Issuu on Google+

UNIVERSIDAD PRIVADA CÉSAR VALLEJO FACULTAD DE INGENIERÍA ESCUELA DE INGENIERÍA DE SISTEMAS PROYECTO AUDITORIA “Proceso de Direccionamiento Estratégico” Presentada por: CORDOVA LAZO, Bruno RAYMUNDO NIZAMA, Juan Carlos ROJAS DELGADO, Wilder SOBERÓN CHUCHÓN, Oscar Junior Curso: Auditoria de Sistemas VIII-CICLO 219-NOCHE LIMA-PERÚ 2013-I


1

ÍNDICE

Índice................................................................................................................................................ 2 1

DATOS DE LA EMPRESA/ DESCRIPCION .............................. ¡Error! Marcador no definido.

2

ORGANIGRAMA DE LA INSTITUCION .................................................................................. 3

3

MISION VISION / OBJETIVOS ................................................................................................. 4

4

ALCANCE………………………………………………………………………………………………………………………6

5

RECURSOS Y TIEMPO……………………………………………………………………………………………………7

6

HALLAZGOS .................................................................................. ¡Error! Marcador no definido.


I.

DATOS DE LA EMPRESA:

Nombre: Instituto Nacional de Salud del Niño Ruc: 20131368403 Dirección: Av. Brasil Nº 600 Lima – Breña TELEFONO: 01-3300066

Descripción: Un hospital exclusivamente menores

para niños

que protege y albergue de

desvalidos, que ofrezca cuidados especiales, además de

cuidar el número de menores que no podían ser abarcados por los hospitales de ese entonces, fueron los motivos por los cuales surgió el Hospital del niño. Gracias a la perseverancia desplegada por la Sociedad Auxiliadora de la infancia precedida por doña

Juana Alarcon de Dammert

posteriormente llamda “La abuela de los niños”, junto con la colaboración de diversas entidades públicas y privadas hicieron realidad la creación del primer hospital del niño del país.


2.

Organigrama del Instituto Nacional de Salud del Niño

DIRECCION GENERAL

OFICINA EJECUTIVA DE PLANEAMIENTO ESTRATEGICO

ESTRUCTURA FUNCIONAL

DIRECCIÓN GENERAL OFICINA EJECUTIVA DE DE PLANEAMIENTO ESTRATÉGICO

UNIDAD DE ORGANIZACIÓN UNIDAD DE PRESUPUESTO Y PLANEAMIENTO

ELABORADO POR: NORA NIZAMA DIAZ

REVISADO POR: JOSE SANCHEZ LOAYZA

APROBADO POR: R.D Nº

-DG- INSN-2012

UNIDAD DE PROYECTOS DE INVERSIÓN

ULTIMA MODIFICACION:

VIGENCIA: -08-2012


3.

Misión y Visión: Misión: El Instituto Nacional de Salud del Niño, debe lograr el liderazgo a nivel nacional e internacional en el desarrollo de la investigación científica e innovación de la metodología, tecnología y normas para su difusión y aprendizaje por los profesionales técnicos del sector salud, así como en la asistencia altamente especializada a los pacientes que la requieran e incrementar y sistematizar la interrelación científica internacional en su campo.

Visión: El Instituto Nacional de Salud de Niño será líder en el ámbito nacional e internacional en la docencia, investigación científica, desarrollo de metodología y tecnología y atención integral altamente especializada de niños y adolescentes en condiciones que aseguren el pleno respeto de su dignidad y de sus derechos.

3.1 OBJETIVOS DE LA AUDITORIA

3.1.1- OBJETIVOS GENERALES

Evaluar la conformidad del Proceso de Direccionamiento Estratégico con los requisitos del Modelo Estándar de Control Interno, la norma NTCGP-1000 2009(NORMA TÉCNICA DE CALIDAD EN LA GESTIÓN PÚBLICA), ISO 27009 de riesgos las disposiciones legales, los planes, los programas y procedimientos aplicables y los requisitos de la Entidad, y establecer su grado de avance y mejora en el marco del Sistema

Integrado

de

Gestión,

COBIT

contribuiremos a la dirección estratégica

V4.1

Ya

que

que debe ser un

proceso continuo que apoye los objetivos a largo plazo trazados dentro de las empresas. Este proceso involucra la ejecución de un plan estratégico que sea reconocido,


comprendido y aceptado por el personal encargado de ejecutarlo. Además de lo anterior, debe tener en cuenta a la empresa como totalidad y sus relaciones con el entorno 3.1.2.- OBJETIVOS ESPECIFICOS:

3.1.2.1.- Solicitar y revisar la documentación referente a la gestión administrativa del personal de la Instituto Nacional de Salud del Niño.

3.1.2.2.- Verificar que se cumplan con las normas de seguridad requerimientos y procesos que se realizan en dicha institución.

3.1.2.3.- Verificar la existencia de planes de emergencia en caso de accidentes.

3.1.2.4.- Verificar que existan parámetros de medición del desempeño del personal y satisfacción del cliente.

3.1.2.5.- Verificar se mantenga una vigilancia constante sobre cualquier acción de cualquier tipo que perjudique la realización de la atención y servicios en la institución.

3.1.2.6.- Identificar problemas potenciales que constituyen en obstáculos para el proceso que conduzcan a los resultados esperados


4.- ALCANCE:

Establecer el nivel de mejora en las etapas de procesos que se podrá adecuar la estructura de operaciones, coordinar esfuerzos de las instancias involucradas en los procesos.

Verificar los diferentes elementos y productos provistos en la norma NTCGP, ANSI/TIA/EIA-606 Y COBIT V.4.1; a partir de las herramientas para la sostenibilidad y operaciones del sistema de control interno de la institución, con la especial énfasis en riesgos, procedimientos, flujos de información.

5. RECURSOS Y TIEMPO En la presente auditoría se usará recursos humanos y materiales. El recurso humano está formado por el equipo auditor, conformado por 4 integrantes, cuyos cargos y funciones se describen en el MOF interno. Respecto a los recursos materiales, estos se refieren a los equipos electrónicos necesarios para la auditoría, tales como pc, laptops, espacio geográfico (en la empresa) y bloc de notas.


5.1

MOF INTERNO

MANUAL DE ORGANIZACIÓN Y FUNCIONES INTERNO INTRODUCCIÓN

Finalidad El presente manual de organización y funciones describe las funciones a desempeñar por el personal responsable de la auditoría a la Instituto Nacional de Salud del Niño.

Alcance Las funciones contenidas en el presente manual deberán ser cumplidas por todos los trabajadores que integran la auditoría.


ESTRUCTURA ORGÁNICA  Dirección Jefe de Auditoría  Supervisión Auditor Supervisor  Operación Auditores de direccionamiento de procesos estratégicos.

CUADRO DE ASIGNACIÓN DE PERSONAL Jefe de Auditoría

1

Auditor Supervisor

1

Auditor de direccionamiento de procesos estratégicos.

2

FUNCIONES ESPECÍFICAS A NIVEL DE CARGO

1) Denominación de cargo especifico: Jefe de Auditoría Funciones Específicas: Planear, organizar, dirigir y controlar el cumplimiento de las actividades en el proceso de auditoría. Administrar de forma eficiente los recursos asignados para la ejecución de auditoría. Informar al directorio respecto a los informes emitidos por los auditores. Revisar todas las actividades de control que se desarrollen durante el proceso de auditoría. Línea de Autoridad y Responsabilidad Depende directamente del directorio


Tiene mando directo sobre los siguientes cargos: Todos los cargos involucrados en el proceso de auditoría.

2) Denominación de cargo especifico: Auditor Supervisor Funciones Específicas: Coordinar con el jefe de auditoría los problemas que surjan durante la realización de los trabajos encomendados, a fin de resolverlos. Ejecutar acciones de control no previstas en el cronograma de planificación, cuando el jefe de auditoria lo disponga. Revisar los documentos e informes presentados por los auditores de calidad. Atender las consultas o reclamos de los usuarios internos respecto a hechos irregulares que pueden presentarse. Evaluar el desempeño laboral del personal que realiza la auditoría. Línea de Autoridad y Responsabilidad Depende directamente del Jefe de Auditoría. Tiene mando directo sobre los siguientes cargos: Auditor de calidad. 3) Denominación de cargo especifico: Secretaría de Auditoría Funciones Específicas: Actualizar la agenda del Jefe de Auditoría. Elaborar los informes de cada reunión del equipo de auditoría. Archivar la documentación recibida, emitida y/o cargos de la misma. Coordinar y comunicar al equipo de auditoría los días de reunión programados.

Línea de Autoridad y Responsabilidad Depende directamente del Jefe de Auditoría. Tiene mando directo sobre los siguientes cargos: Ninguno.


4) Denominación de cargo específico: Auditor de direccionamiento de procesos estratégicos.

Funciones Específicas: Obtener información relevante del proceso de control

de

procesos que existan dentro de la empresa a auditar. Evaluar los riesgos de control a través de la aplicación de cuestionarios y entrevistas para determinar las deficiencias. Prepara los borradores de hallazgos de auditoria con los elementos respectivos y debidamente sustentados, los cuales deben ser expuestos de manera legible. Analiza la información operativa y tecnológica, junto con las normas reglamentarias del trabajo encomendado. Línea de Autoridad y Responsabilidad Depende directamente de: Auditor Supervisor. Tiene mando directo sobre los siguientes cargos: Ninguno.  Tiempo: El tiempo de duración es de 10 semanas, desde el 06 de Mayo del 2013 hasta el 12 de julio del 2013.


1

Hallazgo

Notas de enfermería desubicadas.

Objetivo Especifico

Revisar sus planes de mantenimiento correctivo y preventivo para la información.

Marco de Referencia Anexos

Según IEEE 2.4 Restricciones: Se debe indicar aquí cualquier tipo de limitación como pueden ser políticas de la empresa, limitaciones hardware, seguridad, protocolos de comunicación, interfaces con otras aplicaciones, estándares de la empresa en cuanto a interfaces, etc. Según norma técnica de la calidad de gestión pública, en el punto 4.5.4 control de registros.

Recomendación

Se recomienda establecer políticas y procedimientos para documentar los errores y las soluciones de los mismos que puedan servir para su rápida solución por cualquier personal que quizá pueda carecer de experiencia para solucionarlo


2

Ficha de anestesia ilegible.

Tener en cuenta el seguimiento y la medición del desempeño laboral

Según la norma técnica, en el punto 8.2.4 seguimiento y medición del producto o la prestación de servicio. Y en l punto

Se recomienda contar con el profesionalismo correspondiente a estos casos, ya que el ámbito anestésico es complicado para la salud en general.

8.4 análisis de datos.

3

Hojas utilizadas incorrectamente.

Tener en cuenta el uso correcto de activos de la organización en el área administrativa.

Según la norma técnica de gestión pública, Adquisición de bienes y servicios

Se recomienda realizar inventario de activos de la organización y seleccionar personal encargado del activo y el uso que se le va a dar.


4

Desorden en secuencia de procesos.

Tener en cuenta la secuencia correcta de procesos.

Según norma técnica de gestión pública en el punto 4.4.1 Recursos, funciones,

Es recomendable contar con una comunicación constante con las diferentes áreas y así tener armonía con los procesos y sus secuencias.

responsabilidad, rendición de cuentas y autoridad

5

6

Exámenes auxiliares no comentados.

La estructura de las canaletas están abiertas y tiene riesgo de que se rompan

Mantener una relación de confiabilidad con el paciente, en todo ámbito de hospitalización.

Cumplimientos de normas para el cableado estructurado (físico).

.Es recomendable brindar información a los pacientes acerca de la importancia de todos los exámenes que se realizar dentro o fuera del hospital. Según norma técnica de gestión pública en el punto 4.5.3.1 Investigación de incidentes

Según el estándar ANSI/TIA/EIA-606, en el capítulo de Conceptos de Administración, apartado de Vínculos.

Es recomendable tener el cableado guiado, sea por ejemplo a través de canaletas. Anexo1


7

Los dispositivos no cuentan con identificadores

8

La hardware de alarma contra incendios esta averiada y descuadrada en el are de emergencia

9

Letra ilegible, falta identificación del profesional.

Verificar los implementos, políticas y procedimientos del mantenimiento de la red.

Según el estándar ANSI/TIA/EIA-606, en el capítulo de Conceptos de Administración, apartado de Etiquetado.

Verificar los instrumentos de aire acondicionado.

En el Articulo 28 del DEPARTAMENTO DE INVESTIGACION DE DOCENCIA Y ATENCION EN CENTRO QUIRURJICO Y ANESTELIGIA en el PUNTO D.

Verificar el cumplimiento ROF en el historial clínico.

En el artículo 23 de ROF de la institución en los puntos C Y D

Es recomendable colocar identificadores a los dispositivos para su fácil ubicación y así mismo tener un mejor control sobre el inventario de estos. Anexo 2

Anexo 3

Nos indica que debemos tener un buen mantenimiento de los instrumentos quirúrgicos y así también unos buenos mantenimientos en condiciones de seguridad e higiene.

Nos da a entender la importancia sobre las letras legibles que deben de tener en las recetas o historias clínicas o consultorio externo.


10

11

12

Falta de cirujanos en la atención Verificar el secuencialment cumplimiento ROF e

Posología no especificada.

Historias no encontradas y sin especificar su desaparición

Verificar el cumplimiento ROF

En el artículo 26 del DEPARTAMENTO DE INVESTIGACION DECENCIA Y ATENCION DE CIRUJIA EN EL PUNTO D.

En el artículo 23 de ROF de la institución en los puntos C Y D

En El ARTICULO 18

Verificar el cumplimiento ROF

Oficina ejecutiva de apoyo a la investigación y docencia especializada en el punto H

Nos menciona la atención de medica especialidad y el apoyo en emergencia y uci intermedio según sea requerido por las áreas criticas

Nos da a entender la importancia sobre las letras legibles que deben de tener en las recetas o historias clínicas o consultorio externo y así también en los fármacos.

Ejecutar el seguimiento de los pacientes de protocolos de investigación a cargo de las unidades orgánicas a cargo.


Norma NTCGP en el punto 4.2.3 Control de documentos Ausencia de fecha y 1hora en repetidos registros. 3

Uso reiterado de 1 formatos 4 inadecuados

Verificar el cumplimiento ROF

Verificar el cumplimiento ROF

En los putos a b y c. 4.2.4 Control de los registros

a) aprobar los documentos en cuanto a su adecuaciรณn antes de su emisiรณn; b) revisar y actualizar los documentos cuando sea necesario y aprobarlos nuevamente; c) asegurarse de que se identifican los cambios y el estado de versiรณn vigente de los Documentos.

Norma NTCGP en el punto 4.2.3 Control de documentos

d) asegurarse de que las versiones vigentes y pertinentes de los documentos aplicables se

En los putos d Y g

prevenir el uso no intencionado de documentos obsoletos, y aplicarles una identificaciรณn

encuentran disponibles en los puntos de uso;

adecuada en el caso de que se mantengan por cualquier razรณn.


15

16

17

1. Secuencia arbitraria de hojas de la historia clínica.

Diagnóstico inicial inconsistente con historia clínica.

Manejo de emergencia con procesos lentos y no enmarcados en protocolos y estándares.

Verificar el cumplimiento ROF

Verificar el cumplimiento ROF

Verificar el cumplimiento ROF


18

19

20

Manejo inadecuado por diagn贸stico impreciso.

Verificar el cumplimiento ROF

1. Retraso en toma de decisiones en Hospital.

Verificar el cumplimiento ROF

1. Retraso de planificaci贸n por excesivos procesos.

Verificar el cumplimiento ROF


21

22

23

24

Epicrisis en subestándares.

No se manejan restricciones de acceso a la red, fuera del horario de oficina.

Verificar que la seguridad y respaldo de la red física y lógica sean las adecuadas.

Según COBIT 4.1 en su dominio Entregar y Dar Soporte, en su proceso DS5 Garantizar la Seguridad de los Sistema, en su actividad DS5.10 Seguridad de la Red.

Es necesario que la empresa cuente con restricciones de acceso, permisos en su red y que éstas se mantenga siempre funcionando para evitar posible riesgos. (extracción de información)

No cuentan con ningún procedimiento para la administración del equipamiento remoto.

Verificar que la seguridad y respaldo de la red física y lógica sean las adecuadas

Según la NTP-ISO/IEC 17799 en el punto 10 Gestión de comunicaciones y operaciones, 10.6 Gestión de seguridad de red, en el 10.6.1 Controles de red.

Se debe de establecer responsabilidades y procedimientos para la gestión del

No cuentan con procedimientos de seguridad para la red inalámbrica.

Verificar que la seguridad y respaldo de la red física y lógica sean las adecuadas.

Según COBIT 4.1 en su dominio Entregar y Dar Soporte, en su proceso DS5 Garantizar la Seguridad de los Sistema, en su actividad DS5.10 Seguridad de la Red.

Es necesario el uso de técnicas de seguridad (firewalls, dispositivos de seguridad y detección de intrusos) para controlar el acceso a la red de personas no autorizadas.

Equipo remoto, incluyendo el equipo en las áreas del usuario.


No cuentan con procedimientos para la adquisición de equipos de redes.

Verificar que llevan un registro actualizado de módems, controladores, terminales, líneas y todo equipo relacionado con las comunicaciones.

Según COBIT 4.1 en su dominio Adquirir e Implementar, en su proceso AI5 Adquirir recursos de TI, en su actividad AI5.1 Control de Adquisición.

Es muy importante desarrollar y seguir un conjunto de procedimientos consistente con el proceso general de adquisiciones de la organización y con la estrategia de adquisición para adquirir infraestructura relacionada con TI, instalaciones, hardware, software y servicios necesarios por el negocio.

No cuentan con un sistema de seguridad para evitar que se sustraiga el equipo de las instalaciones del área.

Evaluar el control de acceso a las instalaciones y políticas para proteger los equipos.

Según la NTP-ISO/IEC 17799 en el punto 9 Seguridad Física del Entorno, en el 9.2 Seguridad de los equipos, punto 9.2.1 Instalación y protección de equipos.

Debe de tomarse medidas para poder minimizar el riesgo de posibles amenazas como Robo y Vandalismo.

No cuentan con un procedimiento estándar de cableado estructurado.

Verificar la protección y tendido adecuado de cables y líneas de comunicaciones para evitar accesos físicos.

Según la NTP-ISO/IEC 17799 en el punto 9 Seguridad Física del Entorno, en el 9.2 Seguridad de los equipos, punto 9.2.3 Seguridad del Cableado.

Debe la empresa poseer un procedimiento fijo y estandarizado de cómo debe de realizarse su cableado de red.

Diversos tramos de las líneas de comunicación (red) se encuentran expuestas (a la vista).

Verificar la protección y tendido adecuado de cables y líneas de comunicaciones para evitar accesos físicos.

Según la NTP-ISO/IEC 17799 en el punto 9 Seguridad Física del Entorno, en el 9.2 Seguridad de los equipos, punto 9.2.3 Seguridad del Cableado.

Debe realizarse una adecuada protección del cableado de red para evitar posible acceso de personas no autorizadas que podrían dañarlo.

No se cuenta con documentación del esquema de direccionamiento IP de la red.

Verificar documentación sobre el diagramado de la red.

25

26

27

28

29

CISCO CNNA

La empresa debe contar con el diagrama de direccionamiento IP para facilitar la labor de ubicación y configuración del los hosts de la red.


No se cuenta con un control de acceso a la instalaciones de los servidores

Evaluar el control de acceso a las instalaciones y políticas para proteger los equipos.

Según la NTP-ISO/IEC 17799 en el punto 9 Seguridad Física del Entorno en el punto 9.1 Áreas seguras, en el punto 9.1.2 Controles físicos de entradas.

La empresa debería contar con controles y políticas de la seguridad, para el acceso al centro que e lo indique

No cuentan con ningún tipo de extintor dentro del área del servidor.

Evaluar la seguridad física de redes.

Según la NTP-ISO/IEC 17799 en el punto 9 Seguridad Física del Entorno en el punto 9.1 Áreas seguras, en el punto 9.1.4 Protección contra amenazas externas y ambientales.

Todo equipo apropiado contra incendio debe ser provisto y ubicado adecuadamente.

El acceso al interior de los computadores, no se encuentra limitado por algún tipo de mecanismo de protección.

Evaluar la seguridad física de redes

NORMA TÉCNICA PERUANA – ISO 17799

Se debe garantizar que los recursos de información reciban un apropiado nivel de protección. Deberían sellarse o estar encerrados para evitar robos como discos duros, además deberían estar a una distancia adecuada ante cualquier inconveniente.

Solicitar y revisar la documentación referente a los procedimientos y planes (Contingencia, Continuidad) relacionado al área TI de la empresa MIMCO SAC.

Según la NTP-ISO/IEC 17799 en el punto 10 “Gestión de comunicaciones y operaciones”.

30

31

18

No cuenta con documentación actualizada de los procedimientos que realizan y planes que siguen. 30

Según Cobit Planear y Organizar. PO4 Definir Procesos, Organización y relaciones de TI

Es Primordial y totalmente necesario para una empresa tener una información actualizada de cómo se realizan sus procesos, sus planes de contingencia y de continuidad del negocio para de este modo responder de forma más eficiente a problemas que se presenten.


Anexo Avexo 1

Anexo 2

Anexo 3



Auditoria finalm