Estructura Del PROGRAMA de Auditoria

1

EMPRESA AGROINDUSTRIAL CAMPOSOL (Superintendencia de cosecha y proyecciones)

PROGRAMA DE AUDITORIA

(Eenro-Febrero:2011)

El prese presente nte prog progra rama ma de audit auditorí oría, a, se ha elabo elabora rado do toman tomando do como como refer referenc encia ia los punto puntos s considerados en los objetivos planteados en las Bases del Concurso Público de Méritos Nº 032007-CG para auditar a la empresa camposol S.A. y el enfoque y metodología presentado en la propuesta técnica; desarrollándose procedimientos de auditoría para cada objetivo; considerando las siguientes normas normas vigentes: Normas Internacionales Internacionales de Auditoría Auditoría (NIA), Ley Nº 26887(Ley 26887(Ley de Sociedades), ISO 27002 (ex-ISO 17799) normas de buenas prácticas y Cobit 4.0.

I.- OBJETIVOS OBJETIVOS GENERA GENERALES LES Y ESPECÍF ESPECÍFICOS ICOS ESTABL ESTABLECIDO ECIDOS S EN LAS BASES: BASES:

Objetiv Obj etivoo General Gene ral . Evaluar la fiabilidad del Sistema de proyecciones usada en la superintendencia superintendencia de cosecha y proyecciones de la empresa Campo sol S.A

Objetivos Específicos. •

Evaluar si el plan estratégico está alineado con las reglas del negocio (PO1).

•

Eval Evalua uarr si los los térm términ inos os usado usadoss en el siste sistema ma están están bien bien defi defini nido doss en el diccionario de datos (PO2).

•

Evaluar si el plan de adquisición de infraestructura tecnológica están alineados con los requerimientos del usuario (PO3).

•

Evaluar si existe un plan de capacitación para los usuarios del sistema de  proyecciones (PO7).

•

Evaluar si el manual de organización y funciones está alineado específicamente con los puestos de trabajo (PO7).

•

Eval Evalua uarr si el pres presup upue uest sto o anua anuall para para la adqu adquis isic ició ión n de tecn tecnol olog ogía íass de información satisface las adquisiciones programadas (DS6).

•

Evaluar si el plan de contingencia garantiza la continuidad del sistema ante  posibles fallas (DS4).

•

Evaluar Evaluar si se cumple cumpless el plan sobre los procesos procesos de de seguridad seguridad del sistema. sistema. (DS5)

2

•

Evaluar si la documentación sobre la configuración del sistema es la más optima para los usuarios (DS9).

•

Evaluar si la información es mostrada solo a los usuarios que tengan acceso a dicha información (DS11).

•

Evaluar si realiza copias de respaldo y restauración de la información del sistema (DS11).

•

Evaluar si el plan para las nuevas adquisiciones cumple con todos los requerimientos que han solicitado los usuarios (AI3).

•

Evaluar las guías del usuario. (Manual de usuario) para verificar si contienen las ayudas necesarias para interactuar con el sistema (AI4)

•

Evaluar el estado de los componentes de hardware.

•

Evaluar la vulnerabilidad de los activos de la empresa. (Acceso a ambientes, equipos).

•

Evaluar la continuidad del sistema de proyecciones ante fallas.

•

Minimizar existencias de riesgos en el uso de Tecnología de información

•

Analizar la gestión del cambio en usuarios y el sistema de proyecciones.

II.- ALCANCE DEL EXAMEN.El alcance de nuestro examen comprenderá la evaluación del Sistema de proyecciones de la Empresa Campo sol S.A. y aspectos de importancia como parte de la auditoría que se han precisado en los objetivos descritos precedentemente, aplicando para el efecto las Normas Internacionales de Auditoría (NIA), criterios, metodología y orientaciones contenidas en la guía de COBIT 4.0 y el estándar ISO 27002, y normas complementarias emitidas por la empresa.

III.- PERSONAL PROPUESTO: El personal encargado de la ejecución del examen cuyas horas estimadas está detallado en la etapa preliminar, trabajo de campo y elaboración de informes del cronograma de ejecución del Plan de Auditoría. El personal es el siguiente:

3

Nº 1 2 3 4 5 6 7 8

Nombres y Apellidos Raúl Aguilar Vargas Chuquilin Delgado Fredy Ruiz Mendoza Diego Roca Angulo Julio Malca Bravo Diego Burgos Mejía Ramiro Clodomiro Mariela Angélica cruzado Fernández Magan Quezada Omar

Cargo en la Comisión Supervisor   Jefe de Equipo Auditor de Sistemas de Información Auditor de Sistemas de Información Auditor de Sistemas de Información Auditor de Sistemas de Información Asistente Especialista analista en proyecciones

IV.- PROCEDIMIENTOS A SER APLICADOS.Los procedimientos para cada objetivo a ser aplicado en la revisión y examen del Sistema de proyecciones de la empresa Campo Sol S.A., se presentan a continuación:

PROCEDIMIENTOS DE AUDITORIA

Ref. P.T.

Hecho Por 

Fecha De Term.

Hora s Tota l

EVALUACION DEL PROCESO DE DEFINIR UN PLAN ESTRATÉGICO DE TI. Evaluar si el plan estratégico está alineado con las reglas del negocio (PO1).Nº 01: Opinar sobre la razonabilidad de 1.

2.

3.

4. 5.

6.

7.

¿Evaluar Las directivas y  procedimientos del plan estratégico son claros? ¿Las directivas y  procedimientos del plan estratégico están bien alineadas con el negocio cumpliendo el requerimiento de negocio de TI? ¿Existe algún seguimiento a los objetivos trazados en el plan estratégico del negocio en el área de TI? ¿Se ha creado un equipo de respuesta a incidencias? ¿el equipo de respuestas de incidencias ha desarrollado y documentado procesos eficaces para afrontar las incidencias de seguridad? ¿El equipo de respuesta de incidencias realiza el seguimiento de los objetivos? ¿Todas las incidencias se

PT01

F.C.D

04/02/2011

1

PT02

F.C.D

04/02/2011

1

PT03

F.C.D

04/02/2011 0.2 04/02/2011 1

PT04 PT05

F.C.D F.C.D

04/02/2011 0.5

PT06

F.C.D

04/02/2011

1

PT07

F.C.D

04/02/2011

1

4

investigan hasta que se identifica la causa principal y se resuelven los problemas? Evaluar si los términos usados en el sistema PT08 están bien definidos en el diccionario de datos (PO2).Nº 02: Opinar sobre la razonabilidad de 8.

PT08

Evaluar si Existe un PT08 diccionario de datos empresarial y reglas de sintaxis de datos. Evaluar si Existe alguna PT09 9.  propiedad de la clasificación los niveles de datos. PT09 Evaluar Existe alguna 10.  propiedad de la clasificación de los niveles de acceso y "defaults". Evaluar si Se utiliza algún 11.  proceso para mantener actualizados el diccionario de datos. Evaluar si Se utiliza algún PT013 12.  proceso para mantener actualizados las reglas de PT014 sintaxis de datos. Evaluar si el plan de adquisición de infraestructura tecnológica están alineados con los requerimientos del usuario (PO3). Nº PT015 03:

F.C.D

04/02/2011

1

F.C.D

04/02/2011

1

F.C.D

04/02/2011

1

F.C.D

05/02/2011

1

F.C.D

05/02/2011

1

D. M. B 05/02/2011

1

D. M. B 05/02/2011

1

D. M. B 05/02/2011

1

Opinar sobre la razonabilidad de 13.

Evaluar si Existe un plan de

adquisición de infraestructura tecnológica. 14. Evaluar si Los planes de adquisición de software suelen satisfacer las necesidades identificadas en el plan de infraestructura tecnológica. Evaluar si Los planes de PT016 D. M. B 05/02/2011 15. adquisición de hardware suelen satisfacer las necesidades identificadas en el plan de infraestructura PT017 D. M. B 05/02/2011 tecnológica.

Evaluar si existe un plan de capacitación para los usuarios del sistema de proyecciones (PO7). Nº 04:

1

1

PT018 D. M. B 05/02/2011 1

5

Opinar sobre la razonabilidad de 16.

Evaluar si Se utilizan criterios  para reclutar y seleccionar personal para cubrir   posiciones vacantes. Evaluar si La administración 17. y los empleados aceptan el proceso de competencia PT019 D. M. B 06/02/2011 05/02/2011 del puesto. Evaluar si La administración PT020 D. M. B 05/02/2011 18. está comprometida con el entrenamiento y el desarrollo profesional de sus empleados.

1

Evaluar si el manual de organización y funciones está alineado específicamente con los puestos de trabajo (PO7). Nº 05:

06/02/2011

1

05/02/2011

1

PT022 D. R. M 06/02/2011 Existen 05/02/2011

1 1

05/02/2011 07/02/2011

1

05/02/2011

1

07/02/2011

1

06/02/2011 07/02/2011

1

06/02/2011 07/02/2011 recuperación para caos de desastres/contingencia. 22. Evaluar si Hay una PT027 D. R. M 07/02/2011  priorización de las aplicaciones con respecto a los 06/02/2011 tiempos de recuperación de fallos. Evaluar si Se cuenta con una PT028 D. R. M 23.

1

PT021 D. R. M

Opinar sobre la razonabilidad de 19.

Evaluar si descripciones de puestos, y que éstas sean revisadas y PT023 D. R. M se mantienen actualizadas. Evaluar si El personal de 20. PT024 D. R. M seguridad de la información ha recibido el entrenamiento apropiado en procedimientos y técnicas de seguridad Evaluar si el plan de contingencia garantiza la continuidad del sistema ante posibles fallas (DS4). Nº 05:

1

PT025 D. R. M

Opinar sobre la razonabilidad de 21.

Evaluar si Existe un plan de PT026 D. R. M

1 1

0602/2011 1 lista de los recursos alternativos como: hardware,  periféricos, software. 24. Evaluar si Se cuenta con la PT029 D. R. M inclusión de los planes de reconstrucción para la 06/02/2011 1 PT030 D. R. M recuperación de fallas en el sistema

07/02/2011 07/02/2011

1 1

6

Evaluar si se cumples el plan sobre los procesos de seguridad del sistema. (DS5). Nº 05: Opinar sobre la razonabilidad de 25.

26.

27.

28.

29.

30.

Evaluar si se Se cuenta con un plan de seguridad estratégico. Evaluar si se tiene una organización que asegurar el acceso apropiado a los PT031 R. A. J recursos del sistema. Evaluar si se cuenta con  perfiles de seguridad de usuario que representen “los PT032 R. A. J menos accesos requeridos. Evaluar si se cuenta con reportes de violaciones a la seguridad y PT033 R. A. J  procedimientos formales de solución de problemas. Evaluar si existen estándares de administración criptográfica claves de los usuarios. Evaluar si existe una lista de los controles de cambios al software de seguridad

07/02/2011

1

07/02/2011 07/02/2011

1 1

08/02/2011

1

08/02/2011

1

Evaluar si el presupuesto anual para la PT034 R. A. J 08/02/2011 adquisición de tecnologías de información satisface las adquisiciones programadas PT035 (DS6). Nº 05:

1

PT036

Opinar sobre la razonabilidad de

Evaluar si Existen  procedimiento para generar un presupuesto anual para PT037 la función de servicios de información. 32. Evaluar si Se cuenta con un  plan de presupuesto anual de costos de desarrollo y mantenimiento en cuanto a desarrollo, mantenimiento y gastos operacionales 33. Existe un programa de mejora  para reducir costos o aumentar el desempeño de los recursos de los sistemas de información Evaluar si la documentación sobre la configuración del sistema es la más optima PT038 para los usuarios (DS9). Nº 05:

08/02/2011

1

08/02/2011

1

08/02/2011

1

08/02/2011 08/02/2011

1 1

31.

PT039

Opinar sobre la razonabilidad de

7

Evaluar si se ha recopilada la PT040 información de configuración y establecido líneas  base PT041 35. Evaluar si se han PT042 monitoreado y guardado todos los activos 36. Evaluar si se ha verificado y auditado la información de la configuración Verificar si se ha actualizado 37. el repositorio de configuración 34.

PT043

Evaluar si la información es mostrada solo a los usuarios que tengan acceso a dicha PT044 información (DS11). Nº 05: PT045

Opinar sobre la razonabilidad de 38.

39.

40.

41.

42.

Evaluar  procesan completamente Evaluar mostrados son los que se requerimientos Evaluar crítica se encuentra oculta de tienen acceso a tal información Evaluar  procedimiento de respaldo. Evaluar  procedimiento de restauración

si

los datos se PT046

si los resultados definieron en los si la información las personas que no si

existe

un

si

existe

un PT047

PT048

Evaluar si el plan para las nuevas adquisiciones cumple con todos los requerimientos que han solicitado los usuarios PT049 PT050 (AI3). Nº 05: Opinar sobre la razonabilidad de 43.

Evaluar si Existe un plan de adquirir, implementar y mantener la infraestructura tecnológica. 44. Evaluar el plan de

8

 presupuesto para la adquisición de nuevas tecnologías. Evaluar la estrategia y el plan 45. de mantenimiento de la infraestructura que garantiza que se controlan los cambios. 46. Evaluar si Existe una revisión  periódica contra las necesidades del negocio, administración de parches, riesgos y requerimientos de seguridad. Evaluar las guías del usuario. (Manual de usuario) para verificar si contienen las ayudas necesarias para interactuar con el sistema (AI4). Nº 05: Opinar sobre la razonabilidad de

47.

Evaluar si se encuentra identificados y documentados todos los aspectos técnicos? la capacidad de operación y los niveles de servicio requeridos. Evaluar si se ha entrenado a 48. los usuarios finales, realizado manuales de usuario. 49. Verificar si existe ayuda en línea Evaluar si el personal de 50. soporte técnico está capacitado.