BASADO EN COBIT 4.0 STATUS LEGALES Y LA NORMA TECNICA PERUANA
Elaborado Por Jonatan Snchez Hinostroza
INTRODUCCION
El presente informe tiene como objetivo evaluar el cumplimiento de las funciones ejercidas por el rea de redes, comunicaciones y soporte tcnico de la E.A.I Pomalca aplicando los estndares dados por COBIT para el desarrollo de las buenas prcticas aplicando una Auditoria parcial de Mantenimiento.
La Auditoria informtica es el conjunto de tcnicas que permiten detectar deficiencias en las organizaciones de informtica y en los sistemas que se desarrollan u operan en ellas, que permitan efectuar acciones preventivas y correctivas para eliminar fallas y carencias que se detecten en la aplicacin de todas las normas y procedimientos.
El proyecto de auditoria parcial de mantenimiento se definir as mismo como la contrastacin entre lo que dice COBIT bajo (En este caso) la Norma Tcnica Peruana NTP-ISO/IEC 17799:2007 EDI,NTP-ISO/IEC 12206:2007 EDI, los status legales de la Resolucin 072-98-CG 500-04 y lo que realmente sucede en el rea auditada, segn documentacin presentada por la empresa y evaluacin ejercida por el auditor dejando as como resultado las recomendaciones del caso en funcin a como deberan aplicarse los procesos de acuerdo a respetar estas normas.
Como parte del desarrollo del proyecto tambin se usan los Estndares para el Aseguramiento de la Calidad del Software IEEE 730-1989.
Las recomendaciones ejercidas como resultado de esta auditoria podrn ser tomadas para su ejecucin inmediata por la empresa auditada. CONTENIDO
1.0 IDENTIFICACION DEL INFORME INFORME DE AUDITORIA DE SISTEMAS CON MENCION EN AUDITORIA DE MANTENIMIENTO EN EL AREA DE SOPORTE TI DE LA E.A.I POMALCA PERIODO MAYO- JULIO 2012
2.0 IDENTIFICACION DE LA ENTIDAD AUDITADA La Empresa Agroindustrial Pomalca S.A.A dedicada a la elaboracin y produccin de azcar rubia refinada ubicada en el distrito de Pomalca provincia de Chiclayo departamento de Lambayeque.
DATOS INFORMATIVOS DE LA EMPRESA
3.0 IDENTIFICACION DE ENTE AUDITOR Empresa Auditora CIX-USS
4.0 OBJETIVOS DE LA AUDITORIA INFORMATICA Conforme a lo establecido entre la E.A.I Pomalca y la empresa Auditora CIX- USS los objetivos de la auditoria son:
OBJETIVOS DE LA AUDITORIA DE MANTENIMIENTO Objetivo General: Realizar una Auditora con el objeto de evaluar el Servicio que brinda la Oficina de Soporte Tcnico tanto del software como del hardware en la EAI Pomalca SAA.
Objetivo Especficos Revisar la documentacin de la organizacin del Centro de Soporte Tcnico, alineado al Plan de Tecnologas y al MOF elaborado por el Dpto. Sistemas, en su organizacin, funcionalidad y planeacin. Diagnosticar si existe un plan de adquisicin de hardware y software as como evaluar bajo que criterios y la factibilidad con que se realiza la seleccin. Diagnosticar si existe y si se ejecuta un plan actual de mantenimiento diario. Verificar que en el plan de mantenimiento se cumpla con el control y el seguimiento del alcance del mantenimiento. Comprobar y revisar el avance de la calendarizacin de mantenimiento actual. Verificar el registro del estado de cada uno de los equipos de cmputo (hardware) y aplicaciones (software). Registrar el estado de la infraestructura fsica y lgica controlando en caso se presenten los fallos o los problemas de rendimiento. Controlar y verificar las licencias del software instalado en la empresa. Verificar y controlar las fallas, con qu frecuencia y el modo de reparacin. Revisar los controles de administracin de cambios de hardware y software. Verificar la efectividad del mantenimiento actual, sea preventivo o correctivo. Revisar los controles en las operaciones de redes. Revisar las polticas y procedimientos de seguridad con respecto a redes.
. 5.0 NORMATIVA APLICADA Y EXCEPCIONES Normas Tcnicas de Control Interno para Sistemas Computarizados, texto aprobado por Resolucin de Contralora N 072-98-CG del 18 de diciembre de 1998.
AUDITORIA DE MANTENIMIENTO
a. Resolucin 072-98-CG 500-04 Mantenimiento de Equipos de Computacin: La direccin de cada entidad debe establecer polticas respecto al mantenimiento de los equipos de computacin que permitan optimizar su rendimiento.
b. NTP-ISO/IEC 12207:2007 TECNOLOGA DE LA INFORMACIN. Procesos del ciclo de vida del software, 2 Edicin, el 28 de julio de 2006.
c. NTP-ISO/IEC 17799:2007 TECNOLOGA DE LA INFORMACIN. Cdigo de buenas practicas para la seguridad de la informacin, 2 Edicin, el 28 de julio de 2006.
6.0 ASPECTOS FORMALES DE LA AUDITORIA
Origen de la auditoria Se define en consecuencia de un contrato de carcter experimental aplicado en el curso de auditora de Tecnologas de Informacin. Alcance de la auditoria El presente trabajo de auditora fue aplicado en el CSI (Centro de Sistemas e Informtica) de la E.A.I Pomalca de acuerdo a la normativa y otras disposiciones aplicables. Las auditorias que comprende el presente informe son las siguientes:
a. Auditoria de mantenimiento.
A partir de la auditoria de infraestructura y operaciones evala las condiciones en las que se encuentra el hardware y el software, registrando rendimiento, confiabilidad y seguridad. As mismo revisa los procedimientos que se realizan en el rea de soporte tcnico, a fin de hallar deficiencias para optimizar y brindar un servicio adecuado y oportuno a las unidades organizativas de la empresa.
Cronograma de Trabajo Tarea Duracin Auditoria de Mantenimiento en el rea Redes, Comunicaciones y Soporte Tcnico del Departamento de Sistemas de la E.A.I Pomalca 43 das Fase 1 13 das Identificacin del Departamento de Sistemas como estructura orgnica de la empresa 1 da Datos del rea de redes, comunicaciones y soporte tcnico del Departamento de Sistemas. 6 das Solicitud de documentacin inicial 3 das Revisin de documentacin referente al rea de redes, comunicaciones y soporte tcnico del Departamento de Sistemas. 1 da Trabajo de campo inicial 2 das Definicin del alcance de proyecto 6 das Justificacin de la auditoria 1 da Adecuacin de la auditoria 3 das Formalizacin de la auditoria 2 das Cronograma de informes parciales 0 das Fase 2 22 das Desarrollo Auditoria de Mantenimiento 22 das Aplicacin de los CSA (Cuestionario Simplificado de Auditoria) 3 das Entrevistas a personal de TI 3 das Evaluacin de la estructura orgnica: Funciones, Autoridad y Responsables 4 das Evaluacin de los recursos humanos: Desempeo, Capacitacin, Condiciones de Trabajo, Materiales, Mobiliario y Equipos 4 das Evaluacin de procedimientos y planes de mantenimientos: Operacinalidad de la unidad de soporte tecnico 4 das Evaluacin de Hardware y Software: Licenciamiento y estado de equipos 4 das Fase 3 5 das Revisin de Papeles de Trabajo 2 das Diagnstico 1 da Elaboracin y emisin de Informes parcial (borrador) 3 das Fase 4 3 das Elaboracin y presentacin del informe 3 das
Documentos solicitados La Empresa Auditora CIXUSS solicit la siguiente documentacin:
a. Organigrama de la Empresa. b. ROF (Reglamento de Organizacin y Funciones) del Departamento. c. MOF (Manual de Organizacin y Funciones) del Departamento. d. POI (Plan Operativo Institucional) del Departamento. e. Inventario de hardware y software. f. Manuales Procedimiento de Trabajo Diario (Mantenimientos, Formateo, Instalaciones, Limpieza, Reparaciones, etc) Procedimiento de Servicio al Usuario. Procedimiento de Cumplimiento de Procedimientos. Procedimiento de Estndares de Calidad.
Justificacin de la auditoria La presente auditoria se justifica porque la entidad auditada, el rea de Redes, Comunicaciones y Soporte Tcnico de Departamento de Sistemas en la E.A.I Pomalca S.A.A., tiene la necesidad de mejorar la administracin de sus Tecnologas de Informacin, para que, de esta manera, logre cumplir los objetivos de la institucin. Formalizacin de la auditoria En consideracin al Contrato de Auditoria Informtica, la Empresa Auditora CIXUSS, tiene a cargo la realizacin de la Auditoria Informtica y tiene el compromiso de entregar un informe sobre la Auditora informtica efectuada a la E.A.I Pomalca en el periodo Mayo-Julio 2012. El equipo de Auditoria est conformado por las siguientes personas. Snchez Hinostroza Jonatan Gerente general y auditor. 7.0 Metodologa.
La auditoria se realizar, especficamente, en la Oficina de rea de redes, comunicaciones y soporte tcnico del Departamento de Sistemas, la cual depende de la Jefatura del Dpto. de Sistemas. El perodo de la Auditoria est comprendido en el periodo Mayo Julio 2012. La metodologa de investigacin a utilizar en la Auditoria Informtica se presenta a continuacin:
Solicitud de Manuales y Documentacin. Aplicacin de cuestionario y encuestas a los usuarios de los servicios de los Centros de Informacin. Evaluacin directa de la informacin obtenida para cotejarla frente a las necesidades y los requerimientos del usuario. En la evaluacin del personal asignado al Centro Soporte Tcnico se llevaran a cabo las siguientes actividades:
o Recopilacin de informacin organizacional sobre la estructura orgnica. o Recopilacin de la informacin del recurso humano para un anlisis detallado del desempeo del personal asignado. o Aplicacin del cuestionario y encuestas al personal.
Para la evaluacin del mantenimiento de los equipos informticos del Soporte Tcnico se llevarn a cabo las siguientes actividades:
o Planes y procedimientos de mantenimiento. o Aplicacin del cuestionario al personal.
Anlisis y evaluacin de la informacin en general. Elaboracin y presentacin del informe final (conclusiones y recomendaciones)
Formatos y formularios de Presentacin
Formato AS-AM 001
HOJA DE IDENTIFICACION
AUDITORIA DE SISTEMAS EN LA OFICINA DE REDES, COMUNICACIONES Y SOPORTE TECNICO DEL DEPARTAMENTO DE SISTEMAS EN LA E.A.I POMALCA
TIPO DE AUDITORIA: ___________________________________________
REALIZADA DESDE ________________ HASTA __________________
Verificacin de documentacin entregada por la empresa auditada Empresa : _____________________________________________________ Fecha : _________________ Responsable: ____________
DOCUMENTOS ENTREGADOS
(SI-NO)
ROF (Reglamento de Organizacin y Funciones)
MOF (Manual de Organizacin y Funciones).
POI (Plan Operativo Institucional)
Organigrama de la Empresa.
Inventario de hardware y software.
OBSERVACIONES
Formato AS-AM 003
DOCUMENTOS INICIALES POR SUB - AREA
Verificacin de documentacin entregada por la empresa auditada
Sub rea : __________________________________________ Responsable : _________________________________________ Fecha : ___________________
DOCUMENTOS ENTREGADOS DEPENDENCIA
OBSERVACIONES:
Formato AS-AM 004
CSA AUDITORIA DE MANTENIMIENTO
PREGUNTAS RESPUESTA SI NO N/A
Formato AS-AM 005 ESQUEMA DEL CSA DE AUDITORIA MANTENIMIENTO POR ELEMENTOS E INDICADORES ELEMENTO DE AUDITORIA INDICADOR COBIT ACCION PREGUNTA PRINCIPAL PREGUNTA COMPLEMENTARIA RESPUESTA SI NO N/A
Formato AS-AM 006
TABULACION DE RESPUESTAS DEL CSA INDICADOR RESPUESTA VERIFICACION % Auditoria
80 60 40 20 0
SI NO N/A
100 80 60 40 20
Formato AS-AM 007
PROBLEMAS DETECTADOS
AUDITORIA DE SISTEMAS EN LA OFICINA DE REDES, COMUNICACIONES Y SOPORTE TECNICO DEL DEPARTAMENTO DE SISTEMAS EN LA E.A.I POMALCA