TERMINOS DE REFERENCIA PARA SELECCIÓN Y CONTRATACION DE

AUDITORIA DE LOS SISTEMAS DE INFORMACIÓN Y LA SEGURIDAD DE LOS MISMOS

COOPERATIVA DE AHORRO Y CREDITO LOS ANDES

1. Antecedentes

La Cooperativa de Ahorro y Crédito “Los Andes Cotarusi - Aymaraes, es una persona jurídica
sin fines de lucro, que desarrolla sus actividades basada en un convenio social que se sustenta
en la solidaridad y la ayuda mutua de sus socios. Fomenta la educación Cooperativa y promueve
el desarrollo económico y social de sus socios, mediante el esfuerzo propio. Goza de autonomía
administrativa, económica y financiera de acuerdo con su Estatuto, Ley General de Cooperativas,
Texto Único Ordenado de la Ley General de Cooperativas, D.S. Nº074-90-TR y sus
modificatorias, y está bajo la supervisión de la Federación Nacional de Cooperativas de Ahorro
y Créditos del Perú (FENACREP) de conformidad a la Resolución Nº190-95 y normas que dicta
la Superintendencia de Banca y Seguros. Está sujeta a la regularización monetaria y crediticia
del Banco Central de Reserva del Perú. Supletoriamente son de aplicación la Ley General
de Sociedades Nº 26887, el código de Comercio y las reglas de derecho común.

Nuestra cooperativa cumple 13 años, sirviendo a la comunidad Apurimeña, en este tiempo de

existencia, tiene en su seno casi 40 mil socios y moviliza recursos por un monto superior a los
120 millones de Nuevos Soles, nuestras oficinas están interconectadas vía satélite, las
operaciones se hacen en tiempo real, contamos con un Sistema Financiero Contable Integrado
desarrollado por la FENACREP (SFI), sistema web que trabaja en 3 capas, con Base de datos
en Oracle, Servidor de Aplicaciones JBooss optimizado para trabajar solo sobre Microsoft Internet
Explorer para acceder al sistema Web.

El sistema se encuentra instalado en un servidor Windows Server 2008 donde se ejecuta el

JBoss en su versión 4.2 y este interactúa con la Base de Datos en Oracle 10i, se encuentra
desarrollado en Java y la base de datos se encuentra segmentada en dos instancias, una
contiene la parte netamente contable y la otra la parte operativa (Caja, Créditos, Socios, Cuentas,
Obligaciones, etc.)

2. Objetivo General de la Auditoria de Sistemas:

Realizar la evaluación objetiva, crítica y selectiva de las políticas, normas, prácticas,

procedimientos y procesos así como determinar la confiabilidad, oportunidad, seguridad,
confidencialidad y efectividad de los controles internos de la información que se procesa a través
de los sistemas automatizados y los no automatizados relacionados a los sistemas de
información de la cooperativa.

3. Objetivos específicos

1. Evaluar los procesos de los sistemas de información:

Evaluar los procesos procedimientos e interoperatividad de los sistemas de información

automatizados y no automatizados que están interrelacionados en las diversas áreas de la
cooperativa como son: Administración, logística, recursos Humanos, Contabilidad finanzas,
presupuestos; Servicios Financieros de créditos y ahorros, operaciones; Gestión Estratégica y
control Interno, servicios complementarios y/o no financieros.

2. Evaluar el software Integrado SFI.

 Evaluación de características generales del software.
 Revisar la correcta ejecución funcional de cada uno de los módulos del SFI, incluyendo el
flujo de la información y los controles de monitoreo realizados a los usuarios al momento
de ingresar, procesar y generar la información presentada por el sistema SFI, evaluando
los controles de acceso de acuerdo a los perfiles asignados.
 Revisar el Alineamiento de procesos de la cooperativa al Software.
 Evaluar la segregación de funciones para el acceso, ingreso, proceso, autorización y
monitoreo de las actividades asociadas con el sistema SFI.
 Verificar los procedimientos asociados para crear, modificar y retirar usuarios y los perfiles
asociados e identificar la administración sobre los usuarios con accesos

1
 privilegiados, verificando la segregación de funciones por parte de los responsables de
estas actividades.
 Identificar riesgos y controles de las opciones del sistema SFI relacionadas con: planes
tarifarios, contratos, interconexión, consultas gerenciales y formato único; y realizar
pruebas sobre los controles relevantes.
 La metodología de auditoria debe plantear la evaluación de los siguientes riesgos:
• Acceso incorrecto
• Ingreso incorrecto
• Procesamiento no exacto, no oportuno o incompleto
• Tratamiento incorrecto de rechazos
• Tratamiento incorrecto de interrupciones
• Realizar filtros de calidad con el objeto de identificar inconsistencias sobre los
datos claves utilizados en la generación de la información estadística, desplegada
en las consultas gerenciales
 Identificar y evaluar los procedimientos operativos relacionados con la ejecución de
procesos batch y copias de respaldo, con el objeto de verificar que son ejecutados en
forma oportuna y de acuerdo a las necesidades de la cooperativa
 Identificación de información sensible contraseñas, saldos de cuentas que deben estar
encriptados.
 Uso de usuarios genéricos
 Gestión de contraseñas y accesos
 Control de modificación a las aplicaciones existentes.
 Fraudes control a las modificaciones de los programas.
 Evaluar la posibilidad de realizar Desarrollo de un software ERM

3. Evaluar la Base de Datos Oracle.

 Documentación.
 Uso de la Bases de datos.
 Auditoria de inicio de sesión.
 Auditoria de acción.
 Auditoría de objeto
 Integridad Referencial.
 Normalización de base de datos.
 Respaldo de información.
 Infraestructura.

4. Evaluar las Redes y teleprocesos

 Arquitectura de red.
 Infraestructura en redes (Servidores, Firewall, Switch core, cableado).
 Documentación e inventario de infraestructura.
 Ambientes de equipos.
 Áreas de equipo de comunicación con control de acceso.
 Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y
el tráfico en ella
 Prioridad de recuperación del sistema
 Fibra óptica multi-modo y modo-modo
 Sistema eléctrico
 Tierra física
 Sistema de control de acceso
 Sistema de energía ininterrumpible
 Encriptar la información pertinente
 Evitar la importación y exportación de datos
 Inhabilitar el software o hardware con acceso libre
 Evaluar metodología de Asistencia remota y monitoreo de redes.
 Generar estadísticas de las de las tasas de errores de transmisión

5. Evaluar la seguridad.
 Identificar oportunidades de mejora y elaborar recomendaciones respectivas.
 Realizar pruebas de intrusión tanto internas como externas para evaluar el nivel de
aseguramiento de la red.

2
  Las pruebas de intrusión externas e internas deben tener por objeto evaluar la seguridad
de servidores y demás componentes de red tanto al exterior como dentro de la red,
buscando y explotando vulnerabilidades bajo ambientes controlados.
 Evaluación de suficiencia en los planes de contingencia y respaldos, preveer qué va a
pasar si se presentan fallas.
 Evaluar utilización de los recursos informáticos resguardo y protección de activos.
 Revisión de la utilización del sistema operativo y los programas utilitarios.
 Seguridad de datos sensibles
 Identificar la parametrización de la seguridad en el servidor y en la base de datos utilizada
por el sistema SFI para controlarlas con las mejores prácticas de seguridad.
 Seguridad física del equipo sea adecuada
 Plan de seguridad de redes
 Seguridad en Redes (VLANS, VPN, Ruteo)
 Auditoría de sistemas de información.

4. Alcance del trabajo

La Auditoria de sistemas es para toda la organización y se deberá tomar en consideración el
volumen de nuestras operaciones expresada en nuestra situación financiera la cual es de
carácter público y se presenta en nuestra página web www.cooperativalosandes.com.pe y/o en
la página web de la FENACREP.
El área de sistemas está ubicada en la ciudad de Lima con un centro Back Up en la provincia de
Abancay; también los niveles gerenciales así como las áreas administrativas así como la Unidad
de Auditoría Interna se ubican en la mencionada ciudad.

5. Entregables:
Los documentos que deberá presentarse en las diferentes etapas de desarrollo del trabajo son:

1. Plan de Auditoría Definitivo en el plazo máximo de hasta cinco días después de la firma del
contrato el cual debe incluir los procedimientos a aplicar, considerando visita de campo,
cronograma detallado en MS Project con las actividades a desarrollarse, puntos de control,
entregables y responsables involucrados en cada una de las fases y etapas del servicio,
coordinado debidamente con el Auditor Interno de la cooperativa; todo el trabajo de auditoría
deberá realizarse en un plazo no mayor de 30 días el cual debe concluir con la entrega
del informe final de Auditoría.

2. Informe preliminar de Auditoría conteniendo la opinión preliminar sobre el trabajo realizado

para lo cual sugerimos considere el siguiente esquemas; sin limitar el esquema propuesto
de los Auditores:

 Objetivos de Auditoría cubiertos;

 Naturaleza y alcance de los procedimientos aplicados.
 Hallazgos detectados por objetivos específicos.
 Recomendaciones preliminares de auditoría.

3. Informe Definitivo de auditoría de sistemas conteniendo el Dictamen del Auditor de sistemas

sobre el trabajo realizado, para lo cual proponemos el siguiente esquema sugerido; sin
limitar el esquema propuesto por los auditores.

 Objetivos de Auditoría cubiertos;

 Naturaleza y alcance de los procedimientos aplicados.
 Hallazgos detectados y recomendaciones de auditoría por objetivos específicos.
 Comentarios de los funcionarios de la Entidad u organismo.
 Conclusiones.
 Dictamen de la auditoría de sistemas.
6. Absolución de consultas: Todo oferente que requiera alguna aclaración respecto al alcance del
presente documento deberá solicitarla por escrito a la dirección electrónica
danilocordova01@yahoo.es La COOPERATIVA contestará vía correo electrónico y en caso se
considere necesario, se modificará la fecha de presentación de propuestas la cual será
oportunamente comunicada.

3
7. Presentación de las propuestas: Cada oferente presentará una propuesta técnica y una
propuesta económica en sobres separados, incluidas dentro de un solo sobre cerrado, las
cuales deberán estar firmadas por la persona debidamente autorizada para firmar en nombre del
oferente, indicando su nombre y cargo. Los sobres deberán estar claramente identificados con el
nombre y la dirección del oferente, estar dirigidos al contratante, hacer alusión al presente
proceso ya que los sobres no deberán ser abiertos antes de fecha prevista para la presentación
de las propuestas.

1. PROPUESTA TECNICA; La que contendrá:

 Documentación General de la Entidad.
 Hoja de vida de la Entidad.
 Equipo técnico mínimo para realizar el trabajo:
 Jefe de Comisión: Ingeniero de Sistemas ()
 Auditor especialista en sistemas y procesos: Ing. De Sistemas o Ingeniero industrial o
carreras Afines
 Auditor especialista en Redes y teleprocesos: Ing. De Sistemas o carreras Afines con
conocimientos en redes y teleprocesos y de entidades de microfinanzas.
 Auditor especialista en seguridad informática: Ing. De Sistemas o carreras afines con
conocimientos en seguridad informática y de entidades de microfinanzas.
EXPERIENCIA PROFESIONAL GENERAL DE LOS PROFESIONALES Mínima: 5
años para jefe de comisión y 3 para los Auditores especialistas.
EXPERIENCIA ESPECIFICA EN ANÁLISIS Y DISEÑO DE SISTEMAS DE
INFORMACIÓN. de preferencia con conocimientos del sector de microfinanzas
 Propuesta preliminar de Plan de Auditoría.

2. PROPUESTA ECONÓMICA.
Los Auditores deberán considerar todos los gastos que impliquen los viáticos y elementos
tanto logísticos como administrativos así como los impuestos de Ley, como parte de su
propuesta económica para el buen desempeño de su labor.

8. Cronograma del proceso de selección y entrega de informes.

Convocatoria, Del 16 al 28 de Setiembre del 2013.

Presentación de propuestas técnicas y Hasta el sábado 28 de Setiembre del 2013
económicas.
Evaluación de propuestas Técnicas y 30 de Setiembre del 2013
económicas.
Comunicación de resultados. 1 de Octubre del 2013.
Firma de contrato. 03 de Octubre del 2013.

9. Supervisión, revisión y aceptación de los entregables del trabajo.

La supervisión, revisión y aceptación de los resultados del trabajo estará a cargo del Auditor
Interno de la cooperativa y el Consejo de Vigilancia.

10. Apoyo administrativo y logístico

La cooperativa brindará apoyo en la información y relacionamiento con los diversos actores del
ámbito de la Cooperativa para el desarrollo de las actividades encargadas.

11. Forma de Pago

Los pagos se realizarán previo informe de conformidad del Consejo de Vigilancia, sobre el
cumplimiento de los términos de referencia, y los entregables establecidos en los mismos.

a) 10 % a la Entrega y aprobación del plan de Auditoría por el Consejo de Vigilancia.

b) 40 % a la entrega del Informe preliminar de Auditoría.
c) 50 % a la entrega del dictamen e informe final de Auditoría.

https://es.slideshare.net/sistemadeinformacion_2013/proyecto-topytop