Documente Academic
Documente Profesional
Documente Cultură
MARCO CONCEPTUAL
1. OBJETIVOS
Si se tiene en cuenta que el objetivo bsico que se busca con la adquisicin y utilizacin de los
sistemas es el de entregar informacin confiable, til y oportuna, el auditor tambin debe abarcar
reas donde estos hacen presencia, tales como:
La Gerencia de Sistemas
La organizacin y el personal
El rea de sistemas
Las aplicaciones
Los estndares de documentacin y desarrollo
1
La operacin de los sistemas
La gerencia financiera
Los planes de desarrollo informtico
Los controles y la seguridad en general
Los archivos maestros y de transacciones
La Red de Comunicaciones y de Datos
La Internet
Los microcomputadores
La Transferencia Electrnica de Documentos
Otros
Toda accin de auditora sigue ciertas fases especficas mediante las cuales se desarrolla el
trabajo. Con respecto a la Auditora de Sistemas, aunque se tiene un elemento nuevo, como son
los sistemas, ste no incide en la manera de llevar a cabo el examen; por consiguiente, son
igualmente vlidas para definir el proceso que se debe seguir en la Auditora de Sistemas, estas
fases son:
La Auditora requiere de planeacin con el fin de definir adecuadamente los objetivos; el alcance
del trabajo, las tcnicas y herramientas a utilizar, los recursos humanos y tcnicos que se
emplearn, as como los plazos para realizar el examen.
El objetivo de la planeacin es el de proveer al Auditor de un conocimiento sobre la importancia de
los Sistemas de Informacin en la organizacin, con una evaluacin preliminar de sus fortalezas y
debilidades, as como una lista de materias relacionadas con el rea, que sean de potencial
significado y que debern ser examinadas en la fase de ejecucin.
Esta etapa permite conocer y estudiar en forma general la entidad y la funcin informtica, para lo
cual es necesario obtener informacin suficiente relacionada con la organizacin de los sistemas,
objetivos, reglamentos, normas, funciones, estructura del rea, equipos, aplicaciones, etc.
2
3.1.2. Evaluacin del Sistema de Control Interno del Area de Sistemas
Controles Generales
Los Controles en los sistemas de carcter general tienen relacin con la evaluacin de los
procedimientos de aquellas actividades que sustentan la presencia del procesamiento electrnico
de datos, concretamente, estos controles se orientan hacia la evaluacin tanto de procedimientos
administrativos como los de la organizacin y en general, del ciclo de vida del desarrollo del
sistema.
En otras palabras, estn relacionados con las normas, procedimientos y elementos que se
establecen como producto de la presencia del procesamiento electrnico de datos; as como de las
normas, procedimientos y elementos que tienen relacin con los recursos y servicios que utiliza el
sistema de informacin, dentro de las cuales estn comprendidas las actividades concernientes al
equipo y a los archivos de programas de datos (no desde el punto de vista de su contenido, sino de
su seguridad y manejo externo). Estos controles se verificarn y comprobarn mediante los
siguientes cuestionarios.
3
Cuestionario Controles de Adquisicin
A. Estudio de Factibilidad
FECHA FECHA REF.P
DETALLE OBSERVACIONES
INICIO TERMINACION /T
1. Fueron los requerimientos del usuario revisados
y documentados como un primer paso en el estudio
de factibilidad?
2. Fueron los requerimientos del usuario revisados
y aprobados por el subdirector en las mesas de
trabajo, como parte del estudio de factibilidad ?
3. En la definicin de los requerimientos se
incluy?
Objetivos de la Subdireccin de
sistemas?
Problemas?
Obligaciones?
Impacto organizacional?
Requerimientos de entrenamiento?
Costos por la incorporacin de controles
adecuados?
4
DETALLE FECHA FECHA REF.P
OBSERVACIONES
INICIO TERMINACION /T
Requerimientos adicionales de
seguridad?
Ahorros estimados?
Confiabilidad?
Durabilidad?
Requerimientos de procesamiento
para las aplicaciones?
5
DETALLE FECHA
FECHA OBSERVACION
TERMINAC REF.P/T
INICIO ES
ION
11. Se consider un nmero suficiente de
alternativas?
12. Fue la solucin recomendada la ms
justificable por los beneficios que reporta?
13. Los costos del estudio de factibilidad fueron
integrados al costo del resto de la solucin?
14. La informacin suministrada a los posibles
oferentes incluye la definicin de aspectos tales
como:
Obligaciones?
Actividades/componentes
principales?
Consideraciones de seguridad?
Criterios contractuales?
Criterios de evaluacin?
Costos de la propuesta?
15. Se entrega suficiente informacin a los
vendedores que les permita preparar la oferta
con la totalidad de los costos estimados?
16. Son apropiados los criterios de seleccin
usados y es cada propuesta justamente medida
contra estos criterios?
17. La documentacin para la evaluacin de las
propuestas incluye:
Papeles de evaluacin?
Razones que expliquen la solucin
recomendada?
18. Es la propuesta seleccionada la mejor en
trminos de costos, beneficios y otras
consideraciones econmicas?
6
19. Es la propuesta seleccionada la mejor en
trminos de aprovechamiento tecnolgico?
B. Adquisicin de Recursos
DETALLE RE
FECHA FECHA F.
OBSERVACIONES
INICIO TERMINACION P/
T
1. Las polticas existentes definen las
responsabilidades, niveles de autorizacin y los
procedimientos para la adquisicin de recursos
informticos?
2. Es de la alta gerencia considerar: La adquisicin
de software del sistema, contratos de servicios y
equipos de cmputo?
3. Existe un comit asesor de sistemas
responsable de la revisin y aprobacin de las
etapas del proceso de adquisicin?
4. Es el proceso de adquisicin de equipos,
software y contratos de servicios coordinado de tal
manera que promueva la adherencia a los
estndares y a identificar oportunidades de
conseguir menores costos?
5. Para la adquisicin y desarrollo de los recursos
informticos fueron adecuadamente evaluadas las
diferentes alternativas planteadas en el plan
estratgico?
6. Existe un plan operacional o a un ao que
relacione las adquisiciones ms importantes y se
reflejan en el presupuesto?
7. Existen estudios de factibilidad apropiados para
que abarquen las adquisiciones importantes y/o el
reemplazo de los componentes del sistema?
8. Existen evidencias de que los eventuales
mayores costos sobre el presupuesto estimado
se asignaron a:
Planeacin inadecuada?
Crecimiento inusual?
Cambios en la tecnologa?
Problemas imprevistos en la
conversin?
7
DETALLE RE
FECHA FECHA F.
OBSERVACIONES
INICIO TERMINACION P/
T
Otros? (relacionar).
Necesidades de seguridad?
Requerimientos de interfases?
Nivel de servicio?
Disponibilidad de soporte?
8
DETALLE FECHA FECHA REF
OBSERVACIONES
INICIO TERMINACION .P/T
administracin del contrato?
Garantas?
Derechos de propiedad?
Trminos de pago?
9
MARCO METODOLOGICO
PLAN INFORMATICO
1. REPORTES ADMINISTRATIVOS
1) Se lleva por la organizacin un inventario anual de equipos de cmputo que liste cada
componente diferente, su costo, el fabricante, edad y otros factores relevantes, que eviten
la adquisicin de nuevos equipos por desconocimiento de los existentes, y por
10
consiguiente, lleve a un exceso de capacidad instalada, duplicacin de aplicaciones
costosas, etc?
2) Hay evidencia que los inventarios son revisados y actualizados?
3) La alta gerencia recibe reportes de evaluacin de los costos- beneficios de las decisiones
de adquisicin?
4) Existe evidencia de la revisin del presupuesto versus los costos actuales de equipos,
contratos de servicios, aplicaciones, asesoras, etc.?
5) La alta gerencia tiene la suficiente informacin para aseverar que los costos de operacin
del sistema estn creciendo, decreciendo o permanecen fijos?
6) Se realizan reportes post-adquisicin que comparen los costos, beneficios proyectados en
el estudio de factibilidad y los resultados actuales?
7) Se reportan los hallazgos sobre la variacin de los costos con respecto a lo presupuestado,
incluyendo las razones, tales como:
Planeacin inadecuada?
Crecimiento inusual?
Cambios tecnolgicos?
Problemas imprevistos en la conversin?
Otros? (relacionar).
8) Los resultados de la adquisicin son retroalimentados dentro del proceso de planeacin?
9) Los auditores internos son requeridos para que evalen regularmente la adquisicin de
equipos y aplicaciones desde el punto de vista del costo-efectividad?
2. CONTROLES DE ORGANIZACIN
2.1. Polticas
11
10) En las polticas se determinan los pasos que se deben seguir en la consecucin de la
aprobacin para la adquisicin de los recursos informticos?
11) Quin puede decidir sobre el uso de provisin de los servicios informticos tanto internos
como externos?
12) Quin inicia u origina los planes para adquisicin de recursos informticos y quin aprueba
dichos planes?
13) La localizacin del sistemas dentro de la organizacin y sus roles y responsabilidades?
14) El grado de participacin de los usuarios finales en la planeacin de los recursos
informticos?
15) Quin supervisa el cumplimiento con las polticas departamentales y gubernamentales?
16) Existe una adecuada desagregacin de funciones ?
17) Es el personal consciente de las restricciones estipuladas?
18) Es adecuada la ubicacin del rea de sistemas dentro de la organizacin?
19) Se ha establecido un comit, gerencial o consultivo que represente a todos los usuarios
diferentes a los de sistemas, adems revisa, aprueba o indica su desacuerdo con el plan
de recursos informticos a largo plazo?
20) Asigne procedimientos bsicos de seguridad?
12
5) La aprobacin del plan de recursos informticos es oficialmente solicitado y formalmente
documentado?
6) El proceso asegura que los responsables individuales por llevar a cabo el plan son
conscientes de sus responsabilidades y autoridad?
7) Las polticas demandan un plan operacional o tctico a corto plazo y uno estratgico a
largo plazo?
8) Las polticas exigen que el plan a largo plazo, soporte la poltica bsica para proveer
servicios informticos e identifique metas?
9) Establezca un mecanismo que identifique prioridades para invertir en recursos
informticos?
10) Las polticas exigen que el plan a corto plazo traslade las estrategias de largo plazo a
soluciones de corto plazo y que cubra un perodo de 12 a 18 meses?
1) Existe un plan estratgico de largo plazo que comprenda las necesidades de servicios,
equipos, programas y otros elementos?
2) Ha recibido el plan apropiada aprobacin?
3) Hay una clara responsabilidad por el desarrollo e implementacin del plan?
4) El plan comprende los cambios tecnolgicos, ambientales y organizacionales de probable
ocurrencia para un perodo de 3-5 aos?
5) El plan proporciona evidencia sobre si los requerimientos de equipos y servicios se hizo
basada en las necesidades de la organizacin?
6) El plan consider y evalu alternativas que eran radicalmente diferentes a la seleccionada?
7) Son los proveedores de equipos y servicios consultados en la preparacin del plan?
8) Est el modelo de crecimiento de equipo perifrico presupuestado en el plan estratgico;
este equipo incluye:
Minicomputadores, terminales
Redes, multiplexores.
9) Es el plan peridicamente revisado y puesto al da?
10) El plan documenta sobre el impacto en la organizacin desde el punto de vista econmico,
poltico, y social?
11) Cambios posibles en la estructura de la organizacin o en su objetivos?
12) Seala el plan estratgico las diferentes alternativas?
13) La metodologa de los aos anteriores sealan las tendencias e indican las fuentes de los
costos?
14) En el plan estratgico se incluyen los costos por cada unidad de la organizacin ?
15) Se incluye en el plan lo relacionado con:
13
Equipos de cmputo?
Software utilitario?
Comunicaciones?
16) Con respecto a los equipos de cmputo se incluye:
Otros computadores?
Soporte?
Diccionario de datos?
Backups?
21) Con respecto a las aplicaciones se considera:
Generador de reportes?
14
22) Define el plan el tipo y nivel de destreza requerido para el equipo de operacin?
23) El plan incluye programas de entrenamiento para obtencin de la destreza necesaria para
los usuarios?
Equipos?
Comunicaciones?
Equipo de operacin?
5) El alcance del plan incluye:
Los Gerentes o Directores de reas usuarias disponen de procedimientos formales para conseguir
que sus necesidades se :
1) Incluyan en el proceso de planeacin?
2) Las organizaciones usuarias reciben copias del plan tanto estratgico como tctico una vez
que stos han sido aprobados?
3) Cooperan y/o participan los usuarios en el establecimiento de prioridades?
4) Son los usuarios conscientes del costo del servicio de sistemas?
5) Los usuarios tienen contacto con la organizacin de sistemas para colaborar en la
definicin de los recursos informticos requeridos?
15
1) Durante el ciclo de planeacin se plantean interrogantes a las reas usuarias sobre sus
necesidades de recursos informticos?
2) Conocen los usuarios qu servicios y recursos informticos estn disponibles?
3) Tiene el usuario un contacto en sistemas que le ayude a determinar sus requerimientos?
4) Los efectos de la tecnologa se discuten o informan a los usuarios sobre:
Procesadores de palabra
Hojas electrnicas
Microcomputadores
16
2) Los servicios que son prestados por el grupo de operaciones del sistema estn claramente
definidos?
3) Han sido determinados los niveles mnimos de destreza requeridos para las operaciones
relacionadas con los sistemas de informacin?
4) Los usuarios son conscientes de los servicios ofrecidos en el rea de operaciones de los
sistemas de informacin?
5) Se quejan frecuentemente los usuarios finales de los servicios ofrecidos por el rea de
sistemas?
6) Se ha costeado apropiadamente cada tipo de servicio?
7) Se han establecido los estndares apropiados de calidad por cada tipo de servicio?
8) Cada grupo de sistemas dispone de los estndares de desempeo por escrito?
9) Son todos los miembros de estos grupos conscientes de estos estndares?
10) Los estndares incluyen medidores cuantificables del desempeo?
11) Consideran los estndares de medicin del desempeo aspectos como:
Procesamiento distribuido?
Tiempo compartido?
17
2.9. Auditora Interna
Las funciones de la auditora interna de sistemas con relacin a la revisin general y control de las
aplicaciones abarca:
1) La consideracin sobre si los controles se han diseado de acuerdo con la direccin,
estableciendo estndares y procedimientos de acuerdo con los requerimientos legales
conocidos?
2) La evaluacin sobre si los controles operan eficientemente y proporcionan seguridad y
confiabilidad sobre datos que estn siendo procesados?
Las funciones de la auditora interna de sistemas con relacin al diseo y revisin de nuevos
sistemas abarca:
La evaluacin sobre si las polticas de la gerencia establecen prioridades con respecto al
desarrollo de nuevas aplicaciones, las modificaciones de las existentes, o por el contrario,
la adquisicin de nuevas aplicaciones en el mercado?
La comprobacin de si los sistemas nuevos o modificados incluyen controles y pistas de
auditora necesarias?
El estudio de si los sistemas nuevos o modificados han sido sometidos a anlisis de costo-
beneficio y pueden operar en forma eficiente y econmica?
La comprobacin de si los nuevos sistemas o los modificados han provisto la adecuada
documentacin para su revisin, mantenimiento y auditora?
La unidad interna de auditora participa de alguna manera en los estudios de factibilidad de
adquisicin de recursos informticos?
3. CONTROLES DE DESARROLLO
18
Incluye la filosofa bsica de prestacin de servicios informticos?
4. PROCESO DE PLANEACIN
Permite incluir como entrada el plan de aplicaciones dentro del plan general de
la organizacin?
19
1) Los gerentes de reas usuarias saben cmo conseguir que sus necesidades se incluyan
en el proceso de planeacin de aplicaciones?
2) Los usuarios reciben copias de los planes a corto y largo plazo de las aplicaciones una vez
han sido completadas?
3) Cooperan los usuarios en el establecimiento de prioridades?
4) Son los usuarios conscientes de los costos del servicio del sistema?
5) Los usuarios tiene contacto con la organizacin de sistemas para colaborar en la definicin
de los sistemas de aplicacin requeridos?
Conversin?
Produccin?
Mantenimiento?
Rediseo?
9) La evaluacin de los riesgos para los cambios propuestos a las aplicaciones?
10) Requerimiento al grupo de planeacin para la identificacin de aplicaciones con alto grado
de riesgo tcnico u operacional?
11) El software nuevo de aplicaciones es descrito para identificar las diferencias entre las
capacidades instaladas y las propuestas?
12) Se detalla una lista del recurso humano necesario para adelantar las labores de desarrollo
y mantenimiento de aplicaciones?
13) Se identifican los costos por salarios inherentes a las labores de diseo, desarrollo y
mantenimiento?
20
14) Se define el nivel de destreza requerido por el personal a cargo del desarrollo, diseo y
mantenimiento de aplicaciones?
9. PLANEACIN DE APLICACIONES
1) El plan estratgico identifica las reas usuarias claves donde la tecnologa informtica
puede lograr mayores beneficios para la organizacin?
2) La direccin del rea de sistemas traslada las necesidades de los usuarios a los planes de
accin relacionadas con las decisiones de desarrollo de aplicaciones?
3) Los usuarios finales principales estn satisfechos con el apoyo que reciben del rea de
sistemas?
4) Participan los usuarios finales en la evaluacin de la efectividad de las aplicaciones?
5) Se mantienen conscientes los usuarios de las aplicaciones de los cambios tecnolgicos
para que puedan entender las ventajas y riesgos que ellos envuelven?
6) Los costos de desarrollo se cargan a los usuarios?
Las especificaciones para los nuevos sistemas de aplicaciones direccionan los siguientes
aspectos.
1) Cambios organizacionales?
2) Cambios en los procedimientos operacionales?
3) Costos del mantenimiento?
21
4) Vida til estimada?
5) Alternativas disponibles?
6) Existe un procedimiento que asegure que todos los sistemas significantes sean aprobados
antes que las tareas de desarrollo comiencen?
7) Existe una coordinacin central de todas las decisiones de implementacin de sistemas?
8) Los procedimientos de justificacin presuponen que las decisiones tomadas y las
alternativas examinadas sean documentadas?
9) Los sistemas son revisados despus de la implementacin para medir su efectividad?
22
4) Iniciacin del proyecto?
5) Definicin de las necesidades del usuario?
6) Estudio de factibilidad/anlisis costo-beneficio?
7) Diseo conceptual del sistema?
8) Anlisis y diseo del sistema detallado?
9) Programa de pruebas?
10) Preparacin y procedimientos de conversin?
11) Aceptacin del sistema?
12) Instalacin?
13) Operacin?
14) Auditora post-implantacin?
15) Existe una clara definicin de responsabilidades y nivel de autorizacin para el
administrador del proyecto y los usuarios o propietarios del sistema?
16) La documentacin inicial incluye aspectos como:
Problemas?
Beneficios?
Obligaciones?
Mecanismos de control?
Estimacin de recursos?
Aprobacin de la administracin?
23
Costo-beneficio detallado y anlisis del impacto de cada alternativa?
Costo de conversin?
Existe un procedimiento que asegure que todos los sistemas tengan una
aprobacin formal antes de empezar el trabajo de desarrollo?
20) Ha sido fijado un punto durante el proceso de desarrollo en el cual la administracin pueda
decidir sobre continuar, modificar o abandonar el proyecto?
21) Diseo General/Detallado
22) Existen estndares para el diseo de sistemas y procedimientos de programacin por
escrito?
23) Estos estndares son apropiados para cada lenguaje de programacin usando:
Uso de libreras
Impacto/mejoras esperadas?
24
Definiciones de procedimientos tanto para los usuarios como para el rea de
sistemas?
Necesidades de entrenamiento?
Requerimientos de entrada/salida?
25
29) Es clara la definicin sobre la responsabilidad de cada proyecto de desarrollo?
30) Se designan los miembros del equipo de trabajo y la asignacin de responsabilidades y se
dejan por escrito?
Diccionario de datos?
26
Archivos y reportes de salida?
Distribucin de reportes?
Manual de usuario?
27
10) El rea de operacin toma responsabilidades sobre el chequeo de totales de control,
reinicializacin de procesos, mantenimiento de backups, etc. para ciertas aplicaciones?
11) El rea de operacin maneja la distribucin de las salidas?
12) Existen controles que aseguren que slo se ejecuten trabajos autorizados
13) En procesos batch, son los campos de entrada claves conciliados con los totales batch
obtenidos?
14) Son las transacciones claves mantenidas en un log en sistemas interactivos que permitan
recuperar y auditar transacciones claves?
15) Existen controles que aseguren que solamente pruebas apropiadas y versiones de
programas aprobados son utilizadas en el procesamiento?
16) Son las utilidades provistas por los equipos de cmputo, y que permiten la modificacin de
datos y programas, cuidadosamente monitoreadas y controladas.
1) Estn claramente definidos los objetivos y las funciones del rea de operaciones de los
sistemas?
2) Los servicios que debe prestar el rea de operaciones de los sistemas, estn claramente
definidos?
3) Han sido determinados los niveles mnimos de recursos y habilidades requeridos para las
operaciones rutinarias?
4) Son los usuarios conscientes de los servicios ofrecidos en el rea de sistemas?
5) Los usuarios finales se quejan frecuentemente sobre los servicios ofrecidos por el rea de
sistemas?
6) Cada tipo de servicio ha sido debidamente costeado?
7) Se han establecido estndares de calidad apropiada para cada tipo de servicio?
8) Son los miembros del rea de sistemas conscientes de la existencia de estos estndares?
9) Los estndares de desempeo incluyen medidas cuantitativas adecuadas?
10) Existen criterios de evaluacin imparciales y consistentes sobre:
28
Formas para requisicin de servicios
Procesamiento distribuido
Bases de datos
Rata de errores
Disponibilidad de abastecimientos.
29
Se realiza seguimiento sobre el uso de centros externos de servicio?
Se tiene una lista de las aplicaciones programadas junto con fechas lmites de
entrada, tiempos de preparacin de datos, tiempos estimados de procesos,
fechas lmites de salida y despacho.
El mantenimiento peridico de los equipos est incluido dentro del plan general
de trabajo?
La operacin del equipo prev para cada aplicacin que estn asignadas las
responsabilidades de archivos y bibliotecas?
30
6) Existe por escrito el plan operacional o a corto plazo para la adquisicin de equipos de
cmputo?
7) Existe por escrito la metodologa para la evaluacin y prueba de los nuevos equipos y
aplicaciones?
8) Existe y es adecuada la documentacin para la operacin de nuevos equipos y
aplicaciones?
9) Existe por escrito un plan a largo plazo o plan estratgico sobre el rea de sistemas?
10) Con respecto al desarrollo de sistemas existe una metodologa por escrito y en uso para
estandarizar las aplicaciones de cierto alcance y tamao? Contiene aspectos como:
Estudios de factibilidad?
Anlisis Costo-beneficio?
Pruebas?
Procedimientos de conversin?
Instalacin
Operacin
Auditora post-implantacin
Necesidades de seguridad?
Necesidades de entrenamiento?
31
Diagrama de flujo del sistema general
La lgica de programacin
Puntos de reinicio
32
Los manuales del operador se han distribuido a cada uno de los responsables?
1) Estn asignadas las responsabilidades para control de acceso y seguridad fsica en el rea
de sistemas?
2) Existen por escrito procedimientos de seguridad en cuanto a los equipos de computo?
3) Estn los funcionarios del rea de sistemas concientizados sobre la importancia del control
de acceso y de la seguridad fsica?
4) Se implantan y respetan los procedimientos de seguridad establecidos?
5) Los responsables de seguridad reportan peridicamente a la alta gerencia?
33
6) El sistema detecta los intentos repetidos para ingresar a travs de la adivinacin del
passwords?
7) Se programan durante el da, horas restringidas de acceso?
8) Los passwords asignados a los usuarios se usaron y cancelaron en el momento
adecuado?
9) El sistema registra los accesos de las terminales a los datos?
10) Se revisan peridicamente los reportes de acceso de los terminales?
11) Se tienen definidos los riesgos que existen durante las conversiones, las pruebas y los
perodos de recuperacin?
1) Existen procedimientos que establezcan controles sobre el acceso y uso de los archivos de
informacin?
2) El control fsico en el rea de almacenamiento de archivos es suficiente para evitar el
acceso de personas no autorizadas y el mal uso de los archivos?
3) Est prohibido el acceso a la biblioteca a programadores y operadores?
4) Con respecto al acceso en lnea:
21. SEGURIDAD
34
7) Se ha entrenado al personal de operaciones del centro de cmputo para la aplicacin de
controles y procedimientos preventivos y correctivos de seguridad?
8) Est consciente el rea de operaciones de la ubicacin de alarmas, extintores,
interruptores de energa, interruptores de energa auxiliar, telfonos de emergencia, etc.?
9) Los planes de seguridad son aprobados peridicamente?
10) Estn suficientemente detallados y son comprensibles?
11) Existen registros de las pruebas realizadas?
12) Toma la alta gerencia medidas correctivas de acuerdo con los reportes de las pruebas?
13) Existe un plan de respaldo para el procesamiento de trabajos crticos para casos de
interrupciones por fallas en el equipo, en el software o por una destruccin permanente o
temporal del centro de cmputo?
14) Existen copias del plan fuera de las instalaciones del centro de cmputo?
15) Est conscientes los encargados del centro de cmputo de la existencia y procedimientos
descritos en el plan?
16) Son los procedimientos alternos propuestos, razonables desde el punto de vista del costo-
beneficio?
17) Han sido probados los procedimientos propuestos en el plan?
18) Contiene el plan una prioridad preestablecida para el procesamiento de las aplicaciones?
19) Identifica los sistemas operativos y archivos crticos?
20) Existe un sitio externo al centro de cmputo para el almacenamiento de los archivos
crticos?
21) Se mantienen durante cierto tiempo los archivos de transacciones que se utilizan en la
creacin de archivos maestros?
22) Contiene procedimientos para recuperacin de las lneas de comunicacin?
23) Prev la necesidad de un equipo de respaldo de idnticas o similares condiciones que el
principal?
24) Incluye procedimientos para respaldo de archivos de tal manera que minimice los
requerimientos de recuperacin?
25) Estn los procedimientos de respaldo de archivos incluidos dentro de las funciones del
bibliotecario?
26) Incluye instructivos para vaciar archivos en disco a cinta y almacenar stas fuera del centro
de cmputo?
27) Especifica la periodicidad conque debe ser probado para asegurar que es funcional?
28) Contiene procedimientos definidos para la reconstruccin del centro de cmputo?
29) Prev los procedimientos manuales que deben adelantarse con el fin de volver a colocar el
operativo al centro de cmputo?
30) Los usuarios son conscientes de los procedimientos manuales que son necesarios llevar a
cabo durante la recuperacin de la operatividad del centro de cmputo?
35
Los Controles de Carcter Especfico comprenden los procedimientos que estn referidos
directamente con el procesamiento de datos, concretamente se orientan hacia las aplicaciones en
explotacin o produccin y la integridad de los datos, desde su origen o entrada, su proceso hasta
su salida, as mismo se incluyen aspectos de control que no necesariamente se encuentran en
todos los ambientes de cmputo. Por ejemplo, una organizacin puede tener un sistema soportado
en bases de datos, otra en sistemas distribuidos, etc.
Al igual que los controles anteriormente descritos, stos tambin se verificarn y comprobarn con
cuestionarios.
Entrada de datos?
Procesamiento de computador?
Distribucin de errores?
Reprocesamientos?
Tablas de fechas?
Mantenimientos?
Entrenamientos?
6) Con respecto a la operacin de cada aplicacin:
36
En procesos en lnea se tienen procedimientos alternos para usar en casos de
cadas por largo tiempo?
37
2) Los usuarios tienen procedimientos establecidos para preparar los datos?
3) Son identificables los documentos utilizados para cada tipo de entrada?
4) Se aseguran los usuarios de la validez de los datos que se integran a cada documento
fuente?
5) Existen controles durante la preparacin de los datos que se llevan a cabo antes de la
transmisin para su procesamiento?
6) Son los documentos fuente diseados tcnicamente con el fin de minimizar errores y
omisiones?
7) Estn los documentos fuente prenumerados?
8) Por cada tipo de transaccin provee un cdigo o identificacin nico?
9) Existe una referencia cruzada entre el documento fuente y las transacciones para facilitar
su rastreo?
10) Los documentos fuente en blanco permanecen en poder de personal ajeno al del proceso
de diligenciamiento?
11) Estn almacenados en un lugar seguro?
12) La autorizacin de salida de documentos en blanco requiere de la firma del responsable?
13) Se establecen procedimientos de autorizacin para la entrada de los datos?
14) Estn documentados los procedimientos de control de informacin?
15) Estos procedimientos incluyen:
Mensaje de error?
38
22) Se obtienen por escrito los procedimientos que expliquen la manera como los datos son
convertidos e introducidos?
23) Existe separacin de labores entre las funciones de gerencia, entrada, procesamiento y
distribucin de los datos?
24) Existen dispositivos de control de los datos tales como:
Tcnicas de identificacin?
Tcnicas de registro?
Validacin de cdigos
Combinacin de campos
Signos aritmticos
Cotejo de registros
Secuencias
39
Referencias cruzadas
40
7) Los programas aplicados contienen controles que impidan la entrada de datos por
consola?
8) Los programas aplicados contienen controles que impidan la actualizacin de los archivos?
9) Identifican los programas aplicados el tipo de datos de entrada por procesar?
10) Existen opciones estandarizadas de valores fijos o predeterminados (default) dentro de la
lgica de los programas?
11) Los programas aplicados generan totales de control?
12) Los programas aplicados contienen rutinas que controlan las etiquetas iniciales internas de
los archivos antes de su procesamiento?
13) Las etiquetas finales internas contienen totales de control que compara contra el total
incluido en los archivos?
14) Los datos incorrectos son rechazados antes de la actualizacin de archivos maestros?
15) Los procedimientos de validacin se aplican a todos los campos?
16) Los programas aplicados contienen rutinas o mecanismos que aseguren la exactitud de los
valores incluidos en las tablas?
17) Si los archivos son actualizados directamente, los programas generan un log que muestren
la fecha y hora de la transaccin y clave del usuario que est actualizando?
18) Existen por escrito procedimientos para la identificacin, correccin y reprocesamiento de
los datos previamente rechazados?
19) Los mensajes de error por consola son claros y comprensibles?
20) Se graban los datos rechazados en archivos de pendientes?
21) Se limita la intervencin del operador lo mximo posible durante el procesamiento?
22) Los procedimientos descritos en el manual de operacin determinan claramente las
intervenciones del operador durante la ejecucin de un trabajo?
23) Cumplen las actividades actuales del operador con las funciones establecidas para su
cargo?
24) Se revisan los logs del sistema para evaluar las intervenciones del operador?Est
prohibido a los operadores el acceso a la documentacin de la aplicacin, programas,
datos y software del sistema?
25) Existe un procedimiento para reiniciar o reprocesar un trabajo posterior a la deteccin de
errores?
26) Se especifican puntos de control de corrida a corrida?
27) Los sistemas de informacin se disean de acuerdo con los estndares desarrollados?
28) Los errores de procesamiento son identificados en el punto ms cercano al inicio?
29) Se utilizan al mximo las utilidades del hardware y del software para detectar y corregir
errores?
30) La contabilidad de los trabajos de procesamiento incluyen:
41
Tiempo de ejecucin inicial y final
Razn de terminacin
Mensajes de error
Terminaciones anormales
32) Estn debidamente registrados las fallas de los equipos, la recuperacin de errores, los
reinicios o paradas de trabajos y se revisan peridicamente?
33) Se mantiene una bitcora del sistema o de la consola que incluya todas las actividades de
cmputo y se revisa peridicamente especialmente para:
23.1. DOCUMENTACIN
Solicite y verifique:
1) Diagramas del sistema y la red de los servidores de bases de datos, los servidores de
replicacin y los servidores de aplicacin, todas las conexiones de clientes a la base de
42
datos, incluyendo las interfaces de red, direcciones IP, conexiones de LAN y WAN (Ej.
routers, switches, dial-up).
2) Documentacin de las aplicaciones para la base de datos, narrativa, o manuales
describiendo todas las aplicaciones que usa la base de datos.
3) Esquemas organizacionales y descripciones de trabajo para los empleados que estn a
cargo de las bases de datos.
4) Polticas y procedimientos para la administracin de la base de datos, incluyendo
procedimientos de seguridad y recuperacin, as cmo los procedimientos de backup.
5) Documentacin de recuperacin de la base de datos junto con sus pruebas y resultados.
6) Espacio de disco y espacio de las tablas, planeacin, tamao y documentacin de
monitoreo.
7) Archivo de inicio de la base de datos (en Oracle: init<System/Instance ID>.ora).
8) Impresin de todos los scripts de inicio para las utilidades de la base de datos, los
programas de backup o las aplicaciones.
9) Para Oracle : la impresin del archivo configurada.
10) Impresin de los directorios en Unix y Windows NT que muestren a los owners y los
permisos de archivo en cada directorio de los archivos.
11) Para Oracle: Impresin de los directorios de archivos de Windows NT y Unix, localizados
por el log_archive_dest en el archivo init<System/Instance ID>.ora, mostrando a los owners
y los permisos de archivo.
12) Impresin de los directorios de Windows NT y Unix conteniendo cdigo y scripts que
pueden habilitar un acceso a la base de datos y mostrando owners y permisos de archivo
para cada directorio.
13) Para Oracle: Impresin de los directorios de Windows NT y Unix mostrando a los owners y
permisos de archivos para el archivo servidor paralelo de password de Oracle que se
encuentra en la variable remote_login_passwordfile en el archivo init<System/Instance
ID>.ora. Debe incluir los permisos de archivo para el directorio en donde se encuentra.
14) Impresin de los archivos de Unix /etc/passwd y /etc/group.
15) Impresin del comando df (desplegar sistema de archivos) de Unix.
16) Para Oracle: Impresin de la vista a la tabla dba_users.
17) Para Oracle: Impresin de la vista de logs de la tabla sys.aud$ o el nombre del archivo
denotado por el parmetro AUDIT_TRAIL en el archivo init<System/Instance ID>.ora.
DBA_AUDIT_SESSION
AUDIT_ACTIONS
DBA_AUDIT_OBJECT
Para Oracle: Impresiones de los usuarios de la base de datos y sus privilegios:
DBA_ROLES
DBA_ROLE_PRIVS
DBA_SYS_PRIVS
DBA_TAB_PRIVS
ROLE_ROLE_PRIVS
43
ROLE_SYS_PRIVS
ROLE_TAB_PRIVS
Impresin de los directorios de Unix y Windows NT que muestren a los owners y los permisos de
archivo para el SQL*Net, Versin 2, archivo tnsnames.ora.
Impresin del archivo /etc/services (Unix) o las descripciones de servicios en Windows NT.
3) Sistemas de informacin, aplicaciones Web y otros usos crticos para la misin de la base
de datos.
Procedimientos:
Verifique la existencia de la documentacin de los procesos de Cliente-Servidor y el host.
Tiene un servidor de base de datos, los usuarios hacen Login por medio del sistema
operativo (telnet)?
En el medio Cliente-Servidor (dos personas) con procesos que corren en el PC del cliente
(cliente Fat), los usuarios hacen Login por medio del programa de acceso a redes de
Oracle.?
44
Determine si el programa de aplicaciones corre a nivel del sistema operativo para cada
usuario individual de Unix o NT (Ej. Telnet y acceso netlogin). En este caso, se enfoca el
control en el medio para la autenticacin de Unix/NT.?
Los accesos de la base de datos estn limitados a los objetos de los programas, y los
accesos a los objetos del sistema estn restringidos de las aplicaciones de la base de
datos.?
Determine si el programa corre al nivel del sistema operativo bajo un solo identificador, que
cada usuario logs en la base de datos para autenticacin. En este caso, el acercamiento
de la auditora se debe enfocar en los controles de los procesos de autenticacin y Login.
Asegrese que cada usuario es restringido apropiadamente por la seguridad del programa
u opcin de men.
Asegrese que el usuario no puede escaparse de ese nivel de la aplicacin y ganar acceso
al sistema operativo o la base de datos.
Asegrese que el acceso (Ej. Roles y privilegios) limitan cada proceso del usuario en las
aplicaciones a slo objetos de la aplicacin y restringe los accesos a objetos del sistema.
En los casos donde los usuarios hacen log directamente a la base de datos a travs de
SQLPlus, SQLDBA o alguna otra interfaz, se efectan procesos de autenticacin y Login,
as como tambin de los controles de acceso?
Asegrese que cada perfil de usuario en la tabla de usuarios (En oracle dba_users ) es
autenticado.
Para un proceso de Login controlado por una aplicacin (Ej. Los usuarios no hace log a la
base de datos o al sistema operativo).?
Asegrese que cada perfil del Id del proceso del usuario en la tabla de usuarios (En Oracle
dba_users) es auditada.
Asegrese que acceso (Ej. Roles y privilegios) limitan cada acceso a aplicaciones de
usuario (ID Oracle) a slo objetos de programas de aplicaciones y restringe el acceso a
objetos del sistema.
45
Determine si un programa es una aplicacin de Web a travs de http:// y un CGI gateway
en un servidor Web.
Determine que el router de Internet y los controles de firewall restringen el acceso a la base
de datos.
Los procesos de un solo usuario y los procesos del sistema operativo para cada usuario
son identificados por el servidor de bases de datos (ver puntos anteriores).?
1) Usando la lista de la tabla de datos del usuario (en Oracle dba_users), identifique todos los
prefijos de Identificacin (en Oracle OPS$, operating system pass-through to Oracle).
2) Examine la seguridad de Login del host para asegurar que todos los ID son validos y
representan a los usuarios actuales.
4) Los usuarios remotos que estn autenticados no puede conectarse a la base de datos al
determinar que parmetros son usados para arrancar la base de datos (en Oracle
OPS$OFF).?
5) Audite el archivo de seguridad del sistema para asegurar que los usuarios estn
restringidos de acceder programas, archivos de configuracin, logs, y tamao de las tablas.
6) El dueo de todos los directorios es una cuenta administrativa (en Oracle es la cuenta
dba)?
9) Los permisos para los archivos Unix son 750 para archivos ejecutables binarios del
sistema de bases de datos.?
10) El parmetro umask de Unix est puesto para que los archivos log no sean ledos ni
modificados.?
11) Los permisos de los archivos NT estn restringidos de manera que no se puede acceder al
grupo "Everyone".?
12) Los permisos de los archivos NT estn puestos para archivos que heredan permisos de su
directorio.?
13) Audite la seguridad del owner y el grupo de la base de datos para asegurarse que el uso
est restringido a personal administrativo autorizado y procesos.
46
14) El uso de las cuentas es restringido al administrador de la base de datos.?
15) Revise el archivo de Unix /etc/group para asegurarse que los miembros del grupo
administrativo (dba) est limitado a la cuenta administrativa para prevenir conexiones no
autorizadas que son internas a la base de datos./etc/group.
16) Revise los permisos de archivo para el sqldba y el server manager para asegurar que su
uso est restringido a la cuenta administrativa de la base de datos.
1) Lograr que todos los procesos y usuarios estn autorizados y autenticados en la base de
datos y que los procesos de usuarios estn controlados.
2) Obtenga una lista completa de la vista a la tabla de usuarios (en oracle dba_users) para
asegurar que la autenticacin de la base de datos es segura.
3) Determine que todos los usuarios estn representados por procesos y usuarios de la base
de datos vlidos y autenticados.
4) Pruebe los passwords que se tienen por defecto en las cuentas de sistema y de la base de
datos (En Oracle sys).
5) Los procesos estn en su lugar para que un cambio peridico de passwords y formatos de
passwords sea seguro.?
7) El comando de procesos de Unix (ps) est'a restringido al nivel del sistema operativo, de
manera que un usuario no pueda ver el password de la base de datos en texto (Esto ocurre
con Oracle con el comando ps en el momento que un usuario inicia SQLPlus u otro
programa con un string de tipo username/password).?
8) A travs de una revisin de los procesos de los programas y la discusin con los
funcionarios operativos y el personal de administracin de la base de datos, determine si
los programas de aplicacin o utilidades conectan a la base de datos desde el cdigo del
programa y si los programas que contengan cdigo sobre la bases de datos (Ej. Id,
passwords) estn protegidos por los apropiados permisos de archivo y directorio.
9) Revise la vista de la tabla de usuarios (dba_users en Oracle) para asegurarse que todos
los procesos de usuario estn configurados para proteger los recursos del sistema y las
tablas.
10) El parmetro por defecto del espacio de las tablas est puesto a una tabla de usuario y que
slo las cuentas de sistema (sys y system en Oracle) tengan el espacio de tablas del
sistema como su tamao por defecto.?
11) Asegrese que slo la cuenta de administracin (sys en oracle) tenga el espacio de tablas
del sistema y el temporal.Todos los otros usuarios deberan tener un espacio de tablas
temporal como el temporal del espacio de tablas.
47
12) Asegrese que el perfil de los parmetros de los usuarios incluyan los valores por defecto
que sean consistentes con la aplicacin de la base de datos para ayudar a proteger el
sistema contra procesos de usuarios no controlados (En oracle CPU_PER_SESSION,
PRIVATE_SGA, y LOGICAL_READS_PER_SESSION).
13) Revise que la vista de la tabla de usuario para lograr que los siguientes parmetros que
pertenecen a procesos de seguridad de Login y sus procesos estn activos.
14) Para Oracle: SESSIONS_PER_USER debera tener como valor 1 en la mayora de los
casos.
15) CONNECT_TIME debera ser usado para usuarios interactivos (esta variable se mide en
minutos) y nunca para procesos con el fin de asegurar que los procesos de la base de
datos no sean molestados.
16) IDLE_TIME debera ser usado para usuarios interactivos (esta variable se mide en
minutos), y nunca para procesos con el fin de asegurar que los procesos de la base de
datos no sean molestados.
17) Obtenga una impresin del log de sesin de los usuarios (en oracle la vista de la tabla
DBA_AUDIT_SESSION).
18) Todos los intentos fallidos de log queden registrados, revisados y seguidos.?
1) Determine que los procesos de los usuarios e identificadores estn restringidos por los
objetos de acceso al sistema.
2) El sistema le otorga a los usuarios un acceso interactivo a la base de datos por medio de
herramientas de consulta y herramientas de la base de datos.?
3) El acceso de los usuarios est propiamente restringido por medio de la asignacin de roles
y privilegios.?
4) Obtenga una impresin de las tablas que involucren actividad de los usuarios (En Oracle
son las siguientes tablas DBA_ROLES, DBA_ROLE_PRIVS, DBA_COL_PRIVS,
DBA_SYS_PRIVS, DBA_TAB_PRIVS, ROLE_ROLE_PRIVS, ROLE_SYS_PRIVS,
ROLE_TAB_PRIVS).
6) La informacin confidencial est restringida por los usuarios interactivos y los procesos
estn restringidos del sistema o cualquier objeto.?
48
10) Obtenga las impresiones de los logs de las acciones de auditora.
11) Los comandos crticos en los objetos (Ej. Crear, alterar, delete) estn en el log y son
revisados.?
12) Los objetos del usuario y del sistema que son crticos estn en el log para cada cambio,
adiciones, y eliminaciones y que el log es revisado y monitoreado.?
1) Asegurar que la base de datos est disponible para usuarios y procesos y qu las medidas
han sido tomadas para limitar la exposicin de las fallas de los componentes, de la
comunicacin y de cualquier otra interrupcin sobre el sistema.
Asegurar que los espacios de las tablas han sido distribuidos a travs de mltiples
discos para distribuir input/output.
En la salida de los logs de realizacin han sido archivados y los archivos de control
han sido montados en discos separados y que estos han sido copiados en otros
discos por separado.
Revise los contenidos del archivo de configuracin (en Oracle config.ora) para el
control de nombres de los archivos y confirme que los controles sobre los archivos
estn localizados en tres diferentes sistemas de archivos y en tres diferentes discos.
3) La informacin crtica sobre el tamao de las tablas est duplicada para una rpida
recuperacin.?
4) Cada disco usa un controlador por separado para minimizar el impacto sobre una falla en
el controlador ? (Ver el nombre del archivo en la salida del df).
5) Los procedimientos de monitores de los discos y del tamao de las tablas estn en su
lugar.? (Para garantizar que los requerimientos de crecimiento son conocidos de antemano
en la necesidad de una variacin en el tamao o que se realice una reorganizacin del
tamao de las tablas).
49
9) El archivo init<System/Instance ID>.ora est en el parmetro llamado Checkpoint_process
y tiene un valor de True.? (Para asegurar que los puntos de chequeo estn siendo
grabados en archivos de control).
11) Obtenga los procedimientos de backup para la base de datos, los horarios de backup, y los
programas de backup.
12) Los backups incrementales estn siendo tomados como mnimo cada noche? (Ej. Objetos
que han cambiado desde la ltima vez).
13) Los horarios de backups de la base de datos (lgicos) son puestos cuando los usuarios no
estn en el sistema, los reportes y los procesos de batch hayan terminado.?
14) Se usan procedimientos estndar para los backups lgicos que permitan proteger la
integridad de la base de datos.?
15) Cuando se efectan los backups lgicos con la base de datos se hace de modo restringido,
asegurando que los usuarios que no tengan la calidad de administradores de la base de
datos no puedan hacer Login mientras corre el backup.?
16) Los backups lgicos semanales son hechos usando la opcin completa (por defecto), para
asegurarse que toda la base de datos esta en el backup.?(si no hay backups, revisar en
tiempo de ejecucin)
17) Los backups del sistema son realizados como mnimo semanal o mensualmente.?
18) Revise el catlogo del almacenamiento de los backups y procedimientos de control para
asegurar que han sido actualizados satisfactoriamente, marcados interna y externamente y
conservados fuera del lugar donde se encuentra la base de datos.
19) Obtenga y revise la documentacin sobre recuperacin de la base de datos y sus pruebas
con sus resultados. Asegrese que por lo menos ocho escenarios de riesgo han sido
probados satisfactoriamente.
1) Determine que las redes de la base de datos han sido diseadas para soportar los
requerimientos de disponibilidad y las necesidades de seguridad de la aplicacin en base
de datos.
3) Cul es la velocidad mxima y el mximo de ancho de banda que es usado para soportar
el uso elevado de SQL entre la red y sus componentes.? (Ej. Entre servidores de bases de
datos y los servidores de aplicaciones).
4) Los links redundantes (ej. Interfaces, hubs y routers) son usados para soportar los
requerimientos del sistema.?
50
5) Qu puertos de mantenimiento estn siendo utilizados por separado por los servidores de
bases de datos para acceso administrativo y de mantenimiento.?
7) Obtenga los archivos de configuracin para los routers que conectan la base de datos con
las redes de los usuarios (puertos tcp 1521 y 1525).
9) El hot swap routing protocol (hsrp) est en uso y los routers redundantes estn disponibles
a los servidores de base de datos en caso de una falla de los equipos.?
10) En SQL*Net, versin 2, revise que el contenido del archivo de nombres (en Oracle
tnsnames.ora) para confirmar que cada sistema listado es autntico y autorizado por el
servidor de bases de datos.
1) Asegurar que los controles de desarrollo e integridad son efectivos para proteger la base
de datos contra cambios no intencionales hechos por usuarios y procesos.
3) El cdigo y los procedimientos de prueba son usados para lograr que los programas de
acceso a la base de datos cumplan con la integridad de las transacciones en procesos que
actualizan mltiples tablas.?
Las responsabilidades del administrador de la red incluyen aquellas actividades que garanticen la
identificacin y satisfaccin eficiente de los requerimientos de los usuarios, tales como:
1) Planeacin de la red
51
3) Administracin de los problemas
7) Mantenimiento de los acuerdos de servicios con los usuarios, los administradores de la red
y de aplicaciones
7) Se miden las prcticas que soportan la administracin del proyecto, de acuerdo con
indicadores visibles de riesgo, tales como tamao, crticabilidad de la red o servicio
afectado?
9) Se especifican los planes del proyecto, las responsabilidades para las pruebas, el
entrenamiento y la documentacin?
52
2) Seleccin de equipos no compatibles con otros de la organizacin
Revisin y anlisis de los puntos apropiados del proceso por parte de un grupo de
expertos.
Expertos tcnicos
Expertos en controles
9) Seguridad fsica
53
10) Se efectu previamente un anlisis de la ubicacin fsica de la red (Ambiente)?
13) Anlisis de costo/beneficio, medidas de seguridad fsica Vs. prdidas probables por causas
del riesgo.
Interferencia electromagntica
Robo de equipos
Sabotaje
Seguridad Lgica
54
Se han establecido medidas y/o controles de seguridad que cubran y prevengan
las causas de riesgo tales como:
Robo de datos sensibles?
24.4. Contratacin
Efectos
55
No contratacin de servicios externos necesarios
56
Ha sido la totalidad del software adquirido legalmente?
57
Se ha estudiado la posibilidad de exigir password para la entrada al
sistema operativo del microcomputador con el fin de evitar alteraciones o
prdida deliberada o accidental de archivos residentes en el disco duro?
8) Se tiene una estadstica sobre el consumo de recursos por cada puesto de trabajo?
10) Estn los Microcomputadores asegurados contra robo y contra prdida total o parcial de
datos crticos?
Para la preparacin del memorando deben seguirse los parmetros establecidos para tal fin en
esta gua.
El propsito de estos paquetes es auxiliar en la consulta y los clculos bsicos sobre los archivos
magnticos que anteriormente se realizaban con registros en forma manual. Como ejemplo se
tiene el paquete IDEA (Interactive Data Extraction Analysis). Las principales funciones que ejecuta
un paquete de esta clase son:
1) Lectura de archivos.
2) Validacin de campos.
3) Pruebas parciales.
58
5) Identificacin de registros duplicados.
9) Ejecucin de clculos.
Es la etapa de la Auditora en que con base en los resultados de la Evaluacin del Control Interno
de Sistemas, el auditor define, prepara y efecta las Pruebas de Auditora que en sntesis
corresponden a la seleccin de las tcnicas ms adecuadas, con el fin de determinar la
consistencia lgica de los programas; la exactitud, confiabilidad, integridad, oportunidad y
seguridad de los controles en el tratamiento de la informacin y la optimizacin en el uso de los
recursos informticos.
Las Pruebas de Auditora se constituyen en las herramientas del auditor para obtener las
evidencias adecuadas que fundamentan las conclusiones de auditora. Hay que tener en cuenta,
sin embargo, que los resultados de las pruebas pueden mostrar la existencia de fallas en el
sistema pero nunca pueden probar su total perfeccin.
Pruebas de Cumplimiento
Pruebas Sustantivas
Con respecto al Sistema de Control Interno operante y los tipos de pruebas vistos, se pueden tener
las siguientes situaciones, las cuales el auditor debe tener en cuenta durante la ejecucin de su
trabajo:
Cuando el auditor decide confiar en los controles que la administracin ha diseado, debe evaluar
que estos controles operen efectivamente a travs de las Pruebas de Cumplimiento. Si estas
pruebas proporcionan al auditor un alto grado de confianza, las Pruebas Sustantivas pueden ser
reducidas.
59
Si las Pruebas de Cumplimiento no proporcionan un buen grado de confianza, o si el auditor
decidi no confiar en el Control Interno, se deben ampliar las Pruebas Sustantivas.
Las pruebas de cumplimiento se usan para determinar si un procedimiento de control prescrito est
funcionando efectivamente y consisten en verificar:
El conocimiento por parte del personal de los manuales y polticas del ambiente
informtico.
Las pruebas sustantivas se disean para proveer una seguridad razonable sobre la validez de la
informacin producida.
Elaboracin de operaciones.
Comparacin de archivos.
Estratificacin de archivos.
Resumen de informacin.
Generacin de reportes.
60
Simular parte del sistema o el sistema completo.
An cuando los objetivos de auditora no se modifican con relacin a la manera como se procesan
los datos, el uso del computador si afecta los procedimientos para el logro de estos objetivos, es
decir, las variaciones en los procedimientos son resultado de las modificaciones al sistema de
control interno en el medio informtico.
El auditor debe identificar, verificar y evaluar los mtodos de control en el proceso de obtencin de
la evidencia adecuada para fundamentar las conclusiones de auditora a travs de pruebas de
cumplimiento y/o sustantivas.
Una de las herramientas ms tiles para adelantar tanto pruebas de cumplimiento como pruebas
sustantivas son las que se conocen como Tcnicas de Auditora Asistidas por Computador (
TAAC's), las cuales se orientan hacia los datos, las aplicaciones, los equipos y programas y
permiten seleccionar y procesar la informacin necesaria para fines especficos de la auditora,
facilitando la aplicacin de mtodos de muestreo estadstico, aumentar el alcance de las pruebas y
verificar la integridad de los datos en la poblacin auditada.
Mediante esta prueba se genera un conjunto de datos con los errores ms frecuentes tales como:
valores muy grandes o muy pequeos, cdigos inexistentes, caracteres en lugar de nmeros,
fechas imposibles, datos mayores al tamao de los campos, etc., con el objeto de verificar si la
aplicacin valida la informacin de entrada, detecta los errores y chequea rutinas de inters tales
como clculos de pagos, descuentos, etc.
61
Consiste en adicionar a los registros normales de la aplicacin, datos que son importantes para el
Auditor (pistas de auditora). Mediante este mtodo se recopilan datos significativos que han
afectado el procesamiento.
28.5. Rastreo
Permite verificar los cambios efectuados a los programas y que los procedimientos de
mantenimiento sean los correctos mediante la comparacin del programa que est en produccin
con el programa fuente.
Consiste en preparar una aplicacin computacional por separado que efecte las mismas
funciones que los programas de aplicacin reales deben leer los mismos datos de entrada
utilizando los mismos archivos y tratando de producir los mismos resultados.
Se utilizan los mismos programas existentes en el sistema que permiten comprobar los controles
definidos previamente con los realmente programados.
62
El producto final de la labor de Auditora es el Informe Final; con este Informe se busca dar a
conocer a la entidad auditada la realidad con respecto al rea examinada, dando una opinin
constructiva en forma clara y concisa, evitando detalles excesivos, los que pueden ser incluidos en
anexos.
As mismo, se deben presentar conclusiones del trabajo efectuado, de acuerdo con los
antecedentes contenidos en las diferentes fases y en concordancia con los objetivos trazados,
hechos que deben estar debidamente sustentados en los papeles de trabajo que se dejarn en
legajos independientes y se referenciados de acuerdo a la Codificacin asignada para esta rea.
30. SEGUIMIENTO
Esta fase cierra el ciclo del proceso de auditora en la que se efectuar el anlisis y evaluacin del
acatamiento de las entidades del Estado a las recomendaciones formuladas por la Contralora de
Bogot D.C.. Cabe anotar que para su ejecucin se debe cumplir todo el ciclo de auditora.
Objetivos
63
Mantenimiento de los registros contables, manuales y custodia de bienes.
Comprobar la eficiencia del rea de informtica y que sus recursos sean tambin
administrados apropiadamente.
Cronogramas de actividades.
64
Problemas en el cumplimiento de la entrega de resultados a las reas usuarias.
CALIFICACIO
N
DETALLE SI NO OBSERVACIONES
1 2 3 4 5
Verifique si la Misin definida para la Oficina de Sistemas y cada uno de los Grupos se
cumple satisfactoriamente y contina vigente.
La oficina de sistemas esta preparada para cubrir las necesidades futuras tecnolgicas
y de automatizacin en forma ordenada y controlada sin inconvenientes en su
funcionamiento.
Se ha definido un calendario para poner en accin los proyectos especficos del Plan
Estratgico y asignar recursos necesarios.
La oficina cuenta con los sistemas y recursos suficientes que contribuyan en forma
mas efectiva al cumplimiento de las metas y objetivos de la entidad
Determine si estn descritos y se han entregado los objetivos para cada rea funcional
de la Oficina de Sistemas.
65
Estn clasificados los sistemas en adecuados, por mejorar, por ajustar y/o por implantar,
acorde con las necesidades.
Objetivos
Procedimientos
66
Compruebe el diseo e implantacin de un plan de
2 contingencia para garantizar a los usuarios la continua
prestacin del servicio, an en situaciones de emergencia
CALIFICACION
Detalle SI NO OBSERVACIONES
1 2 3 4 5
Los recursos materiales estn protegidos en forma razonable contra prdidas a travs de
medidas preventivas apropiadas.
Los controles de emergencia para desconectar la energa elctrica estn fcilmente accesibles
a las salidas.
Las cuadrillas de emergencia pueden acceder a las distintas instalaciones sin demora.
Existen sistemas y mecanismos para llamar a los bomberos a la polica en caso de que se
presenten problemas.
Las localizaciones fsicas y los recursos de cmputo de la oficina de sistemas estn protegidos
contra actos vandlicos y terroristas.
Las reas de atencin al pblico estn ubicadas en lugares que otorgan seguridad a los
usuarios de la oficina de sistemas.
67
CALIFICACION
Detalle SI NO OBSERVACIONES
1 2 3 4 5
Las reas donde se guarda el material de respaldo ya sea en el mismo edificio en otro lugar
estn debidamente protegidas contra incendio y otras catstrofes materiales.
En caso de sufrir los efectos de una catstrofe mayor como por ejemplo, la destruccin total de
equipos y de los sistemas de informacin, la oficina de sistemas est preparada para seguir
funcionando.
Este plan se distribuye a todos las reas de la oficina de sistemas y a los usuarios externos
que de una manera u otra estn involucrados.
Existen procedimientos manuales que podran usarse en caso de urgencia para atender las
necesidades prioritarias.
Estn clasificadas las prioridades de los servicios que proporciona la oficina de sistemas.
Est dispuesto todo lo necesario para asegurarse que los procesos vitales puedan seguir
funcionando durante periodos de emergencia causados por desperfectos en los equipos,
perdida comn de datos, errores de programacin y otras situaciones parecidas.
Existe un catlogo actualizado de todos los archivos de datos y de programas que se guardan
fuera de la oficina de sistemas.
Estn debidamente asegurados contra posibles prdidas por catstrofes naturales o fallas
humanas.
68
CALIFICACION
Detalle SI NO OBSERVACIONES
1 2 3 4 5
La compaa tiene contratados seguros para cubrir prdidas por errores en el rea informtica
que puedan causar interrupciones en el negocio.
La pliza de seguros cubre costos de viaje, reposicin de discos, cintas y otros materiales, as
como costos de horas de trabajo extras (sobre tiempo).
El manejo de software debe estar vigilado para no incurrir en faltas que produzcan problemas
legales o la prdida de datos de la tecnologa de sistemas de informacin.
Los funcionarios de la Entidad tienen claro el uso de software con licencia y sin ella.
El uso de software sin licencias est penalizado por la ley? Los empleados tienen
conocimiento de ello.
Se ha prevenido a los usuarios de los equipos de cmputo del peligro de los virus.
Se tiene instalado.
Se ha prohibido traer o llevar disquetes o software para lugares diferentes a los sitios de
trabajo de los funcionarios.
Los disquetes son probados por un software anti-virus antes de ser utilizados.
Objetivos
Verificar que la informacin almacenada en las bases de datos y que es de gran valor para
la entidad, est protegida contra su prdida o robo.
69
Comprobar la seguridad para la proteccin de los datos contra el acceso accidental o
intencional por parte de individuos no autorizados y contra su indebida destruccin o
alteracin.
Identificar las medidas de seguridad empleadas para conservar correctos los datos en la
base de datos, con el fin de mantener su integridad.
Examinar los procedimientos con los que cuenta el sistema de base de datos para evitar la
inconsistencia de los datos, reduciendo al mnimo la redundancia y preservando en todo
momento la integridad de los datos.
Procedimientos
CALIFICACION
ACTIVIDADES SI NO OBSERVACIONES
1 2 3 4 5
70
CALIFICACION
ACTIVIDADES SI NO OBSERVACIONES
1 2 3 4 5
71
CALIFICACION
ACTIVIDADES SI NO OBSERVACIONES
1 2 3 4 5
72
CALIFICACION
ACTIVIDADES SI NO OBSERVACIONES
1 2 3 4 5
73
CALIFICACION
ACTIVIDADES SI NO OBSERVACIONES
1 2 3 4 5
Objetivos
Verificar el control del rea de operaciones de los centros de procesamiento de datos y las
reas de atencin a usuarios, puesto que son puntos claves que se deben tener presentes
en la oficina de sistemas.
Controlar que estas reas sean eficientes y eficaces, es fundamental, ya que tiene
consecuencias inmediatas en el mantenimiento de la continuidad de las operaciones de la
oficina de sistemas.
Procedimientos
74
Evaluacin del Control Interno
OBSERVACIONES SI NO N/A
El Usuario.
El Coordinador de Grupo.
Se han tomado medidas para que los operadores / administradores no puedan obtener
las claves de acceso del usuario?
Existe un registro de las personas que tienen acceso a los archivos y datos?
75
OBSERVACIONES SI NO N/A
Se toman medidas en caso de existir situaciones anmalas en los logs del sistema?
Existe un registro de las personas que tienen acceso a los archivos, datos, terminales?
El Administrador del sistema lleva un registro de las actividades diarias que realiza en el
sistema?
En caso de ausencia del administrador, existe otro funcionario capacitado para asumir
sus funciones?
Se han considerado medidas de control adecuadas para tener la seguridad de que los
usuarios reciben la informacin correcta y oportunamente?
Estn conscientes los usuarios de los plazos para hacer ingresos de transacciones y los
plazos de entrega de los informes?
Existe un procedimiento para asegurar que la emisin de todos los informes programados
y su entrega correcta?
76
OBSERVACIONES SI NO N/A
Se compara la lista de procesos con el programa de trabajo, para tener seguridad de que
todos los trabajos han sido procesados y en la secuencia correspondiente?
Se comparan los totales de control obtenidos durante el procesamiento con los totales de
los controles de entrada?
Los supervisores revisan los logs de operacin, para verificar si los operadores estn
respondiendo adecuadamente a los mensajes de operacin?
Los operadores tienen instrucciones de guardar informacin que pueda servir para
solucionar problemas?
Se contabilizan en debida forma los items rechazados, para asegurar que sean
procesados ms adelante?
Se lleva una planilla para el mantenimiento de cada equipo en la que se consigna el tipo
de mantenimiento, fecha de realizacin, estado del equipo y anotaciones especiales?
Los controles aseguran que las operaciones de correccin ejecutadas por grupos de
atencin al usuario se ajustan a las necesidades?
77
OBSERVACIONES SI NO N/A
Existen disposiciones claras para el retiro de personal que exija entre otras, la devolucin
de llaves y la elaboracin de un inventario del material a que tena acceso?
Objetivos
Verificar los procedimientos establecidos por el rea de Sistemas y que permiten al Grupo
de desarrollo garantizar que los sistemas sean eficientes, eficaces, y confiables cuando
entren en produccin normal (explotacin).
Comprobar que los procedimientos incluyen pistas de Auditora y Control en los sistemas.
Por otra parte, cabe sealar que los recursos de esta rea son los que ms inciden en los
costos del procesamiento de la informacin.
Es fundamental, que el rea cumpla con los plazos estipulados en el desarrollo de los
sistemas, para garantizar buenos resultados, ya que entregar informacin correcta y
oportuna es fundamental para la toma de decisiones.
Procedimientos
78
Iniciacin Terminacin P/T
OBSERVACION SI NO N/A
79
OBSERVACION SI NO N/A
Objetivos:
Evaluar cmo se afecta globalmente la seguridad de los datos, a medida en que las
comunicaciones y procesamiento de datos continan expandindose, teniendo en cuenta el
incremento en la proliferacin de computadores personales, terminales y porttiles que acceden a
sistemas por redes.
Procedimientos
80
Fecha de Fecha de REF.
No. Detalle Responsable Observaciones
Iniciacin Terminacin P/T
Jornal de transacciones.
Logging de errores.
Procedimientos de recuperacin.
Encripcin ciframiento.
81
OBSERVACIONES SI NO N/A
La organizacin lleva a cabo algn anlisis de riesgo formal para las facilidades
de comunicaciones respecto al impacto de acceso no autorizado?
Se han tomado medidas en los servidores de los sitios remotos para proteger
fsicamente las facilidades de comunicaciones contra acceso no autorizado?
Qu controles existen entre las redes pblicas y las de gateway, para garantizar
la integridad y seguridad de los datos?
82
OBSERVACIONES SI NO N/A
83