MODELO DE INFORME DE AUDITORIA DE SISTEMAS (SOLO TOMAR COMO REFERENCIA)

DATOS GENERALES OBJETIVO ALCANCE: DEL PROCESO REQUERIMIENTOS DE CALIDAD ACTIVIDADES DESARROLLADAS TECNICAS UTILIZADAS EN EL PROCESO DE AUDITORIA FUENTES DE INFORMACION PROCEDIMIENTOS OBSERVACIONES EVALUACION DE DESCARGOS CONCLUSIONES Y RECOMENDACIONES PAPELES DE TRABAJO

2 Nombre de la Empresa XXXXX INFORME TCNICO N 0xxx-2009/ XYX XXXX

: CARGO [NOMBRES ] OFICINA DE CONTROL INTERNO DE XXXXXX : Informe Tcnico N XXXXX / XXX- XXX

ASUNTO

REFERENCIA : Contrato de locacin de servicios N XXX-2009-XX Examen de Auditoria a xxxxxxxxxxxxxxxxxx de las OFICINAS DE XXXXX TACNA. FECHA : Tacna, XXX de XXX del 2009

I.

DATOS GENERALES

OBJETIVO 01.- Verificar la confiabilidad de la base de datos de XXXXX DEL SISTMEMA XXXXXX DE LA XXXX. ALCANCE: Para la realizacin del presente examen se reviso los Sistemas XXXXX, YYYY De las OFICINAS DE XXXX, EN LOS LPERIODOS XXXXX Y YYYYY, INFORMACION QUE FUE PROORCINADA POR: XXXX Y XXYY Los datos utilizados fueron: Base de datos XXXX DE: XXX. Base de datos DE YYYYY DE YYYY Datos que se utilizaron para XXXXX

A su vez, y en consistencia con el objetivo referido en el punto anterior, se evalu XXXX LIMITANDOSE EL ALCANCE A: XXXXX LA REALIZACION DEL EXAMEN SE TOMO EN CUENTA LA NORAMTIVAIDAD DE: Contralora general de la Republica (Normas de control interno TIC y Normas Tcnicas Peruanas), compendio de normas informticas del Per, Directivas de Auditoria, Manual de organizacin y Funciones de XXXX, Reglamento de organizacin y funciones (ROF) de XXX, Norma Tcnica Peruana ISO-17799, Norma Tcnica Peruana Tecnologa de Informacin Procesos del Ciclo de vida del Software ISO-EIC 12207, Estndares de buenas practicas de Tecnologas de Informacin ISACA (information system audit. And control association), ITIL Information Technology Infrastructure LibrarY. SE ADJUNTA DOCUMENTACION UTILIZADA (CDROM) O IMPRESA

LA FECHA DE REALIZACION DEL TRABAJO DE AUDITORIA: DEL XXX AL XXXX.

3 Nombre de la Empresa XXXXX II. DEL PROCESO Para la realizacin del Examen DE AUDITORIA DE XXXXX DE LA OFICINA XXXX DE TACNA SE UTILIZO LA NORMATIVIDAD XXX. LO QUE MOTIVA A REALIZACION DEL PRESENTE TRABAJO EJEMPLO: CAMBIOS DE LA TECNOLOGIA TICS, DEBILIDADES Y DEFICIENCIAS EN CONFIABILIDAD. (PROPIEDADES DE BD) ENTIDADES QUE SON TOMADAS EN CUENTA PARA EL MEJOR CUMLPLIMIENTO DE LOS OBJETIVOS. OTROS ESTANDARES ISACA , COBIT, MEJORES PRACTICAS, GOBIERNO DE TI, CONTROLES, ASEGURAMIENTO. REFERENCIAS DE VERSIONES DE MATERIAL UTILIZADO, POR EJEMPLO COBIT, OTROS. COSO

REQUERIMIENTOS DE CALIDAD: CALIDAD, COSTO , ENTREGA, CUMPLIMIENTO OTROS SEGN XXX CONFIABILIDAD, I NTEGRIDAD, DISPONIBILIDAD EFECTIVIDAD EFICIENCIA.

OTROS: MOF, ROF, SEGN RESLUCION XXX DE FECHA XXXX. APROBADO XXX

ACTIVIDADES DESARROLLADAS Para el cumplimiento de los objetivos propuestos, se desarrollo las siguientes actividades: a) b) c) d) e) f) Revisin de la documentacin : SEGN INFORME XXX SE SOLICITO XXXX ANALIZAR XXXX Analizar y conocer las tablas XXXXXXXXX Conocer la funcionalidad XXXXXXX Reuniones de trabajo y entrevistas CON XXXX Revisin de los datos entregados por XXXX

TCNICAS UTILIZADAS EN EL PROCESO DE AUDITORIA DE BASE DE DATOS Las tcnicas que se utilizaron : POR EJEMPLO: VERBALES, OCULARES DOCUMENTALES.. (EXPLAYARSE UN POCO) METODOS APLICADOS: ESTADISTICOS, COMO SE LLEGARON A LAS CONCLUSIONES, HERRAMIENTAS, LENGUAJES QUE SE USARON: (SOFTWARE , LENGUAJES, ETC)

III.

FUENTES DE INFORMACION

Para el cumplimiento de los objetivos y la realizacin del Proceso. La Oficina de Control Interno solicito mediante Informe N xxxxx al Jefe de rea de Informtica Sr. Xxxxxx de la Oficina xxxxx

4 Nombre de la Empresa XXXXX de xxxxxx, la informacin requerida xxxxxxxxxxxxx, de las bd, recepcionados con con Informe N xxxxxI en CD conteniendo archivos en formato portable. El sistemas xxxx de las OFICINAS XXXXX. CARACTERISTICAS DE ESTAS DONDE SE ENCUENTRAN LOS CDS, CON NUMERO XXXXXX CARACTERISTICAS COPIAS Y SE TRABAJO EN TALES CARPETAS DEL DISCO C:\ XXX COMO SE MUESTRA A CONTINUACION

Cuyos archivos son: _XXXX DESCRIPCION DE LOS ARCDHVOS (QUE COTNTIENEN) SE TRABAJO CON INFORMACION PROPORCIONADA POR: XXXX

5 Nombre de la Empresa XXXXX

OTRAS TABLAS QUE SE TRABAJRON Tablas principales del Sistema XXXX DE OFICINA XX

IDUAL SI HAY MAS

Fuente: Informacin proporcionada por la oficina de informtica. O XXX DESCRIPCIOND E LA IFNORMACION PROPORCIONADA TABLAS

Los cuales no fueron tomados en cuenta para el anlisis, por ser en mismo formado entregado anteriormente.

IV.

PROCEDIMIENTOS

6 Nombre de la Empresa XXXXX

Para el cumplimiento de los objetivos propuestos se consideraron los siguientes procedimientos desarrollados en los papeles de trabajo. 1a.-Evaluar la informacin XXXXX De la informacin proporcionada por el rea de Informtica: tabla de ingresos, y de la informacin proporcionada por el rea de XXXXX DE LOS AOS XXX QUE SE REALIZO DETALLES EN PAPELES DE TRABAJO EN TAL CARPETA

OBSERVACION xx: DEFICIENTES PROCESOS EN COPIAS DE RESPALDO DE INFORMACIN QUE HA PROPICIADO PERDIDA DE INFORMACIN HISTORICA GENERANDO VULNERABILIDAD ANTE CUALQUIER CONTINGENCIA.

Se reviso: xxx xxx

CRITERIO Se ha transgredido Son funciones de la Oficina de Informtica, segn resolucin N xxx de fecha XXXX aprueba el Manual de Organizacin y Funciones de la EMPRESA XXX Articulo 27: La oficina de Informtica presenta las siguientes funciones generales: a) Ejecutar los lineamientos de la poltica informtica del Sistema b) Organizar y administrar el Centro de Computo de la XXXX de hardware, software, base de datos y comunicaciones. C) Ejecutar los procedimientos de seguridad , contingencias y respaldo (backup) de toda la data. Se incumple: La norma Tcnica Peruana NTP ISO/EC-17799 Norma Tcnica Peruana de Tecnologas de Informacin, cdigo de buenas practicas para la gestin de seguridad de informacin. Primera edicin del 27 de marzo del 2004

7 Nombre de la Empresa XXXXX

Capitulo 8: Gestin de comunicaciones y operaciones, se establece en el: Punto 8.4. Gestin interna de respaldo y recuperacin Punto 8.4.1 Recuperacin de la informacin a) Se debera almacenar un nivel mnimo de informacin de respaldo, junto a registros exactos y completos de las copias de seguridad y a procedimientos documentados de recuperacin, a una distancia suficiente para evitar todo dao por desastre en el local principal. Se retendrn como mnimo tres generaciones o ciclos de informacin de respaldo para las aplicaciones importantes del negocio. b) Se debera dar a la informacin de respaldo un nivel adecuado de proteccin fsica y del entorno (vase el captulo 7), un nivel consistente con las normas aplicadas en el local principal. Se deberan extender los controles y medidas aplicados a los medios en el local principal para cubrir el local de respaldo. c) Los medios de respaldo se deberan probar regularmente, donde sea factible, para segurar que son fiables cuando sea preciso su uso en caso de emergencia. d) Se deberan comprobar y probar regularmente los procedimientos de recuperacin para asegurar que son eficaces y que pueden cumplirse en el tiempo establecido por los procedimientos operativos de recuperacin. Se deberan determinar el periodo de retencin de la informacin esencial del negocio as como los requisitos de archivo de copias a retener permanentemente. como dice en el punto 12 que establece: El capitulo 12 CUMPLIMIENTO, establece que en el punto 12.1 Ostin interna de respaldo y recuperacin 12.1.3 Salvaguarda de los registros de la organizacin Se deberan proteger los registros importantes de la organizacin frente a su prdida, destruccin y falsificacin. Es necesario guardar de forma segura ciertos registros, tanto para cumplir ciertos requisitos legales o regulatorios, como para soportar actividades esenciales del negocio. Por ejemplo, los registros que puedan requerirse para acreditar que la organizacin opera dentro de las reglas estatutarias o regulatorias, para asegurar una defensa adecuada contra una posible accin civil o penal, o bien para confirmar el estado financiero de la organizacin respecto a los accionistas, socios y auditores. La legislacin nacional u otros reglamentos suelen establecer el plazo y contenido de la informacin a retener. Se deberan elegir los sistemas de almacenamiento de datos para que stos puedan recuperarse de manera aceptable por un tribunal, por ejemplo, todos los registros requeridos se puedan recuperar en un tiempo y un formato aceptables. El sistema de almacenamiento y utilizacin debera asegurar una identificacin clara de los registros y de su periodo de retencin legal o regulatorio. Esto debera permitir la destruccin apropiada de los registros tras dicho periodo cuando ya no los necesite la organizacin. Para dar cumplimiento a stas obligaciones la organizacin debera dar los pasos siguientes: a) se debera publicar guas sobre la retencin, almacenamiento, tratamiento y eliminacin de los registros y la informacin; b) se debera establecer un calendario de retenciones que identifique los perodos para cada tipo esencial de registros; c) se debera mantener un inventario de las fuentes de informacin clave; d) se deberan implantar los controles y medidas apropiadas para la proteccin de los registros y la informacin esencial contra su prdida, destruccin o falsificacin. Respecto a plan de contingencias:

8 Nombre de la Empresa XXXXX Resolucin de Contralora General N 320-2006-CG Publicado 3/11/2006, el Contralor General (e) aprueba Normas de Control Interno, y CAPITULO 3. NORMA GENERAL PARA LAS ACTIVIDADES DE CONTROL GERENCIAL, establece las TICs en el punto 3.10. Controles para las Tecnologas de la Informacin y Comunicaciones 3.10. Controles para las Tecnologas de la Informacin y Comunicaciones Comentarios: en el punto 5. Los controles de aplicacin Controles para el rea de soporte tcnico, en el mantenimiento de mquinas (hardware), licencias (software), sistemas operativos, utilitarios (antivirus) y bases de datos. Los controles de seguridad deben proteger al sistema en general y las comunicaciones cuando aplique, como por ejemplo redes instaladas, intranet y correos electrnicos. 07 Para el adecuado ambiente de control en los sistemas informticos, se requiere que stos sean preparados y programados con anticipacin para mantener la continuidad del servicio. Para ello se debe elaborar, mantener y actualizar peridicamente un plan de contingencia debidamente autorizado y aprobado por el titular o funcionario designado donde se estipule procedimientos previstos para la recuperacin de datos con el fin de afrontar situaciones de emergencia.

CAUSA El personal de Informtica no le ha dado la importancia a las copias de seguridad (back up) al no cumplir con las disposiciones dadas por la XXXX DE XXXX en el proceso de resguardo de la informacin, como son: estrategias para el resguardo de copias de seguridad con consideraciones alternativas; carencia de dispositivos de almacenamientos oportunamente(tape backup); mantenimientos preventivos de equipos tape backup y la custodia externa de backups mensuales. EFECTO Se ha evidenciado la perdida de archivos backup de los periodos:XXXX al XXXX en las Oficinas XXXXXXXXXXX, perdiendo la XXXX, informacin histrica relevante. CONCLUSIN No se tiene copias de seguridad en periodos importantes

RECOMENDACIONES Al Jefe Zonal, 1. Propiciar convenios con alguna Institucin paralela o entidad Bancaria, para la custodia externa de backups de la XXXX. 2. Disponer al Jefe del rea de Informtica La implementacin de un registro del personal que utiliza cintas de backup de aos anteriores, a fin de salvaguardar la integridad de las mismas. Planificar estrategias de seguridad para el resguardo de la informacin BACKUP. (plan de trabajo, mantenimiento de equipo, stock de cintas y las funciones de personal)

9 Nombre de la Empresa XXXXX Anexo 01: Control de Cintoteca Cintas mensuales de copias de Seguridad de las Oficinas XXXX Informe XXXX

1b- XXXXX IGUAL

1c1d- Verificar cumplimiento de Plan Estratgico de Tecnologas de Informacin y Plan de contingencias, seguridad de red data. XXXXXXXXX

V. OBSERVACIONES Se encontraron las siguientes Observaciones (solo se mencionan las cabeceras de las Observaciones) OBSERVACION 2 IRRESPONSABILIDAD FUNCIONAL EN EL REGISTRO, REVISION Y CONTROL DE TABLAS DE AUDITORIA DEL SISTEMA XXXXX, A PROPICIADO FALTA DE REGISTRO EN PERIODOS IMPORTANTES, HACIENDO VULNERABLE LA BASE DE DATOS, SIN PODER CONTAR CON PISTAS DE AUDITORIA PARA EL RASTREO DE IDENTIFICACIN. CAUSA: OBSERVACION 3 XXXXXXXXXXXX OBSERVACION 4 XXXXXXXXX OBSERVACION 5 XXXXXXX OBSERVACION 6 XXXXXXXXXXXXXX

VI.

EVALUACIN DE DESCARGOS

HALLAZGO 06 Comentario: Lo manifestado por el Sr. XXXXX, con el Informe N XXXX de fecha XXXXX, manifiesta: En el punto a) menciona que: ... XXXXXX

10 Nombre de la Empresa XXXXX

En otro prrafo, referente a los numerales X,X X, correspondientes a la Oficina de XXXX y los numerales XXXX correspondientes a la XXXX, manifiesta XXXXXXXXXXXX Evaluacin: De lo manifestado anteriormente en los puntos a), b), c) y d) reconoce conocer y haber utilizado las cuentas XXXXX corrobora lo encontrado. En el prrafo XXXX Por lo manifestado anteriormente, se desvirta su responsabilidad frente al conocimiento y utilizacin de las cuentas administrativas genricas. Siendo necesario considerar las observaciones en el Informe Final Responsabilidad: Desvirta su responsabilidad, por lo manifestado anteriormente.

Comentario: Respecto a lo manifestado por el Sr. XXXX, con el Informe N XXXX fecha XXXX manifiesta: XXXX En el punto II Anlisis de los hechos: Punto Primero

Evaluacin: Por lo mencionado anteriormente en los puntos primero y segundo, prrafo segundo admite haber utilizado las cuentas administrativas XXX,DETALLESXXXX Responsabilidad: No desvirta su responsabilidad bajo ningn sustento tcnico, frente a que conoca la y utilizo las cuentas XXXX para realizar operaciones de modificaciones, inserciones y eliminacin de registros en el SISTEMA XXX, por lo manifestado anteriormente. HALLAZGO XXXX Los Seores XXXX Comentario: Se comunico Evaluacin: . Responsabilidad: CONTROL INTERNO

VII.

CONCLUSIONES Y RECOMENDACIONES

CONCLUSIONES: De la evaluacin de Hallazgos en el mbito del Control existen debilidades a corregir polticas y procedimientos que deben ser diseados formalmente y controles que deben ser implementados: Por tablas de auditoria del sistema SIR RPV (Observacin 02): De las revisiones realizadas, existen periodos inactivos aos XXX. No se tomaron las medidas para corregir este inconveniente.

11 Nombre de la Empresa XXXXX Este hecho ha ocasionado que se pierda datos histricos en dichos aos para la institucin. Por Control de Calidad de Plizas (Observacin XX): XXXXX Por copias de respaldo (backup) (Observacin XXX: No se tiene copias de seguridad en periodos importantes aos XXXX

RECOMENDACIONES: Seguidamente se presenta una descripcin sinttica de medidas a instaurar en el marco de los controles: Por tablas de auditoria del sistema SIR RPV Observacin 02: A la Jefatura Zonal 1. Creacin de la funcin especifica en el MOF al especialista en Base de datos, con respecto a la administracin de servicios de auditoria de la BD, as como de estructuras y datos definidos como pistas de auditoria en los sistemas de informacin de la XXXXX a fin de que realice el seguimiento y control peridico adecuado. Al Jefe del rea de Informtica, Supervisar el Registro y Control de las tablas de auditoria, XXXX

12 Nombre de la Empresa XXXXX

VIII.

PAPELES DE TRABAJO

Respecto a los papeles de trabajo que se utilizaron para el examen de auditorial se encuentran distribuidos de la siguiente manera: Impresos en la xxx Formato Digital en un xxx Indicar en que carpetas del disco duro se encuentran Indicar en que carpetas del CDrom se encuentran capturando las pantallas

ANEXO: GLOSARIO DE TRMINOS