COOPERATIVA DE TELÉFONOS AUTOMÁTICOS DE SANTA CRUZ (COTAS)

MEMORANDUM DE PLANIFICACIÓN DE AUDITORIA Y CONTROL DE

SISTEMAS DE INFORMACION

CONTENIDO

1. TERMINOS DE REFERENCIA

2. INFORMACIÓN SOBRE LOS ANTECEDENTES Y LAS OPERACIONES

DE LA INSTITUCIÓN

3. AMBIENTE DEL SISTEMA DE INFORMACIÓN

4. AMBIENTE DE CONTROL

5. ENFOQUE DE AUDITORIA ESPERADO

6. PRESUPUESTO DE TIEMPO

7. CRONOGRAMA DE ACTIVIDADES

8. PROGRAMA DE AUDITORIA

PREPARADO POR: --------------------------------------- ---------------------

SUPERVISOR FECHA

APROBADO POR: ---------------------------------------- ------------------------

JEFE COMISION AUD. FECHA

Santa cruz Mayo 2018

 HECHO POR:
FECHA:
SUPERVISADO POR:
FECHA:

MEMORANDUM DE PLANIFICACION

1. TERMINO DE REFERENCIA

NATURALEZA Y OBJETIVO DEL TRABAJO.

En cumplimiento a la norma es ISO 22301:2012 Seguridad de la sociedad –

Sistemas de gestión de la continuidad del negocio – Requisitos. Se realizó
una auditoría y control de sistemas de información a la Empresa
Cooperativa de Teléfonos Automáticos de Santa Cruz (COTAS), sobre su
plan de contingencia.

OBJETIVO GENERAL

Comprobar si en la Empresa Cooperativa de Teléfonos Automáticos de

Santa Cruz (COTAS), existe un Sistemas de gestión de la continuidad del
negocio el cual le permite a la empresa gestionar el riesgo para disminuir
las probabilidades de incidentes disruptivos.

OBJETIVOS ESPECIFICOS

 Establecer estrategias, técnicas y procesos para la gestión de

riesgo.
 Analizar evidencias de competencias del personal
 Establecer el alcance del sistema de gestión de la continuidad del
negocio
 Verificar si cuenta con políticas de continuidad del negocio
 Crear un sistema general de gestión que se encargue de planificar,
mantener y mejorar continuamente la continuidad del negocio.
 Verificar que todo el software de la empresa cuente con licencia
actualizada.
 Evaluar periódicamente el Sistemas de gestión de la continuidad del
negocio.
 Desarrollar un sistema de gestión de la seguridad de la información
 Desarrollar un sistema de gestión de tecnología de la información

2
 HECHO POR:
FECHA:
SUPERVISADO POR:
FECHA:

ALCANCE DE LA REVISIÓN A SER EFECTUADA Y LAS

RESTRICCIONES EN EL ALCANCE DEL TRABAJO

El examen será desde el 11 de mayo del 2018 hasta el 8 de junio del 2018,
en el que se tomara en cuenta los cambios relacionados dentro de estas
fechas.

NORMAS, PRINCIPIOS Y DISPOSICIONES LEGALES A SER

APLICADAS EN EL DESARROLLO DEL TRABAJO

Las principales disposiciones legales a contemplar durante el desarrollo de

nuestro examen son:

 Constitución Política del Estado

 Ley General del Trabajo
 Código Tributario
 Ley de Medio Ambiente
 Ley de Telecomunicaciones

ACTIVIDADES Y FECHAS DE MAYOR IMPORTANCIA

CONCEPTO FECHA

REUNIÓN CON EL GERENTE GENERAL 14/05/2018

16/05/2018
AL
ETAPA DE PROGRAMACIÓN 24/05/2018

10 DÍAS
ANÁLISIS DE LOS DOCUMENTOS DESPUÉS

REVISIÓN DE PAPELES DE TRABAJO Y

ELABORACIÓN DEL INFORME PRELIMINAR 02/06/2018

INFORME FINAL 08/06/2018

3
 HECHO POR:
FECHA:
SUPERVISADO POR:
FECHA:

2. INFORMACIÓN SOBRE LOS ANTECEDENTES, OPERACIONES DE

LA INSTITUCIÓN Y SUS RIESGOS INHERENTES.

NATURALEZA Y ACTIVIDADES DE LA ENTIDAD.

Cooperativa de Teléfonos Automáticos de Santa Cruz (COTAS).brinda

servicios y beneficios a sus socios, actualmente es también un operador
global de telecomunicaciones que actúa en un mercado competitivo,
suministrando servicios de telefonía fija, telefonía fija inalámbrica, telefonía
larga distancia nacional e internacional, transmisión de datos, soluciones
satelitales, Internet y televisión paga.

PARA LA EJECUCIÓN DE SUS ACTIVIDADES ADMINISTRATIVAS

CUENTA CON LAS SIGUIENTES UNIDADES:

o UNIDAD DE REGULACION
o UNIDAD DE SISTEMAS Y TECNOLOGIA DE LA INFORMACION

MARCO LEGAL DE CREACIÓN DE LA ENTIDAD

El 16 de octubre de 1960 se fundó la Cooperativa de Teléfonos

Automáticos de Santa Cruz (COTAS).

MARCO LEGAL DE FUNCIONAMIENTO DE LA ENTIDAD

Cooperativa de Teléfonos Automáticos de Santa Cruz (COTAS). Se rigue

bajo el Estatuto de Cotas R.L. y la Ley de Telecomunicaciones.

3. AMBIENTE DEL SISTEMA DE INFORMACIÓN.

Cooperativa de Teléfonos Automáticos de Santa Cruz, utiliza el sistema de

contabilidad integrado que fue comprado por la entidad e integra. OCP
SISTEM y emite los siguientes estados: balance general, estados de
resultados, flujos financieros, estado de evolución al patrimonio.

4. AMBIENTE DE CONTROL

Asamblea de Delegados

La asamblea de delegados está conformada por el Consejo de

Administración (Gerencia General) y por el Consejo de Vigilancia (Gerencia
de Auditoria Interna), los cuales tienen la determinación de controlar y

4
 HECHO POR:
FECHA:
SUPERVISADO POR:
FECHA:

supervisar todas las áreas de la empresa para obtener continuidad en la

empresa.

Otras unidades para la toma de decisiones

El sistema contable existente es acorde a los (exigidos por el sistema de

contabilidad integrada) la sección contabilidad emite estados de cuentas a
requerimiento del oficial mayor correspondiente (otros) unidad de auditoría
interna de acuerdo a sus necesidades.

5. ENFOQUE DE AUDITORÍA ESPERADO

Aplicación de los cuestionarios para la auditoria del proyecto de

implementación de la ISO 22301.

* Respuesta a los cuestionarios.

* Trabajo a realizar: responder los cuestionarios del proyecto de la correcta

implementación y los beneficios que trae está a la empresa.

* Procedimientos: apersonarse a las unidades ejecutoras del sistema que

se evalúa y efectuar las consultas correspondientes a objeto de responder
los cuestionarios, identificando a los responsables.

* Comprobación del diseño establecido para cada operación.

* Trabajo a realizar: las respuestas obtenidas como resultado de la

aplicación del cuestionario sobre el proyecto de implementación de la ISO
22301, serán comprobadas a efecto de verificar que el mismo esta de
acuerdo a las pautas o normas utilizadas para su diseño.

* Procedimientos: desarrollar mediante pruebas narrativas que respalden

las respuestas positivas cada pregunta, además de indagar las razones de
las preguntas negativas.

* Comprobación de los controles internos identificados.

* Trabajo a realizar: los controles identificados en el punto anterior serán

comprobados, mediante una muestra representativa del universo sujeto a
examen, con el propósito de verificar en la práctica de su adecuado
cumplimiento.

5
 HECHO POR:
FECHA:
SUPERVISADO POR:
FECHA:

* Procedimientos: desarrollar a través de programas de trabajo preparados

con base a los controles identificados y su funcionamiento mediante
pruebas de detalle, atributos o de indagación y observación.

* Procedimientos: emitir un informe de auditoría control interno sobre la

eficiencia del proyecto de implementación de la ISO 22301, conteniendo las
situaciones antes descritas respetando el siguiente esquema:

* Título o identificación de la observación.

* Debilidad, o problema detectado.

* Efectos o riesgos presentados como consecuencia de las observaciones.

* Recomendación de la solución a ser adoptada con el propósito de

subsanar la deficiencia encontrada.

6
 HECHO POR:
FECHA:
SUPERVISADO POR:
FECHA:

6. PRESUPUESTO DE TIEMPO

APELLIDO Y
CARGO PLANIFICACIÓN EJECUCIÓN INFORME TOTAL
NOMBRE

ROBERTO JEFE AUD.

50 150 50 250
MENDOZA INTERNA

LILIANAJENNY
SUPERVISOR 30 80 110
ALARCON

MARCELO CAMPOS ASISTENTE 15 100 115

GUSTAVO ALPIRE ASISTENTE 15 70 85

CARLOS APONTE ASESOR LEGAL 40 40

TOTAL 150 400 50 600 Hrs.

7
 HECHO POR:
FECHA:
SUPERVISADO POR:
FECHA:

7. CRONOGRAMA DE ACTIVIDADES

Semana 1 Semana 2 Semana 3

Actividad
1 2 3 4 5 6 7 1 2 3 4 5 6 7 1 2 3 4 5 6 7

Estudio Preliminar
Planificar la
Determinacion de
Auditoria
Areas Criticas de
Auditoria
Elaboracion de
Programa de
Auditoria
Aplicar el Evaluacion de
modelo de Riesgos
auditoria Ejecucion de
Pruebas y
Obtencion de
Evidencias
Elaboracion de
Construir los
Informe
planes de
Sustentacion de
Mejoramiento
Informe

8
 HECHO POR:
FECHA:
SUPERVISADO POR:
FECHA:

8. PROGRAMA O PROCEDIMIENTO DE AUDITORIA

nio de 2018
9
 HECHO POR:
FECHA:
SUPERVISADO POR:
FECHA:

INFORMA AL:

Lic. Iván Uribe

GERENTE GENERAL

Presente. -

Ref.: INFORME FINAL

AUDITORIA Y CONTROL DE SISTEMAS DE INFORMACION

SISTEMA DE GESTION DE CONTINUIDAD DEL NEGOCIO

COOPERATIVA DE TELÉFONOS AUTOMÁTICOS DE SANTA CRUZ (COTAS)

ANTECEDENTES, OBJETO, OBJETIVO, ALCANCE Y METODOLOGÍA

1.1. Antecedentes:

En cumplimiento a contrato N° 0001, en fecha 14 de mayo del año 2018 hemos

procedido a revisar el funcionamiento del Sistema de Gestión de la Continuidad
del Negocio de la Cooperativa de teléfonos automáticos de santa cruz (Cotas).

1.2. Objeto:

Sistema de Gestión de Continuidad del negocio

1.3. Objetivo

Verificar si la empresa cuenta con un Sistema de Gestión de Continuidad del

Negocio el cual permitirá a la empresa trabajar con más eficiencia, eficacia y
economicidad.

1.4. Alcance

El alcance de la presente comprende del 11 de mayo al 08 de junio del año 2018.

PRESENTACION DE LOS HALLAZGOS

1. Gestión de Riesgo
10
 HECHO POR:
FECHA:
SUPERVISADO POR:
FECHA:

 No Existe personal calificado para realizar estrategias, técnicas y procesos

para la gestión de riesgo de Empresa Cooperativa de Teléfonos
Automáticos de Santa Cruz (Cotas).
 La Dirección de la Empresa no realiza cambios en su sistema para corregir
irregularidades y evitar el riesgo.

2. Seguridad de la información

 El acceso a la información no está debidamente controlada y documentada

 Solo existe un solo usuario y contraseña para entrar para todos los
funcionarios al momento de entrar al sistema.
 La empresa no realiza copias de seguridad para resguardar la información.

3. Tecnología de la Información
 No se encontraron Hallazgos

CONCLUSION

11
 HECHO POR:
FECHA:
SUPERVISADO POR:
FECHA:

Podemos concluir que la empresa cuenta con un Sistema de Gestión de

Continuidad del Negocio, el cual cuenta con fallas en la seguridad de la
información debido a que cualquier funcionario puede acceder a la información.

1. Gestión de Riesgo

Se ha evidenciado que la de Empresa Cooperativa de Teléfonos Automáticos de

Santa Cruz (Cotas), no cuenta con personal calificado para realizar estrategias,
técnicas y procesos para la gestión de riesgo, además que la Dirección de la
Empresa no realiza cambios en su sistema para corregir irregularidades y evitar el
riesgo.

2. Seguridad de la Información

Se ha evidenciado que en la Empresa Cooperativa de Teléfonos Automáticos de

Santa Cruz (Cotas) no existe control en el acceso a la información, también
pudimos observar que solo existe un solo usuario y contraseña para entrar al
sistema; Otra observación que pudimos notar es que la empresa no realiza copias
de seguridad para resguardar la información, Poniendo en peligro la
confidencialidad, integridad y disponibilidad de la información, debido a que esta
puede ser extraída y/o alterada.

3. Tecnologia de la Información

Podemos concluir que la Empresa Cooperativa de Teléfonos Automáticos de

Santa Cruz (Cotas), cuenta con estabilizadores de voltaje y UPS que funciona al
momento de existir cortes de energía eléctrica, también pudimos observar que la
empresa cuenta con cámaras de seguridad el cual permite monitorear el
desempeño de los funcionarios y vigilar todas áreas de la empresa en caso de que
ocurran robos.

RECOMENDACIÓN

12
 HECHO POR:
FECHA:
SUPERVISADO POR:
FECHA:

1. Gestión de Riesgo

Recomendamos a la empresa contratar personal calificado para realizar

estrategias, técnicas y procesos para la gestión de riesgo, y así tener un mejor
rendimiento en la empresa.

2. Seguridad de la Información

Se recomienda la implementación de medidas necesarias para poder restringir el

acceso a través de los puertos de conexión de las computadoras. Y así evitar la
extracción y/o alteración de la información del personal no autorizado.

3. Tecnologia de la Información

Se recomienda a la empresa, revisar y hacer mantenimiento frecuentemente de

todos sus equipos para evitar fallas en el funcionamiento de las actividades.

ANEXOS

13
 HECHO POR:
FECHA:
SUPERVISADO POR:
FECHA:

ANEXOS 1

PRUEBAS SUSTANTIVAS
PRUEBA SUSTANTIVA N° 1
Se verifico que todo el personal tiene acceso a la información sin importar su
cargo, es decir, que cualquier funcionario accede a todo la información y puede
manipularla sin problema.

PRUEBAS DE CUMPLIMIENTO
PRUEBA DE CUPLIMIENTO Nº1
En cumplimiento del programa de auditoría se procedió a la inspección y se
evidencio que la empresa cuenta con el hardware debidamente instalado y el
software actualizado el cual no cuenta con contraseñas o claves de acceso.

ANEXO 2

14
 HECHO POR:
FECHA:
SUPERVISADO POR:
FECHA:

PRUEBAS DE CUMPLIMIENTO

PRUEBA DE CUMPLIMIENTO N°2

Se evidencio que la empresa cuenta con alarmas contra incendios en todos sus
ambientes, las cuales funcionan perfectamente.

PRUEBA DE CUMPLIMIENTO N°3

Se evidencio que la empresa cuenta con extintores en todos su ambientes, los

cuales ayudaran en caso de ocurrir posibles incendios.

ANEXO 3

15
 HECHO POR:
FECHA:
SUPERVISADO POR:
FECHA:

PRUEVAS SUSTANTIVAS

PRUEBA SUSTANTIVA N°2

Se verifico que existe un solo usuario y contraseña para todos los trabajadores.

PRUEBA SUSTANTIVA N°3

El acceso a la información no está debidamente controlado y documentado.

ANEXO 4

16
 HECHO POR:
FECHA:
SUPERVISADO POR:
FECHA:

PRUEBAS DE CUMPLIMIENTO

PRUEBA DE CUMPLIMIENTO N°4

Se evidencio que la empresa cuenta con UPS, el cual funciona como

suministrador de energía cuando ocurre un corte de energía eléctrica.

PRUEBA DE CUMPLIMIENTO N° 5

Se evidencio que todos los equipos de la empresa cuentan con estabilizadores.

ANEXO 5

17
 HECHO POR:
FECHA:
SUPERVISADO POR:
FECHA:

PRUEBAS DE CUEMPLIMIENTO

PRUEBA DE CUMPLIMIENTO N° 6

Se evidencio que el sistema cuenta con dos antivirus llamado NORTON y AVIRA
ya que estas bloquen virus , spyware, troyanos, gusanos, protege contra hackers
mediante un silencioso firewall bidireccional. Filtra correos electronicos no
deseados mediante proteccion antispam de solidez profesional, ayuda a mantener
a menores seguros cuando navegan por internet gracias a los controles.

PRUEBA DE CUMPLIMIENTO N°7

18
 HECHO POR:
FECHA:
SUPERVISADO POR:
FECHA:

Se evidencio que cuenta con la licencia oficial NORTON Y AVIRA ANTIVIRUS y

esta en constante actualizacion para garantizar el buen desarrollo en el sistema.

19