Docsity
Docsity

Prepara tus exámenes
Prepara tus exámenes

Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity


Consigue puntos base para descargar
Consigue puntos base para descargar

Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium


Orientación Universidad
Orientación Universidad


Auditoría de Control de Acceso al Sistema Informático de Petroperú (2016), Apuntes de Auditoría

Plan y programa de auditoria Plan y programa de auditoria Plan y programa de auditoria

Tipo: Apuntes

2019/2020

Subido el 01/04/2020

hackett98
hackett98 🇵🇪

5

(1)

1 documento

1 / 14

Toggle sidebar

Esta página no es visible en la vista previa

¡No te pierdas las partes importantes!

bg1
PLAN Y PROGRAMA DE AUDITORIA PETROPERÚ S.A.:
PLAN Y PROGRAMA DE AUDITORIA
AUDITORIA OPERATIVA A LAS MEDIDAS DE CONTROL CONTRA EL ACCESO ILICITO AL
SISTEMA INFORMATICO, INTERCEPTACION DE DATOS INFORMATICOS Y FRAUDE
INFORMATICO EN LAS AREAS ADMINISTRATIVAS Y DE SISTEMA INFORMATICO DE LA
EMPRESA ESTATAL PETROPERU S.A , PERIODO ENERO A DICIEMBRE DEL 2016.
I. ORIGEN DEL EXAMEN
La Auditoria Operativa a las áreas administrativas y área de sistemas informáticos de
Petroperú s.a, (OFADMIN-PETROPERU Y OFP-PETROPERU), se encuentra previsto en el Plan
Anual de Control 2017, con arreglo al marco legal de su competencia, es atribución exclusiva
de la Contraloría General de la República la designación de sociedades de auditoría que se
requieran para la prestación de servicios de auditoría en las entidades bajo el ámbito del
Sistema Nacional de Control. De acuerdo a ello, se regula por las disposiciones del Reglamento
de las Sociedades de Auditoría conformantes del Sistema Nacional de Control, aprobado por
Resolución de Contraloría Nº 063-2007-CG y modificatorias y a lo dispuesto por el gerente de
Petroperú, mediante Memorándum Nº 40-2017-CGR-GGRAL-PETROPERU- del 24MAR2017.
II. ANTECEDENTES DE LA ENTIDAD Y DE LOS ASUNTOS QUE SERAN EXAMINADOS
La información y los medios para su generación, tratamiento, transmisión y almacenamiento,
son activos importantes de la institución y por ello requieren ser protegidos. La
disponibilidad, integridad y confidencialidad de la información, son esenciales para mantener
la operatividad, competitividad, efectividad, pro actividad, confiabilidad, continuidad e imagen
de PETROPERÚ. Teniendo en cuenta ello se ha visto la inobservancia y la falta de aplicación de
las medidas de control ya normadas.
La aplicación es general y obligatoria para Miembros del Directorio, Gerente General, Gerentes
de Estructura Básica y Complementaria, Trabajadores en General, Practicantes, Consultores,
Prestadores de Servicios Profesionales, Personal de Contratistas y otros, en adelante
“usuarios”, que necesiten tener acceso a la información o recursos de tratamiento de la
información de PETROPERÚ, mientras desempeñen sus labores en la misma y exista vínculo
laboral, civil o comercial y, de acuerdo a convenios o normatividad específica, incluso cuando
cese sus funciones.
De la Entidad:
PETROPERU se crea por Decreto Ley17753 el 24.Jul.1969 y se rige por su Ley Orgánica
aprobada el 04.Mar.1981 mediante Decreto Legislativo Nº 43, modificada por la Ley N° 26224
el 23.Ago.1993, Ley N° 24948 (Ley de la Actividad Empresarial del Estado del 02.Dic.1988),
Memorándum de planeamiento a la Auditoria Operativa a las medidas de control contra el acceso ilícito al sistema
informático , interceptación de datos informáticos y fraude informático en las áreas administrativas y de sistema
informático de la empresa estatal PETROPERU S.A , periodo enero a diciembre del 2010.
1
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe

Vista previa parcial del texto

¡Descarga Auditoría de Control de Acceso al Sistema Informático de Petroperú (2016) y más Apuntes en PDF de Auditoría solo en Docsity!

PLAN Y PROGRAMA DE AUDITORIA

AUDITORIA OPERATIVA A LAS MEDIDAS DE CONTROL CONTRA EL ACCESO ILICITO AL

SISTEMA INFORMATICO, INTERCEPTACION DE DATOS INFORMATICOS Y FRAUDE

INFORMATICO EN LAS AREAS ADMINISTRATIVAS Y DE SISTEMA INFORMATICO DE LA

EMPRESA ESTATAL PETROPERU S.A , PERIODO ENERO A DICIEMBRE DEL 2016.

I. ORIGEN DEL EXAMEN

La Auditoria Operativa a las áreas administrativas y área de sistemas informáticos de Petroperú s.a, (OFADMIN-PETROPERU Y OFP-PETROPERU), se encuentra previsto en el Plan Anual de Control 2017, con arreglo al marco legal de su competencia, es atribución exclusiva de la Contraloría General de la República la designación de sociedades de auditoría que se requieran para la prestación de servicios de auditoría en las entidades bajo el ámbito del Sistema Nacional de Control. De acuerdo a ello, se regula por las disposiciones del Reglamento de las Sociedades de Auditoría conformantes del Sistema Nacional de Control, aprobado por Resolución de Contraloría Nº 063-2007-CG y modificatorias y a lo dispuesto por el gerente de Petroperú, mediante Memorándum Nº 40-2017-CGR-GGRAL-PETROPERU- del 24MAR2017. II. ANTECEDENTES DE LA ENTIDAD Y DE LOS ASUNTOS QUE SERAN EXAMINADOS La información y los medios para su generación, tratamiento, transmisión y almacenamiento, son activos importantes de la institución y por ello requieren ser protegidos. La disponibilidad, integridad y confidencialidad de la información, son esenciales para mantener la operatividad, competitividad, efectividad, pro actividad, confiabilidad, continuidad e imagen de PETROPERÚ. Teniendo en cuenta ello se ha visto la inobservancia y la falta de aplicación de las medidas de control ya normadas. La aplicación es general y obligatoria para Miembros del Directorio, Gerente General, Gerentes de Estructura Básica y Complementaria, Trabajadores en General, Practicantes, Consultores, Prestadores de Servicios Profesionales, Personal de Contratistas y otros, en adelante “usuarios”, que necesiten tener acceso a la información o recursos de tratamiento de la información de PETROPERÚ, mientras desempeñen sus labores en la misma y exista vínculo laboral, civil o comercial y, de acuerdo a convenios o normatividad específica, incluso cuando cese sus funciones. De la Entidad: PETROPERU se crea por Decreto Ley N° 17753 el 24.Jul.1969 y se rige por su Ley Orgánica aprobada el 04.Mar.1981 mediante Decreto Legislativo Nº 43, modificada por la Ley N° 26224 el 23.Ago.1993, Ley N° 24948 (Ley de la Actividad Empresarial del Estado del 02.Dic.1988), Memorándum de planeamiento a la Auditoria Operativa a las medidas de control contra el acceso ilícito al sistema informático , interceptación de datos informáticos y fraude informático en las áreas administrativas y de sistema

modificada por la Ley N° 27170 (Ley del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado del 08.Set.1999). Las presentes leyes norman la actividad económica, financiera y laboral de la empresa, así como la relación con los diversos niveles de gobierno y regímenes administrativos. El actual Estatuto Social de PETRÓLEOS DEL PERÚ - PETROPERÚ S.A. se aprobó mediante DS 024-2002-EM el 21.Ago.2002 y modificado por Acuerdo de la Junta General de Accionistas de fecha 31.Dic.2009. Conforme a su Estatuto Social, PETROPERU tiene por objetivo llevar a cabo actividades de hidrocarburos de acuerdo con lo dispuesto en la Ley Orgánica de Hidrocarburos. En el ejercicio de su labor, PETROPERU actúa con plena autonomía económica, financiera y administrativa y de acuerdo con los objetivos, políticas y estrategias aprobadas por el Ministerio de Energía y Minas. Además, puede realizar y celebrar toda clase de actos y contratos y regirse en sus operaciones de comercio exterior por los usos y costumbres del comercio internacional y por las normas del derecho internacional y la industria de hidrocarburos generalmente aceptadas. La gestión de PETROPERU se realiza bajo el marco de la Ley Orgánica de Hidrocarburos, Ley N° 26221 del 19.Ago.1993 y sus modificatorias. El Congreso de la República, mediante Ley Nº 28244 del 02.Jun.2004, excluyó a PETROPERU del proceso de privatización y autorizó su participación en las actividades de exploración y producción de hidrocarburos. El 23.Jul.2006, el Congreso de la Republica promulgo la Ley Nº 28840, Ley de Fortalecimiento y Modernización de la empresa Petróleos del Perú S.A. – PETROPERÚ - la cual tiene por objetivo brindar una mayor autonomía a la empresa en el desarrollo de sus actividades, excluyéndola del ámbito del FONAFE, de las normas y reglamentos del Sistema de Inversión Pública (SNIP); así como de la Ley de Contrataciones y Adquisiciones del Estado y su reglamento, disponiendo rija sus adquisiciones y contrataciones mediante un régimen especial a ser aprobado por el OSCE. Mediante Resolución N° 523-2009-OSCE/PRE DE FECHA 11.12.2009 se APRUEBA EL Reglamento de Contrataciones de Petróleos del Perú S.A. Petróleos del Perú – PETROPERU S.A. cuenta con cinco refinerías: Refinería Talara; Refinería Conchán; Refinería Iquitos; Refinería El Milagro y Refinería Pucallpa (entregado en alquiler). Así también cuenta con Plantas de Venta propias, capacidad de almacenamiento contratada en Terminales y Plantas de Venta operados por privados y el Oleoducto Norperuano. Memorándum de planeamiento a la Auditoria Operativa a las medidas de control contra el acceso ilícito al sistema informático , interceptación de datos informáticos y fraude informático en las áreas administrativas y de sistema

D. Propietario del Activo de Información  Velar por la seguridad del activo de información que está a su cargo.  Supervisar la implementación y el mantenimiento de los controles que aplican al activo de información.  Clasificar la información en términos de su valor, confidencialidad, criticidad y sensibilidad para PETROPERÚ. E. Oficinas de Tecnologías de Información y Comunicaciones  Administrar, monitorear y operar en forma segura las redes y sistemas informáticos de PETROPERÚ.  Facilitar los mecanismos técnicos que permitan dar cumplimiento a la Política Corporativa, Reglamento y Procedimientos de Seguridad de la Información.  Hacer cumplir las normas y procedimientos de Seguridad Informática. F. Organización de Seguridad de la Información  Proponer al Comité la actualización de la Política Corporativa, el Reglamento y los Procedimientos de seguridad de la información.  Revisar y proponer propietarios para cada activo de información.  Formular criterios de clasificación de la información.  Revisar y mantener actualizado el inventario de activos de información.  Presentar normas complementarias, prácticas de gestión y procedimientos, diseñados para proporcionar una convicción razonable para que todos los usuarios cumplan la política, reglamento y procedimientos de seguridad de la información.  Analizar y hacer seguimiento sobre los incidentes en seguridad de la información.  Coordinar la ejecución periódica de la evaluación de riesgos y proponer controles de tratamiento de riesgos, en línea con el Sistema de Control Interno.  Asegurar que la implementación de controles de seguridad de la información sea ejecutada.  Desarrollar y proponer planes y programas de concientización y capacitación en temas de seguridad de la información. G. Comité de Seguridad de la Información  Identificar las metas de seguridad de la información, relacionarlas con las exigencias organizacionales e integrarlas en los procesos relevantes. Memorándum de planeamiento a la Auditoria Operativa a las medidas de control contra el acceso ilícito al sistema informático , interceptación de datos informáticos y fraude informático en las áreas administrativas y de sistema

 Planificar y coordinar la ejecución periódica de la evaluación de riesgos y proponer controles para el tratamiento de los mismos.  Proponer planes, programas y presupuesto para mantener la concientización de la seguridad de la información.  Proponer la actualización de la Política Corporativa, Reglamento y Procedimientos de seguridad de la información.  Proponer a la Gerencia General la inclusión de roles y responsabilidades de seguridad de la información en el Reglamento de Organización y Funciones, Manual de Organización y Funciones y, Descripciones de Puesto.  Monitorear el cumplimiento de la Política Corporativa, Reglamento y Procedimientos de seguridad de la información, verificando su efectividad y correcta implementación.  Proponer convenios con especialistas en seguridad de la información para recibir asesoría. C. CONTROL INTERNO Se evaluará el Control Interno que existe entre el directorio, la gerencia general, gerencia de estructura básica, oficinas de tecnologías de información y comunicaciones y demás áreas de Petroperú, que guardan relación con la protección de la información. III. OBJETIVOS Y ALCANCE DEL EXAMEN La Auditoria Operativa, se efectuará de acuerdo a las Normas de Auditoria Gubernamental - NAGU, aprobadas mediante Resolución de Contraloría N° 462-95-CG y modificatorias y comprenderá la revisión y análisis selectivo de la documentación relacionada con las Resoluciones y los procedimientos para la seguridad de la información conforme a las políticas de Petroperú; asimismo, la documentación que sustente la aplicación y el cumplimiento del reglamento de seguridad de la información , durante al período 2016. Por su naturaleza, la acción de control corresponde a un Auditoria Operativa Planificado cuyo Objetivo General y Objetivos Específicos son los que a continuación se detallan.

1. Objetivo general Emitir opinión sobre la protección la información por el directorio, gerencia general, gerencia de estructura básica, oficinas de tecnologías de información y comunicaciones demás áreas y usuarios de Petroperú, así como si se han cumplido con la normatividad en prevención de ocurrencia de actos comprendidos como delito informático, periodo 2016. Memorándum de planeamiento a la Auditoria Operativa a las medidas de control contra el acceso ilícito al sistema informático , interceptación de datos informáticos y fraude informático en las áreas administrativas y de sistema

Normas relativas a Presupuesto

  • Ley Nº 28411 Ley General del Sistema Nacional de Presupuesto
  • Ley Nº 29465 Ley de Presupuesto del Sector Público 2016 Normatividad Interna
  • Política Corporativa de Seguridad de la Información de PETROPERÚ. Aprobada con Acuerdo de Directorio N° 040-2016 de f echa 29.04.2016.
  • Código de Integridad de PETROPERÚ. Aprobado con Acuerdo de Directorio N° 004-2016 de fecha 28.01.2016 y Acuerdo de Directorio N° 019-2009 de fecha 12.03.2016.
  • Normas Internas de Conducta de PETROPERÚ, para la Comunicación de Hechos de Importancias, Información Reservada y otras Comunicaciones. Aprobada con Acuerdo de Directorio N° 105-2009 de f echa 30.11.2009.
  • Código de Buen Gobierno Corporativo de PETROPERÚ. Aprobado con Acuerdo de Directorio N° 107-2016-PP de fecha 30.11 .2016.
  • Reglamento Interno del Comité de Buenas Prácticas de Gobierno Corporativo de PETROPERÚ. Aprobado con Acuerdo de Directorio N° 044-2016 de fecha 12.05.2016.
  • Reglamento Interno de Trabajo de PETROPERÚ.
  • Política de Conflicto de Intereses de PETROPERÚ.
  • Reglamento de Organización y Funciones (ROF) de PETROPERÚ. Aprobado con Acuerdo de Directorio N° 061-2009-PP de fecha 1 4.07.2009.
  • Manual de Organización y Funciones (MOF) de PETROPERÚ. Memorándum de planeamiento a la Auditoria Operativa a las medidas de control contra el acceso ilícito al sistema informático , interceptación de datos informáticos y fraude informático en las áreas administrativas y de sistema

V. PROGRAMA DE PROCEDIMIENTOS A EJECUTAR EN EL EXAMEN

Los procedimientos de auditoría a desarrollarse en el trabajo de campo, se detallan en el Anexo N° 01. VI. RECURSOS DE PERSONAL Y ESPECIALISTA EN CASO NECESARIO La Comisión encargada de llevar a cabo el Examen Especial, estará integrada por las siguientes personas: PERSONAL CARGO TAREA A REALIZAR CPC. DR. SANCHEZ NAVARRO, PEDRO Supervisor Supervisión de ejecución de procedimientos, Ejecución del Objetivo General y de los Objetivos Específicos N° 1, 2, 3, revisión de Hallazgos y del Informe de Auditoría. CPC. MAG. FUERTES FERNANDES, EMANUEL Auditor Encargado Ejecución de los Procedimientos Generales y de los Objetivos Específicos N° 1, 2, 3, redacción de Hallazgos y elaboración del Informe de Auditoría. CPC. LOPEZ CASTILLO, ANTONIO Auditor Ejecución de los Procedimientos Generales y de los Objetivos Específicos N° 1, 2, 3. CPC. SALDIVAR PEREZ, ANA Integrante Apoyo en la ejecución de los Procedimientos Generales y de los Objetivos Específicos N° 1, 2, 3. ING. TORRES SILVA, GERARDO Ingeniero de sistemas Asesoría en la ejecución de los software y Memorándum de planeamiento a la Auditoria Operativa a las medidas de control contra el acceso ilícito al sistema informático , interceptación de datos informáticos y fraude informático en las áreas administrativas y de sistema

- Informes a emitir y fecha de entrega Como resultado de la Auditoria Operativa se emitirá un Informe Administrativo , el mismo que será elaborado de acuerdo a lo previsto en la NAGU. 4.40 y elevado a la Gerencia Despacho de la Jefatura del OCI para que luego de su aprobación se remita al titular de la entidad; y, de ser el caso a las instancias que se estimen pertinentes teniendo como plazo de entrega el 19SET2017. Asimismo, si en el curso de ejecución del Examen Especial, se evidenciaran indicios razonables de comisión de delito o de responsabilidad civil, se emitirán los Informes Especiales correspondientes, de conformidad con la normativa emitida por la Contraloría General de la República aplicable en las circunstancias respectivas. - Formato tentativo del Informe Al término de la actividad de control se emitirá el Informe correspondiente, el cual será remitido al Titular de la entidad. Dicho Informe tendrá, de acuerdo a la normativa vigente, la siguiente estructura: Título: “INFORME RESULTANTE DE LA ACCION DE CONTROL Nº…” I.- INTRODUCCIÓN

  1. Origen del examen
  2. Naturaleza y Objetivos del examen
  3. Alcance del examen
  4. Antecedentes y base legal de la entidad
  5. Comunicación de hallazgos
  6. Memorándum de Control Interno
  7. Otros aspectos de importancia Memorándum de planeamiento a la Auditoria Operativa a las medidas de control contra el acceso ilícito al sistema informático , interceptación de datos informáticos y fraude informático en las áreas administrativas y de sistema

II.- OBSERVACIONES

  1. Sumilla
    1. Elementos de la observación
  2. Comentarios y/o aclaraciones del personal comprendido en las observaciones
  3. Evaluación de los comentarios y/o aclaraciones presentados III.-CONCLUSIONES IV.-RECOMENDACIONES V.- ANEXOS FIRMA Surquillo, 26 de Julio del 2017

CPC DR. SANCHEZ NAVARRO, PEDRO CPC. MAG. FUERTES FERNANDEZ, EMANUEL La Gerencia que suscribe ha revisado El presente Memorándum de Planificación y Programa de Auditoría, encontrando conforme su contenido, por lo que lo hace suyo; aprueba y autoriza su ejecución. Memorándum de planeamiento a la Auditoria Operativa a las medidas de control contra el acceso ilícito al sistema informático , interceptación de datos informáticos y fraude informático en las áreas administrativas y de sistema

COSTO DIRECTO ESTIMADO DE LA ACCION DE CONTROL

Nombres y Apellidos Cargo Costo H/H S/.

H/H

TOTAL

S/.

CPC. DR. SANCHEZ NAVARRO,

PEDRO

Supervisor 41.37 320 13,238. CPC. MAG. FUERTES FERNANDES, EMANUEL Auditor Encargado

CPC. LOPEZ CASTILLO, ANTONIO Auditor 17.48 224 3,915. CPC. SALDIVAR PEREZ, ANA Auditor 17.48 224 3,915. ING. TORRES SILVA, GERARDO Ing. 10.51 224 2,354. 10.51 224 2,354. Costo Estimado Total Horas / Hombres proyectados

Se asignó 320 h/h para el desarrollo de la Acción de Control a practicarse “AUDITORIA OPERATIVA a practicarse a las distintas respecto a los delitos informáticos en Petroperú, período Enero 2017 a Diciembre 2017 del cual se desprenden 320/8 = 40 días para la acción de control correspondiente. CALCULO DEL COSTO DIRECTO, HORAS HOMBRES DE PERSONAL PETROPERU Grado Remuneración Bruta Mensual Remuneración Anual Horas Anuales Costo Hora Hombre S/. S/. S/. CPC CPC CPC SOT1ra. ET 1ra.

Nota:

  • 1,840 horas días hábiles, es la capacidad operativa anual para cada auditor. Disposición CGR. Memorándum de planeamiento a la Auditoria Operativa a las medidas de control contra el acceso ilícito al sistema informático , interceptación de datos informáticos y fraude informático en las áreas administrativas y de sistema
  • El costo aplicado es para la labor de campo en la ciudad de Lima. Memorándum de planeamiento a la Auditoria Operativa a las medidas de control contra el acceso ilícito al sistema informático , interceptación de datos informáticos y fraude informático en las áreas administrativas y de sistema