Informe Auditoria

ALGUN DIA

INFORME DEL EXAMEN ESPECIAL AL DEPARTAMENTO DE INFORMÁTICA Del 1 de enero 2004 al 30 de marzo de 2010

Informe de Acción de Control N.º 002-2010-2-3620

ÍNDICE

Pág.

Síntesis gerencial 3

I. INTRODUCCIÓN 4

1

Origen del examen

4

2

Naturaleza y objetivos del examen

4

3

Alcance del examen

5

4

Otros aspectos de importancia

8

II.

OBSERVACIONES

9

III.

CONCLUSIONES

16

IV.

RECOMENDACIONES

17

Anexos

Anexo N.º 1 - Relación de funcionarios comprendidos en las observaciones

Anexo N.º 2 - Copia del Memorándum de Control Interno

Anexo N.º 3 - Medidas correctivas de las deficiencias de control interno

INFORME DEL EXAMEN ESPECIAL AL DEPARTAMENTO DE INFORMATICA

Período del 01.01.09 al 31.03.10

Síntesis gerencial

El presente Examen Especial comprende la evaluación de los Sistemas Informáticos con los que cuenta la Entidad, los mecanismos de seguridad informáticos, los mecanismos de contingencias y recuperación de desastres y la implantación del control interno en el departamento de Informática dentro del período del 01.01.09 al 31.03.10.

Las principales conclusiones del trabajo realizado son las siguientes:

1. El departamento de Informática realiza básicamente labores de soporte a los usuarios, no habiendo actividades de desarrollo de Sistemas.

2. El departamento de Informática no cuenta con normatividad esencial para su funcionamiento. Específicamente no cuenta con una Plan de Contingencias adecuado y además no cuenta con un Plan Estratégico de Sistemas.

3. Algunos procedimientos del área no se encuentran normados.

4. La ejecución del proceso del backup se considera expuesta a demasiado riesgo, toda vez que los backups no son almacenados adecuadamente en un lugar seguro.

Como resultado de esta acción de control se identificaron seis (6) observaciones, y diversas deficiencias de control interno entre las que destacan las relacionadas con deficiencias en la seguridad física, ejecución de backups de software base y la documentación relacionada, por lo que con la finalidad de promover la superación de las causas que las motivaron, se proponen las siguientes recomendaciones tanto al Comité Directivo, Gerencia Mancomunada, Gerencia de Administración y Gerencia Técnica:

* * *

I. INTRODUCCIÓN

A continuación se presenta información general sobre el presente Examen Especial al Departamento de Informática de la Federación Peruana de Cajas Municipales de Ahorro y Crédito, ALGUN DIA.

1. Origen del examen

El Examen Especial al Departamento de Informática, por el período comprendido entre el 01.01.09 y 30.03.10, se realiza en cumplimiento del Plan Anual de Control para el 2010 del Órgano de Control Institucional de la ALGUN DIA, aprobado mediante Resolución de Contraloría N.º xxx-xxx-CG publicada en el diario oficial El Peruano el xx de xxxx de 200x.

Cabe señalar que, de acuerdo con los lineamientos de política del Sistema Nacional de Control, dentro de esta acción de control se ha considerado el control presupuestal, la implantación de mecanismos de control interno y, complementariamente, los resultados de gestión, en cuanto al logro de objetivos y metas institucionales, en áreas vinculadas con la finalidad de la entidad.

Es importante destacar que las áreas relacionadas con el Departamento de Informática no han sido materia de acciones de control posterior en los últimos dos años.

2. Naturaleza y objetivos del examen

Esta acción de control consiste en un Examen Especial y tiene como objetivos general y específicos los siguientes:

Objetivo General

Evaluar el adecuado uso de las Tecnologías de Información incidiendo en software, hardware, comunicaciones, seguridad y control de calidad, así como evaluar la adecuada organización, planificación y administración del Área de Informática.

Objetivos específicos

a) Evaluar el Sistema Informático con el que cuenta la Entidad, determinando si los aplicativos actuales satisfacen las necesidades de la Entidad, la interrelación de sus aplicativos, su grado de funcionamiento y los controles implementados.

b) Evaluar los mecanismos de Seguridad Informáticos implantados en la Entidad para asegurar la integridad de la información y de los recursos informáticos de la Entidad.

c) Evaluar los mecanismos de Contingencias y recuperación de desastres de la Oficina de Informática para minimizar los riesgos de interrupciones y/o paralizaciones en el servicio..

d) Determinar el grado de cumplimiento del sistema de Control Interno del departamento de Informática.

3. Alcance del examen

El alcance del Examen Especial al Departamento de Informática está referido a todas las acciones de control posterior y demás actividades desarrolladas para lograr un adecuado y oportuno funcionamiento de los sistemas de la ALGUN DIA, ejecutadas durante el periodo comprendido entre el 01.01.09 y 30.03.10.

De acuerdo con el Plan Anual de Control 2010, los procesos ó áreas a ser examinados serán la administración eficiente de los recursos destinados al desarrollo de actividades del Departamento de Informática; el nivel de seguridad de los recursos informáticos, el nivel de cumplimiento de objetivos del área; aplicación de las normas legales e internas que regulan la labor de informática y la realización de las labores del área.

El examen fue realizado de acuerdo con las Normas de Auditoria Gubernamental – NAGUs y el Manual de Auditoria Gubernamental – MAGU; y comprendió la revisión y análisis, en forma selectiva, de la información que obra en el Departamento de Informática y en otras áreas de la Entidad, relacionada con los hechos y actividades materia de examen, según la materialidad, mediante la aplicación de procedimientos analíticos, con la profundidad necesaria para obtener la evidencia suficiente y competente correspondiente, sin afectar a los principios de eficiencia, efectividad y economía que rigen el control gubernamental.

El presente examen especial se desarrolló en la cuidad de Lima, en las instalaciones del local institucional de la ALGUN DIA. El plazo inicialmente estimado para el desarrollo de este examen se vio ampliado debido a la solicitud de ampliación de plazo presentada por el Gerente Técnico y la Directora de Informática para la presentación de sus comentarios y aclaraciones en relación con los hallazgos comunicados; así como al plazo adicional otorgado a los mencionado funcionarios según se indica en el numeral 5 Comunicación de Hallazgos.

4. Otros aspectos de importancia

Por ser de importancia para los fines del presente informe, es preciso resaltar los siguientes hechos o circunstancias verificados durante el desarrollo de esta acción de control posterior, relacionados con los objetivos de ésta y con las situaciones evidenciadas en la Entidad:

a) Durante la revisión del software con el que cuenta la Entidad, se pudo apreciar que la Entidad no cuenta con un aplicativo que le permita llevar el control de las partidas presupuestales. Se pudo evidenciar que actualmente, el sistema de Contabilidad SISCONT no cuenta con información de control que sirva como instrumento para la toma de decisiones relacionadas al Presupuesto. Las actividades de formulación y control de los montos ejecutados y pendientes son realizadas de forma manual.

b) De la revisión a la seguridad lógica de la Entidad, se encontró que los Servidores

Novell y Windows que se encuentran dentro de las instalaciones de la Sala de

Servidores no contaban con una contraseña de protección de la consola que proteja el acceso a dichos Servidores. Sin embargo durante el transcurso de nuestra revisión, se pudo comprobar que dicho control ya había sido implementado.

II. OBSERVACIONES

Durante el desarrollo de esta acción de control se determinaron las siguientes observaciones, las cuales incluyen los comentarios y aclaraciones de los funcionarios de la Entidad.

1. ALGUNAS TABLAS DEL SISTEMA CMACSI NO CUENTAN CON LLAVE PRIMARIA

De la revisión a la estructura de la Base de Datos del Sistema GERCSI (Sistema de Información Gerencial), se evidenció que de un total de 90 tablas, 18 tablas

...