El documento presenta información sobre la auditoría de la gestión de las tecnologías de la información. Describe brevemente la problemática actual de la gestión TI, haciendo referencia a informes como el Standish Chaos Report. Luego introduce la Metodología para la Auditoría Integral de la Gestión de Tecnología de Información (MAIGTI), la cual se basa en estándares internacionales como COBIT, ISO/IEC 12207 y ISO/IEC 17799. Finalmente, resume los principales procesos cubiertos por estos estándares en relación con
1. AUDITORÍA DE LA GESTIÓN DE LAS
TECNOLOGÍAS DE INFORMACIÓN
31 Mar 2009
Emigdio Alfaro
2. CONTENIDO
1. Problemática de la Gestión de las TI.
2. MAIGTI.
3.
3 MAIGTI – Desarrollo de la Metodología
Metodología.
4. MAIGTI – Aplicaciones.
5. MAIGTI – Procedimientos.
6. Referencias.
Emigdio Alfaro 2
3. 1. Problemática de la Gestión de las TI
IT Governance Institute (2008). IT Governance Global Status Report 2008
( )
749 entrevistas:
CEOs, CIOs, COOs, CFOs, y auditores.
652 entrevistas de manera aleatoria.
71 entrevistas a usuarios de COBIT conocidos.
26 entrevistas a usuarios experimentados de COBIT
COBIT.
23 países de todos los continentes.
Emigdio Alfaro 3
4. 1. Problemática de la Gestión de las TI
IT Governance Institute (2008). IT Governance Global Status Report 2008
( )
Emigdio Alfaro 4
5. 1. Problemática de la Gestión de las TI
IT Governance Institute (2008). IT Governance Global Status Report 2008
( )
Emigdio Alfaro 5
6. 1. Problemática de la Gestión de las TI
IT Governance Institute (2008). IT Governance Global Status Report 2008
( )
Emigdio Alfaro 6
7. 1. Problemática de la Gestión de las TI
IT Governance Institute (2008). IT Governance Global Status Report 2008
Emigdio Alfaro 7
8. 1. Problemática de la Gestión de las TI
IT Governance Institute (2008). IT Governance Global Status Report 2008
Compound Problem Index = f(Frecuencia, Severidad, Evolución
del Último Año, Prioridad para resolución Próximo Año)
Emigdio Alfaro 8
9. 1. Problemática de la Gestión de las TI
IT Governance Institute (2008). IT Governance Global Status Report 2008
Emigdio Alfaro 9
10. 1. Problemática de la Gestión de las TI
IT Governance Institute (2008). IT Governance Global Status Report 2008
Emigdio Alfaro 10
11. 1. Problemática de la Gestión de las TI
STANDISH CHAOS REPORT (Standish Group, 1995)
175,000 proyectos de software en USA.
Gasto mayor a US$ 250 billones
billones.
Costo Promedio Proyecto en Gran Empresa: US$ 2’322,000.
Costo P
C t Promedio P
di Proyecto en M di
t Mediana E
Empresa: US$ 1’331 000
1’331,000.
Costo Promedio Proyecto en Pequeña Empresa: US$ 434,000.
Proyectos de Software están en CAOS. No se puede seguir actuando
igual: no escuchar fallas, no ver fallas, no hablar de fallas.
Emigdio Alfaro 11
12. 1. Problemática de la Gestión de las TI
STANDISH CHAOS REPORT (Standish Group, 1995)
31.1% de los proyectos serán cancelados antes de ser completados.
52.7%
52 7% de los proyectos costarán 189% de los costos estimados iniciales
iniciales.
En promedio se demoraron 222% del tiempo estimado inicial.
En promedio, 61% de las especificaciones originales fueron incluidas.
16.2% fueron completados a tiempo y con el presupuesto estimados.
Emigdio Alfaro 12
13. 1. Problemática de la Gestión de las TI
STANDISH CHAOS REPORT (Standish Group, 1995)
En empresas grandes sólo 9% de los proyectos fueron completados a
tiempo y con el presupuesto, y sólo el 42% de ellos cumplieron las
especificaciones originales
originales.
En empresas pequeñas 78.4% de los proyectos completaron al menos
74.2% d l
74 2% de las especificaciones originales.
ifi i i i l
Agencias del g
g gobierno y firmas de USA g
gastaron US$ 81 billones en
proyectos cancelados. Además, gastarán US$ 59 billones adicionales
para completar otros proyectos.
Los costos de oportunidad no son medibles; pero, podrían ser trillones.
Emigdio Alfaro 13
14. 1. Problemática de la Gestión de las TI
STANDISH CHAOS REPORT (Rubinstein, 2007)
Proyectos Exitosos: Año 2006, 32% (antes 16.2%, 1994).
Proyectos Cancelados: Año 2006 19% (antes 31 1% 1994)
2006, 31.1%, 1994).
Proyectos Desafiados: Año 2006, 46% (antes 52.7%, 1994).
Emigdio Alfaro 14
15. 1. Problemática de la Gestión de las TI
Alfaro (2008). Avance en la Implementación de las Normas Técnicas
Peruanas de Gestión de Tecnología de Información
R. M. N 179-2004-PCM, 14 Junio 2004. NTP-ISO/IEC 12207:2004.
N° 179 2004 PCM, NTP ISO/IEC
Procesos del Ciclo de Vida del Software.
R. M. N 224-2004-PCM,
R M N° 224 2004 PCM 23 Julio 2004 NTP ISO/IEC 17799:2004
2004. NTP-ISO/IEC 17799:2004.
Código de Buenas Prácticas de Gestión de la Seguridad de la
Información.
R. M. N° 395-2005-PCM y R. M. N° 396-2005-PCM, 8 Noviembre 2005.
Modifican plazo hasta el 30 Junio 2006.
Emigdio Alfaro 15
16. 1. Problemática de la Gestión de las TI
Alfaro (2008). Avance en la Implementación de las Normas Técnicas
Peruanas de Gestión de Tecnología de Información
11 Agosto 2006 D U 020 2006 Dictan Normas de Austeridad y
2006. D.U. 020-2006
Racionalidad en el Gasto Público.
18 Agosto 2006. D.U. 021-2006 Dictan Medidas Complementarias al
D.U. 020-2006.
Emigdio Alfaro 16
17. 1. Problemática de la Gestión de las TI
Alfaro (2008). Avance en la Implementación de las Normas Técnicas
Peruanas de Gestión de Tecnología de Información
45 entidades convocaron 83 procesos de selección.
45 entidades (4.39%) de las 1026 usuarias de T.I. (en total 2972, según
INEI 2002) realizaron acciones para la implementación de las normas
técnicas de gestión de T.I. a un costo de S/. 2’760,718.
Sólo 13 entidades (1.27%) habrían logrado implementar la NTP-
ISO/IEC 12207. El costo total por esta norma fue S/. 912,457.
Sólo 13 entidades (1.27%) habrían logrado implementar la NTP-
ISO/IEC 17799. El costo total por esta norma fue S/. 1’848,261.
Emigdio Alfaro 17
18. 1. Problemática de la Gestión de las TI
Alfaro (2008). Avance en la Implementación de las Normas Técnicas
Peruanas de Gestión de Tecnología de Información
TIPOS DE SERVICIOS EN LOS PROCESOS DE SELECCIÓN RELACIONADOS A
LAS NORMAS TÉCNICAS PERUANAS DE GESTIÓN DE TECNOLOGÍA DE
INFORMACIÓN
TIPO DE SERVICIO ISO 12207 ISO 17799
Diagnóstico 2 11
Diagnóstico y Plan de Implementación 3 10
Plan de Implementación, P líti
Pl d I l t ió Políticas, P
Procedimientos, y
di i t
Capacitación (Implementación Completa) 5 2
Diagnóstico, Plan de Implementación, Políticas,
Procedimientos, y Capacitación ( p
p (Implementación Completa)
p ) 8 11
Asesoría 0 3
Auditoría Interna 0 1
Personal de Apoyo para Implementación 10 9
Actualización a versión posterior 0 1
Capacitación 2 5
TOTAL 30 53
Tabla 2: Tipos de servicios prestados como consecuencia de los procesos de selección
adjudicados, relacionados con las normas técnicas peruanas de Gestión de TI
Emigdio Alfaro 18
19. 1. Problemática de la Gestión de las TI
Alfaro (2007). Los ERPs ¿Generan o Destruyen Valor?
Algunos errores comunes en la Implantación de Sistemas de
Información ERPs son los siguientes:
ERPs,
A. Proyecto aislado del Plan Estratégico de la Organización.
B. No se hace participar al usuario en la definición de requerimientos.
C.
C El usuario toma a la ligera su responsabilidad en la definición de
f
requerimientos.
D. El personal de Informática no conoce los procesos de gestión a ser
soportados por los sistemas de información.
Emigdio Alfaro 19
20. 1. Problemática de la Gestión de las TI
Alfaro (2007). Los ERPs ¿Generan o Destruyen Valor?
Algunos errores comunes en la Implantación de Sistemas de
Información ERPs, son los siguientes:
E. Se trata de minimizar cambios y se sugiere que la empresa cambie
sus procesos de acuerdo a la configuración estándar del ERP .
F. Se personaliza el ERP a las necesidades de la empresa; sin embargo,
los requerimientos cambian continuamente por no tener claros tanto
la estrategia como los procesos para llevarla a cabo.
G.
G No se sig e los procesos formales del ciclo de vida del soft are En
sigue ida software.
especial: Plan de Pruebas, Plan de Integración y Plan de Migración.
Emigdio Alfaro 20
21. 2. MAIGTI
Normas relacionadas a la Gestión de las TI:
Normas de Contraloría General de la República.
Normas de la SBS.
Normas Internacionales:
COBIT MAGERIT PMBOK
ISO/IEC 12207 IEEE 1058
IEEE-1058 COSO
ISO/IEC 17799 MoProSoft ERM
ISO/IEC 27001 CMM ISO 9001
ISO/IEC 20000 Métrica 3 ISO 19011
Emigdio Alfaro 21
22. 2. MAIGTI
Alfaro (2008). MAIGTI - Metodología para la Auditoría Integral de la
Gestión de Tecnología de Información.
El objetivo del estudio fue el desarrollo de una metodología para la
auditoría integral de la gestión de la tecnología de información (MAIGTI)
(MAIGTI),
enfocada en procesos, y basada en estándares de calidad internacionales.
Emigdio Alfaro 22
23. 2. MAIGTI
2.1 COBIT.
2 1 COBIT Control Objectives for Information and related Technologies
Technologies.
Grupos de Objetivos de Control de COBIT:
a) Planificación y Organización.
b) Adquisición e Implementación.
c) Entrega de Servicios y Soporte.
d) Monitoreo y Control.
Emigdio Alfaro 23
24. 2. MAIGTI
2.2 ISO/IEC 12207 Procesos del Ciclo de Vida del Software
A. Procesos Principales. Incluye: (a) Adquisición; (b) Suministro; (c)
Desarrollo; (d) Operación; y (e) Mantenimiento
Mantenimiento.
B. Procesos de Apoyo. Incluye: (a) Documentación; (b) Gestión de
la Configuración; (c) Aseguramiento de la Calidad; (d) Verificación;
(e) Validación; (f) Revisión Conjunta; (h) Auditoría; y (i) Solución
de Problemas.
C. Procesos Organizativos. Incluye: (a) Gestión; (b) Infraestructura;
(c) Mejora; y (d) Recursos Humanos
Humanos.
Emigdio Alfaro 24
25. 2. MAIGTI
2.3 ISO/IEC 17799 Código de Buenas Prácticas de Gestión de la
Seguridad de la Información
A. Evaluación y Tratamiento del Riesgo.
B. Política de Seguridad. Incluye: (a) Documento de Política de
Seguridad de la Información; y (b) Revisión y Evaluación.
C. Aspectos Organizativos de la Seguridad. Incluye: (a) Estructura
para la Seguridad de la Información (Comité Recursos
(Comité, Recursos,
Responsabilidades, Asesoría de Expertos, Colaboración entre
organizaciones y Evaluación Independiente); (b) Seguridad en los
accesos de terceras partes; y (c) Outsourcing
Outsourcing.
D. Clasificación y Control de Activos. Incluye: (a) Responsabilidades
sobre los activos; y (b) Clasificación de la Información.
Emigdio Alfaro 25
26. 2. MAIGTI
2.3 ISO/IEC 17799 Código de Buenas Prácticas de Gestión de la
Seguridad de la Información
E. Seguridad Ligada al Personal. Incluye: (a) Seguridad en la Definición
del Trabajo y Recursos; (b) Formación y capacitación en seguridad de
la información; y (c) Respuesta ante incidencias y malos
funcionamientos de la seguridad.
F. Seguridad Física y del Entorno. Incluye: (a) Áreas Seguras; (b)
Seguridad de los equipos; y (c) Controles Generales.
G. Gestión de Comunicaciones y Operaciones. Incluye: (a)
Procedimientos y Responsabilidades de Operación; (b) Planificación y
Aceptación del Sistema; (c) Protección contra software malicioso; (d)
Gestión Interna de Respaldo y Manipulación; (e) Gestión de redes; (f)
Uso y seguridad de los medios de información; y (g) Intercambio de
Información y Software.
Emigdio Alfaro 26
27. 2. MAIGTI
2.3 ISO/IEC 17799 Código de Buenas Prácticas de Gestión de la
g
Seguridad de la Información
H. Control de A
H C t l d Accesos. I l Incluye: ( ) R
(a) Requisitos d negocio para el control
i it de i l t l
de accesos; (b) Gestión de acceso a usuarios; (c) Responsabilidades
de los usuarios; (d) Control de acceso a la red; (e) Control de acceso al
sistema operativo; (f) Control de acceso a las aplicaciones; (g)
Seguimiento de accesos y usos del sistema; (h) Informática móvil y
teletrabajo.
j
I. Adquisición, Desarrollo y Mantenimiento de Sistemas. Incluye: (a)
Requisitos de seguridad en los sistemas; (b) Seguridad de las
aplicaciones; (c) Controles criptográficos; (d) Seguridad de los archivos
del sistema; y (e) Seguridad en los procesos de desarrollo y soporte.
Emigdio Alfaro 27
28. 2. MAIGTI
2.3 ISO/IEC 17799 Código de Buenas Prácticas de Gestión de la
g
Seguridad de la Información
J. Gestión d I id t d S
J G tió de Incidentes de Seguridad de la Información.
id d d l I f ió
K. Gestión de la Continuidad del Negocio. Incluye: ( ) Planificación; (b)
g y (a) ;( )
Prueba; y (c) Mantenimiento y reevaluación de los planes de
continuidad.
L. Cumplimiento. Incluye: (a) Cumplimiento de los requisitos legales; (b)
Revisiones de la política de seguridad y la conformidad técnica; y (c)
Consideraciones sobre l auditoría d sistemas.
C id i b la di í de i
Emigdio Alfaro 28
29. 2. MAIGTI
2.4 ISO/IEC 20000 Modelo de Gestión de Servicios de T.I. (ITIL:
(
Information Technology Infrastructure Library)
A. Acuerdos d niveles d servicio y procedimientos d atención d
A A d de i l de i i di i t de t ió de
requerimientos de sistemas en producción (desarrollo de software y
soporte técnico).
B. Service Desk.
C. Gestión de Incidentes.
D. Gestión de Problemas.
E.
E Gestión de Cambios
Cambios.
F. Gestión de Versiones.
G.
G Gestión de Configuraciones
Configuraciones.
Emigdio Alfaro 29
30. 2. MAIGTI
2.5 PROJECT MANAGEMENT BODY OF KNOWLEDGE
GRUPOS DE PROCESOS: ÁREAS DE CONOCIMIENTO:
a) Inicio. a) Gestión de la Integración.
b) Planificación. b) Gestión del Alcance.
c) Ejecución.
Ejecución c) Gestión del Tiempo
Tiempo.
d) Seguimiento y Control. d) Gestión del Costo.
e) Cierre.
Cierre e) Gestión de la Calidad.
Calidad
f) Gestión de los Recursos Humanos.
g)
) Gestión de las Comunicaciones.
G ió d l C i i
h) Gestión de los Riesgos.
i) Gestión de las Adquisiciones.
Emigdio Alfaro 30
31. 2. MAIGTI
2.6 Alcances de las Normas con respecto a la Auditoría de la Gestión
de Tecnología de Información
No se ha encontrado una metodología orientada a la auditoría integral
de la gestión de la tecnología de información en una organización, con
la excepción del uso del p
p proceso ggeneral de auditoría (
(ISO 19011)
)
teniendo en cuenta los objetivos de control de las normas
gubernamentales o los estándares internacionales.
Emigdio Alfaro 31
32. 3. MAIGTI - Desarrollo de la Metodología
ISO 200000
ISO 200000
ISO 200000
ISO 200000
ISO 12207
ISO 17799
ISO 12207
ISO 17799
ISO 12207
ISO 17799
ISO 12207
ISO 17799
BOK
BOK
BOK
BOK
PMB
PMB
PMB
PMB
1
1
1
1
1
1
1
1
2
2
2
2
PLANIFICACIÓN Y ADQUISICIÓN E ENTREGA DE MONITOREO
ORGANIZACIÓN IMPLEMENTACIÓN SERVICIOS Y SOPORTE Y CONTROL
COBIT
PROCESO GENERAL DE AUDITORÍA
Estructura de MAIGTI - Metodología para la Auditoría Integral de la Gestión de
la Tecnología de Información
Emigdio Alfaro 32
33. 3. MAIGTI - Desarrollo de la Metodología
2. ESPECIFICAR EL
3. SOLICITAR LA ALCANCE Y ELABORAR 1. DETERMINAR
INFORMACIÓN PLAN DE TRABAJO (P062) EL OBJETIVO
a. Papeles Trabajo
b. Informe
5. EJECUTAR EL PROCESO MAIGTI
- Introducción
4. RECIBIR LA - Objetivo
INFORMACIÓN, 5.1 EVALUAR DOCS - Alcance
ORDENARLA E PLANIFICACIÓN Y - Procedimientos
INGRESARLA AL ORGANIZACIÓN - Técnicas
PROCESO MAIGTI - Evaluación
- Opinión
5.2 EVALUAR DOCS 5.4 EVALUAR DOCS
SALIDAS
ADQUISICIÓN E MONITOREO
ENTRADAS IMPLEMENTACIÓN Y CONTROL
-Informes auditoría
5.3 EVALUAR DOCS
anteriores 6. COMUNICAR,
ENTREGA DE
- Planes DISCUTIR, Y
SERVICIOS Y
- Evaluación de Riesgos CORREGIR
SOPORTE
- Organización INFORME (P060)
- Metodologías
5.5
5 5 EJECUTAR
- Contratos
PROCEDIMIENTOS
- Actas
- Reportes P052->P059
7. DISTRIBUIR
- Sistemas de Inf. INFORME FINAL
- Manuales, etc.
, (P061)
MAIGTI - Metodología para la Auditoría Integral de la Gestión de la T.I.
Emigdio Alfaro 33
34. 3. MAIGTI - Desarrollo de la Metodología
5. EJECUTAR EL PROCESO MAIGTI
4. RECIBIR LA
INFORMACIÓN, P002->P020
ORDENARLA E
INGRESARLA AL
5.1 EVALUAR DOCS
PROCESO MAIGTI
PLANIFICACIÓN a. Papeles Trabajo
Y ORGANIZACIÓN b.
b Informe
- Introducción
- Objetivo
5.2 EVALUAR DOCS 5.4 EVALUAR DOCS - Alcance
ENTRADAS
ADQUISICIÓN E MONITOREO - Procedimientos
IMPLEMENTACIÓN Y CONTROL - Técnicas
- Documentos Planificación - Evaluación
y Organización. Para cada gerencia:
- Documentos Adquisición P021->P035 P042->P051 Para cada hallazgo:
5.3 EVALUAR DOCS
e Implementación. - Enunciado
ENTREGA DE
- Documentos Entrega de - Descripción
SERVICIOS Y
Servicios y Soporte. - Causa
SOPORTE
- Documentos Monitoreo - Efecto
y Control. - Riesgo
P036->P041 - Recomendación
- Opinión
5.5 EJECUTAR SALIDAS
PROCEDIMIENTOS
P052->P059
Proceso MAIGTI
Emigdio Alfaro 34
35. 4. MAIGTI - Aplicaciones
MAIGTI se ha aplicado de manera integral a 2 empresas de seguros y
1 entidad recaudadora del Estado Peruano.
También se ha aplicado de manera parcial a 8 entidades más usuarias
más,
de tecnologías de información.
Emigdio Alfaro 35
36. 5. MAIGTI - Procedimientos
P001: MAIGTI: Metodología para la Auditoría Integral de la Gestión de
la Tecnología de Información
Información.
P002: Procedimiento para la auditoría de la Planificación Estratégica.
P003: Procedimiento para l auditoría d l Pl
P003 P di i t la dit í de los Planes O
Operativos.
ti
P004: Procedimiento para la auditoría de la Evaluación de Riesgos.
P005: Procedimiento para la auditoría de la Planificación Estratégica
de Tecnologías de Información.
P006: Procedimiento para la auditoría de los Planes de Proyecto de
Desarrollo de Sistemas de Información.
P007: Procedimiento para la auditoría de los Planes de Proyecto de
Compra de Sistemas de Información.
P008: Procedimiento para la auditoría del Plan de Contingencias de
Informática.
Emigdio Alfaro 36
37. 5. MAIGTI - Procedimientos
P009: Procedimiento para la auditoría del Plan de Continuidad de
Negocio.
Negocio
P010: Procedimiento para la auditoría del Plan de Seguridad de la
Información.
P011: Procedimiento para la auditoría del Plan de Licenciamiento de
Software.
P012: Procedimiento para la auditoría del Plan de Capacitación.
P013: Procedimiento para la auditoría del Plan de Mantenimiento
p
Preventivo de Hardware de Computadoras, Redes y Equipos
Relacionados.
P014: Procedimiento para l auditoría d l Pl d M
P014 P di i la di í del Plan de Mantenimiento
i i
Correctivo de Hardware de Computadoras, Redes y Equipos
Relacionados.
Emigdio Alfaro 37
38. 5. MAIGTI - Procedimientos
P015: Procedimiento para la auditoría de la Planificación de Labores de
Rutina relacionadas con las Tecnologías de Información
Información.
P016: Procedimiento para la auditoría del Plan de Calidad.
P017: Procedimiento para l auditoría d l Pl d C
P017 P di i t la dit í del Plan de Compras d
de
Tecnologías de Información.
P018: Procedimiento para la auditoría del Reglamento de Organización y
Funciones.
P019: Procedimiento para la auditoría del Manual de Organización y
p g
Funciones.
P020: Procedimiento para la Evaluación del Currículum Vitae del
personal d T
l de Tecnología d I f
l í de Información.
ió
P021: Procedimiento para la auditoría del Inventario de Hardware de
Tecnología de Información
Información.
Emigdio Alfaro 38
39. 5. MAIGTI - Procedimientos
P022: Procedimiento para la auditoría del Inventario de Software de
Base.
Base
P023: Procedimiento para la auditoría del Inventario de Sistemas de
Información.
P024: Procedimiento para la auditoría de las Solicitudes y Evaluaciones
de Cotizaciones para las compras de hardware de computadoras, redes
y equipos relacionados.
P025: Procedimiento para la auditoría de las Solicitudes y Evaluaciones
de Cotizaciones para las compras de software de base
base.
P026: Procedimiento para la auditoría de las Solicitudes y Evaluaciones
de Cotizaciones para las compras de sistemas de información
información.
P027: Procedimiento para la auditoría de los contratos de compra de
bienes y servicios, de hardware de computadoras, redes y equipos
relacionados.
Emigdio Alfaro 39
40. 5. MAIGTI - Procedimientos
P028: Procedimiento para la auditoría de los contratos para la compra de
software de base
base.
P029: Procedimiento para la auditoría de los contratos para la compra de
sistemas de información.
P030: Procedimiento para la auditoría de los contratos de seguros para
las tecnologías de información.
P031: Procedimiento para la auditoría de la metodología de desarrollo de
sistemas de información.
P032: Procedimiento para la auditoría de la metodología para la atención
de requerimientos de soporte técnico.
P033: P
P033 Procedimiento para l auditoría d l metodología para l atención
di i la di í de la d l í la ió
de requerimientos de desarrollo de sistemas de información.
Emigdio Alfaro 40
41. 5. MAIGTI - Procedimientos
P034: Procedimiento para la auditoría de la documentación de los
manuales técnicos de los sistemas de información
información.
P035: Procedimiento para la auditoría de la documentación de los
manuales de usuario de los sistemas de información.
P036: Procedimiento para la auditoría de la arquitectura de la red de
tecnologías de información.
P037: Procedimiento para la auditoría de la seguridad de acceso a los
sistemas de información.
P038: Procedimiento para la auditoría de la seguridad de acceso a las
carpetas en los servidores.
P039: Procedimiento para l auditoría d l manuales d
P039 P di i la di í de los l de
procedimientos de soporte técnico.
Emigdio Alfaro 41
42. 5. MAIGTI - Procedimientos
P040: Procedimiento para la auditoría de los manuales de
procedimientos de desarrollo de sistemas de información
información.
P041: Procedimiento para la Revisión de los Formularios de Control de
Entregables de Proyectos y Requerimientos de Desarrollo de Sistemas
de Información.
P042: Procedimiento para el Seguimiento de Informes de Auditoría
Interna.
P043: Procedimiento para el Seguimiento de Informes de Auditoría
Externa.
Externa
P044: Procedimiento para la auditoría de las Certificaciones de Calidad
de Tecnología de Información
Información.
P045: Procedimiento para la auditoría de la Evaluación de Desempeño
del Área de Tecnología de Información.
Emigdio Alfaro 42
43. 5. MAIGTI - Procedimientos
P046: Procedimiento para la auditoría de la Evaluación de Desempeño
del Personal de Tecnología de Información
Información.
P047: Procedimiento para la Revisión de los Formularios de Control de
Cambios en Proyectos de Compra o Desarrollo de Sistemas de
Información.
P048: Procedimiento para la Revisión de los Formularios de Control de
Riesgos en Proyectos de Compra o Desarrollo de Sistemas de
Información.
P049: Procedimiento para la Revisión de los Formularios de Seguimiento
de Avances en Proyectos de Compra o Desarrollo de Sistemas de
Información.
P050: Procedimiento para la auditoría del Control de Calidad de los
Requerimientos de Compra o Desarrollo de Sistemas de Información.
Emigdio Alfaro 43
44. 5. MAIGTI - Procedimientos
P051: Procedimiento para la auditoría del Control de Calidad de los
Requerimientos de Soporte Técnico
Técnico.
P052: Procedimiento para Entrevistar a los usuarios de Tecnologías de
Información.
P053: Procedimiento para la auditoría de las Instalaciones Eléctricas de
los Equipos de Cómputo y Redes.
P054: Procedimiento para la auditoría de la Seguridad de Acceso al
Centro de Cómputo Principal.
P055: Procedimiento para la auditoría de las Instalaciones del Centro de
Cómputo Principal.
P056: Procedimiento para l auditoría d l S
P056 P di i la di í de la Seguridad d A
id d de Acceso al
l
Centro de Cómputo Alterno.
P057: Procedimiento para la auditoría de las Instalaciones del Centro de
Cómputo Alterno.
Emigdio Alfaro 44
45. 5. MAIGTI - Procedimientos
P058: Procedimiento para la auditoría del Cableado de Redes de Datos.
P059: Procedimiento para la auditoría del Cálculo de la Generación de
Valor de los Proyectos.
P060: P
P060 Procedimiento para l El b
di i t la Elaboración d l I f
ió del Informe P li i
Preliminar.
P061: Procedimiento para el Envío, Sustentación y Corrección del
Informe Final
Final.
P062: Procedimiento para la Elaboración del Plan de Trabajo de la
Auditoría.
P063: Procedimiento para la Medición de la Resistencia de la Puesta a
Tierra.
Emigdio Alfaro 45
46. 6. Referencias
Alexander A. (2007). Diseño de un Sistema de Gestión de Seguridad de
la Información: Óptica ISO/IEC 27001:2005. Bogotá: Alfa Omega
p g g
Colombiana.
Alfaro, E. A. (2007).
Alfaro E A (2007) Los ERPs ¿Generan o Destruyen Valor? Congreso
Valor?.
Internacional de Ingeniería de Sistemas, Universidad César Vallejo:
Trujillo.
Alfaro, E. A. (2008). Avance en la Implementación de las Normas
Técnicas Peruanas de Gestión de Tecnología de Información. Congreso
Internacional SSudamericano de Ingeniería de Sistemas, Computación e
í S C ó
Informática XII: Arequipa.
Alfaro, E. A. (2008). Avance en la Implementación de las Normas
Técnicas Peruanas de Gestión de Tecnología de Información. Congreso
Internacional Sudamericano de Ingeniería de Sistemas, Computación e
Informática XII: Arequipa.
Emigdio Alfaro 46
47. 6. Referencias
IT Governance Institute (2008). IT Governance Global Status Report
2008. Retrieved f
2008 R i d from h //
http://www.isaca.org.
i
Rubinstein, D. (2007). Standish Group Report: Three’s Less
( ) p p
Development Chaos Today. Software Development Times, 169(1), 1.
Standish Group (1995) Standish Group Report Retrieved March 8
(1995). Report. 8,
2007, from
http://www.standishgroup.com/sample_research/chaos_1994_1.php.
Emigdio Alfaro 47