auditorias internas planes de accion...auditorias internas avenida f.d. roosevelt #355, fomento...

Auditorias Internas

Avenida F.D. Roosevelt #355,Fomento Industrial, Piso 2 Hato Rey, PR. 00918PO. Box 192159 San Juan, Puerto Rico 00919-2159 T 787.754.5504 F 787.763.0195

www.adl.pr.gov

Unidad Auditada: ADL

Funcionario Principal: Aurelio González Cubero

Puesto: Administrador

Recomendación Oficina Acción Correctiva ResultadoA. Reclutamiento, Nominas y Licencias Acumuladas:

Fecha Informe Final: 21 de septiembre de 20091. Revisar la documentación contenida en

los expedientes de personal segúnArtículo 7, secciones 7.3 y 7.11 delReglamento de Recursos Humanos delCDORH.

2. Someter la evidencia correspondientesegún el puesto ocupado.(Observación 3)

OficinaRecursosHumanos

Se requieredocumentación (gestionesrealizadas)

No Completado-seguimientomediante PACComplementario

3. Revisar Plan de Clasificación deEmpleados de Carrera Unionado.

4. Implementar las accionescorrespondientes según Reglamento deRecursos Humanos del CDORH, así comoel Convenio Colectivo CUTE-CDORH.(Observación 4)




5. Tramitar, revisar, actualizar y/o gestionarel establecimiento de reglamentacióndirigida al manejo y supervisión de lossistemas de control de balances delicencias, así como herramientas externaspara cotejo o verificación del mismo.

6. Someter procedimientos, mecanismos,medidas disciplinarias y/o reglamentaciónespecifica dirigida al cumplimiento delPlan Anual de Vacaciones a partir del 1 deenero de 2010. (Observación 5)




B. Informes Especiales: Evaluación de Riesgos- Nomina Fecha Informe: 8 de Octubre 20091. Detallar el proceso de nomina en el área

para su debida evaluación y actualización.Esta debe incluir los pasos a seguir,puestos (no nombres) de las personas acargo del manejo, así como las

Oficina deRecursosHumanos

Se requieredocumentación


Recomendación Oficina Acción Correctiva Resultadocertificaciones y autorizaciones para losdesembolsos de Nomina Regular yNomina Especial, según corresponda(Observación 1).

C. Informes Especiales: Primera Evaluación de Riesgos- Sistemas de Información Fecha Informe: 11 de septiembre 20091. Centralizar el manejo y administración de

los Sistemas de información del CDORHincluyendo entre otros los servicios,recursos humanos, tareas,responsabilidades, supervisión yprocedimientos de tecnología deInformación. (Observación 1)

DirectorEjecutivoSistemas deInformación


No Completado

2. Evaluar el personal, en coordinación conla Oficina de Recursos Humanos paraverificar si el mismo cumple con losrequisitos mínimos de preparaciónacadémica y experiencia requerida para eldesempeño de sus responsabilidades.(Observacion1)

Sistemas DeInformación,Oficina Rec.Humanos


No Completado

3. Redactar las normas, políticas y/oprocedimientos escritos específicos quepermitan el buen funcionamiento de losSistemas de Información que entre otrasinstancias promueva:

a. Los controles que minimicenlos riesgos de que lossistemas dejen de funcionarcorrectamente y de que lainformación sea accedida deforma no autorizada y/omaliciosa.

b. Tomar inventario de activosde sistemas de informaciónque incluya el equipo, losprogramas y periferales paradeterminar la posible perdidade datos, servidores y líneasde comunicación.

c. Garantizar la continuidad deservicios mediante la

Sistemas DeInformación


No Completado

Auditorias Internas


www.adl.pr.gov

Recomendación Oficina Acción Correctiva Resultadoplanificación y aprobación deun calendario (Schedule) derealización de copiasautomáticas (back-ups) de lascomputadoras.Procedimiento sugerido:GrandFather-Father-Son.

d. Revisar el Plan deContingencias paraTecnología de Sistemas deInformación del CDORH del25 de junio de 2007.

e. La redacción, implementacióny publicación de reglasescritas de control de accesoal lugar donde se maneja yadministra el sistema decomputadoras

f. La flexibilidad en lasoperaciones deprocesamiento de datos quepermitan incluir de formarazonable el mantenimientoregular y el no incluido en elitinerario.

g. Mantener registros de losproblemas de los equipos, asícomo atrasos, causas ytiempo transcurrido pararesolver los mismos paraidentificar tendencias orepetición de situaciones.

h. La adquisición adecuada detodas las aplicaciones yprogramas instalados en lascomputadoras de losusuarios.

i. La emisión de una políticaescrita (formularios yprocedimientos) para laconfiguración de usuarios delos sistemas que permita

Recomendación Oficina Acción Correctiva Resultadouniformar y establecer:

i. La creación decuentas de usuarioen coordinación conel Área de Trabajo.

ii. Los diferentesprivilegios otorgadosal usuario de lossistemas según suslabores yresponsabilidades.

iii. Las solicitudes decambios a las cuentasde los usuarios.

iv. Los pasos definidospara la revisiónmediante procesosde auditoria de losequipos paraconstatar el uso porparte de losempleados.

v. Accionesdisciplinarias por eluso inadecuado delas cuentas de correoelectrónico, Internet,así como los equipos(computadoras)(Observación 1).

4. Someter plan para incluir enmiendasaplicables a Política del 7 de mayo de2008 para su actualización, redacción deprocedimientos específicos, miembros delCDC, formularios a utilizar, fechasrequeridas para los procesos, aprobación,distribución y posterior implementación alos usuarios de los sistemas del CDORH(Observación 2).

Sistemas deInformación


No Completado

Auditorias Internas


www.adl.pr.gov

Recomendación Oficina Acción Correctiva ResultadoD. Informes Especiales: Segunda Evaluación de Riesgos- Sistemas de Información (Evaluación del

Centro de Cómputos realizada en coordinación con Auditores Externos) Fecha Informe: 2 de febrero 20101. No existen procedimientos Estándares de

Operación (SOP) para el funcionamientodel Centro de Cómputos y susAplicaciones


Creación deProcedimientosEstándares de Operación(SOP) para todas lasoperaciones del Centro deCómputos.Entre estos procesospodemos mencionar:

1. Crear políticas deSeguridad ServerWindows.

a) PasswordLength

b) PasswordComplexity

c) PasswordHistory

2. Lock account system3. Establecer normas y

procedimientos paraaumentar la seguridadde Red

4. Implementación desistema de Monitoreode Red.

5. Creación de unSistema de Manejo deAlarmas.

6. Implementación deDocumentManagement Systemspara:

a) Creación /Administración de Políticas

b) Uso deequipos

c) Entrega yresponsabilidades de

90% - En Progreso(11/30/2010)Los siguientes SOPya estáncompletados eimpresos encarpetas en el NOCdel CDORH

1. 10-001.1Comocambiar elpasswordde unusuario enel DomainController

2. 10-001.2Como crearun ShareFolder yasignar unusuario

3. 10-001.3Como crearun usuarioen elDomainController

4. 10-001.4ServicesWindowsServer2003: Comoactivar“Start” ycomo parar“Stop” unservicio.

5. 10-0001.5Procedimiento de

Recomendación Oficina Acción Correctiva Resultadoequiposentregados.

d) Establecerfrecuencia.

e) EstablecerScope arespaldar.

Monitoreode ServiciosCríticos

6. 10-001.6ManualWindowsServer 2003

7. 10-002.1ComoConfigurarMicrosoftOutlook

8. 10-002.2Procedimiento decomo crearMailbox

9. 10-002.3Comomover unmailbox

10. 10-002.4Comoborrar unmailbox

11. 10-002.5Procedimiento decomoencenderservidorCDORH-EXBB

12. 10-002.6Como crearnuevascuentas enExchange

13. 10-002.7Administración GuideforExchange

Auditorias Internas


www.adl.pr.gov

Recomendación Oficina Acción Correctiva ResultadoServer

14. 10-003.1BlackberryEnterpriseServerManual

15. 10-003.2InstallationGuideBlackberryEnterprise

16. 10-004.1Procedimiento decomo crearun nuevoBackup

17. 10-004.2Comoejecutar unBackupexistente

18. 10-004.3Procedimiento BackupparaExchange

19. 10-005.1SymantecAntivirusAdministrator Guide

10-006.1 PeplinkBalance SeriesManual

2. No existe política de almacenaje definidopara mailbox de Exchange.


Establecer límites dealmacenaje para losmailbox en Exchange enlos Archive Folders unavez se llegue a los límitesde capacidad aestablecerse

90% - En Progreso(11/30/2010)Se activó la alerta a1.8 GB. Las trescuentas con mas de2GB; Osvaldo Soto,Frances Ortiz yAureliz Colónfueron notificadaspara que hagan

Recomendación Oficina Acción Correctiva Resultado“Archive”. Seimplementarán lasrestricciones elviernes 17 dediciembre de 2010.

3. No existe política de VPN a través delFirewall IS.


El propósito de estapolítica es tener laalternativa de poderacceder todas lasaplicaciones y servicios delCDORH desde fuera de laagencia en casos deemergencia. Esta políticaestaría accesible siemprey cuando medie unaautorización firmada porel Director del CDORH y elSupervisor del empleadoque desea acceder alsistema del CDORH. Estapolítica se puede poner enefecto cuando unempleado viaja fuera dePuerto Rico o si estáconfinado en su casa porenfermedad, pero puedetrabajar remotamente.

0%No se haimplementadotodavía ya querequerimos de unaaprobación paracrearla o no.

4. No existe identificación del sistema decableado.


Reorganización decablería de LAN(Identificación/organización/ test)

Reorganización cableríade servers en Rack(Mejorar el flujo detemperatura, mejoradministración)

0%Este proceso sellevará a cabo unavez termine lareestructuración delos servidores

5. No existe diagrama lógico de la red. Sistemas deInformación

Este diagrama seráconstruido en unprograma compatible conel formato VISIO.Contendrá diagramasesquemáticos de la

70% - En Progreso(12/15/2010)Se han creado tresdocumentospreliminares de laconfiguración de la

Auditorias Internas


www.adl.pr.gov

Recomendación Oficina Acción Correctiva Resultadoinfraestructura deservidores y equipos en el(NOC) Centro deOperaciones del CDORHasí como los diagramaslógicos de conexión delNOC y del LAN.

red. Estosdocumentos tieneninformaciónactualizada sobrelos componentes dela red tanto el WAN(Wide ÁreaNetwork) como delLAN (Local AreaNetwork) y serviránde referencia paracrear el diagramafinal del la red delCDORH. Estosdocumentos son:

1. CDORH-WAN.pdfContieneunadescripcióndetalladade loscomponentes del WAN

2. CDORH-NOC.pdfContieneunadescripcióndetalladade losequipos delNOC en susrespectivosgabinetes yde losequipos dered queestánfueran delNOC.

3. FinalConfiguration ofServers.doc

Recomendación Oficina Acción Correctiva ResultadoContieneinformacióndetalladadel procesodemigracióndeservidores ysu estatusactual

Estos documentosestán anejados alfinal.

6. No existe herramientas de Backup quepermita la centralización de laadministración de los backups de lossistemas.


Se va a realizar un análisisde las alternativas másrecomendadas en elmercado para esta tareaen cuanto a losprogramas. Por otraparte, el CDORH carece deun lugar de almacenajecentral para los backups,por lo que serecomendaránalternativas para adquirirun NAS o SAN.

95% (11/30/2010)El NAS ya fueinstalado,configurado y yareemplazó lasfunciones del FileServer anterior(CDORH-O5). Seestán realizandoBackup con laherramienta GenieBackup ManagerServer de todos losservidores activosdel CDORH en unshare centralizadollamado ServerBackups. Este shareestá accesiblesolamente para lacuentacdorh\master.

7. No existe sistema de manejo de solicitudde servicio.


Implementación de unsistema de soporte yChange Management.Establecer un sistema demanejo de proveedoresde servicios.

90%Temporeramente sehabilitó un serverque había sidodecomisado y seinstaló laherramienta

Auditorias Internas


www.adl.pr.gov

Recomendación Oficina Acción Correctiva ResultadoManage EngineService Desk Plus lacual permite lacreación y manejode solicitudes deservicio. Para podersacarle el máximoprovecho a estaherramienta esnecesariocoordinaradiestramientosentre los empleadosdel CDORH para queaprendan autilizarla. Una vezse haya completadola reestructuracióndel NOC, sehabilitará estaherramienta en unservidor de máscapacidad.

8. No existe control de Fixed Assetactualizado.


Establecer un sistema demanejo de Activos Fijos.

50%La mismaherramienta yainstalada ManageEngine Service DeskPlus manejatambién FixedAsset's, sólorequiere ladefinición yconfiguración de lossistemas.

9. Group policy débil para administracióncentralizada de estaciones de trabajo.


Revisar y enforzar elGroup Policy creado en elDomain Controller y en elISA Server

Control de personal a usarInternet bajo políticasdirectas del servidor.

50%Ya se hanmodificado variaspolíticas generalesen al DomainController y en elISA server. Lasreglas no necesariasfueron eliminadas.

Recomendación Oficina Acción Correctiva Resultado10. Falta de identificación de Fixed Asset en

equipo en Racks.Sistemas deInformación

Identificar todos losservidores con etiquetasvisible fáciles de leer

0%Debido a lareestructuración delsistema deservidores, losserver están y seráncambiados de roles,por lo tanto suidentificación sedebe realizar al finalde lareestructuración.

11. Presencia de alertas en Logs del 90% delos servers (diferentes razones)


Log centralizado deServidores y appliances.

75%Las alertas críticasde los servidoresDomain Controller,Secondary DomainController, ISAServer y ExchangeServer ya fueroncorregidas ya queestos sistema hansido restaurados enotros servidores.

0%No se haseleccionado quesistema de Logcentralizado va autilizarse

12. Cableado de red desorganizado. Sistemas deInformación

Reconexión de Powersupplies de Server paraproveer Fail Over conredundancia en el caso delos server que poseen dospower Supply.

0%No se realizará estatarea hasta que sehaya completado larestructuración detodos los servers yse haya instalado el

Auditorias Internas


www.adl.pr.gov

Recomendación Oficina Acción Correctiva Resultadoservidor nuevo devirtualización y elnuevo NAS(Network AttachedStorage)

13. No hay control de Licenciamiento deEquipos.


Instalar una herramientapara llevar este control

0%La herramienta estáinstalada, faltaconfiguración

14. Licenciamiento vencidos Sistemas deInformación

Poner al día losLicenciamientos

Update(11/30/2010)En una reunión conMicrosoft, nosinformaron que laslicenciasautorizadas alCDORH son lassiguientes:1. MS Server

Enterprise X 72. MS Server

Standard X 53. MS SQL Server

Enterprise X 24. MS Exchange

Server StandardX 1

5. ISA ServerStandard X 1

6. SQL CAL X 291

NOTA: Estainformación sale deun documentooficial de la OGP elcual establece laslicencias deMicrosoft queestán autorizadasen el CDORH. Sinembargo en el NOCtenemos servidoresutilizando licenciasde MS Server 2000y SQL Standard que

Recomendación Oficina Acción Correctiva Resultadono están en la lista.

El lunes 13 dediciembre secelebró una reunióncon Microsoft paradeterminar ellicenciamientorequerido en losservidores virtualesen Data Access.Después de aclararque el CDORH estácontratando losservicios de Hostingy no CollocationMicrosoft quedó eninvestigar cualquierotro aspecto segúnel servicio que seestá contratando.Ellos quedaron eninformarnos sobrecualquier hallazgo.

15. Sistema de Incendios no adecuado.

Cuarto de cómputos no adecuado parasistemas de incendio.


Verificación de sistema decontrol de incendios

Instalación de Detectoresde Humo apropiados

Instalación de DetectoresdeHumedad/Temperatura

Instalación de un Sistemade extintores adecuadospara equipos en cuarto decómputos.

0%El extintor existenteno es apropiadopara equipoelectrónico.

Típicamente elsistemarecomendado paraCentros deCómputo es FM200, pero lainstalación delmismo requiere unacabina aislada delsistema de airecentral y un sistemade cierremecanizado de la

Auditorias Internas


www.adl.pr.gov

Recomendación Oficina Acción Correctiva Resultadopuerta. Si estesistema es activo, elpersonal tiene 1minuto para salirdel centro decómputo antes quela puerta cierreherméticamente yaque el gas FM200acaba con eloxígeno para podercontrolar el fuego.

16. Falta documentación de Servidores ycambios de los mismos.


Producir laDocumentación necesaria

50%La documentaciónde los servidores seconsiguió en elInternet y ya serealizaron loscambiosrecomendados acuatro de ellos.Faltan losservidores de SQL,Web, Aplicaciones yFile Server.

17. No se encuentran debidamenteidentificados los equipos en los Racks.


Identificar correctamentelos equipos en el rack

0%No se realizará estatarea hasta que sehaya completado larestructuración detodos los servers

18. Backup no establecido correctamente enmanejo y almacenaje de los mismos.


Establecer el tipo deBackup (Full, diferencial,incremental)

Establecer lugar deAlmacenaje de Backup.

90% (11/30/2010)En el servidor NASnuevo (CDORH-05)se creó una carpetallamada SERVERBACKUPS donde seestán depositandolos Backups diariosdel sistema y losDisaster RecoveryJobs.

19. El equipo de oficina de MIS no está Sistemas de Aislamiento de equipos de 50% (11/30/2010)

Recomendación Oficina Acción Correctiva Resultadoaislado Información oficina de MIS. El área de

Validación yEstadísticas seacondicionó paramover al equipo deMIS a esa área.

20. Falta de IDS, Honey Pots etc. Sistemas deInformación

Implementación de unIntruction DetectionSystem.

Implementación de HoneyPots.

0%Se haránrecomendacionespara la compra deestos “devices”

21. Falta actualización de patch de seguridadde los sistemas operativos.


Actualización de los Patchde Seguridad

50%Todos los serverque han sidorestaurados tienentodas lasactualizaciones deseguridad al día.Sin embargo losservidores queoperan losprogramas Web deSIAC, SELEP, SERR,JREF y WWW nopueden seractualizados porrecomendacionesdel New Vision.Cualquier cambiopuede afectaradversamente laoperación de estossistemas, por lotanto no se estánhaciendoactualizaciones enestos servidores.

22. Se encontró documentación coninformación personal de usuarios, ss.,salarios, beneficios, condiciones laboralesetc. (ver addendum)


Se refirió a laAdministración paraAcción Correspondiente

100% CompletadoEste hallazgo seinformó a BernicePérez para queprosiga según el

Auditorias Internas


www.adl.pr.gov

Recomendación Oficina Acción Correctiva Resultadoreglamento de laagencia

23. Programas instalados en servidores queaun no han sido configurados.

Ejemplo: El sistema de administración remotade equipos etc.


Reconfiguración deprogramas

100% CompletadoTodos losprogramasinstalados estándebidamenteconfigurados en losservidores que sehan restaurado. Yase configuró elsistema deadministraciónremota deservidores. Estaherramienta es deMicrosoft y se llamaRemote Desktop.Actualmente todoslos servers puedenser administradosremotamente.

24. Se encontró documentación sinprotección que contienen user ypassword de usuarios para aplicacionesEj. Jref



100% CompletadoEste hallazgo fueinformado a BernicePérez

25. Muchos puertos de comunicaciónabiertos en servidores y clientes que nose están utilizando, poniendo en peligrola seguridad de los mismos.


Bloqueo de puertos yreconfiguración de losmismos

50%En los servidoresque han sidorestaurados setienen abierto sololos puertos que sonnecesarios paracorrer lasaplicacionesinstaladas. Cuandose restaure el resto,se corregirá estehallazgo

26. Aplicaciones no necesarias en servidoresinstaladas en los mismos, reduciendo susrecursos etc.


Eliminación de deaplicaciones y reubicaciónde las mismas

50%Este se ha corregidoen los servidoresque han sidorestaurados.

Recomendación Oficina Acción Correctiva ResultadoCuando se restaureel resto, se corregiráeste hallazgo

27. No existen sistema de monitoreo de lossistemas, alarmas, advertencias etc.


Adquisición de un sistemade monitoreo de alarmas

0%Ya se recomendóuna herramientapara el manejo dealarmas de lacompañía IPSWITCHy el producto sellama WhatsUp.Estamos esperandoque laadministraciónapruebe la compra.

28. Firmware de tarjetas desactualizados Sistemas deInformación

Actualización de Firmware 50%Este se ha corregidoen los servidoresque han sidorestaurados.Cuando se restaureel resto, se corregiráeste hallazgo

29. Versiones Legacy de sistema Operativos. Sistemas deInformación

Actualización de Sistemasoperativos

0%Serán reemplazadascuando se restaurentodos los servidores

30. No existe redundancia de power en variosde los servidores.


Corrección deredundancia de power

50%Este se ha corregidoen los servidoresque han sidorestaurados.Cuando se restaureel resto, se corregiráeste hallazgo

31. No se encuentran correctamenteanclados a tierra (ground) los rack yequipos.


Se refirió a laAdministración paraAcción Correspondiente,recomendamos laintervención de un peritoelectricista

0%Este trabajo debeser realizado por unperito electricista

32. Deficiencias administrativas del MIS. Sistemas deInformación

Se refirió a laAdministración para

75%La mayoría de las

Auditorias Internas


www.adl.pr.gov

Recomendación Oficina Acción Correctiva ResultadoAcción Correspondiente tareas

administrativas delpersonal de MIShan sidotemporeramenterealizadas por elpersonal deauditoría. Se debeestablecerprocedimiento

33. Descuido de los sistemas por diversasrazones a determinar (Falta deconocimiento, demasiado trabajo, faltade recursos etc.).



50%Esto se ha corregidoen los servidoresque han sidorestaurados.Cuando se restaureel resto, se corregiráeste hallazgo

34. Ausencia de normas de estandarizaciónde sistemas (SOX, ITIL, COBIT etc.)


Creación de controles yprocedimientos estándarde operación (SOP)

90% - En Progreso(11/30/2010)Los siguientes SOPya estáncompletados eimpresos encarpetas en el NOCdel CDORH1. 10-001.1 Como

cambiar elpassword de unusuario en elDomainController

2. 10-001.2 Comocrear un ShareFolder y asignarun usuario

3. 10-001.3 Comocrear un usuarioen el DomainController

4. 10-001.4ServicesWindows Server2003: Comoactivar “Start” y

Recomendación Oficina Acción Correctiva Resultadocomo parar“Stop” unservicio.

5. 10-0001.5Procedimientode Monitoreode ServiciosCríticos

6. 10-001.6ManualWindows Server2003

7. 10-002.1 ComoConfigurarMicrosoftOutlook

8. 10-002.2Procedimientode como crearMailbox

9. 10-002.3 Comomover unmailbox

10. 10-002.4 Comoborrar unmailbox

11. 10-002.5Procedimientode comoencenderservidorCDORH-EXBB

12. 10-002.6 Comocrear nuevascuentas enExchange

13. 10-002.7AdministrationGuide forExchangeServer

14. 10-003.1Blackberry

Auditorias Internas


www.adl.pr.gov

Recomendación Oficina Acción Correctiva ResultadoEnterpriseServer Manual

15. 10-003.2InstallationGuideBlackberryEnterprise

16. 10-004.1Procedimientode como crearun nuevoBackup

17. 10-004.2 Comoejecutar unBackupexistente

18. 10-004.3ProcedimientoBackup paraExchange

19. 10-005.1SymantecAntivirusAdministratorGuide

20. 10-006.1Peplink BalanceSeries Manual

35. Hard Disks con altos niveles de utilizaciónaproximada 95% etc.


Backup de los datos yrestauración en nuevosservidores

75% (11/30/2010)En el NOC habíandiscos de repuestopara los servidoresHP, pero no para losDELL, con laactivación delnuevo NAS comoCDORH-05 se liberóel Power Vault deDELL, por lo quepodemos reutilizarsus 12 discos de36GB cada uno paraañadir máscapacidad a los

Recomendación Oficina Acción Correctiva Resultadoservidores DELL

36. Problemas eléctricos en el Centro deCómputos


Verificación del sistemaEléctrico del cuarto decómputos.

Verificar si son circuitosdedicados.

Verificar si breaker sonadecuados a la cargaconectada.

Verificación de Group deequipos y Racks.

Verificación de Estática enServer y Racks.

0%Estas tareas debenser realizadas porun peritoelectricista

E. Primer Informe: Proceso de Compras, Cuentas a Pagar y Desembolsos Fecha Informe: 5 de agosto 20101. Antes de realizar algún desembolso

relacionado a la adquisición de bienes yservicios exista la toda documentaciónnecesaria (Observación 2)

Oficina deFinanzas yPresupuesto

No Completado

2. Realizar los trámites para revisión yactualización del Manual deProcedimientos de Control Interno querige el funcionamiento y los procesospara la Oficina de Gerencia Administrativay sus disposiciones se armonicen con losprocedimientos existentes (Observación1).

Oficina deGerenciaAdministrativa

No Completado

3. Asegurarse que:a. En toda transacción de

compra el formulario derequisición de bienes yservicios este debidamentecumplimentado en todas suspartes.


No Completado

b. En toda transacción de Oficina de No Completado

Auditorias Internas


www.adl.pr.gov

Recomendación Oficina Acción Correctiva Resultadocompra el formulario derequisición de bienes yservicios este aprobado porlos funcionarios autorizados(director de área originadora

GerenciaAdministrativa

c. En toda transacción decompra el bien o servicioaprobado medianterequisición sea igual alreflejado en la Orden DeCompra.


No Completado

d. En toda transacción decompra se radique larequisición de compra alDirector de Administracióncon suficiente anticipación ala fecha cuando se necesitanlos bienes o servicios.


No Completado

e. En toda transacción decompra se certifique ladisponibilidad de los fondosantes de emitirse eldocumento de Orden deCompra.


No Completado

f. Se someta para aprobación yoficialización el formularioutilizado con titulo “Registrode Cotizaciones” y que seincluya lo siguiente:


No Completado

i. Fecha de aprobacióndel formulario


No Completado

ii. Fecha de recibo deofertas por parte delos suplidores.


No Completado

iii. Licitadorseleccionado.


No Completado

iv. Fecha de certificaciónde recibo de ofertaspor parte del OficialComprador.


No Completado

v. Fecha en que seemite el documento

Oficina deGerencia

No Completado

Recomendación Oficina Acción Correctiva ResultadoAdministrativa

g. En toda transacción decompra se cumpla con elmínimo de tres (3)cotizaciones establecido, amenos que se documente lautilización de otros métodospermitidos porreglamentación.


No Completado

h. En toda transacción decompra en exceso de mil($1,000) hasta quince mil($25,000) se acompañeevidencia de cotización(es)del suplidor por escrito enpapel timbrado oficial delnegocio o compañíacomercial.


No Completado

i. En toda transacción decompras en exceso de mil($15,000) hasta veinticincomil ($25,000) se acompañeevidencia de solicitud deofertas por escrito a loslicitadores invitados a lasubasta.


No Completado

j. En toda transacción decompras en exceso de mil($15,000) hasta veinticincomil ($25,000) se sometadocumentación que sustentela fecha límite para someterla oferta de precio segúnreglamentación.


No Completado

k. En toda transacción decompra realizada comoPropuesta sin competencia ode una sola fuente el procesocumpla con las circunstanciaspara cualificar bajo estemétodo.


No Completado

l. En toda transacción decompra el proveedor que

Oficina deGerencia

No Completado

Auditorias Internas


www.adl.pr.gov

Recomendación Oficina Acción Correctiva Resultadoaparezca en la facturaconcuerde con el reflejado enla Orden de Compra.

Administrativa

m. En toda transacción decompra las cantidadesreflejadas en la factura seaniguales a las de la Orden DeCompra.


No Completado

n. En toda transacción decompra se documenten lostérminos para el pago delbalance adeudado.


No Completado

o. En toda transacción decompra los bienes y/oservicios facturados sean losmismos del informe de reciboy conduce (Observación 2).


No Completado

F. Informe Especial Decomiso Equipo Electronico- Mayo 2009

1. Solicitar al personal asignado evidenciadocumental de los trámites o gestionesrealizadas con alguna institución de laintención del CDORH de donar equipodeclarado excedente. Debe indicarnombre de la Institución, personacontacto, así como listado de equipos aser cedidos.



En Proceso

G. Informe Especial Decomiso Equipo de Oficina- Mayo 2009

1. El Oficial de Propiedad debe seguir elprocedimiento según dispuesto en elManual de Controles Interno del CDORH.



En Proceso

H. Informe Especial Custodia de Informacion- Octubre 2010

1. Devolver la custodia del equipo al Área deGerencia Administrativa para su debidaevaluación y acción correspondiente.


Completada

2. Establecer los controles necesarios paraverificar se sigan todos los pasos al

Oficina deGerencia


En Proceso

Recomendación Oficina Acción Correctiva Resultadomomento de evaluación y, preparación yacondicionamiento de equipo paraentrega al usuario, ya sea nuevo oexistente, tanto por Los Asistentes deServicio Al Usuario, Oficial de Propiedad,así como su configuración en la red por elpersonal designado al Centro deCómputos.

AdministrativaSistemas deInformacion

3. Establecer los controles necesarios paraverificar se sigan todos los pasos almomento de evaluación para ladisposición de equipos, según Manual deProcedimientos de Control Interno delCDORH.

Oficina deGerenciaAdministrativaSistemas deInformacion


En Proceso

I. Informe Especial Custodia de informacion- Junio 2011

1. Remover las unidades dealmacenaje (discos duros) de latorre del equipo (CPU) segúnproceso descrito con fecha del 27de octubre de 2010.


Completado

2. Depositar individualmente cadadisco en sobre tipo “BubbleMailer”, el cual esta revestido ensu interior por un material blando(“Air beads”) para proteger sucontenido.


Completado

3. Anotar en el sobre los detalles denumeración de serie, marca ycapacidad de memoria(Gigabytes) de cada disco.


Completado

4. Tomar fotografías de cada uno delos discos e incluirlas como anejoen el informe correspondiente.


Completado

5. Custodiar los sobres en la Oficinade Auditoria Interna,

Oficina deGerencia

Completado

Auditorias Internas


www.adl.pr.gov

Recomendación Oficina Acción Correctiva Resultadoespecíficamente en el Archivocon Núm. de Propiedad WIA0119.

AdministrativaSistemas deInformacion

6. Devolver la custodia del equipo alÁrea de Gerencia Administrativapara su debida evaluación yacción correspondiente.


Completado

7. Establecer los controlesnecesarios para verificar se sigantodos los pasos al momento deevaluación, preparación yacondicionamiento de equipopara entrega al usuario, ya seanuevo o existente, así como suconfiguración en la red delCDORH.


Completado

8. Establecer los controlesnecesarios para verificar se sigantodos los pasos al momento deevaluación para la disposición deequipos, según Manual deProcedimientos de ControlInterno del CDORH.


Completado

J. Informe Especial Decomiso Equipo de Oficina- Junio 2011

1. Establecer procedimientos de ControlInterno que facilite la entrada decambios, segregación de deberes y/oactualización del Registro dePropiedad Mecanizado (localización,traspaso y/o disposición) de equiposen las facilidades del CDORH.



En Proceso

2. Coordinar adiestramientos alpersonal, así como evaluar en elmercado las herramientas disponiblespara facilitar el registro, asignación,custodia, autorización y/o disposiciónde los equipos.



En Proceso

Recomendación Oficina Acción Correctiva ResultadoK. Informe Especial Decomiso Equipo - Julio 2012

1. Para la implementación del Trámite segúnnotificado (decomiso de equipo), laOficina de Gerencia Administrativapreparará un expediente el cual contengapruebas o documentos que certifiquen elcumplimiento con lo siguiente:

a. Evidencia de evaluación ydeterminación deobsolescencia por parte delDirector del Área deComunicaciones. De habermanuales instructivos,imágenes o diagramas delequipo deberán ser provistosjunto a la comunicación.

b. Evidencia de Transferenciadel equipo bajo la Custodiadel Oficial de la Propiedadluego de evaluado.

c. Evidencia de Inspección paraestablecer la condición delEquipo por parte del Oficialde la Propiedad. De ser unequipo con múltiples partes,el mismo deberá ser llevado asu estado funcional.

d. Evidencia de notificaciones demantenimiento del equipo,así como posterior acción.

e. Evidencia de toma deinventario.

f. Evidencia de Informe de



En Proceso

Auditorias Internas


www.adl.pr.gov

Recomendación Oficina Acción Correctiva ResultadoRecomendaciones al Directorde Administración de partedel Oficial de la Propiedad. Setramitará a la Oficina deAuditoria Interna copia detoda la documentaciónlevantada.

g. Evidencia de gestiones decesión o transferencia delequipo, de aplicar.

h. Comunicación Oficial delDirector de Administraciónindicando fecha y hora paracoordinación de latransferencia o disposicióndel equipo.

Auditoria Interna Caja y Conciliaciones Bancarias:

Realizada por Auditores Externos

Ver Anejos

auditorias internas planes de accion...auditorias internas avenida f.d. roosevelt #355, fomento...

Documents