XYZ SOCIEDAD CIVIL SOCIEDAD DE AUDITORIA
EMPRESA AGROINDUSTRIAL CAMPOSOL(Superintendencia de cosecha y proyecciones)
PROGRAMA DE AUDITORIA
(Eenro-Febrero:2011)
El presente programa de auditoría, se ha elaborado tomando como referencia los puntos
considerados en los objetivos planteados en las Bases del Concurso Público de Méritos Nº 03-
2007-CG para auditar a la empresa camposol S.A. y el enfoque y metodología presentado en la
propuesta técnica; desarrollándose procedimientos de auditoría para cada objetivo; considerando
las siguientes normas vigentes: Normas Internacionales de Auditoría (NIA), Ley Nº 26887(Ley de
Sociedades), ISO 27002 (ex-ISO 17799) normas de buenas prácticas y Cobit 4.0.
I.- OBJETIVOS GENERALES Y ESPECÍFICOS ESTABLECIDOS EN LAS BASES:
Objetivo General.
Evaluar la fiabilidad del Sistema de proyecciones usada en la superintendencia de
cosecha y proyecciones de la empresa Campo sol S.A
Objetivos Específicos.
Evaluar si el plan estratégico está alineado con las reglas del negocio (PO1).
Evaluar si los términos usados en el sistema están bien definidos en el diccionario de datos (PO2).
Evaluar si el plan de adquisición de infraestructura tecnológica están alineados con los requerimientos del usuario (PO3).
Evaluar si existe un plan de capacitación para los usuarios del sistema de proyecciones (PO7).
Evaluar si el manual de organización y funciones está alineado específicamente con los puestos de trabajo (PO7).
Evaluar si el presupuesto anual para la adquisición de tecnologías de información satisface las adquisiciones programadas (DS6).
Evaluar si el plan de contingencia garantiza la continuidad del sistema ante posibles fallas (DS4).
Evaluar si se cumples el plan sobre los procesos de seguridad del sistema. (DS5)
1
XYZ SOCIEDAD CIVIL SOCIEDAD DE AUDITORIA
Evaluar si la documentación sobre la configuración del sistema es la más optima para los usuarios (DS9).
Evaluar si la información es mostrada solo a los usuarios que tengan acceso a dicha información (DS11).
Evaluar si realiza copias de respaldo y restauración de la información del sistema (DS11).
Evaluar si el plan para las nuevas adquisiciones cumple con todos los requerimientos que han solicitado los usuarios (AI3).
Evaluar las guías del usuario. (Manual de usuario) para verificar si contienen las ayudas necesarias para interactuar con el sistema (AI4)
Evaluar el estado de los componentes de hardware.
Evaluar la vulnerabilidad de los activos de la empresa. (Acceso a ambientes, equipos).
Evaluar la continuidad del sistema de proyecciones ante fallas.
Minimizar existencias de riesgos en el uso de Tecnología de información
Analizar la gestión del cambio en usuarios y el sistema de proyecciones.
II.- ALCANCE DEL EXAMEN.-
El alcance de nuestro examen comprenderá la evaluación del Sistema de proyecciones de la
Empresa Campo sol S.A. y aspectos de importancia como parte de la auditoría que se han
precisado en los objetivos descritos precedentemente, aplicando para el efecto las Normas
Internacionales de Auditoría (NIA), criterios, metodología y orientaciones contenidas en la
guía de COBIT 4.0 y el estándar ISO 27002, y normas complementarias emitidas por la
empresa.
III.- PERSONAL PROPUESTO:
El personal encargado de la ejecución del examen cuyas horas estimadas está detallado en la etapa preliminar, trabajo de campo y elaboración de informes del cronograma de ejecución del Plan de Auditoría. El personal es el siguiente:
2
XYZ SOCIEDAD CIVIL SOCIEDAD DE AUDITORIA
Nº Nombres y Apellidos Cargo en la Comisión
1 Raúl Aguilar Vargas Supervisor
2 Chuquilin Delgado Fredy Jefe de Equipo
3 Ruiz Mendoza Diego Auditor de Sistemas de Información
4 Roca Angulo Julio Auditor de Sistemas de Información
5 Malca Bravo Diego Auditor de Sistemas de Información
6 Burgos Mejía Ramiro Clodomiro Auditor de Sistemas de Información
7 Mariela Angélica cruzado Fernández Asistente
8 Magan Quezada Omar Especialista analista en proyecciones
IV.- PROCEDIMIENTOS A SER APLICADOS.-
Los procedimientos para cada objetivo a ser aplicado en la revisión y examen del Sistema de
proyecciones de la empresa Campo Sol S.A., se presentan a continuación:
PROCEDIMIENTOS DE AUDITORIA
Ref.
P.T.
Hecho
Por
Fecha
De
Term.
Hora
s
Tota
l
EVALUACION DEL PROCESO DE DEFINIR UN PLAN ESTRATÉGICO DE TI.
Evaluar si el plan estratégico está alineado con las reglas del negocio (PO1).Nº 01:
Opinar sobre la razonabilidad de
1. ¿Evaluar Las directivas y procedimientos del plan estratégico son claros?
2. ¿Las directivas y procedimientos del plan estratégico están bien alineadas con el negocio cumpliendo el requerimiento de negocio de TI?
3. ¿Existe algún seguimiento a los objetivos trazados en el plan estratégico del negocio en el área de TI?
4. ¿Se ha creado un equipo de respuesta a incidencias?
5. ¿el equipo de respuestas de incidencias ha desarrollado y documentado procesos eficaces para afrontar las incidencias de seguridad?
6. ¿El equipo de respuesta de incidencias realiza el seguimiento de los objetivos?
7. ¿Todas las incidencias se
PT01
PT02
PT03
PT04PT05
PT06
PT07
F.C.D
F.C.D
F.C.D
F.C.DF.C.D
F.C.D
F.C.D
04/02/2011
04/02/2011
04/02/201104/02/2011
04/02/2011
04/02/2011
04/02/2011
1
1
0.21
0.5
1
1
3
XYZ SOCIEDAD CIVIL SOCIEDAD DE AUDITORIA
investigan hasta que se identifica la causa principal y se resuelven los problemas?
Evaluar si los términos usados en el sistema están bien definidos en el diccionario de datos (PO2).Nº 02:
Opinar sobre la razonabilidad de
8. Evaluar si Existe un diccionario de datos empresarial y reglas de sintaxis de datos.
9. Evaluar si Existe alguna propiedad de la clasificación los niveles de datos.
10. Evaluar Existe alguna propiedad de la clasificación de los niveles de acceso y "defaults".
11. Evaluar si Se utiliza algún proceso para mantener actualizados el diccionario de datos.
12. Evaluar si Se utiliza algún proceso para mantener actualizados las reglas de sintaxis de datos.
Evaluar si el plan de adquisición de infraestructura tecnológica están alineados con los requerimientos del usuario (PO3). Nº 03:
Opinar sobre la razonabilidad de
13. Evaluar si Existe un plan de adquisición de infraestructura tecnológica.
14. Evaluar si Los planes de adquisición de software suelen satisfacer las necesidades identificadas en el plan de infraestructura tecnológica.
15. Evaluar si Los planes de adquisición de hardware suelen satisfacer las necesidades identificadas en el plan de infraestructura tecnológica.
Evaluar si existe un plan de capacitación para los usuarios del sistema de proyecciones (PO7). Nº 04:
PT08
PT08
PT08
PT09
PT09
PT013
PT014
PT015
PT016
PT017
PT018
F.C.D
F.C.D
F.C.D
F.C.D
F.C.D
D. M. B
D. M. B
D. M. B
D. M. B
D. M. B
D. M. B
04/02/2011
04/02/2011
04/02/2011
05/02/2011
05/02/2011
05/02/2011
05/02/2011
05/02/2011
05/02/2011
05/02/2011
05/02/2011
1
1
1
1
1
1
1
1
1
1
1
4
XYZ SOCIEDAD CIVIL SOCIEDAD DE AUDITORIA
Opinar sobre la razonabilidad de
16. Evaluar si Se utilizan criterios para reclutar y seleccionar personal para cubrir posiciones vacantes.
17. Evaluar si La administración y los empleados aceptan el proceso de competencia del puesto.
18. Evaluar si La administración está comprometida con el entrenamiento y el desarrollo profesional de sus empleados.
Evaluar si el manual de organización y funciones está alineado específicamente con los puestos de trabajo (PO7). Nº 05:
Opinar sobre la razonabilidad de
19. Evaluar si Existen descripciones de puestos, y que éstas sean revisadas y se mantienen actualizadas.
20. Evaluar si El personal de seguridad de la información ha recibido el entrenamiento apropiado en procedimientos y técnicas de seguridad
Evaluar si el plan de contingencia garantiza la continuidad del sistema ante posibles fallas (DS4). Nº 05:
Opinar sobre la razonabilidad de
21. Evaluar si Existe un plan de recuperación para caos de desastres/contingencia.
22. Evaluar si Hay una priorización de las aplicaciones con respecto a los tiempos de recuperación de fallos.
23. Evaluar si Se cuenta con una lista de los recursos alternativos como: hardware, periféricos, software.
24. Evaluar si Se cuenta con la inclusión de los planes de reconstrucción para la recuperación de fallas en el sistema
Evaluar si se cumples el plan sobre los
PT019
PT020
PT021
PT022
PT023
PT024
PT025
PT026
PT027
PT028
PT029
D. M. B
D. M. B
D. R. M
D. R. M
D. R. M
D. R. M
D. R. M
D. R. M
D. R. M
D. R. M
D. R. M
5
05/02/2011 1
05/02/2011 1
05/02/2011 1
05/02/2011 1
05/02/2011 1
05/02/2011 1
06/02/2011 1
06/02/2011 1
06/02/2011 1
0602/2011 1
06/02/2011 1
XYZ SOCIEDAD CIVIL SOCIEDAD DE AUDITORIA
procesos de seguridad del sistema. (DS5). Nº 05:
Opinar sobre la razonabilidad de
25. Evaluar si se Se cuenta con un plan de seguridad estratégico.
26. Evaluar si se tiene una organización que asegurar el acceso apropiado a los recursos del sistema.
27. Evaluar si se cuenta con perfiles de seguridad de usuario que representen “los menos accesos requeridos.
28. Evaluar si se cuenta con reportes de violaciones a la seguridad y procedimientos formales de solución de problemas.
29. Evaluar si existen estándares de administración criptográfica claves de los usuarios.
30. Evaluar si existe una lista de los controles de cambios al software de seguridad
Evaluar si el presupuesto anual para la adquisición de tecnologías de información satisface las adquisiciones programadas (DS6). Nº 05:
Opinar sobre la razonabilidad de
31. Evaluar si Existen procedimiento para generar un presupuesto anual para la función de servicios de información.
32. Evaluar si Se cuenta con un plan de presupuesto anual de costos de desarrollo y mantenimiento en cuanto a desarrollo, mantenimiento y gastos operacionales
33. Existe un programa de mejora para reducir costos o aumentar el desempeño de los recursos de los sistemas de información
Evaluar si la documentación sobre la configuración del sistema es la más optima para los usuarios (DS9). Nº 05:
Opinar sobre la razonabilidad de
34. Evaluar si se ha recopilada la información de configuración y establecido líneas
PT030
PT031
PT032
PT033
PT034
PT035
PT036
PT037
PT038PT039
D. R. M
R. A. J
R. A. J
R. A. J
R. A. J
6
06/02/2011 1
06/02/2011 1
06/02/2011 1
07/02/2011 1
07/02/2011 1
07/02/2011 1
07/02/2011 1
07/02/2011 1
07/02/2011 107/02/2011 1
07/02/2011 1
07/02/2011 107/02/2011 1
XYZ SOCIEDAD CIVIL SOCIEDAD DE AUDITORIA
7
07/02/2011 1
07/02/2011 107/02/2011 1
Top Related