La propuesta presenta una cotización para realizar un examen especial sobre riesgos de tecnología de información en CMAC Tumbes S.A. Se describen los objetivos del examen, la metodología, las actividades, el calendario y el costo. El examen evaluará el cumplimiento de normas, la gestión de riesgos tecnológicos, y la eficiencia del sistema informático. El responsable tiene experiencia en auditorías de sistemas financieros.

1. VÍCTOR BENITES CANESSA
JR. VICÚS 474 MZ B-54 URBANIZACIÓN MAGISTERIAL PIURA
(073) 61 8610 Celular 947 730 767
e-mail: vbenites@yahoo.com
Piura, 17 de setiembre de 2010
Sr. Juan Pérez
Gerente de Créditos
Caja Municipal Tumbes S.A.
Tumbes
De mi mayor consideración:
La presente cotización ha sido elaborada en respuesta a la solicitud de elaboración de
propuesta que nos hiciera llegar el Órgano de Control Institucional el día miércoles 15
mediante el correo-electrónico.
El documento adjunto contiene la descripción del trabajo planteado (resultados) de
acuerdo con lo solicitado, el enfoque de desarrollo del trabajo que se seguirá, las
actividades y plazo de ejecución, las calificaciones del equipo de trabajo, el costo,
recursos o apoyo requeridos y conclusiones. El alcance del trabajo está circunscrito a
la oficina de Tumbes.
Por favor no dude en comunicarse conmigo para aclarar cualquier duda o plantear
cualquier consulta derivada de la presente propuesta. Puede llamarme en cualquier
momento a los teléfonos arriba señalados o escribirme a la dirección de correo-e ahí
anotada.
Atentamente
Inc. Propuesta
1

2. VÍCTOR BENITES CANESSA
JR. VICÚS 474 MZ B-54 URBANIZACIÓN MAGISTERIAL PIURA
(073) 61 8610 Celular 947 730 767
e-mail: vbenites@yahoo.com
PROPUESTA PARA EL EXAMEN ESPECIAL SOBRE RIESGOS DE
TECNOLOGÍA DE INFORMACIÓN AL 30 DE SEPTIEMBRE DEL AÑO 2010
Introducción
La presente cotización ha sido elaborada en respuesta a la solicitud inicial planteada por
el Órgano de Control Institucional. La propuesta va dirigida al Gerente de Créditos. El
presente documento contiene los antecedentes que originaron la propuesta, la
descripción del trabajo planteado (resultados), el enfoque de desarrollo del trabajo que
se seguirá, las actividades y plazo de ejecución (calendario), las calificaciones de los
integrantes del equipo de trabajo, el costo, recursos o apoyo requeridos y conclusiones.
El alcance del trabajo está circunscrito a la oficina de Tumbes.
Antecedentes
Origina esta propuesta la necesidad de apoyar y asesorar al Órgano de Control
Institucional de CMAC Tumbes S.A. para la realización del Examen Especial sobre
Riesgos de Tecnología de Información al 30 de setiembre del presente año. Las labores
contratadas deben concluir en un informe para cuya elaboración deberá haberse
cumplido con los objetivos del servicio detallados a continuación.
Objetivos del Servicio
1. Evaluar el cumplimiento de las disposiciones referentes a la Gestión de Continuidad
de Negocio, establecidos en la Circular N ° G-139-2009-SBS del 02 de Abril del
2009.
2. Evaluar el cumplimiento de las disposiciones referentes a la Gestión de la Seguridad
de la información, establecidos en la Circular N ° G-140-2009-SBS del 02 de Abril
del 2009.
3. Evaluar la eficiencia, eficacia y economía del sistema informático SysFin (Sistema
Financiero Central) de la CMAC Tumbes S.A. con incidencia de la adecuada
implantación y mantenimiento de los controles informáticos, probar su
funcionalidad, alcances, detectar riesgos y su plazo de estabilización, verificar que
cumpla con las reglas del negocio de la CMAC-TUMBES S.A .
4. Elaborar diagnostico y señalar el grado de exposición de la CMAC Tumbes a los
riesgos asociados a la tecnología, en la cual está incluido el Sistema Informático.
5. Recomendar las medidas más adecuadas a tomar por parte de la CMAC-TUMBES
S.A. para la administración efectiva, de los riesgos de operación relacionados a la
tecnología de la información a que se encuentra expuesta.
6. Evaluar el cumplimiento de la Resolución de Contraloría General Nº 320-2006-CG
Normas de Control Interno, en el capítulo III NORMAS DE CONTROL
INTERNO, inciso 2 NORMA GENERAL PARA LA EVALUACION DE
RIESGOS, en lo que sea aplicable a tecnologías de información.
7. Verificar que la Entidad cumpla con las medidas para garantizar la legalidad de la
adquisición de programas software en entidades y dependencias del Sector Público.
2

3. VÍCTOR BENITES CANESSA
JR. VICÚS 474 MZ B-54 URBANIZACIÓN MAGISTERIAL PIURA
(073) 61 8610 Celular 947 730 767
e-mail: vbenites@yahoo.com
8. Evaluar la labor que realiza el personal de Tecnologías de Información, tales como:
• Número de personal con que cuenta.
• Labores asignadas a cada uno de ellos, si el personal es suficiente para dichas
labores, o hay carencia de personal.
• Aplicativos que ha desarrollado el área; los que están en funcionamiento, los que
están en desarrollo, fechas de posible funcionamiento.
• Labor que desempeña el asesor; en forma específica; programas que ha
desarrollado, frecuencia con que trabaja en TI, honorarios que se le cancelan por
dicha labor.
Alcance del Examen
 El examen consiste en la verificación del cumplimiento de los objetivos señalados
anteriormente, y el periodo a auditar comprende del 01 de octubre del 2009 al 30 de
septiembre del 2010.
 El examen se realizará de acuerdo a las Normas de Auditoría Generalmente
Aceptadas – NAGA, Normas de Auditoría Gubernamental Aceptadas – NAGU,
Manual de Auditoria Gubernamental – MAGU y disposiciones establecidas por la
Superintendencia de Banca y Seguros
Informes por Emitir y Fecha de Entrega
La formulación del proyecto de informe con los resultados del examen, se realizará en
un plazo máximo de 30 días naturales de firmado el respectivo contrato, el proyecto del
informe será elaborado de acuerdo a lo indicado en las Normas de Auditoría
Gubernamental (NAGU) y sus modificatorias.
Contenido del Informe de Evaluación
El informe será elaborado de acuerdo con lo establecido en el Artículo 22° de la
Resolución SBS 11699 -2008 y sus modificatorias:
1. Resumen Ejecutivo.
2. Introducción.
3. Objetivos de la evaluación.
4. Alcance de la evaluación.
5. Metodología.
6. Resultados.
5.1 Aspectos de Importancia.
5.2 Memorándum de Control Interno: Incluye Evaluaciones de los
Memorándum.
7. Conclusiones.
8. Observaciones.
9. Recomendaciones.
10. Funcionario responsable de la evaluación.
3

4. VÍCTOR BENITES CANESSA
JR. VICÚS 474 MZ B-54 URBANIZACIÓN MAGISTERIAL PIURA
(073) 61 8610 Celular 947 730 767
e-mail: vbenites@yahoo.com
Anexos del Informe
1. Papeles de Trabajo por cada objetivo, de acuerdo con lo siguiente:
Objetivo; Labor realizada; conclusión y recomendación
2. Documentación sustentatoria de los papeles de trabajo, debidamente
referenciados.
Información Adicional a Ser Presentada
El postor que resulte favorecido con la Buena pro del concurso deberá presentar
adicional a la documentación exigida por la ley de Adquisiciones y Contrataciones con
el Estado:
1. Plan del examen, de acuerdo a lo indicado en la NAGU 2.20
2. Programa de auditoría, detallando los procedimientos a ser aplicados.
Metodología
Para la evaluación de los objetivos de servicio relacionados con la evaluación del
cumplimiento de normas, objetivos 1, 2, 3, 4, 6 y 7 se tendrá en cuenta lo que
establecen las normas, lo planificado, programado o normado por la Caja para cumplir
con las disposiciones y lo actualmente ejecutado por la Caja hasta el 30 de setiembre de
2010.
El logro del objetivo 5 es consecuencia de las actividades hechas para el objetivo 4.
Adicionalmente, la evaluación del cumplimiento de la Resolución de Contraloría
General Nº 320-2006-CG Normas de Control Interno se hará utilizándola como patrón
evaluador de las actividades de control interno.
La evaluación de la eficiencia, eficacia y economía del SysFin vigente se trabajará
evaluando la medida en que las aplicaciones informáticas existentes satisfacen las
necesidades de los usuarios y la medida en que los principales controles informáticos
existentes son adecuados.
La revisión de las áreas funcionales de negocio en relación con los servicios
informáticos que reciben se hará únicamente para las áreas funcionales de influencia del
Sistema Informático actual.
La evaluación del objetivo 8 se hará basándose exclusivamente en lo especificado en su
desglose.
Actividades
Se prevé la realización de las siguientes actividades, todas ellas de naturaleza
concurrente durante el estudio:
4

5. VÍCTOR BENITES CANESSA
JR. VICÚS 474 MZ B-54 URBANIZACIÓN MAGISTERIAL PIURA
(073) 61 8610 Celular 947 730 767
e-mail: vbenites@yahoo.com
• Observación directa
• Pruebas inopinadas o programadas, según el caso
• Entrevistas con personas representativas de cada área funcional
• Encuesta de satisfacción de usuarios, optativa
• Estudio de documentos de procedimientos, políticas, documentación de diversos
tipos del sistema, diagramas, perfiles de usuarios, etc.
Calificaciones
El responsable del estudio, Ing. Víctor Benites Canessa, M. Sc. viene trabajando en
informática desde 1978, tanto en el sector público como privado, tanto en docencia
universitaria en Informática como comercialmente en el área. Tiene casi nueve años de
experiencia de trabajo en Informática en el sector financiero. Ha realizado ocho
evaluaciones del área de Informática de CMAC-Tumbes, la última de ellas el año 2009,
similar a la que se solicita en esta ocasión y además realizó un estudio de verificación de
la correcta aplicación de las tasas de ahorros y créditos. Igualmente, participó en
noviembre del 2003, en un estudio de cuarenta días, de naturaleza similar al que la Caja
va a contratar, en la CMAC-LAMBAYQUE. También ha sido responsable de la
auditoría informática de CMAC CAJAMARCA el año 2005.
Participará también en la evaluación, en calidad de asistente, el Ing. de Sistemas V.
Arturo Benites Miñán, egresado de la Universidad de Lima, con 13 años experiencia en
soporte técnico de entornos Windows y administración de Centros de TI.
Costo
El costo del estudio por todo concepto es de S/. xx,x00.00 (xxxxx mil xxxx nuevos
soles). La forma de pago es 50% a la firma del contrato y el 50% restante contra
presentación de resultados.
Recursos y apoyo requeridos
Emisión de una circular comunicando a los jefes de las diferentes áreas de la Caja la
realización del examen especial y la necesidad de que brinden su colaboración para el
éxito de éste. La colaboración generalmente será mediante la realización de una o dos
entrevistas con los encargados de las áreas funcionales e igualmente con algunos
empleados elegidos en razón de las funciones que realizan.
Disponibilidad inmediata de los siguientes documentos:
1. Manual de Organización y Funciones
2. Manuales de Políticas y Procedimientos
3. Manual de Control de Riesgos
4. Normas, planes y productos relacionados con el Sistema de Gestión de Seguridad de
la Información, entre otros:
5

6. VÍCTOR BENITES CANESSA
JR. VICÚS 474 MZ B-54 URBANIZACIÓN MAGISTERIAL PIURA
(073) 61 8610 Celular 947 730 767
e-mail: vbenites@yahoo.com
a. Políticas, procedimientos y metodología de gestión de la seguridad de la
información
b. Metodología de evaluación de riesgos
c. Informe anual de gestión de la seguridad de información (artículo 8º, G 140)
d. Inventario y clasificación de activos de información
e. Relación de registros para verificar el cumplimiento de las normas, estándares,
políticas, procedimientos y otros definidos por la empresa
5. Normas, planes y productos relacionados con el Sistema de Gestión de Continuidad
de Negocios, entre otros:
a. Políticas, procedimientos y metodología de gestión de la continuidad del
negocio
b. Análisis de impacto
c. Evaluación de riesgos
d. Plan de gestión de crisis
e. Planes de continuidad de negocios, por proceso de negocio
f. Plan de emergencia
g. Plan de recuperación de los servicios de tecnología de información y
comunicaciones
h. Planes de pruebas de continuidad de negocios
i. Informes de ejecución de pruebas de continuidad de negocios
8. Informe Anual de Evaluación de Riesgos de Operación 2009, de marzo de 2010
9. Informe Anual de la Evaluación de los Riesgos de Tecnología de Información, el último
10. Plan Estratégico Informático
11. Plan de funcionamiento anual o plan operativo anual de la jefatura de Informática.
12. Modificaciones realizadas en las instalaciones, equipamiento, sistemas informáticos,
procedimientos y otros desde la última evaluación de 2009.
13. Manual de administración de perfiles de usuario
14. Plan de mantenimiento de equipos informáticos con registro de su cumplimiento a la
fecha.
15. Inventario de todo el software Instalado, detallado a nivel de PC de puesto de
trabajo, servidor u otra clase de equipo, con el resumen respectivo por agencia, con
indicación de las respectivas licencias.
16. Otros que las circunstancias y actividades exijan.
El uso permanente de dos PC con impresora para imprimir documentos de trabajo.
Recomendable que sea impresora láser pues con ella se realizará la referenciación de los
papeles de trabajo. Los dos PC con acceso a Internet.
Dos escritorios de trabajo, uno para el responsable del estudio y otro para su asistente
Estrecha colaboración con el OCI para el seguimiento y atención de los pedidos que se
generen para la realización del examen.
6

7. VÍCTOR BENITES CANESSA
JR. VICÚS 474 MZ B-54 URBANIZACIÓN MAGISTERIAL PIURA
(073) 61 8610 Celular 947 730 767
e-mail: vbenites@yahoo.com
Conclusión
Enfocaremos la realización de la presentes evaluación con la responsabilidad que ya
hemos demostrado en ocasiones anteriores y nos gustaría que nos volvieran a conceder
la oportunidad de mostrarles la calidad de nuestro trabajo. El precio cotizado
representa nuestra mejor oferta considerando la experiencia de los años pasados.
7