PLAN DE TRABAJO DE LA AUDITORIA DE GESTIN Y/O DIRECCIN EN EL

REA ADMINISTRATIVA Y OPERATIVA DE LAS TECNOLOGAS DE

INFORMACIN
ENFOQUE DE LA AUDITORA
INTRODUCCIN
La auditora es el examen profesional, sistemtico y objetivo de las operaciones
ejecutadas con anterioridad por la gestin de la entidad, con la intencin de
formarse un juicio sobre el grado de eficiencia, eficacia, calidad, oportunidad y
economa, as como la razonabilidad y consistencia de los Estados Financieros, a
fin de emitir un informe que contenga observaciones, conclusiones y
recomendaciones.
Dado que las organizaciones gubernamentales peruanas, en particular, no vienen
asumiendo una visin de la auditoria interna como parte de una gestin integral,
sino que an se conserva la concepcin tradicional de la auditoria y el control
interno como una unidad independiente, no integrada a la calidad total de la
organizacin, se hace necesario redireccionar el enfoque de la auditoria interna
hacia la modernidad, aplicando procedimientos tcnicos legales para determinar el
grado de eficiencia, eficacia, calidad y celeridad de la gestin realizada por la
entidad, en un periodo previamente programado, de tal manera que se constituya
en la perspectiva de un nuevo enfoque integral y visin contribuida en una
herramienta de suma utilidad y apoyo a la gestin de las organizaciones tanto del
sector privado como pblico.
En cuanto a la formacin de los auditores internos, los expertos en Auditoria
Interna coinciden en la necesidad de integrar perfiles diversos que puedan dar
respuesta a la amplitud de funciones que trae consigo la evolucin de este sector
empresarial privado y/o entidad pblica, lo importante que debe destacarse es que
los profesionales Auditores Internos, tengan conocimientos de la actividad integral
de la organizacin y su dinmica de los actuales escenarios en donde tiene una
operatividad significativa por la conquista de mercados.
Es por ello que no se debe descuidar el rol que representa la auditora interna por
que contribuye con sus sugerencias consideradas en sus Informes de Auditora
sobre la aplicacin de medidas correctivas para superar las deficiencias o
desviaciones detectadas en la gestin de las organizaciones, que para el caso del
Pas; la aplicacin de la Auditora Interna y el control interno existen disposiciones
normativas legales dadas por la Contralora General de la Repblica y a nivel
internacional existe el INTOSAI, (Organizacin Internacional de Instituciones
Superiores de Auditora), el OLACFS a nivel Latinoamrica y el Caribe y el IFAC.
Federacin Internacional de Auditores.
En aras de cumplir a cabalidad, el auditor, con sus funciones y responsabilidad
basa su accin de evaluacin de las operaciones ejecutadas por la organizacin
pblica, de asesora y consultora, en un enfoque multidisciplinario en la ejecucin
de sus actividades de fiscalizacin y control en funcin del Manual de Auditoria
Gubernamental MAGU.
El Manual de Auditora Gubernamental (MAGU), es el documento normativo
fundamental que define las polticas y las orientaciones para el ejercicio de la
auditoria gubernamental en el Per. Es aprobado por el Contralor General de la
Repblica en su calidad de titular del rgano rector del Sistema Nacional de
Control.
Segn el MAGU (1998) el objetivo fundamental de la Auditoria Interna es:
Examinar y evaluar sistemticamente la adecuada y eficaz aplicacin de los
sistemas de Control Interno, de las operaciones contables y financieras y de las
disposiciones administrativas y legales que correspondan y velar por la
preservacin de los bienes asignados a las entidades estatales. La prctica de
auditora interna es una prctica respaldada por distintos organismos en el mbito
internacional y Nacional (Contralora General, 1998).


1. OBJETIVOS
1.1. OBJETIVO GENERAL
El objetivo del trabajo est dirigido auditar a la empresa MG Computer Support
and System, verificando el cumplimiento de los estndares para la Gestin de
Servicio que indica la norma NTP ISO/IEC 20000-1:2012 utilizando una auditoria
tipo externa.
1.2. OBJETIVOS ESPECIFICOS
- Evaluar la Gestin de Incidencias en la infraestructura de TI que da soporte a
los procesos del negocio.
- Verificar la existencia de una Gestin de Problemas en funcin a la norma, si
ejecuta actividades reactivas o proactivas.
- Analizar si existe una Gestin Financiera de las tecnologas de informacin y si
est alineada con las estrategias del negocio.

2. ALCANCE
Periodo comprendido entre el 31 de Marzo y el 14 de Junio de 2014, el examen de
llevar a cabo en concordancia con las Normas de Auditora Gubernamental
NAGU, Normas de Auditoria Generalmente Aceptadas, COBIT y la norma NTP
ISO/IEC 20000-1:2012; comprender la revisin y anlisis selectivo de las
actividades desarrollada por el rea de Informtica.
3. DESCRIPCIN DE LAS ACTIVIDADES
La actividad principal del Departamento de Informtica est referida a administrar
las tecnologas de informacin a fin de que todas las actividades administrativas,
operativas y financieras que realizan los clientes de la empresa MG Computer
Support and System, cuenten con el ms eficiente soporte tecnolgico para la
captura, procesamiento, acceso, difusin y explotacin de la informacin,
facilitando el cumplimiento de los objetivos y metas de las unidades orgnicas.

4. NORMATIVIDAD APLICABLE
Se cumplir con cumplir las normas:
El Manual de Auditora Gubernamental (MAGU), que establece entre otros
los procedimientos del Control Posterior, para las instituciones del Estado.
Normas de Auditoria Generalmente Aceptadas (NAGAS).
Normas generales y las Normas Tcnicas de Control Interno aprobadas por
resoluciones de la Contralora General de la Repblica.
Sistema de Control Interno aprobado por la Ley No. 28716, aplicado para el
Sector Pblico.
Reglamentos Internos de funcionamiento de las Oficinas de Auditora
Interna de empresas del Sector Privado.
Compendio de Normas Tcnicas Informticas del Instituto Nacional de
Estadsticas e Informtica:
Norma tcnica para la gestin de servicios en las entidades del estado
NTP-ISO/IEC 20000-1:2012. (Resolucin N 30-2012/CNB-INDECOPI).

5. IDENTIFICACIN DE RES CRTICAS
rea Procedimientos Bsicos
Instalacin y Equipos
Constatar el uso del software base de la instalacin y el
desarrollo de procedimientos automatizados, asimismo,
evaluar la infraestructura a los equipos de cmputo y de
comunicaciones.

6. GENERALIDADES
En este captulo se definir el problema a cuya solucin se pretende contribuir con
el desarrollo de la presente investigacin, se definir una serie de trminos que
ayudarn a comprender mejor los diversos aspectos del documento, se explicar
qu es la gestin o direccin de las tecnologas de informacin, el estado del arte
en cuanto a estndares para la auditora de la gestin informtica, se describir la
solucin propuesta para gestin o direccin de TI en funcin de los lineamientos
para las Instituciones Pblicas del Estado, y se detallar las actividades del
proyecto.
6.1. DEFINICIN DEL PROBLEMA
Las organizaciones pblicas y/o privadas emprenden grandes inversiones en
tecnologas de informacin, muchas veces sin evaluar el impacto que realmente
tienen en la generacin de valor de las mismas. Existen diversas normas dictadas
por organismos supervisores como la Contralora General de la Repblica y la
Superintendencia de Banca, Seguros y AFP, as como diversos estndares de
calidad que han sido propuestos por diversas entidades a nivel mundial. Estas
normas si bien nos ilustran de manera amplia, tcnica y ordenada sobre los
elementos a tener en cuenta para una adecuada gestin informtica, no nos
orientas de manera especfica sobre los procedimientos a seguir para una
evaluacin integral de la gestin informtica orientada al logro de los objetivos de
un Plan Estratgico Organizacional (que se miden sobre la base de indicadores de
gestin y resultados a alcanzar establecidos por toda la organizacin), lo que sera
el primer paso a seguir, si queremos lograr una planificacin estratgica de la
tecnologa de informacin, orientada hacia el logro de los objetivos
organizacionales.
6.2. MOTIVOS DE LA AUDITORIA
El objetivo es evaluar el grado de economa, eficiencia y eficacia en el manejo de
los recursos pblicos, as como el desempeo de los servidores y funcionarios del
Estado, respecto al cumplimiento de las metas programadas y el grado con que se
estn logrando los resultados o beneficios previstos por la legislacin presupuestal
o por la entidad que haya aprobado el programa o la inversin correspondiente.
Adems, en la gestin o direccin del rea de las tecnologas de informacin
comnmente se comenten muchos errores que en su conjunto estaran impidiendo
o retrasando el logro de los objetivos organizacionales con los consecuentes
perjuicios en las organizaciones usuarias de las TI, de todo sector econmico y
tamao.
La auditora de gestin puede tener, entre otros, los siguientes propsitos:
1. Determinar si la entidad adquiere, protege y emplea sus recursos de
manera econmica y eficiente.
2. Establecer las causas de ineficiencia o prcticas antieconmicas.
3. Evaluar si los objetivos de un programa son apropiados, suficientes o
pertinentes y el grado en que produce los resultados deseados.
Segn el MAGU (1998): la auditora de gestin, puede tener, entre otros
objetivos:
Determinar si estn logrndose los resultados o beneficios previstos por la
normativa, por la propia entidad, el programa o actividad permanente.
Comprobar si la entidad, programa o actividad ha cumplido con las leyes y
reglamentos aplicables en materia de efectividad, eficiencia o economa.
Determinar si los controles gerenciales implementados en la entidad o
programa son efectivos y aseguran el desarrollo eficiente de las actividades
y operaciones.
Generalmente, al trmino de una auditoria de gestin el auditor no expresa una
opinin sobre el nivel integral de dicha gestin o el desempeo de los funcionarios.
Por tanto, estas normas no prevn que se exija al auditor una opinin de esa
naturaleza. Sin embargo, el auditor deber presentar en su informe, hallazgos y
conclusiones respecto a la magnitud y calidad de la gestin de desempeo, as
como la relacin con los procesos, mtodos y controles internos especficos, cuya
eficiencia o eficacia considere susceptible de mejorarse. Si estima que existen
posibilidades de mejora, el auditor deber recomendar las medidas correctivas
apropiadas.


6.3. PROBLEMAS EN LA GESTIN DE LA TECNOLOGA DE INFORMACIN
El IT Governance Institute desarroll junto con PriceWatherHouse Coopers
Corporation, el IT Governance Global Status Report 2008 (IT Governance Institute,
2008), sobre la base de una muestra de 749 entrevistas a los gerentes generales,
gerentes de informtica, gerentes de operaciones, gerentes financieros y auditores
internos, con respecto a diversos puntos relacionados a la gestin de la tecnologa
de informacin en sus organizaciones. La muestra de entrevistados incluyo
personas de 23 pases de organizaciones de diversos sectores econmicos y
cantidad de empleados. Los resultados demostraron que la madurez del gobierno
de tecnologa de informacin en el ao 2007 estuvo en 2.67 en promedio
(considerando niveles de madurez anlogos al CMM, del 1 al 5).
En el IT Governance Global Status Report 2008, se indicaron los problemas
manifestados por los entrevistados en orden descendente de importancia, los
cuales fueron los siguientes:
a) Insuficiente cantidad de personal.
b) Problemas de entrega de servicios.
c) Inadecuadas habilidades en el personal de tecnologa de informacin.
d) Altos costos de la tecnologa de informacin versus el retorno de la
inversin.
e) Problemas con proveedores.
f) Falta de agilidad para la solucin de problemas.
g) Problemas con la documentacin y la gestin del conocimiento.
h) Falta de enlace entre la estrategia de tecnologa de informacin y la
estrategia de la organizacin.
i) Inadecuado plan de recuperacin de desastres.
j) Problemas de almacenamiento de la informacin.
k) Incidentes operacionales serios debido a la tecnologa de informacin.
l) No se cumplen con los requerimientos planeados inicialmente.
m) Problemas de seguridad de la informacin.
Los ms grandes obstculos para la mejora de la gestin de tecnologa de
informacin, sealados por los entrevistados, fueron los siguientes:
a) Presupuesto y retorno de la inversin esperado.
b) Falta de conocimiento y entendimiento del gobierno de tecnologa de
informacin.
c) El personal.
d) Problemas de planificacin.
e) Falta de apoyo de la alta gerencia.
f) Procedimientos de trabajo.
g) No hay una visin clara de las metas ms importantes.
h) Falta de apoyo de otras gerencias.
i) Falta de comunicacin entre el rea de tecnologa de informacin y las
otras reas.
j) La legislacin.
Algunos indicadores a resaltar en el estudio, son los siguientes:
Slo el 20% realiza una gestin activa del retorno de la inversin de la
tecnologa de informacin. 22% est en proceso de implementacin de este
aspecto.
Slo el 25% mide el rendimiento de la gestin de tecnologa de informacin,
29% est en proceso de implementacin de este aspecto.
Slo el 30% realiza una gestin formal del riesgo de tecnologas de
informacin. 32% est en proceso de implementacin de este aspecto.
Slo el 23% ha alineado la estrategia de tecnologa de informacin a la
estrategia de la organizacin, 32% est en proceso de implementacin de
este aspecto.
En funcin de estos aspectos, Alfaro (2008) desarrollo una investigacin sobre la
base de los procesos de seleccin relacionados a la implementacin de las
normas tcnicas peruanas de gestin de tecnologas de informacin: NTP-ISO/IEC
12207 y NTP-ISO/IEC 17799, en las entidades del Estado Peruano. Como
resultado de la investigacin se obtuve que slo el 4.39% de las 1026 entidades
usuario de tecnologa de informacin en el Estado Peruano (segn cifras del INEI
del ao 2002), haban realizado acciones para la implementacin de las normas
tcnicas peruanas de gestin de tecnologa de informacin. Slo 1.27% haba
logrado implementar la NTP-ISO/IEC 12207, y solo 1.27% haba logrado
implementar la NTP-ISO/IEC 17799. En total se habra invertido S/. 2760,718
nuevos soles, en servicios de asesora, consultora (diagnstico, plan de
implementacin, polticas y procedimientos), personal de apoyo, y capacitacin,
entre otros.
6.4. PLAN DE TRABAJO DEL AUDITOR INFORMTICO
Las tareas realizadas como parte del presente proyecto de investigacin sern las
siguientes:
A. Recopilacin de la bibliografa relacionado con los estndares de calidad
internacionales y nacionales como son: NTP-ISO/IEC 17799, NTP-ISO/IEC
12207, COBIT, ISO/IEC 12207, ISO/IEC 17799, ISO/IEC 20000 (ITIL) y
PMBOK.
B. Elaboracin de un plan metodolgico para la auditora integral de la gestin
informtica.
C. Aplicacin de la metodologa para la auditora integral de la gestin
informtica en la Institucin Pblica del Estado Peruano.
D. Afinamiento de la metodologa.
E. Aplicacin de la metodologa afinada.
F. Evaluacin de los resultados. Se evaluar el impacto resultante de la
aplicacin de la metodologa para la auditora integral de la gestin
informtica en la Institucin Pblica del Estado Peruano.
El plan de trabajo es el esquema ms importante del auditor informtico, las partes
con las que cuenta un plan del auditor informtico son:
o Funciones
o Procedimientos para las distintas tareas de la auditoria
o Tipos de auditoria
o Sistema de evaluacin
o Nivel de exposicin
o Lista de distribucin de informes
o Seguimiento de acciones correctivas
o Plan quincenal
o Plan de trabajo anual
Cabe sealar que debe definir o disear los siguientes planes relacionados a la
Gestin de la Tecnologa de Informacin:
Plan de continuidad del negocio
Plan de Contingencias Informtica
Plan de Seguridad de la Informacin
Plan de Mantenimiento (Preventivo y Correctivo)
Plan de Licenciamiento de Software
Plan de Capacitacin
Planificacin de Labores de Rutina
Planes de Compra
Planes de Proyectos, etc.
Si estos planes estn mal diseados por el auditor de gestin de las TI, en la
prctica, la ejecucin de supervisin presentar una serie de deficiencias o
carencias en los informes de auditora al respecto de cada uno de estos temas (en
su conjunto).
6.5. TCNICAS
o Estudio general
o Anlisis
o Inspeccin
o Confirmacin
o Investigacin
o Declaracin
o Certificacin
o Observacin
o Calculo

6.6. PROCEDIMIENTOS
o Obtener conocimientos
o Analizar las caractersticas del control interno
o Verificar resultados
o Dar conclusiones

6.7. HERRAMIENTAS
o Cuestionario general inicial
o Cuestionario Checklist
o Estndares
o Monitores
o Simuladores (Generales de datos)
o Paquetes de auditora (Generadores de Programas)
o Matrices de riesgo

6.8. ESTADO DEL ARTE
La gestin de la Tecnologa de Informacin, ha evolucionado muy rpido en las
ltimas dcadas, desde su aparicin. Ya no es suficiente que se comprenda los
procesos de desarrollo de sistemas de informacin, o los procesos de
construccin o mantenimiento de infraestructura de tecnologas de informacin.
Ahora las gerencias de tecnologas de informacin, deben alinearse a los sistemas
de gerencia modernos (los sistemas de gestin de la calidad), basados en el ciclo
Deming (Plan, Do, Check, Act). Estos sistemas de gerencia modelos, tienen
impacto en la cultura organizacional, la estructura organizacional, los procesos, las
polticas, los procedimientos y las instrucciones; no slo de personal relacionado
con la gestin de la tecnologa de informacin, sino tambin con sus usuarios.
En el Per, esto recin ha empezado desde hace pocos aos. En el Estado
Peruano se inici la aplicacin de la NTP-ISO/IEC 12207:2004 Procesos del Ciclo
de Vida del Software (INDECOPI, 2004) en Julio del 2006. Esta norma ya ha sido
actualizada y ahora se tiene NTP-ISO/IEC 12207:2006 (INDECOPI, 2006).
Adems se tiene la NTP-ISO/IEC 17799:2004 (INDECOPI, 2004), que si bien se
titula Cdigo de Buenas Prcticas para la Gestin de la Seguridad de la
Informacin, en la prctica es una norma que regula los procesos y proyectos que
se realizan en reas de gestin de infraestructura de tecnologas de informacin
(comnmente llamadas Soporte Tcnico). A esto se suma las normas de control
interno gubernamental para los sistemas informticos de Contralora General de la
Repblica, que se tiene desde el ao 1998 (Contralora General de la Repblica,
1998) y que ha sido mejorada tenindose una actualizacin (Contralora General
de la Repblica, 2006).
En la actualidad, cuando se realiza auditorias informticas en entidades del Estado
Peruano (a travs de Auditoria Interna, Auditoras Externas o Auditora General de
la Repblica), se debera tener como objetivo de control, los establecidos en las
normas de control interno de Contralora General de la Repblica, la NTP-ISO/IEC
12207:2006, la NTP-ISO/IEC 17799:2007, as como normas relativas a la
tendencia de software pirata, transparencia, y elaboracin de planes estratgicos
de informtica y planes operativos de informtica, entre otras.
6.9. METODOLOGA DE UNA AUDITORA DE SISTEMAS Y TI
Existen algunas metodologas de Auditoras de Sistemas y TI y todas dependen
de lo que se pretenda revisar o analizar, pero como estndar analizaremos las
cuatro fases bsicas de un proceso de revisin:
o Estudio preliminar
o Revisin y evaluacin de controles y seguridades
o Examen detallado de reas criticas
o Comunicacin de resultado
Estudio preliminar: Incluye definir el grupo de trabajo, el programa de auditora,
efectuar visitas a la unidad informtica para conocer detalles de la misma, elaborar
un cuestionario para la obtencin de informacin para evaluar preliminarmente en
control interno, solicitud de plan de actividades, Manuales de polticas,
reglamentos, entrevistas con los principales funcionarios.
Revisin y evaluacin de controles y seguridad: Consiste de la revisin de los
diagramas de flujo de procesos, realizacin de pruebas de cumplimiento de las
seguridades, revisin de aplicaciones de las reas crticas, revisin de procesos
histricos (Backup), revisin de documentacin y archivos, entre otras actividades.
Examen detallado de reas crticas: Con las fases anteriores el auditor descubre
las reas crticas y sobre ellas hace un estudio de anlisis profundo en los que
definir concretamente su grupo de trabajo y la distribucin de la carga del mismo,
establecer los motivos, objetivos, alcance y recursos que usar, definir la
metodologa de trabajo, la duracin de la auditoria. Presentar el plan de trabajo y
analizar detalladamente cada problema encontrado con todo lo anterior
analizado.
Comunicacin de resultados: Se elaborar el borrador del informe a ser
discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual
se presentar esquemticamente en forma de matriz, cuadros o redaccin simple
y concisa que destaque los problemas encontrados, los efectos y las
recomendaciones de la Auditora.
El informe debe contener lo siguiente:
o Motivos de la auditora
o Objetivos
o Alcance
o Estructura Orgnico Funcional del rea Informtica
o Configuracin del Hardware y Software instalado
o Control interno
o Resultados de la Auditora
Durante la realizacin del proyecto se utiliz una metodologa especfica, las
cuales aseguran que se contemple la totalidad de los aspectos relevantes para
cada componente de revisin.
La relacin de metodologa utilizada y el alcance de las mismas se resumen a
continuacin:
o Solicitud de los estudios de viabilidad y caractersticas de los equipos actuales,
proyectos, sobre ampliacin de equipo, su actualizacin.
o Solicitud de contratos de compra y mantenimiento de sistemas.
o Solicitud de contratos y convenidos de respaldo.
o Elaboracin de un cuestionario sobre la utilizacin de equipos, memoria,
archivos, unidades de entrada/salida, equipos perifricos y su seguridad.
o Visita tcnica de comprobacin de seguridad fsica y lgica de las instalaciones
del centro de cmputo.
o Evaluacin tcnica del sistema electrnico y ambiental de los equipos del local.
o Evaluacin de la informacin recopilada, obtencin de graficas o porcentajes
de utilizacin de los equipos y su justificacin.
En conclusin, en base a la revisin de la literatura sobre estndares
internacionales de calidad relacionados a la gestin de la tecnologa de la
informacin (COBIT, ISO/IEC 12207, ISO/IEC 17799, ISO/IEC 20000 (ITIL),
PMBOK, ISO/IEC 27001, IEEE 1058-1998, ISO 9001:2000 e ISO 19011:2002),
MoProSoft 1.3, y las normas relacionadas a la auditoria informtica en el Estado
Peruano, se concluye que no existe una metodologa para la auditora integral de
la gestin de la tecnologa de informacin. Los enfoques actuales estn basados
sobre el proceso general de auditoria sumndoles las inclusiones no integradas de
los diversos estndares de calidad internacional, o las normas vigentes para las
entidades que son sujetas de evaluacin en una auditoria.