AUDITORIA AL AREA DE TECNOLOGA DE INFORMACIN DE LA VARGAS LLOSA S.

A
Periodo: 01.AGO.2010 al 31.AGO.2010
MEMORNDUM DE PLANIFLIMACIN

1. ORIGEN DE LA EVALUACIN
En cumplimiento al Plan Anual de Control del ao 2010, aprobado por el Directorio de la
VARGAS LLOSA., el rgano de Control Institucional proceder a realizar la actividad de
control referida a la Evaluacin de los riesgos operativos y riesgos tecnolgicos de la
VARGAS LLOSA
2. OBJETIVOS DE LA EVALUACIN
La evaluacin se orientar fundamentalmente a cumplir los siguientes objetivos:
Objetivos General
Determinar si los niveles de seguridad de la informacin y de controles internos
implementados son adecuados. As mismo, establecer si se est administrando
adecuadamente los riesgos de operacin y tecnolgicos, relacionados al rea de Tecnologa
de la Informacin.
Objetivos Especficos
Objetivo N 1
Determinar si los niveles de seguridad son adecuados, para asegurar el cumplimiento de las
exigencias normativas del Sistema Financiero, estableciendo de ser el caso, operaciones no
autorizadas.
Objetivo N 2
Evaluar la estructura de control interno del rea de Tecnologa de la Informacin.
Objetivo N 3
Establecer la adecuada administracin de riesgos operativos y tecnolgicos, relacionados al
rea de Tecnologa de la Informacin (Resolucin SBS N 216-2009 y Circular SBS N G- 1052006; G-139 y G-140 2009 y sus modifLimatorias).

3. ALCANCE DEL EXAMEN

La Evaluacin realizada tiene un alcance del 01 de Agosto del 2009 al 31 de Agosto del
2010, el cual se efecto de acuerdo a las Normas de Auditoria Generalmente Aceptadas
NAGAs, orientndose fundamentalmente a cumplir el objetivo general.
4. DESCRIPCIN DE LAS ACTIVIDADES DE LA ENTIDAD
La Caja Municipal de Ahorro y Crdito de Lima S.A. es una empresa financiera de propiedad
de la Municipalidad Provincial de Lima, la que es su nico accionista. Fue autorizada a
funcionar el 18 de octubre de 1989 mediante Resolucin SBS N 593-89.
Realiza las operaciones permitidas segn la Ley N 26702 Ley General del Sistema
Financiero y de Seguros y OrgnLima de la Superintendencia de Banca y Seguros, as como
las descritas en el D.S. 157-90/EF. Cuenta adems de la Oficina Principal, en la que

funcionan las reas administrativas y Agencia Lima, con la Agencia Parcona que operan en
la ciudad de Lima; asimismo, con cinco agencias en: Caete Agencia Imperial (con Oficinas
Especiales en San Vicente de Caete y Mala), Nazca (con Oficina Especial en Palpa), Puquio,
Huamanga, Lurn en la ciudad de Lima, Agencia Chincha a partir del 01 de Julio de 2006; la
Agencia San Isidro a partir del 09 de octubre de 2006; la agencia Andahuaylas; y la Agencia
Caman. (segn el MOF)
Su principal actividad es la intermediacin financiera, que consiste en captar recursos de los
habitantes del espacio geogrfico en el que se desenvuelve mediante las modalidades de
ahorro corriente y a plazo; y, colocarlos en la forma de prstamos a aquellas personas que
los requieran y que cumplan con los requisitos establecidos por las normas vigentes.
Tiene como objetivos fundamentales fomentar el hbito de ahorro de los habitantes del
rea geogrfLima donde se desarrolla y contribuir a la democratizacin del crdito,
hacindolo llegar a aquellos sectores que no lo tienen.
La Gerencia de Riesgos constituye una de las principales bases para la administracin de los
riesgos a que est expuesta la entidad, de modo que sta pueda operar normalmente.
Respecto a su estructura sta tiene dependencia directa del Directorio y cuenta con 01
Jefatura y 03 asistentes.
La entidad cuenta con un Manual de Organizacin y Funciones en el cual se encuentran
previstas las funciones de los puestos vinculados a las reas y funciones examinadas.
Asimismo, la entidad cuenta con un software informtico (SICMAC I), el cual le permite
asegurar una razonable gestin de sus actividades. Este Software cuenta con tres mdulos:
Negocios, Financiero y Administrativo; diseados especfLimamente para el manejo de las
operaciones que realiza la entidad
Asimismo, VARGAS LLOSA., es una entidad financiera dedLimada principalmente a
fomentar el ahorro y ofrecer crditos a los sectores populares (Crdito Prendario), a los
pequeos y medianos empresarios (Crditos a la Pequea Empresa) y al empresariado en
general (Crdito Comercial), efectuando para ello las diferentes actividades de
intermediacin financiera que la Ley General lo faculta.

5. NORMATIVA APLLIMABLE A LA ENTIDAD

Base Legal
Normas del COBIT v 4.1 (Objetivos de Control para Tecnologa de Informacin y
Tecnologas Relacionados del IT Governace Institute)
Decreto Supremo N 02-2007-PCM que modifLima el Decreto Supremo N 013-2003PCM, publLimada el 13/02/2005 y su modifLimatoria D.S. N 037-2005-PCM del
11/05/2005. Medidas para garantizar la legalidad de la adquisicin de programas de
software en entidades y dependencias del Sector Pblico.
Resolucin Ministerial N 179-2004-PCM publLimada el 14/06/2004. Aprueban uso
obligatorio de la Norma TcnLima Peruana NTP-ISO/IEC 12207/2004: Tecnologa de la
informacin. Procesos del ciclo de vida del software. 1 Edicin en entidades del Sistema
Nacional de InformtLima, y su modifLimatoria a la Resolucin Ministerial 396-2005PCM publLimada el 08/11/2005.

 Resolucin Jefatural N 053-2003-INEI publLimada el 23/02/2003 Aprueban Directiva

sobre Norma TcnLima para la implementacin del Registro de Recursos Informticos en
las instituciones de la Administracin PblLima
Normas TcnLimas de Control Interno para Tecnologas de Informacin, aprobadas por
la Contralora General de la RepublLima con Resolucin N 320-2006-CG
Resolucin Comisin de Reglamentos Tcnicos y Comerciales N 001-2007-INDECOPICRT del 5 de enero de 2007 se aprob la Norma TcnLima Peruana NTP-ISO/IEC
17799:2007 EDI. Tecnologa de la Informacin. Cdigo de buenas prctLimas para la
gestin de la seguridad de la informacin. 2 Edicin.
Disposiciones emitidas por la Superintendencia de Banca, Seguros y AFP, relacionadas a
la materia del examen
Normativas Internas:
- Reglamento de Organizacin y Funciones vigente
- Manual de Organizacin y Funciones vigente.
- Normativas y Directivas Internas
- Entre otros.
6. INFORME A EMITIR Y FECHA DE ENTREGA
La formulacin del proyecto de informe con los resultados del examen, se realizar en un
plazo mximo de 30 das calendarios de firmado el contrato, el proyecto del informe ser
elaborado de acuerdo con lo indLimado en el artculo 22 de la Resolucin SBS N 116992008
||
La evaluacin se dar inicio el 01 de Noviembre del 2010, culminando con el informe final el
20 de Noviembre del 2010.
7. IDENTIFLIMACIN DE REAS CRTLIMAS
Sobre la base del estudio se identific como rea crtLima al rea de Tecnologa de
Informacin y los Coordinadores de:

Coordinador de Desarrollo.
Coordinador de Produccin.
Coordinador de Soporte.
Analista Funcional.
Programador.
Oficial de Comercio Electrnico.
Operador Help Desk.
Auxiliar de Soporte Tcnico.

8. PUNTOS DE ATENCIN
Hardware
Software
ComunLimaciones
Seguridad fsLima
seguridad lgLima
Integridad de datos
Seguimiento de las medidas correctivas adoptadas a las observaciones realizadas en la
Auditoria de Sistemas llevada a cabo el ao 2008 2009.
9. PERSONAL DE AUDITORIA
El Equipo de Auditoria estar integrado por el siguiente personal:

Nombres y Apellidos
CPC.
Ing. Martin Figueroa Revilla

Cargos
Jefe del OCI
Auditor Encargado

10.FUNCIONARIOS DE LA ENTIDAD A EXAMINAR

Nombres y Apellidos
9999

Cargos
Jefe de Tecnologa de Informacin

11.PRESUPUESTO DE TIEMPO POR CATEGORIAS

Las actividades se desarrollarn segn el cronograma de actividades y de acuerdo al tiempo
(horas/hombre) establecido. (Anexo N 01).
12.PARTICIPACIN DE OTROS PROFESIONALES Y/O ESPECIALISTAS
Se ha considerado la participacin de los siguientes profesionales:
o Ing. TONGO
o Bach. JEFERSON FARFA
o Bach. REYMON MANCO
13.ASPECTOS DENUNCIADOS
Dada la naturaleza de la Entidad ste punto se ha considerado como no aplLimable.
14.PROGRAMA
En Anexo aparte se adjuntan los Programas de Auditoria que contienen los Procedimientos
Especficos.
15.FORMATO TENTATIVO DEL INFORME
El contenido del Informe resultante de la evaluacin realizada, tendr la siguiente
estructura:
I.
II.
III.
IV.
V.
VI.
VII.
VIII.
IX.

MOTIVO DE LA REALIZACIN DEL INFORME

OBJETIVO Y ALCANCE DE LA EVALUACIN
PROCEDIMIENTOS Y TECNLIMAS DE AUDITORA
BASE LEGAL Y NORMATIVA INTERNA
EVALUACIN DE LA SITUACIN DE LA ACTIVIDAD
CONCLUSIONES
MEDIDAS CORRECTIVAS RECOMENDADAS
PERSONAL ENCARGADO DEL EXAMEN
FECHA DE INICIO Y TRMINO
LIMA, Noviembre del 2010

_______________________
CPC.
Jefe del OCI

____________________________
Ing. Jorge Martin Figueroa Revilla
Auditor Encargado

ANEXO N 01
CRONOGRAMA DE ACTIVIDADES
EVALUACIN AL AREA DE TECNOLOGIA DE LA INFORMACION
AL 30 DE ABRIL DEL 2010
ACTIVIDAD

DIAS/UTILES

HORAS

01

HRS/HOMBRE
ESTIMADAS
08

Programacin
Trabajo de Campo

07

08

168

Elaboracin de
observaciones
Eval. Descargos

03

08

72

02

08

16

Elab. Informe

03

08

72

Elevac.Informe

01

08

09

Total

20

08

344

08

EVALUACIN AL AREA DE TECNOLOGIA DE INFORMACION DE LA VARGAS LLOSA

AL 30 DE ABRIL DEL 2010
PROGRAMA DE AUDITORIA

PROCEDIMIENTOS

Objetivo General
Determinar si los niveles de seguridad de la informacin y de
controles internos implementados son adecuados. As mismo,
establecer si se est administrando adecuadamente los riesgos
de operacin y tecnolgicos, relacionados al rea de Tecnologa
de la Informacin.
Procedimiento General
Determinar las responsabilidades de la seguridad de la
informacin en la institucin
2. Determinar si el Departamento de Tecnologa de Informacin
est cumpliendo las funciones asignadas en el Manual de
Organizacin y Funciones.
3. Evaluar la implementacin de controles de seguridad de
informacin y su efectividad.
1.

4.

Procedimientos Especficos
Objetivo N 1
a) Determinar si los niveles de seguridad son adecuados, para
asegurar el cumplimiento de las exigencias normativas del
Sistema Financiero, estableciendo de ser el caso,
operaciones no autorizadas.

1.
2.

3.
4.

5.
6.

Solicitar el plan de contingencias de T.I.

Determinar quien es el responsable por la seguridad lgLima y
fsLima de la informacin y si dicha responsabilidad est
asignada correctamente.
Determinar a travs del organigrama qu unidad funcional
ejerce esta responsabilidad
Entrevistar al personal del rea, a fin de verifLimar que
autorizaciones de los usuarios se han fijado de acuerdo a las
normas y procedimientos establecidos
Determinar qu aplLimaciones de seguridad maneja la
institucin.
Solicitar los registros de auditoria del sistema para determinar

HECHO POR

REF.
P/T

H.H.

PROCEDIMIENTOS

7.
8.
9.

10.

11.

12.
13.

el nivel de proteccin de todos los objetos del sistema.

Revisar las herramientas disponibles en la institucin para
monitorear los intentos de accesos no autorizados al sistema.
Solicitar los perfiles de usuarios
Revisar si la ubLimacin fsLima de los computadores a fin de
determinar si los mismos se encuentran en un espacio fsico
adecuado.
Determinar si existen dispositivos de seguridad fsLima
instalados para prevenir accesos no autorizados a los equipos,
de tal manera prevenir daos a los mismos.
VerifLimar que los sistemas de seguridad, como cerraduras u
otros dispositivos, sean utilizados para prevenir el acceso a
personas no autorizadas en horarios laborales.
Observar si los equipos estn protegidos del calor, polvo e
interrupciones de alto voltaje.
Formule y aplique el Cuestionario de Seguridad de
Informacin al Jefe del rea de Tecnologa de Informacin,
obtenga un entendimiento respecto a los principales
procedimientos y actividades desarrolladas por la misma y
elabore una cdula de trabajo con los principales aspectos.

b) Evaluar la estructura de control interno del Departamento de

Tecnologa de Informacin
1.
2.

Formule y aplique el Cuestionario de Control Interno al Jefe

del rea de Tecnologa de Informacin, obtenga un
entendimiento respecto a los principales procedimientos y
actividades desarrolladas por la misma y elabore una cdula
de trabajo con los principales aspectos

c) Establecer la adecuada administracin de riesgos operativos

y tecnolgicos, relacionados al rea de Tecnologa de
Informacin (Resolucin SBS N216-2009 y Circular SBS N G105-2009; G-139 y G-140) y sus modifLimatorias
d) Determinar si la infraestructura tecnolgLima de
comunLimaciones (Interconexin) se ajusta a las condiciones
de los procesos de negocios de la caja, logrando fluidez de la
informacin entre a oficina principal y agencias.
e) Determinar si la infraestructura tecnolgLima instalada en el
data center son suficientes para dar soporte a los sistemas
de informacin y base de datos con la que trabaja la caja,
teniendo el nmero de usuarios (agencias), procesos y
transacciones.
f) Establecer si la estructura del rea de T.I. es la ms adecuada
para la entidad
g) Determinar el grado de avance de los planes y actividades
propuestos para la entidad
h) Determinar la legalidad de los software adquiridos por la

HECHO POR

REF.
P/T

H.H.

PROCEDIMIENTOS
entidad. (Conforme al Decreto Supremo N013-2003-PCMLegalidad de la adquisicin de los programas de software)

1.

Solicite las poltLimas, procedimientos y directivas referentes

a los controles del hardware, y determine si el personal viene
aplLimando los controles necesarios.

Solicite el inventario de los equipos informticos

(Servidores, equipos de cmputo, impresoras, etc.) con sus
principales caracterstLimas tcnLimas, estado, y determine si
estos estn acorde con los avances tecnolgicos.

Del inventario de equipos informticos, hardware,

instalados en la entidad, proceda a su verifLimacin ocular y/o
inspeccin fsLima, segn sea el caso, a fin de corroborar su
operatividad y estado situacional.

Revise si los Planes de Mantenimiento Preventivo y

Correctivo han sido elaborados de manera tcnLima y determine
si se consideraron las principales actividades de mantenimiento
que coadyuven a la ptima operatividad de los recursos de
hardware

Realice una inspeccin al rea de Soporte Tcnico y

verifique el proceso de mantenimiento correctivo a los equipos de
cmputo, si se controla adecuadamente el cambio de partes y
piezas de los equipos informticos.

Verifique los procedimientos de la Baja de los equipos de

computo y determine si existe un control de los equipos que
encuentran en estado in operativo.

Del inventario de equipos verifique la actual capacidad

logstLima de infraestructura (servidores de datos, computadoras
personales, impresoras, etc.) y determine si se encuentran
dotados de los equipos necesarios para su mxima explotacin.

Determine si las funciones asignadas al personal del rea

de tecnologa de la Informacin son idneas para cumplir con la
eficiente administracin y soporte a los recursos del Hardware.

Objetivo N 2
i)
Determinar si los criterios de control interno
implementados por el rea de Tecnologa de Informacin sobre
el uso de Software permiten satisfacer las necesidades reales de

HECHO POR

REF.
P/T

H.H.

PROCEDIMIENTOS
informacin para el desarrollo institucional.

Solicite el inventario del software con sus respectivas

caracterstLimas tcnLimas y verifLima si existe un control
adecuado de su uso.

Revise los aspectos relacionados a las licencias de

software, verifique su control y determine si stas cubren las
distintas necesidades de operatividad del sistema en su conjunto y
estn legalmente implementados.

Determine si las pruebas del funcionamiento de los

mecanismos de acceso, preservacin, proteccin y restauracin
de las bases de datos y sistemas de informacin, efectuados en la
sala de Servidores estn siendo aplLimados correctamente.

Verifique si las poltLimas, procedimientos y directivas

referentes a los controles del software como son los controles de
instalaciones de software, actualizaciones y registro de versiones y
determine si se lleva un control idneo.

HECHO POR

REF.
P/T

H.H.