Gerencia de Auditoria Interna

EVALUACION A LA GESTION DEL EQUIPO INFORMATICA. PERIODO 2013

I. ORIGEN DE LA AUDITORIA INFORMATICA La Auditoria Informtica se lleva a cabo en cumplimiento del Plan Anual de Control 2014 del rgano de Control Institucional de AGUAS ANDINAS, el mismo que fuera visado en principio por el Titular de la Empresa y posteriormente aprobado por la Contralora General de la Repblica, mediante Resolucin de Contralora No. 010-2010-CG de fecha 09.Ene.2010. II. ANTECEDENTES DE LA ENTIDAD AGUAS ANDINAS, es una Empresa Estatal de Derecho Privado de propiedad del Estado, creada mediante Decreto Legislativo No.150, constituida como Sociedad Annima e inscrita en la Ficha No. 3722 de los Registros Pblicos de Lima. Se rige por lo establecido en su Estatuto y la Ley General de Sociedades, con las excepciones sealadas en la Ley de la Actividad Empresarial del Estado y su Reglamento y las disposiciones que rigen a las entidades prestadoras de Servicio de Saneamiento y las dems normas aplicables. Con fecha 05 de mayo del 2000, la Junta General de Accionistas de AGUAS ANDINAS, aprob la modificacin de los artculos 10, 11, 12,15, 20 y 40 de su Estatuto, los cuales fueron inscritos el 14 de agosto del 2002, en la Partida No. 02005000 Asiento B00008 del Registro de Personas Jurdicas de los Registros Pblicos de Lima. Posteriormente, con fecha 02 de abril del 2004, la Junta General de Accionistas de AGUAS ANDINAS, aprob la modificacin del artculo 7 del Estatuto, que fue inscrito el 15 de junio del 2004, en la Partida No. 02005409 Asiento B0008 del Registro de Personas Jurdicas de los Registros Pblicos de Lima. La actividad principal de AGUAS ANDINAS es la captacin, potabilizacin y distribucin de agua para uso domstico, industrial y comercial, servicios de Alcantarillado Sanitario y Pluvial, Servicios de disposicin sanitaria de excretas y acciones de proteccin del medio ambiente, vinculadas a los proyectos que ejecuta para el cumplimiento de sus fines; siendo su responsabilidad las provincias de Lima y del Callao, pudiendo extenderse a otras jurisdicciones, dichos servicios estn regulados por la Ley No. 26338, Ley General de Servicios de Saneamiento promulgada el 24 de julio de 1994 y su Reglamento, aprobado por Decreto Supremo No. 09-95 PRES del 28 de agosto de 1998. AGUAS ANDINAS se encuentra en el mbito de la Ley No. 24984, Ley de la Actividad Empresarial del Estado, promulgada en diciembre de 1998, modificada por la Ley No. 27170, Ley del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado, publicada en setiembre de 1999, las cuales definen el rgimen econmico, financiero y laboral de la empresa, as como la relacin con los diversos niveles de gobierno y sistemas administrativos. Asimismo, la Superintendencia Nacional de Servicios de Saneamiento - SUNASS, es la encargada de fijar las tarifas y otros aspectos regulatorios. III. OBJETIVOS DE LA AUDITORIA INFORMATICA Objetivo General Evaluar la Gestin del Equipo Informtica respecto al cumplimiento de metas, planes y normas vigentes. As como, el grado de asesoramiento y asistencia tcnica que brinda a la empresa AGUAS ANDINAS; y el grado de seguridad fsica y lgica que existe respecto a la custodia del hardware y software.

PLAN DE AUDITORIA INFORMATICO

Objetivos Especficos 1. 2. 3. Evaluar el cumplimiento de las metas y objetivos formulados en el Plan Operativo e Indicadores de Gestin, Plan de Sistemas de Informacin y normativas vigentes aplicables al Equipo Informtica. Evaluar el asesoramiento y asistencia tcnica que brinda el Equipo Informtica como rgano de asesoramiento y asistencia tcnica a la empresa AGUAS ANDINAS. Determinar el grado de seguridad fsica y lgica que custodia el Equipo Informtica respecto al hardware y software de la empresa.

IV.

ALCANCE DE LA AUDITORIA INFORMATICA En concordancia con los objetivos previstos, en la presente Auditoria que comprendi la revisin y evaluacin selectiva del 01.Ene.2011 a la fecha, ala Gestin del Equipo Informtica respecto al cumplimiento de metas, planes y normas vigentes, estandarizacin de procedimientos, as como su racionalidad en el uso de los recursos. Para efecto del desarrollo del presente examen, se aplicaron normas y criterios tcnicos establecidos en las Normas de Auditoria Gubernamental (NAGU), aprobada con Resolucin de Contralora No. 162-95-CG del 22.Set.1995 y su modificatoria Resolucin de Contralora No. 259-2000-CG del 07.Dic.2000; el Manual de Auditoria Gubernamental (MAGU), aprobado con Resolucin de Contralora No. 152-98-CG del 18.Dic.1998 y las Normas de Control Interno aprobadas con Resolucin de Contralora No. 320-2006-CG del 30.Oct.2006, y de otros Procedimientos de Auditoria que se consideraron necesarios de acuerdo a las circunstancias. De acuerdo a los asuntos que sern examinados, se ha determinado evaluar selectivamente las operaciones realizadas en las siguientes unidades orgnicas: Gerencia de Desarrollo e Investigacin Equipo Informtica Gerencia de Logstica y Servicios Equipo Planeamiento y Adquisicin de Bienes Equipo Servicios Generales Gerencia Comercial Equipo(s) Comercial(es) Equipo Micromedicin y Registros Equipo Servicios y Clientes Especiales Equipo Gestin Comercial

V.

CRITERIOS DE AUDITORA A UTILIZAR Las principales disposiciones legales y reglamentacin interna, que regula las actividades de las unidades orgnicas examinadas y que tienen relacin con el alcance y objetivos de la presente accin de control, son entre otras las siguientes: Norma Tcnica Peruana NTP-ISO/IEC 17799:2007 EDI. Tecnologa de la Informacin. Cdigo de buenas prcticas para la gestin de la seguridad de la informacin. 2. Edicin en todas las entidades integrantes del Sistema Nacional de Informtica aprobada por Resolucin Ministerial No. 246-2007-PCM de fecha de publicacin 25.Ago.2007. Normas y Procedimientos Internacionales basados en COBIT (Objetivos de Control para la Informacin y Tecnologas relacionadas), encargado de investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnologa de informacin con autoridad, actualizados, de carcter internacional y aceptados generalmente para el uso cotidiano de Gerentes y auditores. Normas de Auditoria Gubernamental NAGU, aprobado con Resolucin de Contralora General de la Repblica No. 259-2000-CG. del 13.Dic.2000. Normas de Control Interno para el Sector Pblico, aprobadas por Resolucin de Contralora No. 3202006-CG de fecha de publicacin 03.Nov.2006; y el Cdigo Marco de Control Interno de las empresas del Estado aprobado mediante Acuerdo de Directorio No. 001-2006/028-FONAFE.

 Decreto Legislativo No. 822 del 23.Abr.1996, Ley sobre el Derecho de Autor. Resolucin Ministerial No. 073-2004-PCM del 16.Mar.2004, Gua para la Administracin Eficiente del Software Legal en la Administracin Pblica. Resolucin de Gerencia General de AGUAS ANDINAS No. 264-2003-GG del 31.Jul.2002, Gua para la Actualizacin de la Pgina Web de la Empresa. Resolucin Jefatural No. 229-95-INEI, que aprueba la Directiva No. 011-95-INEI/SJI Recomendaciones Tcnicas para la elaboracin de Planes de Sistemas de Informacin en la Administracin Pblica del 14.Set.1996. Manual de Organizacin y Responsabilidades General (MORG), aprobado con Resolucin de Gerencia General No. 505-2007-GG del 25.Jul.2006. Manual de Auditoria Gubernamental MAGU, aprobado con Resolucin de Contralora General de la Repblica No. 152-98-CG. del 18.Dic.1998. Plan de la Gestin Corporativa de Tecnologas de Informacin y Comunicaciones para las empresas bajo el mbito del FONAFE: Periodo 2008 _ 2011, aprobado a travs de la Resolucin de Direccin Ejecutiva No. 059-2008/DE-FONAFE del 21.Oct.2008.

VI.

RECURSOS DE PERSONAL La conformacin del equipo de auditores designados para la realizacin del presente examen especial es el siguiente: Nombres y Apellidos CPC. Walter Zuiga Paredes ING. Felix Sandoval Linares ING. Mario Muoz Rojas ING. Jos Zapata Poma ING. Sara Rina gamboa Cargo Gerente de Auditora Interna Jefe de Equipo Auditoria Auditor Principal Especialista de Auditoria Especialista de Auditoria Gerente Supervisor Auditor Encargado Integrante Integrante Funcin

VII. PRESUPUESTO DE TIEMPO Para el desarrollo del presente examen especial, si no se presentan imponderables y/o imprevistos, se estima la utilizacin de 65 das tiles, desde el 25 Febrero al 20 de Mayo 2013, desagregado en las siguientes actividades:

ETAPAS DE LA AUDITORA

Periodo Inicio 25/02/2013 Trmino 06/03/2013

Total das tiles 06 03 03

Planificacin

Memorndum de Planeamiento Programa de Auditoria 07/03/2013 05/05/2013

Ejecucin de la auditora de Sistemas

52 11 08 23 05

Revisin de documentos Constataciones Fsicas Proceso de Informacin Comunicacin de Hallazgos

Evaluacin de Descargos Informe Final Elaboracin del Informe Sustentacin del Informe Elevacin del Informe 06/05/2013 20/05/2013

05 10 07 02 01 68

TOTAL DE DAS TILES

VIII. INFORME A EMITIR Y FECHA DE ENTREGA Como resultado del examen especial, elaborado de acuerdo a las NAGU 4.10, 4.20, 4.30 y 4.40, se emitir un informe que ser elevado a la Gerencia de Auditora Interna, para su aprobacin y se estima presentar el informe final el 19 de mayo del 2013, a las entidades siguientes: Contralora General de la Repblica. FONAFE. Ministerio de Vivienda, Construccin y Saneamiento. Al Titular de la Entidad.

IX. FECHA Y FIRMA Lima, 02 de Marzo del 2013 ______________________________ ING. Mario Muoz Rojas Encargado de Comisin ________________________________ ING. Felix Sandoval Linares Supervisor de Comisin

El Gerente de Auditora Interna aprueba el presente Plan de la Auditoria Informtica a realizarse y luego de las coordinaciones previas hace suyo su contenido.

____________________________________ CPC. Walter Zuiga Paredes Gerente de Auditoria Interna

Gerencia de Auditora Interna

EVALUACION A LA GESTION DEL EQUIPO INFORMATICA. PERIODO 2013 Nombre de la Entidad : AGUAS ANDINAS Fecha de Ejecucin : Del 25.Feb.2013 al 20.May.2013 Alcance de la Auditoria Informtica: Del 01.Ene.2012 al 31.Dic.2012
PROGRAMADO Nombre Fecha OBJETIVO GENERAL Evaluar la Gestin del Equipo Informtica respecto al cumplimiento de metas, planes y normas vigentes. As como, el grado de asesoramiento y asistencia tcnica que brinda a la empresa AGUAS ANDINAS; y el grado de seguridad fsica y lgica que existe respecto a la custodia del hardware y software. Procedimientos: MMR 25.Feb 1. Remisin del Memorndum al Presidente del Directorio de AGUAS ANDINAS donde se pone de conocimiento el inicio de la MMR Auditoria Informtica, solicitndole las facilidades del caso, para el logro de los objetivos de esta Comisin de Auditoria. Solicitud a las reas examinadas, informacin documentada MMR necesaria, para desarrollar el trabajo de campo. JZP Realizar la Inspeccin de Campo a fin de obtener informacin MMR relevante, suficiente y competente que nos permita alcanzar el JZP objetivo de esta actividad. SRG Formular el Cuestionario de Control Interno. MMR 25.Feb PROCEDIMIENTOS EJECUTADO Hecho Por Fecha Ref. P/T

PROGRAMA DE AUDITORIA INFORMATICA

MMR JZP MMR JZP SRG MMR SRG JZP SRG

07.Mar 2. 10.Mar 3.

07.Mar 10.Mar

14.Mar 4. 16.Mar 5. 18.Mar 6.

14.Mar 16.Mar 18.Mar

Tomar muestras de la documentacin a evaluar, de acuerdo a SRG criterios de materialidad. Aplicar procedimientos de Auditoria, para el desarrollo de la JZP Auditoria Informtica SRG

OBJETIVOS ESPECIFICOS Objetivo Especfico N 1 1. Evaluar el cumplimiento de las metas y objetivos formulados en el Plan Operativo e Indicadores de Gestin, Plan de Sistemas de Informacin y normativas vigentes aplicables al Equipo Informtica.
1.1 Revisar si se ha cumplido con las metas formuladas en el Plan JZP Operativo e Indicadores.

JZP

07.Mar

07.Mar

JZP JZP JZP JZP

10.Mar 15.Mar 20.Mar 30.Mar

1.2 Revisar si se ha cumplido con el Plan de Sistemas de Informacin. 1.3

JZP

10.Mar 15.Mar 20.Mar 30.Mar

Revisar si se ha cumplido con las normativas principales vigentes JZP aplicables al Equipo Informtica.

1.4 Verificar si existe un planeamiento a mediano y largo plazo respecto JZP a la adquisicin y servicios que se realiza. 1.5 Verificar el grado de cumplimiento a la Gua para la Administracin JZP Eficiente del Software Legal en la Administracin Pblica, conforme a lo establecido en la Resolucin Ministerial No. 073-2004-PCM del 16.Mar.2004.

Objetivo Especfico N 2 2. Evaluar el asesoramiento y asistencia tcnica que brinda el Equipo Informtica como rgano de asesoramiento y asistencia tcnica a la empresa AGUAS ANDINAS.
2.1 Determinar si el grado de desarrollo, operatividad y mantenimiento de los recursos informticos permite la atencin de los requerimientos de servicio informticos a la Gerencia Comercial SRG de AGUAS ANDINAS para el cumplimiento de sus metas y objetivos. Verificar si la entidad efecta evaluaciones peridicas (comprobaciones y/o encuestas planificadas) a los usuarios del SRG software a fin de determinar sus necesidades futuras que le permita ayudar a identificar y programar la compra de licencias y/o equipos de cmputo. Verificar si se efecta campaas de difusin internas de la prohibicin del uso indebido de software y capacitacin del SRG personal respecto al uso de determinados sistemas y/o programas.

SRG

07.Mar

07.Mar

2.2

SRG

10.Mar

10.Mar

SRG

15.Mar

2.3

15.Mar

Objetivo Especfico N 3 3. Determinar el grado de seguridad fsica y lgica que custodia el Equipo Informtica respecto al hardware y software de la empresa.
3.1 Revisar y evaluar la seguridad fsica de los equipos, programas JZP y sistemas de la Empresa. 3.2 Revisar y evaluar la seguridad lgica para el acceso a la red. 3.3 3.4

JZP SRG JZP SRG

05.Abr 05.Abr 15.Abr 15.Abr

05.Abr 05.Abr 15.Abr 15.Abr

SRG

Verificar el grado de eficiencia en la supervisin por parte del JZP Equipo Informtica a Mesa de Ayuda (HelpDesk). Verificar si el rea de informtica cuenta con un Plan de Contingencia, que permita garantizar la continuidad de las SRG operaciones y la integridad de la informacin.

Lima, 06 de Marzo del 2013 __________________________ ING. Mario Muoz Rojas Encargado de Comisin _______________________ ING. Felix Sandoval Linares Supervisor de Comisin

El Gerente de Auditora Interna aprueba el presente Plan de la Auditoria Informtica a realizarse y luego de las coordinaciones previas hace suyo su contenido. ____________________________________ CPC. Walter Zuiga paredes Gerente de Auditoria Interna

Ejemplo de Modelo de Acta de Inspeccin realizado al Equipo Informtico de la empresa AGUAS ANDINAS. Elaboracin Propia.

Gerencia de Auditora Interna

EVALUACION A LA GESTION DEL EQUIPO INFORMATICA. PERIODO 2013 Hora inicio: 10:00 am Hora Final: 11:40 am Lugar: Equipo Informtico FECHA : 22 Marzo 2012 Participantes: Nombres y Apellidos ING. Mario Muoz Rojas ING. Jos Zapata Poma ING. Jos Pal Talavera Surez Equipos/Proyectos Equipo Auditoria Equipo Auditoria Equipo Informtica Cargo Encargado de Comisin Integrante de Comisin Jefe del Equipo Informtica Firma Acta No.: 001

ACTA DE VISITA INSPECTIVA

Resumen: Como resultado de la inspeccin in situ en el Equipo Informtica de AGUAS ANDINAS de la utilizacin de los softwares adquiridos por AGUAS ANDINAS, derivados del proceso de seleccin tipo ADS con No. 178-2009-SEDAPAL/B que tuvo como objeto Adquisicin de Software, se determin que el nivel de Utilizacin de dicho software, se realiza tal como consta en el Anexo No. 1.

Anexo N 1 Nivel de Utilizacin de los softwares adquiridos en el Ejercicio 2013 por AGUAS ANDINAS
Monto adjudicado (Soles) No. Versin Licencias 1 1 1 1 1 7 1 1 9.1 8.1.4 Utilizacin Se utiliza (SI/No) Equipo Nombre Trabajador Comentario

No.

Producto SW. Control de Versiones PVCS SW. PL7PRO SW. Magelis SW. Adobe Page Maker SW. Proces. Imgenessatelitales

Adquirido

01 02 03 04 05 06 07 08

22,491.00 18.Ene.2011 8,327.13 1,220.94 2,552.55 18.Ene.2011 18.Ene.2011 27.Ene.2011

12,129.00 18.Ene.2011

SW. CAD 3D 2007 en 86,194.97 18.Ene.2011 red SW. Administracin Web SW. RecuperacinInforma cin HD SW. Laser Fiche Team SW. Laser Retrieval Fisher 31,787.28 18.Ene.2011 45,637.05 18.Ene.2011 1,379.74 26.02.2011

09

15

SW. Laser Fisher Weblink United SW. FullProduccion

Gerencia de Auditora Interna Memorando N088-201XEAOF-CA A Asunto Referencia Fecha : : : : Ing. Jos Pal Talavera Surez Jefe del Equipo Informtica Evaluacin de la Estructura de Control Interno Plan Anual de Control 201X Lima, 20 de marzo de 201X

Tengo a bien dirigirme a usted, a fin de solicitarle desarrollar el Cuestionario de Control Interno adjunto a este documento, referido a la Auditoria de Sistemas denominada Evaluacin a la Gestin del Equipo Informtica, periodo 2009; en donde se viene evaluando diversos aspectos relacionados a la Tecnologa de Informacin y Comunicaciones (TIC). Agradeceremos remitir la informacin solicitada a la brevedad posible, para que de sta manera podamos cumplir con la programacin del Plan Anual de Control. Atentamente,

ING. Felix Sandoval Linares Jefe de Equipo Auditoria Supervisor de Comisin Cc:/ File de Comisin
MSH

Gerencia de Auditora Interna

EVALUACION A LA GESTION DEL EQUIPO INFORMATICA. PERIODO 2013 Informacin del Entrevistado Apellidos y Nombres Cargo : : Ing. Jos Pal Talavera Surez Jefe del Equipo Informtica
Si No N/A Comentarios

CUESTIONARIO DE AUDITORIA

Cuestionario El presente Cuestionario de Control Interno, deber absolverse y sustentarse, adecuadamente mediante documentacin pertinente, en virtud a los Objetivos Generales y Especficos establecidos a efectos que la Comisin Auditora, seguidamente proceda a corroborar las respuestas dadas por el rea. Objetivo General Evaluar la Gestin del Equipo Informtica respecto al cumplimiento de metas, planes y normas vigentes. As como, el grado de asesoramiento y asistencia tcnica que brinda a la empresa AGUAS ANDINAS; y el grado de seguridad fsica y lgica que existe respecto a la custodia del hardware y software. Objetivos Especficos 1. Evaluar el cumplimiento de las metas y objetivos formulados en el Plan Operativo e Indicadores de Gestin, Plan de Sistemas de Informacin y normativas vigentes aplicables al Equipo Informtica. Siendo las preguntas para este objetivo especifico: El Plan de Sistemas de Informacin actual tiene como alcance el periodo 2006-2010; en ese sentido, se cuenta con la elaboracin o propuesta del nuevo plan que abarque los aos siguientes? Si es afirmativo, sustentar. El Plan de Sistemas de Informacin y/o Plan Estratgico de Tecnologas de Informacin considera los proyectos que se ha desarrollado durante el ao 2009 en la Entidad? Detallar.

Existe un procedimiento y/o administracin de los Proyectos? sustentar.

metodologa de Si es afirmativo,

Los proyectos que ha ejecutado en el ao 2009 han contado con los recursos materiales y econmicos necesarios para llevarlo a cabo? Si no es afirmativo, detallar limitaciones. Las tareas y actividades en el Plan Operativo2009 han tenido la correspondiente y adecuada asignacin de recursos? Detallar. Existen Polticas (en virtud al Plan Institucional de AGUAS ANDINAS) para la adquisicin de equipos de cmputo y software en la Entidad? De no existir polticas, explicar detalladamente las razones.

Nota: Se entiende como Poltica como las directrices formuladas por la Alta Direccin previa propuesta de la Gerencia de Desarrollo e Investigacin a travs del Equipo de Informtica para orientar y facilitar el cumplimiento de la misin y el desarrollo de la visin.
Existe un Planeamiento a mediano y largo plazo por parte del Equipo Informtica para la adquisicin equipos de cmputo y de software legal en la Entidad?. Si es afirmativo, adjuntar el Plan. Cuenta con personal con conocimiento y experiencia suficiente para cumplir con el trabajo y sobretodo alcanzar las metas propuestas? Si no es afirmativo, detallar limitaciones. Ha existido cambios de la Plataforma informtica por otra durante el periodo 2009? Si es afirmativo, adjuntar los sustentos que autorizan dicho cambio y el estudio de mercado para elegir la nueva plataforma informtica de SEDAPAL. Existen sistemas que no hayan sido desarrollados por el Equipo Informtica, sino por otras reas dentro de la empresa? Si es afirmativo, adjuntar relacin de sistemas e indicar el tratamiento que se le ha dado. 2. Evaluar el asesoramiento y asistencia tcnica que brinda el Equipo Informtica como rgano de asesoramiento y asistencia tcnica a la empresa AGUAS ANDINAS. Siendo las preguntas para este objetivo especifico: El personal del Equipo Informtica capacita al personal usuario cuando se presenta cambios en los Sistemas de la empresa? Si es afirmativo, detallar. Se ha adquirido el sistema SAP ERP Corporativo, versin 6.0? Si es afirmativo. detallar su situacin actual.

El grupo SAP depende de la Gerencia de Desarrollo e Investigacin?. Indicar adems, quienes lo conforman y cuales son sus funciones? El Sistema SCADA esta a cargo del Equipo Informtica? Detallar. Est debidamente organizado las acciones que se realizan en el Centro de cmputo de AGUAS ANDINAS? Si es afirmativo, detallar acciones. Mantiene el Centro de cmputo un registro de produccin de sus actividades? Si es afirmativo, adjuntar el registro. Todas las actividades del Centro de Computo estn normadas mediante manuales, instructivos, normas, reglamentos, etc.? Si es afirmativo, adjuntar dichas normativas. Existe alguna gua, cartilla, etc. aprobada por la entidad para dar de baja los equipos de cmputo. Indicar adems donde se envan y/o custodia una vez dadas de baja?. Cuntas versiones se han actualizado durante el ao 2009 del sistema Corporativo ADROX? Adjuntar detalle de modificaciones.

3. Determinar el grado de seguridad fsica y lgica que custodia el Equipo Informtica respecto al hardware y software de la empresa. Siendo las preguntas para este objetivo especifico: Son controladas las operaciones fuera de las horas laborales (despus de las 17:00 pm)? Si es afirmativo, indicar por quien y cuales son dichas operaciones. Est limitado el acceso del personal al Centro de cmputo? Indicar que personal estn autorizados. Esta sujeto a evaluacin permanente el funcionamiento del Centro de cmputo? Si es afirmativo, que acciones se realiza y por quien. Existe una persona y/o Grupo Funcional responsable de la seguridad del Centro de cmputo? Especificar. Existe vigilancia en el Centro de cmputo las 24 horas (cmaras de video, personal vigilancia, etc.? Se registra el acceso al Centro de cmputo durante las 24 horas? Si es afirmativo, detallar procedimiento. Se han formulado Polticas respecto a la seguridad, privacidad y proteccin del Centro de Cmputo ante eventos, como: incendio, vandalismo, robo y uso indebido,

intentos de violacin? Se han realizado pruebas al Plan de Contingencia del Sistema Corporativo ADROX y al Centro de Cmputo? Sustentar. Considera como riesgo latente la inundacin del Centro de Cmputo por la ubicacin que tienen los baos y las tuberas de agua cerca de este ambiente? Si es afirmativo, detallar y sustentar las acciones realizadas al respecto. Considera como riesgo latente la posible prdida del ambiente del Centro de Cmputo ante un desastre natural? Si es afirmativo, detallar. Considera adecuada la ubicacin del Centro de Cmputo de AGUAS ANDINAS? Se cuenta con un Plan de Emergencia? Si es afirmativo, adjuntar. Existe backup de los servidores y de la informacin de la entidad (Indicar ubicacin)? Si es afirmativo, detallar, sustentando. Existe un Site Contingente para la Continuidad del Negocio? Detallar. Se ha adiestrado el personal en el manejo de los extintores? Si es que existen extintores automticos son activados por detectores automticos de fuego? Se han instalado equipos que protejan la informacin y los dispositivos en caso de variacin de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energa? Existe un grupo funcional y/o persona y/o outsourcing que realiza la labor de auditoria interna y/o Fiscal de Sistemas a las actividades del Equipo Informtica? Si es afirmativo, detallar funciones, reportes, etc. Se mantiene un registro permanente (bitcora) de todos los procesos realizados, dejando constancia de suspensiones o cancelaciones de procesos? Si es afirmativo, adjuntar copias. Los backups de los programas de software se custodian en lugares seguros y adecuados? Se han contratado plizas de seguros para proteger la informacin, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operacin? Si es afirmativo, adjuntar copia. Dispone su institucin de un Plan de Seguridad de Informacin? Si es afirmativo, adjuntar Plan y normativa

con el cual se aprueba. Dispone su institucin de un Plan de Continuidad del Negocio? Si es afirmativo, adjuntar Plan y normativa con el cual se aprueba. Existe un programa de Mantenimiento Preventivo para cada dispositivo del sistema de cmputo? Si es afirmativo, detallar. Existe un contrato de mantenimiento? Si es afirmativo, detallar. Existe Plan de Mantenimiento Preventivo aprobado por la Entidad o proporcionado por el Proveedor? Si es afirmativo, adjuntar dicho Plan (si es aprobado por la Entidad adjuntar la resolucin de su aprobacin). Se notifican las fallas y se les da seguimiento? Describir. Existen procedimientos de realizacin de copias de seguridad y de recuperacin de datos? Existen procedimientos de asignacin y distribucin de contraseas? Hay dadas de alta en el sistema cuentas de usuario genricas, es decir, utilizadas por ms de una persona? Si es afirmativo, indicar cuales. Existe un perodo mximo de vida de las contraseas? Cul es el destino de los equipos de computo y las copias antiguas (versiones) y/o por cambio de software cuando se dan de baja?. Existe un Plan de implementacin de las recomendaciones expuestas en la Norma Tcnica Peruana NTP-ISO/IEC 17799:2007 EDI. Tecnologa de la Informacin. Cdigo de buenas prcticas para la gestin de seguridad de la informacin aprobado a travs de la Resolucin Ministerial No. 246-2007-PCM publicada en el Diario Oficial El Peruano el 25.Ago.2007?.

Lima, 20 de marzo de 2013

_____________________________ ING. Mario Muoz Rojas Encargado de Comisin

________________________________ ING. Felix Sandoval Linares Supervisor de Comisin

Gerencia de Auditoria Interna

EVALUACION A LA GESTION DEL EQUIPO INFORMATICA. PERIODO 2013 Informacin del Entrevistado Apellidos y Nombres: Cargo : Fecha : Correo electrnico : Ing. Jos Pal Talavera Surez Jefe del Equipo Informtica 01.Abr.2013 jtalavera@aguasandinas.com.pe

CHECKLIST DE AUDITORIA

1. Plataformas de Hardware y Software utilizados por la empresa AGUAS ANDINAS.

Plataforma Sistemas Operacionales Motores de Bases de Datos Otras Herramientas de Desarrollo Software de Red. Equipos Activos de la Red Internet Intranet Extranet Servidores de Correo Electrnico Firewalls Servidores de Archivo Mainframes Minicomputares Microcomputadores Descripcin

E-business Business Intelligence Data Warehouse Otras (indique)

2. Relacin de Aplicaciones (Portafolio) que cuenta la empresa AGUAS ANDINAS y su importancia para la empresa.
N Nombre de la Aplicacin Importancia para la Empresa 1 2 3 4 5

Nota: Importancia para los objetivos de la empresa. 5: Muy importante 4: Importante 3: Normal 2: Poco importante 1: Nada importante 3. Actividades de procesamiento de datos que se realiza la empresa AGUAS ANDINAS.
N 1 2 3 4 Grabacin (captura de Datos) Control de Entradas y Salidas. Produccin de informacin (Procesamiento y actualizacin de archivos). HelpDesk. Descripcin Marque con X

5 6 7 8 9 10 11 12 13 14 15 16 17

Soporte a usuarios de microcomputadores y LANs. Mantenimiento de hardware. Administracin de bases de datos (DBA) Administracin de la Seguridad lgica (controles de acceso) Planeacin estratgica de sistemas. Administracin de contratos de terceras partes. Definicin e implementacin de polticas de seguridad corporativas. Anlisis y Diseo de Sistemas. Construccin de Programas (Elaboracin de programas de computador). Mantenimiento de Software Aplicativo Administracin de Telecomunicaciones. QualityAssurance. Otras (indquelas).

4. Servicios de procesamiento de datos que son contratados con terceros (Outsourcing).

N 1 2 3 4 5 6 7 8 9 10 11 12 13 Mantenimiento de hardware. Administracin de los Centros de Procesamiento de Datos Grabacin de Datos Planeacin estratgica de sistemas. Proyectos de sistemas. Planeacin de Contingencias en Sistemas de Informacin. Anlisis y Diseo de Sistemas. Programacin de aplicaciones. Mantenimiento de Software Aplicativo Administracin y soporte tcnico en Telecomunicaciones. QualityAssurance (Aseguramiento de calidad). Seguridad en Sistemas de Informacin. Otras (indquelas). Descripcin Marque con X

5. Mdulos del Sistema Corporativo ADROIX (Sistema de Informacin Comercial) utilizado en la empresa AGUAS ANDINAS
N 1 2 3 4 5 6 7 8 9 10 11 12 13 Facturacin. Recaudacin Solicitudes de Servicios Atencin al cliente Medidores Financiacin de servicios y de deuda Control de Perdidas y Fraudes Cartera Enlace Financiero Seguridad y Administracin del sistema Estadsticas Cobranza Otros (especifique) Descripcin Marque con X

Lima, 25 de marzo de 2013

ING. Jos Zapata Poma Integrante

ING. Sara Rina gamboa Integrante

_____________________________ ING. Mario Muoz Rojas Encargado de Comisin

________________________________ ING. Felix Sandoval Linares Supervisor de Comisin