MEMORANDO DE PLANIFICACION DE AUDITORIA (Completo)

Descargar como docx, pdf o txt
Descargar como docx, pdf o txt
Está en la página 1de 18

MEMORANDO DE PLANIFICACION DE AUDITORIA

Auditoria de control de los sistemas de información

Antecedentes:

Terapéutica Boliviana S.A. (TERBOL) nace en Santa Cruz de la Sierra, Bolivia, en 1980, como
resultado de un emprendimiento familiar y la visión de un grupo de profesionales que mantuvieron
durante años el claro objetivo de fabricar productos terapéuticos y medicinales de alta calidad para
el consumo de la población a precios competitivos. Desde sus inicios, TERBOL mantiene su razón
social como TERAPEUTICA BOLIVIANA S.A.

1980 Ese mismo año TERBOL S.A. lanza sus primeras 14 formulaciones de antibióticos
inyectables hacia el mercado nacional, entre los que se destacó el reconocido TERBOCYL.
TERBOL fue el primer laboratorio nacional en producir fármacos.

1989 Hasta fines de la década de los ochenta, TERBOL mantuvo con éxito su objetivo de
posicionar sus productos en todo el territorio nacional. Una vez cumplido esto, el proyecto de los
nuevos tiempos sería más ambicioso. Ganando progresivamente la confianza de médicos,
farmacéuticos y pacientes en sus productos de calidad.

1992 TERBOL comienza a trascender las fronteras del país realizando las primeras exportaciones
de fármacos a países vecinos con notable aceptación y superando tres grandes desafíos: Las
primeras exportaciones se realizaron a Perú, Paraguay y Ecuador.

1998 Como parte de un esfuerzo sostenido y de los buenos resultados en cada etapa, TERBOL
firma el primer contrato de maquila para la multinacional TECNOFARMA.

2001 A comienzos del nuevo milenio TERBOL continúa su franco desarrollo a través de la
instalación de una oficina propia en Estados Unidos, con la que realizaría la provisión de insumos
y productos vitamínicos bajo su licencia y control. INTERPHARMA TRADE se denominó la
subsidiaria de TERBOL en los Estados Unidos.

2002 Se suscribe un nuevo contrato de maquila de cefalosporinas, esta vez, para Ecuador y
Colombia. Ese mismo año, nace TERBONOVA NUTRACEUTICALS, importante División de
TERBOL especializada en suplementos vitamínicos y nutricionales. TERBONOVA
NUTRACEUTICALS cuenta hoy con más de 50 productos en sus 9 líneas de vitaminas.
La planta de producción de TERBOL se encuentra actualmente en una zona residencial de la
ciudad de Santa Cruz. Durante más de veinte años, TERBOL se ha preocupado por adecuar la
infraestructura al ritmo de su desarrollo. Así, fue modernizando y reequipando su planta de
producción y demás instalaciones incorporando tecnología y equipos de última generación, similar
a la utilizada en países más avanzados. TERBOL mantiene en forma permanente el compromiso
de producción bajo normas internacionales BPM. Con una infraestructura adecuada, TERBOL
puede garantizar una oferta de medicamentos que refleje los últimos avances de la ciencia
médica, optimizando el proceso industrial, reduciendo la contaminación e incrementando la
productividad global.

TERBOL posee actualmente más de 250 empleados. Terapéutica Boliviana S.A. o Laboratorios
TERBOL, tiene como marca su nombre propio y una imagen muy especial para nuestra empresa:
EL ARBOL como símbolo de vida, renovación y crecimiento. Nuestros OBJETIVOS son claros:
Proveer al mercado nacional e internacional de fármacos de calidad a precio justo Estrechar
vínculos con los profesionales de la salud, contribuyendo a la actualización científica Superarnos
cada día en la aplicación de calidad, para lograr la excelencia de nuestros productos Convertirnos
en el laboratorio número uno del país

La actualidad de TERBOL y los nuevos proyectos mantienen firme la idea de invertir en el país,
consolidando la industria farmacéutica nacional con una apreciación tecnológica creciente, con el
fin de satisfacer la demanda interna y regional. Es otro paso decisivo en nuestra historia hacia el
liderazgo, estamos cada vez más cerca.

Objetivo general de la auditoria

El objetivo de la auditoria es revisar y evaluar la seguridad de la información del sistema de


información de la empresa, para emitir un pronunciamiento sobre la eficacia o deficiencias en el
cumplimiento de los procesos de dicha seguridad.

Objetivos específicos de la auditoria

 Planificar la auditoria que permita identificar las condiciones actuales de la Seguridad de la


información de los sistemas de información de la EMPRESA “TERBOL” S.A

 Aplicar los procesos de auditoría teniendo en cuenta el COBIT como herramienta de


apoyo en el proceso de inspección de los Sistemas de seguridad física y lógica de la
EMPRESA “TERBOL” S.A
 Identificar las soluciones para la construcción de los planes de mejoramiento a la
Seguridad de la información del sistema de Información de acuerdo a los resultados
obtenidos en la etapa de aplicación de la auditoría.

Alcance de la Auditoria y las restricciones en el alcance del trabajo

Nuestro examen comprenderá el análisis de la seguridad de la información de los Sistemas de


información que maneja la empresa tales como software, información, base de datos y recursos
humanos, además del funcionamiento de control interno de la empresa, que se llevará a cabo del
30 de Julio de 2020 al 31 de Agosto de 2020.

Los puntos a evaluar serán los siguientes:

Del software se evaluará:


- Si cuentan con licencia sus programas
- Si cuentan con programas de antivirus
- Si cuentan con software actualizados

De la información se evaluará:
- Control de acceso a la base de datos
- Protección a la información
- Ver si están bloqueados los puertos traseros del computador
- Si cuentan con un back up o copias de seguridad de la información

Recursos Humanos

La auditoría se realizará por una comisión de auditores especializados en sistemas con la asesoría
y supervisión metodológica del Lic. Auditor Mario Gerardo Pinto Virhuez.

Dicha comisión está conformada por los siguientes profesionales:

NOMBRES Y APELLIDOS CARGO


Yolanda Polares Santos Auditora
Victor Alberto Tambaré Chale Experto
Lidice Aguilera Asesora Legal
Angélica Hurtado Vargas Directora General
Recursos Financieros

La comisión tendrá los siguientes honorarios:

PRESUPUESTO
NOMBRES Y APELLIDOS
En Bs.
Yolanda Polares Santos 6.000
Victor Alberto Tambaré Chale 7.000
Lidice Aguilera 7.000
Angélica Hurtado Vargas 7.000

TOTALES 27.000

Presupuesto de Tiempo

La planificación del tiempo para la auditoria es la siguiente:


Planificación Ejecución INFORME TOTAL
NOMBRES Y APELLIDOS CARGO
En Hrs. En Hrs. En Hrs. Hrs.
Yolanda Polares Santos Auditora 12 24 18 54
Victor Alberto Tambaré Experto 12 24   33
Lidice Aguilera Asesora Legal 6     6
Directora
Angélica Hurtado Vargas General
6     6

    3
TOTALES 36 48 18 102
CRONOGRAMA

En el cronograma de las actividades presentamos los procedimientos de auditoría que se realizarán.

Directora General

Asesora Legal

Experto

Auditora
PROGRAMA DE AUDITORIA

OBJETIVO DE AUDITORIA

Revisar y evaluar los procedimientos y controles de la seguridad de la información de los sistemas


de información, así como su utilización y eficiencia.

HECHO SUPERVISADO
PROCEDIMIENTOS DE AUDITORIA Ref. P/T
POR: POR:

1. Diseñar y aplicar un cuestionario a las


áreas que intervienen y tienen acceso a      
los sistemas de información

2. En base a los cuestionarios aplique


pruebas sustantivas y pruebas de
cumplimiento a las respuestas positivas      
y diseñe la planilla de deficiencias para
las respuestas negativas.

3. Realice un resumen de puntos débiles


     
y puntos fuertes.

4. Realice entrevistas al personal del


área, así mismo a los encargados y a      
los usuarios del sistema de información.

5. Analice y evalúe las claves y/o


contraseñas de acceso al sistema de los      
diferentes usuarios.

6. Evalúe el conocimiento y preparación


del personal acerca del manejo del      
sistema de información.

7. Solicite el informe técnico del experto


sobre la valoración de los riesgos del
     
sistema de información de seguridad
física y lógica

8. En base a los resultados obtenidos de


los puntos anteriores, prepare un
     
informe inicial o preliminar, con sus
respaldos correspondientes.
CUESTIONARIO
Alcance: .
Observacione
N° Pregunta Si No
s

¿La empresa cuenta con un


1 x     
Departamento de Informática?

¿Se ejerce control preventivo del Sistema


2   x   
Informático de la empresa?

¿Cuenta el sistema con claves de


3 x   
seguridad?

¿Existe un periodo máximo de vida de las


4 x  
contraseñas?

¿Se realiza un adecuado mantenimiento


5 x     
al Sistema Informático?

¿Se mantiene vigilancia las 24 horas al


6 x     
departamento informático?

¿Existe un instructivo para el uso del


7   x   
Software Informático?
¿El sistema cuenta con personal técnico
8 que ayude cuando se produzcan x     
inconvenientes?
¿Se cuenta con copias de los archivos en
9   x   
lugar distinto al de la computadora?
¿Los interruptores de energía están
10 debidamente protegidos, etiquetados y x     
sin obstáculos para alcanzarlos?
¿Existe personal de vigilancia en la
11 x     
institución?

¿Son controladas las visitas en el centro


12 x     
de cómputo?
El personal cuenta con al menos una
13 computadora para desempeñar su x     
trabajo?
¿Se actualiza al personal periódicamente
14   x   
ante algún cambio en los sistemas?

¿Se cuenta con Licencia Oficial y


15 x    
Actualizada de los antivirus?
PLANILLA DE DEFICIENCIA

DISPOSICION
CONDICION CRITERIOS CAUSA EFECTO RECOMENDACIONES
DE AUDITORIA

Se recomienda a gerencia
1.- Se ha evidenciado que
No tener un control general a tomar medida en
no existen un control Por desconocimiento del
preventivo claro y definido cuanto a implementar Si reportar en el
preventivo sobre los funcionario en temas de
va afectar el sistema de controles de seguridad para informe
sistemas del software y control preventivos
seguridad física y lógica poder salvaguardar los bienes
hardware
informáticos de la entidad
No tener un control claro Se recomienda a gerencia
2. Se ha evidenciado que Por desconocimiento del
sobre la importancia de las general tomar medida en
no existen un periodo de funcionario en temas de Si reportar en el
actualizaciones puede cuanto al personal
actualización de los actualización de los sistemas informe
afectar al sistema debe responsable del área de
usuarios y contraseña informáticos
actualizarse cada 6 meses sistema
Demora en el aprendizaje
Por desconocimiento del Se recomienda a gerencia
3, Se ha evidenciado que de los nuevos funcionarios
funcionario en temas de elaborar un Manual de
no existe un Instructivo que aprenderán  Si reportar en el
  elaboración de Manual de Procedimiento o Instructivo del
para el uso del software empíricamente además de informe
Procedimientos e uso de los sistemas
informático la posibilidad de cometer
Instructivos informáticos
errores por el mal manejo 
Se recomienda a gerencia
4. Se ha evidenciado que
Por desconocimiento del general de exigir a los
no cuentan con copias de Está afectando la
encargado de sistema de funcionarios encargado de Si reportar en el
los archivos en lugar seguridad física y lógica de
crear una copia de seguridad crear una copia de seguridad informe
distinto al de la la institución
de los datos más importante de los datos lo más pronto
computadora
posible
5, Se ha evidenciado que
el personal carece de Por desconocimiento del Se recomienda a gerencia
 Aumenta la probabilidad
capacitación y/o funcionario en temas de general tomar medida en
de error en el trabajo de  Si reportar en el
actualización ante   actualización del personal en cuanto al personal
los funcionarios además de informe
cualquier modificación en manejo de los sistemas responsable del área de
ralentizar el trabajo
el manejo de los sistemas informáticos sistema
de información
PRUEBAS DE CUMPLIMIENTO

PRUEBA DE CUMPLIMIENTO N°1

Se ha evidenciado que la empresa cuenta con un Departamento de Informática o Centro de


Procesamiento de Datos (CPD). Se verificó que el CPD cuenta con un equipamiento aceptable
y está en un área específica separada de las demás con todas las medidas y condiciones
recomendables para evitar el sobrecalentamiento de los procesadores.
PRUEBA DE CUMPLIMIENTO N°3

Se logró evidenciar que el sistema cuenta con claves de seguridad para cada usuario
independientemente y los mismos se recomiendan alternando datos alfanuméricos lo que
eleva la seguridad de las mismas.
PRUEBA DE CUMPLIMIENTO N°5

Se pudo evidenciar que existe un adecuado mantenimiento al Sistema Informático cada 3


meses, además de realizar mantenimiento periódico cada 6 meses a los computadores
de todo el personal. Además, que el personal realiza limpieza superficial a sus equipos
(monitor, mouse, teclado) cada semana debido a la acumulación acelerada de polvo en el
ambiente.
PRUEBA DE CUMPLIMIENTO N°6

Se pudo evidenciar se mantiene vigilancia las 24 hrs al Sistema Informático o CPD mediante
dos cámaras, una colocada en un extremo del pasillo y la otra en dirección opuesta las cuales
brindan una excelente vista del ingreso al CPD y dos cámaras dentro de la habitación asignada
al CPD.
PRUEBA DE CUMPLIMIENTO N°8

Se pudo evidenciar que la empresa cuenta con personal técnico que ayuda cuando se
producen inconvenientes y realizan una oportuna intervención. Los inconvenientes más
comunes son: la caída del sistema informático.
PRUEBA DE CUMPLIMIENTO N°10

Se pudo evidenciar que el sistema de interruptores de energía y sus elementos se encuentran


debidamente protegidos, etiquetados y sin obstáculos para alcanzarlos en caso requieran ser
cambiados. Cuentan con un sistema de desbloqueo con llaves al cual solo tiene acceso el
encargado del sistema informático.
PRUEBA DE CUMPLIMIENTO N°11

Se pudo evidenciar que existe personal de seguridad trabajando en el ingreso de las


instalaciones que se encargan de recepcionar, informar, tomar la temperatura y demás
medidas para descartar Covid19, y registrar y controlar el ingreso y salida de todas las
personas que transitan en la empresa.

En el interior observamos que existe otro guardia que se encarga de realizar rondas alrededor
de todas las instalaciones. Existen 2 guardias por turno siendo cada turno:

 De 08:00-16:00
 De 16:00-00:00
 De 00:00-08:00
PRUEBA DE CUMPLIMIENTO N°12

Se pudo evidenciar que son controladas las visitas en el centro de cómputo en lo cual en la
puerta de ingreso a esta área existe un aviso que indica que el solo personal autorizado puede
ingresar, además de contar con cámaras en el corredor frente a la entrada al C.P.D.
PRUEBA DE CUMPLIMIENTO N°13

Se evidenció que cada funcionario tiene acceso al sistema a través de una computadora de
mesa, los cuales se componen de CPU, Monitor, Teclado y Mouse. También evidenciamos que
cada departamento cuenta al menos con dos impresoras y una fotocopiadora para usos
masivos de impresiones y fotocopias.
PRUEBA DE CUMPLIMIENTO N°15

Se pudo evidenciar que el sistema informático cuenta con todas las licencias y antivirus
necesarios para su óptimo funcionamiento.

También podría gustarte