12. PARTICIPACIÓN DE OTROS PROFESIONALES Y/O ESPECIALISTAS
Se ha considerado la participación de los siguientes profesionales:
o Ing. TONGO o Bach. JEFERSON FARFA o Bach. REYMON MANCO
13. ASPECTOS DENUNCIADOS Dada la naturaleza de la Entidad éste punto se ha considerado como no aplLimable.
14. PROGRAMA
En Anexo aparte se adjuntan los Programas de Auditoria que contienen los Procedimientos Específicos.
15. FORMATO TENTATIVO DEL INFORME
El contenido del Informe resultante de la evaluación realizada, tendrá la siguiente estructura:
I. MOTIVO DE LA REALIZACIÓN DEL INFORME II. OBJETIVO Y ALCANCE DE LA EVALUACIÓN III. PROCEDIMIENTOS Y TECNLIMAS DE AUDITORÍA IV. BASE LEGAL Y NORMATIVA INTERNA V. EVALUACIÓN DE LA SITUACIÓN DE LA ACTIVIDAD VI. CONCLUSIONES VII. MEDIDAS CORRECTIVAS RECOMENDADAS VIII. PERSONAL ENCARGADO DEL EXAMEN IX. FECHA DE INICIO Y TÉRMINO
LIMA, Noviembre del 2010
_______________________ ____________________________ CPC. Ing. Jorge Martin Figueroa Revilla Jefe del OCI Auditor Encargado
ANEXO N° 01
CRONOGRAMA DE ACTIVIDADES
EVALUACIÓN AL AREA DE TECNOLOGIA DE LA INFORMACION AL 30 DE ABRIL DEL 2010
ACTIVIDAD DIAS/UTILES HRS/HOMBRE ESTIMADAS
HORAS
Programación 01 08 08
Trabajo de Campo 07 08 168
Elaboración de observaciones
03 08 72
Eval. Descargos 02 08 16
Elab. Informe 03 08 72
Elevac.Informe 01 08 09
Total 20 08 344
EVALUACIÓN AL AREA DE TECNOLOGIA DE INFORMACION DE LA VARGAS LLOSA
AL 30 DE ABRIL DEL 2010
PROGRAMA DE AUDITORIA
PROCEDIMIENTOS
HECHO POR
REF. P/T
H.H.
Objetivo General Determinar si los niveles de seguridad de la información y de controles internos implementados son adecuados. Así mismo, establecer si se está administrando adecuadamente los riesgos de operación y tecnológicos, relacionados al Área de Tecnología de la Información. Procedimiento General 1. Determinar las responsabilidades de la seguridad de la
información en la institución 2. Determinar si el Departamento de Tecnología de Información
está cumpliendo las funciones asignadas en el Manual de Organización y Funciones.
3. Evaluar la implementación de controles de seguridad de información y su efectividad.
4. Procedimientos Específicos Objetivo Nº 1 a) Determinar si los niveles de seguridad son adecuados, para
asegurar el cumplimiento de las exigencias normativas del Sistema Financiero, estableciendo de ser el caso, operaciones no autorizadas.
1. Solicitar el plan de contingencias de T.I. 2. Determinar quien es el responsable por la seguridad lógLima y
físLima de la información y si dicha responsabilidad está asignada correctamente.
3. Determinar a través del organigrama qué unidad funcional ejerce esta responsabilidad
4. Entrevistar al personal del área, a fin de verifLimar que autorizaciones de los usuarios se han fijado de acuerdo a las normas y procedimientos establecidos
5. Determinar qué aplLimaciones de seguridad maneja la institución.
6. Solicitar los registros de auditoria del sistema para determinar
PROCEDIMIENTOS
HECHO POR
REF. P/T
H.H.
el nivel de protección de todos los objetos del sistema. 7. Revisar las herramientas disponibles en la institución para
monitorear los intentos de accesos no autorizados al sistema. 8. Solicitar los perfiles de usuarios 9. Revisar si la ubLimación físLima de los computadores a fin de
determinar si los mismos se encuentran en un espacio físico adecuado.
10. Determinar si existen dispositivos de seguridad físLima instalados para prevenir accesos no autorizados a los equipos, de tal manera prevenir daños a los mismos.
11. VerifLimar que los sistemas de seguridad, como cerraduras u otros dispositivos, sean utilizados para prevenir el acceso a personas no autorizadas en horarios laborales.
12. Observar si los equipos están protegidos del calor, polvo e interrupciones de alto voltaje.
13. Formule y aplique el Cuestionario de Seguridad de Información al Jefe del Área de Tecnología de Información, obtenga un entendimiento respecto a los principales procedimientos y actividades desarrolladas por la misma y elabore una cédula de trabajo con los principales aspectos.
b) Evaluar la estructura de control interno del Departamento de
Tecnología de Información 1. 2. Formule y aplique el Cuestionario de Control Interno al Jefe
del Área de Tecnología de Información, obtenga un entendimiento respecto a los principales procedimientos y actividades desarrolladas por la misma y elabore una cédula de trabajo con los principales aspectos
c) Establecer la adecuada administración de riesgos operativos
y tecnológicos, relacionados al Área de Tecnología de Información (Resolución SBS N°216-2009 y Circular SBS N° G-105-2009; G-139 y G-140) y sus modifLimatorias
d) Determinar si la infraestructura tecnológLima de comunLimaciones (Interconexión) se ajusta a las condiciones de los procesos de negocios de la caja, logrando fluidez de la información entre a oficina principal y agencias.
e) Determinar si la infraestructura tecnológLima instalada en el data center son suficientes para dar soporte a los sistemas de información y base de datos con la que trabaja la caja, teniendo el número de usuarios (agencias), procesos y transacciones.
f) Establecer si la estructura del Área de T.I. es la más adecuada para la entidad
g) Determinar el grado de avance de los planes y actividades propuestos para la entidad
h) Determinar la legalidad de los software adquiridos por la
PROCEDIMIENTOS
HECHO POR
REF. P/T
H.H.
entidad. (Conforme al Decreto Supremo N°013-2003-PCM-Legalidad de la adquisición de los programas de software)
1. Solicite las polítLimas, procedimientos y directivas referentes
a los controles del hardware, y determine si el personal viene aplLimando los controles necesarios.
Solicite el inventario de los equipos informáticos (Servidores, equipos de cómputo, impresoras, etc.) con sus principales característLimas técnLimas, estado, y determine si estos están acorde con los avances tecnológicos.
Del inventario de equipos informáticos, hardware, instalados en la entidad, proceda a su verifLimación ocular y/o inspección físLima, según sea el caso, a fin de corroborar su operatividad y estado situacional.
Revise si los Planes de Mantenimiento Preventivo y Correctivo han sido elaborados de manera técnLima y determine si se consideraron las principales actividades de mantenimiento que coadyuven a la óptima operatividad de los recursos de hardware
Realice una inspección al área de Soporte Técnico y verifique el proceso de mantenimiento correctivo a los equipos de cómputo, si se controla adecuadamente el cambio de partes y piezas de los equipos informáticos.
Verifique los procedimientos de la Baja de los equipos de computo y determine si existe un control de los equipos que encuentran en estado in operativo.
Del inventario de equipos verifique la actual capacidad logístLima de infraestructura (servidores de datos, computadoras personales, impresoras, etc.) y determine si se encuentran dotados de los equipos necesarios para su máxima explotación.
Determine si las funciones asignadas al personal del Área de tecnología de la Información son idóneas para cumplir con la eficiente administración y soporte a los recursos del Hardware. Objetivo Nº 2 i) Determinar si los criterios de control interno implementados por el Área de Tecnología de Información sobre el uso de Software permiten satisfacer las necesidades reales de
PROCEDIMIENTOS
HECHO POR
REF. P/T
H.H.
información para el desarrollo institucional.
Solicite el inventario del software con sus respectivas característLimas técnLimas y verifLima si existe un control adecuado de su uso.
Revise los aspectos relacionados a las licencias de software, verifique su control y determine si éstas cubren las distintas necesidades de operatividad del sistema en su conjunto y están legalmente implementados.
Determine si las pruebas del funcionamiento de los mecanismos de acceso, preservación, protección y restauración de las bases de datos y sistemas de información, efectuados en la sala de Servidores están siendo aplLimados correctamente.
Verifique si las polítLimas, procedimientos y directivas referentes a los controles del software como son los controles de instalaciones de software, actualizaciones y registro de versiones y determine si se lleva un control idóneo.