Estructura Del PROGRAMA de Auditoria

XYZ SOCIEDAD CIVIL SOCIEDAD DE AUDITORIA

EMPRESA AGROINDUSTRIAL CAMPOSOL(Superintendencia de cosecha y proyecciones)

PROGRAMA DE AUDITORIA

(Eenro-Febrero:2011)

El presente programa de auditoría, se ha elaborado tomando como referencia los puntos

considerados en los objetivos planteados en las Bases del Concurso Público de Méritos Nº 03-

2007-CG para auditar a la empresa camposol S.A. y el enfoque y metodología presentado en la

propuesta técnica; desarrollándose procedimientos de auditoría para cada objetivo; considerando

las siguientes normas vigentes: Normas Internacionales de Auditoría (NIA), Ley Nº 26887(Ley de

Sociedades), ISO 27002 (ex-ISO 17799) normas de buenas prácticas y Cobit 4.0.

I.- OBJETIVOS GENERALES Y ESPECÍFICOS ESTABLECIDOS EN LAS BASES:

Objetivo General.

Evaluar la fiabilidad del Sistema de proyecciones usada en la superintendencia de

cosecha y proyecciones de la empresa Campo sol S.A

Objetivos Específicos.

Evaluar si el plan estratégico está alineado con las reglas del negocio (PO1).

Evaluar si los términos usados en el sistema están bien definidos en el diccionario de datos (PO2).

Evaluar si el plan de adquisición de infraestructura tecnológica están alineados con los requerimientos del usuario (PO3).

Evaluar si existe un plan de capacitación para los usuarios del sistema de proyecciones (PO7).

Evaluar si el manual de organización y funciones está alineado específicamente con los puestos de trabajo (PO7).

Evaluar si el presupuesto anual para la adquisición de tecnologías de información satisface las adquisiciones programadas (DS6).

Evaluar si el plan de contingencia garantiza la continuidad del sistema ante posibles fallas (DS4).

Evaluar si se cumples el plan sobre los procesos de seguridad del sistema. (DS5)

1


Evaluar si la documentación sobre la configuración del sistema es la más optima para los usuarios (DS9).

Evaluar si la información es mostrada solo a los usuarios que tengan acceso a dicha información (DS11).

Evaluar si realiza copias de respaldo y restauración de la información del sistema (DS11).

Evaluar si el plan para las nuevas adquisiciones cumple con todos los requerimientos que han solicitado los usuarios (AI3).

Evaluar las guías del usuario. (Manual de usuario) para verificar si contienen las ayudas necesarias para interactuar con el sistema (AI4)

Evaluar el estado de los componentes de hardware.

Evaluar la vulnerabilidad de los activos de la empresa. (Acceso a ambientes, equipos).

Evaluar la continuidad del sistema de proyecciones ante fallas.

Minimizar existencias de riesgos en el uso de Tecnología de información

Analizar la gestión del cambio en usuarios y el sistema de proyecciones.

II.- ALCANCE DEL EXAMEN.-

El alcance de nuestro examen comprenderá la evaluación del Sistema de proyecciones de la

Empresa Campo sol S.A. y aspectos de importancia como parte de la auditoría que se han

precisado en los objetivos descritos precedentemente, aplicando para el efecto las Normas

Internacionales de Auditoría (NIA), criterios, metodología y orientaciones contenidas en la

guía de COBIT 4.0 y el estándar ISO 27002, y normas complementarias emitidas por la

empresa.

III.- PERSONAL PROPUESTO:

El personal encargado de la ejecución del examen cuyas horas estimadas está detallado en la etapa preliminar, trabajo de campo y elaboración de informes del cronograma de ejecución del Plan de Auditoría. El personal es el siguiente:

2


Nº Nombres y Apellidos Cargo en la Comisión

1 Raúl Aguilar Vargas Supervisor

2 Chuquilin Delgado Fredy Jefe de Equipo

3 Ruiz Mendoza Diego Auditor de Sistemas de Información

4 Roca Angulo Julio Auditor de Sistemas de Información

5 Malca Bravo Diego Auditor de Sistemas de Información

6 Burgos Mejía Ramiro Clodomiro Auditor de Sistemas de Información

7 Mariela Angélica cruzado Fernández Asistente

8 Magan Quezada Omar Especialista analista en proyecciones

IV.- PROCEDIMIENTOS A SER APLICADOS.-

Los procedimientos para cada objetivo a ser aplicado en la revisión y examen del Sistema de

proyecciones de la empresa Campo Sol S.A., se presentan a continuación:

PROCEDIMIENTOS DE AUDITORIA

Ref.

P.T.

Hecho

Por

Fecha

De

Term.

Hora

s

Tota

l

EVALUACION DEL PROCESO DE DEFINIR UN PLAN ESTRATÉGICO DE TI.

Evaluar si el plan estratégico está alineado con las reglas del negocio (PO1).Nº 01:

Opinar sobre la razonabilidad de

1. ¿Evaluar Las directivas y procedimientos del plan estratégico son claros?

2. ¿Las directivas y procedimientos del plan estratégico están bien alineadas con el negocio cumpliendo el requerimiento de negocio de TI?

3. ¿Existe algún seguimiento a los objetivos trazados en el plan estratégico del negocio en el área de TI?

4. ¿Se ha creado un equipo de respuesta a incidencias?

5. ¿el equipo de respuestas de incidencias ha desarrollado y documentado procesos eficaces para afrontar las incidencias de seguridad?

6. ¿El equipo de respuesta de incidencias realiza el seguimiento de los objetivos?

7. ¿Todas las incidencias se

PT01

PT02

PT03

PT04PT05

PT06

PT07

F.C.D

F.C.D

F.C.D

F.C.DF.C.D

F.C.D

F.C.D

04/02/2011

04/02/2011

04/02/201104/02/2011

04/02/2011

04/02/2011

04/02/2011

1

1

0.21

0.5

1

1

3


investigan hasta que se identifica la causa principal y se resuelven los problemas?

Evaluar si los términos usados en el sistema están bien definidos en el diccionario de datos (PO2).Nº 02:


8. Evaluar si Existe un diccionario de datos empresarial y reglas de sintaxis de datos.

9. Evaluar si Existe alguna propiedad de la clasificación los niveles de datos.

10. Evaluar Existe alguna propiedad de la clasificación de los niveles de acceso y "defaults".

11. Evaluar si Se utiliza algún proceso para mantener actualizados el diccionario de datos.

12. Evaluar si Se utiliza algún proceso para mantener actualizados las reglas de sintaxis de datos.

Evaluar si el plan de adquisición de infraestructura tecnológica están alineados con los requerimientos del usuario (PO3). Nº 03:


13. Evaluar si Existe un plan de adquisición de infraestructura tecnológica.

14. Evaluar si Los planes de adquisición de software suelen satisfacer las necesidades identificadas en el plan de infraestructura tecnológica.

15. Evaluar si Los planes de adquisición de hardware suelen satisfacer las necesidades identificadas en el plan de infraestructura tecnológica.

Evaluar si existe un plan de capacitación para los usuarios del sistema de proyecciones (PO7). Nº 04:

PT08

PT08

PT08

PT09

PT09

PT013

PT014

PT015

PT016

PT017

PT018

F.C.D

F.C.D

F.C.D

F.C.D

F.C.D

D. M. B

D. M. B

D. M. B

D. M. B

D. M. B

D. M. B

04/02/2011

04/02/2011

04/02/2011

05/02/2011

05/02/2011

05/02/2011

05/02/2011

05/02/2011

05/02/2011

05/02/2011

05/02/2011

1

1

1

1

1

1

1

1

1

1

1

4



16. Evaluar si Se utilizan criterios para reclutar y seleccionar personal para cubrir posiciones vacantes.

17. Evaluar si La administración y los empleados aceptan el proceso de competencia del puesto.

18. Evaluar si La administración está comprometida con el entrenamiento y el desarrollo profesional de sus empleados.

Evaluar si el manual de organización y funciones está alineado específicamente con los puestos de trabajo (PO7). Nº 05:


19. Evaluar si Existen descripciones de puestos, y que éstas sean revisadas y se mantienen actualizadas.

20. Evaluar si El personal de seguridad de la información ha recibido el entrenamiento apropiado en procedimientos y técnicas de seguridad

Evaluar si el plan de contingencia garantiza la continuidad del sistema ante posibles fallas (DS4). Nº 05:


21. Evaluar si Existe un plan de recuperación para caos de desastres/contingencia.

22. Evaluar si Hay una priorización de las aplicaciones con respecto a los tiempos de recuperación de fallos.

23. Evaluar si Se cuenta con una lista de los recursos alternativos como: hardware, periféricos, software.

24. Evaluar si Se cuenta con la inclusión de los planes de reconstrucción para la recuperación de fallas en el sistema

Evaluar si se cumples el plan sobre los

PT019

PT020

PT021

PT022

PT023

PT024

PT025

PT026

PT027

PT028

PT029

D. M. B

D. M. B

D. R. M

D. R. M

D. R. M

D. R. M

D. R. M

D. R. M

D. R. M

D. R. M

D. R. M

5

05/02/2011 1

05/02/2011 1

05/02/2011 1

05/02/2011 1

05/02/2011 1

05/02/2011 1

06/02/2011 1

06/02/2011 1

06/02/2011 1

0602/2011 1

06/02/2011 1


procesos de seguridad del sistema. (DS5). Nº 05:


25. Evaluar si se Se cuenta con un plan de seguridad estratégico.

26. Evaluar si se tiene una organización que asegurar el acceso apropiado a los recursos del sistema.

27. Evaluar si se cuenta con perfiles de seguridad de usuario que representen “los menos accesos requeridos.

28. Evaluar si se cuenta con reportes de violaciones a la seguridad y procedimientos formales de solución de problemas.

29. Evaluar si existen estándares de administración criptográfica claves de los usuarios.

30. Evaluar si existe una lista de los controles de cambios al software de seguridad

Evaluar si el presupuesto anual para la adquisición de tecnologías de información satisface las adquisiciones programadas (DS6). Nº 05:


31. Evaluar si Existen procedimiento para generar un presupuesto anual para la función de servicios de información.

32. Evaluar si Se cuenta con un plan de presupuesto anual de costos de desarrollo y mantenimiento en cuanto a desarrollo, mantenimiento y gastos operacionales

33. Existe un programa de mejora para reducir costos o aumentar el desempeño de los recursos de los sistemas de información

Evaluar si la documentación sobre la configuración del sistema es la más optima para los usuarios (DS9). Nº 05:


34. Evaluar si se ha recopilada la información de configuración y establecido líneas

PT030

PT031

PT032

PT033

PT034

PT035

PT036

PT037

PT038PT039

D. R. M

R. A. J

R. A. J

R. A. J

R. A. J

6

06/02/2011 1

06/02/2011 1

06/02/2011 1

07/02/2011 1

07/02/2011 1

07/02/2011 1

07/02/2011 1

07/02/2011 1

07/02/2011 107/02/2011 1

07/02/2011 1

07/02/2011 107/02/2011 1


7

07/02/2011 1

07/02/2011 107/02/2011 1

Estructura Del PROGRAMA de Auditoria

Documents

Transcript of Estructura Del PROGRAMA de Auditoria