Audt Aplicaciones Todo

UNIVERSIDAD NACIONAL DE INGENIERIA AUDITORIA DE APLICACIONES
FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS MUNICIPALIDAD DE SAN JUAN DE LURIGANCHO
UNIVERSIDAD NACIONAL DE INGENIERÍA

FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
MUNICIPALIDAD DE SAN JUAN DE LURIGANCHO

INFORME FINAL DE AUDITORÍA DE APLICACIONES
CURSO : Auditoría de Sistemas ST275-V
DOCENTE : Ing. Arteaga Cortez, Humberto
INTEGRANTES: Chapoñan Chamorro, Cristina

Chumpitaz, Cristhian
Eustaquio Vásquez, R. Eduardo
Navarro Pariona, Juan José
Pango Igei, Gladys
2015 - I
1
INDICE
1 INTRODUCCIÓN.................................................................................................................................. 1-3
2 DESCRIPCIÓN DE LA EMPRESA ........................................................................................................... 2-4
2.1 Datos generales: ........................................................................................................................ 2-4
2.2 Misión ........................................................................................................................................ 2-4
2.3 Visión.......................................................................................................................................... 2-4
2.4 Servicios ..................................................................................................................................... 2-4
2.5 Organigrama .............................................................................................................................. 2-5
2.6 ÁREA DE ESTUDIO ......................................................................................................................... 7
3 ASPECTOS GENERALES .......................................................................................................................... 9
3.1 Matriz de Riesgos .......................................................................................................................... 9
3.1.1 Valoración de Riesgos ......................................................................................................... 10
3.1.2 Matriz de Riesgos ................................................................................................................ 11
3.2 Programa de auditoria ................................................................................................................ 12
3.2.1 Síntomas de auditoría ......................................................................................................... 18
4 INFORME FINAL................................................................................................................................... 18
4.1 Informe Relativo al Examen ........................................................................................................ 18
4.2 Informe Relativo a la Entidad Examinada ................................................................................... 19
4.3 Observaciones Resumidas .......................................................................................................... 21
4.4 Conclusiones ............................................................................................................................... 22
ANEXO ......................................................................................................................................................... 23
1 INTRODUCCIÓN
En el presente trabajo se destaca el papel de los Sistemas de Información para el buen
gobierno empresarial y por ende la importancia que reviste auditar los recursos y
tecnologías que lo soportan. Se enfatiza en la importancia en la Auditoria de Sistemas,
el alcance de funciones que debe de implementar o mejorar en las condiciones propias
de la Municipalidad de San Juan de Lurigancho, distrito perteneciente a Lima
Metropolitana aplicando los siguientes puntos:
 Aspectos Generales de las empresa
 Matriz de riesgos
 Programa de auditoria
En el estudio de auditoria se ha considerado la norma NCI-RCG-320-2006, la Norma
de Auditoria Generalmente Aceptadas - NAGA, en la documentación para el sector
público NAGU-440 y en los objetivos de control TI se revisó el Cobit 4.1.
Y finalmente con ello se informara los exámenes, motivos de los exámenes, sus
naturales y objetivos, el alcance de la auditoria, las observaciones y las relaciones de las
personas comprendidas en las entrevistas.
Página 1-3
2 ACERCA DE LA EMPRESA
2.1 Datos generales:
a. RUC: 20131378034
b. Razón Social: MUNICIPALIDAD DE SAN JUAN DE LURIGANCHO.
c. Página web: http://www.munisjl.gob.pe/
2.2 Misión
La Municipalidad Distrital de San Juan de Lurigancho es un gobierno local que promueve

con transparencia el desarrollo distrital, con el fin de alcanzar una administración estratégica
y sostenible para el bienestar general del ciudadano del distrito.
2.3 Visión
La Municipalidad Distrital de San Juan de Lurigancho es un gobierno local democrático,

eficiente, planificador y competitivo con un modelo de gestión adecuado a la realidad del
distrito que fomentará la vocación del servicio y contribuirá para mejorar la calidad de vida
de los ciudadanos del distrito.
2.4 Servicios
Las competencias exclusivas y/o compartidas de la municipalidad con respecto a los

servicios brindados a su comunidad están comprendidas en los siguientes materias:
Organización del espacio físico y usos del suelo.
 Servicios público locales.
 Protección y conservación del medio ambiente.
 Desarrollo económico local.
 Participación vecinal.
 Servicios sociales locales.
La Municipalidad de San Juan de Lurigancho realiza sus funciones relacionadas a los
servicios brindados hacia la comuna del distrito valiéndose de los siguiente Órganos de
Línea:
 Gerencia de Rentas,
o Sub Gerencia de Administración Tributaria,
o Sub Gerencia de Recaudación y Control,
o Sub Gerencia de Fiscalización Tributaria,
o Sub Gerencia de Ejecutoría Coactiva Tributaria
 Gerencia de Servicios a la Ciudad,
o Sub Gerencia de Limpieza Pública,
o Sub Gerencia de Parques y Jardines
 Gerencia de Desarrollo Económico,
o Sub Gerencia de Formalización y Promoción Empresarial,
o Sub Gerencia de Control, Operaciones y Sanciones,
o Sub Gerencia de Defensa Civil,
o Sub Gerencia de Transporte, Tránsito y Vialidad,
o Sub Gerencia de Ejecutoría Coactiva Administrativa
 Gerencia de Seguridad Pública y Convivencia Pacífica
 Gerencia de Desarrollo Urbano,
o Sub Gerencia de Planeamiento Urbano y Catastro,
o Sub Gerencia de Inversión Pública,
o Sub Gerencia de Obras Privadas y Habilitaciones Urbanas
 Gerencia de Desarrollo Social,
o Sub Gerencia de Desarrollo Humano,
o Sub Gerencia de Participación Vecinal,
o Sub Gerencia de Programas Sociales
2.5 Organigrama
Se presenta el organigrama general de la Organización.
Página 2-5
1
2.6 ÁREA DE ESTUDIO
Para la realización del presente estudio de auditoria de aplicativos se ha

seleccionado a la Gerencia de Rentas y sus subgerencias de la Municipalidad.
La Gerencia de Rentas depende funcionalmente de la Gerencia Municipal, quien a su
vez depende funcionalmente de Alcaldía.
La Alcaldía es el máximo órgano ejecutivo del gobierno local, liderado por el Alcalde,
quien es el representante legal de la Municipalidad y su máxima autoridad, técnica,
administrativa y política.
Tiene la responsabilidad de dirigir, supervisar y evaluar el alcance de las metas
establecidas de acuerdo a los lineamientos de política del Concejo Municipal.
La Gerencia Municipal, es el órgano de dirección del más alto nivel técnico
administrativo de la Municipalidad Distrital de San Juan de Lurigancho, encargada
del buen funcionamiento óptimo de las unidades orgánicas competentes, de hacer
cumplir las actividades administrativas y de la presentación de los servicios a la
comunidad.
La Gerencia de Rentas es un órgano de línea que tiene como objetivo administrar los
tributos y rentas municipales, así como planificar, organizar, dirigir, coordinar y
controlar las actividades de administración, recaudación, fiscalización, determinación
y supervisión de los ingresos tributarios de la Municipalidad. Asimismo, realizar las
cobranzas regulares y coactivas y ejecuciones forzosas de acuerdo a las normas y
dispositivos legales vigentes, así como proponer las medidas sobre políticas
tributarias y de simplificación y reestructuración del sistema tributario municipal.
Con el propósito que la Gerencia de Rentas cumpla sus objetivos y fines, está
conformada por 4 subgerencias, los cuales se mencionan a continuación:
 Subgerencia de Administración Tributaria
 Subgerencia de Recaudación y Control
 Subgerencia de Fiscalización Tributaria
 Subgerencia de Ejecutoria Coactiva Tributaria
1
La Sub Gerencia de Administración Tributaria es un órgano de línea de la Gerencia

de Rentas, que tiene como objetivo administrar el servicio de asesoría y orientación
al contribuyente, propendiendo a generar satisfacción en el contribuyente o usuario,
proporcionando información objetiva y asistencia oportuna, fomentando la
información de una actitud cívica orientada al respeto y cumplimiento de las normas
tributarias y de acuerdo a los dispositivos legales vigentes.
La Sub Gerencia de Recaudación y Control tiene como objetivo realizar la gestión de

cobranza ordinaria de las deudas tributarias, ejerciendo actos que impulsen el
cumplimiento tributario.
La Sub Gerencia de Fiscalización Tributaria tiene como objetivo incentivar la

formación de una actitud cívica orientada al respeto y cumplimiento de las normas
tributarias, así como fiscalizar y controlar la veracidad de la información
proporcionada en las declaraciones juradas y detectar a los contribuyentes morosos,
omisos, sub valuadores y evasores de los tributos o sanciones impuestas.
UNIVERSIDAD NACIONAL DE INGENIERIA AUDITORIA DE
APLICACIONES
La Sub Gerencia de Ejecutoría Coactiva es un órgano de línea de la Gerencia

Rentas, que tiene como objetivo ejercer los actos de ejecución coactiva a fin de
garantizar el cobro de las obligaciones tributarias y no tributarias de los
contribuyentes, así como de hacer cumplir las disposiciones municipales conforme a
ley.
3 ASPECTOS GENERALES
3.1 Matriz de Riesgos
Análisis de riesgos
El activo más importante que se posee es la información y, por lo tanto, deben existir
técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los
equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que
consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los
datos y solo permiten acceder a ellos a las personas autorizadas para hacerlo.
Los medios para conseguirlo son:
 Restringir el acceso (de personas de la organización y de las que no lo son) a

los programas y archivos.
9
Auditoría de Sistemas
 Asegurar que los operadores puedan trabajar pero que no puedan modificar los
programas ni los archivos que no correspondan (sin una supervisión
minuciosa).
 Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el
procedimiento elegido.
 Asegurar que la información transmitida sea la misma que reciba el destinatario
al cual se ha enviado y que no le llegue a otro.
 Asegurar que existan sistemas y pasos de emergencia alternativos de
transmisión entre diferentes puntos.
 Organizar a cada uno de los empleados por jerarquía informática, con claves
distintas y permisos bien establecidos, en todos y cada uno de los sistemas o
aplicaciones empleadas.
 Actualizar constantemente las contraseñas de accesos a los sistemas de
cómputo.
Las amenazas
Una vez que la programación y el funcionamiento de un dispositivo de
almacenamiento (o transmisión) de la información se consideran seguras, todavía
deben ser tenidos en cuenta las circunstancias "no informáticas" que pueden afectar a
los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la única
protección posible es la redundancia (en el caso de los datos) y la descentralización
(por ejemplo mediante estructura de redes en el caso de las comunicaciones).
Estos fenómenos pueden ser causados por:
 El usuario: causa del mayor problema ligado a la seguridad de un sistema
informático.
 Programas maliciosos: programas destinados a perjudicar o a hacer un uso
ilícito de los recursos del sistema. Es instalado en el ordenador abriendo una
puerta a intrusos o bien modificando los datos.
 Un intruso: persona que consigue acceder a los datos o programas de los
cuales no tiene acceso.
 Un siniestro, una mala manipulación o una mal intención derivan a la pérdida
del material o de los archivos.
 El personal interno de Sistemas. Las pujas de poder que llevan a disociaciones
entre los sectores y soluciones incompatibles para la seguridad informática.
Técnicas de aseguramiento del sistema

 Codificar la información.
 Vigilancia de red.
 Tecnologías repelentes o protectoras.
3.1.1 Valoración de Riesgos

De acuerdo a los riesgos citados, se realiza la valoración de los riesgos teniendo en
cuenta la probabilidad de ocurrencia y el impacto del riesgo dentro de la red de datos
de las aulas de informática de la institución educativa, para ello se realiza la siguiente
tabla donde se valoran los riesgos para su posterior clasificación. Tabla 1.
APLICACIONES
Probabilidad Impacto
Riesgo / Valoracion
A M B L M C
Inexistencia de los manuales técnicos y de usuario
R1 x x
de los aplicativos de la gerencia de rentas.
R2 Desactualización de los documentos de Gestion x x
Personal Encargado del mantenimiento de los

R3 x x
equipos no capacitados adecuadamente
Insuficiente informes de gestión que ayude a la toma
R4 x x
de decisiones gerenciales
No se hace monitoreo sobre de los servicios

R5 x x
contratados de mantenimiento de Equipos
No se hace inventario de existencias de equipos de

R6 x x
computo
No se lleva monitoreo de la capacidad del servidor
de aplicaciones con el fin de asegurar que siempre
R7 x x
exista una capacidad justificable para procesar las
cargas de trabajo
Falta de procedimientos y estándares de desarrollo
R8 x x
de aplicaciones
Inexistencia de Directivas que guíen las actividades
R9 x x
de las áreas de la gerencia de rentas
Demora en la atención de nuevas funcionalidades de
R10 x x
las aplicaciones
Probabilidad Impacto
Alta: A Catastrofico: C
Mediana: M Moderado: M
Baja: B Leve: L
3.1.2 Matriz de Riesgos

De acuerdo a la valoración que se hace a los riesgos encontrados en la visita que se
realiza a la institución educativa y a las instalaciones de las aulas de informáticas, se
puede clasificar los riesgos como se muestra en la tabla 2.
11
LEVE MODERADO CATASTROFICO

ALTO R3 R4,R6,R7
MEDIO R2,R8 R9,R10
BAJO R5 R1
3.2 Programa de auditoria

OBJETIVO RECURSO
CODIGO OBJETIVOS ESPECÍFICOS TIEMPO
GENERAL HUMANO
1. Solicitud de manuales y
1 hora Navarro Juan
Documentación.
2. Elaboración de
1 hora Pango Gladys
cuestionarios.
3. Recopilación de
2 horas Navarro Juan
Información
4. Verificar el plan
estratégico
5. Verificar si el diseño de
las nuevas aplicaciones o
de las modificaciones a
los módulos puestos en 1 hora Pango Gladys
VISTA
producción, son
01 PRELIMINAR
revisados y aprobados
por la Gerencia de TI.
6. Verificar que existan
políticas de seguridad,
definidas y aprobadas
por la Administración.
7. Verificar que existan
contratos de
mantenimiento
preventivo y correctivo 1 hora Pango Gladys
para el equipo
informático de la
institución.
1
8. Identificar la existencia
de un plan de 2 horas Navarro Juan
contingencia
9. Verificar que la Unidad
de comunicaciones este
integrada por el personal 1 hora Pango Gladys
definido en el
organigrama.
1. Aplicación de
cuestionarios al personal
2. Análisis de las claves de
acceso, control,
2 hora Pango Gladys
seguridad, confiabilidad y
respaldos
3. Verificar si el diseño de
las nuevas aplicaciones o
de las modificaciones a
DESARROLLO
los módulos puestos en 2 horas Navarro Juan
02 DE LA
producción, son
AUDITORIA
revisados y aprobados
por la Gerencia de TI.
4. Verificar e Identificar
quienes son los
responsables de aprobar
cualquier proyecto de 2 hora Pango Gladys
desarrollo,
implementación o
modificación.
5. Verificar que las políticas

contengan mecanismos
para medir: riesgos y
amenazas, análisis de
riesgos, plan de
seguridad, controles 2 horas Navarro Juan
preventivos y correctivos,
plan de contingencia,
biometría, firma
digitales, protección y
defensas.
6. Verificar la programación
del mantenimiento
preventivo y correctivo,
con la finalidad de 2 hora Pango Gladys
reducir la frecuencia y el
impacto de fallas de
rendimiento.
7. Verificar cuál es el
proceso de notificación
de las fallas del equipo
informático y como se
documenta dicho
proceso.
8. Verificar si el
mantenimiento cubre la
2 hora Pango Gladys
totalidad del equipo de
cómputo o si es algún
15
equipo especifico.
9. Verificar la existencia de
un Inventario de
direcciones IP asignada a
los usuarios, con la
información general
asociada a cada IP.
10. Verificar el inventario del
software instalado en la
red, por ejemplo: sistema
operativo, lenguajes, 2 hora Pango Gladys
programas, paqueterías,
utilerías y demás
software institucional.
1. Evaluar la existencia de
aprobación del grupo de
usuarios que utilizaran
las aplicaciones
2. Evaluar la existencia de
verificación de pruebas
REVISIÓN Y 1 hora Juan Navarro
que el sistema deba
03 PRE-
superar
INFORME
3. Comprobación de los
roles en el uso de las 1 hora Juan Navarro
diferentes aplicaciones
4. Comprobación de la
seguridad de datos en las 2 horas Juan Navarro
aplicaciones
5. Comprobación de los
alcances de las 2 hora Pango Gladys
aplicaciones
6. Determinación del
diagnóstico e 2 horas Navarro Juan
implicaciones
1. Elaboración y
6 hora Juan Navarro
presentación del informe
04 INFORME
2. Recomendaciones y uso
2 hora Juan Navarro
de buenas practicas
17
3.2.1 Síntomas de auditoría

Las empresas acuden a las auditorías externas cuando existen síntomas bien
perceptibles de debilidad. Estos síntomas pueden agruparse en clases:
 Síntomas de descoordinación y desorganización

 Síntomas de mala imagen e insatisfacción de los usuarios
 Síntomas de debilidades económico-financieras:
 Síntomas de Inseguridad: Evaluación de nivel de riesgos.
4 INFORME FINAL
4.1 Informe Relativo al Examen
Motivo del Examen
La auditoría a la gerencia de rentas y sus cuatro subgerencias: registro, fiscalización,

recaudación y coactiva de la municipalidad de San Juan de Lurigancho, se realizó con
fines académicos para el curso de Auditoría de Sistemas de la carrera de Ingeniería de
Sistemas de la Universidad Nacional de Ingeniería, como una aplicación práctica de la
aplicación de la auditoría a una entidad del Estado.
Naturaleza y objetivos
El presente examen especial corresponde a una auditoría de Aplicaciones cuyos

objetivos fueron los siguientes:
Objetivo General
Determinar que las aplicaciones efectuadas por la Municipalidad de San Juan de

Lurigancho, se están ejecutando de acuerdo a las normativas y buenas prácticas de la
ejecución de las aplicaciones.
Objetivos específicos
a) Revisar el cumplimiento completo de la ejecución de las aplicaciones.

b) Verificar el cumplimiento de los manuales técnicos y de usuarios.
Alcance
El presente examen se realizó de acuerdo con la Resolución de la Contraloría

General de la República N° 063-2007-CG y con las Normas de Auditoria
1
APLICACIONES
Generalmente Aceptadas – NAGA y las Normas de Auditoria Gubernamental- NAGU,

estas últimas aprobadas mediante resolución de contraloría N° 162-95-CG del
22.Set.95 y modificadas mediante Resoluciones de Contraloría N° 246-95-CG del
28.Dic.95, 112-97-CG del 20.Jun.97, 141-99-CG del 25.NOV.99 y 259.2000-CG del
13.Dic.2000, y comprendió la revisión y análisis selectivo de las operaciones,
registros y documentos utilizados en la gerencia de rentas y sus, por el período del 28
de abril al 02 de julio del 2015, habiéndose extendido el alcance a sus cuatro sub
gerencias (Registro, Fiscalización, Recaudación y Coactiva) por efecto de análisis y
seguimiento para lograr los objetivos previstos.
Comunicación de las observaciones
En concordancia con las normas de control interno de la empresa, los hallazgos

resultantes del examen especial serán comunicados a la gerencia de rentas, y sus
cuatro sub gerencias (Registro, Fiscalización, Recaudación y Coactiva) comprendidos
en las hechos observados con el sustento documentario pertinente, cuyas respuestas
serán evaluadas, quedando subsistentes los aspectos que se revelarán en las
observaciones del presente informe.
4.2 Informe Relativo a la Entidad Examinada
Antecedentes y Base Legal
Creación de la Entidad
Durante el primer gobierno del Arq. Fernando Belaunde Terry, el 13 de Enero

de 1967, según ley No 16382 se crea el Distrito de San Juan De Lurigancho, su
primer Alcalde el Dr. Luis Suárez Cáceres fue nombrado por el gobierno militar
del General Juan Velasco Alvarado
Propósito
La Municipalidad Distrital de San Juan de Lurigancho asume el rol promotor

creando condiciones y escenarios del entorno institucional que le confiere la ley
con responsabilidad y transparencia en los objetivos, funciones, competencias
y facultades conferidas a los Gobiernos Locales para convertirse en una
institución sólida, eficiente y sostenible
Naturaleza Jurídica
La Municipalidad Distrital de San Juan de Lurigancho, es un Gobierno Local

promotor del Desarrollo Local, que emana de la voluntad popular. Tiene
personería jurídica de derecho público y aplica las leyes y disposiciones de
19
conformidad con las facultades establecidas por la Constitución Política del

Perú.
Autonomía
La Municipalidad Distrital de San Juan de Lurigancho es una entidad con

autonomía política, económica y administrativa en los asuntos de su
competencia y ejerce funciones y atribuciones que le señalan la Constitución y
la Ley Orgánica de Municipalidades. Regula sus actividades y funcionamiento
administrativo de acuerdo a lo dispuesto para el Sector Público Nacional, en lo
que no vulnere su autonomía.
Base Legal
APLICACIONES
Relación de las Personas comprendidas en las Observaciones
 Gerente de Rentas: Jimmy Solórzano Orco

 Subgerente de Administración Tributaria: Carlos Sandoval
 Subgerente de Recaudación y Control: Renzo Trefogli Zuloaga
 Subgerente de Fiscalización Tributaria: Miguel Calizaya Velezmoro
 Subgerente de Ejecutoria Coactiva Tributaria: Edwin Mendoza Ramirez
 Subgerente de Informática: José Peñaloza Delgado
4.3 Observaciones Resumidas
Como resultado de la auditoria a los aplicativos de la gerencia de rentas de la

municipalidad se formula las siguientes observaciones:
1.- Desactualización de documentos de gestión como el manual de organización y

funciones, el reglamento de organización y funciones, el manual de procedimientos, el
texto único de procedimientos administrativos, el plan estratégico institucional y el plan
21
operativo institucional, además de la inexistencia de Directivas que guíen las

actividades de las áreas de la gerencia de rentas.
2.- Inexistencia de los manuales técnicos y de usuario de los aplicativos de la gerencia

de rentas.
3.- Deficiente desempeño del servidor de aplicaciones
4.- Demora en la atención de nuevas funcionalidades de las aplicaciones

5.- Elaboración de informes ejecutivos de forma manual mediante el uso de hojas de
cálculo en excel por los trabajadores de las distintas áreas de la gerencia de rentas
con el propósito de apoyar el proceso de toma de decisiones gerenciales.
6.- Elaboración de informes ejecutivos de forma aislada mediante el uso de hojas de

7.- Falta de seguridad de acceso a los datos
8.- Falta de procedimientos y estándares de desarrollo de aplicaciones
9.- Falta del plan de contingencia que brinde la seguridad de la información
10.- Falta de consistencia en la entrada de datos de los aplicativos
4.4 Conclusiones
 En las áreas de rentas de la Municipalidad existen actividades manuales,

aisladas e irrelevantes de procesamiento de información por falta de la
existencia de un sistema informático de inteligencia de negocios en la gerencia
de rentas.
 Con la auditoría realizada, se puede observar que no se cumplen los
estándares mínimos para las aplicaciones de la gerencia de rentas.
APLICACIONES
ANEXO
Nº DE LA OBSERVACIÓN: #1
1.- Sumilla
Falta de actualización de documentos de gestión.
2.- Condición
Durante la auditoría realizada a la Municipalidad de San Juan de Lurigancho para el
período del 28 de abril al 02 de julio del 2015 se pudo verificar la falta de actualización
de documentos de gestión, además de la inexistencia de Directivas que guíen las
actividades de las áreas de la gerencia de rentas y sus cuatro sub gerencias (Registro,
Fiscalización, Recaudación y Coactiva).
3.- Criterio
Desde el punto de vista legal, el COBIT versión 4, AI2, articulo 10 que a la letra dice:
“Desarrollar una estrategia y un plan para el mantenimiento…actualización…, revisión
periódica de acuerdo a las necesidades del negocio, riegos y requerimientos de
seguridad.”, la misma que se ha omitido por falta de actualizaciones de los
documentos.
4.- Causa
Se ha podido verificar que, la gerencia de rentas y sus cuatro sub gerencias (Registro,
Fiscalización, Recaudación y Coactiva) no cuenta con la actualización de manual de
organización y funciones, el reglamento de organización y funciones, el manual de
procedimientos, el texto único de procedimientos administrativos, el plan estratégico
institucional y el plan operativo institucional, además de la inexistencia de Directivas
que permitan guiar la validación las actividades de las áreas de la gerencia de rentas y
sus cuatro sub gerencias.
5.- Efecto
Se ha podido verificar la falta de objetivos que debe llegar la gerencia de rentas del 28
de abril al 02 de julio del 2015, además de demora de procesos determinados que
deben presentar por falta de un manual, ya que en algunos períodos no se encuentra
el personal que lo generó por primera vez.
6.- Recomendación
Se recomienda a la Gerencia General que a través de la Gerencia de Rentas, provea

las capacitaciones para las actualizaciones de los documentos para que puedan
realizar las actividades que deben realizar.
23
1.- Sumilla
Falta de manuales técnicos y de usuario de los aplicativos de la gerencia de rentas.
2.- Condición
período del 28 de abril al 02 de julio del 2015 se pudo verificar la falta de actualización
de documentos de gestión como el manual de organización y funciones, el reglamento
de organización y funciones, el manual de procedimientos, el texto único de
procedimientos administrativos, el plan estratégico institucional y el plan operativo
institucional, además de la inexistencia de Directivas que guíen las actividades de las
áreas de la gerencia de rentas y sus cuatro sub gerencias (Registro, Fiscalización,
Recaudación y Coactiva).
3.- Criterio
“Desarrollo de un plan de entrenamiento que aborde al entrenamiento inicial y al
continuo, así como el desarrollo de habilidades, materiales de entrenamiento,
manuales de usuario, manuales de procedimiento, ayuda en línea, asistencia a
usuarios, identificación del usuario clave...”, la misma que se ha omitido por falta de
manuales técnicos y de usuario de los aplicativos.
4.- Causa
Fiscalización, Recaudación y Coactiva) no cuenta con manuales técnicos y de usuario
de los aplicativos que detallen los procedimientos formales que permitan su ejecución
correcta y, además que permite que se pueda acceder sin necesidad de un usuario
específico.
5.- Efecto
Se ha podido verificar el error de algunos informes que son generados de los
procedimientos que no tienen un manual específico.
6.- Recomendación
Se recomienda a la Gerencia General que a través de la Gerencia de Rentas, provea

las capacitaciones para la generación de los manuales técnicos y usuarios de los
aplicativos para mayor seguridad de información de la Gerencia de Rentas.
APLICACIONES
1.- Sumilla
Deficiencias en el servidor de aplicaciones.
2.- Condición
período del 28 de abril al 02 de julio del 2015 se pudo verificar en el servidor de
aplicaciones deficiencias de desempeño en el software de conectividad (middleware).
3.- Criterio
“Desarrollar, implantar los recursos y ejecutar un plan de aseguramiento de calidad del
software, para obtener la calidad que se especifica en la definición de los
requerimientos y en las políticas y procedimiento de calidad de la organización…
validación y verificación, incluyendo inspección, revisión de algoritmos y código fuente
y pruebas..”, la misma que se ha omitido por deficiencias en el servidor de
aplicaciones.
4.- Causa
Fiscalización, Recaudación y Coactiva) no cuenta con una política de aseguramiento
de la calidad de software con la que puedan verificar y validar la calidad del software
obtenido.
5.- Efecto
Se ha podido verificar errores de middleware del 28 de abril al 02 de julio del 2015,
además de demoras en accesos de los usuarios al portal intranet.
6.- Recomendación
Se recomienda a la Gerencia General que a través de la Gerencia de Rentas,

implemente políticas de calidad de software para que no ocurran estos contratiempos.
25
1.- Sumilla
Deficiencia en funcionalidades nuevas de las aplicaciones.
2.- Condición
período del 28 de abril al 02 de julio del 2015 se pudo verificar errores en las nuevas
funcionalidades en las aplicaciones.
3.- Criterio
“Desarrollar, implantar los recursos y ejecutar un plan de aseguramiento de calidad del
software, para obtener la calidad que se especifica en la definición de los
requerimientos y en las políticas y procedimiento de calidad de la organización…
validación y verificación, incluyendo inspección, revisión de algoritmos y código fuente
y pruebas..”, la misma que se ha omitido por deficiencias en el servidor de
aplicaciones.
4.- Causa
Fiscalización, Recaudación y Coactiva) no cuenta con una política de aseguramiento
de la calidad de software con la que puedan verificar y validar la calidad del nuevo
software adquirido.
5.- Efecto
Se ha podido verificar demoras en los procesos que usan estas las aplicaciones con
nuevas funcionalidades del 28 de abril al 02 de julio del 2015.
6.- Recomendación
Se recomienda a la Gerencia General que a través de la Gerencia de Rentas,

implemente políticas de calidad de software para que no ocurran estos contratiempos.
APLICACIONES
N° DE LA OBSERVACION: #5
1.- Sumilla
Elaboración de informes ejecutivos de forma manual mediante el uso de hojas de
2.- Condición
En las áreas de la gerencia de rentas de la municipalidad se ha detectado que
existen trabajadores que ocupan puestos de analistas tributarios, que en su mayoría
son profesionales de Derecho y Administración cuyas responsabilidades laborales
incluyen elaborar informes ejecutivos de información relevante de tributación
mediante el uso de hojas de cálculo en Excel para apoyar el proceso de toma de
decisiones de los jefes y gerentes de la administración tributaria de la municipalidad.
3.- Criterio
Según el MOF en el numeral 9.4 expresa que una de las funciones de los analistas
tributarios es “elaborar informes ejecutivos de información relevante de tributación”
4.- Causa
Falta de un sistema informático de inteligencia de negocios que provea información
relevante para la toma de decisiones gerenciales.
5.- Efecto
Pérdida de tiempo en actividades de procesamiento que podrían ser automatizables,
aumento de costos de los servicios brindados por las áreas de rentas, deficiencia en
las actividades de análisis y toma de decisiones, y perdida de oportunidad en la toma
de mejores decisiones gerenciales.
6.- Recomendación
Implementar un datamart de business intelligence en la gerencia de rentas con el
propósito de proveer información relevante a los gerentes y jefes.
27
N° DE LA OBSERVACION: #6
1.- Sumilla
Elaboración de informes ejecutivos de forma aislada mediante el uso de hojas de
2.- Condición
En las áreas de la gerencia de rentas de la municipalidad se ha detectado que
existen trabajadores que ocupan puestos de analistas tributarios, que en su mayoría
son profesionales de Derecho y Administración cuyas responsabilidades laborales
incluyen elaborar informes ejecutivos de información relevante de tributación de
forma aislada mediante el uso de hojas de cálculo en excel para apoyar el proceso
de toma de decisiones de los jefes y gerentes de la administración tributaria de la
municipalidad.
3.- Criterio
Según el MOF en el numeral 9.4 expresa que una de las funciones de los analistas
tributarios es “elaborar informes ejecutivos de información relevante de tributación”
4.- Causa
Falta de un sistema informático de inteligencia de negocios que provea información
relevante e integrada para la toma de decisiones gerenciales.
5.- Efecto
Pérdida de tiempo en actividades de procesamiento que podrían ser automatizables,
aumento de costos de los servicios brindados por las áreas de rentas, deficiencia en
las actividades de análisis y toma de decisiones, y perdida de oportunidad en la toma
de mejores decisiones gerenciales.
6.- Recomendación
Implementar un datamart de business intelligence en la gerencia de rentas con el
propósito de proveer información relevante e integrada a los gerentes y jefes.
APLICACIONES
Falta de seguridad de acceso a los datos
1. Sumilla
La falta de estándares y políticas de Seguridad de acceso a los datos del sistema de la

Municipalidad de San Juan de Lurigancho
2. Condición

aplicaciones la falta de estándares y políticas que aseguren el acceso a los datos del
sistema
3. Criterio
“Desarrollar, Implementar los recursos y ejecutar un plan de aseguramiento de calidad

del software, para obtener la calidad que se especifica en la definición de los
requerimientos y en las políticas y procedimientos de calidad de la organización”, la
misma que se ha omitido por deficiencias en el servidor de aplicaciones.
4. Causa
Fiscalización, Recaudación y Coactiva) no cuenta con políticas y estándares de
calidad y seguridad que verifiquen y validen la confidencialidad e integridad de la
información, permitiendo el acceso sólo a usuarios específicos
5. Efecto
Se ha podido verificar el libre acceso de diversos usuarios a las aplicaciones sin un

control pertinente, pudiendo estos tener accesos no autorizados, lo que podría traer
consigo divulgación de información importante que podría perjudicar a la Municipalidad
de San Juan de Lurigancho
29
6. Recomendación
Se recomienda a la Gerencia General que a través de la Gerencia de Sistemas,

implemente políticas de calidad de software
 Restringir el acceso (de personas de la organización y de las que no lo son) a

los programas y archivos.
 Asegurar que los operadores no autorizados puedan trabajar pero que no

puedan modificar los programas ni los archivos que no correspondan (sin una
supervisión minuciosa).
 Asegurar que la información transmitida sea la misma que reciba el destinatario

al cual se ha enviado y que no le llegue a otro.
 Organizar a cada uno de los empleados por jerarquía informática, con claves
distintas y permisos bien establecidos, en todos y cada uno de los sistemas o
aplicaciones empleadas.
 Actualizar constantemente las contraseñas de accesos a los sistemas de

cómputo.
Falta de procedimientos y estándares de desarrollo de aplicaciones
1. Sumilla
La Inexistencia de procedimientos y estándares para el desarrollo de las aplicaciones

para el sistema de la Municipalidad de San Juan de Lurigancho
2. Condición

aplicaciones la falta de procedimientos y estándares para el desarrollo de las
aplicaciones
3. Criterio
APLICACIONES
“Garantizar que la funcionalidad de automatización se desarrolla de acuerdo a las

especificaciones de diseño, los estándares de desarrollo y documentación, los
requerimientos de calidad y estándares de aprobación. Asegurar que todos los
aspectos legales ycontractuales se identifican y direccionan para el software aplicativo
desarrollado.”, la misma que se ha omitido por deficiencias en el servidor de
aplicaciones.
4. Causa
Fiscalización, Recaudación y Coactiva) no cuenta con procedimientos especificados y
estándares de calidad para el correcto desarrollo de las aplicaciones del sistema,
5. Efecto
Se ha podido verificar que las aplicaciones no cumplen los mismos patrones de

desarrollo, no están estandarizados ni tienen procedimientos establecidos para el
desarrollo de las aplicaciones, lo que trae consigo demoras en los procesos y entregas
de las aplicaciones, no contar con una plantilla fija para la creación de las mismas y no
se logra la continuidad del servicio
6. Recomendación
Se recomienda a la Gerencia General que a través de la Gerencia de Sistemas,

implemente políticas de calidad de software
 Implementación de procedimientos
 Estandarización de los procesos de desarrollo de aplicaciones
 Formalización de la administración de continuidad del servicio de TI
 Conservación del conocimiento en la organización de TI
Al realizar una Auditoria a una Institución Pública “MUNICIPALIDAD DE SAN JUAN

DE LURIGANCHO” para el periodo 2015, se dio énfasis a verificar la falta del plan de
contingencia que brinde la seguridad de la información en la aplicaciones usadas en a
la Gerencia de Rentas y sus subgerencias, obteniéndose la siguiente información:
31
Se pudo verificar con el documento Memo-23-GR-2015 de fecha 10 de Marzo que la

Gerencia de Rentas (G.R) se había quejado ante la Subgerencia de Informática (S.I)
sobre incumplimiento de la elaboración de un plan de contingencia que permita el nivel
adecuado de seguridad física, o grado de seguridad, que es un conjunto de acciones
utilizadas para evitar el fallo o, en su caso, aminorar las consecuencias que se puedan
generar. Consultado a la S.I señaló que dicha elaboración no son su responsabilidad y
que ellos no cuentan con personal para elaborar dicho plan, Además la S.I solicito la
contratación de personal con experiencia en planes de contingencia con el documento
Memo-15-SI-2015 de fecha 10 de Enero del 2015. Consultado al Área de Recursos
Humanos sobre dicha solicitud, esta respondió que no se realizó la convocatoria por
políticas internas en las cuales las convocatorias son anuales y en el mes de junio.
1. Sumilla
Falta del plan de contingencia que brinde la seguridad de la información.
2. Condición
Durante la Auditoria a una Institución Pública “MUNICIPALIDAD DE SAN JUAN DE

LURIGANCHO” para el periodo 2015, se dio énfasis a verificar la falta del plan de
contingencia que brinde la seguridad de la información en la aplicaciones usadas en a
la Gerencia de Rentas y sus subgerencias, se pudo verificar el incumplimiento de la
elaboración de los planes de contingencias, la cual se evidencia documento Memo-23-
GR-2015 de fecha 10 de Marzo. La S.I señaló que dicha elaboración no son su
responsabilidad y que ellos no cuentan con personal para elaborar dicho plan, Además
la S.I solicito la contratación de personal con experiencia en planes de contingencia
con el documento Memo-15-SI-2015 de fecha 10 de Enero del 2015, a lo que
Recursos humanos que no se realizó la convocatoria por políticas internas en las
cuales las convocatorias son anuales y en el mes de junio.
3. Criterio
Desde el punto de Vista Legal, la NCI – 320, en el punto 3.10. “Controles para las
Tecnologías de la Información y Comunicaciones”, comentario 07, que la letra dice
“Para el adecuado ambiente de control en los sistemas informáticos… Para ello se
debe elaborar, mantener y actualizar periódicamente un plan de contingencia
debidamente autorizado y aprobado…”, La misma que se ha omitido por falta de la
elaboración de dicho plan de contingencia.
4. Causa
Se ha podido verificar que la S.I solicito la contratación de personal con experiencia en

planes de contingencia con el documento Memo-15-SI-2015 de fecha 10 de Enero del
APLICACIONES
2015, que el área de Recursos Humanos habría incumplido con la convocatoria. Sin
embargo Recursos humanos dijo que no se realizó la convocatoria por políticas
internas en las cuales las convocatorias son anuales y en el mes de junio. Lo cual
evidencia que la S.I envió a destiempo su solicitud de contratación de trabajadores.
5. Efecto
Si bien es cierto no se han encontrado daños económicos vemos que la probabilidad

de que ocurra un desastre es muy baja, aunque se diera, el impacto podría ser tan
grande que resultaría fatal para la organización. Se
Deduce la necesidad de contar el Plan de Recuperación de Desastres que junto con el

Centro Alternativo de Proceso de Datos, constituye el plan de contingencia que
coordina las necesidades del negocio y las operaciones de recuperación del mismo.
6. Recomendación
Se recomienda a la S.I La información y programas de los Sistemas de información en

los Servidores de la Red y Las computadoras personales, debe ser cuidadosamente
protegida en doble respaldo. El primer respaldo será almacenado en los servidores y
la segunda copia deberá ser almacenada en un ambiente externo.
Para la información almacenada en las aplicaciones se debe diseñar procedimientos

para obtener respaldos diarios, semanales y mensuales. Para realizar estas
actividades de manera automática.
Al realizar una Auditoria a una Institución Pública “MUNICIPALIDAD DE SAN JUAN

DE LURIGANCHO” para el periodo 2015, se dio énfasis a verificar la Falta de
consistencia en la entrada de datos de los aplicativos en las aplicaciones usadas en a
la Gerencia de Rentas y sus subgerencias, obteniéndose la siguiente información:
Se pudo verificar con el documento Memo-23-GR-2015 de fecha 15 de Mayo que la

Subgerente de Administración Tributaria (S.A.T) se había quejado ante la Gerencia de
Rentas (G.R) sobre un error en el porcentaje de cobros tasas de los arbitrios, lo cual
genero una pérdida de s/ 5000.00. Consultado a la S.I señaló que dicha no se
actualizó porque ellos no recibieron la documentación de dicho cambio por parte de la
S.A.T, a lo que S.A.T respondió que no es su responsabilidad enviar esa información
que aquello era responsabilidad de la G.R Además la G.R argumento que el servicio
que ellos utilizan para la actualización de la tasa estaba caído y que ellos supusieron
que las tasas no habían variado.
33
1. Sumilla
Error en el cobro de los arbitrios por parte de la aplicación de Administración

Tributaria.
2. Condición
Durante la Auditoria a una Institución Pública “MUNICIPALIDAD DE SAN JUAN DE

LURIGANCHO” para el periodo 2015, se dio énfasis se dio énfasis a verificar la falta
de consistencia en la entrada de datos de los aplicativos usados en a la Gerencia de
Rentas y sus subgerencias, se pudo verificar el error en el cobro de los arbitrios por
parte de la aplicación de Administración Tributaria, lo cual genero una pérdida de s/
5000.00. Consultado a la S.I señaló que dicha no se actualizó porque ellos no
recibieron la documentación de dicho cambio por parte de la S.A.T, a lo que S.A.T
respondió que no es su responsabilidad enviar esa información que aquello era
responsabilidad de la G.R. La G.R respondió que el servicio que ellos utilizan para la
actualización de la tasa estaba caído y que ellos supusieron que las tasas no habían
variado.
3. Criterio
Desde el punto de Vista Legal, COBIT 4, en el punto “Controles de origen de datos/

autorización”, comentario AC4, que la letra dice “Los procedimientos de manejo de
errores durante la generación de los datos aseguran de forma razonable la detección,
el reporte y la corrección de errores e irregularidades.”, La misma que se ha omitido
por falta de la elaboración de dicho control
4. Causa
Se ha podido verificar que la S.I que la tasa no se actualizó porque ellos no recibieron
la documentación de dicho cambio por parte de la S.A.T. La S.A.T respondió que no
es su responsabilidad enviar esa información que aquello era responsabilidad de la
G.R. La G.R respondió que el servicio que ellos utilizan para la actualización de la
tasa estaba caído y que ellos supusieron que las tasas no habían variado.
5. Efecto
Se ha podido verificar que los daños causados a la Institución por falla en los datos de
entrada de las aplicaciones asciende a s/ 5,000 soles.
6. Recomendación
El ingreso de datos de las aplicaciones se debería realiza mediante un programa

inteligente que incluye y aplica reglas de consistencia. El programa debe tener un
diseño amigable, La preocupación principal es la prevención de los riesgos que implica
utilizar servicios de terceros.

Audt Aplicaciones Todo

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Audt Aplicaciones Todo

Загружено:

Авторское право:

Доступные форматы

UNIVERSIDAD NACIONAL DE INGENIERIA AUDITORIA DE APLICACIONES

FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS MUNICIPALIDAD DE SAN JUAN DE LURIGANCHO

UNIVERSIDAD NACIONAL DE INGENIERÍA

MUNICIPALIDAD DE SAN JUAN DE LURIGANCHO

CURSO : Auditoría de Sistemas ST275-V

DOCENTE : Ing. Arteaga Cortez, Humberto

INTEGRANTES: Chapoñan Chamorro, Cristina

En el presente trabajo se destaca el papel de los Sistemas de Información para el buen

tecnologías que lo soportan. Se enfatiza en la importancia en la Auditoria de Sistemas,

el alcance de funciones que debe de implementar o mejorar en las condiciones propias

de la Municipalidad de San Juan de Lurigancho, distrito perteneciente a Lima

Metropolitana aplicando los siguientes puntos:

 Aspectos Generales de las empresa

En el estudio de auditoria se ha considerado la norma NCI-RCG-320-2006, la Norma

de Auditoria Generalmente Aceptadas - NAGA, en la documentación para el sector

público NAGU-440 y en los objetivos de control TI se revisó el Cobit 4.1.

naturales y objetivos, el alcance de la auditoria, las observaciones y las relaciones de las

personas comprendidas en las entrevistas.

2.1 Datos generales:

La Municipalidad Distrital de San Juan de Lurigancho es un gobierno local que promueve

La Municipalidad Distrital de San Juan de Lurigancho es un gobierno local democrático,

Las competencias exclusivas y/o compartidas de la municipalidad con respecto a los

Se presenta el organigrama general de la Organización.

2.6 ÁREA DE ESTUDIO

Para la realización del presente estudio de auditoria de aplicativos se ha

La Sub Gerencia de Administración Tributaria es un órgano de línea de la Gerencia

La Sub Gerencia de Recaudación y Control tiene como objetivo realizar la gestión de

La Sub Gerencia de Fiscalización Tributaria tiene como objetivo incentivar la

La Sub Gerencia de Ejecutoría Coactiva es un órgano de línea de la Gerencia

3.1 Matriz de Riesgos

 Restringir el acceso (de personas de la organización y de las que no lo son) a

Técnicas de aseguramiento del sistema

3.1.1 Valoración de Riesgos

Personal Encargado del mantenimiento de los

No se hace monitoreo sobre de los servicios

No se hace inventario de existencias de equipos de

3.1.2 Matriz de Riesgos

LEVE MODERADO CATASTROFICO

3.2 Programa de auditoria

5. Verificar que las políticas

3.2.1 Síntomas de auditoría

 Síntomas de descoordinación y desorganización

4.1 Informe Relativo al Examen

Motivo del Examen

La auditoría a la gerencia de rentas y sus cuatro subgerencias: registro, fiscalización,

El presente examen especial corresponde a una auditoría de Aplicaciones cuyos

Determinar que las aplicaciones efectuadas por la Municipalidad de San Juan de

a) Revisar el cumplimiento completo de la ejecución de las aplicaciones.

El presente examen se realizó de acuerdo con la Resolución de la Contraloría

Generalmente Aceptadas – NAGA y las Normas de Auditoria Gubernamental- NAGU,

Comunicación de las observaciones

En concordancia con las normas de control interno de la empresa, los hallazgos

4.2 Informe Relativo a la Entidad Examinada

Antecedentes y Base Legal

Durante el primer gobierno del Arq. Fernando Belaunde Terry, el 13 de Enero

La Municipalidad Distrital de San Juan de Lurigancho asume el rol promotor

La Municipalidad Distrital de San Juan de Lurigancho, es un Gobierno Local

conformidad con las facultades establecidas por la Constitución Política del

La Municipalidad Distrital de San Juan de Lurigancho es una entidad con

Relación de las Personas comprendidas en las Observaciones

 Gerente de Rentas: Jimmy Solórzano Orco

4.3 Observaciones Resumidas

Como resultado de la auditoria a los aplicativos de la gerencia de rentas de la

1.- Desactualización de documentos de gestión como el manual de organización y