Programa auditoria caso Epersa S.A
Enviado por Monica Cornejo • 13 de Mayo de 2019 • Informes • 5.974 Palabras (24 Páginas) • 613 Visitas
ÍNDICE
CONOCIMIENTO GENERAL EPERSA S.A. 2
OBJETIVO GENERAL 2
OBJETIVOS ESPECIFICOS 2
ALCANCE 3
METODOLOGÍA 4
PROGRAMA DE AUDITORÍA 4
ANÁLISIS DE EVIDENCIAS 9
PRE-INFORME 9
PREINFORME DE LOS HALLAZGOS ENCONTRADOS EN LA EJECUCIÓN DE 9
LA AUDITORÍA A LA EMPRESA EPERSA S.A. 9
ANTECEDENTES GENERALES 10
OBJETIVO GENERAL 10
OBJETIVOS ESPECÍFICOS 10
ALCANCE 10
METODOLOGÍA 11
OPINION GENERAL 11
OBSERVACIONES Y RECOMENDACIONES DETALLADAS 13
CONOCIMIENTO GENERAL EPERSA S.A.
La empresa pesquera EPERSA dedicada a la captura, y procesamiento de cardúmenes en las costas de Arica hasta Talcahuano; Posee dos plantas de gestión técnica-científica y procesamiento de harina de pescados ubicados en los puertos de Iquique y Talcahuano, y una oficina administrativa, de Gerencias, comercialización y distribución en Santiago. Para el procesamiento de la información y controles automáticos de procesos de fabricación, tanto para su casa matriz como para sus plantas elaboradoras, cuenta con una completa instalación computacional marca DiongDu AS-9-K-KR de procedencia norcoreana, recientemente adquiridas por el fiscal, abogado de vasta experiencia en comercio exterior, mediante una directa y personal negociación técnico comercial en Buenos Aires con los representantes de DiongDu en Argentina para toda Latinoamérica.
Epersa S.A. desde su creación hace tres años, ha tenido un crecimiento explosivo obteniendo a la fecha la capacidad de transporte y procesamiento más grande en el cono sur, con una performance de 3.500 toneladas al mes; y con ingresos anuales de US$ 1457,7 millones entre exportaciones y el mercado nacional
OBJETIVO GENERAL
El propósito de la siguiente auditoria es tomar conocimiento y evaluar el funcionamiento, la eficacia y la eficiencia de la gestión estructural informática en termino de uso de la tecnología, capacidad y seguridad operacional integral de esta, la eficacia en la gestión estrategia alineada a los objetivos de la empresa en apoyo a la calidad, oportunidad y disponibilidad de la información por el generada, además de evaluar el grado de satisfacción de los usuarios internos y externos, con la finalidad de emitir una opinión sobre la razonabilidad de dichos ámbitos.
OBJETIVOS ESPECIFICOS
El cumplimiento del objetivo general de esta auditoria considero lograr los siguientes objetivos específicos:
- Verificar si existe una política clara para incorporación, mantención y desarrollo de nuevas tecnologías
- Verificar si hay un plan estratégico para el desarrollo del proceso de flujo de la información dentro de la organización, y comprobar la existencia de confidencialidad, custodia, confiabilidad, consistencias, continuidad y cumplimiento de la información
- Tomar conocimiento de los controles generales y de aplicación tendientes a garantizar razonablemente el proceso de gestión integra.
- Evaluar los cargos descritos por la organización para las funciones desarrolladas por el personal, para evaluar que el personal sea optimo a las funciones desarrolladas en la empresa.
- Verificar si existe un manejo de respuesta ante incidencias que afecten la continuidad y disponibilidad de los sistemas tecnológicos de la empresa.
- Verificar que las políticas y procedimientos del control interno en el área de TI de la compañía estén alineadas para verificar que se desarrollan en pro del cumplimiento de los objetivos estratégicos y sus respectivas metas a corto plazo
ALCANCE
Se establece para efectos de revisión, y en vista de los objetivos definidos anteriormente, centrándose en la funcionalidad, diseño y modelación de datos, así como la estructura de gestión estratégica, funcionabilidad en los controles, funcionabilidad del personal a cargo y resguardo ante incidencias que conlleven a generar ineficiencia en los procesos. Para esto nos basaremos en los estándares de norma ISO/ TEC 27000 particularmente considerando las normas contenidas en la ISO/IEC 27002:2013, en relación a los requisitos, aplicación y controles de las políticas que gestionan los Sistemas de Seguridad de la Información.
Se ha acordado una fecha aproximada desde el 05 de mayo hasta el 05 de junio 2019, como un periodo razonable para la realización de la auditoria en terreno, además de la solicitud de los antecedentes necesarios para su realización.
Con posterioridad se deberá comenzar a analizar la documentación y con una fecha acordada con el cliente para el 05 de agosto de 2019, para realizar la entrega de un pre-informe de las debilidades visualizadas con sus respectivas explicaciones y recomendaciones.
METODOLOGÍA
Para el logro de los objetivos general y específicos, se confecciono un programa de auditoria enfocado en el plan estratégico implementado por ESPERSA, para evaluar la continuidad dentro de la organización, basado en las normas ISO/IEC 27002, en el cual establece una serie de actividades y tareas usadas como guía para la realización de las pruebas de cumplimiento, sustantivas y analíticas con la finalidad de comparar la situación de la empresa con las mejores prácticas de gestión integra descritas en las normas anteriormente mencionadas.
En forma adicional se programarán reuniones con los encargados de los departamentos
de la entidad de las distintas áreas, para evaluar la información y realizar tomas de
decisiones para su gestión.
PROGRAMA DE AUDITORÍA
PROGRAMA DE TRABAJO | |||||
I. | GESTIÓN DE INICIO DE AUDITORÍA |
|
|
|
|
| DESCRIPCION ACTIVIDAD | FECHA | OBSERVACIÓN | RESPONSABLE | ISO 27.000 |
A. | Carta de inicio de auditoría (Redacción y envío al cliente) |
|
|
| ISO/IEC 27002:2014 |
B. | Recepción de notificación de inicio de auditoría |
|
|
| ISO/IEC 27002:2015 |
| (Empresa informa contraparte técnica) |
|
|
| ISO/IEC 27002:2016 |
C. | Carta de resguardo de la empresa |
|
|
| ISO/IEC 27002:2017 |
D. | Carta de Responsabilidad |
|
|
| ISO/IEC 27002:2018 |
II. | OBTENCIÓN DE INFORMACIÓN GENERAL |
|
|
|
|
N° | DESCRIPCION ACTIVIDAD | FECHA | OBSERVACIÓN | RESPONSABLE | ISO 27.000 |
1. | Información sobre giro, misión y visión de la empresa. |
|
|
| NO APLICA |
2. | Planificación estratégica de la empresa. |
|
|
| ISO/IEC 27002 – 6 |
3. | Estructura organizacional del área de TI. |
|
|
| ISO/IEC 27002:2013 - 6.1 |
4. | Constitución, normativa y estatutos de la organización |
|
|
| ISO/IEC 27002:2013 – 6 |
5. | Actas de reuniones de la administración de TI. |
|
|
| NO APLICA |
6. | Normativa y regulación aplicable a las buenas prácticas del área de TI. |
|
|
| NO APLICA |
7. | Informe de evaluación de riesgos del área TI |
|
|
| ISO/IEC 27002:2013 - 16.1 |
8. | Organigrama de la empresa. |
|
|
| ISO/IEC 27002:2013 - 6.1 |
9. | Planificación estratégica del área de Tecnología de la Información (TI). |
|
|
| ISO/IEC 27002:2013 – 6 |
10. | Políticas de seguridad de la información |
|
|
| ISO/IEC 27002:2013 – 5 |
III. | OBTENCIÓN DE INFORMACIÓN ESPECÍFICA |
|
|
|
|
N° | DESCRIPCION ACTIVIDAD | FECHA | OBSERVACIÓN | RESPONSABLE | ISO 27.000 |
1. | Manual de cargos, definición de roles y responsabilidades del área de TI. |
|
|
| ISO/IEC 27002:2013 - 6.1 |
2. | Contratos y obligaciones legales del gobierno TI. |
|
|
| ISO/IEC 27002:2013 – 8 |
3. | Segregación de deberes. |
|
|
| ISO/IEC 27002:2013 – 6.1.2 |
4. | Asignación de las responsabilidades de la seguridad de la información |
|
|
| ISO/IEC 27002:2013 - 3.2 |
5. | Informe de revisiones periódicas de la seguridad de la información |
|
|
| ISO/IEC 27002:2013 - 5.1.2 |
6. | Informe de estructura, modelo y diseño de implementación del software |
|
|
| ISO/IEC 27002:2013 - 11.2 |
IV. | OBTENCIÓN DE INFORMACIÓN COMPLEMENTARIA |
|
|
|
|
N° | DESCRIPCION ACTIVIDAD | FECHA | OBSERVACIÓN | RESPONSABLE | ISO 27.000 |
V | PROCEDIMIENTO DE AUDITORIA SOBRE LA INFORMACION GENERAL |
|
|
| |
N° | PRUEBAS DE CUMPLIMIENTO | FECHA | OBSERVACIÓN | RESPONSABLE | ISO 27.000 |
1. | Comprobar la existencia de escritura pública de la constitución de la empresa. |
|
|
| ISO/IEC 27002:2013 – 8 |
2. | verificar la existencia de la planificación estratégica del área de TI, para determinar si esta alineada con los objetivos estratégicos de la entidad. |
|
|
| ISO/IEC 27002:2013 – 6 |
3. | Comprobar la existencia de un organigrama vigente, para tener información sobre la estructura jerárquica de la empresa. |
|
|
| ISO/IEC 27002:2013 – 6 |
4. | Comprobar la existencia de manual de descripción de cargos y funciones del personal de la empresa, con la finalidad de conocer el alcance de las actividades y tareas. |
|
|
| ISO/IEC 27002:2013 - 6.1 |
5. | Comprobar la existencia de políticas de seguridad de la información, con la finalidad de verificar la asignación de responsabilidades, generales y específicas para la administración de la seguridad de la información. |
|
|
| ISO/IEC 27002:2013 - 5.1.1 |
6. | verificar la existencia de actas de reuniones de la administración de TI, para validar la retroalimentación entre las partes interesadas para efecto de la mejora continua. |
|
|
| ISO/IEC 27002:2013 - 18.2 |
7. | Corroborar si están bien definidos los roles de los responsables de TI, con el objetivo de poder supervisar el funcionamiento y alcance de esta área. |
|
|
| ISO/IEC 27002:2013 - 6.1 |
8. | Verificar la existencia de manuales de procedimiento donde estén claramente identificadas y definidas las políticas del área de TI y ver que estas se están aplicando. |
|
|
| ISO/IEC 27002:2013 - 12.1.1 |
N° | PRUEBAS SUSTANTIVAS | FECHA | OBSERVACIÓN | RESPONSABLE | ISO 27.000 |
1. | Analizar el plan estratégico del área de TI para evaluar su aplicación, en función de la eficiencia y eficacia de su implementación. |
|
|
| ISO/IEC 27002 – 6 |
2. | Evaluar el impacto que puedan tener los riesgos de la entidad en el proyecto, para verificar el impacto de las medidas aplicables a estos riesgos. |
|
|
| ISO/IEC 27002 – 16.1 |
3. | Analizar las medidas correctivas acordadas en reuniones, relacionadas a las revisiones del proyecto corporativo, con la finalidad de verificar su eficaz aplicación en pro de la continuidad de las operaciones. |
|
|
| ISO/IEC 27002 – 18.2 |
4. | Examinar los distintos canales de comunicación existentes en la organización, con la finalidad de verificar su eficacia en el proceso de retroalimentación en la gestión De mejora continua. |
|
|
| ISO/IEC 27002 – 6 |
5. | Examinar la fase de evaluación de riesgos con la finalidad de verificar la detección inmediata de estos. |
|
|
| ISO/IEC 27002 – 16.1 |
N° | PRUEBAS ANALÍTICAS | FECHA | OBSERVACIÓN | RESPONSABLE | ISO 27.000 |
1. | Calcular el número de roles claves en la gestión de la seguridad de la información para analizar quienes están directamente relacionados con los procesos de seguridad lógica. |
|
|
| ISO/IEC 27002 – 6.1.1 |
2. | Calcular el número de soluciones desarrolladas conforme al plan de tratamiento de riesgos establecidos por la entidad, con la finalidad de comprobar su alineamiento con los objetivos estratégicos. |
|
|
| ISO/IEC 27002 – 16.1.5 |
3. | Estimar el porcentaje de pérdidas y ganancias de los riesgos de T.I |
|
|
| ISO/IEC 27002 – 9 |
V | PROCEDIMIENTO DE AUDITORIA SOBRE LA INFORMACION ESPECÍFICA |
|
|
| |
N° | PRUEBAS DE CUMPLIMIENTO | FECHA | OBSERVACIÓN | RESPONSABLE | ISO 27.000 |
1. | Verificar la existencia de un manual de cargos, con la finalidad de corroborar la definición de roles y responsabilidades del área de TI. |
|
|
| ISO/IEC 27002 – 6.1 |
2. | Comprobar la existencia de procedimiento de implementación de sistemas de TI, con la finalidad de determinar si contribuyen con la gestión del proyecto corporativo. |
|
|
| ISO/IEC 27002 – 11.2 |
3. | Examinar existencia de un plan de respuesta a incidentes, con la finalidad de validar la continuidad de las operaciones de negocio frente a materializaciones de riesgos. |
|
|
| ISO/IEC 27002 – 16.1 |
4. | Examinar la existencia de manuales de identificación de usuarios, con la finalidad de validar el correcto funcionamiento de los accesos lógicos en función de cada uno de sus roles y responsabilidades |
|
|
| ISO/IEC 27002 – 9.2 |
5. | Examinar la existencia de registros de actividad y supervisión de los sistemas, con la finalidad de verificar la efectividad de los controles asociados a la autentificación de usuarios de la información. |
|
|
| ISO/IEC 27002 – 12.4 |
6. | Corroborar la existencia de controles para la detección, prevención y recuperación de información contenida en el software que afecten la operación de éste, con el objetivo de proteger esta plataforma contra terceros maliciosos |
|
|
| ISO/IEC 27002 – 13.1 |
7. | Verificar la existencia de informes sobre la evaluación de riesgos del proyecto, con el fin de determinar si el área de TI cumple con monitorear la gestión de riesgo del mismo. |
|
|
| ISO/IEC 27002 – 5.1.1 |
8. | Examinar la existencia de informes que avalen el rendimiento y la eficiencia del funcionamiento del software, con el objetivo de monitorear el mismo. |
|
|
| ISO/IEC 27002 – 8 |
N° | PRUEBAS SUSTANTIVAS | FECHA | OBSERVACIÓN | RESPONSABLE | ISO 27.000 |
1. | Analizar el plan informático del proyecto, para evaluar la eficiencia, eficacia y beneficio obtenido por el mismo |
|
|
| ISO/IEC 27002 – 6 |
2. | Examinar el registro de capacitaciones para los distintos miembros del equipo de TI, con el objetivo de poder evaluar la capacidad y el nivel de los usuarios para el uso del software. |
|
|
| ISO/IEC 27002 – 7.2 |
3. | Evaluar la definición de roles y responsabilidades del personal de TI para determinar si son las apropiadas para gestionar la aplicación del proyecto. |
|
|
| ISO/IEC 27002 – 6.1.1 |
4. | Evaluar la capacidad técnica de los equipos computacionales, para soportar software de alta capacidad tecnológica, con el objetivo de determinar el costo beneficio de la implementación del software. |
|
|
| ISO/IEC 27002 – 11.2 |
5. | Analizar los resultados sobre el uso de recursos durante el proyecto, para identificar el impacto y grado de aplicación de estos. |
|
|
| ISO/IEC 27002 – 8 |
N° | PRUEBAS ANALÍTICAS | FECHA | OBSERVACIÓN | RESPONSABLE | ISO 27.000 |
1. | Calcular el número de potenciales riesgos del área de TI, identificados por área. |
|
|
| ISO/IEC 27002 – 16 |
2. | Determinar el porcentaje de riesgos del proyecto que fueron mitigados eficazmente, para comprobar que la empresa gestiona los riesgos relacionados con el proyecto |
|
|
| ISO/IEC 27002 – 16.1.5 |
3. | Calcular el número de incidentes mensuales que impliquen dispositivos de usuario final, con la finalidad de comparar el comportamiento actual y el esperado. |
|
|
| ISO/IEC 27002 – 16.2 |
...