OBJETO 1. IDENTIFICACIÓN Y CONCRECIÓN DE LA NECESIDAD

Transcripción

1 Fecha: Bogotá D.C., 01 de diciembre de 2006 De: Oficina de Control Interno Asunto: Contratar el servicio de una Auditoría de Sistemas para el Fondo Nacional de Ahorro en un esquema insourcing. OBJETO El FONDO NACIONAL DE AHORRO requiere contratar los servicios profesionales de una firma que realice una Auditoría de Sistemas en un esquema insourcing, como parte del mantenimiento tecnológico de la Entidad, basada en estándares internacionales, que le permita al FNA administrar los riesgos de la información y de la tecnología de la información de sus procesos de negocio, soporte y direccionamiento, con el fin de fortalecer su sistema de control y de esta forma fortalecer sus servicios a clientes internos y externos, de acuerdo con las especificaciones técnicas y presupuesto contenidos en los presentes términos de referencia. En cumplimiento con lo ordenado y lo dispuesto en los numerales 7º y 12 Articulo 25 de la Ley 80 de 1993 y el Artículo 8 del Decreto 2170 de 2002, se realiza este Análisis de Conveniencia y Oportunidad. 1. IDENTIFICACIÓN Y CONCRECIÓN DE LA NECESIDAD De acuerdo a lo establecido en la Ley 87 del 29 de noviembre de 1993 en su artículo 12 sobre las funciones de los auditores internos, inciso g donde señala: ( ) Verificar los procesos relacionados con el manejo de los recursos, bienes y los sistemas de información de la entidad y recomendar los correctivos que sean necesarios; ( ). Al artículo 5 de la resolución del Fondo Nacional de Ahorro No. 71 de 2000, sobre las funciones de la Oficina de Control Interno, el inciso g indica: ( ) Practicar auditorías financieras, operativas y de sistemas. ( ). Página 1 de 17

2 A la recomendación 1.1. de la Revisoría Fiscal en su comunicado No de agosto 18 de 2005: ( ) es necesario que el FNA cuente en el menor tiempo posible, con un área que adelante las funciones de auditoría de sistemas, siendo ésta de vital importancia para el buen desempeño de los sistemas de información ( ). A lo solicitado en varias ocasiones por el Comité de Auditoría y el Comité de Coordinación del Sistema de Control Interno del Fondo Nacional de Ahorro. Igualmente, la Presidencia de la Entidad requirió conformar un Grupo que realice las funciones propias de una Auditoría de Sistemas. En este sentido, es importante tener en cuenta la renovación tecnológica que adelanta la Entidad, en cumplimiento de los objetivos establecidos en el Plan Estratégico Corporativo , ya que ésta involucra variadas tecnologías y complejidades inherentes que deben ser objeto de una auditoría con el fin de garantizar integridad, confidencialidad y disponibilidad de la información y los recursos tecnológicos. Al mismo tiempo, se ha evidenciado que la Oficina de Control Interno actualmente no cuenta con la infraestructura necesaria para desarrollar e implementar una Auditoría de Sistemas. De acuerdo con lo expresado anteriormente y con el fin de ofrecer una solución a esta necesidad, la Oficina de Control Interno realizó un análisis de diferentes alternativas a seguir para implementar un esquema de Auditoría de Sistemas en el Fondo Nacional de Ahorro, para las cuales se tuvieron en cuenta los siguientes criterios: a. Recursos humanos: Número de profesionales, competencias técnicas y grado de especialización. b. Adquisición y transferencia de conocimiento: Adquisición de Conocimiento cuando se realiza a través de capacitaciones tomadas en Instituciones y producto de investigaciones realizadas en Internet o en libros, y Transferencia de Conocimiento se refiere al conocimiento que se obtiene a través de una empresa experta en Auditoría de Sistemas, por los medios que ellos utilicen. Página 2 de 17

3 c. Control de la gestión: Desde el punto de vista de coordinación del proyecto. d. Experiencia: Se tiene en cuenta la experiencia en el ejercicio de Auditoría de Sistemas. e. Inversión: El costo de la alternativa en términos de dinero. f. Calidad: La calidad de la Auditoría de Sistemas depende de aspectos como: competencias y experiencia de los involucrados, efectividad en la aplicación de metodologías y herramientas, seguimiento que se realice al proceso, etcétera. g. Metodologías: Al iniciar una Auditoría de Sistemas se deben adoptar metodologías propias de este tema, las cuales pueden aprenderse con la práctica sin apoyo profesional o su aprendizaje puede estar apoyado por una empresa experta en Auditoría de Sistemas. h. Obtención de resultados: Hace referencia al tiempo estimado en el que se pueden obtener resultados representativos de la Auditoría de Sistemas. i. Exigibilidad contractual: Se refiere al nivel de exigibilidad del cumplimiento para el alcance de la Auditoría de Sistemas. Es importante tener en cuenta, que la definición del alcance puede ser realizada por diferentes actores, es decir, por una parte si se contratan o vinculan auditores de sistemas; ellos tendrían autonomía para definir dicho alcance, por otra parte en el caso de contratar una empresa experta en Auditoría de Sistemas; el alcance será definido en los términos de referencia que realice el FNA. En el siguiente cuadro se presentan las cuadro alternativas planteadas: No. Alternativa Ventajas Desventajas 1 Crear un Grupo de - Adquisición de conocimiento - No se cuenta con el recurso Auditoría Sistemas - Adopción de metodologías humano mínimo necesario y dentro de la Oficina para Auditoría de Sistemas. con la especialización de Control Interno, requerida, aspecto que es con el grupo de fundamental, dada la profesionales existente, sin dejar de lado las actividades infraestructura tecnológica del FNA. - El Control de la gestión no es actuales y claro. planificadas - Falta de experiencia en el tema. Página 3 de 17

4 No. Alternativa Ventajas Desventajas previamente. - Inversión considerable en capacitación especializada. - Riesgo de baja calidad en la auditoría. - Obtención de resultados a mediano plazo. - Exigibilidad contractual no es tan clara 2 Vincular por la planta del FNA auditores de sistemas con experiencia que apoyen a la Oficina de Control Interno. 3 Contratar temporalmente auditores de sistemas con experiencia, para que apoyen la Oficina de Control Interno. 4 Vincular por la planta del FNA un auditor de sistemas con amplia experiencia en Auditoría de Sistemas para apoyar la Oficina de Control Interno y contratar los servicios de una empresa de Auditoría de - Transferencia de conocimiento hacia la OCI. - Control de la gestión por parte del FNA. - Experiencia en el tema. - Riesgo mínimo en la calidad de la Auditoría de Sistemas. - Metodologías aplicadas por personal con experiencia. - Obtención de resultados en un corto plazo. - Control de la gestión por parte del FNA. - Experiencia en el tema. - Riesgo mínimo de baja calidad en la Auditoría de Sistemas. - Metodologías aplicadas por personal con experiencia. - Obtención de resultados en corto plazo. - Transferencia de conocimiento. - Control de la gestión por parte del FNA. - Experiencia en el tema. - Riesgo mínimo de baja calidad en la Auditoría de Sistemas. - Aplicación de metodologías por personal con experiencia. - Obtención de resultados en - Se requiere variedad de recurso humano especializado en aspectos como seguridad informática, dada la infraestructura tecnológica del FNA. - Inversión: Incremento permanente de costos de nómina y pasivos prestacionales. - La exigibilidad contractual no es tan clara. - Se requiere variedad de recurso humano especializado en aspectos de seguridad informática, dada la infraestructura tecnológica del FNA. - Riesgo en la efectividad de la transferencia de conocimiento. - Inversión alta, aunque es temporal. - La exigibilidad contractual no es tan clara. - Adicional a la vinculación del auditor de sistemas, se requiere variedad de recurso humano especializado en aspectos de seguridad informática, dada la infraestructura tecnológica del FNA. - Inversión alta en servicios especializados en Seguridad Informática. Página 4 de 17

5 No. Alternativa Ventajas Desventajas Sistemas para un corto plazo. - Exigibilidad contractual no es trabajar temas tan clara con relación al especializados de auditor de sistemas vinculado. seguridad informática 5 Contratar - Experiencia en el tema. temporalmente un - Obtención de resultados en auditor de sistemas un corto plazo. con experiencia para - Riesgo mínimo de baja apoyar la Oficina de calidad en la auditoría. Control Interno y - Aplicación de metodologías contratar servicios de por personal con experiencia. auditoría externa - Control de la gestión. para especializados seguridad informática. temas de 6 Contratar una empresa experta en Auditoría de Sistemas para que realice una auditoría general, transfiriendo conocimiento y recomendando la mejor estrategia para darle continuidad al esquema de Auditoría de Sistemas del FNA. - Recurso humano muy especializado., aunque se requiere variedad en aspectos de seguridad informática, dada la infraestructura tecnológica del FNA. - Transferencia de conocimiento, metodologías, herramientas y mejores prácticas. - Mayor efectividad en la aplicación de metodologías. - Control de la gestión por parte del FNA. - Experiencia en Auditoría de Sistemas. - Riesgo mínimo en la calidad de la auditoría. - Obtención de resultados en un corto plazo. - Exigibilidad contractual. - Adicional a la contratación del auditor de sistemas, se requiere variedad de recurso humano especializado en aspectos de seguridad informática, dada la infraestructura tecnológica del FNA. - Riesgo en la efectividad de la transferencia de conocimiento. - Inversión alta aunque temporal. - Exigibilidad contractual no es tan clara con relación al auditor de sistemas contratado. - Mayor inversión. De acuerdo con el análisis presentado en el cuadro anterior y teniendo en cuenta los antecedentes expuestos por esta dependencia, relacionados con el recurso Página 5 de 17

6 humano para desarrollar el tema en comento, esta Oficina sugiere implementar los mecanismos necesarios para adoptar la alternativa 6. Vale la pena reiterar la importancia de tener en cuenta aspectos como los manifestados anteriormente sobre la inexistencia de personal suficiente y especializado para realizar una Auditoría de Sistemas en la Oficina de Control Interno. Igualmente, es importante tener en cuenta la renovación tecnológica que se ha venido adelantando en el FNA, situación que involucra nuevas tecnologías y complejidades inherentes a la misma. En conclusión, el Fondo Nacional de Ahorro requiere contratar el servicio de una Auditoría de Sistemas en un esquema insourcing, servicio que debe incluir entre otros, los siguientes aspectos: Recurso humano especializado. Transferencia de conocimiento, metodologías, herramientas y mejores prácticas. El control de la gestión de coordinación lo realiza el FNA. Experiencia en Auditoría de Sistemas. Obtención de resultados en un corto plazo. Recomendación de la mejor estrategia para la Entidad, relacionada con la función de Auditoría de Sistemas. 2. OPORTUNIDAD DE LA CONTRATACIÓN. Se requiere contar con un esquema de insourcing, de una Auditoría de Sistemas con transferencia de conocimiento y recomendación de la mejor estrategia a seguir sobre el tema para el Fondo Nacional de Ahorro, el cual brindará a la Entidad beneficios como: Conformar con un Grupo de realice la función de Auditoría de Sistemas. Contar con el apoyo de una empresa experta en nuevas tecnologías, herramientas, estándares internacionales, metodologías y mejores prácticas de Auditoría de Sistemas. Adoptar metodologías que permitan, mediante una evaluación a las actividades de control que aplican las áreas del FNA en las diferentes Página 6 de 17

7 etapas del procesamiento electrónico de datos, conocer el alcance, aplicación, nivel de actualización y seguridad de estas etapas. Obtener recomendación de seguridades y controles tendientes a asegurar una mayor integridad, confidencialidad y confiabilidad de la información. Revisión de seguridades físicas y lógicas que garanticen la integridad del personal, de los datos, del hardware, del software y de las instalaciones. Mayor seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático. Conocer los riesgos informáticos del FNA, cómo corregirlos y cómo minimizarlos. Capacitación sobre controles en el ambiente informático. Proyección de la situación informática a los niveles directivos por parte de la Oficina de Control Interno. 3. DEFINICIÓN TÉCNICA El Fondo Nacional de Ahorro necesita contar con la función de Auditoría de Sistemas, para lo cual se requiere el apoyo de una firma especializada en el tema que tenga en cuenta como mínimo los siguientes aspectos: Evaluación integral del nivel de exposición de riesgos inherentes de la tecnología informática del FNA y del control interno informático. Adopción de una metodología o conjunto de metodologías que permitan verificar y/o determinar los controles que deben tener en cuenta las diferentes áreas del FNA en materia de tecnología informática. Transferencia de conocimiento de la Auditoría de Sistemas hacia el personal del FNA asignado para trabajar en el tema. Utilización de estándares internacionales de trabajo de Auditoría de Sistemas. Recomendación del esquema de Auditoría de Sistemas más apropiado para implementar en el FNA, de acuerdo al resultado del objeto de este contrato. Desarrollo del plan de trabajo de Auditoría de Sistemas. Ejecución de la Auditoría de Sistemas REQUERIMIENTOS MÍNIMOS Página 7 de 17

8 En general, se requiere como mínimo lo siguiente: El enfoque de la auditoría debe orientarse hacia los riesgos de la información y el ambiente de tecnología de información destinado por la organización para el soporte de sus procesos de negocio, se deben tener en cuenta como mínimo los relacionados con los procesos misionales: cesantías, crédito y cartera y los relacionados con los siguientes procesos de apoyo: Atención al Afiliado, Comercial, SARC y Contable. El Proponente deberá efectuar un análisis de riesgos y de controles de la información y de la tecnología de la información que soporta los procesos de negocio del FNA y a partir de los resultados del mismo, definirá el plan de auditoría para el FNA. (Esta evaluación contemplará igualmente, la identificación y evaluación de riesgos de tecnología informática y de la información, cumpliendo las normas de Auditoría de Sistemas generalmente aceptadas). El plan de trabajo debe incluir entre otros los siguientes aspectos: Cronograma de actividades. Análisis de riesgos e impactos para cada uno de los componentes de la tecnología de información (bases de datos, sistemas de información, software básico, hardware, sistemas operativos, sistemas de administración de bases de datos, redes, instalaciones -recursos para alojar y dar soporte a los sistemas de información- información, recurso humano, entre otros). Evaluación del control interno informático, entendido este como el conjunto de planes, métodos, principios, normas, procedimientos, y mecanismos de verificación y evaluación adoptados para la tecnología de información de acuerdo a los estándares internacionales. Evaluación de la prestación de servicios de TI. Evaluación y/o seguimiento de los entregables producto de los acuerdos de servicio que dependen de los servicios prestados por terceros. Realización de la Auditoría de Sistemas basada en estándares internacionales. Evaluación de los 7 criterios de la información (efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad), considerando aspectos generales de los criterios de integridad, disponibilidad y confidencialidad. Evaluación de controles de proceso y controles automáticos. Para los controles actualmente implementados se deberá desarrollar las Página 8 de 17

9 correspondientes pruebas de auditoría con el fin de determinar su nivel de cubrimiento y eficiencia. Se deben tener en cuenta los cambios que el área de TI tenga contemplados en sus planes de desarrollo. Se entiende que el proponente realizará un proceso de entendimiento del negocio y del ambiente informático del FNA. Evaluación y/o seguimiento a los resultados de las pruebas de ethical hacking y actividades tendientes a minimizar vulnerabilidades de la tecnología de información. El Proponente efectuará una evaluación de los componentes de tecnología de información del FNA según el plan de trabajo previamente definido, priorizando de acuerdo a la criticidad de los riesgos que puedan impactar el normal desarrollo de las operaciones del FNA y generando recomendaciones tendientes a llevar a cabo planes de acción que mitiguen los riesgos identificados. Como parte del resultado de la Auditoría de Sistemas el FNA requiere en medio magnético e impreso, como mínimo los siguientes entregables: Plan general y detallado de la Auditoría de Sistemas. Presentación ejecutiva a la Presidencia de la Entidad y áreas involucradas en el desarrollo de la Auditoría de Sistemas. Matriz de riesgos y controles. o Informe detallado de las pruebas de auditoría practicadas. Informes de evaluación de..pruebas de vulnerabilidad (uno por cada componente), deben incluir la descripción de los procedimientos y pruebas ejecutados por el Proponente, detallando los resultados de cada una de las pruebas realizadas y las fortalezas y debilidades identificadas. Informes mensuales de avance. Papeles de trabajo por proceso auditado, referenciados, organizados, etiquetados y foliados conforme lo establecen las normas de auditoría generalmente aceptadas. Se deberán realizar reuniones de seguimiento al plan de Auditoría de Sistemas elaborado, en las cuales se presentará información de seguimiento. El proponente deberá presentar la metodología de trabajo que utilizará, especificando etapas, resultados esperados, estrategias para asegurar el logro Página 9 de 17

10 de los productos en los tiempos establecidos, esquemas de validación y supervisión del proyecto. Igualmente, el proponente deberá describir las técnicas y herramientas que utilizará, entre otros. Como resultado, el Proponente debe indicar recomendaciones tendientes a definir alternativas de continuidad de la labor de Auditoría de Sistemas para el FNA. El Proponente deberá realizar auditoría de sistemas como mínimo a los puntos de atención de Bogotá y a las regionales de Barranquilla, Bucaramanga, Cali, Medellín y Pasto. Todos los gastos ocasionados por el desplazamiento a los puntos de atención, como traslado, alojamiento, alimentación, entre otros. correrán por cuenta del Proponente, salvo los que correspondan al (a los) funcionario(s) del FNA que los acompañen DURACIÓN La duración del contrato será de seis (6) meses a partir de la firma del acta de inicio, con un mínimo de 2800 horas de ejecución LUGAR La Auditoría de Sistemas se realizará a nivel nacional y se centralizará en la ciudad de Bogotá D.C LOGÍSTICA El FNA destinará un sitio de trabajo en una de las sedes de Bogotá, con 4 puntos de red y una línea telefónica. La Oficina de Control Interno con la colaboración de la Oficina de Informática, apoyará aspectos logísticos que se requieran tales como separación de salas para reuniones y/o capacitaciones, préstamo de computadores para realización de pruebas, préstamo de video beam, entre otros. Página 10 de 17

11 No se suministrarán al proveedor insumos ni elementos de oficina. 4. PRESUPUESTO OFICIAL SOLICITADO 4.1. ESTUDIO DE MERCADO Se tiene como base la Ley 598 de 2000, por la cual se crean el sistema de información para la Vigilancia de la Contratación Estatal, SICE, el Catálogo Único de Bienes y Servicios, CUBS, y el Registro Único de Precios de Referencia, RUPR, de los bienes y servicios de uso común en la administración pública, así mismo, la entidad encargada de definir los métodos y principios que regirán este sistema de información es la Contraloría General de la Nación. Sin embargo, la División Administrativa será la responsable de efectuar la consulta de los precios SICE. No obstante, la Oficina de Control Interno realizó un estudio de precios del mercado, el cual inicialmente está sustentado en los precios presentados en las cotizaciones de los oferentes que cuentan con experiencia en la implementación de este servicio. Teniendo en cuenta los análisis efectuados a las propuestas recibidas, el valor estimado para efectuar la contratación se incluyó en el presupuesto para la vigencia de 2006 por CUATROCIENTOS SEIS MILLONES DE PESOS ($ ) incluido el valor del IVA. Este valor está sujeto a ajustes en la medida que se avance en los estudios de definición de términos de referencia; no obstante, se estima que no sobrepase el monto presupuestado. En el estudio de mercado realizado, se contactaron las empresas que a continuación se relacionan, con el fin de obtener un conocimiento de precios de los servicios requeridos. No. Proveedor Información del proveedor Contacto Dirección y Teléfono 1 Delloit & Touche Servicios: 1. Análisis de riesgos informáticos. - Control interno informático (plan de auditoria) - Estrategia y planeación de los recursos de información. - Operaciones de los sistemas de información. - Relaciones con Proveedores Ext. - Implementación y mantenimiento de Edmundo Beltrán Yasmin González Wilmar Cra P4 ebeltran@deloitte.com Tél: Ext Cel Yasmin Gonzalez: Página 11 de 17

12 No. Proveedor Información del proveedor Contacto Dirección y Teléfono sistemas de información - Implementación y soporte de la Base de Datos. - Soporte de la red. - Soporte al software de los sistemas - Soporte al Hardware - Entregables 2. Seguridad de la información - Estado actual - Vulnerabilidades - Seguridad red wireless - Entregables 3. Análisis de Riesgos para el plan de contingencia - Análisis de impacto al negocio - Análisis de riesgos - Desarrollo estrategia de continuidad Celular: Sugerencias: - Solicitar evaluar la seguridad de la información como parte de la auditoría. - Planeación a la luz de la norma y Expresar: Auditoría de la tecnología que soporta un proceso, no auditoría de un aplicativo. - Solicitar la metodología de trabajo en la propuesta (verificar que consideren alineamiento con los objetivos corporativos ) Entregables posibles: - Matriz de riesgos - Matriz de controles - Matriz de recomendaciones Generalidades de la metodología: - Entendimiento - Identificación - Evaluaciones - Identificación de controles existentes. - Probar controles - Emitir recomendaciones Posible Grupo de Trabajo Proveedor: - 1 gerente - 1 senior - 2 asistentes 2 PriceWaterHouse Servicios: 1. Riesgos tecnológicos en el área tecnológica - Seguridad - Desarrollo e implementación - Mantenimiento Jorge Mario Añez Liliana Colorado Cl A 35 P9 Tél: Ext. 433 Página 12 de 17

13 No. Proveedor Información del proveedor Contacto Dirección y Teléfono - Operaciones 2. Riesgos tecnológicos en los sistemas de información. - Acceso, Ingreso, Rechazo, Procesamiento 3. Transferencia de conocimiento 4. Recomendación estrategia para el FNA. jorge.anez@co.pwc.com Celular: liliana.colorado@co.pwc.com Sugerencias: - Especificar claramente el esquema del recurso del FNA en el proyecto (acompañamiento, labores operativas, coordinación, logística) - Las horas de gerente del proveedor no deben ser tan altas por sus funciones no es necesario y por costos. - Especificar la duración requerida para la auditoría. - Incluir: *Elaboración de un plan de auditoría de sistemas y como punto de partida la elaboración de un mapa de riesgos. *Es importante considerar que la auditoría de sistemas evaluará y buscará la evidencia de los controles asociados a los riesgos presentes (ejecución pruebas a controles de aplicación y generales). *Generación de recomendaciones. *Seguimiento a los planes de acción *Especificar la metodología del proveedor. *Solicitar el aseguramiento de calidad de los servicios. *Solicitar la evaluación de la red (no es por defecto) *Temas como hacking ético debe solicitarse *Visitar 3 puntos de atención uno grande, uno mediano y uno pequeño. *Asignar puntaje a la metodología y enfoque del trabajo. *Calcula mínimo 6 meses de duración. *Mínimo involucrar los procesos misionales, opcional procesos de apoyo. * El FNA solicitará aclaraciones a las propuestas cuando lo consideren necesario y deben darse ej. En 3 días. Entregables posibles: - Plan de auditoría - Matriz de riesgos y controles informáticos - Programa de trabajo con los resultados obtenidos - Recomendaciones - Informes de avance mensuales Generalidades de la metodología: - Entendimiento de los procesos Página 13 de 17

14 No. Proveedor Información del proveedor Contacto Dirección y Teléfono - Identificación de riesgos y controles (lecturas, entrevistas y observación) - Evaluación preliminar - Evaluación de usuarios - Evaluación de controles Posible Grupo de Trabajo Proveedor: - 1 gerente con aprox. El 15 20% del tiempo de los especialistas. - Especialistas de auditoría de sistemas. 100% - Otros especialistas. Tiempo es puntual. 3 Ernst & Young Servicios: Lo solicitado inicialmente: 1. Evaluación de los recursos de tecnología. 2. Transferencia de conocimiento 3. Recomendación esquema de auditoría para el FNA. Sugerencias: - Enfatizar en la evaluación de aspectos relacionados con la seguridad de los mismos: *Revisión documentación de sistemas, plataforma y comunicaciones. *Revisión de la configuración y monitoreo del registro de eventos de seguridad de los sistemas. *Evaluación del esquema de copias de seguridad. *Evaluación de los procedimientos existentes (sistema operativo y sistemas de información). *Evaluación del esquema para soportar la tolerancia a fallas. *etc. - Evaluar la administración de los procesos de tecnología, sus niveles de estandarización y formalización, y mecanismos de evaluar los resultados de los mismos. - Trabajar en conjunto con la Auditoría Interna del FNA, en apoyo sobre mayor conocimiento del negocio, aprox. a las áreas de trabajo, pruebas automatizadas. - Dependiendo de la evaluación se puede requerir visitar una muestra de puntos de atención. Entregables posibles: - Documento de entendimiento (matriz de controles) - Plan de auditoria - Matriz de riesgos - Programas de trabajo - Plan de acción para mitigar los riesgos - Informes con los resultados para implementar Generalidades de la metodología: Ma.Conchita Manuel G. Escobar Pedro I. Rivera Jul.7 de 2006 Beatriz Gallego Myriam Pérez Cl. 93 B Tél: Ext. 146 conchita.jaimes@co.ey.com pedro.rivera@co.ey.com manuel.g.escobar@co.ey.com Ext. 147 Página 14 de 17

15 No. Proveedor Información del proveedor Contacto Dirección y Teléfono - Diagnóstico inicial - Evaluación plataforma de tecnología Análisis de riesgos, planeación estratégica, políticas y procedimientos, plataforma de seguridad implementada, estrategias y políticas de seguridad de la información, seguridad física, actualización y mantenimiento a aplicativos, implementación nuevas versiones, parametrización software base, distribución de información de salida, administración de la base de datos, intercambio electrónico de datos, manejo de incidentes, copias de respaldo, licencias de software, virus, compras/cambios de equipos, documentación, aplicativos en producción, ingreso de transacciones - Evaluación de los procesos de tecnología Posible Grupo de Trabajo Proveedor: - 1 gerente - auditores de sistemas - otros especialistas. 4 KPMG Servicios: Lo solicitado: 1. Evaluación de los recursos de tecnología. 2. Transferencia de conocimiento 3. Recomendación esquema de auditoría para el FNA. Sugerencias: - Mínimo 1 año de duración - Realizar primero el análisis de riesgos como insumo del bcp. - Se puede especificar que si el FNA requiere podrá cambiar o negociar actividades sin generación de costos - Esquema co-sourcing: especificar las funciones del recurso aportado por el FNA - Es importante involucrar una muestra de puntos de atención desde el punto de vista de ingeniería social. Entregables posibles: Plan de auditoria Acuerdo a nivel de servicio logístico Informes y sus papeles de trabajo -Matriz de riesgos -Tablero de control Actas de reuniones mensuales Generalidades de la metodología: Oligario Prieto Henry Rodríguez Cl Tél.: olpri@kpmg.com.co hyrodriguez@kpmg.com.co Página 15 de 17

16 No. Proveedor Información del proveedor Contacto Dirección y Teléfono Estrategia y planeación Valoración de riesgos Sistemas de información Posible Grupo de Trabajo Proveedor: Pueden estar trabajando 4 o 5 personas simultáneamente. El valor estimado para efectuar el proceso de contratación es de CUATROCIENTOS MILLONES DE PESOS ($ ) M/CTE., incluido el valor del IVA, gasto que afecta el rubro Mantenimiento Oficina de Informática, costos incluidos previamente en el Plan de Requerimientos de RIESGOS Los riesgos que se pueden presentar en el desarrollo del Contrato son: Incumplimiento por parte del Contratista. Incumplimiento de las características técnicas del servicio solicitado. Mala calidad del servicio de Auditoría de Sistemas. Que las personas que emplee el Contratista para la prestación del servicio, aleguen tener vínculo laboral con el FNA. Por tanto se exigirá al Contratista, la garantía única a favor de entidades estatales que ampare los siguientes riesgos: a) Cumplimiento (20%), b) Calidad (20%) y c) Prestaciones salariales del equipo de trabajo (10%). Igualmente, se contemplan los siguientes riesgos: Incumplimiento a las recomendaciones emitidas por la Revisoría Fiscal mediante comunicado No de agosto 18 de Incumplimiento a los requerimientos del Comité de Auditoría y del Comité de Coordinación de Control Interno. Incumplimiento de la estrategia incluida en el Plan Estratégico de Informática Fortalecer la función de Auditoría de Sistemas. 6. MARCO JURÍDICO Página 16 de 17

17 El modo de vinculación contractual será a través de contratación directa, por cuanto el monto no supera la menor cuantía de que trata el numeral 1 Literal a) del Artículo 24 de la Ley 80 de 1993 y el Artículo 2º parágrafo 1 del Decreto 2170 de Como condiciones finales sobre el presente estudio de conveniencia y oportunidad, en términos generales debe tenerse en cuenta que estos se realizan dentro del principio de la autonomía de la Entidad, con criterios relativos a la eficiencia para suplir su necesidad interna, haciendo su propia evaluación y fijado con criterios y directrices y respetando la normatividad que sobre el tema de contratación directa se ha fijado. Así mismo, este proceso se regirá por las normas contenidas en la Constitución Política de Colombia, en la Ley 80 de 1993, en sus Decretos reglamentarios; en lo que no esté particularmente regulado en ellas, por las normas legales, comerciales, civiles y demás disposiciones Colombianas vigentes que le sean aplicables. Atentamente, SAMUEL TOBÓN LONDOÑO Jefe Oficina de Control Interno Elaboró: Marina Romero Pardo Profesional Oficina de Control Interno Revisó: Juan Carlos Acosta A. Profesional Oficina de Control Interno Página 17 de 17