AUDITORIA DE SISTEMAS

MARCO CONCEPTUAL

1. OBJETIVOS

1.1. Objetivo general

Efectuar un examen crtico, sistemtico y selectivo a los sistemas de informacin implementados

por los sujetos de control, con el propsito de conceptuar respecto a la eficiencia y eficacia de
estos; al igual que su confiabilidad, consistencia, integridad y oportunidad.

1.2. Objetivos especficos

Revisar y verificar las polticas de seguridad establecidas por la administracin para el rea
de informtica.
Comprobar que los sistemas de informacin hayan sido desarrollados siguiendo normas y
parmetros de economa, eficiencia y eficacia.
Revisar que los programas o aplicaciones para los sistemas no tengan rutinas que
permitan fraude o que produzcan errores en los resultados.
Verificar que se estn utilizando las versiones autorizadas de los programas en produccin.
Evaluar y conceptuar sobre el sistema de control interno existente en el rea de
informtica.
Evaluar y conceptuar respecto a los procedimientos de backup, mantenimiento de equipos,
plan de contingencias, seguridades fsicas y ambientales, seguridades lgicas, gerencias
PED, plan de informtica y redes y sobre proyectos especiales; adems, evaluar el aspecto
tcnico de la contratacin de software y hardware.

2. AREAS DE INTERS DEL AUDITOR DE SISTEMAS

Si se tiene en cuenta que el objetivo bsico que se busca con la adquisicin y utilizacin de los
sistemas es el de entregar informacin confiable, til y oportuna, el auditor tambin debe abarcar
reas donde estos hacen presencia, tales como:
La Gerencia de Sistemas
La organizacin y el personal
El rea de sistemas
Las aplicaciones
Los estndares de documentacin y desarrollo

1
 La operacin de los sistemas
La gerencia financiera
Los planes de desarrollo informtico
Los controles y la seguridad en general
Los archivos maestros y de transacciones
La Red de Comunicaciones y de Datos
La Internet
Los microcomputadores
La Transferencia Electrnica de Documentos
Otros

3. EL PROCESO DE AUDITORA DE SISTEMAS

Toda accin de auditora sigue ciertas fases especficas mediante las cuales se desarrolla el
trabajo. Con respecto a la Auditora de Sistemas, aunque se tiene un elemento nuevo, como son
los sistemas, ste no incide en la manera de llevar a cabo el examen; por consiguiente, son
igualmente vlidas para definir el proceso que se debe seguir en la Auditora de Sistemas, estas
fases son:

3.1. Planeacin de la Auditora

La Auditora requiere de planeacin con el fin de definir adecuadamente los objetivos; el alcance
del trabajo, las tcnicas y herramientas a utilizar, los recursos humanos y tcnicos que se
emplearn, as como los plazos para realizar el examen.
El objetivo de la planeacin es el de proveer al Auditor de un conocimiento sobre la importancia de
los Sistemas de Informacin en la organizacin, con una evaluacin preliminar de sus fortalezas y
debilidades, as como una lista de materias relacionadas con el rea, que sean de potencial
significado y que debern ser examinadas en la fase de ejecucin.

La fase de planeacin se compone de actividades importantes tales como:

3.1.1. Conocimiento General de la Entidad

Esta etapa permite conocer y estudiar en forma general la entidad y la funcin informtica, para lo
cual es necesario obtener informacin suficiente relacionada con la organizacin de los sistemas,
objetivos, reglamentos, normas, funciones, estructura del rea, equipos, aplicaciones, etc.

2
3.1.2. Evaluacin del Sistema de Control Interno del Area de Sistemas

Comprende el plan de organizacin y todos los mtodos y procedimientos relacionados con la

administracin y proteccin de recursos informticos, la confiabilidad de los registros, la eficiencia
de las operaciones y la adhesin a las polticas informticas establecidas por la organizacin.
Los controles en los sistemas de informacin deben proporcionar una seguridad razonable de que
el procesamiento est siendo efectuado correctamente, adems deben detectar errores e
irregularidades oportunamente y asegurar una accin correctiva apropiada.
Como se ha mencionado anteriormente, la presencia de los sistemas no afecta los conceptos
bsicos del control fiscal; sin embargo, los sistemas de informacin computarizados si obligan, en
cambio, a definir e implantar con mayor rigidez, controles que reemplacen aquellos que por la
presencia de estos, pierdan efectividad.
Por consiguiente, en la evaluacin del Sistema de Control Interno se deben incluir acciones que
comprendan tanto la revisin de los procedimientos manuales como los computarizados. En este
orden de ideas, la evaluacin del control interno se puede estructurar en dos etapas, a saber:

Controles Generales
Los Controles en los sistemas de carcter general tienen relacin con la evaluacin de los
procedimientos de aquellas actividades que sustentan la presencia del procesamiento electrnico
de datos, concretamente, estos controles se orientan hacia la evaluacin tanto de procedimientos
administrativos como los de la organizacin y en general, del ciclo de vida del desarrollo del
sistema.
En otras palabras, estn relacionados con las normas, procedimientos y elementos que se
establecen como producto de la presencia del procesamiento electrnico de datos; as como de las
normas, procedimientos y elementos que tienen relacin con los recursos y servicios que utiliza el
sistema de informacin, dentro de las cuales estn comprendidas las actividades concernientes al
equipo y a los archivos de programas de datos (no desde el punto de vista de su contenido, sino de
su seguridad y manejo externo). Estos controles se verificarn y comprobarn mediante los
siguientes cuestionarios.

3
Cuestionario Controles de Adquisicin

A. Estudio de Factibilidad
FECHA FECHA REF.P
DETALLE OBSERVACIONES
INICIO TERMINACION /T
1. Fueron los requerimientos del usuario revisados
y documentados como un primer paso en el estudio
de factibilidad?
2. Fueron los requerimientos del usuario revisados
y aprobados por el subdirector en las mesas de
trabajo, como parte del estudio de factibilidad ?
3. En la definicin de los requerimientos se
incluy?

Alcance de los requerimientos?

Objetivos de la Subdireccin de
sistemas?

Problemas?

Obligaciones?

Descripcin del ambiente?

4. Las consideraciones para la reduccin de costos
de adquisicin abarcaron aspectos tales como la
compatibilidad, continuidad, confianza, flexibilidad,
etc?
5. En el cambio al nuevo sistema de
informacin, fueron los siguientes aspectos
tomados en cuenta:

Impacto organizacional?

Evaluacin tcnica del desempeo del

sistema propuesto?

Costo de corrida en paralelo?

Facilidad y costo de conversin al nuevo

sistema?

Costos de post-adquisicin tales como el

mantenimiento y el soporte tcnico?

Costos de interfases en otros equipos?

Requerimientos de entrenamiento?
Costos por la incorporacin de controles
adecuados?

4
 DETALLE FECHA FECHA REF.P
OBSERVACIONES
INICIO TERMINACION /T

Requerimientos adicionales de
seguridad?

Ahorros estimados?

Confiabilidad?

Durabilidad?

Capacidad para expandirse o

contraerse?

6. La adquisicin de nuevos equipos se justific

sobre la base de la capacidad de los sistemas?
7. Son adecuados los procedimientos usados
para la seleccin de software, desde el punto
de vista de la evaluacin del costo beneficio?
8. Son los equipos usados solamente donde
proveen ventajas de costo, desde un punto de
vista de la organizacin en general y no desde
el de cada usuario en particular?
9. En la evaluacin de los equipos y software
se involucran tanto los usuarios de los servicios
como los responsables de las operaciones
diarias en el sistema?
10. El orden de la entrega a la Subdireccin de
sistemas de la informacin fue adecuada y
suficiente para la toma de decisiones sobre la
compra, leasing o arriendo de equipos y
software; Los estudios de requerimientos
consideraron aspectos tales como:

Especificacin de las necesidades

y de los problemas?

Requerimientos de procesamiento
para las aplicaciones?

Todas las posibles fuentes de

software y equipos?

El ciclo de vida proyectado para las

aplicaciones y los equipos?

Compatibilidad de las aplicaciones

con respecto a los equipos
disponibles, o viceversa?

5
 DETALLE FECHA
FECHA OBSERVACION
TERMINAC REF.P/T
INICIO ES
ION
11. Se consider un nmero suficiente de
alternativas?
12. Fue la solucin recomendada la ms
justificable por los beneficios que reporta?
13. Los costos del estudio de factibilidad fueron
integrados al costo del resto de la solucin?
14. La informacin suministrada a los posibles
oferentes incluye la definicin de aspectos tales
como:

Propsitos y alcance del proyecto?

Objetivos del sistema?

Obligaciones?

Requerimientos del sistema?

Actividades/componentes
principales?

Consideraciones de seguridad?

Criterios contractuales?

Criterios de evaluacin?

Costos de la propuesta?
15. Se entrega suficiente informacin a los
vendedores que les permita preparar la oferta
con la totalidad de los costos estimados?
16. Son apropiados los criterios de seleccin
usados y es cada propuesta justamente medida
contra estos criterios?
17. La documentacin para la evaluacin de las
propuestas incluye:

Copia de todas las propuestas

Papeles de evaluacin?
Razones que expliquen la solucin
recomendada?
18. Es la propuesta seleccionada la mejor en
trminos de costos, beneficios y otras
consideraciones econmicas?

6
19. Es la propuesta seleccionada la mejor en
trminos de aprovechamiento tecnolgico?

B. Adquisicin de Recursos

DETALLE RE
FECHA FECHA F.
OBSERVACIONES
INICIO TERMINACION P/
T
1. Las polticas existentes definen las
responsabilidades, niveles de autorizacin y los
procedimientos para la adquisicin de recursos
informticos?
2. Es de la alta gerencia considerar: La adquisicin
de software del sistema, contratos de servicios y
equipos de cmputo?
3. Existe un comit asesor de sistemas
responsable de la revisin y aprobacin de las
etapas del proceso de adquisicin?
4. Es el proceso de adquisicin de equipos,
software y contratos de servicios coordinado de tal
manera que promueva la adherencia a los
estndares y a identificar oportunidades de
conseguir menores costos?
5. Para la adquisicin y desarrollo de los recursos
informticos fueron adecuadamente evaluadas las
diferentes alternativas planteadas en el plan
estratgico?
6. Existe un plan operacional o a un ao que
relacione las adquisiciones ms importantes y se
reflejan en el presupuesto?
7. Existen estudios de factibilidad apropiados para
que abarquen las adquisiciones importantes y/o el
reemplazo de los componentes del sistema?
8. Existen evidencias de que los eventuales
mayores costos sobre el presupuesto estimado
se asignaron a:

Planeacin inadecuada?

Crecimiento inusual?

Cambios en la tecnologa?

Problemas imprevistos en la
conversin?

7
 DETALLE RE
FECHA FECHA F.
OBSERVACIONES
INICIO TERMINACION P/
T

Otros? (relacionar).

9. Son los grupos responsables de las operaciones

del sistema involucrados en el proceso de
evaluacin e implementacin de todos los nuevos
recursos?
10. Los funcionarios que utilizan los sistemas de
informacin evalan y aceptan formalmente los
nuevos recursos y/o sistemas?
11. Han sido algunas adquisiciones hechas
recientemente que no estn incluidas en el plan de
corto plazo de la organizacin?
12. Existe algn procedimiento que asegure que las
adquisiciones son efectuadas de acuerdo con el
plan a corto plazo?
13. La posibilidad de contratar los servicios de
cmputo con entidades externas se tiene en cuenta
como una alternativa adicional?
14. Se cumplen las polticas internas aplicables en
el proceso de adquisicin?

C. Contratos de Adquisicin de Recursos Informticos

DETALLE FECHA FECHA REF
OBSERVACIONES
INICIO TERMINACION .P/T
1. Los contratos satisfacen los requerimientos del
estudio detallado de factibilidad?
2. El contrato a realizar contiene aspectos tales
como:

Estndares y objetivos del

desempeo?

Necesidades de seguridad?

Facilidades especiales de back-up?

Requerimientos de interfases?

Nivel de servicio?

Disponibilidad de soporte?

Autoridad organizacional para la

8
 DETALLE FECHA FECHA REF
OBSERVACIONES
INICIO TERMINACION .P/T
administracin del contrato?

Personal de enlace del contratista?

Responsabilidades definidas para

cada parte?

Costos de los servicios claramente

definidos?

Garantas?

Derechos de propiedad?

Trminos de pago?

3. La organizacin cumple con las regulaciones

impartidas en materia de contratacin con respecto
a la adquisicin de bienes y servicios informticos?
4. La organizacin monitorea los resultados de sus
contratos de servicio informticos para determinar
si se estn cumpliendo totalmente los trminos del
contrato?
5. Si los trminos no han sido totalmente
cumplidos, se toman las acciones apropiadas?
6. Se obtiene una opinin de los usuarios sobre su
grado de satisfaccin con los contratos de servicios
prestados?
7. Se cambian los trminos de los contratos cuando
surgen problemas con los existentes?
8. Cuando se contratan servicios de consultora, se
realiza un seguimiento estricto de su trabajo?
9. e llevan registros de los problemas que surgen
en los contratos de servicios informticos?

9
MARCO METODOLOGICO

PLAN INFORMATICO

Debe tenerse en cuenta en el Plan de informacin de sistemas lo siguiente:

1) Actividades de conversin al nuevo equipo/aplicacin? Cambios necesarios en los
procedimientos operacionales?
2) Identificacin, alistamiento y entrenamiento?
3) Especificaciones del equipo adquirido?
4) Especificacin y preparacin del medio ambiente computacional?
5) Entrega de equipos?
6) Metodologas para las evaluaciones y pruebas de los nuevos equipos y aplicaciones?
7) Las conversiones hacia los equipos y/o aplicaciones son acompaadas de los planes
detallados para la corrida en paralelo?
8) Es el nuevo sistema totalmente probado antes de ser aceptado?
9) Es el test de carga razonable dado el tamao y complejidad de los sistemas?
10) Son los resultados documentados?
11) Existen criterios y procedimientos para la aceptacin de nuevos equipos?
12) Los resultados de la conversin de las aplicaciones y de los datos son conciliados para
asegurarse de la no prdida de informacin?
13) Existe una historia de los problemas de conversin?
14) Existe un procedimiento formal para la aceptacin por parte de los usuarios?
15) El personal de operacin est suficientemente entrenado en el uso de nuevos equipos?
16) La documentacin para la operacin de nuevos equipos o uso de nuevos servicios
informticos es adecuada?
17) Los nuevos paquetes de software son adecuadamente documentados y publicados para
que los usuarios potenciales puedan aprender acerca de las nuevas adquisiciones y hacer
el uso apropiado de ellas?
18) Durante el entrenamiento son familiarizados los usuarios potenciales con los principales
rasgos de los nuevos paquetes de software o de los nuevos servicios informticos?
19) Se determinan los costos de entrenamiento de personal para el manejo de los nuevos
equipos, aplicaciones o servicios?

1. REPORTES ADMINISTRATIVOS

1) Se lleva por la organizacin un inventario anual de equipos de cmputo que liste cada
componente diferente, su costo, el fabricante, edad y otros factores relevantes, que eviten
la adquisicin de nuevos equipos por desconocimiento de los existentes, y por

10
 consiguiente, lleve a un exceso de capacidad instalada, duplicacin de aplicaciones
costosas, etc?
2) Hay evidencia que los inventarios son revisados y actualizados?
3) La alta gerencia recibe reportes de evaluacin de los costos- beneficios de las decisiones
de adquisicin?
4) Existe evidencia de la revisin del presupuesto versus los costos actuales de equipos,
contratos de servicios, aplicaciones, asesoras, etc.?
5) La alta gerencia tiene la suficiente informacin para aseverar que los costos de operacin
del sistema estn creciendo, decreciendo o permanecen fijos?
6) Se realizan reportes post-adquisicin que comparen los costos, beneficios proyectados en
el estudio de factibilidad y los resultados actuales?
7) Se reportan los hallazgos sobre la variacin de los costos con respecto a lo presupuestado,
incluyendo las razones, tales como:

Planeacin inadecuada?

Crecimiento inusual?
Cambios tecnolgicos?
Problemas imprevistos en la conversin?
Otros? (relacionar).
8) Los resultados de la adquisicin son retroalimentados dentro del proceso de planeacin?
9) Los auditores internos son requeridos para que evalen regularmente la adquisicin de
equipos y aplicaciones desde el punto de vista del costo-efectividad?

2. CONTROLES DE ORGANIZACIN

2.1. Polticas

1) Ejerce la alta gerencia un adecuado control sobre la funcin de sistemas?

2) Existe un manual de funciones para el personal de sistemas?
3) Se han formalizado debidamente las descripciones de los diferentes cargos de sistemas?
4) Estn los objetivos del rea de sistemas claramente definidos?
5) Establece la alta gerencia las polticas de sistemas?
6) Reconoce la alta gerencia que las aplicaciones desarrolladas en operacin son activos
valiosos?
7) Conoce el personal de sistemas las medidas a tomar respecto a la seguridad y posibles
desastres?
8) Se tienen por escrito planes de contingencia y seguridad y se hacen conocer de los
empleados de la organizacin?
9) Existe un documento que demuestre cmo las metas de sistemas soportan las
necesidades de la organizacin?

11
 10) En las polticas se determinan los pasos que se deben seguir en la consecucin de la
aprobacin para la adquisicin de los recursos informticos?
11) Quin puede decidir sobre el uso de provisin de los servicios informticos tanto internos
como externos?
12) Quin inicia u origina los planes para adquisicin de recursos informticos y quin aprueba
dichos planes?
13) La localizacin del sistemas dentro de la organizacin y sus roles y responsabilidades?
14) El grado de participacin de los usuarios finales en la planeacin de los recursos
informticos?
15) Quin supervisa el cumplimiento con las polticas departamentales y gubernamentales?
16) Existe una adecuada desagregacin de funciones ?
17) Es el personal consciente de las restricciones estipuladas?
18) Es adecuada la ubicacin del rea de sistemas dentro de la organizacin?
19) Se ha establecido un comit, gerencial o consultivo que represente a todos los usuarios
diferentes a los de sistemas, adems revisa, aprueba o indica su desacuerdo con el plan
de recursos informticos a largo plazo?
20) Asigne procedimientos bsicos de seguridad?

2.2. PROCESO DE PLANEACIN

Existe una funcin de planeacin de recursos informticos formalmente asignada que:

1) Tenga suficientes recursos para adelantar la planeacin adecuadamente?
2) Que sea responsable por la presentacin de un plan consolidado al comit ejecutivo?
3) Si no existe la funcin de planeacin asignada, se tiene un cuerpo coordinador que
contribuya al proceso de planeacin?
4) Las polticas generales exigen un plan de recursos informticos para toda la organizacin?
5) Existe una poltica que asigne responsabilidades por el mantenimiento de las regulaciones
para la planeacin, instrucciones y guas?

Es la planeacin un proceso secuencial que:

1) Analiza las necesidades de informacin de la entidad?

2) Se incluye en el plan de desarrollo los recursos suficientes para la adquisicin de los
sistemas de informacin?
3) Incluye todos los cambios en el ambiente de cmputo, recursos, objetivos, tecnologa ,
etc.?
4) Se establecen prioridades para las potenciales inversiones en recursos informticos?

12
 5) La aprobacin del plan de recursos informticos es oficialmente solicitado y formalmente
documentado?
6) El proceso asegura que los responsables individuales por llevar a cabo el plan son
conscientes de sus responsabilidades y autoridad?
7) Las polticas demandan un plan operacional o tctico a corto plazo y uno estratgico a
largo plazo?
8) Las polticas exigen que el plan a largo plazo, soporte la poltica bsica para proveer
servicios informticos e identifique metas?
9) Establezca un mecanismo que identifique prioridades para invertir en recursos
informticos?
10) Las polticas exigen que el plan a corto plazo traslade las estrategias de largo plazo a
soluciones de corto plazo y que cubra un perodo de 12 a 18 meses?

2.3. PLAN ESTRATGICO A LARGO PLAZO

1) Existe un plan estratgico de largo plazo que comprenda las necesidades de servicios,
equipos, programas y otros elementos?
2) Ha recibido el plan apropiada aprobacin?
3) Hay una clara responsabilidad por el desarrollo e implementacin del plan?
4) El plan comprende los cambios tecnolgicos, ambientales y organizacionales de probable
ocurrencia para un perodo de 3-5 aos?
5) El plan proporciona evidencia sobre si los requerimientos de equipos y servicios se hizo
basada en las necesidades de la organizacin?
6) El plan consider y evalu alternativas que eran radicalmente diferentes a la seleccionada?
7) Son los proveedores de equipos y servicios consultados en la preparacin del plan?
8) Est el modelo de crecimiento de equipo perifrico presupuestado en el plan estratgico;
este equipo incluye:

Requerimiento de almacenamiento de datos

Minicomputadores, terminales

Redes, multiplexores.
9) Es el plan peridicamente revisado y puesto al da?
10) El plan documenta sobre el impacto en la organizacin desde el punto de vista econmico,
poltico, y social?
11) Cambios posibles en la estructura de la organizacin o en su objetivos?
12) Seala el plan estratgico las diferentes alternativas?
13) La metodologa de los aos anteriores sealan las tendencias e indican las fuentes de los
costos?
14) En el plan estratgico se incluyen los costos por cada unidad de la organizacin ?
15) Se incluye en el plan lo relacionado con:

13
 Equipos de cmputo?

Sistemas y equipos operativos?

Software utilitario?

Comunicaciones?
16) Con respecto a los equipos de cmputo se incluye:

Computador central (modelo, configuracin, tamao)?

Otros computadores?

Medios de almacenamiento (tipo, capacidad)?

Terminales (tipo, uso, localizacin)?

Comunicaciones (mdems, multiplexores, lneas)?

Equipos de entrada de datos?

Soporte?

Cada tem del inventario y su costo relacionado?

17) Historia de los ltimos tres aos sobre la carga de trabajo con la configuracin existente?
18) Se ha proyectado la diferencia entre la capacidad y la propuesta de utilizacin?
19) Con respecto a las aplicaciones del sistema, el plan cubre:

Diccionario de datos?

Sistema de administracin de las libreras de programas?

Revisin del desempeo de los programas?

Sistema de programacin y depuracin?

20) El plan estratgico considera los siguientes requerimientos de operacin:

Sistema de administracin de las cintas?

Reportes de anlisis del equipo de cmputo?

El sistema df contabiliza el tiempo de los sistemas de informacin?

Sistemas de seguridad a travs de passwords?

Backups?
21) Con respecto a las aplicaciones se considera:

Seguimiento a las comunicaciones de datos?

Aplicaciones para el control de terminales?

Sistemas de administracin de bases de datos?

Generador de reportes?

14
 22) Define el plan el tipo y nivel de destreza requerido para el equipo de operacin?
23) El plan incluye programas de entrenamiento para obtencin de la destreza necesaria para
los usuarios?

2.4. Plan Tctico de Corto Plazo

El plan tctico esta en concordancia con el plan estratgico, en lo concerniente a:

1) Consistencia tanto en las tareas asignadas como en las conclusiones ?
2) Prioridades para la adquisicin/desarrollo de equipos y aplicaciones?
3) Los proyectos, actividades, equipos, aplicaciones, etc.?
4) El plan tctico incluye aspectos relacionados con:

Equipos?

Aplicaciones del sistema?

Comunicaciones?

Equipo de operacin?
5) El alcance del plan incluye:

Justificaciones basadas en el anlisis costo-beneficio?

Cronogramas y fechas para logros individuales?

Presupuesto en dinero y tiempo?

Referencia a los estudios costo-beneficio para cada alternativa?

2.5. Relaciones con Usuarios

Los Gerentes o Directores de reas usuarias disponen de procedimientos formales para conseguir
que sus necesidades se :
1) Incluyan en el proceso de planeacin?
2) Las organizaciones usuarias reciben copias del plan tanto estratgico como tctico una vez
que stos han sido aprobados?
3) Cooperan y/o participan los usuarios en el establecimiento de prioridades?
4) Son los usuarios conscientes del costo del servicio de sistemas?
5) Los usuarios tienen contacto con la organizacin de sistemas para colaborar en la
definicin de los recursos informticos requeridos?

2.6. Necesidades del Usuario

15
 1) Durante el ciclo de planeacin se plantean interrogantes a las reas usuarias sobre sus
necesidades de recursos informticos?
2) Conocen los usuarios qu servicios y recursos informticos estn disponibles?
3) Tiene el usuario un contacto en sistemas que le ayude a determinar sus requerimientos?
4) Los efectos de la tecnologa se discuten o informan a los usuarios sobre:

Procesadores de palabra

Hojas electrnicas

Microcomputadores

Terminales de entrada de datos

5) Estn los usuarios representados en el Comit asesor de sistemas?
6) En opinin de los usuarios, qu tan bien se ha desarrollado la funcin de planeacin de los
recursos informticos?
7) Los usuarios participan en la evaluacin de los servicios?
8) Han sido cambiadas o se pueden cambiar las prioridades de los usuarios sin su
consentimiento?
9) Los trabajos requeridos por los usuarios han sido demorados por falta de capacidad de
procesamiento?
10) El desarrollo de aplicaciones definidas con los usuarios ha sido demorado o cancelado por
falta de capacidad de procesamiento?
11) El mantenimiento de aplicaciones ha sido dilatado o cancelado por la falta de capacidad de
procesamiento?

2.7. Reporte a la Gerencia

1) Los criterios de desempeo plasmados en el plan se trasladan a las metas?

2) Se detallan metas de desempeo operacional, por ejemplo, uso de CPU?
3) Es esta informacin utilizada como base de los reportes de progreso?
4) Los reportes de desempeo son generados durante el ciclo regular de procesamiento y
usados como parte del mecanismo de retroalimentacin?
5) Incluyen los reportes detalles de los costos incurridos?
6) Cada gerente de las reas usuarias es informado sobre estos costos?
7) Cada gerente de reas usuarias reporta un presupuesto de costos esperados?

2.8. Uso de Recursos

1) Estn los objetivos y las funciones claramente definidas en el rea de sistemas?

16
2) Los servicios que son prestados por el grupo de operaciones del sistema estn claramente
definidos?
3) Han sido determinados los niveles mnimos de destreza requeridos para las operaciones
relacionadas con los sistemas de informacin?
4) Los usuarios son conscientes de los servicios ofrecidos en el rea de operaciones de los
sistemas de informacin?
5) Se quejan frecuentemente los usuarios finales de los servicios ofrecidos por el rea de
sistemas?
6) Se ha costeado apropiadamente cada tipo de servicio?
7) Se han establecido los estndares apropiados de calidad por cada tipo de servicio?
8) Cada grupo de sistemas dispone de los estndares de desempeo por escrito?
9) Son todos los miembros de estos grupos conscientes de estos estndares?
10) Los estndares incluyen medidores cuantificables del desempeo?
11) Consideran los estndares de medicin del desempeo aspectos como:

Tiempo de respuesta de terminales?

Horas de computador disponible para mantenimiento, desarrollo de programas

y pruebas?

Criterios de prioridades para los trabajos?

Presupuestos por centro?

Responsabilidades en el desarrollo de servicios?

Sistema de contabilidad del tiempo de computador?

Estndares de documentacin para la operacin del computador?

Requerimientos de documentacin para la operacin del computador?

Requerimientos de entrenamiento mnimo?

Oportunidad de los datos producidos?

Formas de requisicin de servicios?

Estrategias de cronogramas de trabajos?

12) Se tiene un inventario completo de los equipos de cmputo disponibles?
13) Existen polticas formales y guas para el uso de:

Procesamiento distribuido?

Tiempo compartido?

Uso de mini y microcomputadores?

Uso de bases de datos?

14) Son todas las polticas y estndares comunicadas al personal interesado?

17
2.9. Auditora Interna

Las funciones de la auditora interna de sistemas con relacin a la revisin general y control de las
aplicaciones abarca:
1) La consideracin sobre si los controles se han diseado de acuerdo con la direccin,
estableciendo estndares y procedimientos de acuerdo con los requerimientos legales
conocidos?
2) La evaluacin sobre si los controles operan eficientemente y proporcionan seguridad y
confiabilidad sobre datos que estn siendo procesados?
Las funciones de la auditora interna de sistemas con relacin al diseo y revisin de nuevos
sistemas abarca:
La evaluacin sobre si las polticas de la gerencia establecen prioridades con respecto al
desarrollo de nuevas aplicaciones, las modificaciones de las existentes, o por el contrario,
la adquisicin de nuevas aplicaciones en el mercado?
La comprobacin de si los sistemas nuevos o modificados incluyen controles y pistas de
auditora necesarias?
El estudio de si los sistemas nuevos o modificados han sido sometidos a anlisis de costo-
beneficio y pueden operar en forma eficiente y econmica?
La comprobacin de si los nuevos sistemas o los modificados han provisto la adecuada
documentacin para su revisin, mantenimiento y auditora?
La unidad interna de auditora participa de alguna manera en los estudios de factibilidad de
adquisicin de recursos informticos?

3. CONTROLES DE DESARROLLO

1) Son los objetivos del desarrollo de aplicaciones claramente definidos?

2) Existe un documento que demuestre cmo las metas del sistema se soportan en las
necesidades de la organizacin?
3) Hay una poltica que determine los pasos a seguir para la aprobacin del desarrollo o
adquisicin de aplicaciones relacionadas con el costo, necesidad de tecnologa avanzada,
etc?
4) Quin autoriza el uso de recursos informticos para el desarrollo de aplicaciones?
5) Quin elabora planes de desarrollo de aplicaciones y quin los aprueba?
6) Quien controla los registros en la contabilidad para la recuperacin de la inversin?
7) El alcance en la participacin de los usuarios finales en la planeacin de las aplicaciones ?
8) Quin supervisa el cumplimiento y reporta a la administracin y al gobierno?
9) Exigen las polticas la existencia de un plan a corto plazo o tctico y uno a largo plazo o
estratgico?
10) El plan a largo plazo:

18
 Incluye la filosofa bsica de prestacin de servicios informticos?

Identifica las metas?

Establece un mecanismo para las prioridades de inversin en aplicaciones?

La planeacin de las aplicaciones cubre por lo menos un rango de 5 aos?

El plan a corto plazo normalmente cubre un perodo de 12 a 18 meses?

11) Si no existe una funcin de planeacin de aplicaciones separada, existe un cuerpo
coordinador que contribuya al proceso de planeacin?
12) El responsable de la planeacin de aplicaciones presenta al Comit ejecutivo el plan
consolidado?
13) Si la organizacin es descentralizada, existe un grupo de planeacin central que revise y
evale el potencial de integracin de los sistemas a travs de la organizacin?
14) Los gerentes de cada unidad organizacional son requeridos para que definan sus
necesidades de informacin a corto plazo?
15) Existe un Comit asesor que revise, apruebe o indique su desacuerdo con las propuestas
del plan de aplicaciones?

4. PROCESO DE PLANEACIN

1) Es suficiente el tiempo dispuesto para revisin?

2) Es la planeacin un proceso que:

Permite incluir como entrada el plan de aplicaciones dentro del plan general de
la organizacin?

Permite que las necesidades de informacin de la organizacin se tome en

cuenta para la planeacin de aplicaciones?

Permite que el plan de aplicaciones sea una entrada para el plan de

adquisicin de recursos informticos?
3) Se establecen prioridades para eventuales inversiones en aplicaciones ?
4) La aprobacin del plan de aplicaciones es oficialmente solicitado y formalmente
documentado?
5) El proceso asegura que los responsables individuales por llevar a cabo el plan son
conscientes de su responsabilidad y autoridad?

5. RELACIONES CON USUARIOS

19
 1) Los gerentes de reas usuarias saben cmo conseguir que sus necesidades se incluyan
en el proceso de planeacin de aplicaciones?
2) Los usuarios reciben copias de los planes a corto y largo plazo de las aplicaciones una vez
han sido completadas?
3) Cooperan los usuarios en el establecimiento de prioridades?
4) Son los usuarios conscientes de los costos del servicio del sistema?
5) Los usuarios tiene contacto con la organizacin de sistemas para colaborar en la definicin
de los sistemas de aplicacin requeridos?

6. CONTENIDOS DEL PLAN ESTRATGICO

El plan de aplicaciones documenta sobre el impacto en la organizacin desde el punto de vista:

Econmico, Poltico, Tcnico y Social, se debe responder a las siguientes preguntas:
1) Cambios posibles en la estructura organizacional o en los objetivos?
2) El software aplicativo es un componente mayor del plan estratgico en el que:
3) Se describen todo el software de aplicaciones evaluadas?
4) Se detallan las unidades organizacionales que reciben soporte de cada aplicacin
identificada?
5) Para cada unidad organizacional se describe el soporte recibido?
6) Se predice o estima la vida efectiva de cada aplicacin identificada?
7) Existe suficiente informacin que soporte a la organizacin en la decisin de desarrollar,
redisear o terminar cada aplicacin, en aspectos como:
8) Proyeccin de costos para cada aplicacin en las siguientes categoras:
Desarrollo?

Conversin?

Produccin?

Mantenimiento?

Rediseo?
9) La evaluacin de los riesgos para los cambios propuestos a las aplicaciones?
10) Requerimiento al grupo de planeacin para la identificacin de aplicaciones con alto grado
de riesgo tcnico u operacional?
11) El software nuevo de aplicaciones es descrito para identificar las diferencias entre las
capacidades instaladas y las propuestas?
12) Se detalla una lista del recurso humano necesario para adelantar las labores de desarrollo
y mantenimiento de aplicaciones?
13) Se identifican los costos por salarios inherentes a las labores de diseo, desarrollo y
mantenimiento?

20
 14) Se define el nivel de destreza requerido por el personal a cargo del desarrollo, diseo y
mantenimiento de aplicaciones?

7. CONTENIDO DEL PLAN TCTICO

El plan tctico debe estar en concordancia con el plan estratgico en lo concerniente a:

1) Los proyectos de desarrollo incluidos incluyen los costos estimados y los cronogramas por
cada aplicacin?
2) Se explican las diferencias en las actividades o proyectos que aparecen en el plan tctico y
no aparecen en el plan estratgico?

8. ALCANCE DEL PLAN

1) Justificaciones basadas en el anlisis econmico?

2) Cronogramas y fechas para logros individuales?
3) Presupuestos en tiempo y dinero?
4) Referencia a los estudios costo-beneficio para cada alternativa?

9. PLANEACIN DE APLICACIONES

1) El plan estratgico identifica las reas usuarias claves donde la tecnologa informtica
puede lograr mayores beneficios para la organizacin?
2) La direccin del rea de sistemas traslada las necesidades de los usuarios a los planes de
accin relacionadas con las decisiones de desarrollo de aplicaciones?
3) Los usuarios finales principales estn satisfechos con el apoyo que reciben del rea de
sistemas?
4) Participan los usuarios finales en la evaluacin de la efectividad de las aplicaciones?
5) Se mantienen conscientes los usuarios de las aplicaciones de los cambios tecnolgicos
para que puedan entender las ventajas y riesgos que ellos envuelven?
6) Los costos de desarrollo se cargan a los usuarios?

10. ESPECIFICACIONES DE LOS SISTEMAS

Las especificaciones para los nuevos sistemas de aplicaciones direccionan los siguientes
aspectos.
1) Cambios organizacionales?
2) Cambios en los procedimientos operacionales?
3) Costos del mantenimiento?

21
 4) Vida til estimada?
5) Alternativas disponibles?
6) Existe un procedimiento que asegure que todos los sistemas significantes sean aprobados
antes que las tareas de desarrollo comiencen?
7) Existe una coordinacin central de todas las decisiones de implementacin de sistemas?
8) Los procedimientos de justificacin presuponen que las decisiones tomadas y las
alternativas examinadas sean documentadas?
9) Los sistemas son revisados despus de la implementacin para medir su efectividad?

11. DISEO DE APLICACIONES

1) Existen estndares de codificacin y documentacin?

2) Son las nuevas tcnicas examinadas e incorporadas para proveer mayor productividad?
3) Los usuarios requeridos durante el desarrollo de nuevas aplicaciones responden
adecuadamente?
4) La administracin usa extensivamente los servicios externos para ayudar en la carga de
trabajo?
5) La etapa de diseo incluye el desarrollo y documentacin de procedimientos
operacionales?
6) La administracin dispone de procedimientos de seguimiento formales para proyectos que
exceden tanto el presupuesto como el tiempo estimado?
7) Cuando un proyecto se desva significativamente, el plan se reestructura antes de seguir
adelante?
8) La informacin del desempeo de los proyectos se utiliza para la revisin del desempeo
personal?
9) Los estimados de costos de los proyectos se aprueban por el grupo desarrollador?
10) Los analistas financieros y auditores internos estn envueltos en la etapa de diseo de
sistemas financieros?
11) Los usuarios finales de las aplicaciones son preparados para recibir y operar los sistemas
puestos en produccin?
12) Los planes de implementacin incluyen los requerimientos de conversin y operacin en
paralelo necesarias?

12. DESARROLLO DE SISTEMAS

1) Existe una metodologa estandarizada y por escrito y en uso para el desarrollo de

aplicaciones de cierto alcance y tamao?
2) Existen reglas simplificadas para proyectos ms cortos?
3) Incluye el proceso de desarrollo los siguientes pasos:

22
4) Iniciacin del proyecto?
5) Definicin de las necesidades del usuario?
6) Estudio de factibilidad/anlisis costo-beneficio?
7) Diseo conceptual del sistema?
8) Anlisis y diseo del sistema detallado?
9) Programa de pruebas?
10) Preparacin y procedimientos de conversin?
11) Aceptacin del sistema?
12) Instalacin?
13) Operacin?
14) Auditora post-implantacin?
15) Existe una clara definicin de responsabilidades y nivel de autorizacin para el
administrador del proyecto y los usuarios o propietarios del sistema?
16) La documentacin inicial incluye aspectos como:

Objetivos y alcance del proyecto?

Problemas?

Beneficios?

Obligaciones?

Mecanismos de control?

Estimacin de recursos?

Aprobacin de la administracin?

Estudio de factibilidad y justificacin:

17) Existen estndares organizacionales para el contenido y trmite del estudio de factibilidad?
18) El estudio de factibilidad incluye:

Requerimientos detallados del usuario?

Anlisis de los requerimientos de informacin nuevos y actuales?

Anlisis detallado de problemas y beneficios?

Evaluacin de los riesgos adicionales asociados con el desarrollo de nuevos

sistemas?

Anlisis de los objetivos, requerimientos, alcance y conceptos de cada

sistema?

Discusin de alternativas incluyendo soluciones manuales donde sea

aplicable?

Anlisis del sistema existente?

23
 Costo-beneficio detallado y anlisis del impacto de cada alternativa?

Seleccin y justificacin de la mejor alternativa?

Descripcin del sistema propuesto?

Cronograma propuesto para desarrollo del sistema?

19) Durante la seleccin de los sistemas de aplicacin se considera:

Costo del sistema presente incluyendo mantenimiento?

Cambios organizacionales anticipados?

Evaluacin tcnica de desempeo del sistema propuesto?

Costo de conversin?

Costos de operacin y costos de mantenimiento?

Costos de entrenamiento si se requieren?

Costo de implementacin de controles?

Existe un procedimiento que asegure que todos los sistemas tengan una
aprobacin formal antes de empezar el trabajo de desarrollo?
20) Ha sido fijado un punto durante el proceso de desarrollo en el cual la administracin pueda
decidir sobre continuar, modificar o abandonar el proyecto?
21) Diseo General/Detallado
22) Existen estndares para el diseo de sistemas y procedimientos de programacin por
escrito?
23) Estos estndares son apropiados para cada lenguaje de programacin usando:

Uso de tcnicas de programacin tales como diseo modular o programacin

estructurada?

Estndares para entrada de datos?

Estndares para soportes?

Uso de rutinas estandarizadas para entrada, salida, manejo de errores, etc.

Uso de libreras

Estructura y uso de archivos?

Uso de facilidades para el seguimiento en procesos de tiempo compartido?

Estndares de documentacin de sistemas para el programador, el usuario y el

operador?
24) El diseo general contiene:

Impacto/mejoras esperadas?

Definicin de documentos y datos elementales de entrada y salida?

24
 Definiciones de procedimientos tanto para los usuarios como para el rea de
sistemas?

Definicin de los controles y huellas de auditora?

Tablas de decisin/reglas de edicin?

Requerimientos de hardware y software?

Necesidades de seguridad y privacidad?

Necesidades de entrenamiento?

Interfase con otros sistemas?

Plan para desarrollo de sistemas?

25) El diseo detallado de programacin contiene:

Versin final de cada documento de entrada y de salida?

Controles y procedimientos de auditora aprobados?

Estndares para documentacin de programas?

Procedimientos para la preparacin de datos?

Diagrama de flujo del sistema general?

Descripciones de archivos y bases de datos?

Descripcin de datos y reglas de edicin?

Requerimientos de entrada/salida?

Procedimientos de seguridad y privacidad finales?

Identificacin de necesidades de entrenamiento?

Especificaciones de programas detallado para cada programa del sistema?

Narrativa del sistema y de cada programa?

Interfaces con otros sistemas?

Necesidades de hardware y software?

Plan detallado para la prxima fase?

Control Administrativo sobre el Desarrollo de Sistemas

26) Se lleva un sistema de cuentas para monitorear todos los costos durante la fase de
desarrollo?
27) Existen mecanismos que registren, revisen y cambien si es necesario, los recursos y
tiempos estimados?
28) Existe la evidencia sobre la aprobacin de los puntos de control instalados durante la fase
de desarrollo?

25
 29) Es clara la definicin sobre la responsabilidad de cada proyecto de desarrollo?
30) Se designan los miembros del equipo de trabajo y la asignacin de responsabilidades y se
dejan por escrito?

13. IMPLEMENTACIN DE APLICACIONES

1) La etapa de prueba del sistema incluy la participacin de los usuarios?

2) Se han desarrollado estndares para pruebas de programas?
3) Se conserva el resultado de las pruebas como parte de la documentacin?
4) El plan de implementacin incluye la operacin en paralelo y los procedimientos de
conversin necesarios?
5) Los usuarios aceptan formalmente los nuevos sistemas?
6) Los programas de entrenamiento a los usuarios les permite obtener familiaridad con los
nuevos sistemas?
7) Los usuarios son conscientes de sus responsabilidades sobre:

Tener los datos requeridos a tiempo?

Asegurar que todos los datos son procesados correctamente?

El manejo de los back-ups y los procedimientos de recuperacin?

El inicio de cambios o incorporacin de nuevas regulaciones?

8) La documentacin del proyecto es adecuada respecto a:

Iniciacin y aprobacin del proyecto?

Anlisis preliminar o estudio de factibilidad?

Requerimiento funcional del sistema?

Plan de pruebas y resultados?

Diseo del sistema y especificaciones del programa?

9) El sistema incluye la siguiente documentacin:

Descripcin del sistema?

Diagrama de flujo del sistema?

Narracin de los programas?

Diagrama de flujo de los programas?

Listado de los programas?

Diccionario de datos?

Archivos y formatos de entrada?

26
 Archivos y reportes de salida?

Listado de lenguajes de control?

Procedimientos de comandos catalogados?

Distribucin de reportes?

Manuales de corrida incluyendo operaciones del job instalado?

Manual de usuario?

Manual de operadores de terminales, si es necesario?

Instrucciones de entrada/transacciones de datos?

Existe concordancia entre la narrativa del sistema y la de los programas?

Existe adherencia a los estndares de documentacin?

14. CONTROLES DE APLICACIN

1) Existen medidas de productividad de los recursos informticos?

2) Son estas medidas utilizadas en la evaluacin del desempeo de los equipos?
3) Se concilian estos ndices con otros usados en entidades similares?
4) Existe una descripcin del trabajo para cada funcin relacionada con la operacin de los
equipos de cmputo?
5) Existe un programa de adiestramiento o aprendizaje para los operadores de los equipos?
6) Existe una documentacin apropiada que incluya:

Procedimientos de administracin de flujo de trabajos?

Procedimientos y/o planes de contingencia?

Niveles de autoridad requeridos para cambio?

Se lleva un registro de las modificaciones efectuadas a la instalacin del

Centro de Cmputo?

Hay un procedimiento establecido para registrar y mantener los cambios

recientes para casos de fallas del sistema?

Los registros de fallas de los sistemas guardan fecha de ocurrencia y duracin

de la falla?
7) Cuando ocurren cambios en el desempeo de los equipos, se analiza como inciden o han
incidido en los cambios en el desempeo del software, hardware o interconexiones?
8) Se estiman los efectos de cada tipo de servicio prestado sobre los niveles de utilizacin y/o
de carga de los equipos de computo?
9) Regularmente se toman acciones con miras a mejorar o mantener la productividad de los
equipos cmputo?

27
 10) El rea de operacin toma responsabilidades sobre el chequeo de totales de control,
reinicializacin de procesos, mantenimiento de backups, etc. para ciertas aplicaciones?
11) El rea de operacin maneja la distribucin de las salidas?
12) Existen controles que aseguren que slo se ejecuten trabajos autorizados
13) En procesos batch, son los campos de entrada claves conciliados con los totales batch
obtenidos?
14) Son las transacciones claves mantenidas en un log en sistemas interactivos que permitan
recuperar y auditar transacciones claves?
15) Existen controles que aseguren que solamente pruebas apropiadas y versiones de
programas aprobados son utilizadas en el procesamiento?
16) Son las utilidades provistas por los equipos de cmputo, y que permiten la modificacin de
datos y programas, cuidadosamente monitoreadas y controladas.

15. POLTICAS Y ESTNDARES

1) Estn claramente definidos los objetivos y las funciones del rea de operaciones de los
sistemas?
2) Los servicios que debe prestar el rea de operaciones de los sistemas, estn claramente
definidos?
3) Han sido determinados los niveles mnimos de recursos y habilidades requeridos para las
operaciones rutinarias?
4) Son los usuarios conscientes de los servicios ofrecidos en el rea de sistemas?
5) Los usuarios finales se quejan frecuentemente sobre los servicios ofrecidos por el rea de
sistemas?
6) Cada tipo de servicio ha sido debidamente costeado?
7) Se han establecido estndares de calidad apropiada para cada tipo de servicio?
8) Son los miembros del rea de sistemas conscientes de la existencia de estos estndares?
9) Los estndares de desempeo incluyen medidas cuantitativas adecuadas?
10) Existen criterios de evaluacin imparciales y consistentes sobre:

Tiempo de respuesta de terminales

Promedio de trabajos por turnos

Horas de computador disponible para mantenimiento, desarrollo y pruebas.

Prioridades para trabajo

Responsabilidades por prestacin de servicios

Sistema contable de uso del computador

Estndares de documentacin de operacin del computador

Tiempo mximo por aplicacin

28
 Formas para requisicin de servicios

Existe un inventario completo y actualizado de todo el hardware disponible?

11) Los costos de operacin se cargan a las reas usuarias?
12) Han sido desarrollados estndares de productividad que permitan monitorear por cada tipo
de equipo?
13) Existen polticas o guas formales para el uso de:

Procesamiento distribuido

Uso de equipos de cmputo

Bases de datos

La documentacin disponible para correr cada aplicacin es apropiada?

14) Se hace un seguimiento de:

Nmero de transacciones o trabajos procesados

Nmero de lneas grabadas o impresas?

Tiempo de respuesta de las terminales?

Distribucin de reportes a tiempo?

Espacio disponible de programas en disco?

Memoria principal disponible para programas de aplicacin?

Porcentaje de tiempo fuera de servicio de equipos?

Tiempo de mantenimiento preventivo?

Rata de errores

Fallas en las lneas de comunicaciones

Horas de computador invertidas en desarrollo y pruebas?

Nmero promedio de trabajos de procesamiento corrientes.

Mensaje de acceso a consola no autorizado

Archivos y libreras en cintas

Disponibilidad de abastecimientos.

Se realiza seguimiento a la calidad de los productos y servicios ofrecidos.

15) Existe evidencia sobre el monitoreo o seguimiento de:

Los trabajos programados.

La fase de preparacin de datos

La fase de distribucin de reportes

29
 Se realiza seguimiento sobre el uso de centros externos de servicio?

Recibe la gerencia reportes sobre el desempeo de los recursos informticos?

Existe evidencia sobre la actuacin de la gerencia con base en los reportes

sobre el desempeo del rea?

Existe un plan de control del rendimiento del equipo de cmputo?

16) Se lleva a cabo oportuna y eficientemente un programa de cargas de trabajo? verifique
que:

Se tiene una lista de las aplicaciones programadas junto con fechas lmites de
entrada, tiempos de preparacin de datos, tiempos estimados de procesos,
fechas lmites de salida y despacho.

Lista de aplicaciones con frecuencia irregular de procesamiento junto con las

estimaciones de tiempo.

Se llevan estudios frecuentes de la disponibilidad de equipo para prever que

cumple con las cargas de trabajo.

Se tienen previstos parmetros para cada trabajo tales como tiempo de

corrida, archivos, tiempos de acceso, equipo perifrico requerido, cdigos
usados, fechas de proceso etc.

Los operadores son ajenos a la programacin de cargas de trabajo.

El mantenimiento peridico de los equipos est incluido dentro del plan general
de trabajo?

Se revisa peridicamente el nivel de cumplimiento de los calendarios?

La operacin del equipo prev para cada aplicacin que estn asignadas las
responsabilidades de archivos y bibliotecas?

La custodia de los archivos es responsabilidad del personal ajeno a las de

operacin?

Existen procedimientos para controlar el acceso y utilizacin de archivos?

16. CONTROLES DE DOCUMENTACIN

Con respecto al proceso de adquisicin de recursos informticos; se encuentran documentos

sobre:
1) Requerimientos iniciales de los usuarios?
2) Anlisis y decisiones tomadas sobre dichos requerimientos?
3) Los estudios de costo-beneficio sobre diferentes alternativas?
4) Las diferentes propuestas y su calificacin o evaluacin respectiva?
5) Copia de los contratos de adquisicin de equipos de cmputo?

30
6) Existe por escrito el plan operacional o a corto plazo para la adquisicin de equipos de
cmputo?
7) Existe por escrito la metodologa para la evaluacin y prueba de los nuevos equipos y
aplicaciones?
8) Existe y es adecuada la documentacin para la operacin de nuevos equipos y
aplicaciones?
9) Existe por escrito un plan a largo plazo o plan estratgico sobre el rea de sistemas?
10) Con respecto al desarrollo de sistemas existe una metodologa por escrito y en uso para
estandarizar las aplicaciones de cierto alcance y tamao? Contiene aspectos como:

Iniciacin del proyecto

Definicin de las necesidades del usuario?

Estudios de factibilidad?

Anlisis Costo-beneficio?

Diseo conceptual del sistema detallado?

Pruebas?

Procedimientos de conversin?

Aceptacin del usuario?

Instalacin

Operacin

Auditora post-implantacin

El diseo general contiene por cada aplicacin:

Definicin de documentos y datos elementales de entrada y salida.

Definiciones de procedimientos para usuarios y para el rea de sistemas

Definiciones de los controles y huellas de auditora?

Requerimientos de hardware y software?

Necesidades de seguridad?

Necesidades de entrenamiento?

Interface con otros sistemas?

Plan para desarrollo de sistemas?

11) El diseo detallado o de programacin contiene:

Copia de los formatos de entrada y salida

Controles y procedimientos de auditora aprobados e incluidos

Procedimientos para la preparacin de datos?

31
 Diagrama de flujo del sistema general

Descripcin de archivos y bases de datos

Requerimientos de entrada y salida

Narrativa del sistema y de cada programa?

12) Existen por escrito y son comprensibles los manuales del usuario?
13) Esta documentacin incluye:

Especificaciones y diseo de entrada de datos

Necesidades de totales de control

Modos de presentar los datos

Responsabilidades sobre la conversin de datos a lenguaje de mquina?

Responsabilidad para resolver errores o algunas otras inconsistencias?

La asignacin de prioridades para procesos?

El calendario y frecuencia de distribucin de los reportes?

La lgica de programacin

La deduccin y explicacin de frmulas crticas

La aprobacin del usuario?

El registro de la aprobacin de solicitud de cambios en un programa?

Procedimientos para encender y apagar terminales

14) Descripcin de los mapas de la pantalla del terminal y de los comandos disponibles?
15) Los manuales del usuario estn distribuidos a los responsables?
16) Existen por escrito y son comprensibles los manuales de operacin?
17) Esta documentacin incluye:
Informacin suficiente para el operador sobre cada programa de la cadena de
trabajo?

Funcin de cada programa.

Requerimientos mnimos de equipo

Explicacin de todos los mensajes de consola y la respuesta que debe dar el

operador?

Creacin de salidas y su disposicin

Identificacin adecuada de las etiquetas de archivos de salida?

Puntos de reinicio

Procedimientos especficos para notificar errores o condiciones de falla?

32
 Los manuales del operador se han distribuido a cada uno de los responsables?

Se mantienen actualizados los respectivos manuales, reflejando en ellos los

cambios en programas, procedimientos, backups, etc?

Se mantiene en copia magntica los diferentes manuales del rea de

sistemas?

17. CONTROLES DE SEGURIDAD

1) Estn asignadas las responsabilidades para control de acceso y seguridad fsica en el rea
de sistemas?
2) Existen por escrito procedimientos de seguridad en cuanto a los equipos de computo?
3) Estn los funcionarios del rea de sistemas concientizados sobre la importancia del control
de acceso y de la seguridad fsica?
4) Se implantan y respetan los procedimientos de seguridad establecidos?
5) Los responsables de seguridad reportan peridicamente a la alta gerencia?

18. ACCESO AL CENTRO DE CMPUTO

1) Se encuentra el acceso al centro de cmputo restringido al personal autorizado?

2) Existen procedimientos que definen las restricciones del acceso por escrito?
3) El personal autorizado est especficamente definido?
4) Se observa personal no autorizado en la sala de cmputo?
5) Existe algn medio de identificacin mecnico o automtico que restrinja el acceso?
6) Se han instalado alarmas que detecten entradas no autorizadas al rea de cmputo?
7) Existen procedimientos especficos que prevengan el acceso de programadores del
sistema al centro de cmputo?

19. ACCESO A TERMINALES

1) Existen polticas para la ubicacin de terminales que puedan desplegar informacin

confidencial de la entidad?
2) La activacin de terminales est protegida por medio de palabras claves de acceso
(Passwords)?
3) Existen procedimientos adecuados para la asignacin de los passwords?
4) Son los usuarios conscientes sobre la privacidad de los passwords asignados?
5) Existen procedimientos adecuados para los cambios peridicos de los passwords que
incluyan la manera como un cambio de password puede ser programado, registrado y
comunicado a los usuarios?

33
 6) El sistema detecta los intentos repetidos para ingresar a travs de la adivinacin del
passwords?
7) Se programan durante el da, horas restringidas de acceso?
8) Los passwords asignados a los usuarios se usaron y cancelaron en el momento
adecuado?
9) El sistema registra los accesos de las terminales a los datos?
10) Se revisan peridicamente los reportes de acceso de los terminales?
11) Se tienen definidos los riesgos que existen durante las conversiones, las pruebas y los
perodos de recuperacin?

20. ACCESO EN LNEA A PROGRAMAS Y BIBLIOTECAS

1) Existen procedimientos que establezcan controles sobre el acceso y uso de los archivos de
informacin?
2) El control fsico en el rea de almacenamiento de archivos es suficiente para evitar el
acceso de personas no autorizadas y el mal uso de los archivos?
3) Est prohibido el acceso a la biblioteca a programadores y operadores?
4) Con respecto al acceso en lnea:

Existen restricciones de acceso a cada biblioteca?

Existen restricciones adicionales de acceso a archivos crticos y bases de

datos?

Se utiliza registro de entrada en las estaciones de acceso?

Es adecuado el nivel de acceso para estaciones crticas como por ejemplo,

slo consulta, actualizacin, recuperacin de informacin, grabar, etc.

Es suficiente la seguridad fsica instalada?

21. SEGURIDAD

1) Existe y est de acuerdo con los estndares generalmente aceptados la proteccin de

incendios de las instalaciones de sistemas?
2) Estn protegidos contra contingencias como accidentes, destruccin o utilizacin no
autorizada, los archivos de cmputo?
3) El rea de biblioteca cuenta con las protecciones fsicas adecuadas, tales como detectores
de incendios y dispositivos anti-inundaciones?
4) El manual de operacin especifica los procedimientos para el manejo de los archivos?
5) Se encuentran en buen estado los archivos magnticos?
6) Existe la seguridad adecuada de formas, documentos y su almacenamiento?

34
 7) Se ha entrenado al personal de operaciones del centro de cmputo para la aplicacin de
controles y procedimientos preventivos y correctivos de seguridad?
8) Est consciente el rea de operaciones de la ubicacin de alarmas, extintores,
interruptores de energa, interruptores de energa auxiliar, telfonos de emergencia, etc.?
9) Los planes de seguridad son aprobados peridicamente?
10) Estn suficientemente detallados y son comprensibles?
11) Existen registros de las pruebas realizadas?
12) Toma la alta gerencia medidas correctivas de acuerdo con los reportes de las pruebas?
13) Existe un plan de respaldo para el procesamiento de trabajos crticos para casos de
interrupciones por fallas en el equipo, en el software o por una destruccin permanente o
temporal del centro de cmputo?
14) Existen copias del plan fuera de las instalaciones del centro de cmputo?
15) Est conscientes los encargados del centro de cmputo de la existencia y procedimientos
descritos en el plan?
16) Son los procedimientos alternos propuestos, razonables desde el punto de vista del costo-
beneficio?
17) Han sido probados los procedimientos propuestos en el plan?
18) Contiene el plan una prioridad preestablecida para el procesamiento de las aplicaciones?
19) Identifica los sistemas operativos y archivos crticos?
20) Existe un sitio externo al centro de cmputo para el almacenamiento de los archivos
crticos?
21) Se mantienen durante cierto tiempo los archivos de transacciones que se utilizan en la
creacin de archivos maestros?
22) Contiene procedimientos para recuperacin de las lneas de comunicacin?
23) Prev la necesidad de un equipo de respaldo de idnticas o similares condiciones que el
principal?
24) Incluye procedimientos para respaldo de archivos de tal manera que minimice los
requerimientos de recuperacin?
25) Estn los procedimientos de respaldo de archivos incluidos dentro de las funciones del
bibliotecario?
26) Incluye instructivos para vaciar archivos en disco a cinta y almacenar stas fuera del centro
de cmputo?
27) Especifica la periodicidad conque debe ser probado para asegurar que es funcional?
28) Contiene procedimientos definidos para la reconstruccin del centro de cmputo?
29) Prev los procedimientos manuales que deben adelantarse con el fin de volver a colocar el
operativo al centro de cmputo?
30) Los usuarios son conscientes de los procedimientos manuales que son necesarios llevar a
cabo durante la recuperacin de la operatividad del centro de cmputo?

22. CONTROLES ESPECFICOS

35
Los Controles de Carcter Especfico comprenden los procedimientos que estn referidos
directamente con el procesamiento de datos, concretamente se orientan hacia las aplicaciones en
explotacin o produccin y la integridad de los datos, desde su origen o entrada, su proceso hasta
su salida, as mismo se incluyen aspectos de control que no necesariamente se encuentran en
todos los ambientes de cmputo. Por ejemplo, una organizacin puede tener un sistema soportado
en bases de datos, otra en sistemas distribuidos, etc.
Al igual que los controles anteriormente descritos, stos tambin se verificarn y comprobarn con
cuestionarios.

22.1. Control de Aplicaciones

1) Se establecen claramente los objetivos de cada aplicacin?

2) Est documentada adecuadamente cada aplicacin?
3) Se desarrollan las aplicaciones de acuerdo con una metodologa estndar preestablecida?
4) Incluyen las aplicaciones rutinas de control y/o mdulos para la labor de Auditora?
5) Las responsabilidades estn claramente definidas a nivel de:

Entrada de datos?

Procesamiento de computador?

Balanceos de entrada y salida?

Distribucin de errores?

Reprocesamientos?

Monitoreo de problemas y Resolucin?

Tablas de fechas?

Mantenimientos?

Entrenamientos?
6) Con respecto a la operacin de cada aplicacin:

Las condiciones de excepcin como necesidad de correccin de errores de

edicin o de lenguaje se resuelven eficientemente?

Existen calendarios para la recepcin de entradas crticas?

Hay un catlogo que muestre la distribucin de cada reporte, frecuencia,

nmero de copias, instrucciones de manejo especial, etc.?

Existe un nmero excepcional de reprocesamientos?

Existe un nmero excepcional de errores del operador?

Se tienen procedimientos para el backup de archivos de datos, software de la

aplicacin y documentacin asociada?

36
 En procesos en lnea se tienen procedimientos alternos para usar en casos de
cadas por largo tiempo?

Estn documentados los aspectos de seguridad?

Son adecudadas las pistas de Auditora?

Se genera un log de problemas de computador especificando la causa del

problema (equipo, software, aplicacin, operador)?

El Log del sistema permite determinar si los problemas son demasiado

frecuentes?

Es la aplicacin fcil de usar por los usuarios (amigable)?

Existe evidencia de los cambios realizados a las aplicaciones y fueron

probados dichos cambios?

Es el diseo de la aplicacin lo suficientemente flexible que permita fcilmente

cambios a la estructura de los datos, creacin de nuevos reportes,
modificaciones de formatos, etc.)?

Se llevan registros de los costos de produccin de cada aplicacin y se reporta

a la gerencia?

Se indica el impacto de la aplicacin sobre los recursos del computador, tales

como horas de CPU, tiempo de entrada y salida, nmero de terminales que
soporta, uso de espacio en disco, etc.)?

Se registran los desempeos obtenidos, con respecto a tiempos de respuesta,

tiempo de proceso en batch, produccin de reportes, correcciones de errores,
etc.?

Se realiza seguimiento y/o mantenimiento a la aplicacin?

Se mantienen registros de ellos?

Ha sido revisada la aplicacin para evaluar su potencial integracin con otros

sistemas?

Si est en interface con otras aplicaciones, se obtuvo una interface simple,

bien controlada y exenta de redundancia en los datos?

La Auditora interna est envuelta en la revisin del desempeo de la

aplicacin?

El diseo de la aplicacin permite que el proceso de computador sea tan

eficiente como podra (en trminos de organizacin de archivos, accesos,
optimizacin de programas, etc.)?

22.2. CONTROLES DE ENTRADA

1) Est la informacin sometida a procesamiento, debidamente autorizada, integrada,

preparada y transmitida?

37
2) Los usuarios tienen procedimientos establecidos para preparar los datos?
3) Son identificables los documentos utilizados para cada tipo de entrada?
4) Se aseguran los usuarios de la validez de los datos que se integran a cada documento
fuente?
5) Existen controles durante la preparacin de los datos que se llevan a cabo antes de la
transmisin para su procesamiento?
6) Son los documentos fuente diseados tcnicamente con el fin de minimizar errores y
omisiones?
7) Estn los documentos fuente prenumerados?
8) Por cada tipo de transaccin provee un cdigo o identificacin nico?
9) Existe una referencia cruzada entre el documento fuente y las transacciones para facilitar
su rastreo?
10) Los documentos fuente en blanco permanecen en poder de personal ajeno al del proceso
de diligenciamiento?
11) Estn almacenados en un lugar seguro?
12) La autorizacin de salida de documentos en blanco requiere de la firma del responsable?
13) Se establecen procedimientos de autorizacin para la entrada de los datos?
14) Estn documentados los procedimientos de control de informacin?
15) Estos procedimientos incluyen:

Autorizaciones adecuadas para cada aplicacin?

Revisin de las autorizaciones?

Entrada inicial de la informacin?

Mensaje de error?

Registros de control de errores y excepciones?

Procedimientos para la depuracin de errores y excepciones?

Control de la informacin de entrada antes de procesarse?

Controles de cambios y actualizacin del archivo maestro?

16) Los procedimientos anteriores que se prueban demuestran ser efectivos en la prctica?
17) Se retienen los documentos fuente para facilitar la recuperacin reconstruccin de la
informacin?
18) Est preimpreso en cada documento fuente su tiempo de vigencia?
19) Los medios con los cuales se almacenan y recuperan los documentos fuente son
apropiados?
20) El rea usuaria guarda copia de la informacin enviada a procesamiento?
21) Existen por escrito y se cumplen los procedimientos para la conversin y entrada de los
datos que garanticen la separacin de tareas y la rutina de verificacin del trabajo de
entrada de datos?

38
22) Se obtienen por escrito los procedimientos que expliquen la manera como los datos son
convertidos e introducidos?
23) Existe separacin de labores entre las funciones de gerencia, entrada, procesamiento y
distribucin de los datos?
24) Existen dispositivos de control de los datos tales como:

Flujo administrativo del documento?

Tcnicas de identificacin?

Conteo de registros totales de control predeterminados?

Tcnicas de registro?

Se marcan los documentos fuente para evitar duplicaciones o

reentradas?

Existen por escrito los procedimientos para la conversin y entrada de

los datos a travs de terminales?

Est fsicamente resguardados los terminales para entrada de datos?

Estn restringidas las entradas a terminales previamente autorizadas?

Se utilizan passwords para prevenir entradas no autorizadas?

Se limita a cada usuario la entrada de un nmero limitado de

transacciones?

Se utilizan formatos prediseados de captura para asegurar mayor

calidad y eficiencia?

Se utilizan terminales inteligentes de tal manera que permitan la

captura, su validacin y edicin respectivas?
25) Existen programas de validacin para todos los campos susceptibles? Especifique:

Cdigos de aprobacin o autorizacin

Dgitos verificadores para las llaves de identificacin

Dgitos verificadores de datos numricos no sujetos a balanceo

Validacin de cdigos

Tamao de los campos

Combinacin de campos

Lmites o rangos de valores

Signos aritmticos

Cotejo de registros

Secuencias

Valores numricos o alfanumricos

39
 Referencias cruzadas

Existen por escrito procedimientos para la identificacin, correccin y

reentrada de datos rechazados?

Son los mensajes de error claros y suficientemente desplegados?

Se graban automticamente en archivos de pendientes los datos

rechazados durante la captura?

Los archivos pendientes de entrar contienen:

Cdigo de identificacin del error?

Fecha y hora de grabacin en el archivo de pendientes?

Identificacin del usuario que realiz la entrada?

Conteo de registros errados

22.3. CONTROLES DE PROCESO

1) Existen procedimientos por escrito para la separacin de tareas durante el procesamiento

de los datos?
2) Existe separacin de las siguientes tareas durante el ciclo de procesamiento:

Generacin de los datos

Entrada de los datos

Procesamiento de los datos

Distribucin de los datos

3) Existen pistas de auditora tales como bitcoras que permitan la reconstruccin de archivos
de datos cuando se requiera?
4) Se pueden rastrear los datos hasta su punto de origen?
5) Se imprime la fecha y hora de las transacciones?
6) Se tienen procedimientos de control como:

Evaluar la actividad de los terminales

Investigar cualquier intervencin del operador diferente a los procedimientos

establecidos

Asegurarse de que los reinicios se realizan apropiadamente.

Balanceo de los contadores de lotes de datos procesados?

Balanceo de los contadores de registros de datos procesados?

Balanceo de los totales de control de datos procesados?

40
7) Los programas aplicados contienen controles que impidan la entrada de datos por
consola?
8) Los programas aplicados contienen controles que impidan la actualizacin de los archivos?
9) Identifican los programas aplicados el tipo de datos de entrada por procesar?
10) Existen opciones estandarizadas de valores fijos o predeterminados (default) dentro de la
lgica de los programas?
11) Los programas aplicados generan totales de control?
12) Los programas aplicados contienen rutinas que controlan las etiquetas iniciales internas de
los archivos antes de su procesamiento?
13) Las etiquetas finales internas contienen totales de control que compara contra el total
incluido en los archivos?
14) Los datos incorrectos son rechazados antes de la actualizacin de archivos maestros?
15) Los procedimientos de validacin se aplican a todos los campos?
16) Los programas aplicados contienen rutinas o mecanismos que aseguren la exactitud de los
valores incluidos en las tablas?
17) Si los archivos son actualizados directamente, los programas generan un log que muestren
la fecha y hora de la transaccin y clave del usuario que est actualizando?
18) Existen por escrito procedimientos para la identificacin, correccin y reprocesamiento de
los datos previamente rechazados?
19) Los mensajes de error por consola son claros y comprensibles?
20) Se graban los datos rechazados en archivos de pendientes?
21) Se limita la intervencin del operador lo mximo posible durante el procesamiento?
22) Los procedimientos descritos en el manual de operacin determinan claramente las
intervenciones del operador durante la ejecucin de un trabajo?
23) Cumplen las actividades actuales del operador con las funciones establecidas para su
cargo?
24) Se revisan los logs del sistema para evaluar las intervenciones del operador?Est
prohibido a los operadores el acceso a la documentacin de la aplicacin, programas,
datos y software del sistema?
25) Existe un procedimiento para reiniciar o reprocesar un trabajo posterior a la deteccin de
errores?
26) Se especifican puntos de control de corrida a corrida?
27) Los sistemas de informacin se disean de acuerdo con los estndares desarrollados?
28) Los errores de procesamiento son identificados en el punto ms cercano al inicio?
29) Se utilizan al mximo las utilidades del hardware y del software para detectar y corregir
errores?
30) La contabilidad de los trabajos de procesamiento incluyen:

Nombre del trabajo

Nmero del trabajo

41
 Tiempo de ejecucin inicial y final

Razn de terminacin

Mensajes de error

Interrupciones del trabajo

Intervenciones del operador

31) El sistema genera reportes por excepcin que contenga

Intentos no autorizados de acceso a archivos

Excesos de tiempo de corrida

Reprocesos de aplicaciones en produccin

Terminaciones anormales
32) Estn debidamente registrados las fallas de los equipos, la recuperacin de errores, los
reinicios o paradas de trabajos y se revisan peridicamente?
33) Se mantiene una bitcora del sistema o de la consola que incluya todas las actividades de
cmputo y se revisa peridicamente especialmente para:

Comparar su contenido contra la claridad y congruencia con los estndares de

operacin

Controlar la cantidad de terminaciones anormales

Determinar el tiempo perdido durante las terminaciones anormales.

23. BASES DE DATOS

1) Documentacin Anlisis de Planeacin y Riesgos de la Base de Datos

2) Seguridad del Sistema Operativo de la Base de Datos
3) Proceso de Login y Autenticacin
4) Controles de Acceso
5) Disponibilidad de la Base de Datos , Backup y Recuperacin
6) Redes de la Base de Datos

23.1. DOCUMENTACIN

Solicite y verifique:

1) Diagramas del sistema y la red de los servidores de bases de datos, los servidores de
replicacin y los servidores de aplicacin, todas las conexiones de clientes a la base de

42
 datos, incluyendo las interfaces de red, direcciones IP, conexiones de LAN y WAN (Ej.
routers, switches, dial-up).
2) Documentacin de las aplicaciones para la base de datos, narrativa, o manuales
describiendo todas las aplicaciones que usa la base de datos.
3) Esquemas organizacionales y descripciones de trabajo para los empleados que estn a
cargo de las bases de datos.
4) Polticas y procedimientos para la administracin de la base de datos, incluyendo
procedimientos de seguridad y recuperacin, as cmo los procedimientos de backup.
5) Documentacin de recuperacin de la base de datos junto con sus pruebas y resultados.
6) Espacio de disco y espacio de las tablas, planeacin, tamao y documentacin de
monitoreo.
7) Archivo de inicio de la base de datos (en Oracle: init<System/Instance ID>.ora).
8) Impresin de todos los scripts de inicio para las utilidades de la base de datos, los
programas de backup o las aplicaciones.
9) Para Oracle : la impresin del archivo configurada.
10) Impresin de los directorios en Unix y Windows NT que muestren a los owners y los
permisos de archivo en cada directorio de los archivos.
11) Para Oracle: Impresin de los directorios de archivos de Windows NT y Unix, localizados
por el log_archive_dest en el archivo init<System/Instance ID>.ora, mostrando a los owners
y los permisos de archivo.
12) Impresin de los directorios de Windows NT y Unix conteniendo cdigo y scripts que
pueden habilitar un acceso a la base de datos y mostrando owners y permisos de archivo
para cada directorio.
13) Para Oracle: Impresin de los directorios de Windows NT y Unix mostrando a los owners y
permisos de archivos para el archivo servidor paralelo de password de Oracle que se
encuentra en la variable remote_login_passwordfile en el archivo init<System/Instance
ID>.ora. Debe incluir los permisos de archivo para el directorio en donde se encuentra.
14) Impresin de los archivos de Unix /etc/passwd y /etc/group.
15) Impresin del comando df (desplegar sistema de archivos) de Unix.
16) Para Oracle: Impresin de la vista a la tabla dba_users.
17) Para Oracle: Impresin de la vista de logs de la tabla sys.aud$ o el nombre del archivo
denotado por el parmetro AUDIT_TRAIL en el archivo init<System/Instance ID>.ora.
DBA_AUDIT_SESSION
AUDIT_ACTIONS
DBA_AUDIT_OBJECT
Para Oracle: Impresiones de los usuarios de la base de datos y sus privilegios:
DBA_ROLES
DBA_ROLE_PRIVS
DBA_SYS_PRIVS
DBA_TAB_PRIVS
ROLE_ROLE_PRIVS

43
 ROLE_SYS_PRIVS
ROLE_TAB_PRIVS

Impresin de los directorios de Unix y Windows NT que muestren a los owners y los permisos de
archivo para el SQL*Net, Versin 2, archivo tnsnames.ora.
Impresin del archivo /etc/services (Unix) o las descripciones de servicios en Windows NT.

23.2. Anlisis de Planeacin y Riesgos de la Base de Datos

Tener conocimiento de la Base de Datos sobre su medio, aplicaciones, y administracin, y usar

esta informacin para desarrollar una estrategia de auditora sobre los riesgos de la Base de Datos.

1) Identificar a travs de la observacin y la discusin:

2) Sistemas de aplicaciones significantes para la base de datos, bodegas de datos

3) Sistemas de informacin, aplicaciones Web y otros usos crticos para la misin de la base
de datos.
Procedimientos:
Verifique la existencia de la documentacin de los procesos de Cliente-Servidor y el host.

Tiene un servidor de base de datos, los usuarios hacen Login por medio del sistema
operativo (telnet)?

En el medio Cliente-Servidor (dos personas) con procesos que corren en el PC del cliente
(cliente Fat), los usuarios hacen Login por medio del programa de acceso a redes de
Oracle.?

En el medio Cliente-Servidor (tres personas) con aplicaciones lgicas que se encuentran

cargadas en servidores de aplicacin ubicados de forma separada que los servidores de
Bases de Datos y los PC del usuario, los usuarios hacen Login por medio de una
aplicacin encargada de dar el acceso a la red.?

Se lleva una documentacin de cada aplicacin de la Base de Datos, utilidad o los

programas de administracin usados?

Existen documentos de las aplicaciones de usuarios a la base de datos o utilidades del

sistema operativo y los mtodos de acceso a la base de datos?

Se Usa el sistema de autenticacin del sistema operativo en el archivo Unix, /etc/password,

o el User Manager de Windows NT y se documenta siempre que la aplicacin corra bajo un
solo usuario o cuando un usuario haga Login al sistema operativo para tener acceso?

Cuando se usa la tabla de usuarios (en Oracle dba_users), se documenta si la aplicacin

corre bajo un solo proceso de un usuario con un solo identificador o s cada programa de
aplicacin corre como un proceso separado con su propio identificador.?

44
 Determine si el programa de aplicaciones corre a nivel del sistema operativo para cada
usuario individual de Unix o NT (Ej. Telnet y acceso netlogin). En este caso, se enfoca el
control en el medio para la autenticacin de Unix/NT.?

Los usuarios estn restringidos apropiadamente por la seguridad de la aplicacin o la

seguridad del men de opciones.?

El usuario puede escaparse de ese nivel de la aplicacin y ganar acceso al sistema

operativo o a la base de datos.?

Los accesos de la base de datos estn limitados a los objetos de los programas, y los
accesos a los objetos del sistema estn restringidos de las aplicaciones de la base de
datos.?

Determine si el programa corre al nivel del sistema operativo bajo un solo identificador, que
cada usuario logs en la base de datos para autenticacin. En este caso, el acercamiento
de la auditora se debe enfocar en los controles de los procesos de autenticacin y Login.

Asegrese que cada usuario es restringido apropiadamente por la seguridad del programa
u opcin de men.

Asegrese que el usuario no puede escaparse de ese nivel de la aplicacin y ganar acceso
al sistema operativo o la base de datos.

Asegrese que los usuarios estn restringidos de la administracin de la base de datos y

herramientas de desarrollo (Ej. Sqlplus y server manager), as como de herramientas de
consulta.

Asegrese que el acceso (Ej. Roles y privilegios) limitan cada proceso del usuario en las
aplicaciones a slo objetos de la aplicacin y restringe los accesos a objetos del sistema.

En los casos donde los usuarios hacen log directamente a la base de datos a travs de
SQLPlus, SQLDBA o alguna otra interfaz, se efectan procesos de autenticacin y Login,
as como tambin de los controles de acceso?

Asegrese que cada perfil de usuario en la tabla de usuarios (En oracle dba_users ) es
autenticado.

Asegrese que cada privilegio y rol estn auditados en un ambiente usuario-usuario.

Para un proceso de Login controlado por una aplicacin (Ej. Los usuarios no hace log a la
base de datos o al sistema operativo).?

Asegrese que cada perfil del Id del proceso del usuario en la tabla de usuarios (En Oracle
dba_users) es auditada.

Asegrese que acceso (Ej. Roles y privilegios) limitan cada acceso a aplicaciones de
usuario (ID Oracle) a slo objetos de programas de aplicaciones y restringe el acceso a
objetos del sistema.

Determine si el usuario tiene acceso a herramientas de la base de datos: sqlplus, sqldba y

server manager.

Haga una revisin detallada de los procesos de autenticacin, perfiles de usuario y

controles de acceso de roles y privilegios.

45
 Determine si un programa es una aplicacin de Web a travs de http:// y un CGI gateway
en un servidor Web.

Determine que el router de Internet y los controles de firewall restringen el acceso a la base
de datos.

Los controles son adecuados para el acceso al servidor Web.?

Los procesos de un solo usuario y los procesos del sistema operativo para cada usuario
son identificados por el servidor de bases de datos (ver puntos anteriores).?

23.3. Seguridad del Sistema Operativo de la Base de Datos

Determine que el acceso la base de datos a travs del host es seguro.

1) Usando la lista de la tabla de datos del usuario (en Oracle dba_users), identifique todos los
prefijos de Identificacin (en Oracle OPS$, operating system pass-through to Oracle).

2) Examine la seguridad de Login del host para asegurar que todos los ID son validos y
representan a los usuarios actuales.

3) Para Oracle: Referencia del parmetro OS_AUTHENT_PREFIX en el archivo

ini<System/Instance ID>.ora a la lista de dba_users?

4) Los usuarios remotos que estn autenticados no puede conectarse a la base de datos al
determinar que parmetros son usados para arrancar la base de datos (en Oracle
OPS$OFF).?

5) Audite el archivo de seguridad del sistema para asegurar que los usuarios estn
restringidos de acceder programas, archivos de configuracin, logs, y tamao de las tablas.

6) El dueo de todos los directorios es una cuenta administrativa (en Oracle es la cuenta
dba)?

7) El grupo de owner de Unix es el grupo administrador (en oracle dba).?

8) Los permisos en los directorios de Unix son 755 o menos.?

9) Los permisos para los archivos Unix son 750 para archivos ejecutables binarios del
sistema de bases de datos.?

10) El parmetro umask de Unix est puesto para que los archivos log no sean ledos ni
modificados.?

11) Los permisos de los archivos NT estn restringidos de manera que no se puede acceder al
grupo "Everyone".?

12) Los permisos de los archivos NT estn puestos para archivos que heredan permisos de su
directorio.?

13) Audite la seguridad del owner y el grupo de la base de datos para asegurarse que el uso
est restringido a personal administrativo autorizado y procesos.

46
 14) El uso de las cuentas es restringido al administrador de la base de datos.?

15) Revise el archivo de Unix /etc/group para asegurarse que los miembros del grupo
administrativo (dba) est limitado a la cuenta administrativa para prevenir conexiones no
autorizadas que son internas a la base de datos./etc/group.

16) Revise los permisos de archivo para el sqldba y el server manager para asegurar que su
uso est restringido a la cuenta administrativa de la base de datos.

23.4 Proceso de Login y Autenticacin

1) Lograr que todos los procesos y usuarios estn autorizados y autenticados en la base de
datos y que los procesos de usuarios estn controlados.

2) Obtenga una lista completa de la vista a la tabla de usuarios (en oracle dba_users) para
asegurar que la autenticacin de la base de datos es segura.

3) Determine que todos los usuarios estn representados por procesos y usuarios de la base
de datos vlidos y autenticados.

4) Pruebe los passwords que se tienen por defecto en las cuentas de sistema y de la base de
datos (En Oracle sys).

5) Los procesos estn en su lugar para que un cambio peridico de passwords y formatos de
passwords sea seguro.?

6) Por medio de la observacin de programas script y discusiones con el administrador de la

base de datos, determine si los programas de la base de datos y sus procesos son
iniciados usando una consola segura o cadenas de conexiones inseguras.

7) El comando de procesos de Unix (ps) est'a restringido al nivel del sistema operativo, de
manera que un usuario no pueda ver el password de la base de datos en texto (Esto ocurre
con Oracle con el comando ps en el momento que un usuario inicia SQLPlus u otro
programa con un string de tipo username/password).?

8) A travs de una revisin de los procesos de los programas y la discusin con los
funcionarios operativos y el personal de administracin de la base de datos, determine si
los programas de aplicacin o utilidades conectan a la base de datos desde el cdigo del
programa y si los programas que contengan cdigo sobre la bases de datos (Ej. Id,
passwords) estn protegidos por los apropiados permisos de archivo y directorio.

9) Revise la vista de la tabla de usuarios (dba_users en Oracle) para asegurarse que todos
los procesos de usuario estn configurados para proteger los recursos del sistema y las
tablas.

10) El parmetro por defecto del espacio de las tablas est puesto a una tabla de usuario y que
slo las cuentas de sistema (sys y system en Oracle) tengan el espacio de tablas del
sistema como su tamao por defecto.?

11) Asegrese que slo la cuenta de administracin (sys en oracle) tenga el espacio de tablas
del sistema y el temporal.Todos los otros usuarios deberan tener un espacio de tablas
temporal como el temporal del espacio de tablas.

47
 12) Asegrese que el perfil de los parmetros de los usuarios incluyan los valores por defecto
que sean consistentes con la aplicacin de la base de datos para ayudar a proteger el
sistema contra procesos de usuarios no controlados (En oracle CPU_PER_SESSION,
PRIVATE_SGA, y LOGICAL_READS_PER_SESSION).

13) Revise que la vista de la tabla de usuario para lograr que los siguientes parmetros que
pertenecen a procesos de seguridad de Login y sus procesos estn activos.

14) Para Oracle: SESSIONS_PER_USER debera tener como valor 1 en la mayora de los
casos.

15) CONNECT_TIME debera ser usado para usuarios interactivos (esta variable se mide en
minutos) y nunca para procesos con el fin de asegurar que los procesos de la base de
datos no sean molestados.

16) IDLE_TIME debera ser usado para usuarios interactivos (esta variable se mide en
minutos), y nunca para procesos con el fin de asegurar que los procesos de la base de
datos no sean molestados.

17) Obtenga una impresin del log de sesin de los usuarios (en oracle la vista de la tabla
DBA_AUDIT_SESSION).

18) Todos los intentos fallidos de log queden registrados, revisados y seguidos.?

23.5. Controles de Acceso

1) Determine que los procesos de los usuarios e identificadores estn restringidos por los
objetos de acceso al sistema.

2) El sistema le otorga a los usuarios un acceso interactivo a la base de datos por medio de
herramientas de consulta y herramientas de la base de datos.?

3) El acceso de los usuarios est propiamente restringido por medio de la asignacin de roles
y privilegios.?

4) Obtenga una impresin de las tablas que involucren actividad de los usuarios (En Oracle
son las siguientes tablas DBA_ROLES, DBA_ROLE_PRIVS, DBA_COL_PRIVS,
DBA_SYS_PRIVS, DBA_TAB_PRIVS, ROLE_ROLE_PRIVS, ROLE_SYS_PRIVS,
ROLE_TAB_PRIVS).

5) Los usuarios que interactan en un ambiente de produccin estn restringidos al privilegio

seleccionado por cada privilegio especfico o rol.?

6) La informacin confidencial est restringida por los usuarios interactivos y los procesos
estn restringidos del sistema o cualquier objeto.?

7) Los procesos guardados y los privilegios de usuario estn limitados a seleccionar y

ejecutar la interaccin?

8) La opcin de dar permisos generales est slo habilitada para el administrador?

9) La opcin de administracin que le da a los usuarios la posibilidad de otorgar privilegios del

sistema a otros usuarios, est restringida a los usuarios con el nivel ms alto de privilegios
(Ej. Administrador de la base de datos)?

48
 10) Obtenga las impresiones de los logs de las acciones de auditora.

11) Los comandos crticos en los objetos (Ej. Crear, alterar, delete) estn en el log y son
revisados.?

12) Los objetos del usuario y del sistema que son crticos estn en el log para cada cambio,
adiciones, y eliminaciones y que el log es revisado y monitoreado.?

23.6. Disponibilidad de la Base de Datos, Backup y Recuperacin

1) Asegurar que la base de datos est disponible para usuarios y procesos y qu las medidas
han sido tomadas para limitar la exposicin de las fallas de los componentes, de la
comunicacin y de cualquier otra interrupcin sobre el sistema.

2) Usando la documentacin de planeacin y tamao de la base de datos con la salida del

comando df de Unix, compruebe:

El espacio de las tablas (crticas y dinmicas).

Asegurar que los espacios de las tablas han sido distribuidos a travs de mltiples
discos para distribuir input/output.

En la salida de los logs de realizacin han sido archivados y los archivos de control
han sido montados en discos separados y que estos han sido copiados en otros
discos por separado.

Revise los contenidos del archivo de configuracin (en Oracle config.ora) para el
control de nombres de los archivos y confirme que los controles sobre los archivos
estn localizados en tres diferentes sistemas de archivos y en tres diferentes discos.

3) La informacin crtica sobre el tamao de las tablas est duplicada para una rpida
recuperacin.?

4) Cada disco usa un controlador por separado para minimizar el impacto sobre una falla en
el controlador ? (Ver el nombre del archivo en la salida del df).

5) Los procedimientos de monitores de los discos y del tamao de las tablas estn en su
lugar.? (Para garantizar que los requerimientos de crecimiento son conocidos de antemano
en la necesidad de una variacin en el tamao o que se realice una reorganizacin del
tamao de las tablas).

6) Los requerimientos de la memoria del sistema, el espacio en disco y las proyecciones

futuras han sido incorporadas dentro del diseo del sistema.?

7) Para Oracle: revise el parmetro db_block_size en el archivo init<System/Instance ID>.ora

y asegrese que este valor es igual al lock size del sistema operativo (Excepto en los
sistemas operativos AIX de IBM).

8) Para Oracle: busque el parmetro log_archive_set dentro del archivo init<System/Instance

ID>.ora y asegrese que su valor se True para que el modo de log sea inicializado.

49
 9) El archivo init<System/Instance ID>.ora est en el parmetro llamado Checkpoint_process
y tiene un valor de True.? (Para asegurar que los puntos de chequeo estn siendo
grabados en archivos de control).

10) El parmetro llamado Log_Checkpoint_Interval est puesto en una frecuencia apropiada

con relacin al tamao de la base y su uso.?

11) Obtenga los procedimientos de backup para la base de datos, los horarios de backup, y los
programas de backup.

12) Los backups incrementales estn siendo tomados como mnimo cada noche? (Ej. Objetos
que han cambiado desde la ltima vez).

13) Los horarios de backups de la base de datos (lgicos) son puestos cuando los usuarios no
estn en el sistema, los reportes y los procesos de batch hayan terminado.?

14) Se usan procedimientos estndar para los backups lgicos que permitan proteger la
integridad de la base de datos.?

15) Cuando se efectan los backups lgicos con la base de datos se hace de modo restringido,
asegurando que los usuarios que no tengan la calidad de administradores de la base de
datos no puedan hacer Login mientras corre el backup.?

16) Los backups lgicos semanales son hechos usando la opcin completa (por defecto), para
asegurarse que toda la base de datos esta en el backup.?(si no hay backups, revisar en
tiempo de ejecucin)

17) Los backups del sistema son realizados como mnimo semanal o mensualmente.?

18) Revise el catlogo del almacenamiento de los backups y procedimientos de control para
asegurar que han sido actualizados satisfactoriamente, marcados interna y externamente y
conservados fuera del lugar donde se encuentra la base de datos.

19) Obtenga y revise la documentacin sobre recuperacin de la base de datos y sus pruebas
con sus resultados. Asegrese que por lo menos ocho escenarios de riesgo han sido
probados satisfactoriamente.

23.7. Redes de Bases de Datos

1) Determine que las redes de la base de datos han sido diseadas para soportar los
requerimientos de disponibilidad y las necesidades de seguridad de la aplicacin en base
de datos.

2) Obtenga un diagrama de la red de los servidores de la base de datos y sus conexiones

lgicas y fsicas sobre el resto de la red.

3) Cul es la velocidad mxima y el mximo de ancho de banda que es usado para soportar
el uso elevado de SQL entre la red y sus componentes.? (Ej. Entre servidores de bases de
datos y los servidores de aplicaciones).

4) Los links redundantes (ej. Interfaces, hubs y routers) son usados para soportar los
requerimientos del sistema.?

50
 5) Qu puertos de mantenimiento estn siendo utilizados por separado por los servidores de
bases de datos para acceso administrativo y de mantenimiento.?

6) Usando el comando netstat, revise el routing y el direccionamiento Ip usado para los

servidores de bases de datos. Asegrese que el trfico de SQL de alto ancho de banda
est restringido a un subred separada y es guardada en forma separada de los puertos de
mantenimiento.

7) Obtenga los archivos de configuracin para los routers que conectan la base de datos con
las redes de los usuarios (puertos tcp 1521 y 1525).

8) El trfico en esos puertos es o bloqueado o restringido a un destino autorizado.? (direccin

Ip o direccin de fuentes).

9) El hot swap routing protocol (hsrp) est en uso y los routers redundantes estn disponibles
a los servidores de base de datos en caso de una falla de los equipos.?

10) En SQL*Net, versin 2, revise que el contenido del archivo de nombres (en Oracle
tnsnames.ora) para confirmar que cada sistema listado es autntico y autorizado por el
servidor de bases de datos.

23.8. Controles de Desarrollo e Integridad

1) Asegurar que los controles de desarrollo e integridad son efectivos para proteger la base
de datos contra cambios no intencionales hechos por usuarios y procesos.

2) Obtenga los estndares y procedimientos de desarrollo utilizados.

3) El cdigo y los procedimientos de prueba son usados para lograr que los programas de
acceso a la base de datos cumplan con la integridad de las transacciones en procesos que
actualizan mltiples tablas.?

4) En Oracle examine el parmetro ROW_LOCKING en el archivo init<System/Instance

ID>.ora para asegurar que el sistema multiusuario protege la base de datos contra la
actualizacin del mismo registro al mismo tiempo por parte de usuarios.

24. CUESTIONARIO PARA LA EVALUACIN DE CONTROL INTERNO, REDES Y PROCESOS

DISTRIBUIDOS

24.1. Administracin de la Red

Las responsabilidades del administrador de la red incluyen aquellas actividades que garanticen la
identificacin y satisfaccin eficiente de los requerimientos de los usuarios, tales como:

1) Planeacin de la red

2) Administracin de las configuraciones

51
 3) Administracin de los problemas

4) Administracin de los cambios de la red

5) Administracin de la seguridad de la red

6) Suministro del plan de contingencia de la red

7) Mantenimiento de los acuerdos de servicios con los usuarios, los administradores de la red
y de aplicaciones

8) Mantenimiento de las estadsticas y control de uso de la red

9) La administracin de proyectos y desarrollo del servicio de redes cuenta con:

24.2. Definicin de Objetivos y Productos

1) Establecimiento de Responsabilidades claras, nivel de la organizacin e individual.

2) Establecimiento de Planes de Trabajo con objetivos definidos y establecidos, incentivos de

costo, criterios de aceptacin, aprobaciones, acontecimientos importantes e itinerarios.

3) Aplicacin de procesos de anlisis de controles.

4) Conduccin de las actividades del proyecto.

5) Revisin y aprobacin de los cambios significativos en planes, costos o beneficios?.

6) El proceso de aprobacin de proyectos cumplen con los requerimientos previos?

7) Se miden las prcticas que soportan la administracin del proyecto, de acuerdo con
indicadores visibles de riesgo, tales como tamao, crticabilidad de la red o servicio
afectado?

8) Se cuenta con una metodologa de administracin de proyectos, para la realizacin de

cambios significativos o adiciones a sistemas de telecomunicaciones existentes, en el que
se establezcan los criterios para distinguir dichos cambios significativos de las
modificaciones rutinarias?

9) Se especifican los planes del proyecto, las responsabilidades para las pruebas, el
entrenamiento y la documentacin?

10) Cuando el servicio de telecomunicaciones forma parte de un proyecto de aplicaciones se

incorpora el control respectivo en la administracin de la aplicacin?

11) Se establecen acuerdos escritos de servicio en los que se especifiquen tiempos de

respuesta y riesgos que afectan el servicio de las telecomunicaciones?

24.3. Causas de Riesgo

1) Seleccin de equipos costosos

52
 2) Seleccin de equipos no compatibles con otros de la organizacin

3) Seleccin de equipos obsoletos

4) Seleccin de equipos no acordes con los requerimientos de los procesos y exigencias de

los usuarios

5) Ausencia de controles de redes

Anlisis de controles de redes

Los conceptos de anlisis de controles comprenden:
El anlisis oportuno de exposicin al riesgo

Los problemas que pueden haber en el servicio de telecomunicaciones

Afectacin para la entidad

Probalidad de que ocurra

Anlisis de posibilidades de dao del servicio y medidas de control recomendadas para

evitar y reducir el riesgo.

Revisin y anlisis de los puntos apropiados del proceso por parte de un grupo de
expertos.

Procedimientos escritos de las responsabilidades sobre los puntos crticos acordados y

recomendaciones dadas
Se tiene el personal apropiado en el anlisis de controles con relacin a:
Usuarios de aplicaciones o informacin

Expertos tcnicos

Expertos en controles

En los nuevos desarrollos y/o mantenimiento para mejoras mayores, se realiza la

evaluacin de lo crtico y el riesgo general del servicio y las instalaciones, con el fin de
identificar la seguridad y control que se debe involucrar en el Proyecto.

Desarrollo y Mantenimiento del Software

Se encuentran definidas las Polticas y Normas de desarrollo y mantenimieto del

software en las redes?

6) Determinacin de Mtodos, Tcnicas y herramientas de desarrollo y mantenimiento

estndar apropiados para el ambiente de redes.

7) Anlisis de requerimientos exigidos por la red para el software.

8) Definicin de la responsabilidad por la calidad y oportunidad del desarrollo y/o

mantenimiento.

9) Seguridad fsica

53
10) Se efectu previamente un anlisis de la ubicacin fsica de la red (Ambiente)?

11) Se cuenta con el Inventario e identificacin de todos los componentes de la red?

12) Definicin de necesidades de entrenamiento en medidas de seguridad

13) Anlisis de costo/beneficio, medidas de seguridad fsica Vs. prdidas probables por causas
del riesgo.

14) Se ha definido el plan de contingencias y medidas de seguridad para prevenir

contingencias/desastres.

15) Causas de Riesgo:

Interferencia electromagntica

Polvo, calor, humo, partculas en el aire y excesiva humedad

Inundacin, incendio, terremotos y otros fenmenos

Robo de equipos

Robo de medios magnticos con datos

Sabotaje

Prdida de datos y software

Dao de los equipos

Interrupcin del fluido elctrico

Seguridad Lgica

Se encuentran claramente definidos los derechos de acceso a las

instalaciones de la red?

Se han realizado anlisis de la ubicacin de los datos y software en el

ambiente de la red?

Se cuenta con el Inventario e identificacin de todos los archivos de

datos/software?

Se realiza la identificacin y clasificacin por nivel de riesgo de las

aplicaciones y datos que se utilizan?

Se encuentran claramente definidas las responsabilidades parala

seguridad lgica?.

Se han establecido necesidades de entrenamiento en las medidas de

seguridad?

Se realizan anlisis de Costo/Beneficio, medidas de seguridad lgica Vs

perdidas probables por causas de riesgo?

54
 Se han establecido medidas y/o controles de seguridad que cubran y prevengan
las causas de riesgo tales como:
Robo de datos sensibles?

Alteracin accidental/malintencinada de datos o programas?

Contaminacin por virus en etaciones de trabajo?

Contaminacin por virus de servidores?

Software legal contaminado con virus?

Suplantacin de personal autorizado con acceso a los datos y/o

programas?

Copia ilegal de datos y/o programas?

Infiltracin externa por medios de comunicacin?

Robo de secretos industriales o proyectos estratgicos?

Multas o sanciones por uso inadecuado de datos y software?

Divulgacin inapropiada por empleados, proveedores, tcnicos de

mantenimiento de datos y programas sensibles?

24.4. Contratacin

1) Dentro de los procedimientos de contratacin se han definido paramentos para la

elaboracin de contratos relacionados con este tipo de servicios?

2) Se han considerado los parmetros para la realizacin de la:

Elaboracin de contratos de compra

Elaboracin de contratos de alquiler

Elaboracin de contratos de mantenimiento preventivo

Elaboracin de contratos de mantenimiento correctivo

Elaboracin de contratos de soporte y asesora

Elaboracin de contratos de respaldo

Elaboracin de contratos de custodia externa de

datos/software/suministros etc.

Anlisis de los contratos de seguros

Efectos

Errores en la elaboracin de contratos

Contratacin de servicios externos innecesarios

55
 No contratacin de servicios externos necesarios

Cubrimiento inadecuado de los contratos de seguros

Sub/sobrevaloracin de los seguros

24.5. Controles de Microcomputadores

1) Tiene la alta gerencia polticas por escrito relacionadas con la adquisicin de

Microcomputadores?

2) Las polticas para adquisicin de Microcomputadores contienen consideraciones sobre:

Los equipos ms convenientes si el propsito es la utilizacin de modo

independiente?

Los equipos que se adapten mejor cuando es necesario el acceso a datos

en otras instalaciones de cmputo y las aprobaciones que se requieren
antes de que el acceso sea permitido?

El tipo de aplicaciones adecuadas para cada uno de los dos mtodos de

operar descritos anteriormente?

Se han elaborado formas especiales y otra documentacin para facilitar la

requisicin y aprobacin de las adquisiciones de Microcomputadores?

Las requisiciones para la compra de equipos se soportan en anlisis costo-

beneficio?

3) Se ha reglamentado el uso de Microcomputadores en la entidad de tal manera que

contemple:

Responsabilidades por la seguridad de cada equipo instalado?

Procedimientos estndar para el manejo y administracin de los equipos?

Responsabilidades sobre el uo de perifricos?

Manejo de archivos y programas residentes en el disco duro?

Tiene la gerencia lineamientos relacionados con el desarrollo o adquisicin

del software aplicativo de Microcomputadores?

Existe personal dedicado al desarrollo de software aplicativo de

Microcomputadores y/o para evaluar el software ofrecido por los
proveedores?

Participa el usuario en la decisin de adquirir o desarrollar software

aplicativo?

Existe documentacin de las aplicaciones adquiridas y desarrolladas para

Microcomputadores?

56
 Ha sido la totalidad del software adquirido legalmente?

Estn los programas de aplicacin protegidos contra copiado ilegal y/o

modificacin sin autorizacin previa del proveedor?

Si los Microcomputadores accesan datos de otras instalaciones o del

equipo central, existen controles que regulen la velocidad de transferencia,
de tal manera que no degraden la eficiencia de la red?

Cuando se utiliza el microcomputador como un terminal, existen

mecanismos para controlar la evasin de las claves de entrada al
computador central?

El personal que inicia las transacciones no tiene responsabilidad de

desarrollo de programas para los Microcomputadores?

Los totales y subtotales de control, la cuenta de documentos y otros

puntos de verificacin programados se han incluido en las transacciones
que se introducen para procesamiento?

Existen procedimientos para la autorizacin de acceso de los

microcomputadres a otras instalaciones de cmputo o al equipo central?

Existen cdigos de identificacin o passwords para identificar a los

usuarios autorizados para el manejo de los Microcomputadores?

Se han instalados matrices o mens para identificar niveles de acceso a

los diferentes usuarios de Microcomputadores?

4) Se ha realizado una evaluacin de los riesgos asociados a la utilizacin de los

Microcomputadores que incluya:

Clasificacin de las aplicaciones por tipo (contabilidad, anlisis,

procesamiento de palabras, automatizacin de oficinas, etc.).

Medicin de la sensibilidad y/o confidencialidad de los datos que maneja

cada aplicacin?

Para las facilidades de control incluidas se efectu un estudio de costo-

beneficio?

Existen procedimientos para el respaldo de programas y archivos? Son

adecuados?

Las instalaciones de almacenamiento para el resguardo de programas y

archivos de datos cumplen con las medidas mnimas de seguridad?

Son conscientes los diferentes usuarios de la necesidad de mantener bien

resguardados los disskettes con informacin crtica o confidencial cuando
se encuentren fuera del rea del microcomputador?

57
 Se ha estudiado la posibilidad de exigir password para la entrada al
sistema operativo del microcomputador con el fin de evitar alteraciones o
prdida deliberada o accidental de archivos residentes en el disco duro?

Los locales donde se ubican los Microcomputadores permanecen aislados

en recintos cerrados despus del horario normal de trabajo?

5) El microcomputador y todos sus perifricos poseen un nmero nico de identificacin para

prevenir robos, con el objeto de poder asignar la responsabilidad sobre su manejo a un
empleado de la organizacin?

6) Se lleva un reporte peridico sobre la calidad en el manejo de los Microcomputadores por

parte de los usuarios?

7) Se lleva un registro sobre el tiempo de utilizacin de los Microcomputadores con el objeto

de reubicar los equipos subutilizados?

8) Se tiene una estadstica sobre el consumo de recursos por cada puesto de trabajo?

9) Se realiza mantenimiento preventivo y correctivo a los Microcomputadores?

10) Estn los Microcomputadores asegurados contra robo y contra prdida total o parcial de
datos crticos?

11) Se controla permanentemente el uso de Microcomputadores con el fin de evitar la

instalacin de programas no autorizados que pueden infectar con virus a los equipos?

25. MEMORANDO DE PLANEACIN DE LOS SISTEMAS DE INFORMACIN

Comprende la definicin de los aspectos a cubrir en la fase de ejecucin de la Auditora y la

disposicin en tiempo, modo y lugar de los recursos necesarios para llevarla a cabo y la carta de
gerencia que sobre los resultados de la evaluacin preliminar debe entregarse al sujeto de control.

Para la preparacin del memorando deben seguirse los parmetros establecidos para tal fin en
esta gua.

26. PAQUETES DE AUDITORA

El propsito de estos paquetes es auxiliar en la consulta y los clculos bsicos sobre los archivos
magnticos que anteriormente se realizaban con registros en forma manual. Como ejemplo se
tiene el paquete IDEA (Interactive Data Extraction Analysis). Las principales funciones que ejecuta
un paquete de esta clase son:

1) Lectura de archivos.

2) Validacin de campos.

3) Pruebas parciales.

4) Lectura salteada de los registros.

58
 5) Identificacin de registros duplicados.

6) Chequeo de ausencia de registros en una secuencia.

7) Ordenamiento de intercalacin de los datos.

8) Obtencin de totales y sub-totales.

9) Ejecucin de clculos.

10) Bsqueda de tablas.

11) Clasificacin por perodos de vencimiento.

12) Seleccin de registros.

13) Generacin de archivos de salida.

14) Comparacin de archivos.

27. REALIZACIN DE PRUEBAS DE AUDITORA

Es la etapa de la Auditora en que con base en los resultados de la Evaluacin del Control Interno
de Sistemas, el auditor define, prepara y efecta las Pruebas de Auditora que en sntesis
corresponden a la seleccin de las tcnicas ms adecuadas, con el fin de determinar la
consistencia lgica de los programas; la exactitud, confiabilidad, integridad, oportunidad y
seguridad de los controles en el tratamiento de la informacin y la optimizacin en el uso de los
recursos informticos.

Las Pruebas de Auditora se constituyen en las herramientas del auditor para obtener las
evidencias adecuadas que fundamentan las conclusiones de auditora. Hay que tener en cuenta,
sin embargo, que los resultados de las pruebas pueden mostrar la existencia de fallas en el
sistema pero nunca pueden probar su total perfeccin.

Las pruebas de auditora son de dos tipos:

Pruebas de Cumplimiento

Pruebas Sustantivas

Con respecto al Sistema de Control Interno operante y los tipos de pruebas vistos, se pueden tener
las siguientes situaciones, las cuales el auditor debe tener en cuenta durante la ejecucin de su
trabajo:

Cuando el auditor decide confiar en los controles que la administracin ha diseado, debe evaluar
que estos controles operen efectivamente a travs de las Pruebas de Cumplimiento. Si estas
pruebas proporcionan al auditor un alto grado de confianza, las Pruebas Sustantivas pueden ser
reducidas.

59
Si las Pruebas de Cumplimiento no proporcionan un buen grado de confianza, o si el auditor
decidi no confiar en el Control Interno, se deben ampliar las Pruebas Sustantivas.

De todas maneras, posterior a la realizacin de Pruebas de Cumplimiento siempre existir la

posibilidad de ocurrencia de errores y su no deteccin. Con la aplicacin de Pruebas Sustantivas
es posible obtener evidencia sobre la presencia o ausencia de errores monetarios.

27.1. Pruebas de Cumplimiento

Las pruebas de cumplimiento se usan para determinar si un procedimiento de control prescrito est
funcionando efectivamente y consisten en verificar:

La aplicacin de leyes o reglamentos, procedimientos establecidos en los manuales y que

stos se encuentren actualizados.

El conocimiento por parte del personal de los manuales y polticas del ambiente
informtico.

La existencia de informes o memorados preparados por el Departamento de Informtica.

Si han sido implantadas las recomendaciones emitidas por auditoras anteriores.

27.2. Pruebas Sustantivas

Las pruebas sustantivas se disean para proveer una seguridad razonable sobre la validez de la
informacin producida.

El desarrollo de las pruebas es logrado mediante la aplicacin de una o varias tcnicas de

auditora, ya sea simultnea o secuencialmente, tales como:
Anlisis de registros.

Elaboracin de operaciones.

Comparacin de archivos.

Estratificacin de archivos.

Seleccin de la muestra aleatoria.

Resumen de informacin.

Generacin de reportes.

Construccin de archivos de prueba.

Extraer informacin de un archivo.

Realizar anlisis estadsticos.

60
 Simular parte del sistema o el sistema completo.

28. PROCEDIMIENTOS Y TCNICAS DE AUDITORA

Los procedimientos de auditora requieren de tcnicas que ayuden a establecer la eficiencia en la

utilizacin de recursos informticos; la consistencia, integridad y oportunidad de la informacin y la
efectividad de los controles.

An cuando los objetivos de auditora no se modifican con relacin a la manera como se procesan
los datos, el uso del computador si afecta los procedimientos para el logro de estos objetivos, es
decir, las variaciones en los procedimientos son resultado de las modificaciones al sistema de
control interno en el medio informtico.

El auditor debe identificar, verificar y evaluar los mtodos de control en el proceso de obtencin de
la evidencia adecuada para fundamentar las conclusiones de auditora a travs de pruebas de
cumplimiento y/o sustantivas.

28.1. Tcnicas de Auditora Asistidas por Computador TAAC's

Una de las herramientas ms tiles para adelantar tanto pruebas de cumplimiento como pruebas
sustantivas son las que se conocen como Tcnicas de Auditora Asistidas por Computador (
TAAC's), las cuales se orientan hacia los datos, las aplicaciones, los equipos y programas y
permiten seleccionar y procesar la informacin necesaria para fines especficos de la auditora,
facilitando la aplicacin de mtodos de muestreo estadstico, aumentar el alcance de las pruebas y
verificar la integridad de los datos en la poblacin auditada.

28.2. Lotes de Datos de Prueba

Mediante esta prueba se genera un conjunto de datos con los errores ms frecuentes tales como:
valores muy grandes o muy pequeos, cdigos inexistentes, caracteres en lugar de nmeros,
fechas imposibles, datos mayores al tamao de los campos, etc., con el objeto de verificar si la
aplicacin valida la informacin de entrada, detecta los errores y chequea rutinas de inters tales
como clculos de pagos, descuentos, etc.

28.3. Facilidad de Prueba Integrada

Evala el sistema de controles del procesamiento basado en permitir la introduccin de

transacciones al sistema para probar todas las reglas de la aplicacin, adems trabaja en conjunto
con el procesamiento principal de la aplicacin, por lo tanto puede realizarse dentro de un
procesamiento normal.

28.4. Registro Extendido

61
Consiste en adicionar a los registros normales de la aplicacin, datos que son importantes para el
Auditor (pistas de auditora). Mediante este mtodo se recopilan datos significativos que han
afectado el procesamiento.

28.5. Rastreo

Con esta prueba se busca verificar si un grupo de instrucciones de un programa ha sido

efectivamente ejecutado durante el procesamiento

28.6. Recopilacin y Comparacin de Programas Fuentes

Permite verificar los cambios efectuados a los programas y que los procedimientos de
mantenimiento sean los correctos mediante la comparacin del programa que est en produccin
con el programa fuente.

Mediante el anlisis de las diferencias obtenidas pueden detectarse casos de fraudes,

modificaciones o alteraciones no autorizadas o si lo fueron, no se encuentran documentadas.

28.7. Rutinas Fijas de Auditora

Consisten en la adicin de rutinas preparadas por el auditor e incorporadas en el programa, con el

fin de verificar condiciones de excepcin.

28.8. Simulacin Paralela

Consiste en preparar una aplicacin computacional por separado que efecte las mismas
funciones que los programas de aplicacin reales deben leer los mismos datos de entrada
utilizando los mismos archivos y tratando de producir los mismos resultados.

28.9. Procesos de Datos

Se utilizan los mismos programas existentes en el sistema que permiten comprobar los controles
definidos previamente con los realmente programados.

29. EL INFORME DE AUDITORA

62
El producto final de la labor de Auditora es el Informe Final; con este Informe se busca dar a
conocer a la entidad auditada la realidad con respecto al rea examinada, dando una opinin
constructiva en forma clara y concisa, evitando detalles excesivos, los que pueden ser incluidos en
anexos.

As mismo, se deben presentar conclusiones del trabajo efectuado, de acuerdo con los
antecedentes contenidos en las diferentes fases y en concordancia con los objetivos trazados,
hechos que deben estar debidamente sustentados en los papeles de trabajo que se dejarn en
legajos independientes y se referenciados de acuerdo a la Codificacin asignada para esta rea.

El contenido del informe debe proporcionar elementos de juicio concernientes al resultado de la

evaluacin de los controles analizados en cuanto a su efectivo funcionamiento y a la medicin de
los efectos de cada deficiencia en particular y su presentacin debe realizarse en el orden en que
se clasificaron los tipos de control.

30. SEGUIMIENTO

Esta fase cierra el ciclo del proceso de auditora en la que se efectuar el anlisis y evaluacin del
acatamiento de las entidades del Estado a las recomendaciones formuladas por la Contralora de
Bogot D.C.. Cabe anotar que para su ejecucin se debe cumplir todo el ciclo de auditora.

31. PROGRAMAS DE AUDITORA DE SISTEMAS

Programa para Evaluacin de Organizacin en el rea de Sistemas

Programa para Evaluacin de la Seguridad Fsica y Planes de Contingencia de la Oficina

de Sistemas

Programa para Evaluacin de Bases de Datos, Archivos y Datos

Programa para Evaluacin de Operaciones en el Centro de Procesamiento y rea de

atencin a usuarios

Programa para Evaluacin de Desarrollo y Mantenimiento de Sistemas

Programa para Evaluacin de Redes de Comunicaciones

31.1. Programa para Evaluacin de Organizacin en el Area de Sistemas

Objetivos

Verificar que la estructura de organizacin considere la separacin de funciones entre el personal

del rea de informtica y el de las reas usuarias en lo que respecta a:

Responsabilidad por la generacin de las transacciones enviadas a proceso.

63
 Mantenimiento de los registros contables, manuales y custodia de bienes.

Controles sobre la exactitud los datos de entrada y salida.

Responsabilidad de definir y aprobar especificaciones tanto para el desarrollo de sistemas

nuevos como para las modificaciones de sistemas en explotacin.

Comprobar la eficiencia del rea de informtica y que sus recursos sean tambin
administrados apropiadamente.

Confirmar la existencia de una buena planificacin, organizacin, control, estandarizacin,

etc. dentro del rea; que todos los proyectos sean abordados por medio de un estudio de
factibilidad previo y que no se decidan por la MODA que impera en el mercado que traten
de imponer proveedores de equipos.
Verificar que la eficiencia siempre se tiene en cuenta dentro del rea de informtica, ya que se trata
de un rea costosa, debido a factores tales como:
Tecnologa costosa

Especialistas escasos y de altas remuneraciones.

Cambios tecnolgicos y rpidos.

Obsolescencia de los sistemas en corto plazo (3 aos mx.)

Insumos de alto costo.

Desarrollo lento de sistemas de informacin.

Verificar la segregacin adecuada de funciones dentro del rea de Informtica, de tal

manera que se garantice la compatibilidad en la ejecucin de las mismas.

Confirmar que existe un Comit Directivo y un Comit de Usuarios de Sistemas de

Informacin integrado por representantes de las diferentes reas. Estos comits tendrn
como funcin elaborar y controlar el Plan Estratgico de Sistemas.

Comprobar que la Oficina de Informtica considera los siguientes elementos de

planificacin que contribuyan a mejorar el control:

Cronogramas de actividades.

Informacin individual de las actividades.

Racionalizacin en el uso de los recursos y sucesos operacionales.

Informe mensual sobre el cumplimiento y estado de los proyectos.

Verificar la existencia de una planificacin y de una metodologa de Desarrollo y Mantenimiento del
control, con el fin de evitar las siguientes fallas:
Dificultades en el desarrollo y mantenimiento de sistemas.

Incentivo para el surgimiento de personas "imprescindibles" dentro de la organizacin.

Exceso de tiempo o injustificacin de atrasos en el desarrollo de sistemas.

64
 Problemas en el cumplimiento de la entrega de resultados a las reas usuarias.

Garantizar que estn descritos los procedimientos de planificacin, desarrollo,

mantenimiento y operacin de sistemas que estn controlados con mtodos simples y
funcionales.

Evaluacin del Control Interno

CALIFICACIO
N
DETALLE SI NO OBSERVACIONES

1 2 3 4 5

La organizacin ha planificado eficientemente el uso de recursos de sistemas.

Establezca si la Oficina de Sistemas tiene documentados los objetivos y estrategias

corporativas a corto y mediano plazo.

Determine si la Oficina de Sistemas tiene la descripcin de las necesidades presentes

y futuras de la Contralora Distrital

Verifique si la Misin definida para la Oficina de Sistemas y cada uno de los Grupos se
cumple satisfactoriamente y contina vigente.

Determine si la Oficina ha consultado a las otras reas acerca de sus necesidades en

materia de informacin y se tiene la descripcin sobre las reas que representan
problemas.

Establezca si se ha constituido un grupo interno en la Oficina de Sistemas para

supervisar el funcionamiento de los aplicativos en produccin.

La oficina de sistemas esta preparada para cubrir las necesidades futuras tecnolgicas
y de automatizacin en forma ordenada y controlada sin inconvenientes en su
funcionamiento.

Existe un Plan Estratgico de sistemas y determine si contempla planes de accin

especficos a corto plazo para ser implementados dentro de los prximos doce meses.

Se establecen prioridades para la asignacin de los recursos computacionales.

La alta direccin conoce y apoya el plan y se actualiza peridicamente.

Se han establecido prioridades para la ejecucin del Plan Estratgico.

Se ha definido un calendario para poner en accin los proyectos especficos del Plan
Estratgico y asignar recursos necesarios.

El hardware actual o futuro definido, es suficiente para apoyar el Plan Estratgico a

corto y mediano plazo.

Se utiliza un sistema de monitoreo para asegurar que las actividades de la Oficina de

Sistemas se estn desarrollando de acuerdo con lo previsto en el plan.

La oficina cuenta con los sistemas y recursos suficientes que contribuyan en forma
mas efectiva al cumplimiento de las metas y objetivos de la entidad

Determine si estn descritos y se han entregado los objetivos para cada rea funcional
de la Oficina de Sistemas.

A travs de una encuesta determine si:

Estn identificadas y documentadas las necesidades, manuales y/o automatizadas para
cada rea funcional.

65
 Estn clasificados los sistemas en adecuados, por mejorar, por ajustar y/o por implantar,
acorde con las necesidades.

La adquisicin de los recursos informticos es adecuada para cubrir las necesidades de la

organizacin .

El hardware y software adquirido es adecuado para satisfacer las necesidades de

informacin.

Es adecuada la tecnologa de informacin para los usuarios.

Que concepto tienen los usuarios internos de la funcin de la tecnologa de informacin

31.2. Programa para Evaluacin de la Seguridad Fsica y Planes de Contingencia de la

Oficina de Sistemas

Objetivos

Establecer la continuidad de operaciones de negocio que se apoyan en la oficina de

sistemas mediante la verificacin de los planes para la "Prevencin y Recuperacin de
Desastres", as como la seguridad fsica de las instalaciones, equipos, programas y medios
de almacenamiento del rea de informtica.

Comprobar el diseo y la implantacin de un plan de contingencia para garantizar a los

usuarios la continua prestacin del servicio, an en circunstancias de emergencia en las
que por problemas tcnicos no se pueda prestar el servicio con la misma eficiencia que en
circunstancias normales.

Verificar la existencia de controles sobre el acceso fsico y de procedimientos de respaldo

que permiten minimizar los riesgos derivados de:

Utilizacin no autorizada de los elementos computacionales.

Verificar si hay robo de informacin, programas, equipos archivos de la entidad

Determinar la existencia de modificacin revelacin premeditada accidental de

informacin, programas equipos.

Verificar la existencia de la prdida de grandes cantidades de informacin histrica del

perodo corriente de difcil recuperacin elevado costo.

Procedimientos

Fecha de Fecha de REF.

No. Detalle Responsable Observaciones
Iniciacin Terminacin P/T

Verifique los planes para la prevencin y recuperacin de

desastres as como la seguridad fsica de las instalaciones,
1 equipos, programas y medios de almacenamiento del rea
informtica para establecer si la continuidad de las
aprobaciones del negocio se apoyan en la oficina de sistemas

66
 Compruebe el diseo e implantacin de un plan de
2 contingencia para garantizar a los usuarios la continua
prestacin del servicio, an en situaciones de emergencia

Evaluacin del Control Interno

CALIFICACION
Detalle SI NO OBSERVACIONES
1 2 3 4 5

Los recursos materiales estn protegidos en forma razonable contra prdidas a travs de
medidas preventivas apropiadas.

Se ha instalado un sistema para detectar fuego y humo.

Se han instalado sistemas de extincin automticos de Agua, Halgeno, dixido de carbono.

El personal conoce las precauciones a tomar en caso de siniestro.

Se han ubicado estratgicamente extintores de fuego porttiles con marcaciones de ubicacin

bien sealizadas.

Los controles de emergencia para desconectar la energa elctrica estn fcilmente accesibles
a las salidas.

Los controles de energa elctrica desconectan la calefaccin, ventilacin y el aire

acondicionado.

Se hacen pruebas regulares del funcionamiento de los detectores.

Se hacen con regularidad ejercicios de simulacin de incendios.

Las cuadrillas de emergencia pueden acceder a las distintas instalaciones sin demora.

Las instalaciones estn ubicadas lejos de sitios de almacenamiento de materiales inflamables

o de explosivos.

El almacenamiento de desperdicios y materiales inflamables dentro de las instalaciones est

organizado para minimizar la posibilidad de generar incendios.

Las instalaciones de la oficina de sistemas est libre de peligro de inundaciones.

Existen sistemas y mecanismos para llamar a los bomberos a la polica en caso de que se
presenten problemas.

Las localizaciones fsicas y los recursos de cmputo de la oficina de sistemas estn protegidos
contra actos vandlicos y terroristas.

Las reas de atencin al pblico estn ubicadas en lugares que otorgan seguridad a los
usuarios de la oficina de sistemas.

67
 CALIFICACION
Detalle SI NO OBSERVACIONES
1 2 3 4 5

Las reas donde se guarda el material de respaldo ya sea en el mismo edificio en otro lugar
estn debidamente protegidas contra incendio y otras catstrofes materiales.

En caso de sufrir los efectos de una catstrofe mayor como por ejemplo, la destruccin total de
equipos y de los sistemas de informacin, la oficina de sistemas est preparada para seguir
funcionando.

Existe un Plan de Contingencias para casos de catstrofe.

Se documenta y actualiza peridicamente el plan.

Este plan se distribuye a todos las reas de la oficina de sistemas y a los usuarios externos
que de una manera u otra estn involucrados.

Existen procedimientos manuales que podran usarse en caso de urgencia para atender las
necesidades prioritarias.

Estn clasificadas las prioridades de los servicios que proporciona la oficina de sistemas.

Se ha probado si el plan de contingencias de la oficina de sistemas; es lo suficientemente

slido y funcional.

Est dispuesto todo lo necesario para asegurarse que los procesos vitales puedan seguir
funcionando durante periodos de emergencia causados por desperfectos en los equipos,
perdida comn de datos, errores de programacin y otras situaciones parecidas.

Existen respaldos de los archivos principales (vitales) en sitios de almacenamiento externos,

remotos y seguros.

Existen respaldos para los datos de transacciones input residente en el sistema.

Existen respaldos de las versiones actualizadas de los sistemas operacionales.

Estn respaldados los sistemas de software de comunicacin de datos, teleproceso y otros

paquetes de software en sus ltimas versiones.

Existe un catlogo actualizado de todos los archivos de datos y de programas que se guardan
fuera de la oficina de sistemas.

Hay procedimientos y controles formales para lo que se almacena fuera de la oficina de

sistemas.

Estn debidamente asegurados contra posibles prdidas por catstrofes naturales o fallas
humanas.

Hay plizas de seguros contratadas para todo el equipo e instalaciones materiales.

68
 CALIFICACION
Detalle SI NO OBSERVACIONES
1 2 3 4 5

La compaa tiene contratados seguros para cubrir prdidas por errores en el rea informtica
que puedan causar interrupciones en el negocio.

El software est asegurado por su costo de perfeccionamiento valor del paquete de

reposicin, incluyendo las modificaciones necesarias.

La pliza de seguros cubre costos de viaje, reposicin de discos, cintas y otros materiales, as
como costos de horas de trabajo extras (sobre tiempo).

El manejo de software debe estar vigilado para no incurrir en faltas que produzcan problemas
legales o la prdida de datos de la tecnologa de sistemas de informacin.

Existe una reglamentacin para la utilizacin del software.

Los funcionarios de la Entidad tienen claro el uso de software con licencia y sin ella.

El uso de software sin licencias est penalizado por la ley? Los empleados tienen
conocimiento de ello.

Se han fijado polticas de responsabilidad a los funcionarios en caso de utilizacin de software

ilegtimo.

Se ha prevenido a los usuarios de los equipos de cmputo del peligro de los virus.

Se ha adquirido el software anti-virus.

Se tiene instalado.

Se tiene contrato de actualizacin de versiones.

Se ha prohibido traer o llevar disquetes o software para lugares diferentes a los sitios de
trabajo de los funcionarios.

Los disquetes son probados por un software anti-virus antes de ser utilizados.

Se tienen polticas definidas en caso de detectarse un equipo un disquete con virus.

31.3. Programa para Evaluacin de Bases de Datos, Archivos y Datos

Objetivos

Verificar que la informacin almacenada en las bases de datos y que es de gran valor para
la entidad, est protegida contra su prdida o robo.

69
 Comprobar la seguridad para la proteccin de los datos contra el acceso accidental o
intencional por parte de individuos no autorizados y contra su indebida destruccin o
alteracin.

Identificar las medidas de seguridad empleadas para conservar correctos los datos en la
base de datos, con el fin de mantener su integridad.

Confirmar las medidas implementadas para conservar ms de una copia de seguridad de

cada archivo en prevencin de posibles fallos.

Examinar los procedimientos con los que cuenta el sistema de base de datos para evitar la
inconsistencia de los datos, reduciendo al mnimo la redundancia y preservando en todo
momento la integridad de los datos.

Procedimientos

Fecha de Fecha de REF.

No. Detalle Responsable Observaciones
Iniciacin Terminacin P/T

Verifique la proteccin contra prdida o robo de la base de

1
datos de la entidad

Compruebe la seguridad para la proteccin de los datoscontra

2 el acceso accidental o intencional por parte de personas no
autorizadas y contra los peligros de destruccin o alteracin

Confirme si se han implementado medidas para la

3
conservacin de copias de seguridad de los archivos

Evaluacin de Control Interno

CALIFICACION
ACTIVIDADES SI NO OBSERVACIONES
1 2 3 4 5

Estn debidamente controlados los archivos y

los datos?

Se ha creado la funcin de biblioteca de medios

magnticos?

Estn documentados las prcticas y

procedimientos relativos a la biblioteca de
medios magnticos?

La lista de los archivos incluye suficiente

informacin sobre los datos contenidos?

El acceso a los archivos y a la informacin est

restringido slo al personal autorizado?

Los datos originales de entrada se copian para

fines de respaldo?

Se controla y protege en forma regular la

integridad y consistencia de los datos?

Se obtienen copias de las bases de datos

peridicamente?

70
 CALIFICACION
ACTIVIDADES SI NO OBSERVACIONES
1 2 3 4 5

Se comprueban regularmente los datos

duplicados (backup) para verificar su
consistencia?

Se prueban peridicamente las relaciones de

los datos?

Existen controles para verificar que se usan las

versiones correctas de los archivos en el
procesamiento?

Los datos que se usan corrientemente son

administrados nicamente por los usuarios
propietarios?

Los archivos y datos estn protegidos en forma

razonable contra accesos no autorizados?

Los archivos y datos se clasifican con fines de

seguridad?

Se cambian las claves de acceso

peridicamente?

Los archivos de claves de acceso son

fcilmente accesibles legibles?

Se han tomado medidas para que los

operadores no puedan obtener las claves de
acceso del usuario?

Pueden tener acceso a los archivos personas

no autorizadas?

Existe una bitcora registro de las personas

que tienen acceso a los archivos y datos?

Estn protegidos contra robo o uso no

autorizado los archivos que contiene los
programas de la compaa?

Se registran de alguna manera u otra todos los

cambios introducidos en los programas?

El usuario aprueba estos cambios?

Se elabora documentacin a los cambios

realizados?

Se ejecutan las pruebas de los programas una

vez modificados y antes de ser colocados en
produccin?

Las copias de respaldo de los programas se

corren peridicamente para verificar que
funcionen en forma correcta?

El acceso a la documentacin del programa

est limitado a las personas que lo necesitan
para llevar a cabo sus tareas?

Existe un catlogo de todos los programas

fuente?

Los programas que estn en etapa de

71
 CALIFICACION
ACTIVIDADES SI NO OBSERVACIONES
1 2 3 4 5

desarrollo se mantienen separados de los que

estn usando para produccin?

Los archivos se manejan de manera que la

informacin que contienen est protegida y slo
a disposicin de las personas autorizadas?

Se ha creado la funcin de Administracin de

Datos (DA) de Administrador de Bases de
Datos (DBA)?

Esta funcin contempla el uso de un diccionario

de datos y convenciones para asignar nombres
a los elementos de datos, programas y otros?

Se necesita autorizacin para crear archivos de

datos?

Se destruyen los archivos temporales despus

que han sido usados?

La funcin de Administrador de Datos

Administrador de Base de Datos considera la
revisin peridica de los datos que contienen
los archivos?

Entre las funciones del DBA se considera el

diseo de la estructura lgica y de la base de
datos y decisin en la estrategia de
almacenamiento fsico?

El DBA tiene organizados la seguridad y

controles de privacidad e integridad?

El personal dentro de la funcin del DBA tiene

las habilidades necesarias y conocimientos de
las agencias y usuarios para la adecuada
implementacin de la B.D?

Est previsto dentro del desarrollo de nuevos

sistemas la participacin oportuna del DBA para
proveer los requerimientos antes de iniciar los
proyectos?

El DBA se asegura y prueba todo cambio que

afecte el DBMS antes de su implementacin?

Los usuarios son entrenados en los

procedimientos de control, antes de la
implementacin de una aplicacin?

Se han establecido controles para determinar

cundo es necesario reorganizar fsica y
lgicamente la B.D. o para mantener un nivel
adecuado en el desempeo?

Despus de cada reorganizacin del DBA, se

asegura que los totales de control, previos a
sta, sean iguales a los obtenidos despus de
su realizacin?

Se asegura el DBA de manera que

tcnicamente sea imposible el acceso a la B.D.
por otro medio diferente al DBMS?

72
 CALIFICACION
ACTIVIDADES SI NO OBSERVACIONES
1 2 3 4 5

Estn claramente definidas las

responsabilidades entre el DBA y el analista de
sistemas?

Se asegura el DBA de forma que los usuarios

sean conscientes de sus responsabilidades en
la calidad e integridad de los datos?

Se asegura el DBA para que exista adecuada

coordinacin y comunicacin entre los usuarios
comunes de la B.D?

El DBA coordina el desarrollo y afinamiento de

la B.D. con la funcin de programacin del
sistema?

Han tenido los usuarios entrenamiento

adecuado para el uso de la base de datos?

Los procedimientos de backup y recuperacin

han sido probados y han demostrado ser
efectivos dentro de los lmites del tiempo
previsto?

Existe un grupo independiente tal como una

auditora interna que verifique peridicamente
la sujecin del DBA a los estndares de trabajo
y calidad del rea de procesamiento?

Existe adecuada documentacin de la funcin

del DBA?

El DBA prepara reportes peridicos de control

para revisin?

Son consolidados y analizados los logs de

errores, fallas y otros problemas y reportados a
la Jefatura?

Es revisada y probada regularmente la

seguridad de la B.D?

Existe Documentacin que describa el

procedimiento para actualizar, mantener y
monitorear la integridad del diccionario de
datos?

Est cada uno de los datos codificados para

indicar qu usuarios y/o transacciones pueden
crear, modificar, borrar, actualizar, leer o no
tener acceso a ellos?

Existe facilidad para documentar los atributos

de cada dato en el D.D?

Existe documentacin adecuada de la funcin

de la base de datos?

Existe el software necesario para la

recuperacin de informacin y reportes de la
B.D?

La B.D. provee un nivel adecuado de seguridad

y control acorde con el tipo de informacin que
maneja?

73
 CALIFICACION
ACTIVIDADES SI NO OBSERVACIONES
1 2 3 4 5

El DBMS tiene adecuados controles sobre

borrado de datos?

Son registrados y revisados los comandos de

privilegio restringido cuando son utilizados?

Estn los comandos de privilegio dentro del

DBMS restringidos a los funcionarios
autorizados?

El DBMS registra los programas que han tenido

acceso a cada dato y cundo han sido ledos,
actualizados y/o creados nuevos campos o
borrados?

Se registran los intentos infructuosos la B.D?

Estn todos los cambios al DBMS

documentados, indicando quin, por qu y
cundo se efectu el cambio?

Estn documentadas las fallas del DBMS para

ser reportadas y estudiadas por la Jefatura?

Existe un adecuado rastro de auditora dentro

de la B.D. para reconstruir cualquier
transaccin o evento durante un tiempo
razonable?

31.4. Programa para Evaluacin de Operaciones en el Centro de Procesamiento y Area de

Atencin a Usuarios

Objetivos

Verificar el control del rea de operaciones de los centros de procesamiento de datos y las
reas de atencin a usuarios, puesto que son puntos claves que se deben tener presentes
en la oficina de sistemas.

Controlar que estas reas sean eficientes y eficaces, es fundamental, ya que tiene
consecuencias inmediatas en el mantenimiento de la continuidad de las operaciones de la
oficina de sistemas.

Procedimientos

Fecha de Fecha de REF.

No. Detalle Responsable Observaciones
Iniciacin Terminacin P/T

Verifique los controles implantados en el rea de operaciones

1 de los centros de procesamientos de datos y las reas de
atencin a los usuarios.

Establezca la eficiencia y eficacia de las operaciones que

2
garantizen la razon de ser de la oficina de sistemas.

Establezca la eficiencia y eficacia de las operaciones, puesto

3 que de ello depende la continuidad de las actividades de la
oficina de sistemas.

74
Evaluacin del Control Interno

OBSERVACIONES SI NO N/A

Las especificaciones iniciales del sistema operacional estn documentadas formalmente?

Son apropiados los valores de los Filesystems?

Existen disquetes de arranque para reinicializar el sistema por fallas de arranque?

Se hace mantenimiento al sistema para evitar su degradacin?

La seguridad de acceso a la informacin a travs del sistema est definida en forma

razonable contra accesos no autorizados?

El uso de clave de acceso es obligatorio?

Las claves de acceso son definidas por:

El Usuario.

El Administrador del Sistema.

El Coordinador de Grupo.

El sistema permite ingresar claves utilizadas anteriormente?

El usuario puede cambiar su clave en el momento que l lo necesite, por medida de

seguridad?

El uso de claves de ingreso es personalizado?

Todos los derechos estn vinculados a una clave de acceso?

Existen usuarios con varias claves de ingresos al sistema?

Se cambian las claves de acceso peridicamente?

Se restringe el acceso a un usuario que no cambie peridicamente su clave de acceso?

Se bloquea el acceso a un usuario que no utilice su clave en un perodo determinado?

Se usa el bloqueo de terminales ante intentos infructuosos?

Estn encriptados los archivos de claves de acceso?

Se han tomado medidas para que los operadores / administradores no puedan obtener
las claves de acceso del usuario?

Est restringido el acceso a los archivos a personas no autorizadas?

Existe un registro de las personas que tienen acceso a los archivos y datos?

75
 OBSERVACIONES SI NO N/A

Se examinan las bitcoras del sistema?

Se toman medidas en caso de existir situaciones anmalas en los logs del sistema?

Existe un registro de las personas que tienen acceso a los archivos, datos, terminales?

Existe un monitoreo permanente a las terminales en funcionamiento?

Existe una reglamentacin formal para el administrador del sistema?

El ingreso a la Administracin del sistema es restringido?

Es obligatorio el cambio peridico de claves para el administrador?

El Administrador del sistema lleva un registro de las actividades diarias que realiza en el
sistema?

El Administrador es supervisado regularmente por un funcionario de mayor jerarqua?

En caso de ausencia del administrador, existe otro funcionario capacitado para asumir
sus funciones?

Se han considerado medidas de control adecuadas para tener la seguridad de que los
usuarios reciben la informacin correcta y oportunamente?

Se usan procedimientos de control de entrada / salida de informacin en el rea de

operaciones del sistema?

Existen procedimientos relacionados con la preparacin de datos y comunicaciones?

Se ha preparado un horario para atender consultas?

Estn conscientes los usuarios de los plazos para hacer ingresos de transacciones y los
plazos de entrega de los informes?

Existe un inventario de todos los informes emitidos?

Existe un procedimiento para asegurar que la emisin de todos los informes programados
y su entrega correcta?

El usuario oportunamente verifica los informes de saldos e informa de las incorrecciones

detectadas?

Los controles aseguran que los ciclos de procesamiento se ejecuten correctamente?

Las funciones no cotidianas son siempre ejecutadas cundo corresponde?

Las fallas en los programas impiden la ejecucin de los procesos posteriores?

Existe un manual de operaciones donde se detalle, la secuencia de la ejecucin de los

programas'

Se usan procedimientos catalogados para ejecutar trabajos?

El manual de los operadores incluye procedimientos para retroceder y comenzar?

76
 OBSERVACIONES SI NO N/A

Se compara la lista de procesos con el programa de trabajo, para tener seguridad de que
todos los trabajos han sido procesados y en la secuencia correspondiente?

Se han considerado suficientes medidas durante el procesamiento para que se puedan

detectar y resolver errores?

Se comparan los totales de control obtenidos durante el procesamiento con los totales de
los controles de entrada?

Se comparan los totales de salida con los totales de entrada y proceso?

Se notifica al grupo de control de entrada / salida acerca de las discrepancias existentes?

Los supervisores revisan los logs de operacin, para verificar si los operadores estn
respondiendo adecuadamente a los mensajes de operacin?

Los procedimientos consideran la posibilidad de ubicar personal de programacin, en

caso de que falle el sistema durante las horas fuera de turno?

Los operadores tienen instrucciones de guardar informacin que pueda servir para
solucionar problemas?

Se contabilizan en debida forma los items rechazados, para asegurar que sean
procesados ms adelante?

Los procedimientos relacionados con el mantenimiento de los equipos de computo

aseguran la posibilidad de poder garantizar la continuidad de las operaciones?

Se lleva un registro de todos los mantenimientos que se hacen en el equipo?

El mantenimiento preventivo interno es llevado a cabo por los mismos funcionarios?

Se lleva a cabo el mantenimiento preventivo externo (Contratado)?

Se efectan revisiones regulares para evaluar la prestacin del servicio?

Se notifican las irregularidades en la prestacin del servicio. A quin?

El mantenimiento preventivo es realizado siempre el da programado?

Existe un stock de repuestos que permita realizar un mantenimiento de urgencia?

El mantenimiento preventivo es postergado algunas veces por exceso de trabajo?

Se lleva una planilla para el mantenimiento de cada equipo en la que se consigna el tipo
de mantenimiento, fecha de realizacin, estado del equipo y anotaciones especiales?

Ea aceptable el tiempo que est detenido un equipo por falta de mantenimiento?

Dentro del contrato de mantenimiento se tiene previsto el prstamo de equipos mientras

se repara o se sustituye el otro?

El Coordinador del Grupo de Soporte elabora un documento peridico indicando la

satisfaccin o inconformidad con el servicio prestado?

Los controles aseguran que las operaciones de correccin ejecutadas por grupos de
atencin al usuario se ajustan a las necesidades?

Existe un rea destinada a la atencin al usuario?

77
 OBSERVACIONES SI NO N/A

Existen formatos de solicitud de atencin?

Se tienen prioridades para atencin al usuario?

Se efectan revisiones peridicas para evaluar la prestacin del servicio?

Se registran las operaciones realizadas en la atencin al usuario?

La integridad y confiabilidad de los datos son verificadas y supervisadas en actuaciones a

los archivos o datos?

El usuario aprueba los cambios realizados?

Se documentan los cambios?

Si hubiera un cambio importante en el personal del rea de informtica, esto producira un

problema grave en la seguridad de la tecnologa de sistemas de informacin?

Hay una metodologa para el desarrollo de sistemas que permitan la transferencia de

proyectos?

Cuntos sistemas son manejados mantenidos en promedio por los ingenieros?

Hay sistemas mantenidos por terceras personas?

Dispone la entidad de todos los cdigo fuente de los aplicativos?

Existen disposiciones claras para el retiro de personal que exija entre otras, la devolucin
de llaves y la elaboracin de un inventario del material a que tena acceso?

31.5. Programa para Evaluacin de Desarrollo y mantenimiento de Sistemas

Objetivos

Verificar los procedimientos establecidos por el rea de Sistemas y que permiten al Grupo
de desarrollo garantizar que los sistemas sean eficientes, eficaces, y confiables cuando
entren en produccin normal (explotacin).

Comprobar que los procedimientos incluyen pistas de Auditora y Control en los sistemas.
Por otra parte, cabe sealar que los recursos de esta rea son los que ms inciden en los
costos del procesamiento de la informacin.

Es fundamental, que el rea cumpla con los plazos estipulados en el desarrollo de los
sistemas, para garantizar buenos resultados, ya que entregar informacin correcta y
oportuna es fundamental para la toma de decisiones.

Procedimientos

No. Detalle Fecha de Fecha de REF. Responsable Observaciones

78
 Iniciacin Terminacin P/T

Verifique los procedimientos establecidos en el rea de

1 sistemas para garantizar su eficienca, eficaci y confiabilidad
en su fase de produccin normal.

Compruebe la inclusin de pistas de auditora y control en los

sistemas y procedimientos del rea, debido a su importancia
2
en la incidencia en los costos de procesamiento en la
informacin.

Evaluacin del Control Interno

OBSERVACION SI NO N/A

Los sistemas estn diseados y programados eficientemente

de manera que tambin se tenga la certeza de que en el futuro
podrn ser comprendidos y mantenidos con facilidad?

Existe un proceso formal para administrar los cambios en los

aplicativos existentes?

Existe una metodologa estndar para el desarrollo de

sistemas, que incluya su control?

Antes de desarrollar un sistema se hacen estudios formales de

factibilidad y costos?

Es obligatoria la documentacin en la etapa de construccin?

Se ejecuta un anlisis preliminar para evaluar el impacto de los

cambios propuestos en el ambiente existente?

Hay un procedimiento de prueba y de aceptacin formal?

Por lo general, los usuarios estn formalmente comprometidos

con los proyectos?

Los usuarios hacen proposiciones para el nuevo sistema por

escrito, por lo menos, las autorizan por escrito?

Los usuarios aprueban los manuales antes de comenzar a

usarlos?

Se toman en cuenta los controles definidos por el usuario

cuando se preparan sistemas?

El usuario toma parte en el grupo de proyectos de sistemas?

Los usuarios preparan pruebas de aceptacin formales antes

de que los sistemas se consideren operacionales?

Se preparan informes amplios y objetivos acerca de la marcha

de los trabajos en el rea de desarrollo de sistemas para evitar
atrasos insospechados en los proyectos?

79
 OBSERVACION SI NO N/A

Los informes se preparan de acuerdo con la metodologa?

Se controlan e informan oportunamente los gastos?

La jefatura general revisa los informes y se toman las medidas

del caso?

El desarrollo y mantenimiento del sistema, toma en

consideracin amplias pruebas y corridas paralelas para
reducir las fallas en los sistemas cuando se estn usando en
produccin?

Las pruebas son apropiadamente planeadas y documentadas?

Cuando se preparan archivos de prueba, se toman en cuenta

datos de todo tipo, correctos y rechazables?

El usuario toma parte en la preparacin de los datos de

prueba?

Se lleva a cabo una prueba de aceptacin final para los

sistemas nuevos y para los antiguos, despus de una
modificacin importante?

Se someten a prueba todos los procedimientos, incluso los de

respaldo?

Se realizan todas las pruebas con archivos simulados o con

copias de datos autnticos provenientes de una biblioteca que
no sea de produccin?

31.6. Programa para Evaluacin de Redes de comunicacin

Objetivos:

Evaluar la forma de comunicacin entre los usuarios y los sistemas.

Evaluar cmo se afecta globalmente la seguridad de los datos, a medida en que las
comunicaciones y procesamiento de datos continan expandindose, teniendo en cuenta el
incremento en la proliferacin de computadores personales, terminales y porttiles que acceden a
sistemas por redes.

Procedimientos

Fecha de Fecha de REF.

No. Detalle Responsable Observaciones
Iniciacin Terminacin P/T

Evalue la comunicacin entre los usuarios y los sistemas y la

1
manera como opera.

2 Evalue la seguridad de los datos en la medida en que las

comunicaciones y el procesamiento de los mismos se
expande en razn al incremento de computadores personales,

80
 Fecha de Fecha de REF.
No. Detalle Responsable Observaciones
Iniciacin Terminacin P/T

terminales y portatiles que acceden a los sistemas en red.

Evaluacin del Control Interno

OBSERVACIONES SI NO N/A

Existe la infraestructura y el ambiente de un departamento de comunicaciones?

Se cuenta con una arquitectura total de la red de comunicaciones?

El protocolo de la red ejecuta funciones de verificacin automtica de errores,

para asegurar la exactitud de la transmisin de mensajes entre nodos de la red?

Se tienen controles de:

Verificacin de nmero de secuencia.

Identificacin de recibo y/o envo.

Jornal de transacciones.

Reconocimiento o acuse de recibo positivo.

Reconciliacin peridica de mensajes.

Verificacin de sumas en direcciones de mensajes.

Cdigo de deteccin /correccin de errores.

Cdigo de redundancia de claves.

Logging de errores.

Instalaciones y equipos de Backup.

Procedimientos de recuperacin.

Deteccin de desconexin de dispositivos.

Direcciones interconstruidas de dispositivos.

Encripcin ciframiento.

Facilidades de transmisin de baja tasa de errores.

81
 OBSERVACIONES SI NO N/A

Se monitorea que los controles estn funcionando correctamente.

Se incluye requerimientos para la integridad y la complejidad de los datos cuando

especifica un reemplazo nuevos elementos de hardware, software medios de
comunicaciones?
La seguridad del software es parte indispensable para la proteccin de la
informacin que viaja va red?

Tiene la organizacin algn programa formal de seguridad fsica de datos?

Se tienen establecidas funciones para el manejo de seguridad en las

comunicaciones?

La informacin est clasificada (Sensitiva, Crtica)?

Est involucrado el departamento Jurdico en la planeacin y administracin de la

seguridad?

Se tiene registro de los problemas normativos legales con relacin a la

seguridad de las comunicaciones?

La organizacin lleva a cabo algn anlisis de riesgo formal para las facilidades
de comunicaciones respecto al impacto de acceso no autorizado?

Se han tomado medidas en los servidores de los sitios remotos para proteger
fsicamente las facilidades de comunicaciones contra acceso no autorizado?

El software ofrece facilidades de logging, reportes y vigilancia para proveer

adecuadas pistas de auditora de las actividades de la red y alertar a la Jefatura
de potenciales penetraciones de la seguridad de la red?

Est protegido contra acceso no autorizado las libreras y programas sensitivos

de software de comunicaciones?

Se usan dispositivos de seguridad en comunicaciones para la red (Encripcin,

dial-back)?

Qu controles existen entre las redes pblicas y las de gateway, para garantizar
la integridad y seguridad de los datos?

Existen controles (Ej. Dispositivos de autenticacin personal servicios Dial-back)?

Permite su red un nmero indeterminado de logon ?

Se monitorean las violaciones de acceso dial-in?

En razn a la complejidad de los montajes y modificaciones de los sistemas de

comunicacin. Se tienen procedimientos y polticas muy claras para no incurrir
en fallas que causen estragos?

Se tiene un plan formal para el desarrollo de la arquitectura de la red de

comunicaciones?

Existen procesos para que soporten la arquitectura de sistemas de comunicacin

(voz y datos) en los planes corporativos?

Estn documentadas las definiciones de requerimiento funcionales y desarrollo

para servicios en comunicaciones de voz y datos?

Estn identificadas y asignadas las responsabilidades en el departamento, el

diseo, instalacin y funciones de operacin?

82
 OBSERVACIONES SI NO N/A

Se tiene asignada la responsabilidad para identificar y probar los controles

basados en comunicacin?

Se tiene una metodologa estructurada para el diseo de los sistemas de

comunicacin?

Se cuenta con una herramienta de software para disear sistemas de

comunicacin?

Existe un proceso formal para administrar los cambios en las comunicaciones?

Se ejecuta un anlisis preliminar para evaluar el impacto de los cambios

propuestos en el ambiente existente?

Existen controles en el procedimiento de administracin de cambios?

Hay documentacin actualizada de la configuracin del hardware y software de

comunicacin?

Se encuentra asociacin entre los procesos de administracin de cambios y el

control de inventarios de comunicaciones?

El control de inventarios es automtico?

Existen procedimientos de prueba para implementar los nuevos cambios en los

sistemas de comunicacin?

Hay un ambiente de prueba disponible?

Es obligatorio para ejecutar pruebas off-line antes de introducir un nuevo o

modificado componente de comunicaciones en el ambiente de comunicacin?

Se realizan revisiones post-implementacin de cambios en las comunicaciones?

Se ejecutan pruebas de "stress" para el funcionamiento y la confiabilidad de redes

modificadas?

Se utilizan paquetes de software de los vendedores para simular diferentes

patrones de trfico?

83