1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

120
Carrera de Ingeniería de Sistemas Computacionales 1 Bach. Arturo Fernando Granados Rodríguez Capítulo I: PLAN DE INVESTIGACIÓN

Transcript of 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Page 1: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

1 Bach. Arturo Fernando Granados Rodríguez

Capítulo I:

PLAN DE INVESTIGACIÓN

Page 2: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

2 Bach. Arturo Fernando Granados Rodríguez

I. GENERALIDADES

1.1. AUTOR

Bach. Arturo Fernando Granados Rodríguez

1.2. ASESOR Ing. Hugo Alejandro Pérez Quiroz

1.3. TITULO

AUDITORÍA DEL DESARROLLO DE SISTEMAS DE INFORMACIÓN EN EL GOBIERNO REGIONAL CAJAMARCA.

1.4. INSTITUCIÓN A LA QUE PERTENECE EL PROYECTO

Universidad Privada del Norte, Facultada de Ingeniería, Carrera de Ingeniería de Sistemas Computacionales

1.5. LUGAR DE EJECUCION DEL PROYECTO

Área de sistemas del Gobierno Regional Cajamarca,

1.6. TIPO DE INVESTIGACION 1.6.1 De acuerdo al propósito de la investigación : Aplicada

1.6.2 De acuerdo a su grado de profundidad: Descriptivo - Correlacional 1.6.3 De acuerdo al método y técnicas de investigac ión: Ex post - facto

1.7. DURACION Se realizo en un tiempo de 4 meses (Marzo a Julio del 2012)

1.8. CRONOGRAMA DE TRABAJO

Page 3: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

3 Bach. Arturo Fernando Granados Rodríguez

Cronograma de trabajo en Microsoft Project.

Figura N° 01: Cronograma de Actividades

Fuente Propia

1.9. RECURSOS

1.9.1. Humanos Director del CIS Staff. Área de planeamiento estratégico Área de sistemas

Asesor Tesista 1.9.2. Materiales Materiales de escritorio y oficina Fotocopias Memoria USB

Computadora de Escritorio Tintas para impresora Canon 1.9.3. Tecnológicos

Paquete Office 2007 (Microsoft Word, Microsoft Power Point, Microsoft Excel y Microsoft Project) Internet Speedy 2 MB Telefonía Impresora

Page 4: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

4 Bach. Arturo Fernando Granados Rodríguez

1.10. PRESUPUESTO

Costo total del proyecto, teniendo en cuenta los recursos utilizados en el desarrollo del mismo.

Recursos Unidad Cantidad Costo uni(S/.)

Costo total(S/.)

Humanos - Asesor

Asesor

1

300

300

Sub-Total 300 Materiales - Papel Bond Atlas de 80 gr

Millar

1

30

30

- Bolígrafos Faber Castell 0.35 Unidad 4 0.50 2.00 - Corrector Faber Castell Unidad 1 3 3 - Lápiz de Grafito Faber Castell Unidad 4 0.50 2.00 - Fotocopias Unidad 1000 0.067 67 - Memoria USB de 8GB Unidad 1 32 32 - Tintas para Impresora Canon Unidad 2 53 106

- Computadora de Escritorio (Intel Core 2 Quad, 2GB RAM, 300GB Disco Duro), Monitor Samsung 22’’, Mouse & Teclado Logitech, Parlantes 5.1 Logitech)

Unidad

1

1

3200

Sub-Total 3442 Tecnológicos - Impresora Multifuncional Canon

Mp190

Unidad

1

180

180

- Línea Tarifa Semi-Plana + Speedy 2 MB

Unidad

1

139

139

Sub-Total 319 Costo Total 4061

Tabla N° 01: Presupuesto

Fuente: Elaboración Propia

1.11. FINANCIAMIENTO

El presente proyecto será autofinanciado.

Page 5: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

5 Bach. Arturo Fernando Granados Rodríguez

II PLAN DE INVESTIGACION

2.1. EL PROBLEMA 2.1.1. Realidad Problemática

La investigación surge a raíz que en todo ámbito institucional se requiere información oportuna y confiable, para la toma de decisiones realidad que ha permitido el desarrollo de sistemas de información. Usualmente, la mayoría de las instituciones, y en este caso, el Gobierno Regional de Cajamarca, en el desarrollo de sistemas de información carece de un análisis técnico profesional, lo cual ha generado una información poco confiable, inoportuna e inconsistente a la hora de tomar decisiones. El Gobierno Regional Cajamarca, entra en vigencia por la Constitución Política del Estado Peruano y la Ley Nº 27867 el año 2003, y su modificatoria Ley Orgánica de Gobiernos Regionales. Esta, indica que es un organismo público con personería jurídica de derecho público, con autonomía política, económica y administrativa en asuntos de su competencia. El Gobierno Regional cuenta con departamento de sistemas el cual lo denominan Centro de Información y Sistemas – CIS, el mismo que da soporte técnico a los diversos procesos administrativos de la institución. Después de haber tenido entrevistas con el Director del CIS (Centro de Información y Sistemas) así como con su staff, dieron a conocer algunos de los problemas que se mencionan a continuación: - Falta de una metodología y procedimientos estándares para el

desarrollo de sistemas de información: gestión y planificación del proyecto, viabilidad, análisis, diseño, construcción, implantación y mantenimiento.

- Carencia de procedimientos de control interno, como garantía para una gestión eficaz orientada a la consecución de los objetivos del CIS y de la institución.

- Falta de documentación para la gestión del cambio, problemas e incidentes en el desarrollo del proyecto software.

- Falta de mecanismos de comunicación debidamente documentados entre el staff.

Ante estos problemas nace el presente trabajo de investigación aplicativo que permitirá mejorar el Área de Sistemas del Gobierno Regional Cajamarca.

2.1.2. Formulación del Problema

¿En qué medida la Aplicación de una Auditoría del Desarrollo de Sistemas de Información garantiza la integridad, confiabilidad de la información del Gobierno Regional Cajamarca?

Page 6: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

6 Bach. Arturo Fernando Granados Rodríguez

2.1.3. Antecedentes del Problema

Presento algunos antecedentes de casos de instituciones a Nivel Internacional y Nacional que han desarrollado Auditorías Informáticas con mucho éxito. Nivel Internacional

1. Autor: Carlos Giovanni Guzmán de León

Título: “Lineamientos Generales para una Auditoría de Sistemas en el Centro de Información de una Institución Bancaria” – Agosto 2000

Institución: Universidad Mariano Gálvez de Guatemala Obtener Grado Académico: MAGISTER ARTIUM EN SISTEMAS con Énfasis en Finanzas Resumen u Objetivo: Importancia que tiene la función de la Auditoría de Sistemas, en las instituciones financieras, así como la necesidad de planificarla y desarrollarla.

2. Autor: Guillermo Ramón Caal Chupina Título: “Planeación de la Auditoría Operacional en el Área de Ingresos de una empresa que utiliza el Comercio Electrónico” – Octubre 2006 Institución: Universidad de San Carlos de Guatemala Obtener Titulo de: Contador Público y Auditor en el Grado de Licenciado Resumen u Objetivo: Los elementos del proceso administrativo y la necesidad de considerar la participación de un especialista en Auditoría; asimismo, apoyar la actualización e innovación de herramientas electrónicas y metodológicas para el desarrollo de la actividad del Contador Público y Auditor en la planeación y ejecución de una Auditoría operacional.

3. Autor: Francisco Dagoberto Xiloj Charuc Título: “Auditoría Externa en un Ambiente de Sistemas de

Información Computarizado en el Área de Ingresos de una Empresa Comercializadora de Vehículos” – Agosto 2008

Institución: Universidad de San Carlos de Guatemala

Page 7: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

7 Bach. Arturo Fernando Granados Rodríguez

Obtener Titulo de: Contador Público y Auditor Resumen u Objetivo: La importancia de comprender los procedimientos y técnicas de Auditoría a aplicarse en una empresa Comercializadora de Vehículos, así mismo saber cómo aplicar los procedimientos y las técnicas más eficientes para Auditar estos nuevos y cada vez más complejos sistemas de información, con la ayuda de la tecnología.

Nivel Nacional

1. Autor: José A. Rau Álvarez Título: “Auditoría Estratégica y Plan de Negocios de una

Empresa de Confecciones de Calcetines” – 2004 Institución: Pontificia Universidad Católica del Perú Obtener Grado de Máster en: Administración de Negocios Resumen u Objetivo: Efectúa una auditoría estratégica, que analiza factores tales como la recesión que es uno de los más importantes a nivel macro, el estudio recomienda aprovechar los actuales espacios que existen para reducir costos. Debe introducirse mejoras tecnológicas y de capacitación para una mejor asignación de costos y reducción de los mismos. Así, con un desarrollo de un mejor control de calidad y manejo de mermas podría reducirse costos y ofrecer artículos con un mayor valor para el cliente.

2. Autor: Liliana Antonieta Palomino Chávez

Título: “Auditoría de Gestión en la Escuela de Ingeniería

de Sistemas” Institución: Universidad Nacional de Trujillo Obtener Titulo de: Ingeniero Informático Resumen u Objetivo: Identifica aspectos prioritarios en la parte de Gestión, aplicando Tecnologías Informáticas que mejoren el proceso que más incurren en incidencias que es el proceso de Matriculas de la Facultad de Ingeniería de Sistemas.

3. Autor: Gissela Karina Chávez García Título: “Auditoría Informática Aplicada al Sistema

Integrado de Gestión Comercial, Comercializadora y Distribuidora Jiménez S.A. de la Empresa Distribuidora Codijisa - Trujillo” - 2008

Page 8: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

8 Bach. Arturo Fernando Granados Rodríguez

Institución: Universidad Privada del Norte – Trujillo Obtener Titulo de: Ingeniero de Sistemas Resumen u Objetivo: La aplicación de una Auditoría Informática permite mejorar el sistema, minimizando los errores en un 88.33%.

. 2.1.4. Justificación del Problema

La confiabilidad de la información cobra cada vez mayor importancia en la sociedad, pues se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la información. La seguridad informática comprende software, bases de datos, archivos y todo lo que la organización valore (activo) y signifique un riesgo si ésta llega a manos de otras personas. Este tipo de información se conoce como información privilegiada o confidencial. La presente investigación es necesaria pues la administración del Gobierno Regional de Cajamarca, demanda sistemas de información que le permita realizar la gestión con eficacia y eficiencia. Esto conlleva al desarrollo de un sistema de información, que controle, evalúe y fortalezca la validez y confiabilidad de procesamiento de la Información. El estudio ha permitido identificar las principales deficiencias, que actualmente carece de procedimientos de control, verificar su correcta definición y aplicación que garanticen la integridad y confiabilidad de la información. Por ello, es conveniente realizar la mejora a través de la Auditoría del desarrollo de sistemas de información, que permita identificar y minimizar los riesgos de la información. La presente investigación se justifica en los siguientes aspectos: Justificación Académica

1. El presente proyecto de tesis ayudará a profundizar el conocimiento en investigación acerca de la realización de una Auditoría del Desarrollo de Sistemas de Información en el Gobierno Regional de Cajamarca.

2. El desarrollo de la tesis permitirá hacer uso de los conocimientos

adquiridos durante el transcurso de la carrera profesional de Ingeniería de Sistemas.

3. Servirá como base, aporte y guías de futuras tesis y proyectos

relacionadas al campo de Auditoría Informática.

Justificación Operativa • Staff del área de sistemas del Gobierno Regional Cajamarca • Tesista

Page 9: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

9 Bach. Arturo Fernando Granados Rodríguez

• Asesor

2.2. HIPÓTESIS

La aplicación de una Auditoría del Desarrollo de Sistemas de Información permite mejorar la integridad y confiabilidad de la información en el área de Sistemas en el Gobierno Regional Cajamarca.

2.3. OBJETIVOS

2.3.1. Objetivo General

Realizar una Auditoría del Desarrollo de Sistemas de Información para mejorar la integridad y confiabilidad de la información en área de Sistemas en el Gobierno Regional Cajamarca.

2.3.2. Objetivos Específicos ---- Analizar el contexto en el que actúa el área de sistemas del

Gobierno Regional.

---- Diseñar una metodología para la aplicación de la Auditoría para mejorar la integridad y confiabilidad de la información. en el área de sistemas del Gobierno Regional de Cajamarca.

---- Desarrollar encuestas dirigidas al staff del área de sistemas del Gobierno Regional.

---- Aplicar la Auditoría del desarrollo de sistemas de información

---- Evaluar los resultados y hallazgos de la autoría aplicada al desarrollo de sistemas de información al área de sistemas del Gobierno Regional de Cajamarca.

2.4. VARIABLES

2.4.1. Variable Independiente: Auditoría del Desarrollo de Sistemas.

Definición conceptual.- Auditoría del Desarrollo de Sistemas Es una disciplina encargada de aplicar un conjunto de técnicas y procedimientos con el fin de evaluar la seguridad de los sistemas de información durante todo el proceso de desarrollo. Definición operacional.- Se medirá a través de los siguientes indicadores: Documentación, Ciclo de vida, Equipo Técnico, Alcance del proyecto, Situación actual del proyecto, Modelo del Sistema, Interfaces, Plan de pruebas, Validación de requisitos, Arquitectura del Sistema, Migración y carga inicial de datos, Entorno de desarrollo y pruebas, Técnicas de programación, Programación de componentes, Pruebas de integración de componentes, Plan de formación y aceptación por usuarios,

Page 10: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

10 Bach. Arturo Fernando Granados Rodríguez

Capacitación a usuarios, Monitorear nivel de servicio, Registro de peticiones de mantenimiento

2.4.2. Variable Dependiente: Mejorar la Integridad y Confiabilidad Definición Conceptual.- El término integridad se refiere a la corrección de los datos. Y la confiabilidad está referida a la calidad de la información que produce y también a la eficiencia con la que ese sistema funciona. Definición operacional.- Se medirá a través de los siguientes indicadores: Errores encontrados, Errores corregidos.

2.5. INDICADORES

El proceso se ha llevado a cabo a través de una encuesta cuyo instrumento de recopilación de datos ha sido el cuestionario diseñado en concordancia con los indicadores seleccionados:

VARIABLE INDEPENDIENTE: Auditoría del Desarrollo de Sistemas

DEFINICIÓN DIMENSIONES INDICADORES INSTRUMENTO

Es una disciplina encargada de aplicar un conjunto de técnicas y procedimientos con el fin de evaluar la seguridad de los sistemas de información durante todo el proceso de desarrollo.

Gestión y planificación del proyecto

• Documentación • Ciclo de vida del proyecto • Equipo Técnico

Observacional, a través de encuestas,

cuestionarios, entrevistas al

staff.

Fase de Viabilidad

• Alcance del proyecto • Situación actual del proyecto

Fase Análisis

• Modelo del Sistema • Interfaces • Plan de pruebas • Validación de requisitos

Fase Diseño

• Arquitectura del Sistema • Migración y carga inicial de

datos

Fase Construcción

• Entorno de desarrollo y pruebas

• Técnicas de programación • Programación de

componentes • Pruebas de integración de

componentes

Page 11: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

11 Bach. Arturo Fernando Granados Rodríguez

Fase de Implantación y Aceptación

• Plan de formación y aceptación por usuarios

• Capacitación a usuarios

Fase de Mantenimiento

• Monitorear nivel de servicio • Registro de peticiones de

mantenimiento.

Tabla N°2 Indicadores de Variable Independiente

Fuente: Elaboración Propia

VARIABLE DEPENDIENTE: Mejorar la Integridad y Confi abilidad DEFINICIÓN DIMENSIONES INDICADORES INSTRUMENTO

El término integridad se refiere a la corrección y completitud de los datos en una base de datos. Y la confiabilidad de un Sistema de Información está referida a la calidad de la información que produce y también a la eficiencia con la que ese sistema funciona.

Integridad

• Eficacia • Fiabilidad • Validez • Consistencia

Porcentaje.

Confiabilidad

• Funcionamiento • Seguridad • Desempeño • Relevancia • Calidad

Tabla N°3 Indicadores de Variable Dependiente

Fuente: Elaboración Propia

2.6. Limitaciones de la Investigación

El dominio de la investigación está delimitado al Gobierno Regional Cajamarca en el área de sistemas. Y el periodo de estudio caracteriza a la investigación como trasversal, porque se realizará en un momento determinado del tiempo, durante los meses de marzo a julio del 2012.

Page 12: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

12 Bach. Arturo Fernando Granados Rodríguez

Capítulo II:

MARCO TEÓRICO

Page 13: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

13 Bach. Arturo Fernando Granados Rodríguez

II. MARCO TEORICO

2.1 ¿Qué es un Sistema? Según el Ing. Villanueva Sánchez Grover en su Tesis “Sistema de Gestión Estratégica aplicando el Enfoque Sistémico y las Tecnologías de la Información para lograr Ventajas Competitivas en el Instituto Nacional de Cultura de La Libertad”. Ref. Tes [2]. "Un sistema es una entidad autónoma dotada de una cierta permanencia, y constituida por elementos interrelacionados, que forman subsistemas estructurales y funcionales. Se transforma, dentro de ciertos límites de estabilidad, gracias a regulaciones internas que le permiten adaptarse a las variaciones de su entorno específico". Brian Wilson sostiene que el vocablo sistema “tiene varias interpretaciones, dependiendo del contexto en el que es usado”. Por otra parte, Stafford Beer refiere que “hablar de un sistema es hablar de la cohesión de un cierto número de entidades llamadas partes de un sistema. Un sistema no es algo dado por la naturaleza sino definido por la inteligencia”. Rodríguez Ulloa (1994) Por lo tanto, “se define a un Sistema como un conjunto de elementos interrelacionados que responden a un propósito determinado que como un todo tiene característica que sus partes separadamente no tienen. Está conectado, interactúa y es influenciado por su entorno”. Villanueva Sánchez (2008)

Figura Nº 02: Definición de Sistema

Fuente Tes [1] 2.2 Información Según John Burch & Gary Grudnitski en su libro "Diseño de sistemas de información" Ref. Lib [1].

Page 14: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

14 Bach. Arturo Fernando Granados Rodríguez

Es el eslabón indispensable que une a todos los componentes de la organización para una mejor operación y para su supervivencia en un ambiente competitivo y poco amigable.

Figura Nº03 El Ciclo de la Información (Burch)

Lib[1]. Pag.20 Además hace mención que la calidad de la información está en base a: exactitud (inf. clara y libre de tendencias o desviaciones) oportunidad (dentro del marco de tiempo necesario) y relevancia (importancia).

Figura Nº04 Atributos de la Calidad de la Información

Lib[1]. Pag.20

2.3 Sistema de Información (SI) Según Ralph M. Stair, en su libro “Principios de SISTEMAS DE INFORMACION – Enfoque Administrativo”. Ref. Lib [02] “Un Sistema de Información (SI) es un conjunto de componentes interrelacionados para recolectar, manipular y diseminar datos e información y para disponer de un mecanismo de retroalimentación útil en el cumplimiento de un objetivo”.

Page 15: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

15 Bach. Arturo Fernando Granados Rodríguez

“Todos interactuamos en forma cotidiana con sistemas de información, para fines tanto personales como profesionales; utilizamos cajeros automáticos, los empleados de las tiendas registran nuestras compras sirviéndose de códigos de barras y escáner u obtenemos información en módulos equipados con pantallas sensibles al tacto, las muy famosas touch screen. Las principales compañías gastan en la actualidad más de 1 000 millones de dólares al año en tecnología de información y el futuro dependeremos aún más de los sistemas de información“ Según Kenneth Laudon. & Jane Laudon en su libro “Sistemas De Información Gerencial”. Ref. Lib [03] “Un sistema de información se puede definir técnicamente como un conjunto de componentes interrelacionados que recolectan (o recuperan), procesan, almacenan y distribuyen información para apoyar la toma de decisiones y el control en una organización. Además de apoyar la toma de decisiones, la coordinación y el control, los sistemas de información también pueden ayudar a los gerentes y trabajadores a analizar problemas, visualizar asuntos complejos y crear productos nuevos”. Los sistemas de información contienen información acerca de gente, lugares y cosas importantes dentro de la organización o en el entorno que se desenvuelven. Por información se entiende los datos que se han modelado en una forma significativa y útil para los seres humanos. En contraste, los datos son consecuencia de los hechos en bruto y representan eventos que ocurren en las organizaciones o en el entorno físico antes de ser organizados y ordenados en una forma que las personas puedan entender y utilizar. Hay tres actividades en un sistema de información que producen la información que las organizaciones necesitan para tomar decisiones, controlar operaciones, analizar problemas y creas nuevos productos o servicios. Estas actividades son entrada, procesamiento y salida. La entrada captura o recolecta datos en bruto tanto al interior de la organización como de su entorno externo. El procesamiento convierte esta entrada de datos en una forma significativa. La salida transfiere la información procesada a la gente que lo usará o a las actividades para las que se utilizará. Los sistemas de información también requieren retroalimentación que es la salida que se devuelve al personal adecuado de la organización para ayudarle a evaluar o corregir la etapa de entrada.

Page 16: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

16 Bach. Arturo Fernando Granados Rodríguez

Figura Nº05 Actividades de un Sistema de Información Fuente: Sistemas de Información Gerencial Lib [03]

Según Mario Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruíz. En su libro “Auditoría de Tecnologías y Sistemas de Información”. Ref Lib [06]. Pg. 346. En un sentido amplio se puede considerar que un SI es un conjunto de elementos que interactúan para que la empresa pueda alcanzar sus objetivos satisfactoriamente. Según COBIT los componentes o recursos de un SI son los siguientes:

� Datos En general se consideran datos tanto los estructurados como los no estructurados, las imágenes, los sonidos, etc.

� Aplicaciones Se incluyen las aplicaciones manuales y las informáticas

� Infraestructura En infraestructura se incluyen las tecnologías y las instalaciones (por ejemplo hardware, sistemas operativos, sistema de gestión de base de datos, sistemas de red, multimedia y el medio en el que se ubican) que permiten que se procesen las aplicaciones.

� Personal Los conocimientos que ha de tener el personal de los sistemas de información para planificarlos, organizarlos, administrarlos y gestionarlos

Page 17: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

17 Bach. Arturo Fernando Granados Rodríguez

Figura Nº06 Sistema de Información

Fuente: “Auditoría de Tecnologías y Sistemas de Información”. Ref Lib [06]. Pg. 347. Para comprobar que el sistema de información está funcionando según lo previsto, este habrá de disponer de un sistema de control interno que prevenga los eventos no deseados o en su defecto los detecte y los corrija. Es conveniente recordar que el resultado de la Auditoría parcial de un sistema de información no se puede extrapolar al conjunto del sistema. EI funcionamiento inadecuado de alguno (o algunos) de los procesos y recursos que intervienen en otras partes del sistema (subsistemas) puede invalidar el sistema de información.

2.4 Clasificación de los Sistemas de Información Según Vinceç Fernández Alarcón, en su libro “Desarrollo de Sistemas De Información – Una metodología basada en el modelado”. Ref. Lib [04]. Propone diversos criterios para la clasificación de los Sistemas de Información:

1. Por el grado de formalidad: � Sistemas de Información Formales y los Informales

2. Por el nivel de automatización conseguido:

� En las organizaciones, pueden existir sistemas que necesitan una alta participación de los trabajadores – poco automatizadas (Por ejemplo, los sistemas para responder a preguntas personalizadas a través de un e-mail) -, mientras que otros sistemas son capaces de trabajar sin la intervención

Page 18: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

18 Bach. Arturo Fernando Granados Rodríguez

humana – muy automatizadas (por ejemplo, las centrales telefónicas totalmente automatizadas).

3. Por su relación con la toma de decisiones

� Una de las funciones que deben cumplir los sistemas de información es colaborar en la toma de decisiones. En función del lugar jerárquico en donde se tomen las decisiones, los sistemas de información se podrán clasificar en estratégicos, de control u operativos

4. Por la naturaleza de sus entradas y salidas � Un sistema de información puede recibir información de diversas

fuentes de información (personas, empresas, otros sistemas de información, etc.) así como en distintos formatos (a través de un teclado, por la red, de un disquete, memoria USB, CD, DVD etc.) del mismo modo, los Sistema de Información pueden proporcionar información a través de distintos formatos (impreso, por pantalla, en internet, etc.)

5. Por el origen y el grado de personalización � En las empresas se pueden encontrar Sistemas de Información

que han sido diseñados e implementados sólo para ellos, o también sistemas comprados que son utilizados por otras empresas.

6. Por el valor que representan para las organización � El sistema que contiene la información de los clientes suele

tener una mayor importancia que el sistema de información de presupuestos (ya que este es más sencillo y se puede hacer manualmente).

2.5 Tipos de Sistemas de Información Según Kenneth Laudon. & Jane Laudon en su libro “Sistemas De Información Gerencial”. Ref. Lib [03] Plantean cuatro principales tipos de sistemas de información que dan servicio a los diferentes niveles de la organización: sistemas a nivel operativo, sistemas a nivel del conocimiento, sistemas a nivel administrativo y sistemas a nivel estratégicos. 2.5.1 Los sistemas a Nivel Operativo apoyan a los gerentes operativos en el seguimiento de las actividades y transacciones elementales de la organización como ventas, ingresos, depósitos en efectivo, nómina, decisiones de crédito y flujo de materiales en una fábrica. El objetivo principal de los sistemas a este nivel es responder las preguntas de rutina y seguir el flujo de las transacciones

Page 19: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

19 Bach. Arturo Fernando Granados Rodríguez

a través de la organización. ¿Cuántas partes hay en el inventario? ¿Qué pasó con el pago del señor Gutiérrez? En general, para contestar este tipo de preguntas la información debe estar a la mano y ser actual y precisa. Entre los ejemplos de sistemas a nivel operativo están un sistema para registrar los depósitos realizados en un cajero automático o uno que lleve el registro del número de horas trabajadas cada día por los empleados de una fábrica. 2.5.2 Los sistemas a Nivel del Conocimiento apoyan a los trabajadores del conocimiento y de datos de una organización. El propósito de estos sistemas es ayudar a las empresas comerciales a integrar el nuevo conocimiento en los negocios y ayudar a la organización a controlar el flujo del trabajo de oficina. Los sistemas a nivel del conocimiento, especialmente en forma de estaciones de trabajo y sistemas de oficina, están entre las aplicaciones de crecimiento más rápido en los negocios actuales. 2.5.3 Los sistemas a Nivel Administrativo sirven a las actividades de supervisión, control, toma de decisiones y administrativas de los gerentes de nivel medio. La pregunta principal que plantean estos sistemas es ¿van bien las cosas? Por lo general este tipo de sistemas proporcionan informes periódicos más que información instantánea de operaciones. Un ejemplo es un sistema de control de reubicación que informe los costos totales de mudanza, búsqueda de vivienda y financiamiento de vivienda para empleados de todas las divisiones de la compañía y notifique cualquier costo actual que exceda los presupuestos. 2.5.4 Los sistemas a Nivel Estratégico ayudan a los directores a enfrentar y resolver aspectos estratégicos y tendencias a largo plazo, tanto en la empresa como en el entorno externo. Su función principal es compaginar los cambios del entorno externo con la capacidad organizacional existente. ¿Cuáles serán los niveles de empleo dentro de cinco años? ¿Cuáles son las tendencias a largo plazo de los costos de la industria y dónde encaja nuestra empresa? ¿Qué productos deberemos estar elaborando dentro de cinco años? Los sistemas de información también apoyan las principales funciones empresariales como ventas y marketing, manufactura, finanzas, contabilidad, y recursos humanos. Una organización típica tiene sistemas a nivel operativo, administrativo, del conocimiento y estratégico para cada área funcional. 2.6 AUDITORÍA. 2.6.1 Definición de Auditoría En su libro, Carlos Muñoz Razo. “Auditoría en Sistemas Computacionales”, Ref. Lib [05]

Page 20: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

20 Bach. Arturo Fernando Granados Rodríguez

Los inicios de la Auditoría se remontan a la revisión y el diagnóstico que se practicaba a los registros operacionales contables de las empresas; después se pasó al análisis, verificación y evaluación de sus aspectos financieros; posteriormente se amplió al examen de algunos rubros de la administración, siguiendo con el análisis de aquellos aspectos que intervenían en todas sus actividades y, por último, su alcance se incrementó conforme se avanzó en la llamada revisión integral. Nos muestra además una definición de auditoría: Auditoría es la revisión independiente que realiza un auditor profesional, aplicando técnicas, métodos y procedimientos especializados, a fin de evaluar el cumplimiento de las funciones, actividades, tareas y procedimientos de una entidad administrativa, así como dictaminar sobre el resultado de dicha evaluación. En la página Web del INEI: ¿QUÉ ES LA AUDITORÍA INFORMÁTICA? Ref. URL [1] Hare referencia a: La Auditoría cumple una función muy valiosa e independiente, no toma acciones pero da sugerencias, y sus conclusiones deben tomarse en cuenta en la toma de decisiones. La auditoría se apoya de herramientas de análisis, verificación y exposición conformando así elementos de juicio, los cuales permitirán determinar las debilidades y disfunciones. Es muy probable que se afecte la susceptibilidad del personal auditado, debido a que se interrumpe de alguna manera sus tareas, en el momento de realizar la auditoría, además esta actitud es comprensible. Pero los sistemas en ocasiones son muy sofisticados, lo cual hace que el auditor disponga de un nivel técnico adecuado e insuficiente frente al tiempo que tiene para realizar su trabajo. Como parte de la auditoría esta la evaluación del personal, para esto existe el Chek List, que es un cuestionario, el cual es archivado bajo estrictas medidas de seguridad por las empresas que se encargan de realizar este trabajo de Auditoría, por considerarse información confidencial y activos muy importantes que respaldan su actividad. La evaluación debe ceñirse de acuerdo a las normas o reglas implantadas y se considera que debe aplicarse una metodología que pueda resolver los problemas que puedan presentarse. Francisco Dagoberto Xiloj Charuc, en su Tesis Ref. Tes [03]: “Auditoría Externa en un Ambiente de Sistemas de Información Computarizado en el Área de Ingresos de una Empresa Comercializadora de Vehículos”. Nos menciona: La Auditoría consiste en un examen sistemático de los libros, documentos y demás registros contables de una entidad, con el objeto de obtener elementos de juicio y evidencia comprobatoria suficiente y competente para fundamentar

Page 21: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

21 Bach. Arturo Fernando Granados Rodríguez

de una manera objetiva y profesional la opinión que el Contador Público y Auditor, emite sobre los estados financieros preparados por la entidad, a una fecha determinada y el resultado de las operaciones por un período terminado en esa fecha, así como los estados de flujos de efectivo y patrimonio de los accionistas. 2.7 Auditor En su libro, Carlos Muñoz Razo. “Auditoría en Sistemas Computacionales”, Ref. Lib [05] Del latín Auditor, oris s.m. 1. Persona capacitada para realizar auditorías en empresas u otras instituciones. Pertenece a un colegio oficial. Del latín auditor ; el que oye, del verbo audire . Oír. Anteriormente oyente El autor del libro propone la siguiente definición para la Auditoría: “Es la revisión independiente de alguna o algunas actividades, funciones específicas, resultados u operaciones de una entidad administrativa, realizada por un profesional de la Auditoría, con el propósito de evaluar su correcta realización y, con base en ese análisis, poder emitir una opinión sobre la razonabilidad de sus resultados y cumplimiento de sus operaciones” Según la Página Web, ¿QUÉ ES LA AUDITORÍA INFORMÁTICA? Del Instituto Nacional De Estadística e Informática (INEI). Ref URL [1]. Pg 11 “Si nos remontamos al campo de la etimología veremos que auditoría viene del latín auditorius, proviniendo de aquí la palabra auditor, la misma que significa o que se refiere a aquel que tiene la virtud de oir”. 2.8 ISACA (Information Systems Audit and Control As sociation - Asociación de Control y Auditoría de Sistemas de In formación) Ref. URL [5]: Desde su creación, ISACA se ha convertido en una organización global que establece las pautas para los profesionales del gobierno, control, seguridad y auditoría de información. Sus normas de auditoría y control de SI son seguidos por profesionales de todo el mundo y sus investigaciones abordan temas profesionales que son desafíos para sus constituyentes. 2.9 Principios de Auditoría En el libro “Auditoría de Tecnologías y Sistemas de Información” de Mario Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruíz. Ref Lib [06]. Pg. 349, 350, 351, 352. Algunos de los principios publicados por ISACA son:

Page 22: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

22 Bach. Arturo Fernando Granados Rodríguez

1. Formalidad

• Responsabilidad, atribuciones y obligaciones Las responsabilidades, atribuciones y obligaciones que abarca la función de auditoría de los sistemas de información deben documentarse de manera apropiada (formal) en unos estatutos de auditoría en el caso de la auditoría interna, o en una carta de encargo o contrato en el caso de la auditoría externa.

2. Independencia

• Independencia profesional En todas las cuestiones relacionadas con la Auditoría, el auditor de sistemas de información debe ser independiente de la organización auditada tanto en actitud como en apariencia. • Relación con la organización La función de auditoría de los sistemas de información debe ser lo suficientemente independiente del área que se esté auditando para permitir realizar de manera objetiva la Auditoría.

3. Ética y normas profesionales

• Condigo de Ética profesional Al igual que en otros colectivos profesionales, distintos organismos han publicado unos códigos de conducta o normas deontológicas que el auditor de sistemas de información ha de cumplir. Así el auditor que sea miembro de ISACA debe acatar el Código de Ética Profesional de ISACA, de lo contrario se pueden se pueden tomar medidas disciplinarias. • Diligencia profesional

En todos los aspectos del trabajo del auditor de sistemas de información, se debe ejercer la atención profesional correspondiente y el cumplimiento de las normas aplicables de auditoría profesional.

4. Idoneidad

• Habilidades y conocimientos

Page 23: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

23 Bach. Arturo Fernando Granados Rodríguez

EI auditor de sistemas de información debe ser técnicamente idóneo y tener la experiencia y los conocimientos necesarios para realizar el trabajo de auditor. • Formación profesional continúa

EI auditor de sistemas de información debe mantener la idoneidad técnica mediante su formación profesional continua.

5. Planificación

• Planificación de la Auditoría

EI auditor de sistemas de información debe planificar el trabajo de auditoría para satisfacer los objetivos de la Auditoría y para cumplir con las normas de auditoría aplicables a la profesión.

6. Ejecución de la Auditoría

• Evidencia

Durante el transcurso de una Auditoría, el auditor de sistemas de información debe obtener evidencia adecuada (fiable, relevante y útil) y suficiente para lograr los objetivos de la Auditoría. Los hallazgos y conclusiones de la Auditoría se deben basar en el análisis e interpretación apropiados de dicha evidencia. • Documentación

EI proceso de Auditoría deberá documentarse, describiendo las labores de auditoría realizadas y la evidencia de auditoría que respalda los hallazgos y conclusiones del auditor.

• Supervisión

EI personal de auditoría de SI debe ser supervisado para brindar una garantía razonable de que se lograran los objetivos de la Auditoría y que se cumplirán las normas profesionales de auditoría aplicables.

7. Información

• Contenido y formato de los informes

En el momento de completar el trabajo de auditoría, el auditor de sistemas de información debe proporcionar un informe con un formato apropiado a los destinatarios. EI informe de auditoría debe enunciar el alcance, los objetivos, el periodo de cobertura y la naturaleza y

Page 24: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

24 Bach. Arturo Fernando Granados Rodríguez

amplitud del trabajo de auditoría realizado. El informe debe identificar al auditarlo (cliente), los destinatarios en cuestión y cualquier restricción con respecto a su circulación. EI informe debe enunciar los hallazgos, las conclusiones y las recomendaciones, y cualquier reserva o consideración que tuviera el auditor con respecto a la Auditoría.

2.10 Objetivos Generales de la Auditoría En el Libro “Auditoría en Sistemas Computacionales”, de Carlos Muñoz Razo. Ref Lib [05]. Entre los objetivos más relevantes, encontramos a los siguientes: � Realizar una revisión independiente de las actividades, áreas o funciones

especiales de una institución, a fin de emitir un dictamen profesional sobre la razonabilidad de sus operaciones y resultados.

� Hacer una revisión especializada, desde un punto de vista profesional y autónomo, del aspecto contable, financiero y operacional de las áreas de la empresa.

� Evaluar el cumplimiento de los planes, programas, políticas, y lineamientos que regulan la actuación de los empleados y funcionarios de una institución, así como evaluar las actividades que se desarrollan en sus áreas y unidades administrativas.

� Dictaminar de manera profesional e independiente sobre los resultados obtenidos por una empresa y sus áreas, así como sobre el desarrollo de sus funciones y el cumplimiento de sus objetivos y operaciones.

2.11 Alcance de la Auditoría En el libro “Auditoría de Tecnologías y Sistemas de Información” de Mario Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruíz. Ref Lib [06]. Pg. 352. EI auditor debe determinar el alcance de su trabajo de acuerdo con las Normas Técnicas y decidir los procedimientos de auditoría, así como su extensión, el auditor utilizará su juicio profesional, teniendo en cuenta, muy especialmente, los conceptos de importancia relativa y los riesgos. EI concepto de importancia relativa es inherente al trabajo del auditor. En consecuencia, los procedimientos diseñados para soportar la opinión técnica en aquellas aéreas más significativas y en las que sea más probable que se puedan producir errores importantes deben ser más amplios y extensos que en aquellas otras en que no se den estas circunstancias. EI auditor debe requerir del auditado (cliente) cuanta información precise para realizar los trabajos de auditoría. Cualquier limitación al trabajo impuesta por el auditado o sobrevenida a lo largo del trabajo que impida la aplicación de lo

Page 25: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

25 Bach. Arturo Fernando Granados Rodríguez

dispuesto en las Normas Técnicas debe ser considerada en el informe de auditoría como una limitación al alcance. Para planificar y organizar la actividad de auditoría de sistemas de información, el auditor debe incluir en el alcance de la Auditoría los procesos relevantes y los procesos para supervisar esa actividad así como todos los recursos relacionados con el SI. 2.12 Implantación de sistema de control interno inf ormático Según Mario Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruíz. En su libro “Auditoría de Tecnologías y Sistemas de Información”. Ref Lib [06] 2.12.1 Controles de desarrollo, adquisición y mante nimiento de sistemas de información Permiten alcanzar la eficacia del sistema, economía y eficiencia, integridad de los datos, protección de los recursos y cumplimiento con las leyes y regulaciones: � Metodología del ciclo de vida del desarrollo de sistemas: su empleo podrá

garantizar a la alta Dirección que se alcanzaran los objetivos definidos para el sistema. Estos son algunos controles que deben existir en la metodología:

� La alta Dirección debe publicar una normativa sobre el uso de

metodología de ciclo de vida del desarrollo de sistemas y revisar esta periódicamente.

� La metodología debe establecer los papeles y responsabilidades de las distintas aéreas del Departamento de Informática y de los usuarios, así como la composición y responsabilidades del equipo del proyecto.

� Las especificaciones del nuevo sistema deben ser definidas por los usuarios y quedar escritas y aprobadas antes de que comience el proceso de desarrollo.

� Debe establecerse un estudio tecnológico de viabilidad en el cual se formulen formas alternativas de alcanzar los objetivos del proyecto acompañadas de un análisis coste-beneficio -de cada alternativa-.

� Cuando se seleccione una alternativa debe realizarse el plan director del proyecto. En dicho plan deberá existir una metodología de control de costes.

� Procedimientos para la definición y documentación de especificaciones de: diseño, de entrada, de salida, de ficheros, de procesos, de programas, de controles de seguridad, de pistas de auditoría, etc.

� Plan de validación, verificación y pruebas. � Estándares de prueba de programas, de pruebas de sistemas � Plan de conversión; prueba de aceptación final.

Page 26: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

26 Bach. Arturo Fernando Granados Rodríguez

� Los procedimientos de adquisición de software deberán seguir las políticas de adquisición de la Organización y dichos productos deberán ser probados y revisados antes de pagar por ellos y ponerlos en uso.

� La contratación de programas de servicios de programación a medida ha de estar justificada mediante una petición escrita de un director de proyecto.

� Deberán prepararse manuales de operación y mantenimiento como parte de todo proyecto de desarrollo o modificación de sistemas de información, así como manuales de usuario.

� Explotación y mantenimiento: el establecimiento de controles asegurara que

los datos se tratan de forma congruente y exacta y que el contenido de sistemas solo será modificado mediante autorización adecuada. Estos son algunos de los controles que se deben implantar: � Procedimientos de control de explotación � Sistema de contabilidad para asignar a usuarios los costos asociados

con la explotación de un sistema de información. � Sistema de contabilidad para asignar a usuarios los costes asociados

con la explotación de un sistema de información. � Procedimientos para realizar un seguimiento y control de los cambios de

un sistema de información.

2.13 Motivos para Efectuar una Auditoría de Tecnolo gías de Información

Según el Mg. Ing. Alberto Mendoza De Los Santos, en una presentación de sus clases de la Universidad Privada del Norte. Ref. PPT [1]. Pg. 15, 16, 17

Entre los principales justificativos o motivos de una auditoría, encontramos:

� Aumento del presupuesto del Departamento de procesamiento de

datos. � Desconocimiento de la situación informática de la empresa. � Falta total o parcial de seguridades lógicas y físicas que garanticen la

integridad del personal, equipos e información. � Descubrimientos de fraudes efectuados con el uso del computador. � Falta de una planificación informática. Falta de visión. � Organización que no funciona correctamente, debido a falta de políticas,

objetivos, normas, metodología, estándares, delegación de autoridad, asignación de tareas y adecuada administración del recurso humano.

� Descontento general de los usuarios, motivado generalmente, por incumplimiento de plazos y mala calidad de resultados.

� Falta de documentación o documentación incompleta de sistemas.

Dentro de los motivos para efectuar una Auditoría, el INEI en su página Web: ¿QUÉ ES LA AUDITORÍA INFORMÁTICA? Ref. URL [1]. Hace referencia a:

Page 27: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

27 Bach. Arturo Fernando Granados Rodríguez

Cuando existen síntomas de debilidad en la empresa, éstas acuden a las auditorías externas para poder determinar en donde están las falencias. Estos síntomas se pueden agrupar clases:

� Cuando existe Desorganización y Descoordinación : - Los promedios conseguidos no se habitúan a los estimados, por que los parámetros de productividad no son respetados y sufren un desvío. - Los objetivos que la empresa persigue, no coinciden con los obtenidos. - Esto puede darse debido a un cambio masivo de personal, o también porque un área tuvo una mala reestructuración, también puede deberse a una norma importante que haya sido modificada.

� Cuando hay insatisfacción del cliente y una mala im agen:

- Cuando no hay capacidad de satisfacer las necesidades del cliente. - Las fallas en hardware no son reparadas, ni se resuelven las incidencias en plazos establecidos y razonables, ocasionando un descontento en el usuario por sentirse abandonado. - Los resultados periódicos no son entregados en los plazos establecidos. Las pequeñas imprecisiones pueden ocasionar que la información no refleje lo real y que la actividad que ejerce el usuario se vea afectada por este motivo.

� Debilidades Económico-Financieras:

- Elevación de costos de forma repentina y desmesurada. - Cuando se da la necesidad de justificar las inversiones informáticas. - Cuando se dan otras prioridades en el aspecto presupuestario. - Costos y plazos de nuevos proyectos.

� Cuando existe inseguridad:

Se da una evaluación de nivel de riesgos, la que contempla los puntos siguientes: • Seguridad Lógica. • Seguridad Física. • Aspectos de confidencialidad. - La continuidad en el servicio es importante. En ocasiones se considera más importante que los aspectos de seguridad. - Si existen problemas en los que el centro de procesamiento de datos se encontrara fuera de control, una auditoría no tendría sentido por considerarse inútil, por eso deben tomarse en cuenta los más mínimos indicios para su aplicación.

2.14 CONTROL INTERNO

Según el Mg. Ing. Alberto Mendoza De Los Santos, en una presentación de sus clases de la Universidad Privada del Norte. Ref. PPT [2]. Pg. 22

Page 28: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

28 Bach. Arturo Fernando Granados Rodríguez

Esta referido fundamentalmente a la adopción de medidas preventivas, que tienen como finalidad salvaguardar los bienes de la empresa. Busca evitar acciones nefastas como sabotajes, fraudes y otro tipo de situaciones que lleven a inestabilidad o desaparición del negocio.

Según Mario Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruíz. En su libro “Auditoría de Tecnologías y Sistemas de Información”. Ref Lib [06] Pag. 05, 06 El Control Interno informático controla diariamente que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o la Dirección de Informática, así como los requerimientos legales. La misión del Control Interno Informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y validas. Como principales objetivos podemos indicar los siguientes:

• Controlar que todas las actividades se realizan cumpliendo los

procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

• Asesorar sobre el conocimiento de las normas. • Colaborar y apoyar el trabajo de Auditoría Informática, así como de las

auditorías externas al Grupo. • Definir, implantar y ejecutar mecanismos y controles para comprobar el

logro de los grados adecuados del servicio informático, lo cual no debe considerarse como que la implantación de los mecanismos de medida y la responsabilidad del logro de esos niveles se ubique exclusivamente en la función de Control Interno, sino que cada responsable de objetivos y recursos es responsable de esos niveles, así como de la implantación de los medios de medida adecuados.

2.14.1 Componentes del Control Interno

Según el Mg. Ing. Alberto Mendoza De Los Santos, en una presentación de sus clases de la Universidad Privada del Norte. Ref. PPT [2]. Pg. 22. La nueva economía ha obligado a las empresas a realizar cambios. Algunos de estos cambios, se pueden resumir en:

� Restructuración de los procesos empresariales (BPR: Business Process

Re-engineering)

Page 29: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

29 Bach. Arturo Fernando Granados Rodríguez

� Gestión de la calidad (TQM) � Redimensionamiento por reducción o crecimiento hasta el nivel correcto � Outsourcing � Descentralización

Los cambios que se mencionan, se deben a fuerzas externas que presionan a la empresa (ver Figura N°5). Ante esta situación, l as empresas deben evaluar sus sistemas de control interno de manera permanente. Para enfrentar y manejar estas fuerzas, se hace necesaria la adopción de la tecnología disponible. Los Sistemas de información constituyen un soporte fundamental para poner en marcha las estrategias planteadas por la alta dirección. Esto origina también un aumento de las necesidades de control y Auditoría. Es en este escenario que aparecen 2 conceptos fundamentales: El control interno y la Auditoría informática

Figura Nº07 Actividades de un Sistema de Información

2.15 AUDITORÍA INFORMÁTICA

En el libro “Auditoría de Tecnologías y Sistemas de Información” de Mario Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruíz. Ref Lib [06] Pag. 07 La Auditoría Informática es el proceso de recoger, agrupar y evaluar evidencias parar determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. De este modo la Auditoría Informática sustenta y confirma la consecución de los objetivos tradicionales de la Auditoría:

Page 30: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

30 Bach. Arturo Fernando Granados Rodríguez

• Objetivos de protección de activos e integridad de datos • Objetivos de gestión que abarcan, no solamente los de protección de

activos, sino también los de eficacia y eficiencia.

En el Libro “Auditoría en Sistemas Computacionales”, de Carlos Muñoz Razo. Ref Lib [05]. Es la revisión técnica especializada y exhaustiva que se realiza a los sistemas computacionales, software e información utilizados en una empresa, sean individuales, compartidos y/o de redes, así como a sus instalaciones, telecomunicaciones, mobiliario, equipos de periféricos y demás componentes. Dicha revisión se realiza de igual manera a la gestión informática, el aprovechamiento de sus recursos, las medias de seguridad y de los bienes de consumo necesarios para el funcionamiento del centro de cómputo. El propósito fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso de datos, el procesamiento adecuado de la información y la emisión oportuna de sus resultados en la institución, incluyendo la evaluación en el cumplimiento de las funciones, actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los sistemas computacionales a la empresa. El INEI en su página Web: ¿QUÉ ES LA AUDITORÍA INFORMÁTICA?. Ref. URL [1]. Hace referencia a los objetivos fundamentales de la Auditoría informática: La Auditoría debe iniciar su actividad cuando los Sistemas están operando, éste es el principal objetivo, el de mantener tal situación. Tal objetivo debe conseguirse tanto a nivel global como parcial. La operatividad de los sistemas ha de constituir entonces la principal preocupación del Auditor informático. Para conseguirla hay que acudir a la realización de Controles técnicos generales de operatividad y Controles técnicos específicos de operatividad, previos a cualquier actividad de aquel.

2.15.1 Control Interno y Auditoría Informática: Ca mpos Análogos

El control interno Informático y la auditoría Informática, tienen similitudes en sus objetivos profesionales. Son campos análogos que propician una transición natural entre ambas disciplinas. Sin embargo existen diferencias que conviene resaltar.

Page 31: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

31 Bach. Arturo Fernando Granados Rodríguez

Tabla Nº4 Similitudes y Diferencias entre Control Interno y Auditoría Informática

2.16 Técnicas y Herramientas Usadas por la Auditorí a Informática

El INEI en su página Web: ¿QUÉ ES LA AUDITORÍA INFORMÁTICA?. Ref. URL [1]. Hace referencia a: Cuestionarios La información recopilada es muy importante, y esto se consigue con el levantamiento de información y documentación de todo tipo. Los resultados que arroje una auditoría se ven reflejadas en los informes finales que estos emitan y su capacidad para el análisis de situaciones de debilidades o de fortalezas que se dan en los diversos ambientes. El denominado trabajo de campo consiste en que el auditor busca por medio de cuestionarios recabar información necesaria para ser discernida y emitir finalmente un juicio global objetivo, los que deben ser sustentados por hechos demostrables, a quienes se les llama evidencias. Esto se puede conseguir, solicitando el cumplimiento del desarrollo de formularios o cuestionarios lo que son pre impresos, los cuales son dirigidas a las personas que el auditor considera más indicadas, no existe la obligación de que estas personas sean las responsables de dichas áreas a auditar. Cada cuestionario es diferente y muy específico para cada área, además deben ser elaborados con mucho cuidado tomando en cuenta el fondo y la forma. De la información que ha sido analizada cuidadosamente, se elaborará otra información la cual será emitida por el propio Auditor. Estas informaciones serán cruzadas, lo que vine a ser uno de los pilares de la auditoría. Muchas veces el auditor logra recopilar la información por otros medios, y que estos pre impresos podían haber proporcionado, cuando se da este caso, se puede omitir esta primera fase de la auditoría. Entrevistas

Page 32: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

32 Bach. Arturo Fernando Granados Rodríguez

Existen tres formas para que el auditor logre relacionarse con el personal auditado. La solicitud de la información requerida, esta debe ser concreta y debe ser de la materia de responsabilidad del auditado. En la entrevista no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario. La entrevista es un medio por el que el auditor usará metodologías las que han sido establecidas previamente con la finalidad de encontrar información concreta. La importancia que la entrevista tiene en la auditoría se debe a que, la información que recoge es mayor y se encuentra mejor elaborada, y es más concreta que las que pueden proporcionar los medios técnicos o los cuestionarios. La entrevista personal entre el auditor y el personal auditado, es basada en una serie de preguntas específicas en las que el auditado deberá responder directamente. El sistema de interrogación se establece previamente y el auditor tendrá mucho cuidado, esta entrevista se debe dar de una forma muy cordial y bajo los parámetros de lo correcto, esto se hace con la finalidad de que sea lo menos tensa posible, y que el auditado conteste de la forma más natural, con mucha sencillez. Sólo que esta sencillez con la que se elaboran las preguntas deberán tener un fondo muy profundo, el cual es distinto en cada caso. El auditor cuando es ducho en la materia y tiene mucha experiencia, realiza un trabajo de reelaboración de sus cuestionarios de acuerdo a la situación y al escenario auditado. Este es un personaje que sabe que es lo que busca, debido a que tiene bien en claro lo que necesita, y porque lo necesita. Su trabajo es el pilar fundamental para el análisis, cruce y elaboración posterior del informe final, pero esto no indica que el auditado tenga que ser sometido a un interrogatorio automatizado lo cual no ofrece ningún camino. Por el contrario el auditor realiza la entrevista de tal forma que el auditado pueda responder a las preguntas formuladas de manera normal, lo que servirá para llegar al cumplimiento de los cuestionarios de sus Check Lists.

2.17 AUDITORÍA DE SISTEMAS DE INFORMACIÓN

Según Alonso Tamayo Alzate en su Libro “Auditoría de Sistemas – Una visión práctica”. Ref Lib [07] “La Auditoría de sistemas es la parte de la auditoría interna que se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para logar confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de

Page 33: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

33 Bach. Arturo Fernando Granados Rodríguez

computadores; es decir, en estas evaluaciones se está involucrado tanto los elementos técnicos como humanos que intervienen en el proceso de información”

Figura Nº08 Definición de Auditoría de Sistemas

Según el Instituto Nacional de Estadística e Informática (INEI) en su investigación “Auditoría de Sistemas”. Ref. URL [2]. “La Auditoría de Sistemas es el conjunto de técnicas que permiten detectar deficiencias en las organizaciones de informática y en los sistemas que se desarrollan u operan en ellas, incluyendo los servicios externos de computación, que permitan efectuar acciones preventivas y correctivas para eliminar las fallas y carencias que se detecten. Se verifica la existencia y aplicación de todas las normas y procedimientos requeridos para minimizar las posibles causas de riesgos tanto en las instalaciones y equipos, como en los programas computacionales y los datos, en todo el ámbito del Sistema: usuarios, instalaciones, equipos. Las Instituciones efectúan Auditorías de Sistemas, con la finalidad de asegurar la eficiencia de las organizaciones de informática, así como la confiabilidad y seguridad de sus sistemas.” Según el Mg. Ing. Alberto Mendoza De Los Santos, en una presentación de sus clases de la Universidad Privada del Norte. Ref. PPT [1]. Pg. 05 La Auditoría de Tecnologías de Información es un “Examen objetivo, crítico, sistemático, eminentemente posterior y selectivo de las políticas, normas, prácticas, procedimientos y procesos con el fin de emitir una opinión respecto a la eficiencia en la utilización de los recursos informáticos; la confiabilidad, consistencia, integridad y oportunidad de la información y la efectividad de los controles en los sistemas de información computarizados.”

Page 34: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

34 Bach. Arturo Fernando Granados Rodríguez

Según Mario Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruíz. En su libro “Auditoría de Tecnologías y Sistemas de Información”. Ref Lib [06] Pag. 33 En la década del 1970 (concretamente se funda en 1967) se consolida la que hoy se llama Information Systems Audit and Control Association (ISACA), siendo aun hoy la Única entidad, a nivel mundial, de los auditores de SI, y que gestiona una certificación en esta materia: Certified Information Systems Auditor (CISA). Esta asociación, que está presente en más de 140 países, a través de más de 170 capítulos (Chapters, en inglés) en todo el mundo, establece normas y procedimientos para la función de la Auditoría de SI y los profesionales que las realizan. Las preocupaciones fundamentales con respecto a la tecnología aludida anteriormente siguen siendo GIS mismas o se han incrementado con la evolución tecnológica. Estas inquietudes tanto de la Dirección de una entidad, como de sus accionistas o de la sociedad en general, se pueden concretar en:

• La veracidad de la información, en cuanto a su totalidad y exactitud,

procesada por los sistemas de tecnología.

• La utilización racional y ajustada a las necesidades reales de los

recursos tecnológicos.

• EI "mantenimiento" o "sostenibilidad" de la estructura tecnológica y su

crecimiento no debe ser traumático en el soporte de nuevas actividades.

• La confidencialidad de la información

• La protección de sus activos, especialmente el software y la

información.

2.18 Objetivos de la Auditoría de Sistemas Según Alonso Tamayo Alzate en su Libro “Auditoría de Sistemas – Una visión práctica”. Ref Lib [07] A continuación se exponen los objetivos que persigue la Auditoría de sistemas, los cuales se presentan agrupados en objetivos generales y objetivos específicos, de la siguiente forma:

Page 35: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

35 Bach. Arturo Fernando Granados Rodríguez

Figura Nº09 Objetivos de Auditoría de Sistemas

Objetivos Generales • Evaluar las políticas generales sobre la planeación, ambiente laboral,

entrenamiento y capacitación, desempeño, supervisión, motivación y remuneración del talento humano.

• Evaluar políticas generales de orden técnico con respecto al software, hardware, desarrollo, implantación, operación y mantenimiento de sistemas de información-

• Evaluar políticas generales sobre seguridad física con respecto a instalaciones, personal, equipos, documentación, back-ups, pólizas y planes de contingencias.

• Evaluar los recursos informáticos de la empresa con énfasis en su nivel tecnológicos, producción de software y aplicaciones más comúnmente utilizadas.

• Asesorar a la gerencia y altos directivos de la empresa en lo relacionado con los sistemas de información, de tal forma que el proceso de toma de decisiones se efectúe lo más acertadamente posible.

• Conocer las políticas generales y actitudes de los directivos frente a la Auditoría y seguridad de los sistemas de información y proceder a hacer las recomendaciones pertinentes.

2.19 Planteamiento y Metodología

En el libro “Auditoría de Tecnologías y Sistemas de Información” de Mario Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruíz. Ref Lib [06] Pag. 575 La Auditoría se desglosa en:

• Auditoría de la organización y gestión del área de desarrollo y

mantenimiento

• Auditoría de la planificación y gestión del proyecto

Page 36: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

36 Bach. Arturo Fernando Granados Rodríguez

• Auditoría de la fase de estudio de viabilidad

• Auditoría de la fase de análisis

• Auditoría de la fase de diseño

• Auditoría de la fase de construcción

• Auditoría de la fase de implantación

• Auditoría de la fase de mantenimiento

La metodología que se aplica es la propuesta por la ISACA (Information

Systems Audit and Control Association), que está basada en COBIT (Control

Objectives for Information and Related Technologies), la cual proporciona un

conjunto estructurado de buenas prácticas y metodologías para su aplicación,

cuyo objetivo es facilitar el gobierno de las TIC. COBIT está basado en la

evaluación de riesgos, de manera que partiendo de los riesgos potenciales a

los que está sometida la actividad, en este caso el desarrollo o mantenimiento

de SI, se determinan una serie de objetivos de control de alto nivel que

minimicen esos riesgos.

Para cada objetivo de control de alto nivel, agrupados por cada una de las

fases del ciclo de vida del software identificadas en Métrica versión 3 (MAP,

2007), se especifican uno o más objetivos de control de detalle o también

denominadas practicas de control, que contribuyen a lograr el cumplimiento de

dicho objetivo de control de alto nivel; para lo cual se ha basado también en la

propuesta de Rodero (2001). Así mismo, se aportan una serie pruebas de

cumplimiento que permitan comprobar la existencia y correcta aplicación de

dichos controles. Será la función del auditor determinar el grado de

cumplimiento y madurez de cada uno de ellos.

Page 37: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

37 Bach. Arturo Fernando Granados Rodríguez

Capítulo III:

METODOLOGÍA

Page 38: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

38 Bach. Arturo Fernando Granados Rodríguez

III. METODOLOGIA

3.1 Tipo de Investigación : El presente estudio es una investigación aplicada- descriptivo – correlacional; el diseño es Ex post - facto de corte transversal, porque la naturaleza del problema no es de causalidad, pues se realiza sin manipular deliberadamente las variables, puesto que solo se observaron los hechos como se presentan en su contexto.

3.2 Ámbito de Estudio: El presente trabajo de investigación se desarrolló en el

área de sistemas del Gobierno Regional de Cajamarca. 3.3 Población y muestra: Está conformado por el área de sistema del Gobierno

Regional de Cajamarca. Por ser el número de unidades de análisis pequeña (07 miembros del staff) se han considerado a todos ellos.

3.4 Unidad de Análisis: Está conformada por el total del personal del área y

desarrollo del sistema de información del Gobierno Regional de Cajamarca 3.5 Técnica e Instrumentos de Recolección de Datos:

− Técnicas: Durante el proceso de ejecución del presente estudio, se revisaran trabajos de investigación relacionados con el tema, así como fuentes bibliográficas primarias.

− Instrumentos y Recolección de Datos: Para realizar la Auditoría y plantear las mejoras al desarrollo del sistema de información, se ha elaborado un cuestionario, el cual consta de 47 preguntas.

− Para la Auditoría: La metodología que se aplica es la propuesta por la ISACA (Information Systems Audit and Control Association), que está basada en COBIT (Control Objectives for Information and Related Technologies), la cual proporciona un conjunto estructurado de buenas prácticas y metodologías para su aplicación, cuyo objetivo es facilitar el gobierno de las Tecnologías de Información y Comunicaciones. COBIT está basado en la evaluación de riesgos, de manera que partiendo de los riesgos potenciales a los que está sometida la actividad, en este caso el desarrollo o mantenimiento de SI, se determinan una serie de objetivos de control de alto nivel que minimicen esos riesgos. Para cada objetivo de control de alto nivel, se agrupa por cada una de las fases del ciclo de vida del software identificadas en Métrica versión 3 (MAP, 2007), se especifican uno o más objetivos de control de detalle o también denominadas practicas de control, que contribuyen a lograr el cumplimiento de dicho objetivo de control de alto nivel. Así mismo, se aportan una serie pruebas de cumplimiento que permitan comprobar la existencia y correcta aplicación de dichos controles.

3.6 Procesamiento, análisis e interpretación de dat os: Luego de aprobado el tema de tesis, se procedió a recolectar los datos; de la encuesta dirigida al staff. Estos datos son vaciados al programa Microsoft Excel; cuyos resultados son presentados en gráficos. En el análisis y discusión se tomará en cuenta el marco teórico y los antecedentes de estudio.

Page 39: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

39 Bach. Arturo Fernando Granados Rodríguez

3.7 Para determinar el Desarrollo de Sistemas de In formación. Se realizó a través de la evaluación de sus fases de desarrollo de sistemas, cumplimiento de estándares y normas de control interno.

Page 40: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

40 Bach. Arturo Fernando Granados Rodríguez

Capítulo IV:

DESARROLLO

Page 41: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

41 Bach. Arturo Fernando Granados Rodríguez

IV. ASPECTOS GENERALES DE LA ENTIDAD 4.1. IDENTIFICACIÓN DE LA ENTIDAD AUDITADA El Gobierno Regional Cajamarca, al amparo de la Constitución Política del Estado y la Ley Nº 27867, Ley Orgánica de Gobiernos Regionales y modificatorias, es un organismo público con personería jurídica de derecho público, con autonomía política, económica y administrativa en asuntos de su competencia; constituyendo para su administración económica y financiera un pliego presupuestal.

4.2. Direccionamiento Estratégico

4.2.1 MISIÓN

El Gobierno Regional de Cajamarca, en cumplimiento de sus competencias exclusivas, compartidas y delegadas, contribuye al desarrollo integral y sostenible de la región, organizando y conduciendo democrática, descentralizada y desconcentradamente la gestión pública regional, en el marco de las políticas nacionales y sectoriales.

4.2.2 VISIÓN

Institución pública regional con identidad propia, capital humano calificado y nivel tecnológico avanzado, capaz de administrar y brindar con calidad recursos y servicios públicos, propiciar condiciones favorables para el desarrollo de la inversión privada y liderar procesos de concertación con la sociedad civil, en el marco de una efectiva lucha contra la pobreza y la defensa del medio ambiente y sus recursos.

4.3 Ubicación Geográfica 4.3.1 LOGO

Figura Nº10 Logo Institucional Fuente: Gobierno Regional Cajamarca

4.3.2 DIRECCIÓN

Jr. Santa Teresa de Journet 351- Urb. La Alameda Teléfonos: 599000 - 599001 - 599002

Page 42: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

42 Bach. Arturo Fernando Granados Rodríguez

4.3.3 Vista Satelital

Figura Nº11 Vista Satelital del Gobierno Regional Cajamarca Fuente: Google Maps

4.3.4 Exteriores del Gobierno Regional

Figura Nº12 Exteriores del Gobierno Regional Cajamarca Fuente: Gobierno Regional Cajamarca

Gobierno Regional Cajamarca

Page 43: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

43 Bach. Arturo Fernando Granados Rodríguez

4.4 ORGANIGRAMA

La estructura orgánica del Gobierno Regional Cajamarca, fue aprobada mediante la Ordenanza Regional Nº 020-2005-GR.CAJ-CR de fecha 18 de octubre del año 2005, de acuerdo con las disposiciones legales vigente y en amparo del artículo 9 inciso a) de la Ley Orgánica de Gobiernos Regionales Ley Nº 27867, donde se dispone que los Gobiernos Regionales son competentes para aprobar su organización interna.

Es necesario indicar que la actual estructura orgánica es el resultado de haber modificado la anterior que estuvo vigente el año 2005, dadas las condiciones y para un mejor funcionamiento del Gobierno Regional.

Page 44: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

44 Bach. Arturo Fernando Granados Rodríguez

Figura Nº13 Estructura Orgánica del Gobierno Regional Cajamarca

Fuente: Gobierno Regional Cajamarca

Page 45: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

45 Bach. Arturo Fernando Granados Rodríguez

4.5. ANÁLISIS DE LA ENTIDAD AUDITADA El Gobierno Regional Cajamarca cuenta con el Centro de Información y Sistemas, en el cual procesan toda la información necesaria para los Sistemas de Información, pero no figura en su Estructura Orgánica. Según nos relató el Director de dicha oficina; el Centro de Información y Sistemas (CIS) debería estar como una dependencia de la Gerencia de Desarrollo Social. Según Reglamento de Organización y Funciones (ROF) del Gobierno Regional Cajamarca. Artículo 92º

El Centro de Información y Sistemas cumple con las funciones siguientes:

a. Formular y evaluar el programa de Sistemas de Información, según las

necesidades del Gobierno Regional y sobre la base del soporte tecnológico informático.

b. Formular, ejecutar y evaluar los programas de control de software y

mantenimiento de los equipos de cómputo; y de contingencia. c. Ejecutar y participar en la ejecución de otros programas informáticos definidos

por la Alta Dirección del Gobierno Regional o por mandato de norma nacional expresa.

d. Mantener actualizado el Portal de Información del Gobierno Regional. e. Otras funciones que le sean asignadas. Fuente: Reglamento de Organización y Funciones, aprobado por Ordenanza Regional Nº 020 – 2005 GRCAJ- CR.

4.6 MARCO LEGAL DEL CENTRO DE INFORMACIÓN Y SISTEM AS

El Centro de Información y Sistemas del Gobierno Regional de Cajamarca es integrante del Sistema Nacional de Informática y se desarrolla acorde con los lineamientos, normas y recomendaciones técnicas de la Oficina Nacional de Gobierno Electrónico e Informática de la Presidencia del Consejo de Ministros. Incluyendo además las evaluaciones y seguimientos informáticos que realizan las Oficinas de la Contraloría, INDECOPI, y otros organismos reguladores y controladores. Por otro lado el CIS cuenta con la siguiente base legal:

1. Ordenanza Regional 020-2005-GR.CAJ-CR., que aprueba el Reglamento de Organización y Funciones del Gobierno Regional Cajamarca.

2. Resolución Ministerial Nº 073-2004-PCM, Guía para la Administración Eficiente del Software Legal en la Administración Pública.

3. El Centro de Información y Sistema forma parte del Sistema Nacional de Informática, con RESOLUCION MINISTERIAL Nº 206-2004-PCM se Constituyen el Padrón Nacional de Unidades Informáticas de la

Page 46: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

46 Bach. Arturo Fernando Granados Rodríguez

Administración Pública y autorizan ejecución de registro de unidades informáticas del Sistema Nacional de Informática.

4. La Oficina de Derechos de Autor del INDECOPI, es la autoridad nacional competente responsable de cautelar y proteger administrativamente el derecho de autor y propiedad intelectual, mediante Decreto Ley Nº 807 en la que estipula multas y procedimientos a aplicarse en caso de infracciones a los mismos.

Durante el proceso de Planificación Estratégica se definió la Misión, Visión de Futuro y Valores que orientarán al Centro de Información y Sistemas del Gobierno Regional de Cajamarca:

1.1. Misión

“Planificar, dirigir, ejecutar, supervisar y evaluar el empleo de equipos,

soporte, comunicaciones y sistemas de información; contribuyendo con el

Gobierno Regional de Cajamarca para que organice y conduzca la gestión

pública, en el marco de las políticas nacionales y sectoriales para contribuir

al desarrollo integral y sostenible de la región”.

1.2. Visión

“El Centro de Información y Sistemas, es capaz de utilizar tecnología de

última generación para proporcionar un servicio eficiente, confiable y

oportuno, generando confianza y transparencia en la ciudadanía. Así

mismo administra todos los recursos informáticos; propone y ejecuta

proyectos que simplifican los procesos administrativos, de planeamiento y

de evaluación de gestión institucional, que identifican a la institución como

una de las más eficientes y modernas”.

1.3. Principios de Conducta Ética

Constituyen principios de conducta ética del personal los siguientes:

a. Imagen

Todo el personal, deberá estar comprometido con el Centro de

Información y Sistemas; les corresponde como responsabilidad

conjunta, la promoción y preservación de su imagen positiva como

un valor que pertenece a todos, que es compartido y del cual se es

responsable por el sólo hecho de compartir un ideal común y ser un

miembro del CIS.

b. Integridad

Page 47: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

47 Bach. Arturo Fernando Granados Rodríguez

El Personal del CIS deberá actuar con rectitud, honradez, y

honestidad, procurando satisfacer los intereses legítimos del

Gobierno Regional Cajamarca, sus usuarios y la sociedad en su

conjunto; desechando el provecho o ventaja personal obtenido por

sí o interpuesta por personas. Profesar y practicar un claro rechazo

a la corrupción en todos los ámbitos de desempeño de la institución

y cumplir cabalmente con sus funciones.

c. Eficiencia

El personal del CIS brindará calidad en cada una de las labores a su

cargo, buscando el resultado más adecuado y oportuno.

d. Idoneidad

El personal del CIS, se desenvolverá con aptitud técnica, legal y

moral en el desempeño de su labor. Propenderá a una formación

sólida acorde a la realidad, capacitándose permanentemente para el

debido cumplimiento de sus labores.

e. Veracidad

El personal del CIS se expresará con autenticidad en las relaciones

laborales con todos los miembros del Gobierno Regional y con

terceros.

f. Lealtad y Obediencia

El personal del CIS actuará con fidelidad y solidaridad hacia toda la

Institución, cumpliendo órdenes que le imparta el superior jerárquico

competente, en la medida que reúnan las formalidades del caso y

tengan por objeto la realización de actos de servicio que se vinculen

con las labores a su cargo, salvo los supuestos de arbitrariedad o

ilegalidad manifiestas, los cuales deberá poner en conocimiento de

la administración de la institución. Asimismo, actuará con reserva y

diligencia en el manejo de la información que conoce.

g. Justicia y Equidad

El personal del CIS, actuará con permanente disposición para el

cumplimiento de sus funciones, otorgando a cada uno lo que le es

debido, actuando con equidad en sus relaciones con sus superiores,

los subordinados y con la ciudadanía en general.

Fuente: Plan Operativo Informático 2012

Page 48: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

48 Bach. Arturo Fernando Granados Rodríguez

4.7 ESTRUCTURA ORGÁNICA INTERNA DEL CENTRO DE INFOR MACIÓN Y SISTEMAS

Figura Nº14 Estructura Orgánica del Centro de Información y Sistemas Fuente: Plan Operativo Informático

Se debe mencionar que no se cuenta con personal Asistente Administrativo, pero se incluye en el presente organigrama por ser un cargo que se debería considerarse

4.8 RECURSOS HUMANOS DEL CENTRO DE INFORMACIÓN Y SI STEMAS

RECURSOS HUMANOS CANTIDAD DIRECCIÓN O GERENCIA Jefe Asistente administrativo

1 1

REDES Y COMUNICACIONES Administrador de Red y Soporte 1 SISTEMAS Analista de Sistemas 1 Web Master 1 Programador de Aplicaciones 1 Diseñador de Interfaces 1 PLANEAMIENTO ESTRATÉGICO INFORMÁTICO Gestor de Proyectos Informáticos 1 Responsable de Investigación y Planeamiento 1 SOPORTE TECNICO Técnico Electrónico 2 Soporte Help Desk 1

TOTAL 12

Cuadro Nº01 Personal del CIS Fuente: Plan Operativo Informático

Director

Administrador Red Sistemas

Web Análisis y Desarrollo

Investigación y Gestión de Proyectos

Soporte Técnico

Apoyo Administrativo

Page 49: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

49 Bach. Arturo Fernando Granados Rodríguez

4.9 PROBLEMÁTICA DEL CENTRO DE INFORMACIÓN Y SISTEM AS

La problemática actual del Centro de Información y Sistemas se presenta

mediante el análisis FODA, por medio de este análisis de Fortalezas,

Debilidades, Oportunidades y Amenazas, se obtendrá un diagnóstico que

permitirá tomar decisiones acordes con los objetivos y políticas que

formularemos.

SITUACION ACTUAL DESCRIPCION

Fortalezas a utilizar

F1. Elaboración del Plan Operativo Informático 2012. F2. Personal identificado con el CIS. F3. Coordinación permanente con los diferentes usuarios. F4. Equipo de trabajo eficiente y eficaz. F5. Capacidad de asesoramiento permanente en relación a sistemas informáticos y sus aplicaciones. F6. Implementación de los sistemas de información mediante el desarrollo de software personalizado. F7. Infraestructura física acorde a las exigencias del área. F8. Uso y administración del portal web, que permite fortalecer la imagen institucional. F9. Deseo e iniciativa del personal informático en actualizarse en las nuevas tecnologías informáticas. F10. Decisión institucional para modernizar y estandarizar tecnológicamente el gobierno regional. F11. Adecuación de Data Center y Red de Cómputo de la Sede del Gobierno Regional Cajamarca (Proyecto Gobierno Electrónico).

Principales Oportunidades para

aprovechar

O1. Desarrollo tecnológico que ofrece nuevas oportunidades para lograr mayor eficiencia. O2. Disponibilidad de software en el mercado para la implementación del requerimiento de aplicaciones. O3. Existencia de normatividad estadística e informática a nivel nacional que sirve de referencia para un normal desarrollo de las actividades informáticas. O4. Tendencia a un Modelo de Gobierno Electrónico. O5. Existencia de entidades públicas como INDECOPI, Contraloría, MEF. O6. Potencial productivo que ofrece internet. O7. Mejoramiento de la Red de Datos y Telefónica. O8. Promoción del intercambio de información con la Implementación de MAD y MOD a nivel Regional.

Principales Debilidades a superar

D1. Uso de software no licenciado. D2.Falta de equipos de contingencia para continuidad de servicios críticos. D3. El CIS no figura dentro de la Estructura Orgánica del Gobierno Regional.

Page 50: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

50 Bach. Arturo Fernando Granados Rodríguez

D4. Desconocimiento por parte del personal del Gobierno Regional Cajamarca acerca del Rol que cumple el CIS

Principales Amenazas a neutralizar

A1. Situación económica del País, que se expresa en el escaso presupuesto para la adquisición de equipos de cómputo y Licencias de software. A2. Constante amenazas de virus informáticos, correos maliciosos; en la red. A3. Creciente demanda por servicios informáticos relacionados a consultas masivas. A4. La realidad del crecimiento tecnológico trae como consecuencia la obsolescencia de los equipos de cómputo. A5. Débil planificación nacional en el ámbito informático debido a la falta de integración del sector público. A6. Alto costo de software. A7. Inestabilidad laboral.

Cuadro Nº02 Análisis FODA - CIS

Fuente: Plan Operativo Informático

4.10 Alineamiento con el Plan Estratégico Instituci onal y Sectorial

Las acciones que pretende realizar el Centro de Información y Sistemas se

encuentran alineadas con el Plan Estratégico Sectorial Multianual (PESEM

2007-2011) de la Presidencia del Consejo de Ministros (PCM), aprobado

mediante Resolución Ministerial N° 281- 2007 – PCM :

OBJETIVO ESTRATÉGICO

SECTORIAL

OBJETIVOS INSTITUCIONALES

OBJETIVOS ESPECIFICOS

INFORMÁTICOS 1. Lograr un estado moderno, eficaz y eficiente que responda a las necesidades de la ciudadanía.

a) Contribuir con el incremento de las capacidades de las personas, facilitando la igualdad de oportunidades para la población; impulsando la mejora de la calidad y cobertura de los servicios públicos de educación, salud, saneamiento y la asistencia social, así como la reducción del analfabetismo y la desnutrición infantil y fomentando el desarrollo de la ciencia, la tecnología y la cultura en la Región. b) Lograr niveles de eficiencia y transparencia, en la gestión pública regional, institucionalizando estrategias de rendición de cuentas,

a.1 Mejorar la gestión pública y propiciar la descentralización del estado mediante el uso intensivo de las tecnologías de la información y comunicación. b.1. Promover el incremento de capacidades competitivas en la Administración Pública, empresas y ciudadanos por medio del uso de las

Page 51: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

51 Bach. Arturo Fernando Granados Rodríguez

facilitando el acceso a la información pública y promoviendo la vigilancia y Auditoría social. c) Contribuir con la integración de la Región Cajamarca desarrollando la articulación vial, eléctrica, de telecomunicaciones; implementando estrategias de coordinación y cooperación con instituciones públicas y privadas; revalorando la identidad regional y fortaleciendo la Concertación y cooperación interregional a todo nivel.

tecnologías de la información. b.2. Fortalecimiento del Órgano Institucional. b.3. Fortalecimiento del Órgano Informático Institucional. c.1.Optimizar el flujo de la información de los sistemas y la comunicación de las estaciones de la red interna a través del mejoramiento, estandarización y actualización de los elementos que conforman la red institucional

Cuadro Nº03 Alineamiento con el Plan Estratégico Institucional y Sectorial

Fuente: Plan Operativo Informático

4.11 Estrategias para el logro de las metas del Pla n Operativo Informático

Las siguientes son las principales estrategias planteadas de acuerdo a las

diferentes necesidades tecnológicas por las que atraviesa el Gobierno Regional

Cajamarca

1. Mejorar la disponibilidad de herramientas tecnológicas.

2. Desarrollar la infraestructura tecnológica.

3. Generar rentabilidad de forma sostenible en el desarrollo de proyectos

informáticos.

4. Analizar requerimientos funcionales para incorporarlos a la cadena de

valor midiendo el avance hacia sus objetivos.

5. Disponer de personal de sistemas con nivel competitivo y asegurar que

dicho nivel se mantenga.

6. Llevar a cabo el cumplimiento de normativas como ente del Sistema

Nacional de Informática.

7. Desarrollar programas de capacitación continua a los usuarios

8. Fortalecer las actividades y procesos del Gobierno Regional Cajamarca.

9. Mejorar la atención a los usuarios

10. Desarrollar sistemas de información.

11. Reducir la vulnerabilidad de la red.

12. Integrar por medio de una base de datos institucional los procesos dentro

del GRC.

Page 52: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

52 Bach. Arturo Fernando Granados Rodríguez

4.12 APLICACIÓN DE AUDITORÍA DEL DESARROLLO DE SISTEMAS DE INFORMACIÓN EN EL CENTRO DE

INFORMACIÓN Y SISTEMAS

4.12.1 AUDITORÍA DE LA ORGANIZACIÓN Y GESTIÓN DEL ÁREA DE SISTEMAS

4.12.2 Objetivo de Control OG1: Procesos, organización y relaciones: El área de

sistemas debe tener definidos los procesos de su organización.

SI NO Observaciones

OG1-C1: Deben establecerse de forma clara las funciones del área.

• Existe algún documento que contiene las

funciones que son competencia del centro de

información y sistemas, está aprobado y se

respeta.

X

OG1-C2: Debe especificarse en el organigrama puestos del área y el staff.

• Existe un organigrama con la estructura de

organización del área.

X

OG1-C3: Debe establecerse el marco de trabajo de los procesos del área de sistemas, de modo que permita la ejecución y puesta en práctica del plan operativo informático.

• EI marco de trabajo permite la definición y

seguimiento de los objetivos de los procesos que

han sido definidos e implementados, así como

formalmente documentados y aprobados.

X

OG1-C4: Deben establecerse roles y responsabilidades para la gestión del aseguramiento de la calidad, gestión de riesgos, seguridad y conformidad.

• El staff cuenta con los sistemas de aseguramiento

de la calidad apropiados, así como los controles y

asesoramiento de expertos.

X

• Las responsabilidades y roles han sido

correctamente establecidos, formalizados,

documentados y satisfacen los requisitos del área.

Son ejecutados por personal con la suficiente

formación y experiencia en la materia.

X

4.12.3 Objetivo de Control OG2: Gestión de Recursos Humano s: El área de

Page 53: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

53 Bach. Arturo Fernando Granados Rodríguez

sistemas debe contar con recursos humanos adecuados para gestionar el desarrollo y mantenimiento de SI.

OG2-C1: Deben existir procedimientos de contratación objetivos.

• Las ofertas de puestos del área se difunden de

forma suficiente fuera de la organización y las

selecciones del personal se hacen de forma

objetiva.

X

• Las personas seleccionadas cumplen los

requisitos del puesto al que acceden.

X

OG2-C2: Debe existir un plan de capacitación que este en consonancia con los objetivos del área y alineados con los objetivos institucionales.

• Se tiene aprobado un plan de capacitación a corto,

medio y largo plazo que sea coherente con el plan

operativo informático

X

OG2-C3: Debe existir una biblioteca accesible por el personal del área.

• Están disponibles un número suficiente de libros,

publicaciones periódicos, monografías de

reconocido prestigio, ya sea en formato electrónico

o papel. El personal tiene acceso a ellos.

X

OG2-C4: El personal debe estar motivado en la realización de su trabajo.

• Existe algún mecanismo que permita a los

empleados hacer sugerencias sobre mejoras en la

organización del área.

X

• No existe una gran rotación de personal, existe un

buen ambiente de trabajo.

X

4.12.4 Objetivo de Control OG3: Plan Estratégico de Tecnologías de la Información del área: El área de sistemas debe participar en la definición del plan estratégico de Tecnologías de la Información

OG3-C1: el área debe tener y difundir su propio plan a corto, medio y largo plazo.

• Existe el plan estratégico de Tecnologías de la

Información.

X

• Se revisa y actualiza con periodicidad en función

de las nuevas situaciones.

X

Page 54: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

54 Bach. Arturo Fernando Granados Rodríguez

• Se difunde a todo el staff para que se sientan

participes del mismo.

X

OG3-C2: La realización de nuevos proyectos debe basarse en el plan estratégico de Tecnologías de la Información y en el plan operativo informático en cuanto a objetivos, marco general.

• Las fechas de realización coinciden con las del

plan estratégico.

X

• La documentación relativa a cada proyecto que

existe en el plan estratégico se pone a disposición

del director de proyecto una vez comenzado el

mismo. Esta información debe contener los

objetivos, los requisitos generales y un plan inicial.

X

4.12.5 Objetivo de Control OG 4: Gestión de la calidad: El área de sistemas debe disponer de procesos de desarrollo regidos por estándares y principios de ingeniería de software ampliamente aceptados.

OG4-C1: Debe existir un registro de problemas que se producen en los proyectos del área, incluyendo los fracasos de proyectos completos.

• Existe un catálogo de problemas, incluyendo para

cada uno de ellos la solución o soluciones

encontradas, proyecto en el que sucedió, persona

que lo resolvió.

X

• EI catálogo es accesible para todos los miembros

del área, esta actualizado y tiene uno o varios

índices que faciliten la búsqueda.

X

• Se registran y controlan todos los proyectos

fracasados (aquellos que comienzan y no llegan a

su fin), así como los recursos invertidos en los

mismos.

X

OG4-C2: Debe mantenerse y comunicarse periódicamente al área las modificaciones del plan de calidad a fin de promover la mejora continua.

• El plan existe y se actualiza periódicamente. X

• Existen y se ejecutan actividades de mejora

continua según los estándares, prácticas,

procedimientos y políticas de calidad del

X

Page 55: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

55 Bach. Arturo Fernando Granados Rodríguez

departamento adoptadas por el área de sistemas.

OG4-C3: Debe existir algún mecanismo de creación y actualización de prácticas y estándares de calidad así como de prácticas, estándares de desarrollo y mantenimiento.

• EI mecanismo para la creación y actualización de

prácticas y estándares está documentado y es

conocido en el área.

X

• Están definidas las prácticas de análisis y diseño,

e incluye las técnicas y herramientas a usar. Así

como también hay una guía o prácticas de

programación para cada uno de los lenguajes

homologados

X

• Hay un estándar general para toda la

documentación generada, incluyendo

documentación técnica (análisis, diseño,

documentación de los programas), manuales de

usuario, etc.

X

OG4-C4: Debe existir un procedimiento de monitorización y medición del cumplimiento de estándares y prácticas de calidad así como de los de desarrollo y mantenimiento.

• Se realizan informes ejecutivos periódicamente

sobre la calidad de los SI en el área.

X

• Están definidas métricas de calidad y éstas están

alineadas con los objetivos de calidad del área y

ayudan en la consecución de los objetivos del

área.

X

• Se realizan inspecciones en los hitos de los

proyectos para verificar el cumplimiento de los

estándares y prácticas.

X

OG4-C5: Debe practicarse la reutilización del software.

• Existe un repositorio con todos los productos

software susceptibles de ser reutilizados: librerías

de funciones, clases de objetos, componentes

software, documentos (catálogo de requisitos

comunes, arquitecturas).

X

• EI repositorio o catálogo es conocido y accesible

por todos los miembros del área, esta actualizado

Page 56: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

56 Bach. Arturo Fernando Granados Rodríguez

y tiene uno o varios índices que faciliten la

búsqueda.

X

OG4-C6: Debe existir un modelo de la arquitectura de información que se actualice regularmente y defina los sistemas apropiados que optimicen el uso de la información.

• Existe un diccionario de datos institucional con las

reglas de sintaxis de la organización, el esquema

de clasificación de datos y sus niveles de

seguridad correspondientes.

X

• Se garantiza la consistencia y seguridad de la

información de los SI con los recursos

proporcionales y dicha información se alinea con la

estrategia y objetivos de la institución.

X

OG4-C7: Los lenguajes, compiladores, software de pruebas, software de control de versiones; utilizados en el área deben ser previamente válidos.

• Existe un mecanismo para la adquisición y

validación de cualquier nuevo producto software

usado en el desarrollo. Se deben evaluar al menos

los siguientes parámetros: productividad,

portabilidad a otros entonos, transición desde los

productos actuales, riesgo de cambio,

cumplimiento de los estándares del área,

compatibilidad con el entono tecnológico, costos,

entre otros.

X

• Cuando se valida un nuevo producto de desarrollo

se forma al personal del área que lo vaya a

manejar.

X

• Se registra la información más importante acerca

de la configuración de los productos recién

adquiridos.

X

Tabla N° 05: Auditoría de la organización y gestión del área de sistemas

Fuente: Propia

Page 57: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

57 Bach. Arturo Fernando Granados Rodríguez

4.13 AUDITORÍA DE PROYECTOS DE DESARROLLO Y MANTENIMIENTO

4.13.1 Auditoría de la gestión y planificación del proyecto

SI NO Observaciones

4.13.2 Objetivo de Control P1: El proyecto de desarrollo debe estar aprobado, definido y planificado formalmente.

P1-C1: Debe existir documento de aprobación del proyecto que defina claramente los objetivos, restricciones y las áreas afectadas.

• Existe algún documento de aprobación del

proyecto autorizada por algún órgano competente.

X

• En el documento de aprobación están definidos de

forma ciara y precisa los objetivos del mismo y las

restricciones de todo tipo que deben tenerse en

cuenta (recursos técnicos y humanos,

presupuesto, entre otros.) y su alineación con el

plan estratégico.

X

• Se han identificado las unidades de la

organización a las que afecta.

X

P1-C2: Debe designarse un responsable o director del proyecto.

• La designación se ha llevado a cabo según el

procedimiento establecido.

X

• Se le ha comunicado al director su designación

junto con toda la información relevante del

proyecto.

X

P1-C3: El proyecto debe ser catalogado en función de sus características, se debe determinar el modelo de ciclo de vida que seguirá.

• Se ha descrito y dimensionado el proyecto según

las normas establecidas.

X

• Se han evaluado los riesgos asociados al

proyecto, especialmente cuando se van a usar

tecnologías no usadas hasta el momento.

X

• Se ha elegido el ciclo de vida más adecuado al

tipo de proyecto.

X

• Se ha hecho uso de la información histórica que se

dispone tanto para dimensionar el proyecto y sus

riesgos como para seleccionar el ciclo de vida.

X

Page 58: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

58 Bach. Arturo Fernando Granados Rodríguez

P1-C4: Una vez determinado el ciclo de vida a seguir, se debe elegir el equipo técnico que realizará el proyecto y se determinará el plan del proyecto.

• La designación del equipo de desarrollo se ha

llevado a cabo según el procedimiento establecido.

X

• Se ha comunicado a todos los miembros del staff

de desarrollo los objetivos del proyecto, la

responsabilidad que tendrán en el mismo, las

fechas en las participaran y la dedicación completa

o parcial.

X

• EI plan de proyecto realizado es realista y utiliza la

información histórica de la que se disponga para

realizar estimaciones.

X

4.13.3 Objetivo de Control P2: El proyecto se debe gestionar de forma que se consigan los mejores resultados posibles teniendo en cuenta las restricciones de tiempo y recursos.

P2-C1: Los responsables de las aéreas afectadas por el proyecto deben participar en la gestión del proyecto.

• Se ha constituido formalmente el comité de

dirección del proyecto y están incluidos los

responsables de todas las unidades afectadas.

X

• EI comité tiene una periodicidad de reunión

mínima, y en cualquier caso siempre que lo exija el

desarrollo del proyecto, debe tener competencia

para asignación de recursos, la revisión de la

marcha del proyecto y para modificar el plan del

proyecto en función de las revisiones.

X

• Las reuniones se hacen con un orden del día

previo y las decisiones tomadas quedan

documentadas en las actas de dicho comité.

X

• EI número de reuniones y la duración de las

mismas no superan un límite razonable

comparado con la envergadura del proyecto.

X

P2-C2: Se debe establecer un mecanismo para la resolución de los problemas que pueden surgir a lo largo del proyecto.

Page 59: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

59 Bach. Arturo Fernando Granados Rodríguez

• Existen hojas de registro de problemas y hay

alguna persona del proyecto encargada de su

recepción, así como un procedimiento conocido de

tramitación.

X

• Existe un método para catalogar y dar prioridad a

los problemas, así como para trasladarlos a la

persona que de los debe resolver, informando si

es necesario al director del proyecto y al comité de

dirección.

X

• Se controla la solución del problema y se deja

constancia del mismo.

X

P2-C3: Debe existir un control de cambios a lo largo del proyecto.

• Existe un mecanismo para registrar los cambios

que pudieran producirse, así como para evaluar el

impacto de los mismos.

X

• La documentación afectada se actualiza de forma

adecuada y se !leva un control de versiones de

cada producto, consignando la ultima fecha de

actualización.

X

• Se remite la nueva versión de los documentos

actualizados a los participantes en el proyecto.

X

P2-C4: Cuando sea necesario reajustar el plan del proyecto, normalmente en un hito al finalizar una fase, debe hacerse de forma adecuada.

• Se respetan los límites temporales y

presupuestarios marcados al inicio del proyecto. Si

no es así debe ser aprobado por el comité de

dirección.

X

• Se ha tenido en cuenta los riesgos del reajuste. X

• Se ha hecho uso de la información histórica que se

dispone en el área sobre estimaciones.

X

• Se notifica el cambio a todas las personas que

participen en el proyecto y se ven afectados.

X

P2-C5: Debe hacerse un seguimiento de los tiempos utilizados tanto por tarea como a lo largo del proyecto

• Existe algún procedimiento que permite registrar el X

Page 60: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

60 Bach. Arturo Fernando Granados Rodríguez

tiempo que dedica y qué tarea realiza cada

participante.

• Existe algún procedimiento para analizar las

desviaciones y proponer acciones correctivas.

X

P2-C6: Se debe controlar que se sigan las etapas del ciclo de vida adoptado para el proyecto y que se generan todos los documentos asociados a la metodología usada.

• Antes de comenzar una nueva etapa, se ha

documentado la etapa previa y se ha revisado y

aceptado, especialmente en las fases de análisis y

diseño.

X

• La documentación cumple los estándares y

procedimientos establecidos en el área.

X

• Se respeta el uso de recursos previamente

establecido.

X

P2-C7: Cuando termina el proyecto se debe cerrar toda la documentación del mismo, liberar los recursos utilizados y hacer balance.

• La documentación del proyecto es completa y está

catalogada perfectamente para accesos

posteriores.

X

• Los recursos, tanto personales como materiales,

se ponen a disposición del área del que provienen.

X

• El comité de dirección y el director del proyecto

hacen balance del proyecto, estudiando los

posibles problemas y sus causas, los cambios del

plan. Toda esta información se registra en los

archivos históricos sobre estimaciones y

problemas.

X

Tabla N° 06: Auditoría de proyectos de desarrollo y mantenimiento

Fuente: Propia

Page 61: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

61 Bach. Arturo Fernando Granados Rodríguez

4.14 AUDITORÍA DE LA FASE DE ESTUDIO DE VIABILIDAD

SI NO Observaciones

4.14.1 Objetivo de Control V1: Antes de la definición del proyecto deben estudiarse los requisitos, situación actual, identificando seguidamente las alternativas de solución y seleccionando aquella que satisfaga más eficaz y eficientemente los requisitos identificados.

V1-C1: Debe haberse establecido el alcance de las iniciativas requeridas para satisfacer las necesidades planteadas por el usuario.

• Existe un documento que recoge la descripción

general de la necesidad planteada por el usuario y

los objetivos generales así como las posibles

restricciones técnicas, operativas y económicas.

X

• Se han determinado formalmente el grupo de

usuarios que participará en el proyecto,

identificándose sus perfiles y dejando claras sus

tareas y responsabilidades.

X

V1-C2: Debe estudiarse la situación actual y determinar los sistemas afectados.

• Se han realizado modelos del sistema. X

• Se ha realizado un diagnóstico de la situación

actual.

X

V1-C3: Los usuarios y responsables de las unidades que afecta el nuevo sistema establecerán de forma clara los requisitos del mismo.

• Se ha realizado un plan detallado de entrevistas

con el grupo de usuarios y con los responsables

de las unidades afectadas que permita conocer

cómo valoran el sistema actual y lo que esperan

del nuevo sistema.

X

• Existe un catálogo de requisitos. Cada requisito

tiene una prioridad y está clasificado en funcional y

no funcional.

X

• EI catálogo de requisitos ha sido revisado y

aprobado por el grupo de usuario y los

responsables así como por el comité de dirección.

X

Page 62: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

62 Bach. Arturo Fernando Granados Rodríguez

4.15 AUDITORÍA DE LA FASE DE ANÁLISIS

4.15.1 Objetivo de Control A1: Se debe elaborar una especificación detallada que

permita describir con precisión el sistema de información.

A1-C1: Debe realizarse un plan detallado de sesiones de trabajo con el grupo de usuarios del proyecto y los responsables de las unidades afectadas para recopilar la información necesaria.

• Las técnicas que se utilizan para la recopilación de

información es la adecuada en función de las

características del proyecto y los tipos de usuario a

entrevistar.

X

• Se remite el guión a los entrevistados con tiempo

suficiente para que estos puedan preparar la

entrevista y la documentación que deseen aportar

a la misma. Y el guión incluye todas las cuestiones

necesarias para obtener la información sobre las

funciones deseadas y problemas que se quieren

resolver.

X

A1-C2: A partir de la información obtenida de las entrevistas se debe realizar la descripción inicial del SI y obtener el catálogo de requisitos detallado del mismo.

• Existe un catálogo de requisitos, estos están

justificados y detallados.

X

• Cada requisito tiene una prioridad y están

clasificados en funcionales y no funcionales.

X

• La especificación del sistema incluye los requisitos

no funcionales: de seguridad, rendimiento,

disponibilidad, formación.

X

A1-C3: Se estructura el sistema de información en subsistemas de análisis, para facilitar la especificación de los distintos modelos y la traza de requisitos.

• La desintegración de los subsistemas está

orientada a los procesos del sistema.

X

• Se han asignado los requisitos a cada uno de los

subsistemas identificados, y consecuentemente

actualizado el catálogo de requisitos.

X

A1-C4: Se debe realizar el modelo del sistema que sirva de base para el diseño. En el caso de análisis estructurado, mediante la elaboración y descripción detallada del modelo de datos y de procesos. Y en el caso de un análisis orientado a objetos a través del modelo de clases y el de interacción de objetos, mediante el análisis de los

Page 63: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

63 Bach. Arturo Fernando Granados Rodríguez

casos de uso.

• Los modelos son correctos técnicamente y se han

realizado con la técnica adecuada.

X

• Existe un diccionario de datos o repositorio, es

correcto y se gestiona de forma de automatizada,

respetándose todos los procedimientos de gestión

de cambios.

X

A1-C5: Se deben especificar todas las interfaces entre el sistema y el usuario, tales como formatos de pantallas, diálogos, formatos de informes y formularios de entrada.

• Se han descrito con suficiente detalle las

interfaces: pantallas a través de las cuales el

usuario navegará por la aplicación, incluyendo

todos los campos significativos, menús, botones,

etc.; así como informes y formularios asociados si

existen. Si hay normas de diseño o estilo de

pantallas, informes, formularios, etc. en el área, se

verificará que se respetan.

X

• La interfaz de usuario se ha aprobado por el grupo

de usuarios y por el comité de dirección.

X

A1-C6: Debe especificarse el plan de pruebas que el nuevo sistema debe superar para ser aceptado.

• Se han definido los requisitos del entono de

pruebas y el alcance de las pruebas.

X

• Se ha elaborado el plan de pruebas de aceptación

del sistema, éste es coherente con el catálogo de

requisitos y con la especificación funcional del

sistema.

X

4.15.2 Objetivo de Control A2 : Se debe garantizar la calidad de los distintos modelos generados en el proceso de análisis del SI, y asegurar que los usuarios y los analistas tienen el mismo concepto del sistema.

A2-C1: Se debe de verificar la calidad técnica de cada modelo y asegurar la coherencia entre los distintos modelos.

• La calidad formal de los distintos modelos,

comprobando si son conforme a la técnica seguida

X

Page 64: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

64 Bach. Arturo Fernando Granados Rodríguez

para la elaboración de cada producto y a las

normas determinadas en el catálogo de normas.

• Se ha realizado una validación de los distintos

modelos con los requisitos especificados para el

sistema de información, tanto a través del catálogo

de requisitos, mediante la traza de requisitos,

como a través de la validación directa del usuario.

X

A2-C2: Debe realizarse una validación formal de la especificación de requisitos y de los modelos del análisis del sistema.

• Los usuarios ratifican que los requisitos

especificados en el catálogo de requisitos, así

como los casos de uso son validos, consistentes y

completos.

X

• Cualquier petición de cambio en los requisitos que

pueda surgir posteriormente deben ser evaluada y

aprobada.

X

• La actualización del plan de proyecto seguirá los

criterios, detallándose en este punto en mayor

medida la entrega y transición al nuevo sistema.

X

4.16 AUDITORÍA DE LA FASE DE DISEÑO

4.16.1 Objetivo de Control D1: Se debe definir una arquitectura del sistema que sea coherente con la especificación funcional que se tenga y con el entorno tecnológico. D1-C1: organización en subsistemas de diseño, la especificación del entono tecnológico, requisitos de operación, administración, seguridad y control de acceso deben estar definidos de forma clara y ser conformes a los estándares y normas del centro de información y sistemas.

• Están diferenciados y definidos los subsistemas

específicos del sistema de información (en

adelante, subsistemas específicos) y los

subsistemas de soporte.

X

• Están definidos todos los elementos que

configuran el entorno tecnológico (servidores, PC,

periféricos, conexiones de red, sistemas gestores

de bases de datos) junto con su planificación de

capacidades y sus requisitos de operación,

X

Page 65: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

65 Bach. Arturo Fernando Granados Rodríguez

administración, seguridad y control de acceso.

• Existe un catálogo de excepciones, de requisitos,

normas y estándares originados como

consecuencia de la adopción de una determinada

solución de arquitectura o infraestructura.

X

• Los elementos seleccionados están dentro de los

estándares del área y son capaces de responder a

los requisitos establecidos de volúmenes, tiempos

de respuesta, seguridad.

X

D1-C2: Se debe realizar un diseño detallado de los subsistemas de soporte y del sistema de información específico.

• Se han identificado los mecanismos genéricos de

diseño, así como las librerías y clases reutilizables.

X

• EI tamaño de los módulos o clases es adecuado y

el factor de acoplamiento entre ellos es mínimo y

la cohesión interna es máxima.

X

• Los módulos o clases, se diseñan para poder ser

reutilizados en el futuro por otros SI.

X

D1-C3: Se debe diseñar la estructura de datos adaptando las especificaciones del sistema al entorno tecnológico.

• EI modelo de datos tiene en cuenta el entorno

tecnológico y los requisitos de rendimiento para los

volúmenes y frecuencias de acceso estimados,

migración de datos.

X

4.16.2 Objetivo de Control D2: Se deben generar todas las especificaciones necesarias para la construcción del sistema de información:

D2-C1: Se deben generar unas especificaciones de construcción.

• Se han fijado formalmente las directrices para la

construcción de los componentes del sistema, así

como de las estructuras de datos.

X

D2-C2: Se debe especificar el procedimiento de migración y carga inicial de datos así como los requisitos de operación.

• Se definen los procedimientos de migración y sus

componentes asociados, con las especificaciones

X

Page 66: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

66 Bach. Arturo Fernando Granados Rodríguez

de construcción oportunas.

• Se definen los requisitos relativos a la propia

formación del sistema en el entorno de operación y

aquellos relacionados con la documentación que el

usuario requiere para operar con el nuevo sistema.

X

D2-C3: Debe realizarse la especificación técnica del plan de pruebas.

• Existe el plan de pruebas y contempla todos los

recursos necesarios para llevarlas a efecto.

X

• Es adecuado para validar cada uno de los

componentes del sistema, incluyendo pruebas de

caja blanca. Tendrán en cuenta las posibles

condiciones lógicas de ejecución, además de

posibles fallos del hardware o software de base y

ataques de seguridad.

X

• Permite validar la integración de los distintos

componentes y el sistema en conjunto.

X

D2-C4: Se debe realizar una aprobación formal del diseño del sistema.

• Se realiza la presentación del diseño al comité de

dirección y se registra la aprobación del mismo.

X

• Se actualiza el plan de proyecto según los criterios

de dirección y se registra la aprobación del mismo.

X

4.17 AUDITORÍA DE LA FASE DE CONSTRUCCIÓN

4.17.1 Objetivo de Control CS -1: Los componentes que se desarrollen deben utilizar técnicas de programación correctas

CS1-C1: Se debe preparar adecuadamente el entorno de desarrollo y de pruebas, así como los procedimientos de operación y seguridad.

• Se han creado e inicializado las bases de datos o

ficheros necesarios y cumplen las especificaciones

de construcción del sistema obtenidas en la fase

de diseño.

X

• Se han preparado los editores, compiladores,

herramientas necesarias y están disponibles los

puestos de trabajo.

X

Page 67: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

67 Bach. Arturo Fernando Granados Rodríguez

• Se han preparado los procedimientos de copia de

seguridad y restauración.

X

• Están disponibles todos los elementos lógicos y

físicos para realizar las pruebas unitarias y de

integración.

X

• Están documentados todos los procedimientos de

operación, seguridad y control de acceso al SI

para cuando el sistema este en explotación. Y

estos procedimientos tienen en cuenta los

estándares y normas del departamento de

informática, recogidos previamente en el catálogo

de normas y estándares.

X

CS1-C2: Se debe programar, probar y documentar cada uno de los componentes identificados en el diseño del sistema.

• Se han desarrollado todos los componentes y se

han seguido los estándares, normas de

programación y documentación del área (código

comentado y documentado).

X

• Se ha probado cada componente de forma unitaria

siguiendo el plan de pruebas y se ha generado el

informe de prueba.

X

• Se ha realizado la codificación, prueba de los

componentes y procedimientos de migración y

carga inicial de datos.

X

CS1-C3: Deben realizarse las pruebas de integración para verificar si los subsistemas interactúan correctamente a través de sus interfaces, tanto internas como externas, cubren la funcionalidad establecida y se ajustan a los requisitos especificados en las verificaciones correspondientes.

• Se han llevado a cabo y realizado un informe

según lo especificado en el plan de pruebas.

X

• Se han evaluado las pruebas y se han tomado las

acciones correctoras necesarias para solventar las

incidencias encontradas, actualizándose el

proyecto en consecuencia.

X

CS1-C4: Deben realizarse las pruebas de sistema para comprobar la integración del sistema de información globalmente.

Page 68: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

68 Bach. Arturo Fernando Granados Rodríguez

• Las pruebas verifican el funcionamiento correcto

de las interfaces entre los distintos subsistemas

que lo componen y con el resto de sistemas de

información con los que se comunica, así como el

cumplimiento de la especificación de requisitos, de

acuerdo a las verificaciones establecidas en el

plan de pruebas para el nivel de pruebas del

sistema.

X

• Se ha generado un informe de pruebas de sistema

y se han evaluado las pruebas y tomándose las

acciones correctoras necesarias para solventar las

incidencias encontradas, actualizándose el

proyecto en consecuencia.

X

• No han participado los usuarios, solo participó el

equipo de desarrollo.

X

4.17.2 Objetivo de Control CS -2: Los proyectos de desarrollo deben definir los

procedimientos y formación necesarios para que los usuarios puedan utilizar el nuevo

sistema adecuadamente.

CS2-C1: El desarrollo de los componentes de usuarios debe estar planificado.

• En el plan de proyecto, está incluido el plan para el

desarrollo de los procedimientos de usuario e

incluye todas las actividades y recursos

necesarios.

X

• Los procedimientos se han realizado después de

la especificación del SI y antes de su formación.

X

CS2-C2: Se deben especificar los perfiles de usuario requeridos para el nuevo sistema.

• Están definidos los distintos perfiles de usuario

requeridos para la formación y explotación del

nuevo sistema.

X

• Para cada perfil se ha definido el rango de fechas

y la dedicación necesaria

X

CS2-C3: Se deben desarrollar todos los procedimientos de usuario siguiendo los estándares del área.

Page 69: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

69 Bach. Arturo Fernando Granados Rodríguez

• Están desarrollados todos los procedimientos de

usuario, recopilados formando el manual de

usuario, y son coherentes con las actividades

descritas en la especificación del sistema.

X

• Los manuales de usuario y el resto de

procedimientos cumplen los estándares del área y

llevan asociado su control de versiones.

X

4.18 AUDITORÍA DE LA FASE DE IMPLANTACIÓN Y ACEPTACIÓN.

4.18.1 Objetivo de Control IA -1: El sistema debe ser aceptado formalmente por los usuarios antes de ser puesto en explotación.

IA1-C1: El plan de formación y aceptación se debe revisar para adaptarlo a la situación final del proyecto.

• Se revisa el plan de formación original y se

documenta adecuadamente.

X

• Se establece un plan de formación con la

implantación necesaria para el equipo de

formación, en función de los distintos perfiles y

niveles de responsabilidad identificados y se

cuenta con la infraestructura y recursos humanos

para llevarla a cabo.

X

• Esta incluida la instalación de todos los

componentes desarrollados, así como los

elementos adicionales (formación, librerías,

utilidades).

X

IA1-C2: Se deben realizar las pruebas de formación y aceptación del sistema que se especificaron en fases anteriores.

• Se prepara el entorno real de operación y los

recursos necesarios para realizar las pruebas

X

• Las pruebas de formación del sistema participan

los usuarios y con ellas se verifica si el SI cumple

las especificaciones funcionales así como detalles

de diseño interno, como interactúa correctamente

con el entorno.

X

• Se han evaluado los resultados de las pruebas y X

Page 70: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

70 Bach. Arturo Fernando Granados Rodríguez

se han tornado las acciones correctoras

necesarias para solventar las incidencias

encontradas, actualizándose el proyecto en

consecuencia.

IA1-C4: El sistema debe ser aprobado formalmente antes de ponerse en explotación.

• Se ha realizado las pruebas de formación y

aceptación.

X

• Se ha fijado el acuerdo de nivel de servicio. X

• El grupo de usuarios y el comité de dirección

firman su conformidad.

X

4.18.2 Objetivo de Control IA -2: El sistema se pondrá en explotación formalmente y pasará a estar en mantenimiento sólo cuando haya sido aceptado y esté preparado todo el entorno el que se ejecutará.

IA2-C1: Se deben instalar todos los procedimientos de explotación.

• Se han instalado además del sistema principal

todos los procedimientos auxiliares, como copias,

recuperación, etc., tanto manual como automático.

X

• Están documentados de forma correcta. X

• Los usuarios finales han recibido la formación

necesaria y tienen en su poder toda la

documentación necesaria, fundamentalmente

manuales de usuario.

X

• Se han eliminado procedimientos antiguos que

sean incompatibles con el nuevo sistema.

X

IA2-C2: Si existe un sistema antiguo, el sistema nuevo se pondrá en explotación de forma coordina con la retirada del antiguo, migrando los datos si es necesario.

• Hay un periodo de funcionamiento en paralelo de

los dos sistemas, hasta que el nuevo sistema este

funcionando con todas las garantías. Esta

situación no debe prolongarse más tiempo del

necesario.

X

• Los datos se convierten de acuerdo al

procedimiento desarrollado y se verifica la

X

Page 71: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

71 Bach. Arturo Fernando Granados Rodríguez

consistencia de la información entre el sistema

nuevo y et antiguo.

IA2-C4: Para terminar el proyecto se pondrá en marcha el mecanismo de mantenimiento.

• EI mecanismo existe y está aprobado por el

director de proyecto, por el comité de dirección y

por el área de desarrollo y mantenimiento.

X

• Tiene en cuenta los tiempos de respuesta

máximos que se pueden permitir ante situaciones

de no funcionamiento.

X

• EI procedimiento a seguir ante cualquier problema

o para el mantenimiento del sistema será conocido

por todos los usuarios.

X

4.19 AUDITORÍA DE LA FASE DE MANTENIMIENTO

4.19.1 Objetivo de Control M -1: La gestión del proceso de mantenimiento de

sistemas de información debe ser eficiente y eficaz para conseguir mantener el coste

del mantenimiento de los SI del área bajo control.

M1-C1: Debe existir una estrategia y un plan para la gestión del mantenimiento de los SI del área y de infraestructura tecnológica.

• El plan existe y está aprobado por la dirección del

área y se revisa periódicamente.

X

• EI plan acordado es compatible con el proceso de

gestión de cambios y de problemas.

X

• Existe un procedimiento definido y acordado por

todas las áreas participantes en el plan de

mantenimiento a fin de facilitar que la gestión de

los cambios o ejecución de las peticiones de

mantenimiento así como gestión de los problemas

de los SI se haga de una manera eficaz y

eficientemente.

X

4.19.2 Objetivo de Control M -2: Todos los cambios, ya sean incidentes, problemas o peticiones de mantenimiento, incluido el mantenimiento correctivo de emergencia o cambios relacionados con la infraestructura tecnol6gica del entorno de producción, deben de ser gestionados formalmente y de una manera controlada a fin de asegurar

Page 72: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

72 Bach. Arturo Fernando Granados Rodríguez

la mitigación del riesgo debido a los impactos negativos en la estabilidad e integridad del SI en producción.

M2-C1: Se debe establecer un sistema estandarizado de registro de información para las peticiones de mantenimiento, con el fin de controlar y canalizar los cambios propuestos por un usuario, mejorando el flujo de trabajo y proporcionando una gestión efectiva del mantenimiento.

• Existe un catalogo de problemas y de peticiones

de mantenimiento sobre los sistemas de

información.

X

• Todas las peticiones de mantenimiento son

presentadas de una forma estandarizada, para

permitir su clasificación y facilitar la identificación

del tipo de mantenimiento requerido.

X

• En cada petición de cambio se recoge al menos la

identificación, origen y tipo de petición, se le

asigna una prioridad inicial y se le incorpora una

descripción, lo más precisa posible, que facilite su

posterior análisis.

X

• Para cada petición de mantenimiento aceptada se

determina de quien es la responsabilidad de

atender la solicitud para proceder a su estudio

posterior, es decir, se le asigna un responsable de

mantenimiento.

X

M2-C2: Se debe llevar a cabo un diagnóstico y análisis del cambio para dar respuesta a las peticiones de mantenimiento que son aceptadas.

• La información registrada es la correcta. X

• Si se trata de una petición de mantenimiento

correctivo, se evalúa hasta qué punto es crítico el

problema. Si el problema es crítico, su análisis y

solución comienza inmediatamente con el fin de

reanudar rápidamente el nivel de servicio. Y el

procedimiento de actuación establecido no exime

de una revisión posterior del problema para valorar

los posibles efectos secundarios, establecer una

solución definitiva y actualizar todos los productos

implicados y su documentación.

X

Page 73: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

73 Bach. Arturo Fernando Granados Rodríguez

M2-C3: Se realiza el seguimiento de los cambios que se están llevando a cabo en los procesos de desarrollo, de acuerdo a los puntos de control del ciclo de vida del cambio establecidos previamente.

• Sólo se han modificado los elementos que se ven

afectados por el cambio y que se han realizado las

pruebas correspondientes, especialmente las

pruebas de integración y del sistema.

X

• Se realiza un informe de la evaluación del cambio

para su posterior aprobación.

X

• Se realizan las pruebas de regresión que

especificadas en la actividad anterior,

comprobando que ningún sistema no modificado,

pero con posibilidades de verse afectado, ha

variado su comportamiento habitual.

X

• La aprobación de la petición se realiza al finalizar

las pruebas de regresión, y después de comprobar

que todo lo que ha sido modificado o puede verse

afectado por el cambio, funciona correctamente.

X

Tabla N° 07: Auditoría de la fase de estudio de via bilidad, fase análisis, fase diseño, construcción, implantación, aceptación y mantenimiento

Fuente: Propia

Page 74: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

74 Bach. Arturo Fernando Granados Rodríguez

Capítulo V:

ANÁLISIS DE RESULTADOS

Page 75: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

V. RESULTADOS Y DISCUSIÓN

Gráfico

En el gráfico N°01, muestra que el Centro de información y sistemas (CIS), del

Gobierno Regional Cajamarca, entre las fechas comprendidas de Enero del 2011 a

Julio del 2012, no ha sido auditado. Ello significa que no tienen

control interno, como garantía para una gestión eficaz orientada a la consecución

de los objetivos.

Gráfico

¿El Centro de Información y Sistemas ha sido auditado con anterioridad (cualquier tipo de

¿Existe algún documento que establece en forma

CarreraSistemas Computacionales

75 Bach. Arturo Fernando Granados Rodríguez

RESULTADOS Y DISCUSIÓN

4.1 Pregunta N° 01

Gráfico N° 01. Auditorías anteriores.

Fuente: Elaboración propia

gráfico N°01, muestra que el Centro de información y sistemas (CIS), del

Gobierno Regional Cajamarca, entre las fechas comprendidas de Enero del 2011 a

Julio del 2012, no ha sido auditado. Ello significa que no tienen procedimientos de

mo garantía para una gestión eficaz orientada a la consecución

4.2 Pregunta N° 02 Gráfico N° 02. Documentación de funciones.

Fuente: Elaboración propia

100%

¿El Centro de Información y Sistemas ha sido auditado con anterioridad (cualquier tipo de

auditoria)?

a)SI b)NO c)No Sabe No Opina

100%

¿Existe algún documento que establece en forma clara las funciones del área?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

gráfico N°01, muestra que el Centro de información y sistemas (CIS), del

Gobierno Regional Cajamarca, entre las fechas comprendidas de Enero del 2011 a

procedimientos de

mo garantía para una gestión eficaz orientada a la consecución

¿Existe algún documento que establece en forma

Page 76: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

En el gráfico N°02 muestra que existe, este documento es el ROF (

Organización y Funciones

de gestión institucional que establece entre otras:

específicas de la entidad y de cada uno de sus órganos y unidades orgánicas.

funciones del Centro de información y sistemas (CIS) están contemplados en el

Artículo 92 del ROF del Gobierno Regional Cajamarca.

En el gráfico N° 03, muestra que existe una Estruct ura Orgánica del Gobierno

Regional Cajamarca, aprobado con Ordenanza Regional N° 020

18.10.05. Y Modificada por Ordenanza Regional N° 00 1

Con ello se demuestra que cons

entre ellos. Cabe mencionar que el CIS no figura en la Estructura Orgánica del

Gobierno Regional. Existe como una unidad funcional que depende de la Sub

Gerencia de Desarrollo Institucional. Actualmente es

Operativo Informático en el Formato N° F1

Desarrollo Institucional y Tecnologías de Información”.

¿Existe un organigrama con la estructura de

CarreraSistemas Computacionales

76 Bach. Arturo Fernando Granados Rodríguez

gráfico N°02 muestra que existe, este documento es el ROF (

Organización y Funciones) el cual se constituye en un documento técnico normativo

ión institucional que establece entre otras: Las funciones generales y

específicas de la entidad y de cada uno de sus órganos y unidades orgánicas.

entro de información y sistemas (CIS) están contemplados en el

Artículo 92 del ROF del Gobierno Regional Cajamarca.

4.3 Pregunta N° 03

Gráfico N° 03. Organigrama

Fuente: Elaboración propia

En el gráfico N° 03, muestra que existe una Estruct ura Orgánica del Gobierno

Regional Cajamarca, aprobado con Ordenanza Regional N° 020 -2005

18.10.05. Y Modificada por Ordenanza Regional N° 00 1-2009-GR.CAJ 21.01.09.

Con ello se demuestra que constan diferentes niveles de jerarquía, y la relación

entre ellos. Cabe mencionar que el CIS no figura en la Estructura Orgánica del

Gobierno Regional. Existe como una unidad funcional que depende de la Sub

Gerencia de Desarrollo Institucional. Actualmente está en propuesta en el Plan

Operativo Informático en el Formato N° F1 – 07 la creación de la “Sub Gerencia de

Desarrollo Institucional y Tecnologías de Información”.

100%

¿Existe un organigrama con la estructura de organización del área?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

gráfico N°02 muestra que existe, este documento es el ROF (Reglamento de

constituye en un documento técnico normativo

Las funciones generales y

específicas de la entidad y de cada uno de sus órganos y unidades orgánicas. Las

entro de información y sistemas (CIS) están contemplados en el

En el gráfico N° 03, muestra que existe una Estruct ura Orgánica del Gobierno

2005-GR.CAJ-CR

GR.CAJ 21.01.09.

quía, y la relación

entre ellos. Cabe mencionar que el CIS no figura en la Estructura Orgánica del

Gobierno Regional. Existe como una unidad funcional que depende de la Sub

tá en propuesta en el Plan

07 la creación de la “Sub Gerencia de

Page 77: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

En el gráfico N° 04, muestra que sólo el 71% tiene con ocimiento que cada puesto

de trabajo describe: roles, responsabilidades, funciones, dependencia jerárquica,

requisitos mínimos de formación y experiencia. El 29% no tiene conocimiento

acerca de los puesto

descripción de puestos es el ROF (

funciones del Centro de información y sistemas (CIS) están contemplados en el

Artículo 92 del ROF del Gobierno Regional Cajam

Gráfico N° 05. Promoción

roles, responsabilidades, funciones, dependencia jerárquica, requisitos mínimos de formación y

¿Están establecidos los procedimientos de

superiores, teniendo en cuenta la experiencia y

CarreraSistemas Computacionales

77 Bach. Arturo Fernando Granados Rodríguez

4.4 Pregunta N° 04

Gráfico N° 04. Puesto de Trabajo

Fuente: Elaboración propia

el gráfico N° 04, muestra que sólo el 71% tiene con ocimiento que cada puesto

de trabajo describe: roles, responsabilidades, funciones, dependencia jerárquica,

requisitos mínimos de formación y experiencia. El 29% no tiene conocimiento

s de trabajo del área. El documento que presenta la

descripción de puestos es el ROF (Reglamento de Organización y Funciones

funciones del Centro de información y sistemas (CIS) están contemplados en el

Artículo 92 del ROF del Gobierno Regional Cajamarca.

4.5 Pregunta N° 05

N° 05. Promoción de Staff a puestos superiores

Fuente: Elaboración propia

71%

29%

¿Cada puesto de trabajo describe roles, responsabilidades, funciones, dependencia

jerárquica, requisitos mínimos de formación y experiencia?

a)SI b)NO c)No Sabe No Opina

20%

80%

¿Están establecidos los procedimientos de promoción de personal a puestos

superiores, teniendo en cuenta la experiencia y formación?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

el gráfico N° 04, muestra que sólo el 71% tiene con ocimiento que cada puesto

de trabajo describe: roles, responsabilidades, funciones, dependencia jerárquica,

requisitos mínimos de formación y experiencia. El 29% no tiene conocimiento

s de trabajo del área. El documento que presenta la

Reglamento de Organización y Funciones). Las

funciones del Centro de información y sistemas (CIS) están contemplados en el

de Staff a puestos superiores

roles, responsabilidades, funciones, dependencia jerárquica, requisitos mínimos de formación y

superiores, teniendo en cuenta la experiencia y

Page 78: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

En el gráfico N° 05, señala que el 80% dice que no está establecido el

procedimiento de promoción de staff; en cambio el 20% afirma que existe

procedimiento. El Gobierno Regional cada vez que requiere de staff, procede a

convocatoria o concurso público, en el cual establece Objetivos y Bases Legales

(Decretos Supremos) señalando requisitos mínimos, funciones a desempeñar

según el servicio o cargo a ocupar, periodo de contratación (con opción a

renovación). Pero no indica promoción de staff a puestos superiores.

Gráfico N° 06. Staff cumple requisitos al puesto que accede n

En el gráfico N° 06, nos señala que existe un 72% que afirma que el staff

seleccionado cumple con los requisitos del puesto, por el contrario el 14% niega

dicha afirmación. Y el 14% no sabe no opina. El Gobierno Regional cuando requiere

staff, procede a convocatoria o conc

el que el postulante debe cumplir.

¿El personal seleccionado cumple los requisitos

CarreraSistemas Computacionales

78 Bach. Arturo Fernando Granados Rodríguez

En el gráfico N° 05, señala que el 80% dice que no está establecido el

procedimiento de promoción de staff; en cambio el 20% afirma que existe

procedimiento. El Gobierno Regional cada vez que requiere de staff, procede a

convocatoria o concurso público, en el cual establece Objetivos y Bases Legales

(Decretos Supremos) señalando requisitos mínimos, funciones a desempeñar

o cargo a ocupar, periodo de contratación (con opción a

renovación). Pero no indica promoción de staff a puestos superiores.

4. 6 Pregunta N° 06

N° 06. Staff cumple requisitos al puesto que accede n

Fuente: Elaboración propia

06, nos señala que existe un 72% que afirma que el staff

seleccionado cumple con los requisitos del puesto, por el contrario el 14% niega

dicha afirmación. Y el 14% no sabe no opina. El Gobierno Regional cuando requiere

staff, procede a convocatoria o concurso público, señalando requisitos mínimos, en

el que el postulante debe cumplir.

72%

14%

14%

¿El personal seleccionado cumple los requisitos del puesto al que acceden?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

En el gráfico N° 05, señala que el 80% dice que no está establecido el

procedimiento de promoción de staff; en cambio el 20% afirma que existe dicho

procedimiento. El Gobierno Regional cada vez que requiere de staff, procede a

convocatoria o concurso público, en el cual establece Objetivos y Bases Legales

(Decretos Supremos) señalando requisitos mínimos, funciones a desempeñar

o cargo a ocupar, periodo de contratación (con opción a

renovación). Pero no indica promoción de staff a puestos superiores.

N° 06. Staff cumple requisitos al puesto que accede n

06, nos señala que existe un 72% que afirma que el staff

seleccionado cumple con los requisitos del puesto, por el contrario el 14% niega

dicha afirmación. Y el 14% no sabe no opina. El Gobierno Regional cuando requiere

urso público, señalando requisitos mínimos, en

¿El personal seleccionado cumple los requisitos

Page 79: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

Gráfico

El Gráfico N° 07 nos muestra que todo el staff del área cuenta con la formación

necesaria y además son motivados para la realización de su trabajo. Esta

motivación la realiza el director del CIS, enfatizando las cualidades del staff.

Gráfico

¿El personal de área cuenta con la formación adecuada y son motivados para la realización de

¿Existe algún mecanismo que permita al personal hacer sugerencias sobre mejoras en la

CarreraSistemas Computacionales

79 Bach. Arturo Fernando Granados Rodríguez

4.7 Pregunta N° 07

Gráfico N° 07. Formación y motivación del staff

Fuente: Elaboración propia

N° 07 nos muestra que todo el staff del área cuenta con la formación

necesaria y además son motivados para la realización de su trabajo. Esta

motivación la realiza el director del CIS, enfatizando las cualidades del staff.

4.8 Pregunta N° 08

Gráfico N° 08. Sugerencias del staff

Fuente: Elaboración propia

100%

¿El personal de área cuenta con la formación adecuada y son motivados para la realización de

su trabajo?

a)SI b)NO c)No Sabe No Opina

60%

40%

¿Existe algún mecanismo que permita al personal hacer sugerencias sobre mejoras en la

organización del área?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

N° 07 nos muestra que todo el staff del área cuenta con la formación

necesaria y además son motivados para la realización de su trabajo. Esta

motivación la realiza el director del CIS, enfatizando las cualidades del staff.

adecuada y son motivados para la realización de

¿Existe algún mecanismo que permita al personal

Page 80: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

El Gráfico N° 08 muestra que solo el 60% afirma que existe un mecanismo que

permite a los miembros del staff hacer sugerencias para la mejora del área. Sin

embargo existe un 40% que niega dicha afirmación. El director del CIS confirmó

que hacen reuniones periódicas

sugerencias para la mejora del área, las cuales se toman en cuenta.

Gráfico

El gráfico N° 09 señala que el 86% no existe

informático autorizado por alta gerencia, en cambio el 14% afirma que si existe

dicho documento. El Gobierno Regional Cajamarca emite Resolución Ejecutiva

Regional y basándose en el Plan Operativo Informático detallando

Ficha Técnica para la Programación de Actividades y Proyectos Informáticos, el

cual describe objetivos, costo total, duración, unidad ejecutora del proyecto.

¿Existe algún documento de aprobación del proyecto informático autorizado por la alta

CarreraSistemas Computacionales

80 Bach. Arturo Fernando Granados Rodríguez

N° 08 muestra que solo el 60% afirma que existe un mecanismo que

permite a los miembros del staff hacer sugerencias para la mejora del área. Sin

embargo existe un 40% que niega dicha afirmación. El director del CIS confirmó

que hacen reuniones periódicas en las cuales los miembros del staff realizan

sugerencias para la mejora del área, las cuales se toman en cuenta.

4.9 Pregunta N° 09

Gráfico N° 09. Aprobación del proyecto.

Fuente: Elaboración propia

El gráfico N° 09 señala que el 86% no existe documento de aprobación de proyecto

informático autorizado por alta gerencia, en cambio el 14% afirma que si existe

dicho documento. El Gobierno Regional Cajamarca emite Resolución Ejecutiva

Regional y basándose en el Plan Operativo Informático detallando

Ficha Técnica para la Programación de Actividades y Proyectos Informáticos, el

cual describe objetivos, costo total, duración, unidad ejecutora del proyecto.

14%

86%

¿Existe algún documento de aprobación del proyecto informático autorizado por la alta

gerencia?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

N° 08 muestra que solo el 60% afirma que existe un mecanismo que

permite a los miembros del staff hacer sugerencias para la mejora del área. Sin

embargo existe un 40% que niega dicha afirmación. El director del CIS confirmó

en las cuales los miembros del staff realizan

sugerencias para la mejora del área, las cuales se toman en cuenta.

documento de aprobación de proyecto

informático autorizado por alta gerencia, en cambio el 14% afirma que si existe

dicho documento. El Gobierno Regional Cajamarca emite Resolución Ejecutiva

Regional y basándose en el Plan Operativo Informático detallando lo siguiente

Ficha Técnica para la Programación de Actividades y Proyectos Informáticos, el

cual describe objetivos, costo total, duración, unidad ejecutora del proyecto.

Page 81: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

Gráfico N° 10. Metodología de desarrollo de sistemas de inf ormación

El Gráfico N° 10 señala que el 60% afirma que se establece una metodología de

desarrollo de sistemas de información soportada por herramientas de ayuda. Por el

contrario el 40% niega dicha afirmación. En la documentación proporcionada y

revisada, no se tiene una metodología de desarrollo de sistemas de información

documentada.

Gráfico N° 11. Metodología cubre las fases y es adaptable

40%

¿Se tiene implantada una metodología de desarrollo de sistemas de información soportada

¿La metodología cubre todas las fases del desarrollo y es adaptable a distintos tipos de

CarreraSistemas Computacionales

81 Bach. Arturo Fernando Granados Rodríguez

4.10 Pregunta N° 10

N° 10. Metodología de desarrollo de sistemas de inf ormación

Fuente: Elaboración propia

N° 10 señala que el 60% afirma que se establece una metodología de

desarrollo de sistemas de información soportada por herramientas de ayuda. Por el

rario el 40% niega dicha afirmación. En la documentación proporcionada y

revisada, no se tiene una metodología de desarrollo de sistemas de información

4.11 Pregunta N° 11

N° 11. Metodología cubre las fases y es adaptable

Fuente: Elaboración propia

60%

40%

¿Se tiene implantada una metodología de desarrollo de sistemas de información soportada

por herramientas de ayuda?

a)SI b)NO c)No Sabe No Opina

100%

¿La metodología cubre todas las fases del desarrollo y es adaptable a distintos tipos de

proyectos?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

N° 10. Metodología de desarrollo de sistemas de inf ormación

N° 10 señala que el 60% afirma que se establece una metodología de

desarrollo de sistemas de información soportada por herramientas de ayuda. Por el

rario el 40% niega dicha afirmación. En la documentación proporcionada y

revisada, no se tiene una metodología de desarrollo de sistemas de información

N° 11. Metodología cubre las fases y es adaptable

desarrollo de sistemas de información soportada

Page 82: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

El gráfico N° 11 indica que la metodología de desar rollo de sistemas de información

cubre todas las fases del desarrollo. Es adaptable a los distintos tipos de proyectos

software. En la documentación proporcionada y revisada, no se ti

metodología de desarrollo de sistemas de información documentada.

Gráfico N° 12. Asignación de responsable de proyecto.

El gráfico N° 12 indica que el 72% conoce la asigna ción de un responsable o

director de proyecto informático. Por el contrario el 14% no conoce la designación

del responsable del proyecto. En tanto el 14% no sabe no opina. Cada proyecto

informático del CIS es asignado a un responsable, el cual lo dirige siguiendo lo

establecido en el Plan Operativo Informático.

¿Se ha asignado un responsable o director de

CarreraSistemas Computacionales

82 Bach. Arturo Fernando Granados Rodríguez

El gráfico N° 11 indica que la metodología de desar rollo de sistemas de información

cubre todas las fases del desarrollo. Es adaptable a los distintos tipos de proyectos

software. En la documentación proporcionada y revisada, no se ti

metodología de desarrollo de sistemas de información documentada.

4.12 Pregunta N° 12

N° 12. Asignación de responsable de proyecto.

Fuente: Elaboración propia

El gráfico N° 12 indica que el 72% conoce la asigna ción de un responsable o

director de proyecto informático. Por el contrario el 14% no conoce la designación

del responsable del proyecto. En tanto el 14% no sabe no opina. Cada proyecto

informático del CIS es asignado a un responsable, el cual lo dirige siguiendo lo

el Plan Operativo Informático.

72%

14%

14%

¿Se ha asignado un responsable o director de proyecto?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

El gráfico N° 11 indica que la metodología de desar rollo de sistemas de información

cubre todas las fases del desarrollo. Es adaptable a los distintos tipos de proyectos

software. En la documentación proporcionada y revisada, no se tiene una

metodología de desarrollo de sistemas de información documentada.

N° 12. Asignación de responsable de proyecto.

El gráfico N° 12 indica que el 72% conoce la asigna ción de un responsable o

director de proyecto informático. Por el contrario el 14% no conoce la designación

del responsable del proyecto. En tanto el 14% no sabe no opina. Cada proyecto

informático del CIS es asignado a un responsable, el cual lo dirige siguiendo lo

Page 83: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

Gráfico

El gráfico N° 13 muestra que el 43% que no sabe y n o opina y el 43% que

desconoce las dimensiones, riesgos y ciclo de vida del proyecto; indican la gran

falta de información acerca del proyecto por parte del staff del CIS. Sólo 14%

conoce que se ha descrit

de vida que se tomará cada proyecto.

Gráfico

¿Se ha descrito y dimensionado el proyecto; evaluando riesgos y ciclo de vida del proyecto?

¿Existe un registro de problemas que se producen en los proyectos de desarrollo de sistemas?

CarreraSistemas Computacionales

83 Bach. Arturo Fernando Granados Rodríguez

4.13 Pregunta N° 13

Gráfico N° 13. Dimensión del proyecto.

Fuente: Elaboración propia

El gráfico N° 13 muestra que el 43% que no sabe y n o opina y el 43% que

desconoce las dimensiones, riesgos y ciclo de vida del proyecto; indican la gran

falta de información acerca del proyecto por parte del staff del CIS. Sólo 14%

conoce que se ha descrito y dimensionado el proyecto, evaluando riesgos y el ciclo

de vida que se tomará cada proyecto.

4.14 Pregunta N° 14

Gráfico N° 14. Registro de problemas

Fuente: Elaboración propia

14%

43%

43%

¿Se ha descrito y dimensionado el proyecto; evaluando riesgos y ciclo de vida del proyecto?

a)SI b)NO c)No Sabe No Opina

29%

71%

¿Existe un registro de problemas que se producen en los proyectos de desarrollo de sistemas?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

El gráfico N° 13 muestra que el 43% que no sabe y n o opina y el 43% que

desconoce las dimensiones, riesgos y ciclo de vida del proyecto; indican la gran

falta de información acerca del proyecto por parte del staff del CIS. Sólo 14%

o y dimensionado el proyecto, evaluando riesgos y el ciclo

¿Existe un registro de problemas que se producen

Page 84: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

El gráfico N° 14 muestra que el 71% no lleva un reg istro de problemas

producen los proyectos de desarrollo de sistemas. Por el contrario el 29% afirma

que si existe un registro del mismo. De la documentación revisada no existe un

registro de los incidentes, problemas y soluciones que se producen en el desarrollo

de sistemas.

Gráfico

El gráfico N° 15 muestra que al 100% se ha hecho us o de la información histórica

existente, para dimensionar el proyecto, riesgos y el ciclo de vida según el

¿Se ha hecho uso de la información histórica que se dispone tanto para dimensionar el proyecto y sus riesgos como para seleccionar el ciclo de vida ?

CarreraSistemas Computacionales

84 Bach. Arturo Fernando Granados Rodríguez

El gráfico N° 14 muestra que el 71% no lleva un reg istro de problemas

producen los proyectos de desarrollo de sistemas. Por el contrario el 29% afirma

que si existe un registro del mismo. De la documentación revisada no existe un

registro de los incidentes, problemas y soluciones que se producen en el desarrollo

4.15 Pregunta N° 15

Gráfico N° 15. Información Histórica.

Fuente: Elaboración propia

El gráfico N° 15 muestra que al 100% se ha hecho us o de la información histórica

existente, para dimensionar el proyecto, riesgos y el ciclo de vida según el

100%

¿Se ha hecho uso de la información histórica que se dispone tanto para dimensionar el proyecto y sus riesgos como para seleccionar el ciclo de vida ?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

El gráfico N° 14 muestra que el 71% no lleva un reg istro de problemas que se

producen los proyectos de desarrollo de sistemas. Por el contrario el 29% afirma

que si existe un registro del mismo. De la documentación revisada no existe un

registro de los incidentes, problemas y soluciones que se producen en el desarrollo

El gráfico N° 15 muestra que al 100% se ha hecho us o de la información histórica

existente, para dimensionar el proyecto, riesgos y el ciclo de vida según el proyecto.

¿Se ha hecho uso de la información histórica que se

Page 85: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

Gráfico N° 16. Equipos de trabajo y responsables de las áre as.

En el gráfico N° 16 indica que el 86% se constituye formalmente al equipo de

trabajo, además de los responsables de las

En cambio el 14% no sabe no opina. La integración del staff y de los responsables

de las áreas donde se implantará el nuevo software, se constituye de manera

verbal, mas no documentado.

Gráfico

¿Se ha constituido formalmente al equipo de trabajo, así como los responsables de las áreas

¿Se realizan reuniones con una frecuencia mínima y las decisiones tomadas quedan documentadas?

CarreraSistemas Computacionales

85 Bach. Arturo Fernando Granados Rodríguez

4.16 Pregunta N° 16

N° 16. Equipos de trabajo y responsables de las áre as.

Fuente: Elaboración propia

En el gráfico N° 16 indica que el 86% se constituye formalmente al equipo de

trabajo, además de los responsables de las áreas donde se ve inmerso el proyecto.

En cambio el 14% no sabe no opina. La integración del staff y de los responsables

de las áreas donde se implantará el nuevo software, se constituye de manera

verbal, mas no documentado.

4.17 Pregunta N° 17

Gráfico N° 17. Reuniones del equipo de trabajo.

Fuente: Elaboración propia

86%

14%

¿Se ha constituido formalmente al equipo de trabajo, así como los responsables de las áreas

inmersas en el proyecto?

a)SI b)NO c)No Sabe No Opina

86%

14%

¿Se realizan reuniones con una frecuencia mínima y las decisiones tomadas quedan documentadas?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

N° 16. Equipos de trabajo y responsables de las áre as.

En el gráfico N° 16 indica que el 86% se constituye formalmente al equipo de

áreas donde se ve inmerso el proyecto.

En cambio el 14% no sabe no opina. La integración del staff y de los responsables

de las áreas donde se implantará el nuevo software, se constituye de manera

¿Se realizan reuniones con una frecuencia mínima

Page 86: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

En el gráfico N° 17 señala que el 86% si realizan r euniones periódicas y las

decisiones de aquellas reuniones son documentadas. En cambio el 14% niega

dicho enunciado. Las reuniones de

días), pero las decisiones tomadas no quedan documentadas, sólo se las

menciona.

Gráfico

En el gráfico N° 18 muestra un 86% que existe docum entación del proyecto, es

completo y está catalogada. En cambio existe un 14%

información revisada y analizada

completa, pero no está catal

¿La documentación del proyecto es completa y está catalogada para accesos posteriores?

CarreraSistemas Computacionales

86 Bach. Arturo Fernando Granados Rodríguez

En el gráfico N° 17 señala que el 86% si realizan r euniones periódicas y las

decisiones de aquellas reuniones son documentadas. En cambio el 14% niega

dicho enunciado. Las reuniones de staff si se hace con frecuencia mínima (cada 7

días), pero las decisiones tomadas no quedan documentadas, sólo se las

4.18 Pregunta N° 18

Gráfico N° 18. Documentación del proyecto.

Fuente: Elaboración propia

En el gráfico N° 18 muestra un 86% que existe docum entación del proyecto, es

completo y está catalogada. En cambio existe un 14% no sabe no opina

revisada y analizada que puede afirmar que la documentación es

completa, pero no está catalogada para accesos posteriores.

86%

14%

¿La documentación del proyecto es completa y está catalogada para accesos posteriores?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

En el gráfico N° 17 señala que el 86% si realizan r euniones periódicas y las

decisiones de aquellas reuniones son documentadas. En cambio el 14% niega

staff si se hace con frecuencia mínima (cada 7

días), pero las decisiones tomadas no quedan documentadas, sólo se las

En el gráfico N° 18 muestra un 86% que existe docum entación del proyecto, es

no sabe no opina. De la

que puede afirmar que la documentación es

Page 87: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

Gráfico

En el gráfico N° 19 indica un 71% que existe un doc umento que recoge los

requisitos del usuario. Pero existe un 29% que

de requisitos se puede afirmar que se realiza la documentación necesaria.

Gráfico N° 20. Solicitud de participación de pers

¿Existe un documento que recoge la descripción general de requisitos establecidos por el usuario?

¿Existe un protocolo para solicitar al resto de las áreas la participación del personal en el proyecto

CarreraSistemas Computacionales

87 Bach. Arturo Fernando Granados Rodríguez

4.19 Pregunta N° 19

Gráfico N° 19. Documentación de requisitos.

Fuente: Elaboración propia

En el gráfico N° 19 indica un 71% que existe un doc umento que recoge los

requisitos del usuario. Pero existe un 29% que niega dicho enunciado. De la toma

de requisitos se puede afirmar que se realiza la documentación necesaria.

4.20 Pregunta N° 20

N° 20. Solicitud de participación de pers onal de otras áreas.

Fuente: Elaboración propia

71%

29%

¿Existe un documento que recoge la descripción general de requisitos establecidos por el usuario?

a)SI b)NO c)No Sabe No Opina

20%

60%

20%

¿Existe un protocolo para solicitar al resto de las áreas la participación del personal en el proyecto

y se aplica dicho protocolo?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

En el gráfico N° 19 indica un 71% que existe un doc umento que recoge los

niega dicho enunciado. De la toma

de requisitos se puede afirmar que se realiza la documentación necesaria.

nal de otras áreas.

Page 88: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

En el gráfico N° 20 muestra que el 20% que no sabe y no opina y el 60% que

desconoce la existencia de un protocolo de solicitud de participación de personal de

otras áreas inmersas en el proyecto. En cambio el 20 % afirma dicho enunciado. La

participación de personal de otra

verbal, mas no existe un protocolo específico.

Gráfico

En el gráfico N° 21 muestra que entre el 40% que no sabe y no

desconoce si los proyectos se basan en el POI; podemos afirmar junto con el 40%

que la realización de nuevos proyectos software se basa íntegramente al Plan

Operativo Informático.

40%

¿La realización de nuevos proyectos software se basa en el Plan Operativo informático?

CarreraSistemas Computacionales

88 Bach. Arturo Fernando Granados Rodríguez

muestra que el 20% que no sabe y no opina y el 60% que

desconoce la existencia de un protocolo de solicitud de participación de personal de

otras áreas inmersas en el proyecto. En cambio el 20 % afirma dicho enunciado. La

participación de personal de otras áreas incluidas en el proyecto se hace de manera

verbal, mas no existe un protocolo específico.

4.21 Pregunta N° 21

Gráfico N° 21. Nuevos proyectos software.

Fuente: Elaboración propia

muestra que entre el 40% que no sabe y no opina y el 20% que

desconoce si los proyectos se basan en el POI; podemos afirmar junto con el 40%

que la realización de nuevos proyectos software se basa íntegramente al Plan

40%

20%

¿La realización de nuevos proyectos software se basa en el Plan Operativo informático?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

muestra que el 20% que no sabe y no opina y el 60% que

desconoce la existencia de un protocolo de solicitud de participación de personal de

otras áreas inmersas en el proyecto. En cambio el 20 % afirma dicho enunciado. La

s áreas incluidas en el proyecto se hace de manera

opina y el 20% que

desconoce si los proyectos se basan en el POI; podemos afirmar junto con el 40%

que la realización de nuevos proyectos software se basa íntegramente al Plan

Page 89: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

Gráfico

En el gráfico N° 22 indica que entre el 20% que no sabe y no opina y el 20% que

tiene desconocimiento acerca de las fechas de realización de proyectos inmersos

en el POI. Se puede afirmar junto con el 60%

coinciden con el POI, pues éste dispone fechas a corto plazo.

Gráfico

20%

¿Las fechas de realización del proyecto coinciden con los del Plan Operativo Informático?

¿La recopilación de información es la adecuada en función de las características del proyecto y a

los tipos de usuario a entrevistar?

CarreraSistemas Computacionales

89 Bach. Arturo Fernando Granados Rodríguez

4.22 Pregunta N° 22

N° 22. Fechas de realiz ación del proyecto.

Fuente: Elaboración propia

En el gráfico N° 22 indica que entre el 20% que no sabe y no opina y el 20% que

tiene desconocimiento acerca de las fechas de realización de proyectos inmersos

en el POI. Se puede afirmar junto con el 60% que las fechas de realización

coinciden con el POI, pues éste dispone fechas a corto plazo.

4.23 Pregunta N° 23

Gráfico N° 23. Recopilación de información.

Fuente: Elaboración propia

60%

20%

¿Las fechas de realización del proyecto coinciden con los del Plan Operativo Informático?

a)SI b)NO c)No Sabe No Opina

86%

14%

¿La recopilación de información es la adecuada en función de las características del proyecto y a

los tipos de usuario a entrevistar?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

ación del proyecto.

En el gráfico N° 22 indica que entre el 20% que no sabe y no opina y el 20% que

tiene desconocimiento acerca de las fechas de realización de proyectos inmersos

que las fechas de realización

¿Las fechas de realización del proyecto coinciden

Page 90: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

En el gráfico N° 23 señala que el 86% afirma que re copilan de la

adecuada. Por el contrario el 14% niega dicho enunciado. La recopilación de la

información se realiza de manera adecuada con las características del proyecto y

los usuarios a entrevistar

En el gráfico N° 24 indica que existe un 60% que no realizan métricas para estimar

la calidad del software. Por el contrario existe un 40% que afirma dicho enunciado.

No realizan ninguna métrica para estimar la calidad del software.

Gráfico N° 25. Guías de prácticas de análisis y diseño.

60%

¿Se realizan varios tipos de estimar la calidad del software?

60%

¿Se definen prácticas de análisis y diseño. Además existe una guía de practicas para cada lenguaje de

CarreraSistemas Computacionales

90 Bach. Arturo Fernando Granados Rodríguez

En el gráfico N° 23 señala que el 86% afirma que re copilan de la información es la

adecuada. Por el contrario el 14% niega dicho enunciado. La recopilación de la

información se realiza de manera adecuada con las características del proyecto y

los usuarios a entrevistar

Pregunta N° 24

Gráfico N°24. Métricas.

Fuente: Elaboración propia En el gráfico N° 24 indica que existe un 60% que no realizan métricas para estimar

la calidad del software. Por el contrario existe un 40% que afirma dicho enunciado.

No realizan ninguna métrica para estimar la calidad del software.

4.25 Pregunta N° 25

N° 25. Guías de prácticas de análisis y diseño.

Fuente: Elaboración propia

40%

¿Se realizan varios tipos de métricas para poder estimar la calidad del software?

a)SI b)NO c)No Sabe No Opina

40%

¿Se definen prácticas de análisis y diseño. Además existe una guía de practicas para cada lenguaje de

programación?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

información es la

adecuada. Por el contrario el 14% niega dicho enunciado. La recopilación de la

información se realiza de manera adecuada con las características del proyecto y

En el gráfico N° 24 indica que existe un 60% que no realizan métricas para estimar

la calidad del software. Por el contrario existe un 40% que afirma dicho enunciado.

N° 25. Guías de prácticas de análisis y diseño.

Page 91: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

En el gráfico N° 25 indica que el 40% afirma que se definen prácticas de análisis y

diseño, además existe una guía para cada lenguaje de programación.

contrario, existe un 60% que niega dicho enunciado. Las prácticas de análisis y

diseño se realizan de manera empírica además no existe una guía de prácticas

para cada lenguaje de programación.

En el gráfico N° 26 indica al 100% que se realiza modelos del sistema.

Gráfico

¿Se han realizado modelos del sistema?

¿La división de los subsistemas están orientados a los procesos de la organización?

CarreraSistemas Computacionales

91 Bach. Arturo Fernando Granados Rodríguez

En el gráfico N° 25 indica que el 40% afirma que se definen prácticas de análisis y

diseño, además existe una guía para cada lenguaje de programación.

contrario, existe un 60% que niega dicho enunciado. Las prácticas de análisis y

diseño se realizan de manera empírica además no existe una guía de prácticas

para cada lenguaje de programación.

4.26 Pregunta N° 26

Gráfico N° 26. Modelo del sistema.

Fuente: Elaboración propia En el gráfico N° 26 indica al 100% que se realiza modelos del sistema.

4.27 Pregunta N° 27

Gráfico N° 27. División de subsistemas.

Fuente: Elaboración propia

100%

¿Se han realizado modelos del sistema?

a)SI b)NO c)No Sabe No Opina

72%

14%

14%

¿La división de los subsistemas están orientados a los procesos de la organización?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

En el gráfico N° 25 indica que el 40% afirma que se definen prácticas de análisis y

diseño, además existe una guía para cada lenguaje de programación. Por el

contrario, existe un 60% que niega dicho enunciado. Las prácticas de análisis y

diseño se realizan de manera empírica además no existe una guía de prácticas

En el gráfico N° 26 indica al 100% que se realiza modelos del sistema.

Page 92: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

En el gráfico N° 27 muestra que el 72% afirma que l a división de los subsistemas

está orientada a los procesos de la organización. El 14% niega lo expuesto. Y por

último el 14% no sabe no opina. La subdivisión de los subsistemas se hace a través

de Módulos: Modulo de Administración Documentaria

Administración Organizacional (MAO).

En el gráfico N° 28 indica que el 100% afirma que s e detallan las interfaces del

sistema.

¿Se detallan las interfaces: pantallas a través de las cuales el usuario navegará por la

aplicación, menús, botones y formularios

CarreraSistemas Computacionales

92 Bach. Arturo Fernando Granados Rodríguez

En el gráfico N° 27 muestra que el 72% afirma que l a división de los subsistemas

está orientada a los procesos de la organización. El 14% niega lo expuesto. Y por

último el 14% no sabe no opina. La subdivisión de los subsistemas se hace a través

: Modulo de Administración Documentaria (MAD) y Modulo de

Administración Organizacional (MAO).

4.28 Pregunta N° 28

Gráfico N° 28. Interfaces.

Fuente: Elaboración propia

En el gráfico N° 28 indica que el 100% afirma que s e detallan las interfaces del

100%

¿Se detallan las interfaces: pantallas a través de las cuales el usuario navegará por la

aplicación, menús, botones y formularios asociados?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

En el gráfico N° 27 muestra que el 72% afirma que l a división de los subsistemas

está orientada a los procesos de la organización. El 14% niega lo expuesto. Y por

último el 14% no sabe no opina. La subdivisión de los subsistemas se hace a través

(MAD) y Modulo de

En el gráfico N° 28 indica que el 100% afirma que s e detallan las interfaces del

Page 93: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

En el gráfico N° 29 muestra que el 72% afirma que e xisten normas de diseño. El

14% niega lo expuesto. Y por último el 14% no sabe no opina.

En el gráfico N° 30 señala que existe un 43% que af irma que se especifica un plan

de pruebas, por el contrario el 43% niega lo expuesto. Y el 14% no sabe no opina.

¿Existen normas de diseño o estilo de pantallas, informes, formularios?

¿Debe especificarse un plan de pruebas definiendo requisitos de alcance y entorno?

CarreraSistemas Computacionales

93 Bach. Arturo Fernando Granados Rodríguez

4.29 Pregunta N° 29

Gráfico N° 29. Normas de diseño.

Fuente: Elaboración propia En el gráfico N° 29 muestra que el 72% afirma que e xisten normas de diseño. El

14% niega lo expuesto. Y por último el 14% no sabe no opina.

4.30 Pregunta N° 30

Gráfico N° 30. Plan de pruebas.

Fuente: Elaboración propia

En el gráfico N° 30 señala que existe un 43% que af irma que se especifica un plan

de pruebas, por el contrario el 43% niega lo expuesto. Y el 14% no sabe no opina.

72%

14%

14%

¿Existen normas de diseño o estilo de pantallas, informes, formularios?

a)SI b)NO c)No Sabe No Opina

43%

43%

14%

¿Debe especificarse un plan de pruebas definiendo requisitos de alcance y entorno?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

En el gráfico N° 29 muestra que el 72% afirma que e xisten normas de diseño. El

En el gráfico N° 30 señala que existe un 43% que af irma que se especifica un plan

de pruebas, por el contrario el 43% niega lo expuesto. Y el 14% no sabe no opina.

Page 94: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

Gráfico

En el gráfico N° 31 muestra que el 43% afirma que s e elabora un plan de pruebas

de aceptación del sistema, por el contrario el 57% niega dicho enunciado.

Gráfico

En el gráfico N° 32 señala que el 71% afirma que re alizan validación formal de la

especificación de requisitos y modelos del análisis del sistema. Por el contrario el

¿Se ha elaborado un plan de pruebas de aceptación del sistema, es coherente con los

requisitos y con la especificación funcional del

¿Se ha realizado una validación formal de la especificación de requisitos y de los modelos del

CarreraSistemas Computacionales

94 Bach. Arturo Fernando Granados Rodríguez

4.31 Pregunta N° 31

Gráfico N° 31. Aceptación del sistema.

Fuente: Elaboración propia En el gráfico N° 31 muestra que el 43% afirma que s e elabora un plan de pruebas

de aceptación del sistema, por el contrario el 57% niega dicho enunciado.

4.32 Pregunta N° 32

Gráfico N° 32. Validación de la especificación.

Fuente: Elaboración propia

En el gráfico N° 32 señala que el 71% afirma que re alizan validación formal de la

especificación de requisitos y modelos del análisis del sistema. Por el contrario el

43%

57%

¿Se ha elaborado un plan de pruebas de aceptación del sistema, es coherente con los

requisitos y con la especificación funcional del sistema?

a)SI b)NO c)No Sabe No Opina

71%

29%

¿Se ha realizado una validación formal de la especificación de requisitos y de los modelos del

análisis del sistema?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

En el gráfico N° 31 muestra que el 43% afirma que s e elabora un plan de pruebas

de aceptación del sistema, por el contrario el 57% niega dicho enunciado.

En el gráfico N° 32 señala que el 71% afirma que re alizan validación formal de la

especificación de requisitos y modelos del análisis del sistema. Por el contrario el

Page 95: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

29% niega dicho enunciado. La validación se realiza pero no de manera

documentada.

Gráfico

En el gráfico N° 33 indica que el 86% afirma que se define la arquitectura del

sistema, es coherente con la especificación funcional y con el entorno tecnológico.

Por el contrario el 14% dice que no a la pregunta.

¿Se ha definido una arquitectura del sistema que sea coherente con la especificación funcional y

CarreraSistemas Computacionales

95 Bach. Arturo Fernando Granados Rodríguez

enunciado. La validación se realiza pero no de manera

Gráfico N° 33. Arquitectura del sistema.

Pregunta N° 33

Fuente: Elaboración propia

En el gráfico N° 33 indica que el 86% afirma que se define la arquitectura del

con la especificación funcional y con el entorno tecnológico.

Por el contrario el 14% dice que no a la pregunta.

86%

14%

¿Se ha definido una arquitectura del sistema que sea coherente con la especificación funcional y

con el entorno tecnológico?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

enunciado. La validación se realiza pero no de manera

En el gráfico N° 33 indica que el 86% afirma que se define la arquitectura del

con la especificación funcional y con el entorno tecnológico.

Page 96: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

Gráfico

En el gráfico N° 34 muestra

de migración y carga inicial de datos, así como los requisitos de operación. En

cambio el 43% niega el enunciado. Y por último el 14 % no sabe no opina.

Gráfico

¿Se especifica el procedimiento de migración y carga inicial de datos así como los requisitos de

¿Se prepara adecuadamente el entorno de desarrollo y de pruebas, así como los

procedimientos de operación y seguridad?

CarreraSistemas Computacionales

96 Bach. Arturo Fernando Granados Rodríguez

4.34 Pregunta N° 34

Gráfico N° 34. Migración y carga inicial de datos.

Fuente: Elaboración propia En el gráfico N° 34 muestra que el 43% afirma que se especifica el procedimiento

de migración y carga inicial de datos, así como los requisitos de operación. En

cambio el 43% niega el enunciado. Y por último el 14 % no sabe no opina.

4.35 Pregunta N° 35

Gráfico N° 35. Entorno de desarrollo y pruebas.

Fuente: Elaboración propia

43%

43%

14%

¿Se especifica el procedimiento de migración y carga inicial de datos así como los requisitos de

operación?

a)SI b)NO c)No Sabe No Opina

72%

14%

14%

¿Se prepara adecuadamente el entorno de desarrollo y de pruebas, así como los

procedimientos de operación y seguridad?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

N° 34. Migración y carga inicial de datos.

que el 43% afirma que se especifica el procedimiento

de migración y carga inicial de datos, así como los requisitos de operación. En

cambio el 43% niega el enunciado. Y por último el 14 % no sabe no opina.

Page 97: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

En el gráfico N° 35 indica que el 72% prepara adecu adamente el entorno de

desarrollo y pruebas, procedimientos de operación y seguridad. Sin embargo el

14% dice que no preparan el entorno y otro 14% no

Gráfico

En el gráfico N° 36 indica un 80% que existe un rep ositorio con todos los productos

software que pueden ser reutilizados. Por el contrario el 20% niega dicha

existencia.

Existe un repositorio con todos los productos software susceptibles de ser reutilizados: Librerías

de funciones, clases de objetos, componentes software, documentos (catalogo de requisitos

CarreraSistemas Computacionales

97 Bach. Arturo Fernando Granados Rodríguez

En el gráfico N° 35 indica que el 72% prepara adecu adamente el entorno de

desarrollo y pruebas, procedimientos de operación y seguridad. Sin embargo el

14% dice que no preparan el entorno y otro 14% no sabe no opina.

4.36 Pregunta N° 36

N° 36. Repositorio de productos software.

Fuente: Elaboración propia

En el gráfico N° 36 indica un 80% que existe un rep ositorio con todos los productos

software que pueden ser reutilizados. Por el contrario el 20% niega dicha

80%

20%

Existe un repositorio con todos los productos software susceptibles de ser reutilizados: Librerías

de funciones, clases de objetos, componentes software, documentos (catalogo de requisitos

comunes, arquitecturas).

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

En el gráfico N° 35 indica que el 72% prepara adecu adamente el entorno de

desarrollo y pruebas, procedimientos de operación y seguridad. Sin embargo el

N° 36. Repositorio de productos software.

En el gráfico N° 36 indica un 80% que existe un rep ositorio con todos los productos

software que pueden ser reutilizados. Por el contrario el 20% niega dicha

Page 98: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

Gráfico

En el gráfico N° 37 indica que el 100% de los compo nentes se desarrollan utilizando

técnicas de programación correctas.

Gráfico N° 38. Programar, probar y documentar componentes.

¿Los componentes que se desarrollan utilizan técnicas de programación correctas?

¿Se programa, prueba y documenta cada uno de los componentes identificados en el diseño del

CarreraSistemas Computacionales

98 Bach. Arturo Fernando Granados Rodríguez

4.37 Pregunta N° 37

Gráfico N° 37. Técnicas de programación.

Fuente: Elaboración propia

En el gráfico N° 37 indica que el 100% de los compo nentes se desarrollan utilizando

técnicas de programación correctas.

4.38 Pregunta N° 38

N° 38. Programar, probar y documentar componentes.

Fuente: Elaboración propia

100%

¿Los componentes que se desarrollan utilizan técnicas de programación correctas?

a)SI b)NO c)No Sabe No Opina

57%29%

14%

¿Se programa, prueba y documenta cada uno de los componentes identificados en el diseño del

sistema?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

En el gráfico N° 37 indica que el 100% de los compo nentes se desarrollan utilizando

N° 38. Programar, probar y documentar componentes.

Page 99: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

En el gráfico N° 38 indica que el 57% si se program a, prueba y documenta todos los

componentes identificados en el diseño del sistema. En cambio existe un 29% que

niega dicho enunciado. Y por último el 14% no sabe no opina.

Gráfico N° 39. Estándares y normas de programación.

En el gráfico N° 39 indica que el 57% afirma que se programan todos componentes,

siguiendo estándares y normas de programación, así como también de

documentación. Pero el 43% dice

estándares de programación pero no se documenta.

¿Se programa todos los componentes, siguendo estándares y normas de programación y

documentación (código comentado y

CarreraSistemas Computacionales

99 Bach. Arturo Fernando Granados Rodríguez

En el gráfico N° 38 indica que el 57% si se program a, prueba y documenta todos los

componentes identificados en el diseño del sistema. En cambio existe un 29% que

niega dicho enunciado. Y por último el 14% no sabe no opina.

4.39 Pregunta N° 39

N° 39. Estándares y normas de programación.

Fuente: Elaboración propia

En el gráfico N° 39 indica que el 57% afirma que se programan todos componentes,

siguiendo estándares y normas de programación, así como también de

documentación. Pero el 43% dice que no a la pregunta. Se programa con

estándares de programación pero no se documenta.

57%

43%

¿Se programa todos los componentes, siguendo estándares y normas de programación y

documentación (código comentado y documentado)?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

En el gráfico N° 38 indica que el 57% si se program a, prueba y documenta todos los

componentes identificados en el diseño del sistema. En cambio existe un 29% que

N° 39. Estándares y normas de programación.

En el gráfico N° 39 indica que el 57% afirma que se programan todos componentes,

siguiendo estándares y normas de programación, así como también de

que no a la pregunta. Se programa con

Page 100: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

Gráfico

En el gráfico N° 40 indica un 57% afirmando que se prueba cada componente de

forma unitaria siguiendo el plan de pruebas.

o diseño, el proyecto se actualizará según procedimiento establecido

contrario el 29% niega dicho enunciado. Y por último un 14% que no sabe no opina.

Gráfico N° 41. Procedimientos de migración y carga inicial de datos.

¿Se prueba cada componente de forma unitaria siguiendo el plan de pruebas. Si se

detecta un fallo de especificación o diseño, el proyecto se actualizará según el

procedimiento establecido para ello?

¿Se realiza codificación, prueba de los componentes y procedimientos de migración y

CarreraSistemas Computacionales

100 Bach. Arturo Fernando Granados Rodríguez

4.40 Pregunta N° 40

Gráfico N° 40. Prueba de cada componente.

Fuente: Elaboración propia

En el gráfico N° 40 indica un 57% afirmando que se prueba cada componente de

forma unitaria siguiendo el plan de pruebas. Si se detecta un fallo de especificación

o diseño, el proyecto se actualizará según procedimiento establecido

niega dicho enunciado. Y por último un 14% que no sabe no opina.

4.41 Pregunta N° 41

N° 41. Procedimientos de migración y carga inicial de datos.

Fuente: Elaboración propia

57%29%

14%

¿Se prueba cada componente de forma unitaria siguiendo el plan de pruebas. Si se

detecta un fallo de especificación o diseño, el proyecto se actualizará según el

procedimiento establecido para ello?

a)SI b)NO c)No Sabe No Opina

29%

57%

14%

¿Se realiza codificación, prueba de los componentes y procedimientos de migración y

carga inicial de datos?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

En el gráfico N° 40 indica un 57% afirmando que se prueba cada componente de

Si se detecta un fallo de especificación

o diseño, el proyecto se actualizará según procedimiento establecido. Por el

niega dicho enunciado. Y por último un 14% que no sabe no opina.

N° 41. Procedimientos de migración y carga inicial de datos.

Page 101: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

En el gráfico N° 41 indica que entre el 14% que no sabe y no opina y

dice que no se realiza codificación ni pruebas ni mucho menos migración y carga

inicial de datos. Por el contrario el 29% afirma dicha interrogante. Si se realiza la

codificación, prueba de componentes y se realiza procedimientos de migración y

carga inicial de datos al nuevo sistema.

Gráfico

En el gráfico N° 42 indica al 100% la aceptación de l nuevo sistema por parte de los

usuarios. Pero dicha aceptación

¿El sistema debe ser aceptado formalmente por los usuarios antes de ser puesto en ejecución

CarreraSistemas Computacionales

101 Bach. Arturo Fernando Granados Rodríguez

En el gráfico N° 41 indica que entre el 14% que no sabe y no opina y

dice que no se realiza codificación ni pruebas ni mucho menos migración y carga

inicial de datos. Por el contrario el 29% afirma dicha interrogante. Si se realiza la

codificación, prueba de componentes y se realiza procedimientos de migración y

carga inicial de datos al nuevo sistema.

4.42 Pregunta N° 42

Gráfico N° 42. Aceptación formal del sistema.

Fuente: Elaboración propia

En el gráfico N° 42 indica al 100% la aceptación de l nuevo sistema por parte de los

usuarios. Pero dicha aceptación no es documentada.

100%

¿El sistema debe ser aceptado formalmente por los usuarios antes de ser puesto en ejecución

total?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

En el gráfico N° 41 indica que entre el 14% que no sabe y no opina y el 29% que

dice que no se realiza codificación ni pruebas ni mucho menos migración y carga

inicial de datos. Por el contrario el 29% afirma dicha interrogante. Si se realiza la

codificación, prueba de componentes y se realiza procedimientos de migración y

En el gráfico N° 42 indica al 100% la aceptación de l nuevo sistema por parte de los

Page 102: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

Gráfico

En el gráfico N° 43 indica que el 86% niega que exi sta un plan de formación y

aceptación del nuevo sistema, por el contrario el

Gráfico

¿Existe un plan de formación y aceptación?

¿Los usuarios reciben capacitación necesaria y tienen toda la documentación, fundamentalmente

CarreraSistemas Computacionales

102 Bach. Arturo Fernando Granados Rodríguez

4.43 Pregunta N° 43

Gráfico N° 43. Plan de formación y aceptación.

Fuente: Elaboración propia

En el gráfico N° 43 indica que el 86% niega que exi sta un plan de formación y

aceptación del nuevo sistema, por el contrario el 14% afirma dicha pregunta.

4.44 Pregunta N° 44

Gráfico N° 44. Capacitación a usuarios.

Fuente: Elaboración propia

14%

86%

¿Existe un plan de formación y aceptación?

a)SI b)NO c)No Sabe No Opina

100%

¿Los usuarios reciben capacitación necesaria y tienen toda la documentación, fundamentalmente

manuales de usuario?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

En el gráfico N° 43 indica que el 86% niega que exi sta un plan de formación y

14% afirma dicha pregunta.

Page 103: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

En el gráfico N° 44 indica que el 100% afirma que s e capacita a los usuarios y se

les proporciona manual de usuarios.

Gráfico

En el gráfico N° 45 indica que existe el 57% afirma que el procedimiento de

mantenimiento se realiza a fin de facilitar la gestión de cambios. En cambio el 43%

niega dicha existencia.

¿Existe un procedimiento de mantenimiento a fin de facilitar la gestión de cambios?

CarreraSistemas Computacionales

103 Bach. Arturo Fernando Granados Rodríguez

En el gráfico N° 44 indica que el 100% afirma que s e capacita a los usuarios y se

les proporciona manual de usuarios.

4.45 Pregunta N° 45

Gráfico N° 45. Procedimientos de mantenimiento.

Fuente: Elaboración propia

En el gráfico N° 45 indica que existe el 57% afirma que el procedimiento de

mantenimiento se realiza a fin de facilitar la gestión de cambios. En cambio el 43%

57%

43%

¿Existe un procedimiento de mantenimiento a fin de facilitar la gestión de cambios?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

En el gráfico N° 44 indica que el 100% afirma que s e capacita a los usuarios y se

N° 45. Procedimientos de mantenimiento.

En el gráfico N° 45 indica que existe el 57% afirma que el procedimiento de

mantenimiento se realiza a fin de facilitar la gestión de cambios. En cambio el 43%

Page 104: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Bach. Arturo Fernando Granados Rodríguez

Gráfico

En el gráfico N° 46 señala entre el 57% que dice no a la pregunta y el 29% que no

sabe no opina; se tiene un gran desconocimiento acerca de

Por el contrario sólo el 14% afirma que se revisa periódicamente el nivel de servicio

para monitorizar el grado de cumplimiento.

Gráfico

¿Se revisa periódicamente el nivel de servicio para monitorizar su grado de cumplimiento?

¿Las peticiones de mantenimiento se presentan de forma estándar, para permitir su clasificación y facilitar la identificación del tip o

CarreraSistemas Computacionales

104 Bach. Arturo Fernando Granados Rodríguez

4.46 Pregunta N° 46

Gráfico N° 46. Monitorear nivel de servicio.

Fuente: Elaboración propia

En el gráfico N° 46 señala entre el 57% que dice no a la pregunta y el 29% que no

sabe no opina; se tiene un gran desconocimiento acerca del monitoreo del servicio.

Por el contrario sólo el 14% afirma que se revisa periódicamente el nivel de servicio

para monitorizar el grado de cumplimiento.

4.47 Pregunta N° 47

Gráfico N° 47. Peticiones de mantenimiento.

Fuente: Elaboración propia

14%

57%

29%

¿Se revisa periódicamente el nivel de servicio para monitorizar su grado de cumplimiento?

a)SI b)NO c)No Sabe No Opina

12%

50%

38%

¿Las peticiones de mantenimiento se presentan de forma estándar, para permitir su clasificación y facilitar la identificación del tip o

de mantenimiento requerido?

a)SI b)NO c)No Sabe No Opina

Carrera de Ingeniería de istemas Computacionales

En el gráfico N° 46 señala entre el 57% que dice no a la pregunta y el 29% que no

l monitoreo del servicio.

Por el contrario sólo el 14% afirma que se revisa periódicamente el nivel de servicio

Page 105: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

105 Bach. Arturo Fernando Granados Rodríguez

En el gráfico N° 47 entre el 50% que dice no a la p regunta y el 38% que no sabe no

opina; se tiene un gran desconocimiento acerca de las peticiones de

mantenimiento. Por el contrario sólo el 12% afirma que las peticiones de

mantenimiento se presentan de forma que permite su clasificación e identificación

del tipo de mantenimiento.

Page 106: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

106 Bach. Arturo Fernando Granados Rodríguez

Capítulo VI:

DISEÑO DE CONTRASTACIÓN

Page 107: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

107 Bach. Arturo Fernando Granados Rodríguez

VI. Diseño De Contrastación La verificación será lógica, pues es la prueba de coherencia de los enunciados según la literatura consultada. Se utilizará Investigación Ex post-facto, la cual es el estudio de los fenómenos que ya se han producido. La población de estudio está constituida por 7 miembros del staff del área de sistemas. La muestra está representada por los 7 empleados.

Por lo tanto, se ha determinado que el tamaño de la muestra para la presente investigación es de 7 miembros del staff a quienes se aplicó la encuesta de Auditoría de Sistemas de Información.

Formalización:

X M2

Figura N° 15: Diseño de Contrastación

Fuente Propia donde, X : Aplicación de la Auditoría del desarrollo de sistemas.

M2: Situación problemática después de la aplicación de la Auditoría del desarrollo de sistemas de información.

A través de la aplicación de la Auditoría se contrastará con la hipótesis Al finalizar la presente investigación se analiza M2, para determinar la validez de la hipótesis, con el planteamiento de los mejoras del desarrollo de sistemas de información. La solución está referida a una serie de recomendaciones que debe seguir el Gobierno Regional de Cajamarca., siendo la principal establecer una metodología para el desarrollo de sistemas de información, El uso de una

Área de

Sistemas – CIS

Post – Test Sin grupo de control

Page 108: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

108 Bach. Arturo Fernando Granados Rodríguez

metodología sería muy eficiente pues se estaría desarrollando sistemas de información conforme a un estándar.

Page 109: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

109 Bach. Arturo Fernando Granados Rodríguez

Capítulo VII:

CONCLUSIONES Y RECOMENDACIONES

Page 110: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

110 Bach. Arturo Fernando Granados Rodríguez

VII. CONCLUSIONES Y RECOMENDACIONES

7.1 CONCLUSIONES

No se cumple con los estándares y normas de control interno en el desarrollo de

sistemas de información.

La metodología evaluada en el desarrollo de sistemas de información no es la

adecuada, pues se realiza de manera muy informal y empírica.

La identificación de las fases de la metodología no son las correctas. Fases

importantes como la gestión de proyectos software no son tomadas en cuenta.

La evaluación de la adecuación entre el proceso de desarrollo y los objetivos de la

institución no son óptimos.

No cumplen con normas de seguridad e integridad de datos, ni tampoco el control

de cambios.

Falta de comunicación entre el staff.

Falta de documentación crítica en casi todas las fases del proyecto software.

7.2 RECOMENDACIONES

1. Establecer una metodología para el desarrollo de sistemas de información, El

uso de una metodología sería muy eficiente pues se estaría desarrollando

sistemas de información conforme a un estándar.

2. Establecer e incluir las siguientes fases en el proyecto software: gestión de

proyectos, viabilidad del proyecto, análisis, diseño, programación o construcción,

implantación y aceptación y mantenimiento de software.

3. Establecer un control interno y así de esta manera mejorar el área de sistemas.

Page 111: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

111 Bach. Arturo Fernando Granados Rodríguez

4. Implementar una gestión de comunicación entre el staff.

5. Implementar un proceso de documentación adecuada de todos los procesos de

desarrollo y que todo el personal tenga acceso.

6. Cumplir con lo establecido de las normativas ISO y Métricas aplicadas sobre la

metodología de desarrollo de sistemas de información.

7. Dar continua capacitación especializada en temas específicos de Desarrollo de

Sistemas de Información a todo el staff.

8. Realizar regularmente copias de seguridad de la información esencial de la

entidad, además del software en concordancia con políticas institucionales.

9. Realizar investigaciones acerca de auditorías informáticas que permitan tener un

eficiente control interno.

10. La presente investigación se realizó con el diseño de Investigación ex-post-facto,

para futuras investigaciones se podría tomar como diseño de la investigación pre

test y post test.

Page 112: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

112 Bach. Arturo Fernando Granados Rodríguez

Capítulo VIII:

REFERENCIAS BIBLIOGRÁFICAS

- ANEXOS

Page 113: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

113 Bach. Arturo Fernando Granados Rodríguez

VIII. REFERENCIAS BIBLIOGRÁFICAS

Tesis: Tes [01]: CHÁVEZ GARCÍA, Gissela Karina. “Auditoría Informática Aplicada

al Sistema Integrado de Gestión Comercial, Comercializadora y Distribuidora Jiménez S.A. de la Empresa Distribuidora Codijisa- Trujillo”. [Tesis para optar el Título Profesional de Ingeniero de Sistemas]. Trujillo: Universidad Privada del Norte. 2004

Tes [02]: VILLANUEVA SÁNCHEZ, Grover Eduardo. “Sistema de Gestión

Estratégica aplicando el Enfoque Sistémico y las Tecnologías de la Información para lograr Ventajas Competitivas en el Instituto Nacional de Cultura de La Libertad”. [Tesis para optar el Título Profesional de Licenciado en Administración]. Trujillo. Universidad César Vallejo. 2008

Tes [03]: XILOJ CHARUC, Francisco Dagoberto. “Auditoría Externa en un

Ambiente de Sistemas de Información Computarizado en el Área de Ingresos de una Empresa Comercializadora de Vehículos”. [Tesis para optar el Título Profesional de Contador Público y Auditor]. Guatemala. 2008

Libros: Lib [01] BURCH & GRUDNITSKI, “Diseño de Sistemas de Información –

Teoría y Práctica”, Editorial Limusa, 1996 Lib [02] STAIR, Ralph M. “Principios de SISTEMAS DE INFORMACION –

Enfoque Administrativo”, Internacional Thomson Editores S.A., 1999 Lib [03] LAUDON, Kenneth C. & LAUDON, Jane P. “Sistemas De

Información Gerencial”, Pearson Educación S.A. de C.V., 2004 Lib [04] FERNANDEZ ALARCON, Vinceç. “Desarrollo de Sistemas De

Información – Una metodología basada en el modelado”, Ediciones UPC., 2006

Lib [05] MUÑOZ RAZO, Carlos. “Auditoría en Sistemas Computacionales”,

Pearson Educación de México. Lib [06] PIATTINI VELTHUIS, Mario, DEL PESO NAVARRO, Emilio DEL

PESO RUÍZ, Mar. “Auditoría de Tecnologías y Sistemas de Información”, Editorial Ra-Ma, 2008.

Page 114: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

114 Bach. Arturo Fernando Granados Rodríguez

Lib [07] TAMAYO ALZATE, Alonso. “Auditoría de Sistemas – Una visión práctica”, Universidad Nacional de Colombia Sede Manizales, 2001

Lib [08] Universidad de Buenos Aires. “Manual de Procedimientos de

Auditoría Interna” [en línea]. Buenos Aires. [Fecha de acceso 08 de abril 2012]. URL disponible en http://www.uba.ar/download/institucional/informes/manual.pdf

Direcciones Electrónica – Páginas Web: URL [1]: INSTITUTO NACIONAL DE ESTADÍSTICA E INFORMÁTICA (INEI)

¿QUÉ ES LA AUDITORÍA INFORMÁTICA? [En línea] [Fecha de acceso 08 de abril 2012]. URL disponible en

http://www1.inei.gob.pe/biblioineipub/bancopub/Inf/Lib5105/Libro. URL [2]: Oficina Nacional de Gobierno Electrónico e Informática (ONGEI)

Auditoría de Sistemas [En línea] [Fecha de acceso 08 de abril 2012]. URL disponible en http://www.ongei.gob.pe/publica/metodologias/Lib5002/libro.htm

URL [3]: Oficina Nacional de Gobierno Electrónico e Informática (ONGEI)

Auditoría de Sistemas [En línea] [Fecha de acceso 08 de abril 2012]. URL disponible en http://www.ongei.gob.pe/publica/metodologias/Lib5002/libro.htm

URL [4]: Desarrollo ágil de Software [En línea] [Fecha de acceso 08 de abril 2012]. URL disponible en http://es.wikipedia.org/wiki/Desarrollo_%C3%A1gil_de_software

URL [5]: Historia de ISACA [En línea] [Fecha de acceso 08 de abril 2012].

URL disponible en

http://www.isaca.org/About-ISACA/History/Espanol/Pages/default.aspx

Diapositivas: PPT [1]: Mg. Ing. Alberto Mendoza De los Santos. Auditoría de Sistemas.

[Diapositiva]. Cajamarca: Universidad Privada del Norte; 2009. 19 diapositivas.

PPT [2]: Mg. Ing. Alberto Mendoza De los Santos. Control Interno. [Diapositiva].

Cajamarca: Universidad Privada del Norte; 2009. 44 diapositivas.

Page 115: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

115 Bach. Arturo Fernando Granados Rodríguez

ANEXOS

Page 116: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

116 Bach. Arturo Fernando Granados Rodríguez

IX. HALLAZGOS DE AUDITORÍA

A continuación de enumeran los principales hallazgos después de haber aplicado la

Auditoría del desarrollo de sistemas de información:

1. Hallazgos de Auditoría de la Organización y Gestió n del Área de

Sistemas:

• No existen responsabilidades y roles correctamente establecidos,

formalizados, documentados. Además No son ejecutados por personal

con la suficiente formación y experiencia en la materia.

• No están disponibles un número suficiente de libros, publicaciones

periódicos, monografías de reconocido prestigio, ya sea en formato

electrónico o papel. Casi todo el personal no tiene acceso a ellos.

• No existe una gran rotación de personal.

• El Plan Estratégico se revisa pero No se actualiza con periodicidad en

función de las nuevas situaciones.

• La documentación relativa a cada proyecto que existe en el plan

estratégico No se pone a disposición del director de proyecto una vez

comenzado el mismo.

• No existe un catálogo de problemas.

• Existe plan de calidad, pero No existen ni se ejecutan actividades de

mejora continua.

• No se realizan informes ejecutivos periódicamente sobre la calidad de

los Sistemas de Información.

• No están definidas métricas de calidad.

• No existe repositorio o catálogo.

• No existen actividades de mejora continua según los estándares de

calidad.

• No existe un diccionario de datos institucional con las reglas de sintaxis

de la organización.

2. Hallazgos de Auditoría de la gestión y planificació n del proyecto:

• No existe una periodicidad de reunión mínima.

• No existen hojas de registro de problemas y no existe alguna persona

del proyecto encargada de su recepción.

• No existe método para catalogar y dar prioridad a los problemas.

Page 117: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

117 Bach. Arturo Fernando Granados Rodríguez

• No existe un mecanismo para registrar los cambios que pudieran

producirse.

• No se respetan los límites temporales y presupuestarios marcados al

inicio del proyecto.

• No se notifica el cambio a todas las personas que participen en el

proyecto y se ven afectados.

• La documentación NO cumple los estándares y procedimientos

establecidos en el área.

• La documentación del proyecto No es completa y tampoco está

catalogada perfectamente para accesos posteriores.

3. Hallazgos de Auditoría de la Fase de Estudio de Via bilidad:

• No se ha realizado un plan detallado de entrevistas con el grupo de

usuarios.

4. Hallazgos de Auditoría de la Fase de Análisis:

• No se remite el guión a los entrevistados con tiempo suficiente para que

estos puedan preparar la entrevista y la documentación que deseen

aportar a la misma.

• No existe un catálogo de requisitos.

• La interfaz de usuario NO se ha aprobado por el grupo de usuarios.

5. Hallazgos de Auditoría de la Fase de Diseño:

• No existe un catálogo de excepciones, de requisitos, normas y

estándares.

• No se actualiza el plan de proyecto según los criterios de dirección y se

registra la aprobación del mismo.

6. Hallazgos de Auditoría de la Fase de Construcción:

• No se han preparado los procedimientos de copia de seguridad y

restauración.

• No se documentan todos los procedimientos de operación, seguridad y

control de acceso al SI para cuando el sistema este en explotación.

• No se generan informes de pruebas de sistema y no se ahn evaluado

las pruebas.

Page 118: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

118 Bach. Arturo Fernando Granados Rodríguez

7. Hallazgos de Auditoría de la Fase de Implantación y Aceptación:

• No existe un periodo de funcionamiento en paralelo de los dos sistemas,

hasta que el nuevo sistema este funcionando con todas las garantías.

• No existe mecanismo de mantenimiento aprobado por el director de

proyecto.

8. Hallazgos de Auditoría de la Fase de Mantenimiento:

• No existe un el plan para la gestión del mantenimiento de los Sistemas

de Información.

• No existe un catalogo de problemas ni de peticiones de mantenimiento

sobre los sistemas de información.

• No se realizan peticiones de cambios y/o mantenimiento.

• No se realiza informe de la evaluación del cambio para su posterior

aprobación.

9. Aplicativos informáticos que administra el Gobierno Regional Cajamarca:

N° Denominación Descripción

1. Sistema de Aplicaciones

Regionales

Sistema Integrado para la administración

de datos de las diferentes áreas y sectores

del gobierno regional; siendo estas:

personal, planillas, visitar, inventario

informático.

2. Sistema de Abastecimiento Para el control de requerimientos, órdenes

de compra, servicios, pecosas y almacén.

3. Sistema de Gestión Documentaria Para el registro, control y seguimiento de la

documentación a nivel regional.

Tabla N° 08: Aplicativos informáticos Gobierno Regi onal Cajamarca

Fuente: Centro de Información y Sistemas

10. Documentación de los Aplicativos:

- Manual de Usuario: Sí (Desactualizado), el Modulo de Planillas del

sistema SAR no cuenta con manual de usuarios. - Manual Técnico: NO - Diccionario de Datos: SI, pero solo actualizado al 2010.

11. Ausencia de una metodología en el desarrollo de sistemas de información.

Page 119: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

119 Bach. Arturo Fernando Granados Rodríguez

12. Ausencia de copias de seguridad o respaldo (backup) de la información

esencial de la entidad y de los aplicativos informáticos que pondrían en

riesgo la integridad de la información.

13. La gestión del cambio en los sistemas informáticos no se encuentra

documentada, lo cual no permite el control y seguimiento de las

actualizaciones y podría afectar la continuidad de las operaciones de la

entidad.

Los requerimientos en mención se realizan verbalmente o a través de correo

electrónico, denotándose la ausencia de documentos que permitan rastrear

las modificaciones.

14. Datos duplicados, inconsistentes, incompletos o de pruebas en la base de

datos de producción del Sistema de Aplicaciones Regionales, esto limita el

uso y explotación y afecta directamente la confiabilidad de la información.

Se constató la presencia de datos inconsistentes, incompletos o de pruebas

tal como se muestra:

Figura N° 16: Datos inconsistentes en la base de da tos

Fuente: Centro de Información y Sistemas

15. No se realiza control de versiones de los códigos fuentes, ejecutables de los

sistemas informáticos, lo cual no permite identificar los cambios o

actualizaciones correspondientes a cada versión del sistema software.

Page 120: 1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

Carrera de Ingeniería de Sistemas Computacionales

120 Bach. Arturo Fernando Granados Rodríguez

16. Desactualización y, en algunos casos, ausencia de documentos que

orienten y uniformicen los procesos de mantenimiento, administración y uso

de los aplicativos.

Esto dificulta la compresión y uso de la información, generando riesgos de

errores y omisiones.