Capitulo Vi 0

“Análisis de Riesgos en los Sistemas de Información en la
Cooperativa de Ahorro y Crédito San Pío X - Cajamarca” Informática y de Sistemas –USP
6.1. DIRECCIONES ELECTRÓNICAS
 [URL 01] “La Auditoría al Sistema de Organización y Gestión

de la Seguridad Integral Como Técnica Para la Gestión de
Riesgos”
http://Monografias_com.htm
 [URL 02] “Autoritat de Certificación de la Comunitat

Valenciana: Proyecto de análisis y auditorías de seguridad
informática”
http://www.Autoritat de Certificación de la Comunitat
Valenciana.htm
 [URL 03] “¿Que es Análisis?”

http://espanol.answers.yahoo.com/question/index?
qid=20070807162754AA5nfim
 [URL 04] “Aplicación Informática”

http://es.wikipedia.org/wiki/Aplicaci%C3%B3n_inform
%C3%A1tica
 [URL 05] “La Información en el Proceso de Auditoría”

http://www.monografias.com/trabajos44/informatizacion-auditoria/
informatizacion-auditoria.shtml
 [URL 06] “Informe de Gestión de la SBS”

http://www.sbs.gob.pe/publica/memoria/memoria2122.htm
 [URL 07] “¿Qué es la Fenacrep?”

http://www.fenacrep.org/web/default.php?id=1
141
Bach. Díaz Tello, Angélica P. Bach. Ortiz Cueva, Fany R.
 [URL 08] “Introducción al desarrollo de los Sistemas de

Información”
http://www.geocities.com/SiliconValley/Pines/7894/sistemas/introd
uccion.html
 [URL 09] “Entidad Financiera”

http://www.creditosperu.com.pe/glentidadfinanciera.php
 [URL 10] “Red de Computadoras”

http://es.wikipedia.org/wiki/Red_de_computadoras
 [URL 11] “¿Qué es el Riesgo?”

www.eird.org/fulltext/riesgolandia/booklet-spa/page9-spa.pdf
 [URL 12] “Sistema Bancario”

http://www.financiero.com/diccionario_financiero/sistema-bancario
.asp
 [URL 13] “Sistema Informático”

http://www.monografias.com/trabajos48/sistema-informatico-onta
ble /siste ma-informatico-contable2.shtml
 [URL 14] “Análisis de Riesgos”

http://www.audea.com/servicios_auditoria_analisisriesgos.aspx
 [URL 15] “La Administración de Riesgos Empresarial en el

contexto actual del Control Interno”
www.nodo50.org/cubasigloXXI/economia/gcueto_311206.pdf
 [URL 16] “Sistema Financiero”

http://www.gestiopolis.com/canales5/fin/sistefinan.htm#mas-autor
142
 URL 17] “Un Balance del Sistema Financiero Peruano para el

año 2006”
www.cies.org.pe/files/active/0/RivasLlosa.pdf
 [URL 18] “Listado de Cooperativas”

http://www.fenacrep.org/web/mapa.php
 [URL 19] “Los Sistemas de Información”

http://www.Sistema de Información - Monografias_com.htm
 [URL 20] “Los Sistemas de Información y su Importancia

para las Organizaciones y Empresas”
http://www.los sistemas de información y su importancia para las
organizaciones y empresas gestiopolis.htm
 [URL 21] “Auditoría Informática”

http://www.osiatis.es/seguridad/auditorias.php
 [URL 22] “Auditoria aplicada a la seguridad en redes de

computadores”
http://www.monografias.com/trabajos10/auditoria/auap.shtml
 [URL 23] “Auditoría de los Sistemas de Información”

http://html.rincondelvago.com/auditoria-de-los-sistemas-de-
informacion.html
 [URL 24] “El Modelo COBIT para Auditoría y Control de

Sistemas de Información”
http://www. El modelo COBIT para auditoría y control de sistemas
de información - ChannelPlanet Inc.htm
143
 [URL 25] “ COBIT4_ Español”

www.Isaca.org
 [URL 26] “CobiT”

http://www. CobiT/Marco Referencial.htm
 [URL 27] “Trabajo de AuditorÍa: Normas COBIT”

http://www.Trabajo de Auditoria Normas COBIT – Monografías
com. htm
144
6.2. FUENTES BIBLIOGRÁFICAS
 [CHP 00] “Análisis de Riesgos en los Sistemas de Información

en una Empresa Financiera Basándose en las Metodologías
Cobit - Magerit” Cajamarca 2000
Autores: Pajares y Chavarri
 [GVP 98] “Auditoría Informática: un enfoque práctico”.

Alfaomega S.A. México D.F. 1998
Autores: Mario Gerardo, Piattini Velthus y Emilio del Peso
FUENTES ADICIONALES
 [ACH 94] “Auditoría Informática en las Empresas”. Editorial

Paraninfo, 1994
Autor: Acha Iturmendi, J. José
 [JYP 98] “Deontología del Auditor Informático y Códigos Eticos”

Autor: Paz Umaña, Jorge
En “Auditoría Informática: un enfoque práctico”
Alfaomega S.A. México D.F. 1998
Autores: Mario Gerardo, Piattini Velthus y Emilio del Peso
 [ BEC 99] “Auditoría de los Sistemas de Información”

Autores: Rafael Bernal y Óscar Coltell
 [RMC 00] "Metodología de Gerencia de Riesgo Financiero”

(Caso: Banacci Sociedad de Corretaje). Caracas, (2000).
Autores: MARINO R., José Manuel y FRIAS C., Santiago.
145
ANEXO 1: GENERALIDADES Y ESTRUCTURA ORGÁNICA
1. OBJETIVO DEL MANUAL
a. Normar la estructura organizativa interna que delimite claramente

las obligaciones y responsabilidades de los diferentes órganos de
la Cooperativa de Ahorro y Crédito “San Pío X Ltda.”
b. Determinar las funciones, responsabilidades y líneas de autoridad
de los diferentes órganos de la Cooperativa, con la finalidad de
contribuir al logro de los objetivos y metas institucionales.
c. Facilitar los niveles de comunicación, coordinación y eficiencia
operativa entre los diferentes niveles jerárquicos de la cooperativa,
evitando la duplicidad de esfuerzos, así como la confusión e
incertidumbre en el desarrollo de las actividades en cada nivel.
d. Establecer el perfil del profesional y personal que debe ocupar los
diferentes puestos dentro de la estructura orgánica de la
Cooperativa.
e. Contribuir al fortalecimiento del Sistema de control Interno para la
Cooperativa.
2. ALCANCE
El contenido del presente Manual de Organización y Funciones
comprende a todos los niveles jerárquicos de la Cooperativa de Ahorro
y Crédito “San Pío X Ltda.” y será de conocimiento y cumplimiento de
todos los órganos directivos y de trabajadores, bajo la responsabilidad
del Consejo de administración y Gerencia y la supervisión y
seguimiento del Consejo de Vigilancia.
3. BASE LEGAL
a. D.S. Nº 074-90-TR- Texto único ordenado de la Ley general de
Cooperativas.
b. Estatuto de la Cooperativa de Ahorro y Crédito “San pío X – Ltda.”
146
c. Manual de Organización y Funciones de la Cooperativa de Ahorro

y Crédito “San Pío X Ltda.”
d. Resolución S.B.S Nº 054 -99 reglamento de la Cooperativas de
Ahorro y Crédito no autorizadas a operar con recursos del público.
e. Resolución S.B.S Nº 742 – 2001 Reglamento de auditoría interna
para Cooperativas de Ahorro y Crédito no autorizadas a operar con
recursos del público.
f. Resolución S.B.S Nº 742 – 2001 Reglamento del sistema de
control interno para las Cooperativas de Ahorro y Crédito no
autorizadas a operar con recursos del público.
g. Otros dispositivos y normas de los organismos supervisores y de
control.
4. APROBACIÓN Y DIFUSIÓN
El presente manual de organización y funciones fue aprobado por el
Consejo de Administración, a propuesta de la gerencia, en sesión de
fecha…, siendo responsable de su correspondiente difusión la gerencia, a
todo nivel de la Cooperativa.
147
ORGANIZACIÓN, OPERACIONES DIRECTIVOS Y

FUNCIONARIOS DE LA COOPERATIVA DE AHORRO Y
CRÉDITO SAN PÍO X Ltda.
I. DE LA ORGANIZACIÓN
La Cooperativa de Ahorro y Crédito San Pío X Ltda., en adelante

denominada “La Cooperativa”, para cumplir sus objetivos y finalidad de
creación, cuenta con la organización siguiente:
1. ÓRGANO DE DIRECCIÓN
Órgano encargado de la conducción general de la Cooperativa, en

el marco del cumplimiento de la normatividad legal y el
cumplimiento de sus fines.
Como órgano supremo de la Cooperativa establece las políticas
generales y decide el destino de la misma, dentro de un marco de
beneficio para los socios y dentro de los principios de equidad,
transparencia y gestión democrática.
Las funciones básicas del órgano de dirección son:

1. Aprobar y modificar el estatuto y reglamento de elecciones de la
Cooperativa.
2. Formular los objetivos y políticas generales de conducción de la
Cooperativa.
3. Elegir y remover a los miembros de los órganos de
administración y de control.
4. Evaluar la gestión de los órganos de administración y de
control.
El órgano de dirección en la cooperativa es la Asamblea General

de Delegados.
148
2. ÓRGANO DE ELECCIÓN
Órgano encargado de conducir las elecciones de los delegados a

la Asamblea General, así como de los Miembros del Órgano de
Administración y del Órgano de Vigilancia de la Cooperativa, dentro
del marco de la normatividad legal y el estatuto.
Es designado por la Asamblea General de Delegados con la

función específica de elegir a los Delegados ante la Asamblea
General de Delegados y los miembros del Consejo de
Administración y del Consejo de Vigilancia.
3. ÓRGANOS DE ADMINISTRACIÓN
Órganos encargados de la gestión integral de la Cooperativa,

debiendo orientarla hacia el cumplimiento de sus fines, el logro de
su misión y su visión; así como a la consecución de los objetivos
establecido; en sus planes de desarrollo y crecimiento.
Los órganos de administración orientan su accionar hacia la

formulación y definición de las políticas y estrategias que sirven de
guía en la gestión de la Cooperativa para lograr sus grandes
objetivos, determinados dentro de un marco de estabilidad y
sostenibilidad en el tiempo.
Las funciones básicas de los órganos de administración son:

a. Formular los objetivos estratégicos de la cooperativa.
b. Proporcionar los recursos y medios necesarios para lograrlos.
c. Impulsar y facilitar la consecución de los objetivos
d. Controlar los resultados de la Cooperativa y tomar las medidas
correctivas.
149
Constituyen los órganos de administración de la cooperativa:

3.1 Consejo de Administración
3.2 Comités
 De Educación.
 De Previsión Social.
 De Adquisiciones
3.3 Gerencia
4. ÓRGANOS DE CONTROL
Órganos encargados de vigilar el cumplimiento y consecución de
los fines y objetivos de la Cooperativa; el cumplimiento de la
normatividad; mandato del órgano de dirección; cumplimiento de
los lineamientos, políticas, procedimientos y de las operaciones;
recomendando las medidas tendientes a corregir las desviaciones
que se puedan generar.
Los órganos de control constituyen la conciencia de la organización

y protegen la eficiencia operativa, el control interno y la
administración de riesgos. Además deben educar y hacer
recomendaciones a los órganos de administración para el
cumplimiento de los fines de la Cooperativa, en beneficio de sus
socios.
Los órganos de control en la Cooperativa están constituidos por:

4.1 Consejo de Vigilancia
5. ÓRGANOS DE ASESORIA
Conformado por Asesoría Legal y los consultores y asesores

profesionales que son contratados, eventualmente, con el fin
asesorar y orientar tanto a los órganos de administración como a
los órganos de ejecución, mediante recomendaciones y opiniones
150
técnicas en temas específicos que requieren de cierta

especialización.
Los órganos de asesoría tiene la función básica de permitir tanto a

los órganos de administración y control, así como los
departamentos y áreas ejecutivas a no desconcentrarse de sus
funciones elementales en la conducción de la Cooperativa y hacer
más eficiente su propia gestión.
Los órganos de asesoría de la Cooperativa lo conforman:

5.1 Unidad de Asesoría legal.
6. ÓRGANOS DE APOYO
Integrados por profesionales o técnicos especialistas, cuya función

primordial es contribuir con los órganos de administración y con los
órganos de línea a desempeñar eficientemente sus funciones
mediante al soporte y respaldo que proporcionan. Los órganos de
apoyo no ejercen funciones de decisión.
Los órganos de apoyo de: la Cooperativa se denominan áreas y

son las siguientes:
6.1 Secretaria
6.2 Logística
6.3 Área de Tecnología de Información y Comunicaciones.
 Jefe de Tecnología de Información y Comunicaciones.
También constituye un órgano de apoyo, el Comité Técnico de

Créditos.
151
7. ÓRGANOS DE LÍNEA
Los órganos de línea tienen como labor primordial realizar

eficientemente las funciones propias de la actividad principal de la
Cooperativa como es la intermediación financiera y prestación de
servicios a los socios. La condición de los órganos de línea es
tomar decisiones e impartir instrucciones a través de las líneas de
responsabilidad y autoridad.
La autoridad para administrar y gestionar ha sido conferida a los

funcionarios que se encuentran en relación de línea con sus
subordinados. Esto significa que los funcionarios de los órganos
de línea asumen la responsabilidad que les ha sido asignada a
través de la autoridad y funciones previstas en caso eludan o
ignoren dichas responsabilidades y no hagan respetar las normas
y disposiciones emanadas de la alta dirección, estarán incurriendo
en grave falta por negligencia.
Los órganos de línea en la Cooperativa se denominan

departamentos y son los siguientes:
7.1 Departamento de Operaciones.
 Jefe de operaciones
 Terminalista
7.2. Departamento de Créditos
 Jefe de Créditos
 Analista de Créditos
7.3. Departamento de contabilidad
 Jefe de contabilidad
 Auxiliar de contabilidad
7.4. Agencias
 Jefe de agencia
152
 Terminalista
 Analista de créditos
II. DE LAS OPERACIONES Y PROHIBICIONES
OPERACIONES
De acuerdo al Art. 6 del Estatuto de la Cooperativa son objetivos de esta:
a. Promover el desarrollo económico y social de sus socios, mediante el
esfuerzo propio y la ayuda mutua.
b. Fomentar de educación cooperativa.
Para lograr estos objetivos la cooperativa deberá realizar las siguientes

operaciones, dentro de los límites establecidos en la normatividad vigente.
1. Recibir aportaciones y depósitos de sus socios.

2. Otorgar a sus socios; créditos directos, con arreglo a las condiciones
que señale el respectivo reglamento de créditos, aprobado por el
consejo de Administración.
3. Recibir líneas de crédito de entidades financiaras nacionales y
extranjeras.
4. Adquirir, conservar y vender acciones y bonos que tengan cotización
en bolsa, emitidos por sociedades anónimas establecidas dentro del
país. Así mismo podrá ser socia de otras cooperativas, así corno
adquirir acciones o participaciones de sociedades que tengan por
objeto brindar servicios a los socios, no siendo necesario en este
último caso que las acciones o participaciones se encuentren
cotizadas en bolsa.
5. Adquirir los bienes muebles e inmuebles necesarios para el desarrollo
de sus actividades.
6. Efectuar operaciones de crédito con otras cooperativas de ahorro y
crédito, banco o financieras del país.
7. Brindar servicios de caja y tesorería a sus socios.
153
8. Efectuar depósitos en otras instituciones financieras y en otras

entidades del Sistema cooperativo de ahorro y crédito.
9. Fomentar y brindar educación cooperativa y propiciar el
perfeccionamiento y la superación cultural a sus socios, familiares y a
la comunidad.
10. Fomentar y practicar la integración a nivel nacional e internacional.
11. Otras operaciones y servicios que estime conveniente la cooperativa
para cubrir necesidades de sus socios, con opinión de la FENACREP
y lo Superintendencia de Banca y Seguros.
PROHIBICIONES
Por su parte de acuerdo al Artículo 26º de le Resolución S.B.S. N° 0540-
1999 — Reglamento de las Cooperativas de ahorro y crédito no
autorizadas a operar con recursos del público, las cooperativas están
sujetas a las siguientes prohibiciones, sin perjuicio de las demás que
contengan su propia ley y otras disposiciones dictadas al respecto:
1. Conceder Créditos para financiar actividades políticas.

2. Conceder crédito con la finalidad de destinarlos a pagar, directa o
indirectamente, aportaciones en la misma Cooperativa.
3. Otorgar finanzas o respaldar obligaciones de asociados, por monto y/o
plazo indeterminado.
4. Garantizar operaciones de préstamo que se celebre entre terceros, a
no ser que uno de ellos sea otra cooperativa socia.
5. Asumir la cobertura de riesgos para sus asociados.
6. Facilitar a sus directivos, gerentes o empleados asociados, por
cualquier medio recurso para pagar las multas impuestas por los
organismos superiores en aplicación del presente reglamento y otras
normas, o para cubrir los gastos de acciones legales frente a las
sanciones impuestas por la Federación.
7. Los créditos que una cooperativa conceda a sus directivos y gerentes
asociados, así como a cónyuges y parientes de estos que también
154
sean asociados no pueden ser concedidos en condiciones más

ventajosas que las otorgadas a los demás asociados de la
cooperativa.
8. Otros que de manera expresa señale la Superintendencia de Banca y
Seguros.
III. DE LOS DIRECTIVOS Y FUNCIONARIOS DE LA

COOPERATIVA IDONEIDAD Y CARACTERÍSTICAS DE
LOS DIRECTIVOS
El Artículo 10 de la Resolución S.B.S. N° 054O-1999 — Reglamento

de las Cooperativas de Ahorro y Crédito no autorizadas a operar con
recursos del Público, establece que, la Asamblea General de
Delegados, es responsable de que los asociados que sean elegidos
para desempeñarse como directivos de los Consejos de
Administración y de Vigilancia, reúnan condiciones de idoneidad
técnica y moral, así como tengan la experiencia necesaria para el
desempeño de las correspondientes funciones directivas y de
control.
Asimismo, el ejercicio de las citadas funciones directivas estará

sujeto a las siguientes condiciones.
Las funciones directivas de las cooperativas son personales e
indelegables. Puede nombrarse directivos suplentes conforme a los
procedimientos que determine el estatuto.
Los miembros de los consejos de una cooperativa no pueden

desempeñar cargos ejecutivos ni desarrollar funciones o actividades
administrativas en las propias cooperativas.
a) Sólo se asignarán dietas para las sesiones ordinarias y se
abonarán a los directivos que registren una asistencia efectiva a
las mismas.
155
b) Los directivos suplentes recibirán dietas únicamente cuando el

directivo titular se encuentre ausente o impedido de concurrir, y
se ejerza en forma efectiva la suplencia. Los estatutos de las
cooperativas deberán incluir el requerimiento de las condiciones
señaladas en el Art. Indicado.
IV: IMPEDIMENTOS PARA SER DIRECTIVO O

FUNCIONARIO
El Artículo 11° de la Resolución S.B.S. N° 0540-1999 — Reglamento
de las Cooperativas de Ahorro y Crédito no Autorizadas a Operar con
Recursos del Público, establece que, no pueden ejercer las
funciones de dirigentes o directivos ni de gerentes de las
Cooperativas, aquellos que se encuentren incursos en los siguientes
impedimentos (numeral 3 del artículo 33º de la Ley General de
Cooperativas):
1. Los incapaces.
2. Los quebrados.
3. Los que por razón de sus funciones estén legalmente impedidos
de ejercer actividades mercantiles.
4. Los servicios de sector Público que, por razón de sus funciones,
deban fiscalizar a la propia cooperativa.
5. Los que tengan pleito pendiente con la cooperativa, por acciones
que ellos ejerciten contra ésta.
6. Los que fueron socios, miembros del órgano administrativo o
directivo o del consejo de vigilancia, representantes legales o
mandatarios de otras personas jurídicas que tengan intereses
opuestos a los de la cooperativa o los que personalmente se
encuentre en análoga situación frente a ésta.
7. Los que hubieran sido condenados por delito contra el patrimonio.
156
ANEXO 3: CARACTERÍSTICAS DE LAS EQUIPOS DE LA

COOPERATIVA
1. PC’s
 Procesador : Intel P/4 3.20 Ghz
 Placa : Intel 915 GAGL 775 C/ Sonido, Red, Video
 Memoria DDR : 512 Mb
 Disco Duro : Sansung 120 Gb
 Floppy Disk : 1.44 NEC
 Monitor : LG 17 FLATRON
 Case : Micronics
 Teclado : Micronics
 Mouse : Micronics
 Estabilizador : 1kva FASE SÓLISO FES – 10
2. IMPRESORAS
 Marca : Hp Deskjet 3940 USB
158
ANEXO 4: PROPUESTA: CÁMARA DE SEGURIDAD
Precio final: U$S 50.00 c/u
ESPECIFICACIONES TÉCNICAS
Modelo 4CHDVR
Compresión de Video MPEG-4
NTSC 30fps (Cuadros por
Velocidad de Monitoreo
Segundo)
NTSC 30fps (Cuadros por
Velocidad de Grabación
Segundo)
Máxima Resolución 768 x 576
RTC, RDSI, DSL, CABLE o una
Conección a la Red
Red Local (LAN)
Entradas de Señal Visual 4 Canales BNC (Coaxial) o RCA
Entrada de Señal de Audio 1 Canal
PIII 500Mhz, 64Mb RAM, 5GB
Requerimientos del Sistema
HDD
Entrada/Salida de Señal NTSC / PAL
Sensor de Movimiento, Grabación
Modos de Grabación
Continua o Circular
Hasta 4 Tarjetas DVR en un
Recursos Totales
computador = 16 Cámaras max.
Control de Pan ,Tilt y Zoom
Otras Funciones
(Requiere Cámaras Especiales)
Sistema Operativo Compatible Win98/Me/2000/XP/LINUX
159
ANEXO 5: ENCUESTAS REALIZADAS EN LA INSTITUCIÓN
I. ORGANIZACIÓN (Para aplicar al jefe del área de

informática)
1. ¿Los niveles jerárquicos establecidos actualmente son necesarios
y suficientes para el desarrollo de sus actividades del área?
Si ( )
No ( )
2. Permite los niveles jerárquicos actuales que se desarrolle

adecuadamente la:
a. Operación Si ( ) No ( )
b. Supervisión Si ( ) No ( )
c. Comunicación ascendente Si ( ) No ( )
d. Comunicación descendente Si ( ) No ( )
e. Toma de decisiones Si ( ) No ( )
3. ¿Existe en el área algún sistema de sugerencias y quejas por parte

del personal?
Si ( )
No ( )
4. ¿Están por escrito en algún documento las funciones del área?

Si ( )
No ( )
5. ¿Quién elaboró las funciones?

Si ( )
No ( )
6. ¿Quién las autorizó o aprobó?

____________________________________________________
160
7. ¿Las funciones se cumplen de acuerdo al documento establecido?

Si ( )
No ( )
8. ¿Conocen otras áreas de las funciones del área?

Si ( )
No ( )
9. ¿Las funciones son adecuadas a las necesidades actuales?

Si ( )
No ( )
10. La falta de cumplimiento de sus funciones es por:

a. Falta de personal ( )
b. Personal capacitado ( )
c. Cargas de trabajo excesivas ( )
d. Porque realiza otras actividades ( )
e. La forma en que las ordena ( )
2. ¿Cuáles son las funciones que realiza periódicamente?

______________________________________________________
______________________________________________________
______________________________________________________
______________________________________________________
______________________________________________________
3. ¿Tienen programadas las tareas encomendadas?

Si ( )
No ( )
161
4. ¿Quién es el responsable de ordenar que se ejecuten las

actividades?
______________________________________________________
5. En caso de no encontrarse el jefe inmediato, ¿quién lo puede

realizar?
______________________________________________________
6. ¿Se desarrollan programas de capacitación?

Si ( )
No ( )
7. ¿Se evalúan los resultados de los programas de capacitación?

Si ( )
No ( )
162
II. RECURSOS HUMANOS (Para trabajadores del área)

Se deberá obtener información sobre la situación del personal del
área.
1. ¿Es suficiente el número de personal para el desarrollo de las
funciones del área?
Si ( )
No ( )
2. ¿Se deja de realizar alguna actividad por falta de personal?

Si ( )
No ( )
3. ¿Está capacitado el personal para realizar con eficacia sus

funciones?
Si ( )
No ( )
4. ¿Es frecuente la repetición de los trabajos encomendados?

Si ( )
No ( )
5. ¿El personal es discreto en el manejo de información confidencial?

Si ( )
No ( )
6. ¿Cuáles son los principales factores internos y/o externos que

limitan el desempeño del personal?
______________________________________________________
______________________________________________________
______________________________________________________
163
7. Son adecuadas las condiciones ambientales con respecto a:

a. Espacio del área ( )
b. Iluminación ( )
c. Ventilación ( )
d. Equipo de oficina ( )
e. Mobiliario ( )
f. Ruido ( )
g. Limpieza/ Aseo ( )
h. Instalaciones de comunicaciones ( )
2. ¿Qué actividades diarias realiza?

______________________________________________________
______________________________________________________
______________________________________________________
3. ¿Con qué frecuencia recibe capacitación y de qué tipo?

______________________________________________________
______________________________________________________
164
III. LA SEGURIDAD LÓGICA

1. ¿Existen medidas, controles, procedimientos, normas y estándares
de seguridad?
Si ( )
No ( )
2. ¿Existen procedimientos de notificación y gestión de incidencias?

Si ( )
No ( )
3. ¿Existen procedimientos de realización de copias de seguridad y de

recuperación de datos?
Si ( )
No ( )
4. ¿Existen controles sobre el acceso físico a las copias de

seguridad?
Si ( )
No ( )
5. ¿Sólo las personas con acceso autorizado en el documento de

seguridad tienen acceso a los soportes que contienen las copias de
seguridad?
Si ( )
No ( )
6. ¿Existe una relación de controles periódicos a realizar para verificar

el cumplimiento del documento?
Si ( )
No ( )
165
7. ¿Existen procedimientos de seguridad para evitar el uso de archivos

de procedencia dudosas?
Si ( )
No ( )
8. ¿Existen medidas a adoptar cuando un equipo de cómputo es

infectado por algún virus?
Si ( )
No ( )
9. ¿Se cuenta con un software antivirus y es actualizado

periódicamente?
Si ( )
No ( )
10. ¿Los usuarios conocen que deben hacer al detectar alguna

amenaza de virus en los equipos de cómputo?
Si ( )
No ( )
11. ¿Existe un período máximo de vida de las contraseñas?

Si ( )
No ( )
12. ¿Existe una relación de usuarios autorizados a acceder a los

sistemas y que incluye los tipos de acceso permitidos?
Si ( )
No ( )
166
13. ¿Los derechos de acceso concedidos a los usuarios son los

necesarios y suficientes para el ejercicio de las funciones que
tienen encomendadas, las cuales a su vez se encuentran o deben
estar documentadas en el Documento de Seguridad?
Si ( )
No ( )
14. ¿Hay dadas de alta en el sistema cuentas de usuario genéricas, es

decir, utilizadas por más de una persona, no permitiendo por tanto
la identificación de la persona física que las ha utilizado?
Si ( )
No ( )
15. ¿En la práctica las personas que tienen atribuciones y privilegios

dentro del sistema para conceder derechos de acceso son las
autorizadas e incluidas en el Documento de Seguridad?
Si ( )
No ( )
16. ¿El sistema de autenticación de usuarios guarda las contraseñas

encriptadas?
Si ( )
No ( )
17. ¿En el sistema están habilitadas para todas las cuentas de usuario
las opciones que permiten establecer:
 Un número máximo de intentos de conexión. ( )
 Un período máximo de vigencia para la contraseña, coincidente
con el establecido en el Documento de Seguridad. ( )
167
18. ¿Existen procedimientos de asignación y distribución de

contraseñas?
Si ( )
No ( )
168
IV. SEGURIDAD FÍSICA

1. ¿Se ha adoptado medidas de seguridad en la dirección de
informática?
Si ( )
No ( )
2. ¿Existe una persona responsable de la seguridad?

Si ( )
No ( )
3. ¿Se ha dividido la responsabilidad para tener un mejor control de la

seguridad?
Si ( )
No ( )
4. ¿La vigilancia se contrata directamente?

Si ( )
No ( )
5. ¿Se investiga a los vigilantes cuando son contratados?

Si ( )
No ( )
6. ¿Se registran las acciones de los operadores para evitar que

realicen alguna acción que puede dañar al sistema?
Si ( )
No ( )
7. ¿Existe vigilancia en el cuarto de máquinas las 24 horas del día?

Si ( )
No ( )
169
8. A la entrada del cuarto de máquinas existe:

a. Vigilante ( )
b. Recepcionista ( )
c. Tarjeta de control de acceso ( )
e. Ninguno ( )
9. ¿Son controladas las visitas y demostraciones en el centro de

cómputo?
Si ( )
No ( )
10. ¿Se registra el acceso al cuarto de personas ajenas a la dirección

de informática?
Si ( )
No ( )
11. El edificio donde se encuentra la computadora está situado a salvo

de:
a. Inundación ( )
b. Terremoto ( )
c. Fuego ( )
d. Sabotaje ( )
12. Existe alarma para:

a. Detectar fuego – forma automática ( )
b. Avisar en forma manual la presencia de fuego ( )
c. Detectar una fuga de agua ( )
d. Otros ( ) _________________________________________
e. No existe ( )
170
13. ¿Saben qué hacer los operadores del cuarto de máquinas en caso
de que ocurra una emergencia ocasionada por fuego?
Si ( )
No ( )
14. ¿Se ha adiestrado al personal la forma en que deben desalojar las

instalaciones en caso de emergencia?
Si ( )
No ( )
15. ¿Se ha prohibido a los operadores el consumo de alimentos y

bebidas en el interior del cuarto de máquinas para evitar daños al
equipo?
Si ( )
No ( )
16. ¿Las copias de seguridad de los ficheros de nivel alto se

almacenan en lugar diferente al de los equipos que las procesan?
Si ( )
No ( )
17. Explique la forma en que están protegidas físicamente estas copias

(bóveda, cajas de seguridad, etc.) que garantice su seguridad en
caso de incendio, inundación, terremoto, etc.
______________________________________________________
______________________________________________________
______________________________________________________
18. ¿Se tienen establecidos procedimientos de actualización a estas

copias?
Si ( )
No ( )
171
19. ¿Existe un inventario de los equipos de cómputo y de sus

periféricos asociados?
Si ( )
No ( )
20. Dicho inventario incluye las copias de seguridad?

Si ( )
No ( )
21. ¿Las copias de seguridad, o cualquier otro soporte, se almacenan

fuera de la Institución?
Si ( )
No ( )
22. ¿Existen procedimientos de actualización de dicho inventario?

Si ( )
No ( )
24. ¿Se Obtiene una relación de los ficheros que se envían fuera de la
empresa, en la que se especifique el tipo de soporte, la forma de
envío, el estamento que realiza el envío y el destinatario?
Si ( )
No ( )
25. ¿Se Comprueba que todos los soportes incluidos en esa relación
se encuentran también en el inventario de soportes?
Si ( )
No ( )
172
26. ¿Se Obtiene una copia del Registro de Entrada y Salida de

Soportes y se comprueba que en él se incluyen:
 Los soportes incluidos en la relación del punto anterior (y
viceversa)
 Los desplazamientos de soportes al almacenamiento exterior (si
existiera)
Si ( )
No ( )
27. ¿Se Verifica que el Registro de Entrada y Salida refleja la

información requerida por el Reglamento:
a) Fecha y hora
b) Emisor/Receptor
c) Nº de soportes
d) Tipo de información contenida en el soporte.
e) Forma de envío
f) Persona física responsable de la recepción/entrega
28. ¿Se realiza una relación de soportes enviados fuera de la empresa

con la relación de ficheros de nivel alto?
Si ( )
No ( )
29. ¿Se controla la configuración, instalación y seguridad del equipo de

cómputo y demás equipos?
Si ( )
No ( )
30. ¿Se cuenta con un plan de seguridad de los sistemas

computacionales?
Si ( )
No ( )
173
31. ¿Se utilizan indicadores de rendimiento para evaluar a los sistemas

computacionales?
Si ( )
No ( )
32. ¿Se cuenta con un inventario de software que utiliza la empresa?

Si ( )
No ( )
33. Dicho inventario ¿Cuenta con la actualización de las licencias

respectivas del funcionamiento del software?
Si ( )
No ( )
34. ¿Se capacita constantemente a los usuarios para el manejo

adecuado del software?
Si ( )
No ( )
35. ¿Se Comprueba que el Registro de Accesos se encuentra bajo el

control directo del Responsable de Seguridad pertinente?
Si ( )
No ( )
174
ANEXO 6: OTRAS METODOLOGÍAS EN CONTROL DE

RIESGOS
Estas metodologías están para la identificación de la falta de controles y

el establecimiento de contramedidas. Entre ellas tenemos: CRAMM, DDIS
MARION AP+, RISKPAC.
MARION: Metodología cuantitativa que se basa esperanzas matemáticas

que son aproximaciones numéricas. Tiene dos productos MARION AP+
para sistemas Individuales y MARION RSX para sistemas distribuidos y
conectividad. El análisis de riesgos lo hace sobre diez áreas
problemáticas a través de cuestionarios. Estas áreas son: seguridad
informática general, factores socioeconómicos, seguridad de explotación y
de desarrollo riesgos materiales, sabotajes, averías comunicaciones
errores de desarrollo, errores de explotación, fraude, robo de información.
Herramienta que incorpora un cuestionario para evaluar el nivel de

seguridad existente en la organización. A cada cuestión se le asigna un
peso que refleja su importancia dentro del conjunto de preguntas. Se
calcula el resultado de 27 categorías de seguridad y se presenta
gráficamente.
RISCKPAC: Su enfoque es metodología subjetiva; sus resultados son

explorables a procesadores de texto, bases de datos, hojas electrónicas.
Está estructurada en los tres niveles Entorno/Procesador/Aplicaciones.
Con 26 categorías de riesgo en cada nivel. Tiene un “que pasa sí… con
un nivel de riesgo de evaluación subjetiva del 1 al 5 y ofrece una lista de
contramedidas o recomendaciones básicas para ayuda al informe final o
plan de acciones.
RískPAC es un programa automatizado de análisis de riesgos que puede
detectar y ayudar a eliminar vulnerabilidades en la seguridad de los datos.
Una conjunción de sistema experto y facilidad de uso, RiskPAC
175
automatiza el proceso de evaluación de riesgo y ayuda a determinar la

seguridad, auditoria y los controles de management deben ejecutarse
para reducir la exposición al riesgo.
Si se utiliza una metodología manual de control; se puede automatizar

migrando a RISkPAC. Su interface de usuario del tipo de cuestionario, le
brinda al usuario una facilidad de uso y un rápido resultado. RiskPAC le
permite modificar los cuestionarios estándar provistos por CSCI, o
desarrollar sus propios cuestionarios para automatizar una metodología
manual, Ud. también puede desarrollar su propia librería de
recomendaciones para acciones correctivas, scoring de nivel de control
de riesgos, desarrollo de pantallas de ayuda dentro de RiskPAC,
generación de reportes.
CRAMM: Se desarrolla entre 1985 y 1987; implantada en algunas

organizaciones de Europa, sobre todo de la administración pública.
Método de análisis de riesgos formal desarrollado por el gobierno inglés.

Permite analizar las vulnerabilidades de la seguridad del sistema.
176
ANEXO 7: ESTÁNDARES DE AUDITORÍA SISTEMAS DE

INFORMACIÓN DEFINIDOS POR LA ISACA
Emitidas por el Consejo Normativo de la Asociación de Auditoría y Control

de Sistemas de Información
INTRODUCCIÓN
La Asociación de Auditoría y Control de Sistemas de Información ha

determinado que la naturaleza especializada de la auditoría de los
sistemas de información y las habilidades necesarias para llevar a cabo
este tipo de auditorías, requieren el desarrollo y la promulgación de
Normas Generales para la Auditoría de los Sistemas de Información.
La auditoría de los sistemas de información se define como cualquier

auditoría que abarca la revisión y evaluación de todos los aspectos (o de
cualquier porción de ellos) de los sistemas automáticos de procesamiento
de la información, incluidos los procedimientos no automáticos
relacionados con ellos y las interfaces correspondientes.
Las normas promulgadas por la Asociación de Auditoría y Control de

Sistemas de Información son aplicables al trabajo de auditoría realizado
por miembros de la Asociación de Auditoría y Control de Sistemas de
Información y por las personas que han recibido la designación de Auditor
Certificado de Sistemas de Información.
OBJETIVOS
Los objetivos de estas normas son los de informar a los auditores del nivel
mínimo de rendimiento aceptable para satisfacer las responsabilidades
profesionales establecidas en el Código de Ética Profesional y de informar
a la gerencia y a otras partes interesadas de las expectativas de la
profesión con respecto al trabajo de aquellos que la ejercen.
177
ESTÁNDARES DE AUDITORÍA SISTEMAS DE

INFORMACIÓN DEFINIDOS POR LA ISACA
1. Título de auditoría
1.1. Responsabilidad, autoridad y rendimiento de

cuentas
La responsabilidad, la autoridad y el rendimiento de cuentas
abarcados por la función de auditoría de los sistemas de
información se documentarán de la manera apropiada en un título
de auditoría o carta de contratación.
2. Independencia
2.1. Independencia profesional

En todas las cuestiones relacionadas con la auditoría, el auditor
de sistemas de información deberá ser independiente de la
organización auditada tanto en actitud como en apariencia.
2.2. Relación organizativa

La función de auditoría de los sistemas de información deberá ser
lo suficientemente independiente del área que se está auditando
para permitir completar de manera objetiva la auditoría.
3. Ética y normas profesionales
3.1. Código de Ética Profesional

El auditor de sistemas de información deberá acatar el Código de
Ética Profesional de la Asociación de Auditoría y Control de
Sistemas de Información.
178
3.2. Atención profesional correspondiente

En todos los aspectos del trabajo del auditor de sistemas de
información, se deberá ejercer la atención profesional
correspondiente y el cumplimiento de las normas aplicables de
auditoría profesional.
4. Idoneidad
4.1. Habilidades y conocimientos

El auditor de sistemas de información debe ser técnicamente
idóneo, y tener las habilidades y los conocimientos necesarios
para realizar el trabajo como auditor.
4.2. Educación profesional continua

El auditor de sistemas de información deberá mantener la
idoneidad técnica por medio de la educación profesional continua
correspondiente.
5. Planificación
5.1. Planificación de la auditoría

El auditor de sistemas de información deberá planificar el trabajo
de auditoría de los sistemas de información para satisfacer los
objetivos de la auditoría y para cumplir con las normas aplicables
de auditoría profesional.
6. Ejecución del trabajo de auditoría
6.1. Supervisión
El personal de auditoría de los sistemas de información debe
recibir la supervisión apropiada para proporcionar la garantía de
que se cumpla con los objetivos de la auditoría y que se
satisfagan las normas aplicables de auditoría profesional.
179
6.2. Evidencia
Durante el transcurso de una auditoría, el auditor de sistemas de
información deberá obtener evidencia suficiente, confiable,
relevante y útil para lograr de manera eficaz los objetivos de la
auditoría. Los hallazgos y conclusiones de la auditoría se deberán
apoyar por medio de un análisis e interpretación apropiados de
dicha evidencia.
7. Informes
7.1. Contenido y formato de los informes

En el momento de completar el trabajo de auditoría, el auditor de
sistemas de información deberá proporcionar un informe, de
formato apropiado, a los destinatarios en cuestión. El informe de
auditoría deberá enunciar el alcance, los objetivos, el período de
cobertura y la naturaleza y amplitud del trabajo de auditoría
realizado. El informe deberá identificar la organización, los
destinatarios en cuestión y cualquier restricción con respecto a su
circulación. El informe deberá enunciar los hallazgos, las
conclusiones y las recomendaciones, y cualquier reserva o
consideración que tuviera el auditor con respecto a la auditoría.
8. Actividades de seguimiento
8.1. Seguimiento
El auditor de sistemas de información deberá solicitar y evaluar la
información apropiada con respecto a hallazgos, conclusiones y
recomendaciones relevantes anteriores para determinar si se han
implementado las acciones apropiadas de manera oportuna.
Vigentes desde julio de 1997
180
ANEXO 8: El ESTÁNDAR COBIT DE ISACA
COBIT como Producto incluye:
Resumen Ejecutivo: es un documento dirigido a la alta gerencia

presentando los antecedentes y la estructura básica de COBIT. Además,
describe de manera general los procesos, los recursos y los criterios de
información, los cuales conforman la "Columna Vertebral" de COBIT.
Marco de Referencia (Framework): Incluye la introducción

contenida en el resumen ejecutivo y presenta las guías de navegación
para que los lectores se orienten en la exploración del material de COBIT
haciendo una presentación detallada de los 34 procesos contenidos en
los cuatro dominios.
Objetivos de Control: Integran en su contenido lo expuesto tanto en

el resumen ejecutivo como en el marco de referencia y presenta los
objetivos de control detallados para cada uno de los 34 procesos.
En total se describen 302 objetivos de control detallados (de 3 a 30
objetivos por cada uno de los procesos).
Guías de Auditoría: Se hace una presentación del proceso de

auditoria generalmente aceptado (relevamiento de información,
evaluación de control, evaluación de cumplimiento y evidenciación de los
riesgos).
Este documento incluye guías detalladas para auditar cada uno de los 34
procesos teniendo en cuenta los 302 objetivos de control detallados.
181
Guías de Administración: Se enfoca de manera similar a los otros

productos e integra los principios del Balance Business Scorecard.
Para ayudar a determinar cuales son los adecuados niveles de seguridad
y control integra los conceptos de:
 Modelo de madurez CMM (prácticas de Control).
 Indicadores claves de Desempeño de los procesos de TI.
 Factores Críticos de Éxito a tener en cuenta para mantener bajo
control los procesos de TI.
Guías Gerenciales: Incluidas en la Tercera Edición, las mismas

proveen modelos de madurez, factores críticos de éxito, indicadores
claves de objetivos e indicadores claves de desempeño para los 34
procesos de TI de COBIT. Estas guías proveen a la gerencia herramientas
que permiten la autoevaluación y poder seleccionar opciones para
implementación de controles y mejoras sobre la información y la
tecnología relacionada. Las guías fueron desarrolladas por un panel de 40
expertos en seguridad y control, profesionales de administración de TI y
de administración de desempeño, analistas de la industria y académicos
de todo el mundo.
Herramientas de implementación: Muestra algunas de las

lecciones aprendidas por aquellas organizaciones que han aplicado
COBIT e incluye una guía de implementación con dos herramientas:
Diagnóstico de conciencia Administrativa y Diagnóstico de Control en TI.
Como con cualquier investigación amplia e innovadora, COBIT será

actualizado cada tres años. Esto asegurara que el modelo y la estructura
permanezcan vigentes. La validación también permite asegurar que los 41
materiales de referencia primarios no hayan cambiado y, si hubieran
cambiado, refleja eso en el documento.
182
ANEXO 9: RELACIONES DE OBJETIVO DE CONTROL,

DOMINIOS, PROCESOS Y OBJETIVOS DE
CONTROL
PLANEACIÓN Y 2.2 Diccionario de Datos y

ORGANIZACIÓN Reglas de cinta de datos de
1.0 Definición de un Plan la corporación.
Estratégico de Tecnología 2.3 Esquema de Clasificación
de Información. de Datos.
1.1 Tecnología de Información 2.4 Niveles de Seguridad.
como parte del Plan de la 3.0 Determinación de la dirección
Organización a corto y largo tecnológica.
plazo. 3.1 Planeación de la
1.2 Plan a largo plazo de Infraestructura Tecnológica.
Tecnología de Información. 3.2 Monitoreo de Tendencias y
1.3 Plan a largo plazo de Regulaciones Futuras.
Tecnología de Información - 3.3 Contingencias en la
Enfoque y Estructura. Infraestructura Tecnológica.
1.4 Cambios al Plan a largo 3.4 Planes de Adquisición de
plazo de Tecnología de Hardware y Software.
Información. 3.5 Estándares de Tecnología.
1.5 Planeación a corto plazo 4.0 Definición de la
para la función de Servicios Organización y de las
de Información. Relaciones de TI.
1.6 Evaluación de sistemas 4.1 Comité de planeación o
existentes. dirección de la función de
2.0 Definición de la Arquitectura servicios de información.
de Información 4.2 Ubicación de los servicios
2.1 Modelo de la Arquitectura de de información en la
Información. organización.
4.3 Revisión de Logros
Organizacionales.
183
4.4 Funciones y 6.0 Comunicación de la

Responsabilidades dirección y aspiraciones de
4.5 Responsabilidad del la gerencia.
aseguramiento de calidad 6.1 Ambiente positivo de
4.6 Responsabilidad de la control de la información.
seguridad lógica y física. 6.2 Responsabilidad de la
4.7 Propiedad y Custodia Gerencia en cuanto a
4.8 Propiedad de Datos y Políticas.
Sistemas. 6.3 Comunicación de las
4.9 Supervisión. Políticas de la
4.10 Segregación de Organización.
Funciones. 6.4 Recursos para la
4.11 Asignación de Personal implementación de
para Tecnología de Políticas.
Información. 6.5 Mantenimiento de
4.12 Descripción de Puestos Políticas.
para el Personal de la 6.6 Cumplimiento de Políticas,
Función de TI. Procedimientos y
4.13 Personal clave de TI. Estándares.
4.14 Procedimientos para 6.7 Compromiso con la
personal por contrato. Calidad.
4.15 Relaciones. 6.8 Política sobre el Marco de
5.0 Manejo de la Inversión en Referencia para la
Tecnología de Información. Seguridad y el Control
5.1 Presupuesto Operativo Interno.
Anual para la Función de 6.9 Derechos de propiedad
Servicio de información. intelectual.
5.2 Monitoreo de Costo – 6.10 Políticas Específicas.
Beneficio. 6.11 Comunicación de
5.3 Justificación de Costo – Conciencia de Seguridad en
Beneficio. TI.
184
7.0 Administración de Recursos 9.1 Evaluación de Riesgos del

Humanos. Negocio.
7.1 Reclutamiento y Promoción 9.2 Enfoque de Evaluación de
de Personal. Riesgos.
7.2 Personal Calificado. 9.3 Identificación de Riesgos.
7.3 Entrenamiento de Personal. 9.4 Medición de Riesgos.
7.4 Entrenamiento Cruzado o 9.5 Plan de Acción contra
Respaldo de Personal. Riesgos.
7.5 Procedimientos de 9.6 Aceptación de Riesgos.
Acreditación de Personal. 10.0 Administración de proyectos.
7.6 Evaluación de Desempeño 10.1 Marco de Referencia para la
de los Empleados. Administración de
7.7 Cambios de Puesto y Proyectos.
Despidos. 10.2 Participación del
8.0 Aseguramiento del Departamento Usuario en la
Cumplimiento de Iniciación de Proyectos.
Requerimientos Externos. 10.3 Miembros y
8.1 Revisión de Requerimientos Responsabilidades del
Externos. Equipo del Proyecto.
8.2 Prácticas y Procedimientos 10.4 Definición del Proyecto.
para el Cumplimiento de 10.5 Aprobación del Proyecto.
Requerimientos Externos. 10.6 Aprobación de las Fases del
8.3 Cumplimiento de los Proyecto.
Estándares de Seguridad y 10.7 Plan Maestro del Proyecto.
Ergonomía. 10.8 Plan de Aseguramiento de la
8.4 Privacidad, Propiedad Calidad de Sistemas.
Intelectual y Flujo de Datos. 10.9 Planeación de Métodos de
8.5 Comercio Electrónico. Aseguramiento.
8.6 Cumplimiento con Contratos 10.10 Administración Formal de
de Seguros. Riesgos de Proyectos.
9.0 Evaluación de Riesgos. 10.11 Plan de Prueba.
10.12 Plan de Entrenamiento.
185
10.13 Plan de Revisión Post Mantenimiento para la

Implementación. Infraestructura de
11.0 Administración de Calidad. Tecnología.
11.1 Plan General de Calidad.
11.2 Enfoque de Aseguramiento 11.10 Relaciones con Terceras
de Calidad Partes como
11.3 Planeación del Implementadotes.
Aseguramiento de Calidad. 11.11 Estándares para la
11.4 Revisión de Documentación de
Aseguramiento de Calidad Programas.
sobre el Cumplimiento de 11.12 Estándares para Pruebas
Estándares y de Programas.
Procedimientos de la 11.13 Estándares para Pruebas
Función de Servicios de de Sistemas.
Información. 11.14 Pruebas Piloto/En
11.5 Metodología del Ciclo de Paralelo.
Vida de Desarrollo de 11.15 Documentación de las
Sistemas. Pruebas del Sistema.
11.6 Metodología del Ciclo de 11.16 Evaluación del
Vida de Desarrollo de Aseguramiento de la
Sistemas para Cambios Calidad sobre el
Mayores a la Tecnología Cumplimiento de Estándar
Actual. de Desarrollo.
11.7 Actualización de la 11.17 Revisión del
Metodología del Ciclo de Aseguramiento de Calidad
Vida de Desarrollo de sobre el Logro de los
Sistemas. Objetivos de la Función de
11.8 Coordinación y Servicios de Información.
Comunicación.
11.9 Marco de Referencia de 11.18 Métricas de Calidad.

Adquisición y
186
11.19 Reportes de Revisiones de 1.13 Control de Abastecimiento.

Aseguramiento de la 1.14 Adquisición de Productos
Calidad. de Software.
1.15 Mantenimiento de
ADQUISICIÓN E Software de Terceras
IMPLEMENTACIÓN Partes.
1.0 Identificación de 1.16 Contratos de
Soluciones. Programación de
1.1 Definición de Aplicaciones.
Requerimientos de 1.17 Aceptación de
Información. Instalaciones.
1.2 Formulación de Acciones 1.18 Aceptación de Tecnología.
Alternativas. 2.0 Adquisición y
1.3 Formulación de Mantenimiento de
Estrategias de Adquisición. Software de Aplicación.
1.4 Requerimientos de 2.1 Métodos de Diseño.
Servicios de Terceros. 2.2 Cambios Significativos a
1.5 Estudio de Factibilidad Sistemas Actuales.
Tecnológica. 2.3 Aprobación del Diseño.
1.6 Estudio de Factibilidad 2.4 Definición y
Económica. Documentación de
1.7 Arquitectura de Requerimientos de
Información. Archivos.
1.8 Reporte de Análisis de 2.5 Especificaciones de
Riesgos. Programas.
1.9 Controles de Seguridad 2.6 Diseño para la
Económicos. Recopilación de Datos
1.10 Diseño de Pistas de Fuente.
Auditoría
1.11 Ergonomía. 2.7 Definición y Documentación
1.12 Selección de Software de de Requerimientos de
Sistema. Entrada de Datos
187
2.8 Definición de Interfases 3.2 Mantenimiento Preventivo

2.9 Interfases Usuario- para Hardware.
Máquina. 3.3 Seguridad del Software del
Sistema.
2.10 Definición y 3.4 Instalación del Software
Documentación de del Sistema.
Requerimientos de 3.5 Mantenimiento del
Procesamiento. Software del Sistema.
2.11 Definición y 3.6 Controles para Cambios
Documentación de del Software del Sistema.
Requerimientos de Salida 4.0 Desarrollo y
de Datos. Mantenimiento de
2.12 Controlabilidad. Procedimientos
2.13 Disponibilidad como Factor relacionados con
Clave de Diseño. Tecnología de Información.
2.14 Estipulación de Integridad 4.1 Futuros Requerimientos y
de TI en programas de Niveles de Servicios
software de aplicaciones. Operacionales.
2.15 Pruebas de Software de 4.2 Manual de Procedimientos
Aplicación. para Usuario.
2.16 Materiales de Consulta y 4.3 Manual de Operación.
Soporte para Usuario. 4.4 Material de Entrenamiento.
2.17 Reevaluación del Diseño 5.0 Instalación y Acreditación
del Sistema. de Sistemas.
3.0 Adquisición y 5.1 Entrenamiento.
Mantenimiento de 5.2 Adecuación del
Arquitectura de Desempeño del Software
Tecnología. de Aplicación.
3.1 Evaluación de Nuevo

Hardware y Software. 5.3 Conversión.
5.4 Pruebas de Cambios.
188
5.5 Criterios y Desempeño de 1.1 Marco de Referencia para

Pruebas en Paralelo/Piloto el Convenio de Nivel de
5.6 Prueba de Aceptación Servicio.
Final 1.2 Aspectos sobre los
5.7 Pruebas y Acreditación de Acuerdos de Nivel de
Seguridad. Servicio.
5.8 Prueba Operacional. 1.3 Procedimientos de
5.9 Promoción a Producción Ejecución
5.10 Evaluación de la 1.4 Monitoreo y Reporte.
Satisfacción de los 1.5 Revisión de Convenios y
Requerimientos del Contratos de Nivel de
Usuario. Servicio.
5.11 Revisión Gerencial Post – 1.6 Elementos sujetos a
Implementación. Cargo.
6.0 Administración de Cambios 1.7 Programa de Mejoramiento
6.1 Inicio y Control de del Servicio.
Requisiciones de Cambio 2.0 Administración de
6.2 Evaluación del Impacto Servicios prestados por
6.3 Control de Cambios. Terceros.
6.4 Documentación y 2.1 Interfases con
Procedimientos. Proveedores.
6.5 Mantenimiento Autorizado. 2.2 Relaciones de Dueños.
6.6 Política de Liberación de 2.3 Contratos con Terceros.
Software. 2.4 Calificaciones de terceros.
6.7 Distribución de Software. 2.5 Contratos con
Outsourcing.
ENTREGA DE SERVICIOS Y 2.6 Continuidad de Servicios.
SOPORTE 2.7 Relaciones de Seguridad.
1.0 Definición de Niveles de 2.8 Monitoreo.
Servicio. 3.0 Administración de
Desempeño y Capacidad.
189
3.1 Requerimientos de 4.4 Minimización de

Disponibilidad y requerimientos de
Desempeño. Continuidad de Tecnología
3.2 Plan de Disponibilidad. de Información
3.3 Monitoreo y Reporte. 4.5 Mantenimiento del Plan de
3.4 Herramientas de Continuidad de Tecnología
Modelado. de Información
3.5 Manejo de Desempeño 4.6 Pruebas del Plan de
Proactivo. Continuidad de Tecnología
de Información.
3.6 Pronóstico de Carga de 4.7 Capacitación sobre el Plan
Trabajo. de Continuidad de
3.7 Administración de Tecnología de Información.
Capacidad de Recursos. 4.8 Distribución del Plan de
3.8 Disponibilidad de Continuidad de Tecnología
Recursos. de Información.
3.9 Calendarización de 4.9 Procedimientos de
recursos. Respaldo de
4.0 Aseguramiento de Servicio Procesamiento para
Continuo. Departamentos Usuarios.
4.1 Marco de Referencia de 4.10 Recursos críticos de
Continuidad de Tecnología Tecnología de Información.
de Información. 4.11 Centro de Cómputo y
4.2 Estrategia y Filosofía de Hardware de respaldo.
Continuidad de Tecnología 4.12 Procedimientos de
de Información. Refinamiento del Plan de
4.3 Contenido del Plan de Continuidad de TI.
Continuidad de Tecnología 5.0 Garantizar la Seguridad de
de Información. Sistemas.
5.1 Administrar Medidas de
Seguridad.
190
5.2 Identificación, 5.19 Prevención, Detección y

Autenticación y Acceso. Corrección de Software
5.3 Seguridad de Acceso a "Malicioso".
Datos en Línea. 5.20 Arquitecturas de FireWalls
5.4 Administración de Cuentas y conexión a redes
de Usuario. públicas.
5.5 Revisión Gerencial de 5.21 Protección de Valores
Cuentas de Usuario. Electrónicos ser
5.6 Control de Usuarios sobre desechada.
Cuentas de Usuario. 6.0 Identificación y Asignación
5.7 Vigilancia de Seguridad. de Costos.
5.8 Clasificación de Datos. 6.1 Elementos Sujetos a
5.9 Administración Cargo.
Centralizada de 6.2 Procedimientos de Costeo.
Identificación y Derechos 6.3 Procedimientos de Cargo y
de Acceso. Facturación a Usuarios.
5.10 Reportes de Violación y de 7.0 Educación y Entrenamiento
Actividades de Seguridad. de Usuarios
5.11 Manejo de Incidentes. 7.1 Identificación de Necesidades
5.12 Re-acreditación. de Entrenamiento
5.13 Confianza en 7.2 Organización de
Contrapartes. Entrenamiento
5.14 Autorización de 7.3 Entrenamiento sobre
Transacciones. Principios y Conciencia de
5.15 No Rechazo. Seguridad.
5.16 Sendero Seguro. 8.0 Apoyo y Asistencia a los
5.17 Protección de funciones de Clientes de Tecnología de
seguridad. Información.
5.18 Administración de Llave 8.1 Buró de Ayuda.
Criptográfica. 8.2 Registro de Preguntas del
Usuario.
191
8.3 Escalamiento de 11.4 Manejo de Errores de

Preguntas del Cliente. Documentos Fuente.
8.4 Monitoreo de Atención a 11.5 Retención de Documentos
Clientes. Fuente.
8.5 Análisis y Reporte de 11.6 Procedimientos de
Tendencias. Autorización de Entrada de
9.0 Administración de la Datos.
Configuración. 11.7 Chequeos de Exactitud,
9.1 Registro de la Suficiencia y Autorización.
Configuración. 11.8 Manejo de Errores en la
9.2 Base de la Configuración. Entrada de Datos.
9.3 Registro de Estatus. 11.9 Integridad de
9.4 Control de la Configuración Procesamiento de Datos.
9.5 Software no Autorizado. 11.10 Validación y Edición de
9.6 Almacenamiento de Procesamiento de Datos.
Software. 11.11 Manejo de Error en el
10.0 Administración de Procesamiento de Datos.
Problemas e Incidentes. 11.12 Manejo y Retención de
10.1 Sistema de Administración Salida de Datos.
de Problemas. 11.13 Distribución de Salida de
10.2 Escalamiento de Datos.
Problemas. 11.14 Balanceo y Conciliación de
10.3 Seguimiento de Problemas Datos de Salida
y Pistas de Auditoría. 11.15 Revisión de Salida de
11.0 Administración de Datos. Datos y Manejo de Errores
11.1 Procedimientos de 11.16 Provisiones de Seguridad
Preparación de Datos. para Reportes de Salida
11.2 Procedimientos de 11.17 Protección de Información
Autorización de Sensible durante
Documentos Fuente. transmisión y transporte.
11.3 Recopilación de Datos de
Documentos Fuente.
192
11.18 Protección de Información 12.2 Discreción de las

Crítica a de los Servicios Instalaciones de
de TI. Tecnología de Información.
11.19 Administración de 12.3 Escolta de Visitantes.
Almacenamiento. 12.4 Salud y Seguridad del
11.20 Períodos de Retención y Personal.
Términos de 12.5 Protección contra Factores
Almacenamiento. Ambientales.
11.21 Sistema de Administración 12.6 Suministro Ininterrumpido
de la Librería de Medios. de Energía.
11.22 Responsabilidades de la 13.0 Administración de
Administración de la Operaciones.
Librería de Medios de 13.1 Manual de procedimientos
proveedores externos de de Operación e
servicios. Instrucciones.
11.23 Respaldo y Restauración. 13.2 Documentación del
11.24 Funciones de Respaldo. Proceso de Inicio y de
11.25 Almacenamiento de Otras Operaciones.
Respaldo. 13.3 Calendarización de
11.26 Archivo. Trabajos.
11.27 Protección de Mensajes 13.4 Salidas de la
Sensitivos. Calendarización de
11.28 Autenticación e Integridad. Trabajos Estándar.
11.29 Integridad de 13.5 Continuidad de
Transacciones Procesamiento.
Electrónicas. 13.6 Bitácoras de Operación.
11.30 Integridad Continua de 13.7 Operaciones Remotas.
Datos Almacenados.
12.0 Administración de MONITOREO
Instalaciones. 1.0 Monitoreo del Proceso.
12.1 Seguridad Física. 1.1 Recolección de Datos de
Monitoreo.
193
1.2 Evaluación de Desempeño 3.5 Aseguramiento

1.3 Evaluación de la Satisfacción Independiente del
de Clientes Cumplimiento de leyes y
1.4 Reportes Gerenciales requerimientos regulatorios
2.0 Evaluar lo adecuado del y compromisos
Control Interno contractuales.
2.1 Monitoreo de Control Interno 3.6 Aseguramiento
2.2 Operación oportuna del Independiente del
Control Interno Cumplimiento de leyes y
2.3 Reporte sobre el Nivel de requerimientos regulatorios
Control Interno y compromisos
2.4 Seguridad de operación y contractuales.
aseguramiento de Control 3.7 Competencia de la
Interno. Función de Aseguramiento
3.0 Obtención de Independiente.
Aseguramiento 3.8 Participación Proactiva de
Independiente. Auditoría.
3.1 Certificación / Acreditación 4.0 Proveer Auditoría
Independiente de Control y Independiente.
Seguridad de los servicios 4.1 Estatutos de Auditoría
de TI. 4.2 Independencia.
3.2 Certificación / Acreditación 4.3 Ética y Estándares
Independiente de Control y Profesionales
Seguridad de proveedores 4.4 Competencia.
externos de servicios. 4.5 Planeación.
3.3 Evaluación Independiente 4.6 Desempeño del Trabajo de
de la Efectividad. Auditoría.
3.4 Evaluación Independiente 4.7 Reporte.
de la Efectividad de 4.8 Actividades de
proveedores externos de Seguimiento.
servicios.
194
Cooperativa de Ahorro y Crédito San Pío X - Cajamarca” Informática y de Sistemas - USP
ANEXO 10: PRINCIPIOS PARA EL EJERCICIO DE LA

AUDITORÍA DE TI
A continuación se presenta un conjunto de principios para el desarrollo de

la Auditoría de TI:
Estos toman elementos de las normas morales y reflejan el sentir

mayoritario de los profesionales a que van dirigidos, en cuanto a lo que se
considera como un adecuado comportamiento ético profesional, sirviendo
de reprobación moral de aquellas conductas contrarias a lo regulado en
los mismos.
 Principio de beneficio del auditado: El auditor deberá ver

cómo se puede conseguir la máxima eficacia y rentabilidad de los
medios informáticos de la empresa auditada, estando obligado a
presentar recomendaciones acerca del reforzamiento del sistema y el
estudio de las soluciones más idóneas según los problemas
detectados en el sistema informático. En ningún caso debe realizar el
trabajo bajo el prisma del propio beneficio sino que por el contrario su
actividad debe estar en todo momento orientada a sacar el máximo
provecho de su cliente.
 Principio de capacidad: El auditor debe estar plenamente

capacitado para la realización de la auditoría encomendada, teniendo
en cuenta que en la mayoría de los casos, dada su especialización,
puede ser extremadamente difícil verificar sus recomendaciones y
evaluar correctamente la precisión de las mismas.
 Principio de cautela: El auditor debe en todo momento ser

consciente de que sus recomendaciones deben estar basadas en la
experiencia contrastada que se le supone tiene adquiri
195
 da, evitando que por un exceso de vanidad, el auditado se embarque

en proyectos de futuro fundamentados en simples intuiciones sobre la
posible evolución de las nuevas tecnologías de la información.
 Principio de comportamiento profesional: El auditor tanto en

sus relaciones con el auditado como con terceras personas deberá, en
todo momento, actuar conforme a las normas, implícitas o explícitas
de dignidad de la profesión y de corrección en el trato profesional.
 Principio de concentración en el trabajo: En su línea de

actuación el auditor deberá evitar que un exceso de trabajo supere las
posibilidades de concentración y precisión en cada una de las tareas a
él encomendadas, ya que la saturación y dispersión de trabajos suele
a menudo, si no está debidamente controlada, provocar la conclusión
de los mismos sin las debidas garantías de seguridad.
 Principio de confianza: El auditor deberá facilitar e incrementar

la confianza del auditado con base en una actuación de transparencia
en su actividad profesional, sin alardes científicos técnicos, que por su
incomprensión puedan restar credibilidad a los resultados obtenidos y
a las directrices aconsejadas de actuación. Para fortalecer la confianza
mutua se requiere por ambas partes una disposición de diálogo sin
ambigüedades que permita aclarar las dudas que, a lo largo de la
auditoría, pudieran surgir sobre cualquier aspecto que pudieran
resultar conflictivos, todo ello con la garantía del secreto profesional
que debe regir en su relación.
 Principio de criterio propio: El auditor durante la ejecución de la

auditoría deberá actuar con criterio propio y no permitir que este esté
subordinado al de otros profesionales, aún de reconocido prestigio,
que no coincidan con el mismo.
196
 Principio de discreción: El auditor deberá en todo momento

mantener una cierta discreción en la divulgación de datos,
aparentemente inocuos, que se hayan puesto de manifiesto durante la
ejecución de la auditoría.
 Principio de economía: El auditor deberá proteger en la medida

de sus conocimientos los derechos económicos del auditado, evitando
generar gastos innecesarios durante el ejercicio de su actividad. En las
recomendaciones y conclusiones realizadas con base en su trabajo
deberá asimismo eludir, incitar o proponer actuaciones que puedan
generar gastos innecesarios o desproporcionados.
 Principio de formación continuada: Este principio

íntimamente relacionado al principio de capacidad y vinculado a la
continua evolución de las tecnologías de la información y las
metodologías relacionadas con las mismas, impone a los auditores el
deber y la responsabilidad de mantener una permanente actualización
de los conocimientos y métodos a fin de adecuarlos a las demandas y
las exigencias de la competencias de la oferta.
 Principio de fortalecimiento y respeto de la profesión: La

defensa de los auditados pasa por el fortalecimiento de la profesión de
los auditores informáticos, lo que exige un respeto por el ejercicio
globalmente considerado, de la actividad desarrollada por los mismos
y un comportamiento acorde con los requisitos exigibles para el idóneo
cumplimiento de la finalidad de las auditorías. Deberá promover el
respeto mutuo y la no confrontación entre compañeros.
 Principio de independencia: Muy relacionado con el de criterio

propio, obliga al auditor a exigir una total autonomía e independencia
197
en su trabajo, condición imprescindible para permitirle actuar

libremente según su leal saber y entender.
 Principio de información suficiente: Obliga al auditor a ser

plenamente de su obligación de aportar, en forma
pormenorizadamente clara, precisa e inteligible para el auditado,
información tanto sobre todos y cada uno de los puntos relacionados
con la auditoría que pueden tener interés para él, como sobre las
conclusiones a las que ha llegado, e igualmente informarle sobre la
actividad desarrollada durante la misma que ha servido de base para
llegar dichas conclusiones.
 Principio de integridad moral: Este principio, inherentemente

ligado a la dignidad de persona, obliga al auditor a ser honesto, leal y
diligente en el desempeño de su misión, a ajustarse a las normas
morales de justicia y probidad y a evitar participar, voluntaria o
inconscientemente en cualesquiera actos de corrupción personal o de
terceras personas.
 Principio de legalidad: En todo momento el auditor deberá utilizar

sus conocimientos para facilitar a los auditados o a terceras personas,
la contravención de la legalidad vigente. En ningún caso consentirá ni
colaborará en la desactivación o eliminación de dispositivos de
seguridad ni intentará obtener los códigos o claves de acceso a
sectores restringidos de información generados para proteger los
derechos, obligaciones o intereses de terceros.
 Principio de la no discriminación: El auditor en su actuación

previa, durante y posterior a la auditoría, deberá evitar inducir,
participar, o aceptar situaciones discriminatorias de ningún tipo,
198
debiendo ejercer su actividad profesional sin prejuicios de ninguna

clase y con independencia de las características personales, sociales
o económicas de sus clientes.
 Principio de no injerencia: El auditor, dada la incidencia que

puede derivarse de su tarea, deberá evitar injerencias en los trabajos
de otros profesionales, respetar su labor y eludir hacer comentarios
que pudieran interpretarse como despreciativos de la misma o
provocar un cierto desprestigio de su calificación profesional.
 Principio de precisión: Este principio exige del auditor la no

conclusión de su trabajo hasta estar convencido en la medida de lo
posible, de la viabilidad de sus propuestas, debiendo ampliar el
estudio del sistema informático cuanto considere necesario sin
agobios de plazos, siempre que se cuente con la aquiescencia del
auditado, hasta obtener dicho convencimiento.
 Principio de responsabilidad: El auditor deberá, como

elemento intrínseco de todo comportamiento profesional,
responsabilizarse de lo que haga, diga o aconseje, sirviendo esta
forma de actuar como cortapisa de injerencias extraprofesionales.
 Principio de secreto profesional: La confidencia y la confianza

son características esenciales de las relaciones entre el auditor y el
auditado e imponen al primero la obligación de guardar en secreto los
hechos e informaciones que conozca en el ejercicio de su actividad
profesional. Solamente por imperativo legal podrá decaer esa
obligación.
 Principio de servicio público: Incita al auditor a hacer lo que
esté en su mano para evitar daños sociales como los que pueden
producirse en los casos en que, durante la ejecución de la auditoría
descubra elementos de software dañinos (virus informáticos), que
199
puedan propagarse a otros sistemas informáticos diferentes del

auditado.
 Principio de veracidad: El auditor en sus comunicaciones con el

auditado deberá tener siempre presente la obligación de asegurar la
veracidad de sus manifestaciones con los límites impuestos por los
deberes de respeto, corrección y secreto profesional.
En tanto estos principios no estén plenamente asumidos, como

configuradores de la dimensión ética de la profesión, puede apelarse a los
comportamientos morales individuales. En nuestro caso los hemos
incluido por considerarlos de utilidad para la conformación de criterios
orientadores sobre la manera en que la Auditoría de TI debe orientar sus
actuaciones.
ANEXO 11: NORMAS PERUANAS EN CONTROL

INFORMÁTICO
200
Fecha Referencia Descripción La Gaceta Área(s)

temática(s)
3/05/1994 Ley N° 7397 Reformas a la Ley N° 89 del Propiedad

sobre Derechos de 10/5/1994 intelectual; tutela
Autor y Derechos jurídica del
Conexos - ver software y de las
también leyes 7979 y bases de datos
8039 más abajo
1/8/1995 Ley N° 7535 Ley de Justicia N° 175 del Delitos

Tributaria, reforma 14/9/1995 informáticos
los artículos 93 a 97
del Código de
Normas y
Procedimientos
Tributarios - ver ley
7900 más abajo
20/10/1995 Ley N° 7557 Ley General de N° 212 del Delitos

Aduanas, Título 10, 8/11/1995 informáticos
"Delitos Aduaneros,
Infracciones
Administrativas y
Tributarias" (artículos
221, 222)
1/11/1995 Circular Contraloría General N° 24 del Auditoria

de la República, 2/2/1996 informática
"Manual sobre
normas técnicas de
control interno
relativas a los
sistemas de
información
computadorizados"
23/4/1999 Ley N° 7874 Exoneración de N° 87 del Tutela jurídica del

impuestos y control 6/5/1999 software. Declara
de precios para las de interés público
producciones y exonera de
literarias, educativas, impuestos "la
científicas, creación,
tecnológicas, producción,
artísticas, deportivas edición, impresión,
y culturales reproducción,
201

temática(s)
importación,
comercialización y
exportación"
-entre otros
bienes- de obras
"editadas con
nuevas
tecnologías" (sic)
y programas
informáticos que
hayan sido
calificados como
"producciones de
interés público".
Reglamento:
decreto ejecutivo
N° 33409-C-MEP-
H-MEIC-MICIT del
27/9/2006.
3/8/1999 Ley N° 7900 Reforma los artículos N° 159 del Delitos

94 a 97 del Código 17/8/1999 informáticos
de Normas y
Procedimientos
Tributarios
17/12/1999 Ley N° 7961 Ley de protección a Nº 13 del Propiedad

los sistemas de 19/1/2000 intelectual
trazado de los
circuitos integrados
6/1/2000 Ley N° 7979 Reformas a la Ley N° 21 del Tutela jurídica del

sobre Derechos de 31/1/2000 software y de las
Autor y Derechos bases de datos
Conexos y a la Ley
de Patentes de
Invención, Dibujos y
Modelos Industriales
y Modelos de Utilidad
- ver también ley
8039 más abajo
18/09/2001 Ley N° 8131 Ley de N° 198 del Responsabilidad
202

temática(s)
Administración 16/10/2001 administrativa y

Financiera de la penal por delitos
República y informáticos
Presupuestos
Públicos. Artículos
110 y 111
24/10/2001 Ley N° 8148 Adición de los Nº 216 del Delitos

artículos 196 bis 9/11/2001 informáticos
("Violación de (Alcance N°
comunicaciones 81)
electrónicas"), 217
bis ("Fraude
informático") y 229
bis ("Alteración de
datos y sabotaje
informático") al
Código Penal, Ley N°
4573 para reprimir y
sancionar los delitos
informáticos [1]
3/1/2002 Ley N° 8207 Declaratoria de N° 10 del Informática

utilidad pública del 15/1/2002 jurídica; incentivos
programa de (Alcance N° tributarios a la
informática educativa 6) Fundación Omar
Dengo
1/2/2002 Decreto Directrices relativas N° 37 del Propiedad

ejecutivo N° al empleo ilegal de 21/2/2002 intelectual; tutela
30151-J software en las jurídica del
oficinas software
gubernamentales y
autorización para el
empleo de software
libre
1/8/2002 Decreto Asigna a la Academia Nº 164 del Propiedad

ejecutivo N° Nacional de Ciencias 28/8/2002 intelectual;
30628-MICIT, la administración del nombres de
artículo 24 ccTLD .cr dominio
5/8/2003 Directriz N° 26 Directriz dirigida a los N° 169 del Autodeterminación
203

temática(s)
Ministros de Estado y 3/9/2003 informativa

Presidentes
Ejecutivos en
relación con el
manejo de bases de
datos con
información personal
de los ciudadanos
20/1/2004 Decreto Crea la Comisión Nº 54 del Informática

ejecutivo N° Nacional de 17/3/2004 jurídica
31681-MICIT- Tecnologías de la
P Información
(CONATIC)
26/4/2004 Decreto Reglamento de N° 88 del Derechos

ejecutivo N° control y regulación 6/5/2004 fundamentales
31763-MP- de locales que (regulación del
SP-S-MNA ofrecen servicio acceso a los
público de Internet contenidos)
4/8/2004 Reglamento Radiográfica N° 151 del Derechos

Costarricense, S.A. 4/8/2004 fundamentales;
(RACSA), libertad de
"Reglamento expresión y de
Autónomo de comercio; spam
Servicio para la
Regulación del
Correo Electrónico
Masivo o no
Deseado"
18/8/2004 Acuerdo N° Junta Administrativa N° 221 del Informática

3.2 del Archivo Nacional, 11/11/2004 jurídica
"Directriz con las
regulaciones técnicas
sobre la
administración de los
documentos
producidos por
medios automáticos"
24/8/2004 Decreto Creación de la N° 217 del Informática
204

temática(s)
ejecutivo N° Comisión Internet 5/11/2004 jurídica

32083-MICIT Costa Rica
? Acuerdo N° ? Academia Nacional N° 176 del Propiedad

de Ciencias, 13/9/2005 intelectual;
"Políticas para el nombres de
Funcionamiento del dominio
Dominio Superior
CR"
8/3/2005 Decreto Reglamento de la N° 163 del Propiedad

ejecutivo N° Ley de Protección a 25/8/2005 intelectual
32558-J- los Sistemas de
COMEX Trazado de los
Circuitos Integrados
28/4/2005 Directriz Nº ? Sobre el N° 121 del Informática

establecimiento de 23/6/2005 jurídica; derechos
sitios web en las fundamentales
entidades públicas (acceso a la
información
pública)
12/7/2005 Decreto Creación de la Nº 174 del Regulación de las

ejecutivo Nº Subcomisión Técnica 9/9/2005 TIC
32596-MICIT de Indicadores para
las Tecnologías de
Información y la
Comunicación
28/7/2005 Reglamento Junta Administrativa N° 164 del Autodeterminación

del Registro 26/8/2005 informativa
Nacional,
"Reglamento para la
venta de información
contenida en las
bases de datos del
Registro Nacional"
30/8/2005 Ley N° 8454 Ley de certificados, N° 197 del Informática

13/10/2005 jurídica; e-
firmas digitales y comercio;
documentos gobierno digital;
205

temática(s)
electrónicos procedimiento
electrónico
19/7/2005 Decreto Declara de interés N° 203 del Regulación de las

ejecutivo N° público las 21/10/2005 TIC
32700-PLAN- actividades
MICIT-MEIC- científicas,
COMEX tecnológicas,
industriales y
comerciales de las
tecnologías de la
información y de la
comunicación (TIC)
20/3/2006 Decreto Reglamento a la Ley N° 77 del Informática

ejecutivo Nº de certificados, 21/4/2006 jurídica; e-
33018-MICIT firmas digitales y comercio;
documentos gobierno digital;
electrónicos procedimiento
electrónico
8/5/2006 Decreto Crea la Comisión N° 95 del Informática

ejecutivo N° Intersectorial de 18/5/2006 jurídica; gobierno
33147-MP Gobierno Digital digital
26/6/2006 Decreto Reglamento para la Nº 207 del Informática

ejecutivo Nº Presentación de 30/10/2006 jurídica; prevé el
33398-C Índices registro
electrónico de
índices notariales,
firmados
digitalmente (ver
transitorio 1)
18/12/2006 Reglamento Dirección General de N° 33 del Informática

N° 29-06 Tributación Directa, 15/2/2007 jurídica; gobierno
autoriza a todo digital
contribuyente a
utilizar Internet para
enviar y pagar sus
declaraciones a la
Administración
Tributaria
206

temática(s)
22/3/2007 Reglamento Reglamento de uso N° 64 del Informática

N° R-CO-14- de los certificados 30/3/2007 jurídica; e-
2007 digitales de la comercio;
Contraloría General gobierno digital;
de la República procedimiento
electrónico
207

Capitulo Vi 0

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Capitulo Vi 0

Diunggah oleh

Hak Cipta:

Format Tersedia

“Análisis de Riesgos en los Sistemas de Información en la

Cooperativa de Ahorro y Crédito San Pío X - Cajamarca” Informática y de Sistemas –USP

6.1. DIRECCIONES ELECTRÓNICAS

 [URL 01] “La Auditoría al Sistema de Organización y Gestión

 [URL 02] “Autoritat de Certificación de la Comunitat

 [URL 03] “¿Que es Análisis?”

 [URL 04] “Aplicación Informática”

 [URL 05] “La Información en el Proceso de Auditoría”

 [URL 06] “Informe de Gestión de la SBS”

 [URL 07] “¿Qué es la Fenacrep?”

 [URL 08] “Introducción al desarrollo de los Sistemas de

 [URL 09] “Entidad Financiera”

 [URL 10] “Red de Computadoras”

 [URL 11] “¿Qué es el Riesgo?”

 [URL 12] “Sistema Bancario”

 [URL 13] “Sistema Informático”

 [URL 14] “Análisis de Riesgos”

 [URL 15] “La Administración de Riesgos Empresarial en el

 [URL 16] “Sistema Financiero”

 URL 17] “Un Balance del Sistema Financiero Peruano para el

 [URL 18] “Listado de Cooperativas”

 [URL 19] “Los Sistemas de Información”

 [URL 20] “Los Sistemas de Información y su Importancia

 [URL 21] “Auditoría Informática”

 [URL 22] “Auditoria aplicada a la seguridad en redes de

 [URL 23] “Auditoría de los Sistemas de Información”

 [URL 24] “El Modelo COBIT para Auditoría y Control de

 [URL 25] “ COBIT4_ Español”

 [URL 26] “CobiT”

 [URL 27] “Trabajo de AuditorÍa: Normas COBIT”

6.2. FUENTES BIBLIOGRÁFICAS

 [CHP 00] “Análisis de Riesgos en los Sistemas de Información

 [GVP 98] “Auditoría Informática: un enfoque práctico”.

 [ACH 94] “Auditoría Informática en las Empresas”. Editorial

 [JYP 98] “Deontología del Auditor Informático y Códigos Eticos”

 [ BEC 99] “Auditoría de los Sistemas de Información”

 [RMC 00] "Metodología de Gerencia de Riesgo Financiero”

ANEXO 1: GENERALIDADES Y ESTRUCTURA ORGÁNICA

1. OBJETIVO DEL MANUAL

a. Normar la estructura organizativa interna que delimite claramente

c. Manual de Organización y Funciones de la Cooperativa de Ahorro

ORGANIZACIÓN, OPERACIONES DIRECTIVOS Y

La Cooperativa de Ahorro y Crédito San Pío X Ltda., en adelante

Órgano encargado de la conducción general de la Cooperativa, en

Las funciones básicas del órgano de dirección son:

El órgano de dirección en la cooperativa es la Asamblea General

Órgano encargado de conducir las elecciones de los delegados a

Es designado por la Asamblea General de Delegados con la

Órganos encargados de la gestión integral de la Cooperativa,

Los órganos de administración orientan su accionar hacia la

Las funciones básicas de los órganos de administración son:

Constituyen los órganos de administración de la cooperativa:

Los órganos de control constituyen la conciencia de la organización

Los órganos de control en la Cooperativa están constituidos por:

Conformado por Asesoría Legal y los consultores y asesores

técnicas en temas específicos que requieren de cierta

Los órganos de asesoría tiene la función básica de permitir tanto a

Los órganos de asesoría de la Cooperativa lo conforman:

Integrados por profesionales o técnicos especialistas, cuya función

Los órganos de apoyo de: la Cooperativa se denominan áreas y

También constituye un órgano de apoyo, el Comité Técnico de

Los órganos de línea tienen como labor primordial realizar

La autoridad para administrar y gestionar ha sido conferida a los

Los órganos de línea en la Cooperativa se denominan