AUDITORIA INTEGRAL

CONTROLES Y CUESTIONARIO SISTEMAS COMPUTARIZADOS

CPCC GUSTAVO TORRES ORIHUELA
MAGISTER EN ADMINISTRACION

martes, 15 de mayo de 2012

15/05/2012

CONTROLES DESPUES DE LA REINGENIERIA DE NEGOCIOS

SEGURIDAD FSICA

SOBRE LOS SISTEMAS

RESPALDOS Y RECUPERACIN DE PROGRAMAS

SOBRE ADMINISTRACIN DEL PERSONAL

Seguridad y proteccin de las instalaciones y equipos

Controles de Acceso, cambios, produccin y operacin de programas y aplicaciones

Procedimientos sobre los respaldos y recuperacin de programas y almacenamiento en medios magnticos

Debe existir coordinacin sobre contratos y trminos del contrato; as como tener polticas sobre vacaciones, entrenamiento y recursos computacionales

15/05/2012

CONTROLES DE LOS RESPALDOS Y DE RECUPERACION DE PROGRAMAS

PERIODICIDA D DE RESPALDOS (BACK -UP)

CAMBIOS

ALMACENAMIENTO Y TRANSPORTE

ETIQUETAR Y CLASIFICAR INFORMACION SENSITIVA

REVISION DE RESPALDOS

Respaldos diarios, semanales, quincenales, mensuales de informacin sensitiva. Guardar versin original de sistemas operativos y programas

Antes de cambios de programas guardar la versin original, la versin antes del cambio y la versin modificada

Informacin sensitiva debe ser resguardada en bvedas externas en la misma ciudad y en otra ciudad para proteger del fuego y cuando se transporte, efectuarlo con valija con llave. .Debe llevarse un registro de valija a la salida e ingreso

Toda la informacin debe ser etiquetada y la sensitiva clasificada: a) Programas elaborados por la propia empresa.b) Programas comprados con licencia y sujeto a actualizaciones. C) Archivos de Datos

Debe evaluarse periodicamente la efectividad de los respaldos, as como el lugar de almacenamiento de los respaldos. Anualmente debe revisarse cintas, cartuchos, disquetes, probando su operatividad. Debe dejarse procedimientos escritos para la restauracin de los respaldos

15/05/2012

SEGURIDAD FSICA

CONTROL DE ACCESO

CONTROL DE INCENDIOS

SUMINISTRO DE ENERGA

AIRE ACONDICIONADO Y DETECCIN DE AGUA

AGENTES DE SEGURIDAD

LAS TELECO MUNICACIONES

Claves de Seguridad y limitar el acceso al Centro Computo de personal no autorizado

Tener detectores de Humo y Extintores. Prohibirse fumar en zonas de fcil combustin y usar materiales lo menos combustibles

Tener: UPS, Generador de Energa. Dar mantenimiento a los equipos

Computo debiera tener aire acondicionado independiente o disponer de ventiladores de pedestal. Usar detectores audibles de filtraciones de agua, as como alarmas

Vigilantes deben asegurar vigilancia de oficinas y controlar a las personas de visita. As como controlar las cmaras de seguridad de sectores crticos.

Proteger los cables y los equipos de comunicaci ones. Los cables deben estar bien ubicados y protegidos de cortos circuitos, agua, roedores.

15/05/2012

CONTROLES DE LOS SISTEMAS

CONTROL DE ACCESO

CONTROL DE APLICACION

CONTROLES ACTIVIDADES DEL PROGRAMADOR

CONTROL DE CAMBIOS

PRODUCCION Y OPERACIONES

Todos los usuarios deben estar identificados y las claves cambiadas cada 30 das. El acceso a datos slo usuarios. Grabar intentos de ingresos a los programas.

Usuarios solo deben tener acceso a lo autorizado. Ingreso datos responsabilidad de usuarios. Programas deben tener controles de totales, de secuencia y tamao de registro

Los programas deben cumplir los requerimientos de usuarios. Debe verificarse la imposibilidad de manipulacin de registros

Permitir tomar decisiones sobre los fallos de programas. Se debe establecer procedimientos para cambios de programas o utilitarios, as como procedimientos de cambios de equipos (hardware).

El rea de Computo debe organizarse para la creacin de programas. Deber planear su trabajo y hacer el seguimiento de los mismos. Proteccin de los medios de almacenamiento. Debe tener polticas sobre los documentos y sobre solucin de problemas.

15/05/2012

CONTROLES DE LOS RESPALDOS Y DE RECUPERACION DE PROGRAMAS

PERIODICIDAD DE RESPALDOS (BACK -UP)

CAMBIOS

ALMACENAMIENTO Y TRANSPORTE

ETIQUETAR Y CLASIFICAR INFORMACION SENSITIVA

REVISION DE RESPALDOS

Respaldos diarios, semanales, quincenales, mensuales de informacin sensitiva. Guardar versin original de sistemas operativos y programas

Antes de cambios de programas guardar la versin original, la versin antes del cambio y la versin modificada

Informacin sensitiva debe ser resguardada en bvedas externas en la misma ciudad y en otra ciudad para proteger del fuego y cuando se transporte, efectuarlo con valija con llave. .Debe llevarse un registro de valija a la salida e ingreso

Toda la informacin debe ser etiquetada y la sensitiva clasificada: a) Programas elaborados por la propia empresa, .b) Programas comprados con licencia y sujeto a actualizaciones. C) Archivos de Datos

Debe evaluarse peridicamente la efectividad de los respaldos, as como el lugar de almacenamiento de los respaldos. Anualmente debe revisarse cintas, cartuchos, disquetes, probando su operatividad. Debe dejarse procedimientos escritos para la restauracin de los respaldos

15/05/2012

CONTROLES APLICADOS A LA ADMINISTRACION DE PERSONAL

OBJETIVOS ADMINISTRATIVO S

CONTRATOS

SUSPENSION, REVOCACION DE PERMISOS

VACACIONES Y ENTRENAMIENTO

USO DE RECURSOS COMPUTACIONALES

Aplicar controles en los puntos sensitivos del rea administrativa. Entre otros: personal, vacaciones, contratos.

Reclutamiento y contratos bien evaluados. Los contratos deben incluir clusulas sobre las polticas y normas de seguridad que aplica la empresa

Cuando cesa un trabajador debe suspenderse su autorizacin de acceso fsico a las instalaciones y a los sistemas de datos. El Dpto. Administrativo debe revocar todos los permisos y solicitar credenciales y tarjetas magnticas. Verificar entrega documentacin confidencial.

El personal de Sistemas debe salir de vacaciones oportunamente. Usualmente los fraudes informticos han sido descubiertos por sus reemplazantes. El personal debe acogerse al plan de entrenamiento de la Empresa.

15/05/2012

Prohibir uso recursos computacionales para fines particulares. Software a cada usuario segn uso y con licencias. Empleados familiarizados con almacenamiento datos sensitivos o confidenciales. Cada usuario es responsable de equipos asignados, softwares utilizados y datos contenidos en ellos. La institucin debe establecer en sus reglamentos la prohibicin de softwares ilegales. Igualmente debe establecer en los contratos, la propiedad de los programas 7 desarrollados en la Empresa

SISTEMAS COMPUTARIZADOS

CMO OBTENGO INFORMACIN DEL SISTEMA INFORMTICO?

15/05/2012

SISTEMAS COMPUTARIZADOS
CMO OBTENGO INFORMACIN DEL SISTEMA INFORMTICO?

1) VERIFICO ORGANIGRAMAS 2) APLICO CUESTIONARIOS 3) SOLICITO LISTADO DE REPORTES DEL SISTEMA 4) PRUEBA CERO
15/05/2012 9

ORGANIGRAMA 1
BRAVO CERVANTES, Miguel H. Auditoria de Sistemas editorial Manuel Chhes Pg. 250

SISTEMAS

DESARROLLO

OPERACIN Y MANTENIMIENTO

ANALISTAS

PROGRAMADORES

OPERADORES

15/05/2012

10

ORGANIGRAMA 2
INFORMATICA

DESARROLLO DEL SISTEMA

CONSULTORIA TECNICA A USUARIOS

SERVICIO DE PROCESAMIENTO ELECTRONICO DE DATOS

INVESTIGACION CIENTIFICA

HERNANDEZ JIMENEZ, Ricardo Administracin De Centros De Computo editorial Thillas Mexico Pg. 180

15/05/2012

11

8. CUESTIONARIO DE CONTROL INTERNO DEL SISTEMA INFORMATICO

SI

NO

N /A

A) Estructura organizativa
1) Es independiente el sector de todas las unidades operativas a las cuales presta servicios de procesamiento? 2) Les est prohibido a los integrantes del sector tener autoridad, responsabilidad u obligaciones relativas a cualquier otro sector? 3) Tienen prohibido los programadores realizar tareas de operacin? 4) Las instrucciones a los operadores son confeccionadas y actualizadas con suficiente detalle como para permitirles procesar programas sin hacer referencia especfica a los listados de programas o recurrir a los programadores?

15/05/2012

12

8. CUESTIONARIO DE CONTROL INTERNO DEL SISTEMA INFORMATICO

SI

NO

N /A

B) Personal
1) Existe una estructura u organigrama? a) Es adecuado? 2) Se confeccionan Partes de Tareas realizadas? 3) Se realiza rotacin del personal dentro del sector? 4) Se hacen evaluaciones de las actualizaciones?

15/05/2012

13

8. CUESTIONARIO DE CONTROL INTERNO DEL SISTEMA INFORMATICO

SI

NO

N /A

C) Equipo de Procesamiento
1) Es el Equipo adecuado al tipo de empresa? a) Marca? b) Modelo? c) Fecha de inicio de las operaciones? d) Componentes? e) Capacidad de memoria? f) Archivos? 2) Existen planos de mantenimiento y reparaciones? 3) Hay capacidad ociosa del equipo? a) Cul es?

15/05/2012

14

8. CUESTIONARIO DE CONTROL INTERNO DEL SISTEMA INFORMATICO

SI

NO

N /A

D) Planeamiento
1) Existe un Plan de trabajo sobre futuras aplicaciones? a) Est por escrito?

b) Quin lo revisa? c) Quin lo aprueba? 2) Se ha establecido un orden de prioridades para el ingreso de los procesos al equipo? 3) Se realizan estudios de la forma de utilizacin del equipo teniendo en cuenta: a) Factibilidad ? b) Conveniencia? c) Costo? 4) Se integran los sistemas que tienen la misma fuente de informacin?
15/05/2012 15

8. CUESTIONARIO DE CONTROL INTERNO DEL SISTEMA INFORMATICO

SI

NO

N /A

E) Anlisis y Programacin
1) En la definicin de los sistemas intervienen todos los sectores interesados? 2) Se realizan pruebas antes de poner en prctica un programa? a) Se realizan pruebas con datos pre-fabricados? 3) Se realiza un perodo de paralelo? a) Se comparan resultados? b) Los errores son: - Investigados? - Corregidos? 4) Hay documentacin actualizada relativa a todos los programas de aplicacin que contenga: a) Una descripcin narrativa? b) Diagramas en bloques? c) Listado de programas? d) Instrucciones de operacin? f) Informacin de entrada 15/05/2012

16

8. CUESTIONARIO DE CONTROL INTERNO DEL SISTEMA INFORMATICO

SI

NO

N /A

1) Hay procedimientos de entradas de datos al sector?

a) Estn dados por escrito? b) Son adecuados? 2) Se controlan que los datos recibidos estn autorizados? 3) Se controla la correlatividad numrica de los datos? a) En caso contrario lo controla el equipo? 4) Se revisan los listados de errores en los datos ingresados? a) Quin lo realiza? 5) Se realizan reclamos a los usuarios por el cumplimiento de los cronogramas de entrega de informacin? a) Quedan por escrito?

15/05/2012

17

8. CUESTIONARIO DE CONTROL INTERNO DEL SISTEMA INFORMATICO

SI

NO

N /A

G) Operaciones
1) Existen normas para la funcin de operacin? a) Son adecuadas? b) Son claras y precisas? c) Estn por escrito? 2) Hay controles que permiten evitar que las operadoras tengan acceso: a) Programas? b) Documentacin bsica? 3) El acceso al sector de operacin est permitido y restringido solamente a los operadores ? 4) Hay rotacin de operadores entre los diferentes procesos ?

15/05/2012

18

8. CUESTIONARIO DE CONTROL INTERNO DEL SISTEMA INFORMATICO

SI

NO

N /A

H)Informacin de Salida
1) Se mantiene un registro de la distribucin de los informes emitidos ? 2) Est asignada la responsabilidad de la revisin de la informacin en cuanto a su calidad ? a) Quin es ? 3) Los totales de control de informacin de salida son conciliados contra los totales del control de entradas? a) Por personas del sector que no sean operadores ? Por quin ? b) Por el sector a quien se presta el servicio ?

4) Se enva de inmediato a los sectores la informacin procesada ?

15/05/2012 19

8. CUESTIONARIO DE CONTROL INTERNO DEL SISTEMA INFORMATICO

SI

NO

N /A

I) Archivo de Informacin
1) Cuando los programas y los archivos no estn en uso, estn en custodia de una persona independiente de las operaciones de procesamiento ? Quin es ?

a)

2) Se encuentra restringido el acceso al archivo ?

3) El archivo est provisto de una adecuada proteccin contra daos o destrucciones accidentales ?

15/05/2012

20

8. CUESTIONARIO DE CONTROL INTERNO DEL SISTEMA INFORMATICO

SI

NO

N /A

J) Seguridad
1) Se mantienen copias o duplicaciones en respaldo del sistema operativo ? 2) Son adecuados los procedimientos en lo referente a la regeneracin o reconstruccin de los sistemas operativos y los dems sistemas archivados en la biblioteca ? 3) Hay provisiones adecuadas para el uso de elementos alternativos o medios de procesamiento para el caso de alguna interrupcin prolongada de las operaciones ?

15/05/2012

21

8. CUESTIONARIO DE CONTROL INTERNO DEL SISTEMA INFORMATICO

SI

NO

N /A

K) Seguros
1) Existe una adecuada cobertura de seguros en los siguientes aspectos : a) Daos del equipo ? b) Destruccin de los programas ? c) Prdida de informacin ? d) Interrupcin de las operaciones ? e) Errores y omisiones ? f) Fidelidad ?

15/05/2012

22

8. CUESTIONARIO DE CONTROL INTERNO DEL SISTEMA INFORMATICO

SI

NO

N /A

15/05/2012

23