Plan De Auditoria

PLAN DE AUDITORIA

REFERENCIA : EVALUACIÓN DE LOS CONTROLES GENERALES EN SISTEMAS DE LA EMPRESA “INNOVACIÓN ALIMENTICIA (INNOVAL)”

PERIODO DE REVISION : MARZO 2012 – MARZO 2013

1. OBJETIVOS

1.1 Objetivo general de la evaluación

El objetivo de la auditoria es evaluar el diseño y los controles generales de los procesos y servicios de tecnología de la información (TI) de la empresa “Innovación Alimenticia (INNOVAL) y determinar el grado de eficacia de los mismos. Adicionalmente se emitirán recomendaciones que permitan mejorar la eficacia de gestión de riesgos de tecnología de la información.

• Existencia, suficiencia y cumplimiento de políticas y procedimientos para la administración de inversiones en tecnología de información.

• Gestión de gastos, costos y presupuestos de TI.

• Planeamiento y gestión de la infraestructura tecnológica de la empresa.

• Gestión de los procesos / servicios a cargo del área de Tecnología de la Información.

• Personal contratado y personal clave. Servicios de TI por cuenta de terceros.

• Administración de la calidad.

• Procesos de control para el desarrollo, prueba y pase a producción de los sistemas.

2. ALCANCE

1.2 Alcance de la evaluación

El alcance de la presente auditoría comprende la revisión de los procedimientos de control asociados, principalmente, con los siguientes procesos:

• Metodologías, políticas y procedimientos.

• Gestión de proyectos.

• Desarrollo y mantenimiento de aplicaciones.

• Implementación de aplicaciones.

• Controles y segregación de funciones en todo el ciclo de vida de las aplicaciones:

• Identificación de necesidad de negocio.

• Formulación del requerimiento de desarrollo/mantenimiento.

• Especificación funcional.

• Control del cambio entre ambientes y accesos del personal de la empresa y proveedores a dichos ambientes

• Certificación de aplicaciones y sistemas. Niveles de pruebas (unitarias, de integración y de aceptación del usuario).

• Aseguramiento de la calidad y seguridad (identificación de código malicioso, evasión de controles y/o políticas y/o reglas de negocios, entre otros).

• Implementación en el ambiente de producción.

• Mantenimiento correctivo/upgrade.

• Grado de participación del área encargada de la Seguridad de la Información en el desarrollo de proyectos y cambios críticos.

• Planes y programas de Continuidad de Negocio de TI.

3. PROCEDIMIENTOS DE AUDITORIA

Los procedimientos que se aplicarán son los siguientes:

• Conocimiento de la Estructura Organizacional de la empresa.

• Entrevistas con los gerentes a cargo de las áreas de Logística, Finanzas, Gestión de Personal y de Tecnología de la Información.

• Entrevistas con personal del área de Tecnología de la Información (encargados del desarrollo de aplicaciones, de los pases a producción, de la administración de servidores, de las comunicaciones, etc.)

• Revisión del Plan Estratégico de la empresa y del Plan Estratégico del área de Tecnología de la Información.

• Obtener información de las Metodologías, Políticas y procedimientos para la gestión de proyectos de tecnología de la información.

• Obtener información de estándares utilizados en el área de Tecnología de la Información para las tareas de desarrollo y producción.

• Obtener información sobre Políticas y Procedimientos para la gestión de la seguridad de la información de la empresa.

• Obtener información sobre

...