AUDITORIA Y EVALUACIÓN DE SISTEMAS

INFORME DE AUDITORIA A REALIZAR

PARTE I. Estudio global de la entidad y del procesamiento de la

información

a) Estudio Global
• Empresa, Ubicación, Razón Social, Misión, Visión, Objetivos
• Estructura Organizacional
 Diagrama de la estructura física (Fotos)
 Descripción de las áreas que componen la empresa/entidad
 Organigrama
 Nombre, cargo y funciones básicas del personal
• Bienes o servicios que produce la empresa/entidad, mercado, competencia y
principales proveedores

b) Estudio del procesamiento de datos

• Características técnicas de los equipos (PCs, UPS, Servidores, Routers,
Switchs, Impresoras, etc.)
• Red de cómputo (Topología, Cableado, etc.) / Sistema Servidor
• Diagrama de la distribución física de los equipos y la red
• Descripción del Software empleado
 Software del sistema (sistemas operativos)
 Software ofimática
 Sistemas de información / Aplicaciones en uso
• Descripción de la(s) Base(s) de Datos utilizada(s)
• Personal que realiza el procesamiento de la información y sus funciones básicas
en cuanto al procesamiento.

c) Información adicional y evaluación

• Descripción de las Normas encontradas (manuales de funciones, reglamentos,
etc.)
• Descripción de las Técnicas utilizadas para reunir la información
• Evaluación personal acerca del estado de los sistemas de información en el
área/empresa escogida donde tenga en cuenta que estado de sistematización de
los procesos y las áreas/procesos susceptibles de sistematizar.

1
AUDITORIA Y EVALUACIÓN DE SISTEMAS
INFORME DE AUDITORIA A REALIZAR

PARTE II. Aplicación de procedimientos de AUDITORIA

Cada grupo deberá realizar las siguientes actividades dentro de la Empresa / Área que
escogió para trabajar.

1. Diseñar y ejecutar un papel de trabajo con un cuestionario relacionado con la plataforma

informática. En el cuestionario incluir como mínimo 4 preguntas de carácter abierto y 4
preguntas de tipo checklist. Procure plantear preguntas coherentes con la actividad
desarrollada.

2. Ejecutar el siguiente cuestionario:

2.1 Existen normas y procedimientos escritos sobre el funcionamiento de los servicio informáticos?
SI ( ) NO ( ) N/A ( )
Observaciones: _____________________________________________________________
_____________________________________________________________

2.2 El Servicio de informática está separado del resto de los departamentos?

SI ( ) NO ( ) N/A ( )
Observaciones: _____________________________________________________________
_____________________________________________________________

2.3 El personal del área participa en funciones de análisis y desarrollo de aplicaciones ?

SI ( ) NO ( ) N/A ( )
Observaciones: _____________________________________________________________
_____________________________________________________________

2.4 Existe un documento descriptivo acerca de las funciones y responsabilidades del personal ?
SI ( ) NO ( ) N/A ( )
Observaciones: _____________________________________________________________
_____________________________________________________________

2.5 El personal del área conoce perfectamente cuáles son sus funciones y responsabilidades?
SI ( ) NO ( ) N/A ( )
Observaciones: _____________________________________________________________
_____________________________________________________________

2.6 Es imposible que los operadores accedan a programas y datos no necesarios para su trabajo ?
SI ( ) NO ( ) N/A ( )
Observaciones: _____________________________________________________________
_____________________________________________________________

2.7 Se rotan las actividades de trabajo del personal del área?

2
AUDITORIA Y EVALUACIÓN DE SISTEMAS
INFORME DE AUDITORIA A REALIZAR

SI ( ) NO ( ) N/A ( )
Observaciones: _____________________________________________________________
_____________________________________________________________

2.8 Existe personal con conocimientos y experiencia suficiente para la ejecución del trabajo relacionado con el
área?
SI ( ) NO ( ) N/A ( )
Observaciones: _____________________________________________________________
_____________________________________________________________

2.9 Existen procedimientos adecuados para mantener la documentación al día?

SI ( ) NO ( ) N/A ( )
Observaciones: _____________________________________________________________
_____________________________________________________________

2.10 Tienen manuales de todas las aplicaciones?

SI ( ) NO ( ) N/A ( )
Observaciones: _____________________________________________________________
_____________________________________________________________

2.11 Existen controles que garanticen el uso adecuado de los recursos informáticos?
SI ( ) NO ( ) N/A ( )
Observaciones: _____________________________________________________________
_____________________________________________________________

2. 12 Al poner en funcionamiento las nuevas aplicaciones o versiones actualizadas, ¿ funcionan en paralelo las
existentes durante un cierto tiempo?
SI ( ) NO ( ) N/A ( )
Observaciones: _____________________________________________________________
_____________________________________________________________

2.13 Existe personal con los conocimientos y experiencia adecuados que revise con periodicidad los
componentes físicos de los equipos de cómputo?
SI ( ) NO ( ) N/A ( )
Observaciones: _____________________________________________________________
_____________________________________________________________

2.14 Se cumplen las condiciones ambientales (temperatura/iluminación/humedad etc) en el sitio donde está
ubicada la plataforma informática ?
SI ( ) NO ( ) N/A ( )
Observaciones: _____________________________________________________________
_____________________________________________________________

2.15 Existen controles apropiados para que sólo las personas autorizadas tengan acceso a los equipos e
información?
SI ( ) NO ( ) N/A ( )
3
AUDITORIA Y EVALUACIÓN DE SISTEMAS
INFORME DE AUDITORIA A REALIZAR

Observaciones: _____________________________________________________________
_____________________________________________________________

3. Ejecutar el siguiente cuestionario:

3.1 ¿Se han adoptado medidas de seguridad en el departamento de sistemas?

SI ( ) NO ( ) N/A ( )

3.2. ¿Existe una persona responsable de la seguridad?

SI ( ) NO ( ) N/A ( )

3.3. ¿Se ha dividido la responsabilidad para tener un mejor control de la seguridad?

SI ( ) NO ( ) N/A ( )

3.4. ¿Existe personal de vigilancia en la institución?

SI ( ) NO ( ) N/A ( )

3.5. ¿La vigilancia se contrata?

a) Directamente ( )
b) Por medio de empresas que venden ese servicio ( )

3.6. ¿Existe vigilancia en el departamento de cómputo las 24 horas?

SI ( ) NO ( ) N/A ( )

3.7. ¿Existe vigilancia a la entrada del departamento de cómputo las 24 horas?

a) Vigilante? ( )
b) Recepcionista? ( )
c) Tarjeta de control de acceso? ( )
d) Nadie? ( )

3.8. ¿Se permite el acceso a los archivos y programas a los programadores, analistas y operadores?
SI ( ) NO ( ) N/A ( )

3.9. Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda entrar sin
autorización?
SI ( ) NO ( ) N/A ( )

3.10. El edificio donde se encuentra la computadora esta situado a salvo de:

a) Inundación? ( )
b) Terremoto? ( )
c) Fuego? ( )
d) Sabotaje? ( )

4
AUDITORIA Y EVALUACIÓN DE SISTEMAS
INFORME DE AUDITORIA A REALIZAR

3.11 El centro de cómputo tiene salida directa al exterior?

SI ( ) NO ( ) N/A ( )

3.12 ¿Son controladas las visitas y demostraciones en el centro de cómputo?

SI ( ) NO ( ) N/A ( )

3.13. ¿Se registra el acceso al departamento de cómputo de personas ajenas al departamento?

SI ( ) NO ( ) N/A ( )

3.14 ¿Se vigilan la moral y comportamiento del personal de la dirección de informática con el fin de mantener
una buena imagen y evitar un posible fraude?
SI ( ) NO ( ) N/A ( )

3.15 ¿Existe alarma para

a) Detectar fuego (calor o humo) en forma automática? ( )
b) Avisar en forma manual la presencia del fuego? ( )
c) Detectar una fuga de agua? ( )
d) Detectar magnéticos? ( )
e) No existe ( )

3.16 ¿Existe alarma para detectar condiciones anormales del ambiente?

a) En el departamento de cómputo? ( )
b) En la biblioteca? ( )
c) En otros lados ( )

3.17 ¿La alarma es perfectamente audible?

SI ( ) NO ( ) N/A ( )

3.18 ¿Esta alarma también está conectada?

a) Al puesto de guardias? ( )
b) A la estación de Bomberos? ( )
c) A ningún otro lado? ( )
Otro_________________________________________

3.19. Existen extintores de fuego?

a) Manuales? ( )
b) Automáticos? ( )
c) No existen ( )

3.20. ¿Se ha adiestrado el personal en el manejo de los extintores?

SI ( ) NO ( ) N/A ( )

3.21. ¿Los extintores, manuales o automáticos a base de :

TIPO SI NO
a) Agua, ( ) ( )
b) Gas? ( ) ( )
5
AUDITORIA Y EVALUACIÓN DE SISTEMAS
INFORME DE AUDITORIA A REALIZAR

c) Otros () ()

3.22 ¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores?

SI ( ) NO ( ) N/A ( )

3.23 ¿Los interruptores de energía están debidamente protegidos, etiquetados y sin obstáculos para
alcanzarlos?
SI ( ) NO ( ) N/A ( )

3.24. ¿Saben que hacer los operadores del departamento de cómputo, en caso de que ocurra una emergencia
ocasionado por fuego?
SI ( ) NO ( ) N/A ( )

3.25 ¿El personal ajeno a operación sabe que hacer en el caso de una emergencia (incendio)?
SI ( ) NO ( ) N/A ( )

3.26 ¿Existe salida de emergencia?

SI ( ) NO ( ) N/A ( )

3.27 ¿Esta puerta solo es posible abrirla:

a) Desde el interior ? ( )
b) Desde el exterior? ( )
c) Ambos Lados ( )

3.28 ¿Se revisa frecuentemente que no esté abierta o descompuesta la cerradura de esta puerta y de las
ventanas, si es que existen?
SI ( ) NO ( ) N/A ( )

3.29 ¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de
emergencia?
SI ( ) NO ( ) N/A ( )

3.30 ¿Se ha tomado medidas para minimizar la posibilidad de fuego:

a) Evitando artículos inflamables en el departamento de cómputo? ( )
b) Prohibiendo fumar a los operadores en el interior? ( )
c) Vigilando y manteniendo el sistema eléctrico? ( )
d) No se ha previsto ( )

3.31 ¿Se ha prohibido a la personas del centro de computo el consumo de alimentos y bebidas en el interior del
departamento de cómputo para evitar daños al equipo?
SI ( ) NO ( ) N/A ( )

3.32 Explique la forma como se ha clasificado la información vital, esencial, no esencial etc.

6
AUDITORIA Y EVALUACIÓN DE SISTEMAS
INFORME DE AUDITORIA A REALIZAR

3.33 ¿Se cuenta con copias de los archivos en lugar distinto al de la computadora?
SI ( ) NO ( ) N/A ( )

3.34 Explique la forma en que están protegidas físicamente estas copias (bóveda, cajas de seguridad etc.) que
garantice su integridad en caso de incendio, inundación, terremotos, etc.

3.35 ¿Se tienen establecidos procedimientos de actualización a estas copias?

SI ( ) NO ( ) N/A ( )

3.36 Indique el número de copias que se mantienen, de acuerdo con la forma en que se clasifique la
información:
0 ___ 1 ____ 2 ____ 3 ____

3.37 ¿Existe departamento de auditoria interna en la institución?

SI ( ) NO ( ) N/A ( )

3.38 ¿Este departamento de auditoria interna conoce todos los aspectos de los sistemas?
SI ( ) NO ( ) N/A ( )

3.39 ¿Que tipos de controles ha propuesto?

3.40 ¿Se cumplen?

SI ( ) NO ( ) N/A ( )

3.41 ¿Cuándo se efectúan modificaciones a los programas, a iniciativa de quién es?

a) Usuario ( )
b) Director de informática ( )
c) Jefe de análisis y programación ( )
d) Programador ( )
e) Otras ( especifique) ________________________________________________

3.42 ¿La solicitud de modificaciones a los programas se hacen en forma?

a) Oral? ( )
b) Escrita? ( )
En caso de ser escrita solicite formatos,

3.43 Una vez efectuadas las modificaciones, ¿se presentan las pruebas a los interesados?
SI ( ) NO ( ) N/A ( )

3.44 .¿Existe control estricto en las modificaciones?

SI ( ) NO ( ) N/A ( )

3.45 .¿Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado?
SI ( ) NO ( ) N/A ( )

7
AUDITORIA Y EVALUACIÓN DE SISTEMAS
INFORME DE AUDITORIA A REALIZAR

3.46 ¿Se ha establecido que información puede ser accesada y por qué persona?
SI ( ) NO ( ) N/A ( )

3.47 .¿Existen controles y medidas de seguridad sobre las siguientes operaciones?

¿Cuales son?
( ) Recepción de documentos___________________________________________
( ) Información Confidencial____________________________________________
( ) Captación de documentos____________________________________________
( )Cómputo Electrónico_______________________________________________
( ) Programas_______________________________________________________
( ) Documentos de Salida______________________________________________
( ) Operación del equipo de computación__________________________________
( ) En cuanto al acceso de personal_______________________________________
( ) Identificación del personal___________________________________________
( ) Seguros contra robo e incendio_______________________________________
( ) Cajas de seguridad_________________________________________________
( ) Otras (especifique) _________________________________________________

Nota:

Para los puntos (2), y (3) de la parte II, en caso de que una pregunta no aplique o no tenga
una respuesta, deberán realizar una de las siguientes acciones:
• Marcar la respuesta (N/A) y explicar claramente en máximo en dos (2) renglones el
motivo de la respuesta.
• Cambiar la pregunta por una que consideren más acorde con la situación y adicionar
la respuesta. Antes de cada pregunta cambiada colocar (C).

Deberán presentar un informe en la fecha establecida con el instructor, donde se tenga en

cuenta lo siguiente:

• Normas ICONTEC
• Calidad en la organización y redacción del informe
• Una completa introducción
• Contenido de las preguntas y respuestas de las partes I y II
• Evaluación profesional del desarrollo de la Auditoria (2 hojas) tomando como base las
respuestas consignadas en las partes I y II.