XYZ SOCIEDAD CIVIL SOCIEDAD DE AUDITORIA

EMPRESA AGROINDUSTRIAL CAMPOSOL

(Superintendencia de cosecha y proyecciones)

PROGRAMA DE AUDITORIA

(Eenro-Febrero:2011)
El presente programa de auditora, se ha elaborado tomando como referencia los puntos considerados en los objetivos planteados en las Bases del Concurso Pblico de Mritos N 032007-CG para auditar a la empresa camposol S.A. y el enfoque y metodologa presentado en la propuesta tcnica; desarrollndose procedimientos de auditora para cada objetivo; considerando las siguientes normas vigentes: Normas Internacionales de Auditora (NIA), Ley N 26887(Ley de Sociedades), ISO 27002 (ex-ISO 17799) normas de buenas prcticas y Cobit 4.0. I.- OBJETIVOS GENERALES Y ESPECFICOS ESTABLECIDOS EN LAS BASES:

Objetivo General. Evaluar la fiabilidad del Sistema de proyecciones usada en la superintendencia de cosecha y proyecciones de la empresa Campo sol S.A Objetivos Especficos. Evaluar si el plan estratgico est alineado con las reglas del negocio (PO1). Evaluar si los trminos usados en el sistema estn bien definidos en el diccionario de datos (PO2). Evaluar si el plan de adquisicin de infraestructura tecnolgica estn alineados con los requerimientos del usuario (PO3). Evaluar si existe un plan de capacitacin para los usuarios del sistema de proyecciones (PO7). Evaluar si el manual de organizacin y funciones est alineado especficamente con los puestos de trabajo (PO7). Evaluar si el presupuesto anual para la adquisicin de tecnologas de informacin satisface las adquisiciones programadas (DS6). Evaluar si el plan de contingencia garantiza la continuidad del sistema ante posibles fallas (DS4). Evaluar si se cumples el plan sobre los procesos de seguridad del sistema. (DS5)

XYZ SOCIEDAD CIVIL SOCIEDAD DE AUDITORIA

Evaluar si la documentacin sobre la configuracin del sistema es la ms optima para los usuarios (DS9). Evaluar si la informacin es mostrada solo a los usuarios que tengan acceso a dicha informacin (DS11). Evaluar si realiza copias de respaldo y restauracin de la informacin del sistema (DS11). Evaluar si el plan para las nuevas adquisiciones cumple con todos los requerimientos que han solicitado los usuarios (AI3). Evaluar las guas del usuario. (Manual de usuario) para verificar si contienen las ayudas necesarias para interactuar con el sistema (AI4) Evaluar el estado de los componentes de hardware. Evaluar la vulnerabilidad de los activos de la empresa. (Acceso a ambientes, equipos). Evaluar la continuidad del sistema de proyecciones ante fallas. Minimizar existencias de riesgos en el uso de Tecnologa de informacin Analizar la gestin del cambio en usuarios y el sistema de proyecciones.

II.- ALCANCE DEL EXAMEN.El alcance de nuestro examen comprender la evaluacin del Sistema de proyecciones de la Empresa Campo sol S.A. y aspectos de importancia como parte de la auditora que se han precisado en los objetivos descritos precedentemente, aplicando para el efecto las Normas Internacionales de Auditora (NIA), criterios, metodologa y orientaciones contenidas en la gua de COBIT 4.0 y el estndar ISO 27002, y normas complementarias emitidas por la empresa. III.- PERSONAL PROPUESTO: El personal encargado de la ejecucin del examen cuyas horas estimadas est detallado en la etapa preliminar, trabajo de campo y elaboracin de informes del cronograma de ejecucin del Plan de Auditora. El personal es el siguiente:

XYZ SOCIEDAD CIVIL SOCIEDAD DE AUDITORIA

N 1 2 3 4 5 6 7 8

Nombres y Apellidos Ral Aguilar Vargas Chuquilin Delgado Fredy Ruiz Mendoza Diego Roca Angulo Julio Malca Bravo Diego Burgos Meja Ramiro Clodomiro Mariela Anglica cruzado Fernndez Magan Quezada Omar

Cargo en la Comisin Supervisor Jefe de Equipo Auditor de Sistemas de Informacin Auditor de Sistemas de Informacin Auditor de Sistemas de Informacin Auditor de Sistemas de Informacin Asistente Especialista analista en proyecciones

IV.- PROCEDIMIENTOS A SER APLICADOS.Los procedimientos para cada objetivo a ser aplicado en la revisin y examen del Sistema de proyecciones de la empresa Campo Sol S.A., se presentan a continuacin:
Ref. P.T. Hecho Por Fecha De Term. Hora s Tota l

PROCEDIMIENTOS DE AUDITORIA

EVALUACION DEL PROCESO DE DEFINIR UN PLAN ESTRATGICO DE TI.

Evaluar si el plan estratgico est alineado con las reglas del negocio (PO1).N 01:
Opinar sobre la razonabilidad de

1. 2.

3.

4. 5.

6. 7.

Evaluar Las directivas y procedimientos del plan estratgico son claros? Las directivas y procedimientos del plan estratgico estn bien alineadas con el negocio cumpliendo el requerimiento de negocio de TI? Existe algn seguimiento a los objetivos trazados en el plan estratgico del negocio en el rea de TI? Se ha creado un equipo de respuesta a incidencias? el equipo de respuestas de incidencias ha desarrollado y documentado procesos eficaces para afrontar las incidencias de seguridad? El equipo de respuesta de incidencias realiza el seguimiento de los objetivos? Todas las incidencias se

PT01

F.C.D

04/02/2011

PT02

F.C.D

04/02/2011

PT03 PT04 PT05

F.C.D F.C.D F.C.D

04/02/2011 0.2 04/02/2011 1 04/02/2011 0.5

PT06 PT07

F.C.D F.C.D

04/02/2011 04/02/2011

1 1

XYZ SOCIEDAD CIVIL SOCIEDAD DE AUDITORIA

investigan hasta que se identifica la causa principal y se resuelven los problemas?

Evaluar si los trminos usados en el sistema PT08 estn bien definidos en el diccionario de datos (PO2).N 02:
Opinar sobre la razonabilidad de PT08 F.C.D 04/02/2011 1

F.C.D

04/02/2011 04/02/2011

1 1

8.

Evaluar si Existe un PT08 F.C.D diccionario de datos empresarial y reglas de sintaxis de datos. 9. Evaluar si Existe alguna PT09 F.C.D propiedad de la clasificacin los niveles de datos. PT09 F.C.D 10. Evaluar Existe alguna propiedad de la clasificacin de los niveles de acceso y "defaults". 11. Evaluar si Se utiliza algn proceso para mantener actualizados el diccionario de datos. 12. Evaluar si Se utiliza algn PT013 D. M. B proceso para mantener actualizados las reglas de PT014 D. M. B sintaxis de datos.

05/02/2011 05/02/2011

1 1

05/02/2011 05/02/2011

1 1

Evaluar si el plan de adquisicin de infraestructura tecnolgica estn alineados con los requerimientos del usuario (PO3). N PT015 D. M. B 05/02/2011 03:
Opinar sobre la razonabilidad de

13.

Evaluar si Existe un plan de adquisicin de infraestructura tecnolgica. 14. Evaluar si Los planes de adquisicin de software suelen satisfacer las necesidades identificadas en el plan de infraestructura tecnolgica. 15. Evaluar si Los planes de PT016 D. M. B 05/02/2011 adquisicin de hardware suelen satisfacer las necesidades identificadas en el plan de infraestructura PT017 D. M. B 05/02/2011 tecnolgica.
Evaluar si existe un plan de capacitacin para los usuarios del sistema de proyecciones (PO7). N 04:
PT018 D. M. B 05/02/2011

XYZ SOCIEDAD CIVIL SOCIEDAD DE AUDITORIA

Opinar sobre la razonabilidad de

16.

Evaluar si Se utilizan criterios para reclutar y seleccionar personal para cubrir posiciones vacantes. 17. Evaluar si La administracin y los empleados aceptan el proceso de competencia PT019 D. M. B 05/02/2011 1 06/02/2011 del puesto. 18. Evaluar si La administracin PT020 D. M. B 05/02/2011 1 est comprometida con el entrenamiento y el desarrollo profesional de sus empleados.

Evaluar si el manual de organizacin y funciones est alineado especficamente con los puestos de trabajo (PO7). N 05:
Opinar sobre la razonabilidad de

06/02/2011 PT021 D. R. M 05/02/2011

1 1 1

19.

Evaluar si Existen 05/02/2011 1 descripciones de puestos, y que stas sean revisadas y PT023 D. R. M 05/02/2011 1 07/02/2011 se mantienen actualizadas. 20. Evaluar si El personal de seguridad de la informacin ha recibido el PT024 D. R. M 05/02/2011 1 entrenamiento apropiado en procedimientos y tcnicas de seguridad
Evaluar si el plan de contingencia garantiza la continuidad del sistema ante posibles fallas (DS4). N 05:
Opinar sobre la razonabilidad de

PT022 D. R. M 06/02/2011

07/02/2011 PT025 D. R. M 06/02/2011 07/02/2011 PT026 D. R. M 06/02/2011 07/02/2011 PT027 D. R. M 07/02/2011 06/02/2011 PT028 D. R. M 0602/2011

1 1 1 1 1

21.

Evaluar si Existe un plan de recuperacin para caos de desastres/contingencia. 22. Evaluar si Hay una priorizacin de las aplicaciones con respecto a los tiempos de recuperacin de fallos. 23. Evaluar si Se cuenta con una lista de los recursos alternativos como: hardware, perifricos, software. 24. Evaluar si Se cuenta con la inclusin de los planes de reconstruccin para la recuperacin de fallas en el sistema

PT029 D. R. M PT030 D. R. M 06/02/2011 1

07/02/2011 07/02/2011

1 1

XYZ SOCIEDAD CIVIL SOCIEDAD DE AUDITORIA

Evaluar si se cumples el plan sobre los procesos de seguridad del sistema. (DS5). N 05:
Opinar sobre la razonabilidad de

25. 26.

27.

28.

29. 30.

Evaluar si se Se cuenta con un plan de seguridad estratgico. Evaluar si se tiene una organizacin que asegurar el acceso apropiado a los PT031 R. A. J recursos del sistema. Evaluar si se cuenta con perfiles de seguridad de usuario que representen los PT032 R. A. J menos accesos requeridos. Evaluar si se cuenta con reportes de violaciones a la seguridad y PT033 R. A. J procedimientos formales de solucin de problemas. Evaluar si existen estndares de administracin criptogrfica claves de los usuarios. Evaluar si existe una lista de los controles de cambios al software de seguridad

07/02/2011

07/02/2011 07/02/2011

1 1

08/02/2011

08/02/2011

1 1

Evaluar si el presupuesto anual para la PT034 R. A. J 08/02/2011 adquisicin de tecnologas de informacin satisface las adquisiciones programadas PT035 (DS6). N 05:
PT036 Opinar sobre la razonabilidad de 08/02/2011

31.

Evaluar si Existen procedimiento para generar un presupuesto anual para PT037 la funcin de servicios de informacin. 32. Evaluar si Se cuenta con un plan de presupuesto anual de costos de desarrollo y mantenimiento en cuanto a desarrollo, mantenimiento y gastos operacionales 33. Existe un programa de mejora para reducir costos o aumentar el desempeo de los recursos de los sistemas de informacin
Evaluar si la documentacin sobre la configuracin del sistema es la ms optima PT038 para los usuarios (DS9). N 05:
PT039 Opinar sobre la razonabilidad de

08/02/2011

08/02/2011

08/02/2011 08/02/2011

1 1

XYZ SOCIEDAD CIVIL SOCIEDAD DE AUDITORIA

34.

Evaluar si se ha recopilada la PT040 informacin de configuracin y establecido lneas base PT041 35. Evaluar si se han PT042 monitoreado y guardado todos los activos 36. Evaluar si se ha verificado y auditado la informacin de la configuracin 37. Verificar si se ha actualizado el repositorio de configuracin

PT043

Evaluar si la informacin es mostrada solo a los usuarios que tengan acceso a dicha PT044 informacin (DS11). N 05:
Opinar sobre la razonabilidad de PT045

38. 39.

40.

41. 42.

Evaluar procesan completamente Evaluar mostrados son los que se requerimientos Evaluar crtica se encuentra oculta de tienen acceso a tal informacin Evaluar procedimiento de respaldo. Evaluar procedimiento de restauracin

si

los datos se
PT046

si los resultados definieron en los si la informacin las personas que no si si existe existe un un PT047
PT048

Evaluar si el plan para las nuevas adquisiciones cumple con todos los requerimientos que han solicitado los usuarios PT049 PT050 (AI3). N 05:
Opinar sobre la razonabilidad de

43.

Evaluar si Existe un plan de adquirir, implementar y mantener la infraestructura tecnolgica. 44. Evaluar el plan de

XYZ SOCIEDAD CIVIL SOCIEDAD DE AUDITORIA

presupuesto para la adquisicin de nuevas tecnologas. 45. Evaluar la estrategia y el plan de mantenimiento de la infraestructura que garantiza que se controlan los cambios. 46. Evaluar si Existe una revisin peridica contra las necesidades del negocio, administracin de parches, riesgos y requerimientos de seguridad.
Evaluar las guas del usuario. (Manual de usuario) para verificar si contienen las ayudas necesarias para interactuar con el sistema (AI4). N 05:
Opinar sobre la razonabilidad de

47.

Evaluar si se encuentra identificados y documentados todos los aspectos tcnicos? la capacidad de operacin y los niveles de servicio requeridos. 48. Evaluar si se ha entrenado a los usuarios finales, realizado manuales de usuario. 49. Verificar si existe ayuda en lnea 50. Evaluar si el personal de soporte tcnico est capacitado.