1

PLAN DE AUDITORIA DE

SISTEMAS

UNIVERSIDAD JOSE CARLOS

MARIATEGUI
 2

AUDITORIA DE SISTEMAS

PLAN DE AUDITORIA DE SISTEMAS

BANCO RIPLEY SA

PLAN DE AUDITORIA DE SISTEMAS

1) ORIGEN DE EXAMEN

La presente auditoria de sistemas se realiza en cumplimiento de contrato de la

sociedadXXXXXXX. a la entidad BANCO RIPLEY S.A.

2) OBJETIVO DEL EXAMEN

2.1Objetivo General

Examinar el hardware, software, y la documentación de sistemas en Banco

Ripley S.A., conforme a la normatividad aplicable. Además se verificará el estado de
los equipos empleados en la institución. Al final de la auditoria mediante una
evaluación, se determinara la operatividad de los equipos según el cumplimiento de
las metas de la entidad.

2.2 Objetivo Específico de la Auditoria

1. Comprobar la implementación en la aplicación de las técnicas de Intranet dentro de

la Institución como un medio de fortalecer el Control Interno existente e incrementar
la eficiencia de las comunicaciones internas

2. Establecer sí existen adecuados procedimientos de control para la administración

del software de la Institución y si está debidamente autorizado.

3. Determinar el grado de vulnerabilidad y riesgo de las medidas de control de la

institución e implementarlas.

4. Determinar sí existe adecuados controles de datos, fuente de operación y de salida.

5. Establecer sí existe adecuados procedimientos de control para la administración del

hardware de la Institución.
6. Comprobar la existencia de un adecuado programa de mantenimiento de equipos
de computación.
 3

7. Comprobar la existencia de adecuados procedimientos de control de seguridad de

programas de datos y equipos de cómputo
8. Comprobar la existencia de un Plan de Contingencias adecuado a las reales
necesidades de la Institución.
9. Comprobar la implementación en la aplicación de las técnicas de Intranet dentro de
la Institución como un medio de fortalecer el Control Interno existente e incrementar
la eficiencia de las comunicaciones internas
10. Establecer sí existe adecuados procedimientos de control para la administración del
software de la Oficina de Tecnología de la Información y estadística y si está
debidamente autorizado.

3) ALCANCE

El alcance de la auditoria comprenderá la revisión de las acciones realizadas por la

sociedad auditora FLORES CONDORI ASOCIADOS S.C, durante el periodo
comprende 8 meses del año 2013, empezando desde 01 de Enero hasta 02 de
Septiembre.

4) DESCRIPCION DE LA ENTIDAD

General

a) Descripción de la Empresa
El Banco Ripley Perú inició sus operaciones como empresa bancaria el 14 de
enero del 2008, como resultado de la conversión desde su anterior operación
como empresa financiera, Financiera Cordillera S.A. (Financor). En junio del
2009, la Junta Universal de Accionistas aprobó la modificación de su
denominación social de Banco Ripley a Banco Ripley Perú S.A. Financor se
constituyó en octubre de 1999, luego de que la SBS autorizara la
transformación de la licencia operativa correspondiente al ex Banco Solventa
en empresa financiera, iniciando operaciones en marzo del 2000, en base a la
adquisición de la cartera de colocaciones de Colocadora S.A. (empresa
administradora de la tarjeta de crédito Ripley), dedicándose desde ese
momento al otorgamiento de créditos de tarjeta de crédito a personas
naturales.

b) Principal actividad
El Objetivo Principal del Banco, alineado al negocio y basado en la misión y
visión del Banco, es Lograr la más alta participación en el mercado Retail
Financiero. Para garantizar y dar soporte al objetivo principal, se definieron tres
objetivos estratégicos y sus respectivos sub-objetivos; con estos, el Banco
busca garantizar el alineamiento y cumplimiento de la misión y visión.

c) Visión
La Visión del Banco es “ser el retail financiero líder en los países donde
operemos a partir de la preferencia de nuestros clientes, el desarrollo de
nuestros colaboradores, el retorno sobre el capital invertido y el compromiso
responsable con la sociedad”.

d) Misión
Y la Misión del Banco es “trabajar para cumplir los sueños de la gente
brindando a nuestros clientes el acceso a lo mejor de 5 continentes y logrando
que su experiencia de compra sea fascinante”.
Ambos, visión y misión, están esencialmente orientadas hacia dónde se dirige
el Banco, incluso, a lo que espera convertirse. Con la visión se busca que
 4

enfocar los esfuerzos de todos los miembros del Banco hacia una misma
dirección, es decir, lograr que se establezcan objetivos, diseñen estrategias,
tomen decisiones y se ejecuten tareas, bajo ese frente, logrando así,
coherencia y orden.

e) Estructura Orgánica

Oficina de Sistemas

a) Principales actividades

- Revisar y evaluar el rendimiento de los sistemas automatizados de información.

- Adoptar medidas para la proyección tecnológica.
- Asesorar a la Gerencia en la priorización de asignación de recursos e invers
ión tecnológica.
- Proponer al Directorio definiciones sobre estrategia tecnológica.
- Definir y revisar las estrategias orientadas a asegurar los estándares de calidad de
servicio.
 5

b) Estructura orgánica
 6

c) Documentos de gestión

 Manual de Organización y funciones

 Reglamento de Organización y Funciones
 Políticas, normas, estándares y procedimientos
 Contrato y pólizas de seguros
 Ley del Código de Ética de Profesionales
 Manuales de sistemas
 Reglamento Interno de Trabajo

5) NORMATIVA APLICABLE

 Constitución Política del Estado

 Leyes y Normas Vigentes para toda empresa privada.
 El Texto Único Ordenado de la Ley del Impuesto a la Renta, aprobado por
Decreto Supremo Nº 179-2004-EF.
 Apéndice II del Texto Único Ordenado de la Ley del Impuesto General a las
Ventas.
 Texto Único Ordenado (TUO) de la Ley Nº 28194.
 Ley General de Sociedades Ley N° 26887
 Normas Internacionales de Contabilidad Oficializadas
 Normas de Auditoría Generalmente Aceptadas - NAGA
 Normas internacionales de auditoria NIAS

Normas aplicables a los sistemas informáticos

Marco Legal:

 Mediante la Resolución de la Comisión de Reglamentos Técnicos y

Comerciales N° 0026-2004/CRT-INDECOPI se aprobó como norma técnica
peruana la “NTP-ISO/IEC 17799:2004 EDI Tecnología de la Información.
Código de buenas prácticas para la gestión de seguridad de la información.
1ra. Edición”.

 Verificar el cumplimiento de las medidas para garantizar la legalidad de la

adquisición de programas de software, dispuestas en el D.S. N° 013-2003-
PCM del 12 de Febrero del 2003, sus modificatorias aprobadas mediante D.S.
N° 053-2008-PCM de 9 de agosto 2008, D.S. N° 077-2008-PCM del 27 de
Noviembre 2008 y D.S. N° 076-2010-PCM del 24 de Julio 2010; en la guía
aprobada con R.M. N° 073-2004-PCM del 17 de marzo del 2004.

 La actividad se ejecutara durante el primer trimestre y el alcance

correspondería al ejercicio anterior (Enero – Diciembre 2011). Su ejecución se
reportará en el formato contenido en el anexo 17, el cual estará.
 7

6) INFORMES A EMITIR Y FECHAS DE ENTREGA

CRONOGRAMA DE TRABAJO DEL EQUIPO PROPUESTO

SOCIEDAD: ZAPTA Y ROSPIGLIOSI ASOCIADOS S.C. ENTIDAD: BANCO RIPLEY S.A.

VISTA PRELIMINAR TRABAJO DE CAMPO ELABORACION DEL TOTAL DIA TOTAL

DNI NOMBRES Y APELLIDOS CARGO
DEL AL DEL AL DEL AL UTILIES HORAS
74635756 MARCO ROSPIGLIOSI CCOSI SUPERVISOR 28/09/2015 25/09/2015 28/09/2015 28/09/2015 07/11/2015 30 240
74829322 GIANFRANCO ZAPATA QUISO JEFE DE COMISION 11/09/2015 25/09/2015 25/09/2015 28/09/2015 28/09/2015 07/11/2015 40 320
65747119 CARLOS CALLACONDO RAMOS AUDITOR SENIOR 06/09/2015 25/09/2015 25/09/2015 28/09/2015 28/09/2015 07/11/2015 45 360
79982918 PAUL PEÑALOZA VISA AUDITOR SENIOR 07/09/2015 25/09/2015 25/09/2015 28/09/2015 28/09/2015 07/11/2015 45 360
79393939 DIEGO HERRERA LINARES ESPECIALISTA 08/09/2015 25/09/2015 25/09/2015 28/09/2015 45 360
 8

7) NTIFICACION DE AREAS CRÍTICAS

a) Subgerencia de aplicaciones. Encargada del mantenimiento de las

aplicaciones del negocio

 División de aplicaciones Core y de soporte. Áreas dedicadas al análisis y

desarrollo de cambios en las aplicaciones de negocios. Los cambios serán
coordinados con la jefatura de soporte y con la subgerencia de servicios
para mantener el portafolio de servicio al día.

 División de aplicaciones web 2.0. Área que en conjunto con el área de

marketing realizarán el mantenimiento de los espacios de interacción
externa con el cliente como Facebook del Banco, web empresarial, canal de
YouTube, etc.

b) Subgerencia de infraestructura. Encargada de la gestión de capacidad y

disponibilidad de los sistemas en producción. También se encargarán de la
gestión de proveedores si es que hubiera alguno.

 División de base de datos. Encargada del mantenimiento de las bases de

datos de las distintas aplicaciones del banco.

 División de redes y conectividad. Encargada de la gestión del cableado

estructurado, conectividad telefónica, conectividad a internet y de celulares.

 División de plataforma tecnológica. Encargada de la gestión del hardware

de servidores y las aplicaciones que se instalan en estas.

c) Subgerencia de servicios. Nueva área que estará encargada de la gestión

del portafolio de servicios de TI. Todos los integrantes de esta subgerencia
intervendrán en las definiciones hechas en las otras subgerencias
referentes a los servicios que estos tengan a su cargo.

 Coordinadores de negocio. Encargados de la gestión de niveles de los

servicios que tienen a su cargo. Si alguno de estos servicios cuenta con
proveedores externos, la gestión de estos proveedores también serán
realizados por estos coordinadores

 Aseguramiento de Calidad (QA). Encargados de la gestión de Seguridad de

la información y la continuidad del negocio de todos los servicios de TI.

d) Jefatura de soporte técnico. Área encargada de gestionar la tercerización

de todo el proceso de service desk18 y soporte técnico del Banco Ripley.
 9

ANEXO Nº 01

COMPOSICION DEL COSTO = HONORARIOS S/.

NOMBRE DE LA ENTIDAD: BANCO RIPLEY S.A.

COSTO DEL PERSONAL TECNICO PROPUESTO (ANEXO Nº 02)

COSTO DEL PERSONAL ADMINISTRATIVO 55,980.00
OTROS GASTOS 500.00
UTILIDAD PREVISTA 16,944.00

COSTO TOTAL DE HONORARIOS 84,720.00

 10

8) PUNTO DE ATENCION

%
CUENTA Y/O AREA FACTORES DE RIESGO RIESGO ENFOQUE DE AUDITORIA PROCEDIMIENTOS DE AUDITORIA A APLICAR
TOTAL
1 SUB GERENCIA DE APLICACIONES Inconsistencia en la presentacion oportuna de los estados financieros ALTO Pruebas sustantivas Verificacion de los Estados Financieros comparativos
60 No existe detalle de los saldos de los ejercicios anteriores Inspeccion de documentos contables que sustenten los saldos
No existe adecuada segregacion de funciones Verificacion de los Documentos de Gestion
Falta de actualizacion en el Software Verificacion de las nuevas actualizaciones de Software
Asesorar asuntos y evaluar asuntos de carácter legal de la administracion
2 No existe factores de riesgo importantes Pruebas de cumplimietno
SUB GERENCIA DE INFRAESTRUCTURA N/A LEVE municipal
3 SUB GERENCIA DE SERVICIOS N/A No existen factores de riesgo importantes LEVE Pruebas sustantivas Estimacion de los gastos que conlleven las actividades y proyectos y su forma de
financiamiento, manteniendo la demanda global de gastodentro de los límites
de la Asignación Presupuestaria Total

Realizar un analisis con propesionales del rubro a los equipos de computo y los
4
JEFATURA DE SOPORTE TECNICO 40 ALTO Pruebas de complimiento sistemas informatico operativos
Recaudación de los tributos y tasas municipales.
Coordinación con los entes recaudadores sobre a correcta y oportuna captación,
atesoramiento y distribución de los recursos económicos y financieros de la
Municipalidad.
 11

9) FUNCIONARIO DE LA EMPRESA EXAMINADA

FUNCIONARIOS DE BANCO RIPLEY S.A.

PERIODO DE GESTION
ITEM NOMBRES CARGO
INICIO TERMINO
1 Sr. Lázaro Calderón Volochinsky Presidente de Directorio 02/12/1996 Continua
2 Sr. Luis Pizarro Aranguren Vicepresidente del Directorio 02/01/2012 Continua
3 Sr. Eduardo Arend Pérez Director Independiente 02/03/2006 Continua
4 Sr. José Luis Casabonne Ricketts Director 02/11/2012 Continua
5 Sr. Sergio Collarte Alvarado Director 02/12/2003 Continua
6 Sr. Sergio Henríquez Díaz Director Independiente 02/04/2009 Continua
7 Sr. Andrés Roccatagliata Orsini Director 02/03/2012 Continua
8 Sr. Norberto Rossi Director 03/03/2012 Continua
9 Sr. José Luis Casabonne Ricketts Gerente General 04/03/2012 Continua
10 Sr. Luis Alfaro Rubatto Gerente Comercial 05/03/2012 Continua
11 Sr. Felipe Vásquez de Velasco Duthurburu Gerente Comercial 06/03/2012 Continua
12 Sr. Mariano Álvarez de la Torre Jara Gerente de Administración y Finanzas 07/03/2012 Continua
13 Sr. Andrés Arispe Oviedo Gerente de Contraloría 08/03/2012 Continua
14 Sr. Juan Ballón García Gerente de Operaciones 09/03/2012 Continua
15 Sr. Fernando Bustios Gerente Corporativo de Sistemas 10/03/2012 Continua
16 Sr. Eduardo Castillo Ramírez Gerente de Recursos Humanos 11/03/2012 Continua
17 Sra. Patricia Subauste Uribe Gerente de Gestión de Personas 12/03/2012 Continua
18 Sr. George Portal Lossio Gerente de Cobranzas 13/03/2012 Continua
19 Sr. Martín Zegarra Ballón Guercis Gerente de Riesgos 14/03/2012 Continua

10) PRESUPUESTO DE TIEMPO

COSTO HORA / HOMBRE DEL EQUIPO PRESUPUESTO

NOMBRE DE LA ENTIDAD: BANCO RIPLEY S.A.

TOTAL HORAS DEL

COSTO TOTAL COSTO
CARGO CARGO S/
H/H H/H
PROPUESTA
SUPERVISOR 35.00 240 8,400.00
JEFE DE COMISION 30.00 320 9,600.00
AUDITOR SENIOR 27.50 360 9,900.00
AUDITOR JUNIOR 25.00 360 9,000.00
AUDITOR JUNIOR 25.00 360 9,000.00
ESPECIALISTA 35.00 288 10,080.00
S/. 55,980.00
 12

11) PARTICIPACION DE ESPECIALISTAS

INTEGRANTES DEL EQUIPO PROPUESTO

EQUIPO DE AUDITORIA SOCIEDAD: FLORES CONDORI ASOCIADOS SOCIEDAD CIVIL ENTIDAD: BANCO RIPLEY S.A.

CARGO EN LA COMISION AÑOS EN EL CARGO

DNI NOMBRES Y APELLIDOS CONDICION LABORAL HORAS ASIGNADAS DIAS UTILES ESPECIALISTA
DESCRIPCION EN LA SOA
72676782 JOSE ALEXANDRO FLORES CONDORI PERMANETE SUPERVISOR 240 30 5 CONTADOR PUBLICO COLEGIADO CERTIFICADO
24424481 CESAR MANUEL SANCHEZ RIOS PERMANETE JEFE DE COMISION 320 40 4 CONTADOR PUBLICO COLEGIADO CERTIFICADO
78672846 LIZETH ROBLES DEL CARPIO CONTRATADO AUDITOR SENIOR 360 45 3 INGENIERO INFORMATICO
49514786 ANTONIO MANUEL QUIÑONES URRIAGA CONTRATADO AUDITOR JUNIOR 360 45 2 INGENIERO DE SISTEMAS
72264312 MARIA SOSA TEJADA CONTRATADO AUDITOR JUNIOR 360 45 2 INGENIERO DE SISTEMAS
44345838 ROMAN JUAREZ LOAYZA CONTRATADO EXPECIALISTA 288 36 3 ABOGADO
 13

ANEXOS
 14

ANEXO Nº 01
PROGRAMA DE AUDITORÍA DE SISTEMAS

HECH REF.
PROCEDIMIENTOS FECHA
O POR: PT
OBJETIVO GENERAL
Revisar y evaluar los controles, sistemas, procedimientos de
informática, equipos de cómputo, su utilización, eficiencia,
seguridad, examinar el hardware y software implementado,
así como la documentación de sistemas de la empresa
BANCO RIPLEY S.A. conforme a la normatividad aplicable y si
estos han cumplido con las meta de entidad; a fin de que se
logre una utilización más eficiente y segura de la información
que servirá para una adecuada toma de decisiones.

PROCEDIMIENTO
1. Acredite y comunique el proceso de auditoría al titular el 06/08/13 JAFC
inicio del proceso de Auditoría al Titular de la Entidad.
2. Solicitar la información correspondiente relacionada al
06/08/13 JAFC
inicio del proceso de Auditoría.
3. Efectué la evaluación de la Estructura de Control Interno,
y en el caso de deficiencias detectadas emita el 07/08/13 CMSR
Memorándum de Control Interno.
4. Efectué Comunicación de Hallazgos de Auditoria, de
26/09/13 CMSR
presentarse el caso.
5. Efectué la evaluación de los comentarios y aclaraciones
30/09/13 CMSR
respecto a los hallazgos, realizado por los auditados.
6. Solicite la carta de representación relacionado a la
información presentada como de aquella que no ha sido 30/09/13 JAFC
presentada por el área materia del Examen Especial.
7. Emita el informe administrativo correspondiente a la
auditoria, y en caso de responsabilidades civiles y/o 05/09/13 JAFC
penales emita el informe especial.
8. Apruebe y remita los informes de control
JAFC
correspondientes, tanto al Titular de la Entidad, como a 06/09/13 CMSR
la Contraloría General.

OBJETIVO ESPECIFICO N° 01:

Determinar sí la Oficina de Tecnología de la Información y
estadística ha realizado sus tareas y funciones de acuerdo a
lo establecido en el Reglamento de organización y funciones L2
y en el Manual de Organización y Funciones (MOF) de la
Institución y a su estructura orgánica.
 15

HECH REF.
PROCEDIMIENTOS FECHA
O POR: PT
PROCEDIMIENTOS:
1. Verifique si la actual estructura orgánica se adecúa a las 17/10/13 JAFC  Verif, escrita
actuales necesidades de la Institución y está operando  Verif. documental
eficientemente.

2. Evalúe si el personal asignado está de acuerdo con la

 Verif, escrita
estructura orgánica aprobada para la Oficina de la Tecnología 18/10/13 JAFC  Verif. Documental
de la Información y Estadística.

3. Verifique si en el Manual de Organización y Funciones (MOF)

de la Institución se han detallado las funciones y
19/10/13 JAFC  Verif. Documental
responsabilidades que tiene que cumplir cada uno de los
integrantes de la Oficina de Tecnología de Información.

4. Analice si la estructura básica está constituida por áreas que

son importantes para su funcionamiento, de acuerdo a las
19/10/13 JAFC  Verif. Documental
necesidades de la Institución. Dichas áreas son: producción,
desarrollo y soporte técnico

5. Evalúe si Oficina de Tecnología e Información cuenta con un

19/10/13 JAFC  Verif. Documental
Manual de Procedimientos
OBJETIVO ESPECIFICO N° 02:
Comprobar sí la Oficina de Tecnología de Información ha
cumplido con la ejecución de los proyectos programados en
los Planes Operativos durante los años 2011 y 2012 (hasta el
31/10/2012).
PROCEDIMIENTOS:
1. Solicite a la Oficina de Tecnología nos prepare un
listado de los proyectos programados en los planes
operativos durante los años 2011 -2012 (hasta el 15/10/13 JAFC  Verif. Documental

15/09/2012). indicando para cada caso el estado de

cada uno de los proyectos y evalúe sus cumplimiento y
consistencia.
2. En base a la información proporcionada en el punto
anterior verifique si los proyectos ejecutados se han
 Verif. Ocular
realizado dentro de los plazos previstos en caso 17/10/13 CMSR  Verif. Documental
contrario examinar las causas que impidieron su
realización oportuna.
3. Compruebe si los importes gastados en la ejecución de
cada proyecto no han superado el monto total  Verif. Escrita
18/10/13 CMSR  Verif. Física
originalmente aprobado. En caso contrario examinar si
existen causas que justifican los incrementos incurridos
OBJETIVO ESPECIFICO N° 03:
Establecer sí la Oficina de Tecnología la información ha 
emitido un Plan de Sistemas de Información acorde a las
 16

HECH REF.
PROCEDIMIENTOS FECHA
O POR: PT
necesidades de la Institución.
PROCEDIMIENTOS:
1. Determine si la entidad cuenta con un plan de sistemas  Verif. Documental
de información que le permita prever el desarrollo de 20/10/13 JAFC  Verif. Física
los recursos físicos y lógicos con un horizonte temporal  Verif. Verbal

determinado, de manera que contribuya efectivamente

con los objetivos de la institución.
2. Determine si el plan de sistemas de información de la
institución contiene:
a) Diagnóstico de la situación informática actual con
la finalidad de saber las capacidades actuales de la
entidad.
b) Objetivos y estrategias del sistema de información
que sirva de base para apoyar la misión y los
objetivos de la entidad.
 Verif. Física
c) Desarrollo del modelamiento de datos para 21/10/13 JAFC  Verif. Documental
determinar qué información es necesaria para la
institución.
d) Generación, ordenamiento y priorización (por nivel
de importancia e inversión) sistemática de los
proyectos informáticos.
e) Programación de los tiempos requeridos para la
puesta en marcha de los proyectos designados
estimando el periodo de vida de cada proyecto.
3. Determine si la dirección de la institución participó en
la elaboración, aprobación y puesta en funcionamiento
del plan de sistemas de información de la entidad 22/10/13 JAFC  Verif. Documental
debiendo los calendarios de desarrollo estar
sincronizados con el planeamiento global de la entidad.
OBJETIVO ESPECIFICO N° 04:
Determinar sí existe adecuados controles de datos, fuente de
operación y de salida.
PROCEDIMIENTOS:
1. Determine si se han diseñado adecuados controles con
 Verif. Documental
la finalidad de salvaguardar los datos, fuente de origen, 22/10/13 JAFC  Verif. Ocular
operaciones de proceso y sólida información, con la
finalidad de preservar la integridad de la información
procesada por la entidad.
2. Determine si para implementar los controles sobre
datos fuente, la entidad ha designado a los usuarios 22/10/13 AMQU  Verif. Física
encargados de salvaguardar los datos.
3. Verifique si se han establecido políticas que definan las
CRSM
claves de acceso para los niveles: 23/10/13  Verif. Documental
MST
 1° nivel: únicamente tiene opción de consulta de
 17

HECH REF.
PROCEDIMIENTOS FECHA
O POR: PT
datos.
 2° nivel: captura, modifica y consulta datos.
 3° nivel: captura, modifica, consulta y además
puede realizar bajas de datos.
4. Verifique si los controles de operación de los equipos
de cómputo están dados por procedimientos
estandarizados y formales que se efectivizan de la
siguiente forma:
a) Describen en forma clara y detallada los AMQU
07/11/13  Verif. Fisica
procedimientos. MST
b) Actualizan periódicamente los procedimientos
c) Asignan los trabajos con niveles efectivos de
utilización de equipos.

5. Determine si los controles de salida de datos deben

proteger la integridad de la información para cuyo
efecto, es necesario tener en cuenta aspectos tales
AMQU  Verif Fisica
como: copias de la información en otros locales, la 08/11/13 
MST Verif. Ocular
identificación de las personas que entregan el
documento de salida y la definición de las personas que
reciben la información.
6. Compruebe que la dirección de la entidad en
coordinación con la Oficina de Tecnología de
Información han establecido los controles de seguridad 25/10/13 CMSR  Verif. Documental
con el objeto de asegurar la integridad y adecuado uso
de la información que produce la entidad.
OBJETIVO ESPECIFICO N° 05:
Establecer sí existe adecuados procedimientos de control
para la administración del hardware de la Institución.
PROCEDIMIENTOS:
1. Solicite a la Gerencia de Administración una relación al 16/09/13 JAFC  Verif. Documental
15/09/12 de todos los equipos de cómputo que tiene la
Entidad.
2. En base a la información proporcionada en el punto
anterior, efectúe selectivamente pruebas físicas de su 16/09/13 CMSR  Verif. Fisica
existencia.
3. Determine si la Oficina de Tecnologías de la
Información ha implementado adecuados
17/10/13 CMSR  Verif. Documental
procedimientos de control para la administración del
hardware
OBJETIVO ESPECIFICO N° 06:
Comprobar la existencia de un adecuado programa de
mantenimiento de equipos de computación.
 18

HECH REF.
PROCEDIMIENTOS FECHA
O POR: PT
PROCEDIMIENTOS:
1. Determine si la dirección de la entidad ha establecido 22/10/13 CMSR  Verif. Documental
políticas respecto al mantenimiento de los equipos de
computación que permitan optimizar su rendimiento.
2. Verifique si el área ha contemplado las 2 clases de
mantenimiento que existen: el mantenimiento 23/10/13 JAFC  Verif. Documental
correctivo y el mantenimiento preventivo.
3. Verifique si para cumplir con el mantenimiento
correctivo se dispone de un directorio de proveedores AMQU
24/10/13  Verif. Fisica
especializados que puedan resolver los probables MST
desperfectos en el menor tiempo posible.
4. Determine si el mantenimiento preventivo se realiza en
base a una programación debidamente estructurada
AMQU  Verif. Fisica
debiendo llevarse una estadística de los problemas 25/10/13 
MST Verif. Documental
para ajustar lo mejor posible el mantenimiento
preventivo.
5. Verifique si la dirección de la entidad ha establecido en
coordinación con el área de informática las políticas
sobre mantenimiento de los equipos de computación
26/10/13 CMSR  Verif. Documental
con la finalidad de tener una apropiada
implementación que asegure el funcionamiento
general y el rendimiento óptimo de los mismos.
OBJETIVO ESPECIFICO N° 07:
Comprobar la existencia de adecuados procedimientos de
control de seguridad de programas de datos y equipos de
cómputo
PROCEDIMIENTOS:
1. Determine si se han establecido mecanismos de
seguridad en los programas y datos del sistema para 25/10/13 CMSR  Verif. Documental
proteger la información procesada por la entidad
garantizando su integridad y exactitud y así mismo los
equipos de computación.
2. Verifique si en los programas de control se han
contemplado los siguientes requisitos:
a) Restricciones de acceso a los archivos y programas
para los programadores, analistas u operadores.
AMQU  Verif. Documenta
b) Claves de acceso (password) por usuarios para no 26/10/13 
MST Verif. Fisical
violar la confidencialidad de la información.
c) Elaboración de copias de respaldo de los datos
procesados en forma diaria, semanal o mensual
(backup) y descentralizada para evitar pérdida de
la información.
 19

HECH REF.
PROCEDIMIENTOS FECHA
O POR: PT
d) Desarrollar un sistema de seguridad como software
de control de todas las actividades.
e) Mantener programas antivirus actualizados para
evitar el deterioro de la información, según la
vulnerabilidad del sistema.
3. Verifique de que existen adecuados controles para la
seguridad física de los equipos de computación con la
 Verif. Fisica
finalidad de evitar desperfectos en los equipos, 26/10/13 CMSR  Verif. Ocular
accidentes, incendios y toda serie de circunstancias que
haga peligrar el funcionamiento del sistema.
OBJETIVO ESPECIFICO Nº 08

Comprobar la existencia de un Plan de Contingencias
adecuado a las reales necesidades de la Institución.
PROCEDIMIENTOS: JAFC
27/10/13  Verif. Documental
1. Verifique si la Institución cuenta con un contrato de seguros. CMRS

2. Evalúe la existencia, difusión, aplicación y uso de contra JAFC

27/10/13  Verif. Documental
contingencias de sistemas. CMRS

3. Evalúe las medidas preventivas o correctivas en caso de JAFC

27/10/13  Verif. Documental
siniestros en el acceso. CMRS

4. Evalúe la aplicación de simulacros, así como el plan contra JAFC

27/10/13  Verif. Documental
contingencias. CMRS

OBJETIVO ESPECIFICO Nº 09
Comprobar la implementación en la aplicación de las técnicas
de Intranet dentro de la Institución como un medio de
fortalecer el Control Interno existente e incrementar la
eficiencia de las comunicaciones internas
PROCEDIMIENTOS:
1. Verifique si la Institución escogió un servidor comercial 28/10/13 JAFC  Verif. Documental
que ofrezca funcionalidades de empaquetado,
seguridad y enlaces a la base de datos de la Institución.
2. Verifique si la Institución organizó la información
mediante reuniones con los ejecutivos de más alto
28/10/13 JAFC  Verif. Documental
rango, determinando qué información estará en
Intranet.
3. Evalúe si se conectaron a una base de datos con la
AMQU
finalidad de organizar mejor la documentación 28/10/13  Verif. Fisica
MST
existente
OBJETIVO ESPECIFICO N° 10
Establecer sí existe adecuados procedimientos de control para la
 20

HECH REF.
PROCEDIMIENTOS FECHA
O POR: PT
administración del software de la Oficina de Tecnología de la
Información y estadística y si está debidamente autorizado.

PROCEDIMIENTOS
1. Determine sí la Oficina de Tecnología de la Información ha AMQU
04/11/13  Verif. Fisica
implementado adecuados procedimientos de control para la MST
administración del software.

2. Solicite una relación de todas las licencias adquiridas por la JAFC

05/11/13  Verif. Documental
Entidad, por el software comprado. CMSR

3. Seleccione al criterio del auditor algunas computadoras de

cada Gerencia de la entidad y verificar sí todos los
06/11/13 JAFC  Verif. Documental
programas instalados en ella, cuenta con la licencia
correspondiente.
 21

ANEXO Nº 02

CUESTIONARIO DE CONTROL INTERNO PARA AREA DE INFORMATICA

PREGUNTAS RESPUESTA REF

SI NO N/A P/T
DE INFORMACION SISTEMAS
1. ¿La dirección general y ejecutiva ha considerado la
importancia que tiene el estudio del sistema de información?
2. ¿Se establecen los requisitos de información a largo plazo?
3. ¿Se ha realizado una planificación estratégica del sistema de
información para la empresa?

4. ¿Existe una metodología para llevar a cabo tal planificación?

5. ¿está definida la función del director del sistema de
información?
6. ¿existe un plan estratégico del departamento del sistema de
información?
7. RECURSOS HUMANOS
8. ¿Se estudia la evolución del mercado y la adaptación del
personal a esa evolución?
9. ¿Los informáticos reciben noticias del momento tecnológico
por revistas, notas técnicas, etc.?
10. ¿Se recibe formación y se planifica esta mediante asistencia a
cursos, seminarios, etc.?
OTROS ASPECTOS
11. ¿los cambios en los sistemas informáticos son secuencia de la
planificación más que de la presión por necesidades
operativas?
12. ¿Se solicitan demostraciones sobre los nuevos artículos a los
proveedores?
13. ¿Se ha realizado algún estudio de `planificación del posible
efecto de las cargas, normas de trabajo y los picos sobre los
requerimientos tanto de equipos como de software?
14. ¿La entidad dispone de un plan informático?
15. ¿Se están siguiendo las directrices marcadas por el plan?
16. ¿El plan recoge todos los diferentes aspectos relacionados
con la función informática?
17. ¿Cuál es la inversión requerida de servicios, desarrollo y
consulta a los usuarios?