SUPERINTENDENCIA GENERAL DE ENTIDADES FINANCIERAS CONTENIDO 1. OBJETIVO .................................................................................................................................. 2 2. ALCANCE ................................................................................................................................... 2 3. DOCUMENTOS DE REFERENCIA ....................................................................................... 2 4. DEFINICIONES ......................................................................................................................... 3 5. RESPONSABILIDADES ........................................................................................................... 3 6. DESCRIPCION DEL PROCEDIMIENTO ............................................................................. 4 Guía para completar el Plan Correctivos / Preventivo Versión: 1.0 Página 2 de 12 1. OBJETIVO Brindar una guía para completar el Plan Correctivo / Preventivo que debe remitir las entidades supervisadas, según Acuerdo SUGEF 14-09. 2. ALCANCE La presente guía aplica para las entidades supervisadas por SUGEF. 3. DOCUMENTOS DE REFERENCIA CÓDIGO NOMBRE DEL DOCUMENTO “NO TIENE” Reglamento sobre la gestión de la Tecnología de Información. Acuerdo SUGEF 14-09. P-IN-03 Imposición de sanciones a las entidades fiscalizadas por incumplimiento de diversas normas de acatamiento obligatorio. Guía para completar el Plan Correctivos / Preventivo Versión: 1.0 Página 3 de 12 4. DEFINICIONES Tecnología de información (TI): Conjunto de técnicas que permiten la captura, almacenamiento, transformación, transmisión y presentación de la información generada o recibida a partir de procesos, de manera que pueda ser organizada y utilizada en forma consistente y comprensible por los usuarios que estén relacionados con ella. Incluye elementos de hardware, software, telecomunicaciones y conectividad. Plan correctivo / preventivo (Plan): Instrumento que debe completar la entidad para definir las acciones correctivas y preventivas así como sus actividades con el fin de poder dar seguimiento a los hallazgos señalados por la Auditoría Externa. Control preventivo: Un control interno que se usa para prevenir eventos indeseables, errores u otras ocurrencias que pudieran tener un efecto material negativo sobre un proceso o producto final, de acuerdo a la organización. Control de detección: Un control que se usa para identificar eventos (indeseables o deseados), errores u otras ocurrencias con efecto material sobre un proceso o producto final, de acuerdo a lo definido por la empresa. 5. RESPONSABILIDADES Es responsabilidad de la entidad completar el Plan Correctivo / Preventivo de acuerdo a lo establecido en la presente guía. Guía para completar el Plan Correctivos / Preventivo Versión: 1.0 Página 4 de 12 6. DESCRIPCION DEL PROCEDIMIENTO Este instructivo contiene una guía detallada que facilita el proceso de completar, mantener actualizado y enviar el Plan Correctivo / Preventivo. 6.1. Ubicación de la plantilla del Plan Correctivo / preventivo Se debe consultar la existencia de una nueva versión del plan correctivo / preventivo, antes de proceder a completar y actualizar los formularios indicados en él mismo, la última versión del plan se puede bajar en la página web de SUGEF www.sugef.fi.cr Alternativamente puede copiar la siguiente ruta: http://www.sugef.fi.cr/pagina.asp?pagina=servicios/documentos/Normativa\Reglamento 14-09\SUGEF14-09-Inicio.asp Guía para completar el Plan Correctivos / Preventivo Versión: 1.0 6.2. Página 5 de 12 Especificaciones generales A. Se debe utilizar Microsoft Excel versión 2007. B. Se debe utilizar la última versión del Plan. C. Se debe completar la totalidad de los contenidos con base en el Informe de la auditoría externa, cuando la misma sea comunicada según lo establecido en el Acuerdo SUGEF 14-09. D. No se deben agregar, modificar o eliminar filas, columnas, hojas, gráficos, formatos o cualquier tipo de información en el Plan. E. No se debe eliminar la protección que contenida en el Plan. 6.3. Estructura del Plan El Plan se compone de 4 hojas, las cuales se detallan de la manera siguiente: A. Información General. B. Resumen Ejecutivo. C. Plan Correctivo-Preventivo. D. Involucrados. Guía para completar el Plan Correctivos / Preventivo Página 6 de 12 Versión: 1.0 El detalle de cada una de las hojas se presenta se a continuación: 6.3.1. Hoja de Información General A. Estructura de la hoja de información general B. Descripción de la hoja de información general Propósito de la hoja Campo Nombre de la entidad. Contar con la información básica de la entidad, el auditor externo y el responsable de elaborar el Plan. Detalle Indique el nombre de la razón social de la entidad. En caso de ser un proveedor indicar el Ejemplo / Valores posibles Grupo Trío S.A. nombre del proveedor. Cédula Jurídica de la entidad. Indique el número de cédula jurídica de la entidad. . En caso de ser un proveedor indicar 3-101-210101. Guía para completar el Plan Correctivos / Preventivo Página 7 de 12 Versión: 1.0 la cédula jurídica del proveedor. Nombre del Área: Indique el nombre del Área al que va orientado el Plan, puede ser una unidad específica o varias, o la totalidad del Área de TI. Aseguramiento de la Calidad y Mejores Prácticas de TI. Indique el rango de fechas que comprende las diferentes acciones y / o actividades detalladas (inicio / fin). 01/05/2010 – 01/08/2011 Periodo: En caso de tener diferentes fechas de inicio y fin anote la fecha más baja de inicio y la más alta de finalización. Fecha: Indique la fecha final de elaboración del Plan 01-04-2010 Nombre del Auditor Indique el nombre del auditor externo responsable de llevar a cabo la auditoría en la Ronald Chacón Tellina. Externo: entidad. Firma donde labora Auditor: Indique el nombre de la firma para la cual labora el auditor externo. En el caso de que el auditor externo trabaje independientemente indicar “Independiente”. Número de CISA: Indique el Número de certificado “CISA”. 123456 Elaborado por: Indique el nombre del responsable en la entidad de realizar el proceso de gestionar el Plan. Fabian de la Vega. Puesto: Indique el cargo del responsable de elaborar el Plan. Independiente. TríoB S.A. Director General de TI E-mail: Indique el e-mail del responsable de elaborar el Plan. fdelavega@grupotrio.fi.cr Teléfono: Indique el número de teléfono y extensión del responsable de elaborar el Plan. 2252-2020, Ext. 1251. Fecha de aprobación: Indique la Fecha de la sesión de Junta Directiva o autoridad equivalente quien aprobó el Plan. 12/05/2010 Guía para completar el Plan Correctivos / Preventivo Versión: 1.0 6.3.2. Hoja de Resumen Ejecutivo A. Estructura de la hoja del Resumen Ejecutivo Página 8 de 12 Guía para completar el Plan Correctivos / Preventivo Página 9 de 12 Versión: 1.0 B. Descripción de la hoja del Resumen Ejecutivo Propósito de la hoja Campo Resumen Ejecutivo Contar con un resumen ejecutivo del Plan Detalle Escriba un resumen del plan, contiene una explicación de alto nivel de los objetivos, alcance, supuestos, proyectos, costos y estimación de tiempo para ejecución 6.3.3. Hoja del Plan A. Estructura de la hoja del Plan Ejemplo / Valores posibles Texto Guía para completar el Plan Correctivos / Preventivo Página 10 de 12 Versión: 1.0 B. Descripción de la hoja del Plan Propósito de la hoja Campo Detallar las acciones y las actividades de cada acción a seguir por la entidad, así como sus prioridades, recursos, fechas, oportunidades de mejora y observaciones que se deben considerar para poder gestionar los hallazgos indicados en el informe de la auditoría externa. Detalle Ejemplo / Valores posibles Identificador Código alfanumérico irrepetible, el cual debe permitir identificar y agrupar de forma inequívoca las acciones con sus respectivas actividades. A-01 acción x A-01-01 actividad 1 de la acción x A-02 acción xy A-02-01 actividad 1 de la acción xy Acción / Actividad Acción o actividad que se va a realizar. Detalle de la acción / actividad Descripción detallada de la acción o actividad que se va a realizar. Campo de selección para indicar si la acción o actividad corresponden a un plan de tipo correctivo o preventivo. Correctivo Tipo Preventivo Defina una categorización uniforme para Alto, Medio Bajo. 100, 50, 0 Prioridad realizar una priorización de las acciones y sus respectivas actividades. Área Indique el nombre del Área al que va orientado la acción o actividad, puede ser una unidad específica o varias, así como la totalidad del Área de TI. Responsable Indique el nombre del responsable de llevar a cabo la acción o las actividades en caso de existir mas involucrados, se debe indicar en la tabla que para su efecto se creó. Fechas de ejecución Inicio Indique la fecha en la que comienza la ejecución de la acción o actividad. Fin Indique la fecha en la que finaliza la Luis Armador del Valle Guía para completar el Plan Correctivos / Preventivo Versión: 1.0 Página 11 de 12 ejecución de la acción o actividad. Oportunidad de Mejora Indique con una equis “X”” cuando se Financiero Recursos Indique las acciones identificadas en la auditoría externa de TI que tiene un funcionamiento débil o nulo, las cuales deben ser tratadas a través de una o varias acciones y actividades relacionadas dentro del plan. asignen recursos de este tipo. Aplicaciones Indique con una equis “X”” cuando se asignen recursos de este tipo. Infraestructura Indique con una equis “X”” cuando se asignen recursos de este tipo. Información Indique con una equis “X”” cuando se asignen recursos de este tipo. Personas Indique con una equis “X”” cuando se asignen recursos de este tipo. Indique Observaciones 6.4. observaciones, comentarios o referencias sobre cualquier situación o condición que considere necesario documentar. Proceso de completitud Siguiendo lo indicado en los puntos anteriores, la entidad debe completar el Plan, con base en lo indicado en el informe de auditoría externa, según lo establecido en el Acuerdo SUGEF 14-09. Guía para completar el Plan Correctivos / Preventivo Versión: 1.0 6.5. Página 12 de 12 Envió del Plan Finalizado la auditoría y siguiendo lo establecido en el Acuerdo SUGEF 14-09 la entidad debe remitir el “Plan Correctivo / Preventivo” a SUGEF por medio de la clase de datos 26 de SICVECA.