PLAN DE TRABAJO

Para efectuar la Auditora de Sistemas en ______________________________________, se realizar un Plan de Trabajo de acuerdo a las ltimas normas de control interno para sistemas computarizados publicadas en el diario oficial EL PERUANO. 1. Recoleccin de Informacin y verificacin del cumplimiento del numeral 500-01: Organizacin del rea de Informtica. 1.1 Solicitar el Organigrama y el MOF del rea de informtica. 1.2 Revisar si se cumple con la estructura bsica recomendada para cumplir con sus objetivos. 1.3 Determinar las razones en caso de incumplimiento de la norma. 1.4 Anlisis de la informacin para elaborar conclusiones y recomendaciones que permitan mejorar la situacin actual. 2. Verificacin del cumplimiento del numeral 500-02: Plan de Sistemas de Informacin. 2.1 Solicitar el plan de sistemas de Informacin. 2.2 Verificar si el plan contiene: - Diagnostico del la situacin informtica actual con la finalidad de saber las capacidades actuales de la entidad. - Elaboracin de objetivos y estrategias del sistema de informacin que sirva de base para apoyar la misin y los objetivos de la entidad. - Desarrollo del modelamiento de datos para determinar que informacin es necesaria para la entidad. - Generacin, Ordenamiento y Priorizacin (por nivel de importancia e inversin) sistemtica de los proyectos informaticos. - Programacin de los tiempo requeridos para la puesta en marcha de los proyectos designados, estimando el periodo de vida de cada proyecto. 2.3 Determinar razones en caso de que se incumpla la norma. 2.4 Elaborar conclusiones y recomendaciones para mejorar la situacin actual. 3. Chequeo del cumplimiento del numeral 500-03 controles de datos fuente de operacin y de salida. 3.1 solicitar los perfiles de seguridad de los usuarios. 3.2 Revisar que los usuarios tengan privilegios de acuerdo a sus funciones. 3.3 Solicitar los procedimientos de operacin. 3.4 Verificar que dichos procedimientos estn estandarizados y formalizados. 3.5 Verificar que existan controles que protejan la integridad y adecuado uso de la informacin. 3.6 Buscar razones en caso de incumplimiento de la norma. 3.7 Elaborar conclusiones y recomendaciones para mejorar la situacin actual.

4. Verificacin del cumplimiento del numeral 500-04 Mantenimiento de los equipos de computacin. 4.1 Solicitar plan de mantenimiento de equipos, contratos con alguna empresa y facturas y/o rdenes de compra o de servicios de las reparaciones o mantenimientos. 4.2 Seleccionar una muestra al azar de equipos de computo para revisar el mantenimiento preventivo y correctivo realizado durante el perodo anterior. 4.3 Determinar razones en caso de que no se cumpla con esta norma. 4.4 Elaboracin de conclusiones y recomendaciones que permita mejorar la situacin actual. 5. Verificacin del cumplimiento del numeral 500-05: Seguridad de programas de Datos y equipos de cmputo. 5.1 Solicitar los parmetros de seguridad de los sistemas tales como: Relacin de personas con accesos a programas fuentes ( en produccin y desarrollo) Polticas de passwords ( claves de acceso) Polticas para elaboracin y ejecucin del respaldo de informacin, relacin de software para control de actividades, relacin de programas antivirus y poltica de actualizacin. 5.2 Aplicacin de muestra metodologa para determinar la seguridad del sistema de redes implementado en la institucin. 5.3 Examinar la seguridad fsica de los equipos incluyendo el control de acceso fsico al local, alarmas, extinguidores, UPS, Etc. 5.4 Evaluar la informacin y las evidencias recogidas para determinar el grado de seguridad que existe para garantizar la integridad, exactitud y acceso a la informacin que se procesa internamente, 5.5 Elaborar las conclusiones y recomendaciones que permitan mejorar la situacin actual. 6. Verificacin del cumplimiento de numeral 500-06: Plan de contingencia. 6.1 Solicitar el plan de contingencias que permita a la oficina de informatica seguir laborando en un nivel aceptable en caso de una interrupcin de distinta ndole y su fecha de aprobacin. 6.2 Verificar que el plan permita una recuperacin oportuna ante cualquier emergencia y revisar si existe una actualizacin continua del plan. 6.3 Verificar si se ha hecho alguna simulacin con este plan y si se ha difundido entre el personal responsable de su operacin. 6.4 Verificar las razones en caso de existir, que puedan mitigar el cumplimiento en pleno de esta norma. 6.5 Elaborar las conclusiones y recomendaciones que permitan mejorar la situacin actual.

7.

Verificar el cumplimiento del numeral 500-07: aplicacin de tcnicas de Intranet. 7.1 Solicitar la informacin relacionada con las tcnicas de intranet utilizadas. 7.2 Revisar las pautas usadas en una Intranet. a. Instalacin del protocolo de comunicaciones. b. Evaluacin de las funcionalidades del servidor comercial. c. Organizacin de la informacin para determinar que informacin estar en la Intranet. d. Software para la manipulacin de la informacin dentro de la Intranet. e. Conexin a la base datos que organiza la documentacin. 7.3 En caso de incumplimiento de la norma identificar las razones por las que no se cumple. 7.4 Elaborar las conclusiones y recomendacin que permitan mejorar la situacin actual. 8. Verificacin del cumplimiento del numeral 500-08: gestin ptima de software adquirido a medida, por la entidad. 8.1 Solicitar las polticas aprobadas por la institucin sobre el software a medida adquirido por la entidad. 8.2 Verificar que dichas polticas incluyan medidas para que el software a medida adquirido no pueda ser re-utilizado indebidamente por el proveedor original mediante el registro de los derechos de propiedad a nombre de la institucin. 8.3 Verificar si existe algn proyecto o convenio para compartir software adquirido por otras instituciones. 8.4 Identificar razones en caso de existir que impidan el cumplimiento pleno de esta norma. 8.5 Elaborar las conclusiones y recomendaciones que permitan mejorar la situacin actual.

9.

Evaluacin de controles de los sistemas: la calidad y la facilidad de operacin. 9.1 Solicitar a la oficina de informtica los controles de cada sistema que detecte errores, prevengan acceso no autorizado y mal uso de la informacin y de los equipos de computo. En caso de existir y evaluar cada uno de ellos. 9.2 Evaluar algunos aspectos crticos de los sistemas como procedimiento de respaldo, recuperacin de informacin en situaciones de desastre, etc. 9.3 Observacin y evaluacin de los sistemas en cuanto a ayudas permanentes en lnea, tiempo de respuesta, consumo de recursos de computo, facilidad de manejo, interfase con el usuario, cumplimiento de objetivos, etc. 9.4 Elaborar conclusiones y recomendaciones que permitan mejorar la situacin actual.