UNIVERSIDAD NACIONAL AUTNOMA DE HONDURAS

FACULTAD DE CIENCIAS ECONMICAS

DEPARTAMENTO DE INFORMTICA
CARRERA INFORMTICA ADMINISTRATIVA

ASIGNATURA:
AUDITORIA INFORMATICA

DIAGNOSTICO DE AUDITORIA INFORMATICA BASADO EN

LAS NORMATIVAS APLICADA A LA EMPRESA
AFP ATLANTIDA
CUESTIONARIOS
CATEDRATICO:
LIC. CRISTIAN JOSU RIVERA MARTNEZ

PRESENTADO POR:
LARIZA M. LAINEZ

20021007422

MARLON GARCIA

20091011676

FRANCIA TATIANA GARCIA

20101000291

CESAR ERAZO

20111003060

ALLAN RODERICK GONZALES

20111005048

CIUDAD UNIVERSITARIA

AGOSTO 13, 2015

Cuestionario para aplicar a controles de Planear y Organizar

Cul es la posicin estratgica actual
PO1-definir un plan estratgico de
de la empresa?
TI

PO2-Definir la arquitectura de la
informacin

PO5-administrar la inversin en TI

Qu elementos crticos se detectan?

Las estrategias de tecnologas de

informacin estn alineadas con las
del negocio?

De qu manera se estn
administrando los riesgos de las TI?

Todos los procesos de la empresa

estn sistematizados?

Son los riesgos de TI entendidos y

estn siendo administrados?

Es la calidad del sistema de TI

apropiada para las necesidades de la
entidad?

Las personas en la organizacin

entienden los objetivos de TI?

Los gatos para mantener la

infraestructura existente fueron segn
el presupuesto de la dependencia?

En promedio cuantos proyectos

nuevos basados en TI fueron
implementados en el ltimo ao?

En promedio cuantos servicios

basados en TI son costeados por la
organizacin?

PO6-Comunicar las aspiraciones y

la Direccin de la Gerencia

PO7-Administrar
Humanos de TI

los

Recursos

PO8-Administrar la Calidad

PO9-Evaluar y
Riesgos de TI

Administrar

los

Cul es la poltica de seguridad y

control interno?

Con que frecuencia se actualiza y

mejora la documentacin del
ambiente de control?

Qu filosofa de calidad se aplica en la

organizacin?

Tienen Polticas de reclutamiento y

promocin del personal?

Tienen Programa de capacitacin de

acuerdo a los requerimientos de
cargo?

Procedimiento para la
eliminacin/suspensin inmediata de
las passwords de acceso a los
ambientes computacionales, sistemas
y datos, de cada persona despedida o
trasladada a otro cargo?

Cul es la poltica de seguridad y

control interno?

Con que frecuencia se actualiza y

mejora la documentacin del
ambiente de control?

Qu filosofa de calidad se aplica en la

organizacin?

Qu estndares y criterios utilizan

dentro de la empresa para la
identificacin y evaluacin de los
riesgos?

PO10-Administrar Proyectos

Se tienen modelos preestablecidos

para realizar la documentacin de los
riesgos? Cules?

Se documentan los procedimientos

empleados?

Poseen plan de capacitaciones?

En qu medida la organizacin ha
integrado formalmente los proyectos
en el trabajo?

Se realizan los proyectos a tiempo y

dentro del presupuesto?

Existe una definicin clara y

documentada del alcance de cada
proyecto?

Descripcin del Proceso

PO8 Administrar la Calidad

Pregunta
Existen estndares o guas para el diseo y desarrollo de
aplicaciones?

SI

NO

SI

NO

Los formularios de la informacin fuente estn diseados

eficientemente para evitar interpretacin y/o trascripcin errnea de los
datos?
Existen estndares o guas para el diseo y desarrollo de aplicaciones y
documentacin tcnica?
Los formularios de la informacin fuente estn diseados eficientemente para evitar
interpretacin y/o trascripcin errnea de los datos?

PO9 Evaluar y Administrar Los Riesgos de TI

Pregunta

Cuenta el Departamento de Sistemas con hardware interno o externo

similar o compatible para ser utilizado en caso de emergencias?
Cuenta con un marco de trabajo de administracin de Riesgos?
Saben como medir el impacto el impacto potencial negativo sobre las
metas o las operaciones de la Empresa?
Cuentan con un proceso de respuesta a los riesgos para asegurar los
controles en costo?
Tienen bien definidas las prioridades y las planeaciones de las
actividades de control a todos los niveles para implementar una
respuesta a los riesgos?

PO10 Administrar Proyectos

Pregunta
Existe un programa de actividades a corto, mediano y largo plazo de
todas las funciones del Departamento de Sistemas?

SI

NO

SI

NO

Los Departamentos de origen, usuarios, auditoria y la gerencia,

participan en todas las etapas del desarrollo de las aplicaciones?
Los Departamentos de origen y/o usuario dueos de cada aplicacin,
dan la aprobacin final al funcionamiento de la nueva aplicacin?
Existe la funcin de control de calidad para los Sistemas de
Informacin antes de entrar en operaciones?
Hay una participacin activa de los usuarios en las pruebas de las
aplicaciones?

Adquirir e Implementar
AI1 Identificar Soluciones Automatizadas
Pregunta
Los tcnicos cumplen con el alcance requerido para lograr los
resultados esperados?
Cuentan con un diseo de soluciones para el desarrollo de soluciones
de los procesos organizacionales?

Se ha desarrollado un estudio de factibilidad que examine la

posibilidad de implementar los requerimientos?
Manejan etapas claves para la evaluacin de los reportes del estudio
de factibilidad?
Las decisiones finales e importantes estn siendo evaluadas por una
sola persona?
El Departamento de Sistemas cuenta con una biblioteca de archivos y
programas?
Existen disposiciones de seguridad para recursos informticos
instalados fuera de la organizacin?
Son los reportes de salidas que contienen informacin confidencial y
sensible, mantenida y manejada con la prudencia que corresponde?
Se cumple con las disposiciones gubernamentales para procesar las
operaciones en un sistema automatizado?

AI2 Adquirir y Mantener Software Aplicativo

Pregunta
Existe un control y anlisis del desempeo del hardware para
proyectar y presupuestar a futuro cambios de equipo?
Cuenta el Departamento de Sistemas con hardware interno o externo
similar o compatible para ser utilizado en caso de emergencias?
Existen procedimiento para asegurar la implantacin de software en el
servidor de produccin?
Existen estndares o guas para el diseo y desarrollo de
aplicaciones?
El software operativo y aplicativo adquirido de proveedores externos
cuenta con sus respectivas licencias originales?
Existen disposiciones de seguridad para recursos informticos
instalados fuera de la organizacin?

SI

NO

Cuestionario de Control
C1
Dominio
Adquirir e Implementar
Proceso
AI3: Adquirir y Mantener Infraestructura Tecnolgica
Cuestionario
Pregunta
SI
NO N/A
Se cuenta con un inventario de todos los equipos que
integran el centro de cmputo?
Con cuanta frecuencia se revisa el inventario?
Se posee de bitcoras de fallas detectadas en los
equipos?
Caractersticas de la bitcora (seale las opciones).
La bitcora es llenada por personal especializado?
Seala fecha de deteccin de la falla?
Seala fecha de correccin de la falla y revisin de
que el equipo funcione correctamente?
Se poseen registros individuales de los equipos?
La bitcora hace referencia a hojas de servicio, en
donde se detalla la falla, y las causas que la
originaron, as como las refacciones utilizadas?
Se lleva un control de los equipos en garanta, para que a
la finalizacin de sta, se integren a algn programa de
mantenimiento?
Se cuenta con servicio de mantenimiento para todos los
equipos?
Con cuanta frecuencia se realiza mantenimiento a los
equipos?
Se cuenta con procedimientos definidos para la
adquisicin de nuevos equipos?
Se tienen criterios de evaluacin para determinar el
rendimiento de los equipos a adquirir y as elegir el mejor?
Documentos probatorios presentados:

Cuestionario de Control
C2
Dominio
Adquirir e Implementar
Proceso
AI3: Adquirir y Mantener Infraestructura Tecnolgica
Cuestionario
Pregunta
SI
NO N/A
Existe un programa de mantenimiento preventivo para
cada dispositivo del sistema de cmputo?
Se lleva a cabo tal programa?

Existen tiempos de respuesta y de compostura

estipulados en los contratos?
Existe plan de mantenimiento preventivo. ?
Este plan es proporcionado por el proveedor?
Se han adoptado medidas de seguridad en el
departamento de sistemas de informacin?
Existe una persona responsable de la seguridad?
Existe vigilancia en el departamento de cmputo las 24
horas?
Documentos probatorios presentados:

Cuestionario de Control
Dominio
Adquirir e Implementar
Proceso
AI5: Adquirir Recursos de TI
Cuestionario
Pregunta
Se realizan estudios de factibilidad, (costo- beneficio)
antes de iniciar el desarrollo o la compra de nuevas
aplicaciones?
Existe la funcin de control de calidad para los Sistemas
de Informacin antes de entrar en operaciones?
A la hora obtencin de recursos de TI tienen asesora
profesional legal y contractual?
Cuentan con procedimientos y estndares de
adquisicin?
Al adquirir hardware, software y servicios requeridos son
de acuerdo con los procedimientos definidos?
Manejan un solo proveedor o hace cotizacin para reducir
gasto?
Documentos probatorios presentados:

C3

SI

NO

N/A

Cuestionario de Control
Dominio
Adquirir e Implementar
Proceso
AI6: Administrar Cambios
Cuestionario
Pregunta
Se cuenta con procedimientos definidos para solicitar y
efectuar modificaciones a los programas?

C2

SI

NO

N/A

Se le da conocimiento a la alta gerencia cuando se debe

hacer un cambio?
Existen procedimientos de administracin de cambio
formales para manejar de manera estndar todas las
solicitudes?
Los Departamentos de origen y/o usuario dueos de cada
aplicacin, dan la aprobacin final al funcionamiento de la
nueva aplicacin?
Los Departamentos de origen, usuarios, auditoria y la
gerencia, participan en todas las etapas del desarrollo de
las aplicaciones?
Se han adoptado medidas de seguridad en el
departamento de sistemas de informacin?
Existe un Seguimiento del estatus y reporte de los
cambios?
Documentos probatorios presentados:

Cuestionario de Control
C2
Dominio
Entregar y Dar soporte
Proceso
DS1: Definir y Administrar los Niveles de Servicio
Cuestionario
Pregunta
SI
NO N/A
Se cuenta con formalizacin de acuerdos internos y
externos en lnea con los requerimientos y las capacidades
de entrega?
Se cuenta con notificacin del cumplimiento de los niveles
de servicio (reportes y reuniones?

SE Revisar regularmente con los proveedores internos y

externos los acuerdos de niveles de servicio y los contratos
de apoyo?
Se tiene Definido un marco de trabajo que brinde un
proceso formal de administracin de niveles de servicio
entre el cliente y el prestador de servicio?
Documentos probatorios presentados:

Cuestionario de Control
C2
Dominio
Entregar y Dar Soporte
Proceso
DS4: Garantizar la Continuidad del Servicio
Cuestionario
Pregunta
SI
NO
Existe un plan de contingencia para situaciones de
emergencias?

N/A

Cuenta el centro de Cmputo con archivos de respaldo

externos (back up) de programas y de datos ubicados
fuera de las instalaciones?
La institucin efecta contratos con entidades externas
para realizar actividades de administracin, procesamiento
y resguardo de las operaciones d informacin, as como el
desarrollo de sus sistemas, servicios de consultara,
patentes y otros servicios relacionados con las TIC?
Se cuenta con un plan estratgico de Sistemas acorde
con los objetivos de la empresa?
Est asegurado todo el activo de TI?
Cuentan con administracin de tercerizacin?
Documentos probatorios presentados:

Entregar y Dar Soporte

DS6 Identificar y Asignar Costos
Pregunta
En base a que evala los costos de TI?

SI

NO

Cuenta con alguna metodologa para priorizar o identificar los costos

de TI?
Con cuanta frecuencia inspecciona las requisiciones de TI para
compra de infraestructura?
Se tiene un riesgo de las compras de insumos que ingresan a TI?

DS7 Educar y Entrenar a los Usuarios

Pregunta
Con cuanta frecuencia capacita a los usuarios?

SI

NO

SI

NO

Existe un programa de entrenamiento de usuarios?

Tiene planes de mejoras continuas para los usuarios?
Existe alguna estrategia de entrenamiento y la medicin de
resultados?
Se cuenta con manuales actualizados para la induccin a los
usuarios?
Existen cursos de formacin internos?
DS8 Administrar la Mesa de Servicios y los Incidentes
Pregunta
En qu lapso de tiempo resuelve un incidente reportado por un
usuario?
Con cuanta frecuencia le reportan fallas en los servicios?
Con cuanta frecuencia le reportan fallas en las aplicaciones?
Con cuanta frecuencia le reportan fallas en la infraestructura?
Cuenta con un mecanismo para medir la velocidad promedio para
responder a las peticiones de los usuarios?
Con que frecuencia abandona las llamadas por incidencia de los
usuarios?
Cuenta con alguna herramienta para responder a consultas de los
usuarios?

Qu incidente es el mas frecuente que presentan los usuarios?

DS10 Administrar los Problemas

Problema
Aplicaciones
Instaladas
Infraestructura
Servicios
Equipo
(Hardware)

Impacto

Urgencia

Prioridad

Pregunta
Existen tcnicos asignados por rea de cada problema?

SI

NO

SI

NO

Con cuanta frecuencia le da seguimiento a los problemas?

Investiga la causa de raz de los problemas?
Define las soluciones a los problemas?
Aplica un plan de mejoras para mitigar los problemas?
En el desarrollo de los sistemas se contemplan las pistas de Auditoria
para la posterior auditoria de los mismos?

DS11 Administrar los Datos

Pregunta
Cuenta con una metodologa para el archivado almacenamiento y
retencin de datos?
Existen polticas de seguridad al recibido, procesamiento y
almacenamiento de datos?
Con cuanta frecuencia realiza los respaldos a las bases de datos?
Cuenta el centro de Cmputo con archivos de respaldo externos (back
up) de programas y de datos ubicados fuera de las instalaciones?
Con cuanta frecuencia realiza las rplicas de datos?

Existen dispositivos para la realizacin de copias de seguridad?

DS11 administrar los datos

Pregunta
Cmo verifican que todos los datos fueron procesados y ejecutados de
forma precisa y completamente?

SI

NO

SI

NO

Qu tipos de procedimientos utilizan para crear el archivo,

almacenamiento y retencin de los datos y que tipo de poltica de
seguridad utilizan?
Qu libreras de medios utilizan para el manejo de los inventarios y
para asegurar la usabilidad de la informacin?
Qu procedimientos utilizan para eliminar la informacin y al cunto
tiempo es eliminada?
Tipos de procedimientos utilizados para el manejo de respaldo y
restauracin de los sistemas?

Qu polticas y procedimientos se utilizan para el manejo de la

informacin?

DS12 Administracin del Ambiente Fsico

Pregunta
Qu centro de datos fsicos manejan y sus especificaciones?
Qu medidas de seguridad fsicas utilizan y quienes monitorean los
incidentes de seguridad?
Qu controles de acceso manejan para llevar el control del ingreso a
las instalaciones?
Qu medidas de proteccin manejan contra los factores ambientales?
Quin es el encargado de administrar los equipos de comunicacin,
requerimientos tcnicos de la institucin?

DS13 Administracin de Operaciones

Pregunta
Qu tipos de procedimientos estandarizados, actualizaciones de
programas manejan?

SI

NO

SI

NO

Cmo hacen la programacin de las tareas de procesos y las

secuencias de los procedimientos que deben implementarse?
Tipos de procedimientos para monitorear la infraestructura de TI?
Qu tipo de inventarios realizan para la administracin de adecuada
sobre los activos de TI?
Cada cunto dan mantenimiento oportuno a la infraestructura para
reducir las fallas en el desempeo?

ME1 Monitorear y Evaluar el Desempeo de TI

Pregunta
Cmo se hace el monitoreo general del desempeo de TI en cuanto a
soluciones de problemas y la contribucin de TI a la institucin?
Qu proceso utilizan para recolectar la informacin oportuna y precisa
para reportar el avance en las metas?
Qu tipos de mtodos utilizan para monitorear el desempeo del
sistema de la institucin?
Cmo evalan el desempeo de las metas de la institucin?
Quin proporciona los reportes a la alta gerencia mostrando los
resultados obtenidos en cuanto a las metas alcanzadas y los riesgos
mitigados?
Qu tipo de acciones correctivas manejan en cuanto al monitoreo del
desempeo?

ME4 Proporcionar Gobierno de TI

Pregunta
Qu tipo de objetivos empresariales manejan?
Qu caractersticas y capacidades tecnolgicas manejan para
garantizar un entendimiento entre la institucin y TI?
Se cumplen todos los resultados esperados por la institucin con la
ayuda de TI?
Qu tipos de inversiones hacen para el mejoramiento de TI y quienes
administran estos recursos?
Qu tipos de riesgos son aceptables para la institucin?

Quien confirma que los objetivos esperados por TI han sido

alcanzados?

SI

NO