Information
-
Titulo
-
Fecha
-
Personal Auditado
-
Ubicación
-
Empresa Auditada
-
Grupo Auditado
-
Firma auditado
-
Empresa Auditora
-
Grupo Auditor
-
Personal Auditor
-
Firma del auditor
Introducción
-
Origen de la Auditoria:
Solicitud interna realizada por el presidente de la Compañía. -
Objetivos:
El objetivo de esta auditoría es la de determinar los procesos que son realizados por el área de sistemas al momento de la creación de su plan estratégico para relacionarlos con los objetivos del negocio y su desarrollo para ofrecer herramientas eficaces y eficientes para apoyar los procesos de SisteMuebles S.A. que lleven a cumplir los objetivos estratégicos establecidos en el plan Estratégico. -
Puntos a evaluar
Los procesos que se evaluarán son los siguientes:
Código Proceso
PO10 Administrar Proyectos
AI2 Adquirir y mantener software aplicativo
AI5 Adquirir Recursos TI
DS12 Administrar el ambiente físico
ME4 Proporcionar gobierno de TI -
Herramientas a Utilizar:
Encuestas
cuestionarios
Entrevistas
Listas de chequeo
PO10 Administrar proyectos
-
¿Existe una definición clara y documentada de cada proyecto, cronograma, costos, alcance, calidad del proyecto?
-
¿Como es esa definición?
-
Evidencia
-
¿Cada proyecto aprobado, obtiene los recursos y el apoyo necesario por parte de toda la organización?
-
¿Como se obtiene estos recursos para cada proyecto?
-
Evidencia
-
¿Los avances de los proyectos son medidos?
-
¿Cómo se miden los avances en los proyectos?
-
Evidencia
-
¿La utilización de los recursos se realiza de manera adecuada?
-
¿Cómo se asegura esta utilización adecuada los recursos?
-
Evidencia
-
¿Los riesgos de cada proyecto se identifican efectivamente, así como los mecanismos que minimizan estos riesgos?
-
¿De que manera se identifican?
-
Evidencia
AI2 Adquirir y mantener software aplicativo
-
¿Las aplicaciones que han utilizado satisfacen las necesidades dentro de la organización?
-
¿De que manera o a que grado satisfacen las necesidades?
-
Evidencia
-
¿Existen políticas de seguridad definidas bajo algún estándar ya sea nacional o internacional?
-
¿Cuales políticas de seguridad?
-
Evidencia
-
¿Existe algún plan para el mantenimiento/actualización de las aplicaciones de software?
-
¿Explique brevemente el plan?
-
Evidencia
-
¿Ya se tienen identificadas las necesidades del negocio y los módulos con lo cuales se solucionan?
-
¿Que necesidades y que soluciones?
-
Evidencia
-
¿Se realiza desarrollo de software por algún área específica de la empresa?
-
¿Por cual área y de que manera?
-
Evidencia
AI5 Adquirir recursos de TI
-
¿Al momento de la adquisición de nuevos recursos de TI, la empresa cuentan con asesoramiento legal?
-
¿Qué tipo de asesoramiento?
-
Evidencia
-
¿Se realiza algún tipo de capacitación, al momento de adquirir un nuevo recurso en TI?
-
¿Como es este tipo de capacitación?
-
Evidencia
-
¿Existe un área encargada de administrar los cambios de TI?
-
¿Cual es el área encargada y cree que cuenta con el suficiente personal para esta gestión?
-
Evidencia
DS12 Administrar el ambiente físico
DS12.1 Selección y Diseño del Centro de Datos
-
¿De qué manera se almacena los datos?
-
¿Existe algún respaldo para los datos físicos y electrónicos? SI/NO/NS
-
¿Qué tipo de respaldo?
DS12.2 Medidas de Seguridad Física
-
¿Se protege de manera física a los servidores e instalaciones de la organización?
-
¿Cómo se protege?
DS12.3 Acceso Físico
-
¿El acceso físico a las diferentes áreas en la empresa se encuentra controlado y/o restringido?
-
¿Se tiene un plan de evacuación en la empresa?
DS12.4 Protección Contra Factores Ambientales
-
¿Cuenta con dispositivos para monitorear el ambiente y alertar en caso de un desastre natural (terremotos, maremotos, incendios)?
-
¿Con qué dispositivos cuenta?
DS12.5 Administración de Instalaciones Físicas
-
¿Se cuenta con un plan de respaldo por si las comunicaciones o la energía eléctrica falla?
-
¿Qué plan de respaldo?
Anexos DS12
-
Evidencias
ME4 Proporcionar gobierno de TI
ME4.1 Establecimiento de un Marco de Gobierno de TI
-
¿Se tiene definido un marco de Gobierno de TI?
-
¿Se está asegurando el cumplimiento con las leyes y regulaciones?
ME4.2 Alineamiento Estratégico
-
¿Se encuentra alineada el área de TI con el negocio en lo referente a estrategias y objetivos?
-
¿Existe conocimiento por parte del negocio sobre la contribución potencial de TI a la estrategia del negocio?
ME4.3 Entrega de Valor
-
¿Se lleva a cabo la administración del portafolio, programas y proyectos de TI?
-
¿Como se lleva a cabo?
ME4.4 Administración de Recursos
-
¿Se administra y se revisa la inversión, uso y asignación de los activos de TI?
ME4.5 Administración de Riesgos
-
¿Se encuentra definido el nivel de riesgo de TI aceptable por la empresa?
-
¿Se utilizan prácticas de administración de riesgos?
-
¿Qué prácticas se están usando?
ME4.6 Medición del Desempeño
-
¿Se informa periódicamente el desempeño de TI con respecto a los objetivos y metas (alcanzados y no alcanzados)?
-
¿Se cuenta con acciones correctivas de gerencia para hacerle frente a los objetivos y metas no alcanzados?
ME4.7 Aseguramiento Independiente
-
¿Se garantiza la conformidad de TI con la legislación, políticas de la organización, prácticas generalmente aceptadas y la efectividad y eficiencia del desempeño de TI?
Anexos
-
Evidencia