Embed Size (px)
DESCRIPTION
Ejemplo de programas para una auditoría de sistemas
Citation preview
GRUPO INDITEX (ZARA), S.A. DE C.V.
PROGRAMA DE AUDITORÍA DE SISTEMAS
I – OBJETIVO GENERAL
Evaluar los sistemas, controles y procedimientos empleados por Grupo Inditex,
para el examen de la seguridad, confiabilidad, confiablidad y oportunidad de la
información que se maneja a través de los Sistemas de Información, y que los
flujos de información que se procesan contengan los datos necesarios para cada
usuario con el fin que se logre eficiencia y eficacia en la toma de decisiones.
CORR II - PROCEDIMIENTOSREF.
P/T
HECHO
POR
Objetivo 1.
Evaluar la seguridad en el área informática con
respecto a los sistemas de información y
equipos de cómputo.
Procedimientos
1. Realizar una cedula donde se verifique si la
empresa cuenta con políticas que regulen
las instalaciones donde se encuentran los
equipos de informáticos, determinando que
estas sean las adecuadas para la protección
de los equipos.
PRC1-1 WEFB
2. Determinar que la empresa cuente con un
croquis de los cables utilizados para la red
de los equipos y de las instalaciones
eléctricas y que estos estén en un lugar
PRC1-2 WEFB
PGR-1
CORR II - PROCEDIMIENTOSREF.
P/T
HECHO
POR
adecuado, y que proporcione la seguridad
para los equipos y para las personas que los
manipulan.
3. Determinar que la empresa cuente con las
licencias de los sistemas que utiliza para una
mejor seguridad de los mismos y de la
información que se procesa.
PRC1-3 WEFB
4. Determinar si se cuenta con sistemas anti
malware (software maliciosos) para proteger
los sistemas, equipos e información con los
que cuenta la empresa.
PRC1-4 WEFB
5. Determinar que la empresa cuente con
manuales para la utilización de los equipos y
de los sistemas, determinar el grado de
eficiencia de los usuarios y medir el grado de
seguridad de la información.
PRC1-5 WEFB
PGR-2
CORR II - PROCEDIMIENTOS
REF.
P/T
HECHO
POR
Objetivo 2.
Opinar sobre la utilización de los recursos
informáticos (sistemas informáticos y equipos
de cómputo), con que cuenta Grupo Inditex
(Zara)
Procedimientos
1. Indagar el uso de los recursos informativos y
recomendar a la alta gerencia anomalías
encontradas.
PRC2-1 MATR
2. Verificar que los equipos informáticos estén
en condiciones adecuadas para desarrollar
los procedimientos de trabajo.
PRC2-2 MATR
3. Que los equipos de computo no se
sobrecarguen con respecto al tiempo de uso.PRC2-3 MATR
4. Que la base de datos este resguardada ante
un siniestroPRC2-4 MATR
5. Recomendar mantenimientos preventivas en
la intalacion del centro informatico.PRC2-5 MATR
CORR II - PROCEDIMIENTOSREF.
P/T
HECHO
POR
Objetivo 3.
Participar en el desarrollo de nuevos sistemas
informáticos a emplear en Grupo Inditex.
Procedimientos
1. Verificar si existen proyectos de inversión en
sistemas informáticos y si existen políticas
que regulen los procesos que se deben seguir
para determinar que se debe comprar.
PRC3-1 PAGL
2. Comprobar que los nuevos sistemas y
equipos de cómputo adquiridos, cumplan con
todos sus aspectos legales y con las políticas
de Grupo Inditex.
PRC3-2 PAGL
3. Confirmar que los sistemas adquiridos sean
originales, para que los mismos funcionen
correctamente en los equipos informáticos
necesarios.
PRC3-3 PAGL
4. Evaluar los procesos de compra que se llevan
a cabo, tanto de las licencias de sistemas
informáticos como de los equipos de cómputo
que se necesitan dentro de la entidad.
PRC3-4 PAGL
PGR-3
CORR II - PROCEDIMIENTOSREF.
P/T
HECHO
POR
Objetivo 4.
Controlar las modificaciones de las aplicaciones
existentes.
Procedimientos
1. Verificar que los cambios a los sistemas
tengan los permisos adecuados.PRC4-1 MATR
2. Determinar que los cambios tengan la
finalidad de mejorar el rendimiento del
sistema.
PRC4-2 MATR
3. Verificar que los cambios realizados mejoren
fallas existentes.PRC4-3 MATR
4. Verificar quien es la persona encargada de
dar mantenimiento y hacer cambios en los
sistemas.
PRC4-4 MATR
PGR-4
CORR II - PROCEDIMIENTOSREF.
P/T
HECHO
POR
Objetivo 5.
Evaluar la Suficiencia en los planes de
Contingencia.
Procedimientos
1. Consultar con los encargados de informática,
si se cuenta con contratos de seguros, que
ayuden a preveer cualquier siniestro con los
equipos informáticos.
PRC5-1 WEFB
2. Verificar los procesos de respaldo de
información que se manejan en los sistemas.PRC5-2 WEFB
3. Comprobar el respaldo de la información y la
forma en que se puede recuperar en caso de
fallo de los sistemas de información.
PRC5-3 WEFB
4. Controlar que como Grupo Inditex tengan
planes estratégicos, que proporcionen
soluciones en caso de fallas de los sistemas
informáticos.
PRC5-4 WEFB
PGR-5
CORR II - PROCEDIMIENTOSREF.
P/T
HECHO
POR
Objetivo 6.
Evaluar los procesos llevados a cabo para la
creación y alimentación de información de la base
de datos.
Procedimientos
1. Verificar con los usuarios de los sistemas los
permisos que cada uno de ellos tiene conforme
el cargo que desempeña dentro de Grupo
Inditex.
PRC6-1 PAGL
2. Entrevistar a 3 usuarios que cuenten con
permiso de modificar información, y verificar
que en efecto cumple con los permisos.
PRC6-2 PAGL
3. Verificar mediante 3 usuarios que tengan
permisos solo para consultar información, y así
determinar que solamente puede consultar
pero no modificar ningún dato de la base de
datos.
PRC6-3 PAGL
4. Consultar a los usuarios quienes tienen
permiso de eliminar datos, y verificar con dos
de ellos que en efecto lo puedan llevar a cabo.
PRC6-4 PAGL
PGR-6
ELABORACION BORRADOR DE INFORME.
1- Concluido el examen y analizados los resultados, preparemos el borrador
del informe.
2-Una vez concluido el borrador del informe deberá presentarse a discusión
3- De existir correcciones al informe después de la discusión con el auditado
estas deberán incorporarse al mismo y proceder a remitir el informe
definitivo al Auditado.
IV - ELABORACION DE CARPETAS DE PAPELES DE TRABAJO (P/T)
1- Elaboremos la cedula de INCIDENCIAS donde resuma los hallazgos
determinados en la auditoria.
2- Elaboremos las cedulas que considere necesarias para sustentar el
resultados de la ejecución de los procedimientos.
3- Utilice la referenciación cruzada para relacionar la información contenida
en la cedula de observaciones y el programa con los papeles de trabajo.
V- CONCLUSION
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
Elaborado por Paola Alejandra Garcia.
F.____________________________ Fecha: mayo/2015
Supervisado: Marvin Alexander Telule Rivas
F_____________________________
