Guia para completar el plan correctivo

Anuncio
SUPERINTENDENCIA GENERAL DE ENTIDADES FINANCIERAS
CONTENIDO
1.
OBJETIVO .................................................................................................................................. 2
2.
ALCANCE ................................................................................................................................... 2
3.
DOCUMENTOS DE REFERENCIA ....................................................................................... 2
4.
DEFINICIONES ......................................................................................................................... 3
5.
RESPONSABILIDADES ........................................................................................................... 3
6.
DESCRIPCION DEL PROCEDIMIENTO ............................................................................. 4
Guía para completar el Plan Correctivos / Preventivo
Versión: 1.0
Página 2 de 12
1. OBJETIVO
Brindar una guía para completar el Plan Correctivo / Preventivo que debe remitir las
entidades supervisadas, según Acuerdo SUGEF 14-09.
2. ALCANCE
La presente guía aplica para las entidades supervisadas por SUGEF.
3. DOCUMENTOS DE REFERENCIA
CÓDIGO
NOMBRE DEL DOCUMENTO
“NO TIENE”
Reglamento sobre la gestión de la Tecnología de Información.
Acuerdo SUGEF 14-09.
P-IN-03
Imposición de sanciones a las entidades fiscalizadas por
incumplimiento de diversas normas de acatamiento obligatorio.
Guía para completar el Plan Correctivos / Preventivo
Versión: 1.0
Página 3 de 12
4. DEFINICIONES
Tecnología de información (TI): Conjunto de técnicas que permiten la captura,
almacenamiento, transformación, transmisión y presentación de la información
generada o recibida a partir de procesos, de manera que pueda ser organizada y
utilizada en forma consistente y comprensible por los usuarios que estén relacionados
con ella. Incluye elementos de hardware, software, telecomunicaciones y conectividad.
Plan correctivo / preventivo (Plan): Instrumento que debe completar la entidad para
definir las acciones correctivas y preventivas así como sus actividades con el fin de
poder dar seguimiento a los hallazgos señalados por la Auditoría Externa.
Control preventivo: Un control interno que se usa para prevenir eventos indeseables,
errores u otras ocurrencias que pudieran tener un efecto material negativo sobre un
proceso o producto final, de acuerdo a la organización.
Control de detección: Un control que se usa para identificar eventos (indeseables o
deseados), errores u otras ocurrencias con efecto material sobre un proceso o
producto final, de acuerdo a lo definido por la empresa.
5. RESPONSABILIDADES
Es responsabilidad de la entidad completar el Plan Correctivo / Preventivo de acuerdo
a lo establecido en la presente guía.
Guía para completar el Plan Correctivos / Preventivo
Versión: 1.0
Página 4 de 12
6. DESCRIPCION DEL PROCEDIMIENTO
Este instructivo contiene una guía detallada que facilita el proceso de completar,
mantener actualizado y enviar el Plan Correctivo / Preventivo.
6.1.
Ubicación de la plantilla del Plan Correctivo / preventivo
Se debe consultar la existencia de una nueva versión del plan correctivo / preventivo,
antes de proceder a completar y actualizar los formularios indicados en él mismo, la
última versión del plan se puede bajar en la página web de SUGEF www.sugef.fi.cr
Alternativamente puede copiar la siguiente ruta:
http://www.sugef.fi.cr/pagina.asp?pagina=servicios/documentos/Normativa\Reglamento
14-09\SUGEF14-09-Inicio.asp
Guía para completar el Plan Correctivos / Preventivo
Versión: 1.0
6.2.
Página 5 de 12
Especificaciones generales
A. Se debe utilizar Microsoft Excel versión 2007.
B. Se debe utilizar la última versión del Plan.
C. Se debe completar la totalidad de los contenidos con base en el Informe de la
auditoría externa, cuando la misma sea comunicada según lo establecido en el
Acuerdo SUGEF 14-09.
D. No se deben agregar, modificar o eliminar filas, columnas, hojas, gráficos,
formatos o cualquier tipo de información en el Plan.
E. No se debe eliminar la protección que contenida en el Plan.
6.3.
Estructura del Plan
El Plan se compone de 4 hojas, las cuales se detallan de la manera siguiente:
A. Información General.
B. Resumen Ejecutivo.
C. Plan Correctivo-Preventivo.
D. Involucrados.
Guía para completar el Plan Correctivos / Preventivo
Página 6 de 12
Versión: 1.0
El detalle de cada una de las hojas se presenta se a continuación:
6.3.1.
Hoja de Información General
A. Estructura de la hoja de información general
B. Descripción de la hoja de información general
Propósito de la hoja
Campo
Nombre de la entidad.
Contar con la información básica de la entidad, el auditor externo y el responsable
de elaborar el Plan.
Detalle
Indique el nombre de la razón social de la
entidad. En caso de ser un proveedor indicar el
Ejemplo / Valores posibles
Grupo Trío S.A.
nombre del proveedor.
Cédula Jurídica de la
entidad.
Indique el número de cédula jurídica de la
entidad. . En caso de ser un proveedor indicar
3-101-210101.
Guía para completar el Plan Correctivos / Preventivo
Página 7 de 12
Versión: 1.0
la cédula jurídica del proveedor.
Nombre del Área:
Indique el nombre del Área al que va orientado
el Plan, puede ser una unidad específica o
varias, o la totalidad del Área de TI.
Aseguramiento de la Calidad y
Mejores Prácticas de TI.
Indique el rango de fechas que comprende las
diferentes acciones y / o actividades detalladas
(inicio / fin).
01/05/2010 – 01/08/2011
Periodo:
En caso de tener diferentes fechas de inicio y
fin anote la fecha más baja de inicio y la más
alta de finalización.
Fecha:
Indique la fecha final de elaboración del Plan
01-04-2010
Nombre del Auditor
Indique el nombre del auditor externo
responsable de llevar a cabo la auditoría en la
Ronald Chacón Tellina.
Externo:
entidad.
Firma donde labora
Auditor:
Indique el nombre de la firma para la cual
labora el auditor externo. En el caso de que el
auditor externo trabaje independientemente
indicar “Independiente”.
Número de CISA:
Indique el Número de certificado “CISA”.
123456
Elaborado por:
Indique el nombre del responsable en la
entidad de realizar el proceso de gestionar el
Plan.
Fabian de la Vega.
Puesto:
Indique el cargo del responsable de elaborar el
Plan.

Independiente.

TríoB S.A.
Director General de TI
E-mail:
Indique el e-mail del responsable de elaborar el
Plan.
fdelavega@grupotrio.fi.cr
Teléfono:
Indique el número de teléfono y extensión del
responsable de elaborar el Plan.
2252-2020, Ext. 1251.
Fecha de aprobación:
Indique la Fecha de la sesión de Junta Directiva
o autoridad equivalente quien aprobó el Plan.
12/05/2010
Guía para completar el Plan Correctivos / Preventivo
Versión: 1.0
6.3.2.
Hoja de Resumen Ejecutivo
A. Estructura de la hoja del Resumen Ejecutivo
Página 8 de 12
Guía para completar el Plan Correctivos / Preventivo
Página 9 de 12
Versión: 1.0
B. Descripción de la hoja del Resumen Ejecutivo
Propósito de la hoja
Campo
Resumen Ejecutivo
Contar con un resumen ejecutivo del Plan
Detalle
Escriba un resumen del plan, contiene una
explicación de alto nivel de los objetivos,
alcance, supuestos, proyectos, costos y
estimación de tiempo para ejecución
6.3.3.
Hoja del Plan
A. Estructura de la hoja del Plan
Ejemplo / Valores posibles
Texto
Guía para completar el Plan Correctivos / Preventivo
Página 10 de 12
Versión: 1.0
B. Descripción de la hoja del Plan
Propósito de la hoja
Campo
Detallar las acciones y las actividades de cada acción a seguir por la entidad, así
como sus prioridades, recursos, fechas, oportunidades de mejora y observaciones
que se deben considerar para poder gestionar los hallazgos indicados en el informe
de la auditoría externa.
Detalle
Ejemplo / Valores posibles
Identificador
Código alfanumérico irrepetible, el cual
debe permitir identificar y agrupar de
forma inequívoca las acciones con sus
respectivas actividades.
A-01
acción x
A-01-01 actividad 1 de la acción x
A-02
acción xy
A-02-01 actividad 1 de la acción xy
Acción / Actividad
Acción o actividad que se va a realizar.
Detalle de la acción /
actividad
Descripción detallada de la acción o
actividad que se va a realizar.
Campo de selección para indicar si la
acción o actividad corresponden a un plan
de tipo correctivo o preventivo.

Correctivo
Tipo

Preventivo
Defina una categorización uniforme para

Alto, Medio Bajo.

100, 50, 0
Prioridad
realizar una priorización de las acciones y
sus respectivas actividades.
Área
Indique el nombre del Área al que va
orientado la acción o actividad, puede ser
una unidad específica o varias, así como
la totalidad del Área de TI.
Responsable
Indique el nombre del responsable de
llevar a cabo la acción o las actividades en
caso de existir mas involucrados, se debe
indicar en la tabla que para su efecto se
creó.
Fechas de
ejecución
Inicio
Indique la fecha en la que comienza la
ejecución de la acción o actividad.
Fin
Indique la fecha en la que finaliza la
Luis Armador del Valle
Guía para completar el Plan Correctivos / Preventivo
Versión: 1.0
Página 11 de 12
ejecución de la acción o actividad.
Oportunidad de Mejora
Indique con una equis “X”” cuando se
Financiero
Recursos
Indique las acciones identificadas en la
auditoría externa de TI que tiene un
funcionamiento débil o nulo, las cuales
deben ser tratadas a través de una o
varias acciones y actividades relacionadas
dentro del plan.
asignen recursos de este tipo.
Aplicaciones
Indique con una equis “X”” cuando se
asignen recursos de este tipo.
Infraestructura
Indique con una equis “X”” cuando se
asignen recursos de este tipo.
Información
Indique con una equis “X”” cuando se
asignen recursos de este tipo.
Personas
Indique con una equis “X”” cuando se
asignen recursos de este tipo.
Indique
Observaciones
6.4.
observaciones,
comentarios
o
referencias sobre cualquier situación o
condición que considere necesario
documentar.
Proceso de completitud
Siguiendo lo indicado en los puntos anteriores, la entidad debe completar el Plan, con
base en lo indicado en el informe de auditoría externa, según lo establecido en el
Acuerdo SUGEF 14-09.
Guía para completar el Plan Correctivos / Preventivo
Versión: 1.0
6.5.
Página 12 de 12
Envió del Plan
Finalizado la auditoría y siguiendo lo establecido en el Acuerdo SUGEF 14-09 la
entidad debe remitir el “Plan Correctivo / Preventivo” a SUGEF por medio de la clase
de datos 26 de SICVECA.
Descargar