AUDITORIA AL AREA DE TECNOLOGÍA DE INFORMACIÓN DE LA VARGAS LLOSA S.A Periodo: 01.AGO.2010 al 31.AGO.2010

MEMORÁNDUM DE PLANIFLIMACIÓN

1. ORIGEN DE LA EVALUACIÓN

En cumplimiento al Plan Anual de Control del año 2010, aprobado por el Directorio de la VARGAS LLOSA., el Órgano de Control Institucional procederá a realizar la actividad de control referida a la “Evaluación de los riesgos operativos y riesgos tecnológicos de la VARGAS LLOSA”

2. OBJETIVOS DE LA EVALUACIÓN

La evaluación se orientará fundamentalmente a cumplir los siguientes objetivos:

Objetivos General Determinar si los niveles de seguridad de la información y de controles internos implementados son adecuados. Así mismo, establecer si se está administrando adecuadamente los riesgos de operación y tecnológicos, relacionados al Área de Tecnología de la Información.

Objetivos Específicos

Objetivo Nº 1 Determinar si los niveles de seguridad son adecuados, para asegurar el cumplimiento de las exigencias normativas del Sistema Financiero, estableciendo de ser el caso, operaciones no autorizadas.

Objetivo Nº 2

Evaluar la estructura de control interno del Área de Tecnología de la Información.

Objetivo Nº 3 Establecer la adecuada administración de riesgos operativos y tecnológicos, relacionados al Área de Tecnología de la Información (Resolución SBS Nº 216-2009 y Circular SBS Nº G- 105-2006; G-139 y G-140 – 2009 y sus modifLimatorias).

3. ALCANCE DEL EXAMEN

La Evaluación realizada tiene un alcance del 01 de Agosto del 2009 al 31 de Agosto del 2010, el cual se efectúo de acuerdo a las Normas de Auditoria Generalmente Aceptadas – NAGA´s, orientándose fundamentalmente a cumplir el objetivo general.

4. DESCRIPCIÓN DE LAS ACTIVIDADES DE LA ENTIDAD

La Caja Municipal de Ahorro y Crédito de Lima S.A. es una empresa financiera de propiedad de la Municipalidad Provincial de Lima, la que es su único accionista. Fue autorizada a funcionar el 18 de octubre de 1989 mediante Resolución SBS Nº 593-89. Realiza las operaciones permitidas según la Ley Nº 26702 Ley General del Sistema Financiero y de Seguros y OrgánLima de la Superintendencia de Banca y Seguros, así como las descritas en el D.S. 157-90/EF. Cuenta además de la Oficina Principal, en la que

funcionan las áreas administrativas y Agencia Lima, con la Agencia Parcona que operan en la ciudad de Lima; asimismo, con cinco agencias en: Cañete – Agencia Imperial (con Oficinas Especiales en San Vicente de Cañete y Mala), Nazca (con Oficina Especial en Palpa), Puquio, Huamanga, Lurín en la ciudad de Lima, Agencia Chincha a partir del 01 de Julio de 2006; la Agencia San Isidro a partir del 09 de octubre de 2006; la agencia Andahuaylas; y la Agencia Camaná. (según el MOF)

Su principal actividad es la intermediación financiera, que consiste en captar recursos de los habitantes del espacio geográfico en el que se desenvuelve mediante las modalidades de ahorro corriente y a plazo; y, colocarlos en la forma de préstamos a aquellas personas que los requieran y que cumplan con los requisitos establecidos por las normas vigentes. Tiene como objetivos fundamentales fomentar el hábito de ahorro de los habitantes del área geográfLima donde se desarrolla y contribuir a la democratización del crédito, haciéndolo llegar a aquellos sectores que no lo tienen. La Gerencia de Riesgos constituye una de las principales bases para la administración de los riesgos a que está expuesta la entidad, de modo que ésta pueda operar normalmente. Respecto a su estructura ésta tiene dependencia directa del Directorio y cuenta con 01 Jefatura y 03 asistentes. La entidad cuenta con un Manual de Organización y Funciones en el cual se encuentran previstas las funciones de los puestos vinculados a las áreas y funciones examinadas. Asimismo, la entidad cuenta con un software informático (SICMAC I), el cual le permite asegurar una razonable gestión de sus actividades. Este Software cuenta con tres módulos: Negocios, Financiero y Administrativo; diseñados específLimamente para el manejo de las operaciones que realiza la entidad

Asimismo, VARGAS LLOSA., es una entidad financiera dedLimada principalmente a fomentar el ahorro y ofrecer créditos a los sectores populares (Crédito Prendario), a los pequeños y medianos empresarios (Créditos a la Pequeña Empresa) y al empresariado en general (Crédito Comercial), efectuando para ello las diferentes actividades de intermediación financiera que la Ley General lo faculta.

5. NORMATIVA APLLIMABLE A LA ENTIDAD

Base Legal

Normas del COBIT v 4.1 (Objetivos de Control para Tecnología de Información y Tecnologías Relacionados – del IT Governace Institute)

Decreto Supremo N° 02-2007-PCM que modifLima el Decreto Supremo N° 013-2003-PCM, publLimada el 13/02/2005 y su modifLimatoria D.S. N° 037-2005-PCM del 11/05/2005. “Medidas para garantizar la legalidad de la adquisición de programas de software en entidades y dependencias del Sector Público.

Resolución Ministerial N° 179-2004-PCM publLimada el 14/06/2004. Aprueban uso obligatorio de la Norma TécnLima Peruana NTP-ISO/IEC 12207/2004: Tecnología de la información. Procesos del ciclo de vida del software. 1° Edición en entidades del Sistema Nacional de InformátLima”, y su modifLimatoria a la Resolución Ministerial 396-2005-PCM publLimada el 08/11/2005.

Resolución Jefatural N° 053-2003-INEI publLimada el 23/02/2003 Aprueban Directiva sobre Norma TécnLima para la implementación del Registro de Recursos Informáticos en las instituciones de la Administración PúblLima

Normas TécnLimas de Control Interno para Tecnologías de Información, aprobadas por la Contraloría General de la RepublLima con Resolución N° 320-2006-CG

Resolución Comisión de Reglamentos Técnicos y Comerciales Nº 001-2007-INDECOPI-CRT del 5 de enero de 2007 se aprobó la Norma TécnLima Peruana “NTP-ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas práctLimas para la gestión de la seguridad de la información. 2ª Edición”.

Disposiciones emitidas por la Superintendencia de Banca, Seguros y AFP, relacionadas a la materia del examen

Normativas Internas: - Reglamento de Organización y Funciones vigente - Manual de Organización y Funciones vigente. - Normativas y Directivas Internas - Entre otros.

6. INFORME A EMITIR Y FECHA DE ENTREGA

La formulación del proyecto de informe con los resultados del examen, se realizará en un plazo máximo de 30 días calendarios de firmado el contrato, el proyecto del informe será elaborado de acuerdo con lo indLimado en el artículo 22º de la Resolución SBS Nº 11699-2008

|| La evaluación se dará inicio el 01 de Noviembre del 2010, culminando con el informe final el 20 de Noviembre del 2010.

7. IDENTIFLIMACIÓN DE ÁREAS CRÍTLIMAS

Sobre la base del estudio se identificó como área crítLima al Área de Tecnología de Información y los Coordinadores de:

Coordinador de Desarrollo.

Coordinador de Producción.

Coordinador de Soporte.

Analista Funcional.

Programador.

Oficial de Comercio Electrónico.

Operador Help Desk.

Auxiliar de Soporte Técnico. 8. PUNTOS DE ATENCIÓN

Hardware

Software

ComunLimaciones

Seguridad físLima

seguridad lógLima

Integridad de datos

Seguimiento de las medidas correctivas adoptadas a las observaciones realizadas en la Auditoria de Sistemas llevada a cabo el año 2008 – 2009.

9. PERSONAL DE AUDITORIA

El Equipo de Auditoria estará integrado por el siguiente personal:

Nombres y Apellidos Cargos CPC. Jefe del OCI Ing. Martin Figueroa Revilla Auditor Encargado

10. FUNCIONARIOS DE LA ENTIDAD A EXAMINAR

Nombres y Apellidos Cargos 9999 Jefe de Tecnología de Información

11. PRESUPUESTO DE TIEMPO POR CATEGORIAS

Las actividades se desarrollarán según el cronograma de actividades y de acuerdo al tiempo (horas/hombre) establecido. (Anexo N° 01).

12. PARTICIPACIÓN DE OTROS PROFESIONALES Y/O ESPECIALISTAS

Se ha considerado la participación de los siguientes profesionales:

o Ing. TONGO o Bach. JEFERSON FARFA o Bach. REYMON MANCO

13. ASPECTOS DENUNCIADOS Dada la naturaleza de la Entidad éste punto se ha considerado como no aplLimable.

14. PROGRAMA

En Anexo aparte se adjuntan los Programas de Auditoria que contienen los Procedimientos Específicos.

15. FORMATO TENTATIVO DEL INFORME

El contenido del Informe resultante de la evaluación realizada, tendrá la siguiente estructura:

I. MOTIVO DE LA REALIZACIÓN DEL INFORME II. OBJETIVO Y ALCANCE DE LA EVALUACIÓN III. PROCEDIMIENTOS Y TECNLIMAS DE AUDITORÍA IV. BASE LEGAL Y NORMATIVA INTERNA V. EVALUACIÓN DE LA SITUACIÓN DE LA ACTIVIDAD VI. CONCLUSIONES VII. MEDIDAS CORRECTIVAS RECOMENDADAS VIII. PERSONAL ENCARGADO DEL EXAMEN IX. FECHA DE INICIO Y TÉRMINO

LIMA, Noviembre del 2010

_______________________ ____________________________ CPC. Ing. Jorge Martin Figueroa Revilla Jefe del OCI Auditor Encargado

ANEXO N° 01

CRONOGRAMA DE ACTIVIDADES

EVALUACIÓN AL AREA DE TECNOLOGIA DE LA INFORMACION AL 30 DE ABRIL DEL 2010

ACTIVIDAD DIAS/UTILES HRS/HOMBRE ESTIMADAS

HORAS

Programación 01 08 08

Trabajo de Campo 07 08 168

Elaboración de observaciones

03 08 72

Eval. Descargos 02 08 16

Elab. Informe 03 08 72

Elevac.Informe 01 08 09

Total 20 08 344

EVALUACIÓN AL AREA DE TECNOLOGIA DE INFORMACION DE LA VARGAS LLOSA

AL 30 DE ABRIL DEL 2010

PROGRAMA DE AUDITORIA

PROCEDIMIENTOS

HECHO POR

REF. P/T

H.H.

Objetivo General Determinar si los niveles de seguridad de la información y de controles internos implementados son adecuados. Así mismo, establecer si se está administrando adecuadamente los riesgos de operación y tecnológicos, relacionados al Área de Tecnología de la Información. Procedimiento General 1. Determinar las responsabilidades de la seguridad de la

información en la institución 2. Determinar si el Departamento de Tecnología de Información

está cumpliendo las funciones asignadas en el Manual de Organización y Funciones.

3. Evaluar la implementación de controles de seguridad de información y su efectividad.

4. Procedimientos Específicos Objetivo Nº 1 a) Determinar si los niveles de seguridad son adecuados, para

asegurar el cumplimiento de las exigencias normativas del Sistema Financiero, estableciendo de ser el caso, operaciones no autorizadas.

1. Solicitar el plan de contingencias de T.I. 2. Determinar quien es el responsable por la seguridad lógLima y

físLima de la información y si dicha responsabilidad está asignada correctamente.

3. Determinar a través del organigrama qué unidad funcional ejerce esta responsabilidad

4. Entrevistar al personal del área, a fin de verifLimar que autorizaciones de los usuarios se han fijado de acuerdo a las normas y procedimientos establecidos

5. Determinar qué aplLimaciones de seguridad maneja la institución.

6. Solicitar los registros de auditoria del sistema para determinar

PROCEDIMIENTOS

HECHO POR

REF. P/T

H.H.

el nivel de protección de todos los objetos del sistema. 7. Revisar las herramientas disponibles en la institución para

monitorear los intentos de accesos no autorizados al sistema. 8. Solicitar los perfiles de usuarios 9. Revisar si la ubLimación físLima de los computadores a fin de

determinar si los mismos se encuentran en un espacio físico adecuado.

10. Determinar si existen dispositivos de seguridad físLima instalados para prevenir accesos no autorizados a los equipos, de tal manera prevenir daños a los mismos.

11. VerifLimar que los sistemas de seguridad, como cerraduras u otros dispositivos, sean utilizados para prevenir el acceso a personas no autorizadas en horarios laborales.

12. Observar si los equipos están protegidos del calor, polvo e interrupciones de alto voltaje.

13. Formule y aplique el Cuestionario de Seguridad de Información al Jefe del Área de Tecnología de Información, obtenga un entendimiento respecto a los principales procedimientos y actividades desarrolladas por la misma y elabore una cédula de trabajo con los principales aspectos.

b) Evaluar la estructura de control interno del Departamento de

Tecnología de Información 1. 2. Formule y aplique el Cuestionario de Control Interno al Jefe

del Área de Tecnología de Información, obtenga un entendimiento respecto a los principales procedimientos y actividades desarrolladas por la misma y elabore una cédula de trabajo con los principales aspectos

c) Establecer la adecuada administración de riesgos operativos

y tecnológicos, relacionados al Área de Tecnología de Información (Resolución SBS N°216-2009 y Circular SBS N° G-105-2009; G-139 y G-140) y sus modifLimatorias

d) Determinar si la infraestructura tecnológLima de comunLimaciones (Interconexión) se ajusta a las condiciones de los procesos de negocios de la caja, logrando fluidez de la información entre a oficina principal y agencias.

e) Determinar si la infraestructura tecnológLima instalada en el data center son suficientes para dar soporte a los sistemas de información y base de datos con la que trabaja la caja, teniendo el número de usuarios (agencias), procesos y transacciones.

f) Establecer si la estructura del Área de T.I. es la más adecuada para la entidad

g) Determinar el grado de avance de los planes y actividades propuestos para la entidad

h) Determinar la legalidad de los software adquiridos por la

PROCEDIMIENTOS

HECHO POR

REF. P/T

H.H.

entidad. (Conforme al Decreto Supremo N°013-2003-PCM-Legalidad de la adquisición de los programas de software)

1. Solicite las polítLimas, procedimientos y directivas referentes

a los controles del hardware, y determine si el personal viene aplLimando los controles necesarios.

Solicite el inventario de los equipos informáticos (Servidores, equipos de cómputo, impresoras, etc.) con sus principales característLimas técnLimas, estado, y determine si estos están acorde con los avances tecnológicos.

Del inventario de equipos informáticos, hardware, instalados en la entidad, proceda a su verifLimación ocular y/o inspección físLima, según sea el caso, a fin de corroborar su operatividad y estado situacional.

Revise si los Planes de Mantenimiento Preventivo y Correctivo han sido elaborados de manera técnLima y determine si se consideraron las principales actividades de mantenimiento que coadyuven a la óptima operatividad de los recursos de hardware

Realice una inspección al área de Soporte Técnico y verifique el proceso de mantenimiento correctivo a los equipos de cómputo, si se controla adecuadamente el cambio de partes y piezas de los equipos informáticos.

Verifique los procedimientos de la Baja de los equipos de computo y determine si existe un control de los equipos que encuentran en estado in operativo.

Del inventario de equipos verifique la actual capacidad logístLima de infraestructura (servidores de datos, computadoras personales, impresoras, etc.) y determine si se encuentran dotados de los equipos necesarios para su máxima explotación.

Determine si las funciones asignadas al personal del Área de tecnología de la Información son idóneas para cumplir con la eficiente administración y soporte a los recursos del Hardware. Objetivo Nº 2 i) Determinar si los criterios de control interno implementados por el Área de Tecnología de Información sobre el uso de Software permiten satisfacer las necesidades reales de

PROCEDIMIENTOS

HECHO POR

REF. P/T

H.H.

información para el desarrollo institucional.

Solicite el inventario del software con sus respectivas característLimas técnLimas y verifLima si existe un control adecuado de su uso.

Revise los aspectos relacionados a las licencias de software, verifique su control y determine si éstas cubren las distintas necesidades de operatividad del sistema en su conjunto y están legalmente implementados.

Determine si las pruebas del funcionamiento de los mecanismos de acceso, preservación, protección y restauración de las bases de datos y sistemas de información, efectuados en la sala de Servidores están siendo aplLimados correctamente.

Verifique si las polítLimas, procedimientos y directivas referentes a los controles del software como son los controles de instalaciones de software, actualizaciones y registro de versiones y determine si se lleva un control idóneo.