Plan y Programa de Auditoria Petroperu

PLAN Y PROGRAMA PROGRAMA DE AUDITORIA PETROPERÚ S.A.:

PLAN Y PROGRAMA DE AUDITORIA AUDITORIA OPERATIVA A LAS MEDIDAS DE CONTROL CONTRA EL ACCESO ILICITO AL SISTEMA INFORMATICO, INTERCEPTACION DE DATOS INFORMATICOS Y FRAUDE INFORMATICO EN LAS AREAS ADMINISTRATIVAS ADMINISTRATIVAS Y DE SISTEMA INFORMATICO INFORMATICO DE LA EMPRESA ESTATAL PETROPERU S.A , PERIODO ENERO A DICIEMBRE DEL 2016. I.

ORIGEN DEL EXAMEN

La Auditoria Operativa a las áreas administrativas administrativas y área de sistemas informáticos de Petroperú s.a, (OFADMIN-PETROPERU Y OFP-PETROPERU), se encuentra previsto en el Plan Anual de Control 2017, con arreglo al marco legal de su competencia, es atribución exclusiva de la Contraloría General de la República la designación de sociedades de auditoría que se requieran para la prestación de servicios de auditoría en las entidades bajo el ámbito del Sistema Nacional de Control. De acuerdo a ello, se regula por las disposiciones del Reglamento de las Sociedades de Auditoría conformantes del Sistema Nacional de Control, aprobado por Resolución de Contraloría Nº 063-2007-CG y modificatorias y a lo dispuesto por el gerente de Petroperú, mediante Memorándum Nº 40-2017-CGR-GGRAL-PETROPERU- del 24MAR2017.

II.

ANTECEDENTES DE LA ENTIDAD Y DE LOS ASUNTOS QUE SERAN EXAMINADOS

La información y los medios para su generación, tratamiento, transmisión y almacenamiento, son activos importantes de la institución y por ello requieren ser protegidos. La disponibilidad, integridad y confidencialidad de la información, son esenciales para mantener la operatividad, competitividad, efectividad, efectividad, pro actividad, confiabilidad, continuidad e imagen de PETROPERÚ. Teniendo en cuenta ello se ha visto la inobservancia y la falta de aplicación de las medidas de control ya normadas. La aplicación es general y obligatoria para Miembros del Directorio, Gerente General, Gerentes de Estructura Básica y Complementaria, Trabajadores en General, Practicantes, Consultores, Prestadores de Servicios Profesionales, Personal de Contratistas y otros, en adelan te “usuarios”, que necesiten tener acceso a la información o recursos de tratamiento de la información de PETROPERÚ, mientras desempeñen sus labores en la misma y exista vínculo laboral, civil o comercial y, de acuerdo a convenios o normatividad específica, incluso cuando cese sus funciones.

De la Entidad:

PETROPERU se crea por Decreto Ley N° 17753 el 24.Jul.1969 y se rige por su Ley Orgánica aprobada el 04.Mar.1981 mediante Decreto Legislativo Nº 43, modificada por la Ley N° 26224 el 23.Ago.1993, Ley N° 24948 (Ley de la Actividad Empresarial del Estado del 02.Dic.1988), Memorándum de planeamiento a la Auditoria Operativa a las medidas de control contra el acceso ilícito al sistema informático , interceptación interceptación de datos informáticos y fraude informático en las áreas administrativas y de sistema informático de la empresa estatal PETROPERU S.A , periodo enero a diciembre del 2010.

1

PLAN Y PROGRAMA DE AUDITORIA PETROPERÚ S.A.:

modificada por la Ley N° 27170 (Ley del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado del 08.Set.1999). Las presentes leyes norman la actividad económica, financiera y laboral de la empresa, así como la relación con los diversos niveles de gobierno y regímenes administrativos. El actual Estatuto Social de PETRÓLEOS DEL PERÚ - PETROPERÚ S.A. se aprobó mediante DS 024-2002-EM el 21.Ago.2002 y modificado por Acuerdo de la Junta General de Accionistas de fecha 31.Dic.2009. Conforme a su Estatuto Social, PETROPERU tiene por objetivo llevar a cabo actividades de hidrocarburos de acuerdo con lo dispuesto en la Ley Orgánica de Hidrocarburos. En el ejercicio de su labor, PETROPERU actúa con plena autonomía económica, financiera y administrativa y de acuerdo con los objetivos, políticas y estrategias aprobadas por el Ministerio de Energía y Minas. Además, puede realizar y celebrar toda clase de actos y contratos y regirse en sus operaciones de comercio exterior por los usos y costumbres del comercio internacional y por las normas del derecho internacional y la industria de hidrocarburos generalmente aceptadas. La gestión de PETROPERU se realiza bajo el marco de la Ley Orgánica de Hidrocarburos, Ley N° 26221 del 19.Ago.1993 y sus modificatorias. El Congreso de la República, mediante Ley Nº 28244 del 02.Jun.2004, excluyó a PETROPERU del proceso de privatización y autorizó su participación en las actividades de exploración y producción de hidrocarburos. El 23.Jul.2006, el Congreso de la Republica promulgo la Ley Nº 28840, Ley de Fortalecimiento y Modernización de la empresa Petróleos del Perú S.A. – PETROPERÚ - la cual tiene por objetivo brindar una mayor autonomía a la empresa en el desarrollo de sus actividades, excluyéndola del ámbito del FONAFE, de las normas y reglamentos del Sistema de Inversión Pública (SNIP); así como de la Ley de Contrataciones y Adquisiciones del Estado y su reglamento, disponiendo rija sus adquisiciones y contrataciones mediante un régimen especial a ser aprobado por el OSCE. Mediante Resolución N° 523-2009-OSCE/PRE DE FECHA 11.12.2009 se APRUEBA EL Reglamento de Contrataciones de Petróleos del Perú S.A. Petróleos del Perú – PETROPERU S.A. cuenta con cinco refinerías: Refinería Talara; Refinería Conchán; Refinería Iquitos; Refinería El Milagro y Refinería Pucallpa (entregado en alquiler). Así también cuenta con Plantas de Venta propias, capacidad de almacenamiento contratada en Terminales y Plantas de Venta operados por privados y el Oleoducto Norperuano.

Memorándum de planeamiento a la Auditoria Operativa a las medidas de control contra el acceso ilícito al sistema informático , interceptación de datos informáticos y fraude informático en las áreas administrativas y de sistema informático de la empresa estatal PETROPERU S.A , periodo enero a diciembre del 2010.

2


Puntos de Atención en las Áreas a Examinar

Se considera con la finalidad de verificar la validez de la determinación del beneficio, el mismo que debe de estar acorde a lo dispuesto en la normatividad vigente con la finalidad de cautelar el adecuado manejo de la normatividad que debe ser aplicado con apego a la verdad y con transparencia en la gestión. Se debe tener en cuenta la función que realiza las siguientes Divisiones:

A. Directorio Aprobar la Política Corporativa de Seguridad de la Información y sus modificaciones. Aprobar el Reglamento de Seguridad de la Información y sus modificaciones. 



B. Gerente General Difundir la Política Corporativa, Reglamento y Procedimientos de Seguridad de la Información. Aprobar los procedimientos y cualquier otra disposición complementaria de seguridad de la información, que las Gerencias de la Estructura Básica propongan según su competencia. -Aprobar las propuestas del Comité de Seguridad de la Información, para asegurar el correcto entendimiento de la Política Corporativa, Reglamento y Procedimientos de Seguridad de la Información y, que todos los usuarios se comprometan razonablemente a su cumplimiento. Aprobar las iniciativas para mejorar la seguridad de la información. Aprobar la evaluación anual y el plan anual de la gestión de seguridad de la información. 





 

C. Gerentes de Estructura Básica Difundir la Política Corporativa, Reglamento y Procedimientos de Seguridad de la Información, asegurando su razonable entendimiento y cumplimiento. Asignar recursos para el cumplimiento de la Política Corporativa, Reglamento y Procedimientos de Seguridad de Información, requeridos por el Comité de Seguridad de la Información. Proponer a Gerencia General, según su competencia, la aprobación de los procedimientos y cualquier otra disposición complementaria de Seguridad de la Información. 






3


D. Propietario del Activo de Información Velar por la seguridad del activo de información que está a su cargo. Supervisar la implementación y el mantenimiento de los controles que aplican al activo de información. Clasificar la información en términos de su valor, confidencialidad, criticidad y sensibilidad para PETROPERÚ.  



E. Oficinas de Tecnologías de Información y Comunicaciones Administrar, monitorear y operar en forma segura las redes y sistemas informáticos de PETROPERÚ. Facilitar los mecanismos técnicos que permitan dar cumplimiento a la Política Corporativa, Reglamento y Procedimientos de Seguridad de la Información. Hacer cumplir las normas y procedimientos de Seguridad Informática. 





F. Organización de Seguridad de la Información Proponer al Comité la actualización de la Política Corporativa, el Reglamento y los Procedimientos de seguridad de la información. Revisar y proponer propietarios para cada activo de información. Formular criterios de clasificación de la información. Revisar y mantener actualizado el inventario de activos de información. Presentar normas complementarias, prácticas de gestión y procedimientos, diseñados para proporcionar una convicción razonable para que todos los usuarios cumplan la política, reglamento y procedimientos de seguridad de la información. Analizar y hacer seguimiento sobre los incidentes en seguridad de la información. Coordinar la ejecución periódica de la evaluación de riesgos y proponer controles de tratamiento de riesgos, en línea con el Sistema de Control Interno. Asegurar que la implementación de controles de seguridad de la información sea ejecutada. Desarrollar y proponer planes y programas de concientización y capacitación en temas de seguridad de la información. 

   









G. Comité de Seguridad de la Información Identificar las metas de seguridad de la información, relacionarlas con las exigencias organizacionales e integrarlas en los procesos relevantes. 


4














C.

Planificar y coordinar la ejecución periódica de la evaluación de riesgos y proponer controles para el tratamiento de los mismos. Proponer planes, programas y presupuesto para mantener la concientización de la seguridad de la información. Proponer la actualización de la Política Corporativa, Reglamento y Procedimientos de seguridad de la información. Proponer a la Gerencia General la inclusión de roles y responsabilidades de seguridad de la información en el Reglamento de Organización y Funciones, Manual de Organización y Funciones y, Descripciones de Puesto. Monitorear el cumplimiento de la Política Corporativa, Reglamento y Procedimientos de seguridad de la información, verificando su efectividad y correcta implementación. Proponer convenios con especialistas en seguridad de la información para recibir asesoría.

CONTROL INTERNO Se evaluará el Control Interno que existe entre el directorio, la gerencia general, gerencia de estructura básica, oficinas de tecnologías de información y comunicaciones y demás áreas de Petroperú, que guardan relación con la protección de la información.

III.

OBJETIVOS Y ALCANCE DEL EXAMEN

La Auditoria Operativa, se efectuará de acuerdo a las Normas de Auditoria Gubernamental NAGU, aprobadas mediante Resolución de Contraloría N° 462-95-CG y modificatorias y comprenderá la revisión y análisis selectivo de la documentación relacionada con las Resoluciones y los procedimientos para la seguridad de la información conforme a las políticas de Petroperú; asimismo, la documentación que sustente la aplicación y el cumplimiento del reglamento de seguridad de la información , durante al período 2016. Por su naturaleza, la acción de control corresponde a un Auditoria Operativa Planificado cuyo Objetivo General y Objetivos Específicos son los que a continuación se detallan.

1.

Objetivo general

Emitir opinión sobre la protección la información por el directorio, gerencia general, gerencia de estructura básica, oficinas de tecnologías de información y comunicaciones demás áreas y usuarios de Petroperú, así como si se han cumplido con la normatividad en prevención de ocurrencia de actos comprendidos como delito informático, periodo 2016.


5


2.

Objetivos específicos

2.2.1 Establecer una apropiada salvaguarda de todos los activos de información a los que PETROPERU sea sensible y que no se vulnere las medidas de seguridad establecidas para impedirlos, Art.2 Acceso Ilícito- Ley 30171

2.2.2 Determinar si hay sistemas de Seguridad de la Información en cuanto a la interceptación de datos informático por persona ajenas a Petroperú, ART.7- Ley 30171.

2.2.3 Establecer el cumplimiento de las normas sobre el uso deliberado e ilegal de la información para su provecho en perjuicio de Petroperú.ART.8 - Ley 30171.

IV.

CRITERIOS DE AUDITORIA A UTILIZAR

Normas Legales - Ley N° 27785 Ley Orgánica del Sistema Nacional de Control de la Contraloría General de la República. - Ley N° 27806 Ley de Transparencia y Acceso a la In formación Pública, TUO de fecha 22.04.2003, y su Reglamento DS N° 072-2003-PCM de fecha 06.08 .2003. - Ley N° 28716 Ley de Control Interno de las Entidades del Estado. - Resolución de Contraloría General N° 320-2006-CG de fecha 11.10.2006. Aprueban las Normas de Control Interno, aplicables a las Entidades del Estado. - Resolución Ministerial N° 246-2007-PCM de fecha 22 .08.2007. Aprueba el uso obligatorio de la Norma Técnica Peruana NTP-ISO/IEC 17799:2007. - Norma Técnica Peruana NTP-ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de Buenas Prácticas para la Gestión de la Seguridad de la Información. 2ª Edición. - Resolución de Contraloría N° 458-2008-CG de fecha 30.10.2008. Guía para la Implementación de Control Interno en las Entidades del Estado.


6


Normas relativas a Presupuesto -

Ley Nº 28411 Ley General del Sistema Nacional de Presupuesto

-

Ley Nº 29465 Ley de Presupuesto del Sector Público 2016

Normatividad Interna - Política Corporativa de Seguridad de la Información de PETROPERÚ. Aprobada con Acuerdo de Directorio N° 040-2016 de f echa 29.04.2016. - Código de Integridad de PETROPERÚ. Aprobado con Acuerdo de Directorio N° 004-2016 de fecha 28.01.2016 y Acuerdo de Directorio N° 019-2009 de fecha 12.03.2016. - Normas Internas de Conducta de PETROPERÚ, para la Comunicación de Hechos de Importancias, Información Reservada y otras Comunicaciones. Aprobada con Acuerdo de Directorio N° 105-2009 de f echa 30.11.2009. - Código de Buen Gobierno Corporativo de PETROPERÚ. Aprobado con Acuerdo de Directorio N° 107-2016-PP de fecha 30.11 .2016. - Reglamento Interno del Comité de Buenas Prácticas de Gobierno Corporativo de PETROPERÚ. Aprobado con Acuerdo de Directorio N° 044-2016 de fecha 12.05.2016. - Reglamento Interno de Trabajo de PETROPERÚ. - Política de Conflicto de Intereses de PETROPERÚ. - Reglamento de Organización y Funciones (ROF) de PETROPERÚ. Aprobado con Acuerdo de Directorio N° 061-2009-PP de fecha 1 4.07.2009. - Manual de Organización y Funciones (MOF) de PETROPERÚ.


7


V.

PROGRAMA DE PROCEDIMIENTOS A EJECUTAR EN EL EXAMEN

Los procedimientos de auditoría a desarrollarse en el trabajo de campo, se detallan en el Anexo N° 01.

VI.

RECURSOS DE PERSONAL Y ESPECIALISTA EN CASO NECESARIO

La Comisión encargada de llevar a cabo el Examen Especial, estará integrada por las siguientes personas:

PERSONAL

CARGO

CPC. DR. SANCHEZ Supervisor NAVARRO, PEDRO

CPC. MAG. FUERTES Auditor Encargado FERNANDES, EMANUEL

CPC. LOPEZ CASTILLO, Auditor ANTONIO

CPC. SALDIVAR PEREZ, Integrante ANA

ING. TORRES SILVA, Ingeniero de sistemas GERARDO

TAREA A REALIZAR Supervisión de ejecución de procedimientos, Ejecución del Objetivo General y de los Objetivos Específicos N° 1, 2, 3, revisión de Hallazgos y del Informe de Auditoría. Ejecución de los Procedimientos Generales y de los Objetivos Específicos N° 1, 2, 3, redacción de Hallazgos y elaboración del Informe de Auditoría. Ejecución de los Procedimientos Generales y de los Objetivos Específicos N° 1, 2, 3. Apoyo en la ejecución de los Procedimientos Generales y de los Objetivos Específicos N° 1, 2, 3. Asesoría en la ejecución de los software y hardware y de los Objetivos Específicos N° 1, 2, 3.


8


Durante en el desarrollo de la presente Acción de Control, se merituará la participación de un profesional Abogado con conocimientos de legislación de delitos informáticos.

VII.

INFORMACION ADMINISTRATIVA Presupuesto de Tiempo

-

El tiempo estimado para la acción de control se estima en 112 días útiles, cuyo detalle se indica a continuación:

ETAPAS

CATEGORIA

H/H

DIAS UTILES

Planificación

Supervisor Auditor Encargado

16 64

08

Trabajo de Campo

Supervisor Auditor Encargado Auditor

80

94

Elaboración Informe total

Supervisor Auditor Encargado

CRONOGRAMA DE ACTIVIDADES DEL 07ABR Al 15ABR DEL 18JUL Al 20JUL DEL 14ABR Al 05SET

752 752 10

10

DEL 06SET Al 19SET

80 112

El Costo Estimado de la Auditoria Operativa asciende a S/.60,633.12 (Anexo N° 02) y el Cronograma de Actividades va desde el 07ABR2017 1 hasta el 19SET2017, la cual incluye los Treinta y cinco días útiles adicionales, otorgados mediante G/D Nº 1420-2017-CGR-DR PETROPERU-SEC del 15JUL2017.


9


-

Informes a emitir y fecha de entrega

Como resultado de la Auditoria Operativa se emitirá un Informe Administrativo , el mismo que será elaborado de acuerdo a lo previsto en la NAGU. 4.40 y elevado a la Gerencia Despacho de la Jefatura del OCI para que luego de su aprobación se remita al titular de la entidad; y, de ser el caso a las instancias que se estimen pertinentes teniendo como plazo de entrega el 19SET2017.

Asimismo, si en el curso de ejecución del Examen Especial, se evidenciaran indicios razonables de comisión de delito o de responsabilidad civil, se emitirán los Informes Especiales correspondientes, de conformidad con la normativa emitida por la Contraloría General de la República aplicable en las circunstancias respectivas.

-

Formato tentativo del Informe

Al término de la actividad de control se emitirá el Informe correspondiente, el cual será remitido al Titular de la entidad. Dicho Informe tendrá, de acuerdo a la normativa vigente, la siguiente estructura: Título: “INFORME RESULTANTE DE LA ACCION DE CONTROL Nº…”

I.- INTRODUCCIÓN 1. Origen del examen 2. Naturaleza y Objetivos del examen 3. Alcance del examen 4. Antecedentes y base legal de la entidad 5. Comunicación de hallazgos 6. Memorándum de Control Interno 7. Otros aspectos de importancia


10


II.- OBSERVACIONES 1. Sumilla 2. Elementos de la observación 3. Comentarios y/o aclaraciones del personal comprendido en las observaciones 4. Evaluación de los comentarios y/o aclaraciones presentados

III.-CONCLUSIONES IV.-RECOMENDACIONES V.- ANEXOS FIRMA

Surquillo, 26 de Julio del 2017

-----------------------------------------CPC DR. SANCHEZ NAVARRO, PEDRO

--------------------------------------CPC. MAG. FUERTES FERNANDEZ, EMANUEL

La Gerencia que suscribe ha revisado El presente Memorándum de Planificación y Programa de Auditoría, encontrando conforme su contenido, por lo que lo hace suyo; aprueba y autoriza su ejecución.


11


PROGRAMA DE AUDITORIA ENTIDAD AUDITADA: PERIODO AUDITADO:

PETROPERÚ S.A. PERIODO 2016


12


PROGRAMADO Responsable

TERMIANDO H/S

PROGRAMA DE AUDITORÍA

Ref. P.T

Hecho Por

H/S

Objetivos de la auditoria : 1

Establecer una apropiada salvaguarda de todos los activos de información a los que PETROPERU sea sensible y que no se vulnere las medidas de seguridad establecidas para impedirlos, Art.2 Acceso Ilícito- Ley 30171

2

Determinar si hay sistemas de Seguridad de la Información en cuanto a la interceptación de datos informático por persona ajenas a Petroperú, ART.7- Ley 30171.

3

Establecer el cumplimiento de las normas sobre el uso deliberado e ilegal de la información para su provecho en perjuicio de Petroperú.ART.8 - Ley 30171.

Procedimientos de auditoria CPC. MAG. FUERTES FERNANDES, EMANUEL ING. TORRES SILVA, GERARDO CPC. LOPEZ CASTILLO, ANTONIO

1

Antecedentes, misión, visión, objetivos y organigrama de la 05/09 empresa.

2

Esquema básico de tecnología de información de la empresa, como hardware, software, sistemas de información y plataforma.

3

Determinar el área de trabajo de la auditoria y revisar los equipos con los que cuenta Petroperú

4

Analizar los sistemas de seguridad de información.

5

Entrevistar a los usuarios y jefe de área respecto al uso de la información y al cumplimento del reglamento de seguridad de información.

6

Verificar que los estándares de sistemas de seguridad sean las mejores.

7

Encuesta y entrevistas

8

Análisis de recolección de datos

CPC. SALDIVAR PEREZ, ANA

protección a la


13


COSTO DIRECTO ESTIMADO DE LA ACCION DE CONTROL

Nombres y Apellidos CPC. DR. SANCHEZ NAVARRO, PEDRO CPC. MAG. FUERTES FERNANDES, EMANUEL CPC. LOPEZ CASTILLO, ANTONIO CPC. SALDIVAR PEREZ, ANA ING. TORRES SILVA, GERARDO Costo Estimado Total Horas /

Cargo Supervisor Auditor Encargado Auditor Auditor Ing.

Costo H/H S/. 41.37

Nº H/H

TOTAL

320

S/. 13,238.40

17.48

320

5,593.60

17.48 17.48 10.51 10.51

224 224 224 224

3,915.52 3,915.52 2,354.24 2,354.24

Hombres proyectados

31,371.52

Se asignó 320 h/h para el desarrollo de la Acción de Control a practicarse “AUDITORIA OPERATIVA a practicarse a las distintas respecto a los delitos informáticos en Petroperú, período Enero 2017 a Diciembre 2017 del cual se desprenden 320/8 = 40 días para la acción de control correspondiente. CALCULO DEL COSTO DIRECTO, HORAS HOMBRES DE PERSONAL PETROPERU

Grado CPC CPC CPC SOT1ra. ET 1ra.

Remuneración Bruta Remuneración Mensual Anual S/. S/. 6343.40 76,120.00 2,860.61 32,163.20 2,860.61 32,163.20 2,860.61 32,163.20 1,400.00 16,800.00 1,400.00 16,800.00

Horas Anuales

Costo Hora Hombre S/.

1,840 1,840 1,840 1,840 1,840 1,840

41.37 17.48 17.48 17.48 10.51 10.51

Nota: - 1,840 horas días hábiles, es la capacidad operativa anual para cada auditor. Disposición CGR. - El costo aplicado es para la labor de campo en la ciudad de Lima. Memorándum de planeamiento a la Auditoria Operativa a las medidas de control contra el acceso ilícito al sistema informático , interceptación de datos informáticos y fraude informático en las áreas administrativas y de sistema informático de la empresa estatal PETROPERU S.A , periodo enero a diciembre del 2010.

14

Plan y Programa de Auditoria Petroperu

Recommend Documents