AUDITORIA DE SISTEMAS

MARCO CONCEPTUAL
1. OBJETIVOS
1.1. Objetivo genera
Efectuar un examen crtico, sistemtico y selectivo a los sistemas de informacin implementados
por los sujetos de control, con el propsito de conceptuar respecto a la eficiencia y eficacia de
estos; al igual que su confiabilidad, consistencia, integridad y oportunidad.
1.!. Objetivo" e"#e$%&i$o"
Revisar y verificar las polticas de seguridad establecidas por la administracin para el rea
de informtica.
omprobar que los sistemas de informacin !ayan sido desarrollados siguiendo normas y
parmetros de economa, eficiencia y eficacia.
Revisar que los programas o aplicaciones para los sistemas no tengan rutinas que
permitan fraude o que produ"can errores en los resultados.
#erificar que se est$n utili"ando las versiones autori"adas de los programas en produccin.
Evaluar y conceptuar sobre el sistema de control interno existente en el rea de
informtica.
Evaluar y conceptuar respecto a los procedimientos de bac%up, mantenimiento de equipos,
plan de contingencias, seguridades fsicas y ambientales, seguridades lgicas, gerencias
&E', plan de informtica y redes y sobre proyectos especiales; adems, evaluar el aspecto
t$cnico de la contratacin de soft(are y !ard(are.
!. AREAS DE INTER'S DEL AUDITOR DE SISTEMAS
)i se tiene en cuenta que el objetivo bsico que se busca con la adquisicin y utili"acin de los
sistemas es el de entregar informacin confiable, *til y oportuna, el auditor tambi$n debe abarcar
reas donde estos !acen presencia, tales como+
,a -erencia de )istemas
,a organi"acin y el personal
El rea de sistemas
,as aplicaciones
,os estndares de documentacin y desarrollo
1
,a operacin de los sistemas
,a gerencia financiera
,os planes de desarrollo informtico
,os controles y la seguridad en general
,os arc!ivos maestros y de transacciones
,a Red de omunicaciones y de 'atos
,a .nternet
,os microcomputadores
,a /ransferencia Electrnica de 'ocumentos
0tros
(. EL PROCESO DE AUDITOR)A DE SISTEMAS
/oda accin de auditora sigue ciertas fases especficas mediante las cuales se desarrolla el
trabajo. on respecto a la 1uditora de )istemas, aunque se tiene un elemento nuevo, como son
los sistemas, $ste no incide en la manera de llevar a cabo el examen; por consiguiente, son
igualmente vlidas para definir el proceso que se debe seguir en la 1uditora de )istemas, estas
fases son+
(.1. Panea$i*n +e a A,+itor%a
,a 1uditora requiere de planeacin con el fin de definir adecuadamente los objetivos; el alcance
del trabajo, las t$cnicas y !erramientas a utili"ar, los recursos !umanos y t$cnicos que se
emplearn, as como los pla"os para reali"ar el examen.
El objetivo de la planeacin es el de proveer al 1uditor de un conocimiento sobre la importancia de
los )istemas de .nformacin en la organi"acin, con una evaluacin preliminar de sus fortale"as y
debilidades, as como una lista de materias relacionadas con el rea, que sean de potencial
significado y que debern ser examinadas en la fase de ejecucin.
,a fase de planeacin se compone de actividades importantes tales como+
(.1.1. Cono$i-iento .enera +e a Enti+a+
Esta etapa permite conocer y estudiar en forma general la entidad y la funcin informtica, para lo
cual es necesario obtener informacin suficiente relacionada con la organi"acin de los sistemas,
objetivos, reglamentos, normas, funciones, estructura del rea, equipos, aplicaciones, etc.
!

(
(.1.!. Eva,a$i*n +e Si"te-a +e Contro Interno +e Area +e Si"te-a"
omprende el plan de organi"acin y todos los m$todos y procedimientos relacionados con la
administracin y proteccin de recursos informticos, la confiabilidad de los registros, la eficiencia
de las operaciones y la ad!esin a las polticas informticas establecidas por la organi"acin.
,os controles en los sistemas de informacin deben proporcionar una seguridad ra"onable de que
el procesamiento est siendo efectuado correctamente, adems deben detectar errores e
irregularidades oportunamente y asegurar una accin correctiva apropiada.
omo se !a mencionado anteriormente, la presencia de los sistemas no afecta los conceptos
bsicos del control fiscal; sin embargo, los sistemas de informacin computari"ados si obligan, en
cambio, a definir e implantar con mayor rigide", controles que reemplacen aquellos que por la
presencia de estos, pierdan efectividad.
&or consiguiente, en la evaluacin del )istema de ontrol .nterno se deben incluir acciones que
comprendan tanto la revisin de los procedimientos manuales como los computari"ados. En este
orden de ideas, la evaluacin del control interno se puede estructurar en dos etapas, a saber+
Controe" .enerae"
,os ontroles en los sistemas de carcter general tienen relacin con la evaluacin de los
procedimientos de aquellas actividades que sustentan la presencia del procesamiento electrnico
de datos, concretamente, estos controles se orientan !acia la evaluacin tanto de procedimientos
administrativos como los de la organi"acin y en general, del ciclo de vida del desarrollo del
sistema.
En otras palabras, estn relacionados con las normas, procedimientos y elementos que se
establecen como producto de la presencia del procesamiento electrnico de datos; as como de las
normas, procedimientos y elementos que tienen relacin con los recursos y servicios que utili"a el
sistema de informacin, dentro de las cuales estn comprendidas las actividades concernientes al
equipo y a los arc!ivos de programas de datos 2no desde el punto de vista de su contenido, sino de
su seguridad y manejo externo3. Estos controles se verificarn y comprobarn mediante los
siguientes cuestionarios.
/
C,e"tionario Controe" +e A+0,i"i$i*n
A. E"t,+io +e 1a$tibii+a+
DETALLE
1EC2A
INICIO
1EC2A
TERMINACION
RE1.P
3T
OBSERVACIONES
4. 5ueron los requerimientos del usuario revisados
y documentados como un primer paso en el estudio
de factibilidad6
7. 5ueron los requerimientos del usuario revisados
y aprobados por el subdirector en las mesas de
trabajo, como parte del estudio de factibilidad 6
8. En la definicin de los requerimientos se
incluy6
1lcance de los requerimientos6
0bjetivos de la )ubdireccin de
sistemas6
&roblemas6
0bligaciones6
'escripcin del ambiente6
9. ,as consideraciones para la reduccin de costos
de adquisicin abarcaron aspectos tales como la
compatibilidad, continuidad, confian"a, flexibilidad,
etc6
:. En el cambio al nuevo sistema de
informacin, fueron los siguientes aspectos
tomados en cuenta+
.mpacto organi"acional6
Evaluacin t$cnica del desempe;o del
sistema propuesto6
osto de corrida en paralelo6
5acilidad y costo de conversin al nuevo
sistema6
ostos de post<adquisicin tales como el
mantenimiento y el soporte t$cnico6
ostos de interfases en otros equipos6
Requerimientos de entrenamiento6
ostos por la incorporacin de controles
4
adecuados6
DETALLE 1EC2A
INICIO
1EC2A
TERMINACION
RE1.P
3T
OBSERVACIONES
Requerimientos adicionales de
seguridad6
1!orros estimados6
onfiabilidad6
'urabilidad6
apacidad para expandirse o
contraerse6
=. ,a adquisicin de nuevos equipos se justific
sobre la base de la capacidad de los sistemas6
>. )on adecuados los procedimientos usados
para la seleccin de soft(are, desde el punto
de vista de la evaluacin del costo beneficio6
?. )on los equipos usados solamente donde
proveen ventajas de costo, desde un punto de
vista de la organi"acin en general y no desde
el de cada usuario en particular6
@. En la evaluacin de los equipos y soft(are
se involucran tanto los usuarios de los servicios
como los responsables de las operaciones
diarias en el sistema6
4A. El orden de la entrega a la )ubdireccin de
sistemas de la informacin fue adecuada y
suficiente para la toma de decisiones sobre la
compra, leasing o arriendo de equipos y
soft(are; ,os estudios de requerimientos
consideraron aspectos tales como+
Especificacin de las necesidades
y de los problemas6
Requerimientos de procesamiento
para las aplicaciones6
/odas las posibles fuentes de
soft(are y equipos6
El ciclo de vida proyectado para las
aplicaciones y los equipos6
ompatibilidad de las aplicaciones
5
con respecto a los equipos
disponibles, o viceversa6
DETALLE
1EC2A
INICIO
1EC2A
TERMINAC
ION
RE1.P3T
OBSERVACION
ES
44. )e consider un n*mero suficiente de
alternativas6
47. 5ue la solucin recomendada la ms
justificable por los beneficios que reporta6
48. ,os costos del estudio de factibilidad fueron
integrados al costo del resto de la solucin6
49. ,a informacin suministrada a los posibles
oferentes incluye la definicin de aspectos tales
como+
&ropsitos y alcance del proyecto6
0bjetivos del sistema6
0bligaciones6
Requerimientos del sistema6
1ctividadesBcomponentes
principales6
onsideraciones de seguridad6
riterios contractuales6
riterios de evaluacin6
ostos de la propuesta6
4:. )e entrega suficiente informacin a los
vendedores que les permita preparar la oferta
con la totalidad de los costos estimados6
4=. )on apropiados los criterios de seleccin
usados y es cada propuesta justamente medida
contra estos criterios6
4>. ,a documentacin para la evaluacin de las
propuestas incluye+
opia de todas las propuestas
&apeles de evaluacin6
Ra"ones que expliquen la solucin
recomendada6
6
4?. Es la propuesta seleccionada la mejor en
t$rminos de costos, beneficios y otras
consideraciones econmicas6
4@. Es la propuesta seleccionada la mejor en
t$rminos de aprovec!amiento tecnolgico6
B. A+0,i"i$i*n +e Re$,r"o"
DETALLE
1EC2A
INICIO
1EC2A
TERMINACION
RE
1.
P3
T
OBSERVACIONES
4. ,as polticas existentes definen las
responsabilidades, niveles de autori"acin y los
procedimientos para la adquisicin de recursos
informticos6
7. Es de la alta gerencia considerar+ ,a adquisicin
de soft(are del sistema, contratos de servicios y
equipos de cmputo6
8. Existe un comit$ asesor de sistemas
responsable de la revisin y aprobacin de las
etapas del proceso de adquisicin6
9. Es el proceso de adquisicin de equipos,
soft(are y contratos de servicios coordinado de tal
manera que promueva la ad!erencia a los
estndares y a identificar oportunidades de
conseguir menores costos6
:. &ara la adquisicin y desarrollo de los recursos
informticos fueron adecuadamente evaluadas las
diferentes alternativas planteadas en el plan
estrat$gico6
=. Existe un plan operacional o a un a;o que
relacione las adquisiciones ms importantes y se
reflejan en el presupuesto6
>. Existen estudios de factibilidad apropiados para
que abarquen las adquisiciones importantes yBo el
reempla"o de los componentes del sistema6
?. Existen evidencias de que los eventuales
mayores costos sobre el presupuesto estimado
se asignaron a+
&laneacin inadecuada6
recimiento inusual6
ambios en la tecnologa6
7
DETALLE
1EC2A
INICIO
1EC2A
TERMINACION
RE
1.
P3
T
OBSERVACIONES
&roblemas imprevistos en la
conversin6
0tros6 2relacionar3.
@. )on los grupos responsables de las operaciones
del sistema involucrados en el proceso de
evaluacin e implementacin de todos los nuevos
recursos6
4A. ,os funcionarios que utili"an los sistemas de
informacin eval*an y aceptan formalmente los
nuevos recursos yBo sistemas6
44. Can sido algunas adquisiciones !ec!as
recientemente que no est$n incluidas en el plan de
corto pla"o de la organi"acin6
47. Existe alg*n procedimiento que asegure que las
adquisiciones son efectuadas de acuerdo con el
plan a corto pla"o6
48. ,a posibilidad de contratar los servicios de
cmputo con entidades externas se tiene en cuenta
como una alternativa adicional6
49. )e cumplen las polticas internas aplicables en
el proceso de adquisicin6
C. Contrato" +e A+0,i"i$i*n +e Re$,r"o" In&or-8ti$o"
DETALLE 1EC2A
INICIO
1EC2A
TERMINACION
RE1
.P3T
OBSERVACIONES
4. ,os contratos satisfacen los requerimientos del
estudio detallado de factibilidad6
7. El contrato a reali"ar contiene aspectos tales
como+
Estndares y objetivos del
desempe;o6
Decesidades de seguridad6
5acilidades especiales de bac%<up6
Requerimientos de interfases6
Divel de servicio6
9
DETALLE 1EC2A
INICIO
1EC2A
TERMINACION
RE1
.P3T
OBSERVACIONES
'isponibilidad de soporte6
1utoridad organi"acional para la
administracin del contrato6
&ersonal de enlace del contratista6
Responsabilidades definidas para
cada parte6
ostos de los servicios claramente
definidos6
-arantas6
'erec!os de propiedad6
/$rminos de pago6
8. ,a organi"acin cumple con las regulaciones
impartidas en materia de contratacin con respecto
a la adquisicin de bienes y servicios informticos6
9. ,a organi"acin monitorea los resultados de sus
contratos de servicio informticos para determinar
si se estn cumpliendo totalmente los t$rminos del
contrato6
:. )i los t$rminos no !an sido totalmente
cumplidos, se toman las acciones apropiadas6
=. )e obtiene una opinin de los usuarios sobre su
grado de satisfaccin con los contratos de servicios
prestados6
>. )e cambian los t$rminos de los contratos cuando
surgen problemas con los existentes6
?. uando se contratan servicios de consultora, se
reali"a un seguimiento estricto de su trabajo6
@. e llevan registros de los problemas que surgen
en los contratos de servicios informticos6
1:
MARCO METODOLO.ICO
PLAN IN1ORMATICO
'ebe tenerse en cuenta en el &lan de informacin de sistemas lo siguiente+
43 1ctividades de conversin al nuevo equipoBaplicacin6 ambios necesarios en los
procedimientos operacionales6
73 .dentificacin, alistamiento y entrenamiento6
83 Especificaciones del equipo adquirido6
93 Especificacin y preparacin del medio ambiente computacional6
:3 Entrega de equipos6
=3 Eetodologas para las evaluaciones y pruebas de los nuevos equipos y aplicaciones6
>3 ,as conversiones !acia los equipos yBo aplicaciones son acompa;adas de los planes
detallados para la corrida en paralelo6
?3 Es el nuevo sistema totalmente probado antes de ser aceptado6
@3 Es el test de carga ra"onable dado el tama;o y complejidad de los sistemas6
4A3 )on los resultados documentados6
443 Existen criterios y procedimientos para la aceptacin de nuevos equipos6
473 ,os resultados de la conversin de las aplicaciones y de los datos son conciliados para
asegurarse de la no p$rdida de informacin6
483 Existe una !istoria de los problemas de conversin6
493 Existe un procedimiento formal para la aceptacin por parte de los usuarios6
4:3 El personal de operacin est suficientemente entrenado en el uso de nuevos equipos6
4=3 ,a documentacin para la operacin de nuevos equipos o uso de nuevos servicios
informticos es adecuada6
4>3 ,os nuevos paquetes de soft(are son adecuadamente documentados y publicados para
que los usuarios potenciales puedan aprender acerca de las nuevas adquisiciones y !acer
el uso apropiado de ellas6
4?3 'urante el entrenamiento son familiari"ados los usuarios potenciales con los principales
rasgos de los nuevos paquetes de soft(are o de los nuevos servicios informticos6
4@3 )e determinan los costos de entrenamiento de personal para el manejo de los nuevos
equipos, aplicaciones o servicios6
1. REPORTES ADMINISTRATIVOS
43 )e lleva por la organi"acin un inventario anual de equipos de cmputo que liste cada
componente diferente, su costo, el fabricante, edad y otros factores relevantes, que eviten
la adquisicin de nuevos equipos por desconocimiento de los existentes, y por
11
consiguiente, lleve a un exceso de capacidad instalada, duplicacin de aplicaciones
costosas, etc6
73 Cay evidencia que los inventarios son revisados y actuali"ados6
83 ,a alta gerencia recibe reportes de evaluacin de los costos< beneficios de las decisiones
de adquisicin6
93 Existe evidencia de la revisin del presupuesto versus los costos actuales de equipos,
contratos de servicios, aplicaciones, asesoras, etc.6
:3 ,a alta gerencia tiene la suficiente informacin para aseverar que los costos de operacin
del sistema estn creciendo, decreciendo o permanecen fijos6
=3 )e reali"an reportes post<adquisicin que comparen los costos, beneficios proyectados en
el estudio de factibilidad y los resultados actuales6
>3 )e reportan los !alla"gos sobre la variacin de los costos con respecto a lo presupuestado,
incluyendo las ra"ones, tales como+
&laneacin inadecuada6
recimiento inusual6
ambios tecnolgicos6
&roblemas imprevistos en la conversin6
0tros6 2relacionar3.
?3 ,os resultados de la adquisicin son retroalimentados dentro del proceso de planeacin6
@3 ,os auditores internos son requeridos para que eval*en regularmente la adquisicin de
equipos y aplicaciones desde el punto de vista del costo<efectividad6
!. CONTROLES DE OR.ANI;ACI<N
!.1. Po%ti$a"
43 Ejerce la alta gerencia un adecuado control sobre la funcin de sistemas6
73 Existe un manual de funciones para el personal de sistemas6
83 )e !an formali"ado debidamente las descripciones de los diferentes cargos de sistemas6
93 Estn los objetivos del rea de sistemas claramente definidos6
:3 Establece la alta gerencia las polticas de sistemas6
=3 Reconoce la alta gerencia que las aplicaciones desarrolladas en operacin son activos
valiosos6
>3 onoce el personal de sistemas las medidas a tomar respecto a la seguridad y posibles
desastres6
?3 )e tienen por escrito planes de contingencia y seguridad y se !acen conocer de los
empleados de la organi"acin6
1!
@3 Existe un documento que demuestre cmo las metas de sistemas soportan las
necesidades de la organi"acin6
4A3 En las polticas se determinan los pasos que se deben seguir en la consecucin de la
aprobacin para la adquisicin de los recursos informticos6
443 Fui$n puede decidir sobre el uso de provisin de los servicios informticos tanto internos
como externos6
473 Fui$n inicia u origina los planes para adquisicin de recursos informticos y qui$n aprueba
dic!os planes6
483 ,a locali"acin del sistemas dentro de la organi"acin y sus roles y responsabilidades6
493 El grado de participacin de los usuarios finales en la planeacin de los recursos
informticos6
4:3 Fui$n supervisa el cumplimiento con las polticas departamentales y gubernamentales6
4=3 Existe una adecuada desagregacin de funciones 6
4>3 Es el personal consciente de las restricciones estipuladas6
4?3 Es adecuada la ubicacin del rea de sistemas dentro de la organi"acin6
4@3 )e !a establecido un comit$, gerencial o consultivo que represente a todos los usuarios
diferentes a los de sistemas, adems revisa, aprueba o indica su desacuerdo con el plan
de recursos informticos a largo pla"o6
7A3 1signe procedimientos bsicos de seguridad6
!.!. PROCESO DE PLANEACI<N
Existe una funcin de planeacin de recursos informticos formalmente asignada que+
43 /enga suficientes recursos para adelantar la planeacin adecuadamente6
73 Fue sea responsable por la presentacin de un plan consolidado al comit$ ejecutivo6
83 )i no existe la funcin de planeacin asignada, se tiene un cuerpo coordinador que
contribuya al proceso de planeacin6
93 ,as polticas generales exigen un plan de recursos informticos para toda la organi"acin6
:3 Existe una poltica que asigne responsabilidades por el mantenimiento de las regulaciones
para la planeacin, instrucciones y guas6
Es la planeacin un proceso secuencial que+
43 1nali"a las necesidades de informacin de la entidad6
73 )e incluye en el plan de desarrollo los recursos suficientes para la adquisicin de los
sistemas de informacin6
1(
83 .ncluye todos los cambios en el ambiente de cmputo, recursos, objetivos, tecnologa ,
etc.6
93 )e establecen prioridades para las potenciales inversiones en recursos informticos6
:3 ,a aprobacin del plan de recursos informticos es oficialmente solicitado y formalmente
documentado6
=3 El proceso asegura que los responsables individuales por llevar a cabo el plan son
conscientes de sus responsabilidades y autoridad6
>3 ,as polticas demandan un plan operacional o tctico a corto pla"o y uno estrat$gico a
largo pla"o6
?3 ,as polticas exigen que el plan a largo pla"o, soporte la poltica bsica para proveer
servicios informticos e identifique metas6
@3 Estable"ca un mecanismo que identifique prioridades para invertir en recursos
informticos6
4A3 ,as polticas exigen que el plan a corto pla"o traslade las estrategias de largo pla"o a
soluciones de corto pla"o y que cubra un perodo de 47 a 4? meses6
!.(. PLAN ESTRAT'.ICO A LAR.O PLA;O
43 Existe un plan estrat$gico de largo pla"o que comprenda las necesidades de servicios,
equipos, programas y otros elementos6
73 Ca recibido el plan apropiada aprobacin6
83 Cay una clara responsabilidad por el desarrollo e implementacin del plan6
93 El plan comprende los cambios tecnolgicos, ambientales y organi"acionales de probable
ocurrencia para un perodo de 8<: a;os6
:3 El plan proporciona evidencia sobre si los requerimientos de equipos y servicios se !i"o
basada en las necesidades de la organi"acin6
=3 El plan consider y evalu alternativas que eran radicalmente diferentes a la seleccionada6
>3 )on los proveedores de equipos y servicios consultados en la preparacin del plan6
?3 Est el modelo de crecimiento de equipo perif$rico presupuestado en el plan estrat$gico;
este equipo incluye+
Requerimiento de almacenamiento de datos
Einicomputadores, terminales
Redes, multiplexores.
@3 Es el plan peridicamente revisado y puesto al da6
4A3 El plan documenta sobre el impacto en la organi"acin desde el punto de vista econmico,
poltico, y social6
443 ambios posibles en la estructura de la organi"acin o en su objetivos6
473 )e;ala el plan estrat$gico las diferentes alternativas6
1/
483 ,a metodologa de los a;os anteriores se;alan las tendencias e indican las fuentes de los
costos6
493 En el plan estrat$gico se incluyen los costos por cada unidad de la organi"acin 6
4:3 )e incluye en el plan lo relacionado con+
Equipos de cmputo6
)istemas y equipos operativos6
)oft(are utilitario6
omunicaciones6
4=3 on respecto a los equipos de cmputo se incluye+
omputador central 2modelo, configuracin, tama;o36
0tros computadores6
Eedios de almacenamiento 2tipo, capacidad36
/erminales 2tipo, uso, locali"acin36
omunicaciones 2mdems, multiplexores, lneas36
Equipos de entrada de datos6
)oporte6
ada tem del inventario y su costo relacionado6
4>3 Cistoria de los *ltimos tres a;os sobre la carga de trabajo con la configuracin existente6
4?3 )e !a proyectado la diferencia entre la capacidad y la propuesta de utili"acin6
4@3 on respecto a las aplicaciones del sistema, el plan cubre+
'iccionario de datos6
)istema de administracin de las libreras de programas6
Revisin del desempe;o de los programas6
)istema de programacin y depuracin6
7A3 El plan estrat$gico considera los siguientes requerimientos de operacin+
)istema de administracin de las cintas6
Reportes de anlisis del equipo de cmputo6
El sistema df contabili"a el tiempo de los sistemas de informacin6
)istemas de seguridad a trav$s de pass(ords6
Gac%ups6
743 on respecto a las aplicaciones se considera+
14
)eguimiento a las comunicaciones de datos6
1plicaciones para el control de terminales6
)istemas de administracin de bases de datos6
-enerador de reportes6
773 'efine el plan el tipo y nivel de destre"a requerido para el equipo de operacin6
783 El plan incluye programas de entrenamiento para obtencin de la destre"a necesaria para
los usuarios6
!./. Pan T8$ti$o +e Corto Pa=o
El plan tctico esta en concordancia con el plan estrat$gico, en lo concerniente a+
43 onsistencia tanto en las tareas asignadas como en las conclusiones 6
73 &rioridades para la adquisicinBdesarrollo de equipos y aplicaciones6
83 ,os proyectos, actividades, equipos, aplicaciones, etc.6
93 El plan tctico incluye aspectos relacionados con+
Equipos6
1plicaciones del sistema6
omunicaciones6
Equipo de operacin6
:3 El alcance del plan incluye+
Hustificaciones basadas en el anlisis costo<beneficio6
ronogramas y fec!as para logros individuales6
&resupuesto en dinero y tiempo6
Referencia a los estudios costo<beneficio para cada alternativa6
!.4. Rea$ione" $on U",ario"
,os -erentes o 'irectores de reas usuarias disponen de procedimientos formales para conseguir
que sus necesidades se +
43 .ncluyan en el proceso de planeacin6
73 ,as organi"aciones usuarias reciben copias del plan tanto estrat$gico como tctico una ve"
que $stos !an sido aprobados6
83 ooperan yBo participan los usuarios en el establecimiento de prioridades6
15
93 )on los usuarios conscientes del costo del servicio de sistemas6
:3 ,os usuarios tienen contacto con la organi"acin de sistemas para colaborar en la
definicin de los recursos informticos requeridos6
!.5. Ne$e"i+a+e" +e U",ario
43 'urante el ciclo de planeacin se plantean interrogantes a las reas usuarias sobre sus
necesidades de recursos informticos6
73 onocen los usuarios qu$ servicios y recursos informticos estn disponibles6
83 /iene el usuario un contacto en sistemas que le ayude a determinar sus requerimientos6
93 ,os efectos de la tecnologa se discuten o informan a los usuarios sobre+
&rocesadores de palabra
Cojas electrnicas
Eicrocomputadores
/erminales de entrada de datos
:3 Estn los usuarios representados en el omit$ asesor de sistemas6
=3 En opinin de los usuarios, qu$ tan bien se !a desarrollado la funcin de planeacin de los
recursos informticos6
>3 ,os usuarios participan en la evaluacin de los servicios6
?3 Can sido cambiadas o se pueden cambiar las prioridades de los usuarios sin su
consentimiento6
@3 ,os trabajos requeridos por los usuarios !an sido demorados por falta de capacidad de
procesamiento6
4A3 El desarrollo de aplicaciones definidas con los usuarios !a sido demorado o cancelado por
falta de capacidad de procesamiento6
443 El mantenimiento de aplicaciones !a sido dilatado o cancelado por la falta de capacidad de
procesamiento6
!.6. Re#orte a a .eren$ia
43 ,os criterios de desempe;o plasmados en el plan se trasladan a las metas6
73 )e detallan metas de desempe;o operacional, por ejemplo, uso de &I6
83 Es esta informacin utili"ada como base de los reportes de progreso6
93 ,os reportes de desempe;o son generados durante el ciclo regular de procesamiento y
usados como parte del mecanismo de retroalimentacin6
:3 .ncluyen los reportes detalles de los costos incurridos6
=3 ada gerente de las reas usuarias es informado sobre estos costos6
16
>3 ada gerente de reas usuarias reporta un presupuesto de costos esperados6
!.7. U"o +e Re$,r"o"
43 Estn los objetivos y las funciones claramente definidas en el rea de sistemas6
73 ,os servicios que son prestados por el grupo de operaciones del sistema estn claramente
definidos6
83 Can sido determinados los niveles mnimos de destre"a requeridos para las operaciones
relacionadas con los sistemas de informacin6
93 ,os usuarios son conscientes de los servicios ofrecidos en el rea de operaciones de los
sistemas de informacin6
:3 )e quejan frecuentemente los usuarios finales de los servicios ofrecidos por el rea de
sistemas6
=3 )e !a costeado apropiadamente cada tipo de servicio6
>3 )e !an establecido los estndares apropiados de calidad por cada tipo de servicio6
?3 ada grupo de sistemas dispone de los estndares de desempe;o por escrito6
@3 )on todos los miembros de estos grupos conscientes de estos estndares6
4A3 ,os estndares incluyen medidores cuantificables del desempe;o6
443 onsideran los estndares de medicin del desempe;o aspectos como+
/iempo de respuesta de terminales6
Coras de computador disponible para mantenimiento, desarrollo de programas
y pruebas6
riterios de prioridades para los trabajos6
&resupuestos por centro6
Responsabilidades en el desarrollo de servicios6
)istema de contabilidad del tiempo de computador6
Estndares de documentacin para la operacin del computador6
Requerimientos de documentacin para la operacin del computador6
Requerimientos de entrenamiento mnimo6
0portunidad de los datos producidos6
5ormas de requisicin de servicios6
Estrategias de cronogramas de trabajos6
473 )e tiene un inventario completo de los equipos de cmputo disponibles6
17
483 Existen polticas formales y guas para el uso de+
&rocesamiento distribuido6
/iempo compartido6
Iso de mini y microcomputadores6
Iso de bases de datos6
493 )on todas las polticas y estndares comunicadas al personal interesado6
!.9. A,+itor%a Interna
,as funciones de la auditora interna de sistemas con relacin a la revisin general y control de las
aplicaciones abarca+
43 ,a consideracin sobre si los controles se !an dise;ado de acuerdo con la direccin,
estableciendo estndares y procedimientos de acuerdo con los requerimientos legales
conocidos6
73 ,a evaluacin sobre si los controles operan eficientemente y proporcionan seguridad y
confiabilidad sobre datos que estn siendo procesados6
,as funciones de la auditora interna de sistemas con relacin al dise;o y revisin de nuevos
sistemas abarca+
,a evaluacin sobre si las polticas de la gerencia establecen prioridades con respecto al
desarrollo de nuevas aplicaciones, las modificaciones de las existentes, o por el contrario,
la adquisicin de nuevas aplicaciones en el mercado6
,a comprobacin de si los sistemas nuevos o modificados incluyen controles y pistas de
auditora necesarias6
El estudio de si los sistemas nuevos o modificados !an sido sometidos a anlisis de costo<
beneficio y pueden operar en forma eficiente y econmica6
,a comprobacin de si los nuevos sistemas o los modificados !an provisto la adecuada
documentacin para su revisin, mantenimiento y auditora6
,a unidad interna de auditora participa de alguna manera en los estudios de factibilidad de
adquisicin de recursos informticos6
(. CONTROLES DE DESARROLLO
43 )on los objetivos del desarrollo de aplicaciones claramente definidos6
73 Existe un documento que demuestre cmo las metas del sistema se soportan en las
necesidades de la organi"acin6
83 Cay una poltica que determine los pasos a seguir para la aprobacin del desarrollo o
adquisicin de aplicaciones relacionadas con el costo, necesidad de tecnologa avan"ada,
etc6
93 Fui$n autori"a el uso de recursos informticos para el desarrollo de aplicaciones6
19
:3 Fui$n elabora planes de desarrollo de aplicaciones y qui$n los aprueba6
=3 Fuien controla los registros en la contabilidad para la recuperacin de la inversin6
>3 El alcance en la participacin de los usuarios finales en la planeacin de las aplicaciones 6
?3 Fui$n supervisa el cumplimiento y reporta a la administracin y al gobierno6
@3 Exigen las polticas la existencia de un plan a corto pla"o o tctico y uno a largo pla"o o
estrat$gico6
4A3 El plan a largo pla"o+
.ncluye la filosofa bsica de prestacin de servicios informticos6
.dentifica las metas6
Establece un mecanismo para las prioridades de inversin en aplicaciones6
,a planeacin de las aplicaciones cubre por lo menos un rango de : a;os6
El plan a corto pla"o normalmente cubre un perodo de 47 a 4? meses6
443 )i no existe una funcin de planeacin de aplicaciones separada, existe un cuerpo
coordinador que contribuya al proceso de planeacin6
473 El responsable de la planeacin de aplicaciones presenta al omit$ ejecutivo el plan
consolidado6
483 )i la organi"acin es descentrali"ada, existe un grupo de planeacin central que revise y
eval*e el potencial de integracin de los sistemas a trav$s de la organi"acin6
493 ,os gerentes de cada unidad organi"acional son requeridos para que definan sus
necesidades de informacin a corto pla"o6
4:3 Existe un omit$ asesor que revise, apruebe o indique su desacuerdo con las propuestas
del plan de aplicaciones6
/. PROCESO DE PLANEACI<N
43 Es suficiente el tiempo dispuesto para revisin6
73 Es la planeacin un proceso que+
&ermite incluir como entrada el plan de aplicaciones dentro del plan general de
la organi"acin6
&ermite que las necesidades de informacin de la organi"acin se tome en
cuenta para la planeacin de aplicaciones6
&ermite que el plan de aplicaciones sea una entrada para el plan de
adquisicin de recursos informticos6
83 )e establecen prioridades para eventuales inversiones en aplicaciones 6
93 ,a aprobacin del plan de aplicaciones es oficialmente solicitado y formalmente
documentado6
!:
:3 El proceso asegura que los responsables individuales por llevar a cabo el plan son
conscientes de su responsabilidad y autoridad6
4. RELACIONES CON USUARIOS
43 ,os gerentes de reas usuarias saben cmo conseguir que sus necesidades se incluyan
en el proceso de planeacin de aplicaciones6
73 ,os usuarios reciben copias de los planes a corto y largo pla"o de las aplicaciones una ve"
!an sido completadas6
83 ooperan los usuarios en el establecimiento de prioridades6
93 )on los usuarios conscientes de los costos del servicio del sistema6
:3 ,os usuarios tiene contacto con la organi"acin de sistemas para colaborar en la definicin
de los sistemas de aplicacin requeridos6
5. CONTENIDOS DEL PLAN ESTRAT'.ICO
El plan de aplicaciones documenta sobre el impacto en la organi"acin desde el punto de vista+
Econmico, &oltico, /$cnico y )ocial, se debe responder a las siguientes preguntas+
43 ambios posibles en la estructura organi"acional o en los objetivos6
73 El soft(are aplicativo es un componente mayor del plan estrat$gico en el que+
83 )e describen todo el soft(are de aplicaciones evaluadas6
93 )e detallan las unidades organi"acionales que reciben soporte de cada aplicacin
identificada6
:3 &ara cada unidad organi"acional se describe el soporte recibido6
=3 )e predice o estima la vida efectiva de cada aplicacin identificada6
>3 Existe suficiente informacin que soporte a la organi"acin en la decisin de desarrollar,
redise;ar o terminar cada aplicacin, en aspectos como+
?3 &royeccin de costos para cada aplicacin en las siguientes categoras+
'esarrollo6
onversin6
&roduccin6
Eantenimiento6
Redise;o6
!1
@3 ,a evaluacin de los riesgos para los cambios propuestos a las aplicaciones6
4A3 Requerimiento al grupo de planeacin para la identificacin de aplicaciones con alto grado
de riesgo t$cnico u operacional6
443 El soft(are nuevo de aplicaciones es descrito para identificar las diferencias entre las
capacidades instaladas y las propuestas6
473 )e detalla una lista del recurso !umano necesario para adelantar las labores de desarrollo
y mantenimiento de aplicaciones6
483 )e identifican los costos por salarios in!erentes a las labores de dise;o, desarrollo y
mantenimiento6
493 )e define el nivel de destre"a requerido por el personal a cargo del desarrollo, dise;o y
mantenimiento de aplicaciones6
6. CONTENIDO DEL PLAN T>CTICO
El plan tctico debe estar en concordancia con el plan estrat$gico en lo concerniente a+
43 ,os proyectos de desarrollo incluidos incluyen los costos estimados y los cronogramas por
cada aplicacin6
73 )e explican las diferencias en las actividades o proyectos que aparecen en el plan tctico y
no aparecen en el plan estrat$gico6
7. ALCANCE DEL PLAN
43 Hustificaciones basadas en el anlisis econmico6
73 ronogramas y fec!as para logros individuales6
83 &resupuestos en tiempo y dinero6
93 Referencia a los estudios costo<beneficio para cada alternativa6
9. PLANEACI<N DE APLICACIONES
43 El plan estrat$gico identifica las reas usuarias claves donde la tecnologa informtica
puede lograr mayores beneficios para la organi"acin6
73 ,a direccin del rea de sistemas traslada las necesidades de los usuarios a los planes de
accin relacionadas con las decisiones de desarrollo de aplicaciones6
83 ,os usuarios finales principales estn satisfec!os con el apoyo que reciben del rea de
sistemas6
93 &articipan los usuarios finales en la evaluacin de la efectividad de las aplicaciones6
:3 )e mantienen conscientes los usuarios de las aplicaciones de los cambios tecnolgicos
para que puedan entender las ventajas y riesgos que ellos envuelven6
=3 ,os costos de desarrollo se cargan a los usuarios6
!!
1:. ESPECI1ICACIONES DE LOS SISTEMAS
,as especificaciones para los nuevos sistemas de aplicaciones direccionan los siguientes
aspectos.
43 ambios organi"acionales6
73 ambios en los procedimientos operacionales6
83 ostos del mantenimiento6
93 #ida *til estimada6
:3 1lternativas disponibles6
=3 Existe un procedimiento que asegure que todos los sistemas significantes sean aprobados
antes que las tareas de desarrollo comiencen6
>3 Existe una coordinacin central de todas las decisiones de implementacin de sistemas6
?3 ,os procedimientos de justificacin presuponen que las decisiones tomadas y las
alternativas examinadas sean documentadas6
@3 ,os sistemas son revisados despu$s de la implementacin para medir su efectividad6
11. DISE?O DE APLICACIONES
43 Existen estndares de codificacin y documentacin6
73 )on las nuevas t$cnicas examinadas e incorporadas para proveer mayor productividad6
83 ,os usuarios requeridos durante el desarrollo de nuevas aplicaciones responden
adecuadamente6
93 ,a administracin usa extensivamente los servicios externos para ayudar en la carga de
trabajo6
:3 ,a etapa de dise;o incluye el desarrollo y documentacin de procedimientos
operacionales6
=3 ,a administracin dispone de procedimientos de seguimiento formales para proyectos que
exceden tanto el presupuesto como el tiempo estimado6
>3 uando un proyecto se desva significativamente, el plan se reestructura antes de seguir
adelante6
?3 ,a informacin del desempe;o de los proyectos se utili"a para la revisin del desempe;o
personal6
@3 ,os estimados de costos de los proyectos se aprueban por el grupo desarrollador6
4A3 ,os analistas financieros y auditores internos estn envueltos en la etapa de dise;o de
sistemas financieros6
443 ,os usuarios finales de las aplicaciones son preparados para recibir y operar los sistemas
puestos en produccin6
!(
473 ,os planes de implementacin incluyen los requerimientos de conversin y operacin en
paralelo necesarias6
1!. DESARROLLO DE SISTEMAS
43 Existe una metodologa estandari"ada y por escrito y en uso para el desarrollo de
aplicaciones de cierto alcance y tama;o6
73 Existen reglas simplificadas para proyectos ms cortos6
83 .ncluye el proceso de desarrollo los siguientes pasos+
93 .niciacin del proyecto6
:3 'efinicin de las necesidades del usuario6
=3 Estudio de factibilidadBanlisis costo<beneficio6
>3 'ise;o conceptual del sistema6
?3 1nlisis y dise;o del sistema detallado6
@3 &rograma de pruebas6
4A3 &reparacin y procedimientos de conversin6
443 1ceptacin del sistema6
473 .nstalacin6
483 0peracin6
493 1uditora post<implantacin6
4:3 Existe una clara definicin de responsabilidades y nivel de autori"acin para el
administrador del proyecto y los usuarios o propietarios del sistema6
4=3 ,a documentacin inicial incluye aspectos como+
0bjetivos y alcance del proyecto6
&roblemas6
Geneficios6
0bligaciones6
Eecanismos de control6
Estimacin de recursos6
1probacin de la administracin6
Estudio de factibilidad y justificacin+
4>3 Existen estndares organi"acionales para el contenido y trmite del estudio de factibilidad6
4?3 El estudio de factibilidad incluye+
Requerimientos detallados del usuario6
!/
1nlisis de los requerimientos de informacin nuevos y actuales6
1nlisis detallado de problemas y beneficios6
Evaluacin de los riesgos adicionales asociados con el desarrollo de nuevos
sistemas6
1nlisis de los objetivos, requerimientos, alcance y conceptos de cada
sistema6
'iscusin de alternativas incluyendo soluciones manuales donde sea
aplicable6
1nlisis del sistema existente6
osto<beneficio detallado y anlisis del impacto de cada alternativa6
)eleccin y justificacin de la mejor alternativa6
'escripcin del sistema propuesto6
ronograma propuesto para desarrollo del sistema6
4@3 'urante la seleccin de los sistemas de aplicacin se considera+
osto del sistema presente incluyendo mantenimiento6
ambios organi"acionales anticipados6
Evaluacin t$cnica de desempe;o del sistema propuesto6
osto de conversin6
ostos de operacin y costos de mantenimiento6
ostos de entrenamiento si se requieren6
osto de implementacin de controles6
Existe un procedimiento que asegure que todos los sistemas tengan una
aprobacin formal antes de empe"ar el trabajo de desarrollo6
7A3 Ca sido fijado un punto durante el proceso de desarrollo en el cual la administracin pueda
decidir sobre continuar, modificar o abandonar el proyecto6
743 'ise;o -eneralB'etallado
773 Existen estndares para el dise;o de sistemas y procedimientos de programacin por
escrito6
783 Estos estndares son apropiados para cada lenguaje de programacin usando+
Iso de t$cnicas de programacin tales como dise;o modular o programacin
estructurada6
Estndares para entrada de datos6
Estndares para soportes6
!4
Iso de rutinas estandari"adas para entrada, salida, manejo de errores, etc.
Iso de libreras
Estructura y uso de arc!ivos6
Iso de facilidades para el seguimiento en procesos de tiempo compartido6
Estndares de documentacin de sistemas para el programador, el usuario y el
operador6
793 El dise;o general contiene+
.mpactoBmejoras esperadas6
'efinicin de documentos y datos elementales de entrada y salida6
'efiniciones de procedimientos tanto para los usuarios como para el rea de
sistemas6
'efinicin de los controles y !uellas de auditora6
/ablas de decisinBreglas de edicin6
Requerimientos de !ard(are y soft(are6
Decesidades de seguridad y privacidad6
Decesidades de entrenamiento6
.nterfase con otros sistemas6
&lan para desarrollo de sistemas6
7:3 El dise;o detallado de programacin contiene+
#ersin final de cada documento de entrada y de salida6
ontroles y procedimientos de auditora aprobados6
Estndares para documentacin de programas6
&rocedimientos para la preparacin de datos6
'iagrama de flujo del sistema general6
'escripciones de arc!ivos y bases de datos6
'escripcin de datos y reglas de edicin6
Requerimientos de entradaBsalida6
&rocedimientos de seguridad y privacidad finales6
.dentificacin de necesidades de entrenamiento6
Especificaciones de programas detallado para cada programa del sistema6
!5
Darrativa del sistema y de cada programa6
.nterfaces con otros sistemas6
Decesidades de !ard(are y soft(are6
&lan detallado para la prxima fase6
ontrol 1dministrativo sobre el 'esarrollo de )istemas
7=3 )e lleva un sistema de cuentas para monitorear todos los costos durante la fase de
desarrollo6
7>3 Existen mecanismos que registren, revisen y cambien si es necesario, los recursos y
tiempos estimados6
7?3 Existe la evidencia sobre la aprobacin de los puntos de control instalados durante la fase
de desarrollo6
7@3 Es clara la definicin sobre la responsabilidad de cada proyecto de desarrollo6
8A3 )e designan los miembros del equipo de trabajo y la asignacin de responsabilidades y se
dejan por escrito6
1(. IMPLEMENTACI<N DE APLICACIONES
43 ,a etapa de prueba del sistema incluy la participacin de los usuarios6
73 )e !an desarrollado estndares para pruebas de programas6
83 )e conserva el resultado de las pruebas como parte de la documentacin6
93 El plan de implementacin incluye la operacin en paralelo y los procedimientos de
conversin necesarios6
:3 ,os usuarios aceptan formalmente los nuevos sistemas6
=3 ,os programas de entrenamiento a los usuarios les permite obtener familiaridad con los
nuevos sistemas6
>3 ,os usuarios son conscientes de sus responsabilidades sobre+
/ener los datos requeridos a tiempo6
1segurar que todos los datos son procesados correctamente6
El manejo de los bac%<ups y los procedimientos de recuperacin6
El inicio de cambios o incorporacin de nuevas regulaciones6
?3 ,a documentacin del proyecto es adecuada respecto a+
.niciacin y aprobacin del proyecto6
1nlisis preliminar o estudio de factibilidad6
Requerimiento funcional del sistema6
!6
&lan de pruebas y resultados6
'ise;o del sistema y especificaciones del programa6
@3 El sistema incluye la siguiente documentacin+
'escripcin del sistema6
'iagrama de flujo del sistema6
Darracin de los programas6
'iagrama de flujo de los programas6
,istado de los programas6
'iccionario de datos6
1rc!ivos y formatos de entrada6
1rc!ivos y reportes de salida6
,istado de lenguajes de control6
&rocedimientos de comandos catalogados6
'istribucin de reportes6
Eanuales de corrida incluyendo operaciones del job instalado6
Eanual de usuario6
Eanual de operadores de terminales, si es necesario6
.nstrucciones de entradaBtransacciones de datos6
Existe concordancia entre la narrativa del sistema y la de los programas6
Existe ad!erencia a los estndares de documentacin6
1/. CONTROLES DE APLICACI<N
43 Existen medidas de productividad de los recursos informticos6
73 )on estas medidas utili"adas en la evaluacin del desempe;o de los equipos6
83 )e concilian estos ndices con otros usados en entidades similares6
93 Existe una descripcin del trabajo para cada funcin relacionada con la operacin de los
equipos de cmputo6
:3 Existe un programa de adiestramiento o aprendi"aje para los operadores de los equipos6
=3 Existe una documentacin apropiada que incluya+
&rocedimientos de administracin de flujo de trabajos6
!7
&rocedimientos yBo planes de contingencia6
Diveles de autoridad requeridos para cambio6
)e lleva un registro de las modificaciones efectuadas a la instalacin del
entro de mputo6
Cay un procedimiento establecido para registrar y mantener los cambios
recientes para casos de fallas del sistema6
,os registros de fallas de los sistemas guardan fec!a de ocurrencia y duracin
de la falla6
>3 uando ocurren cambios en el desempe;o de los equipos, se anali"a como inciden o !an
incidido en los cambios en el desempe;o del soft(are, !ard(are o interconexiones6
?3 )e estiman los efectos de cada tipo de servicio prestado sobre los niveles de utili"acin yBo
de carga de los equipos de computo6
@3 Regularmente se toman acciones con miras a mejorar o mantener la productividad de los
equipos cmputo6
4A3 El rea de operacin toma responsabilidades sobre el c!equeo de totales de control,
reiniciali"acin de procesos, mantenimiento de bac%ups, etc. para ciertas aplicaciones6
443 El rea de operacin maneja la distribucin de las salidas6
473 Existen controles que aseguren que slo se ejecuten trabajos autori"ados
483 En procesos batc!, son los campos de entrada claves conciliados con los totales batc!
obtenidos6
493 )on las transacciones claves mantenidas en un log en sistemas interactivos que permitan
recuperar y auditar transacciones claves6
4:3 Existen controles que aseguren que solamente pruebas apropiadas y versiones de
programas aprobados son utili"adas en el procesamiento6
4=3 )on las utilidades provistas por los equipos de cmputo, y que permiten la modificacin de
datos y programas, cuidadosamente monitoreadas y controladas.
14. POL)TICAS @ EST>NDARES
43 Estn claramente definidos los objetivos y las funciones del rea de operaciones de los
sistemas6
73 ,os servicios que debe prestar el rea de operaciones de los sistemas, estn claramente
definidos6
83 Can sido determinados los niveles mnimos de recursos y !abilidades requeridos para las
operaciones rutinarias6
93 )on los usuarios conscientes de los servicios ofrecidos en el rea de sistemas6
:3 ,os usuarios finales se quejan frecuentemente sobre los servicios ofrecidos por el rea de
sistemas6
=3 ada tipo de servicio !a sido debidamente costeado6
!9
>3 )e !an establecido estndares de calidad apropiada para cada tipo de servicio6
?3 )on los miembros del rea de sistemas conscientes de la existencia de estos estndares6
@3 ,os estndares de desempe;o incluyen medidas cuantitativas adecuadas6
4A3 Existen criterios de evaluacin imparciales y consistentes sobre+
/iempo de respuesta de terminales
&romedio de trabajos por turnos
Coras de computador disponible para mantenimiento, desarrollo y pruebas.
&rioridades para trabajo
Responsabilidades por prestacin de servicios
)istema contable de uso del computador
Estndares de documentacin de operacin del computador
/iempo mximo por aplicacin
5ormas para requisicin de servicios
Existe un inventario completo y actuali"ado de todo el !ard(are disponible6
443 ,os costos de operacin se cargan a las reas usuarias6
473 Can sido desarrollados estndares de productividad que permitan monitorear por cada tipo
de equipo6
483 Existen polticas o guas formales para el uso de+
&rocesamiento distribuido
Iso de equipos de cmputo
Gases de datos
,a documentacin disponible para correr cada aplicacin es apropiada6
493 )e !ace un seguimiento de+
D*mero de transacciones o trabajos procesados
D*mero de lneas grabadas o impresas6
/iempo de respuesta de las terminales6
'istribucin de reportes a tiempo6
Espacio disponible de programas en disco6
Eemoria principal disponible para programas de aplicacin6
&orcentaje de tiempo fuera de servicio de equipos6
/iempo de mantenimiento preventivo6
(:
Rata de errores
5allas en las lneas de comunicaciones
Coras de computador invertidas en desarrollo y pruebas6
D*mero promedio de trabajos de procesamiento corrientes.
Eensaje de acceso a consola no autori"ado
1rc!ivos y libreras en cintas
'isponibilidad de abastecimientos.
)e reali"a seguimiento a la calidad de los productos y servicios ofrecidos.
4:3 Existe evidencia sobre el monitoreo o seguimiento de+
,os trabajos programados.
,a fase de preparacin de datos
,a fase de distribucin de reportes
)e reali"a seguimiento sobre el uso de centros externos de servicio6
Recibe la gerencia reportes sobre el desempe;o de los recursos informticos6
Existe evidencia sobre la actuacin de la gerencia con base en los reportes
sobre el desempe;o del rea6
Existe un plan de control del rendimiento del equipo de cmputo6
4=3 )e lleva a cabo oportuna y eficientemente un programa de cargas de trabajo6 verifique
que+
)e tiene una lista de las aplicaciones programadas junto con fec!as lmites de
entrada, tiempos de preparacin de datos, tiempos estimados de procesos,
fec!as lmites de salida y despac!o.
,ista de aplicaciones con frecuencia irregular de procesamiento junto con las
estimaciones de tiempo.
)e llevan estudios frecuentes de la disponibilidad de equipo para prever que
cumple con las cargas de trabajo.
)e tienen previstos parmetros para cada trabajo tales como tiempo de
corrida, arc!ivos, tiempos de acceso, equipo perif$rico requerido, cdigos
usados, fec!as de proceso etc.
,os operadores son ajenos a la programacin de cargas de trabajo.
El mantenimiento peridico de los equipos est incluido dentro del plan general
de trabajo6
)e revisa peridicamente el nivel de cumplimiento de los calendarios6
(1
,a operacin del equipo prev$ para cada aplicacin que est$n asignadas las
responsabilidades de arc!ivos y bibliotecas6
,a custodia de los arc!ivos es responsabilidad del personal ajeno a las de
operacin6
Existen procedimientos para controlar el acceso y utili"acin de arc!ivos6
15. CONTROLES DE DOCUMENTACI<N
on respecto al proceso de adquisicin de recursos informticos; se encuentran documentos
sobre+
43 Requerimientos iniciales de los usuarios6
73 1nlisis y decisiones tomadas sobre dic!os requerimientos6
83 ,os estudios de costo<beneficio sobre diferentes alternativas6
93 ,as diferentes propuestas y su calificacin o evaluacin respectiva6
:3 opia de los contratos de adquisicin de equipos de cmputo6
=3 Existe por escrito el plan operacional o a corto pla"o para la adquisicin de equipos de
cmputo6
>3 Existe por escrito la metodologa para la evaluacin y prueba de los nuevos equipos y
aplicaciones6
?3 Existe y es adecuada la documentacin para la operacin de nuevos equipos y
aplicaciones6
@3 Existe por escrito un plan a largo pla"o o plan estrat$gico sobre el rea de sistemas6
4A3 on respecto al desarrollo de sistemas existe una metodologa por escrito y en uso para
estandari"ar las aplicaciones de cierto alcance y tama;o6 ontiene aspectos como+
.niciacin del proyecto
'efinicin de las necesidades del usuario6
Estudios de factibilidad6
1nlisis osto<beneficio6
'ise;o conceptual del sistema detallado6
&ruebas6
&rocedimientos de conversin6
1ceptacin del usuario6
.nstalacin
0peracin
(!
1uditora post<implantacin
El dise;o general contiene por cada aplicacin+
'efinicin de documentos y datos elementales de entrada y salida.
'efiniciones de procedimientos para usuarios y para el rea de sistemas
'efiniciones de los controles y !uellas de auditora6
Requerimientos de !ard(are y soft(are6
Decesidades de seguridad6
Decesidades de entrenamiento6
.nterface con otros sistemas6
&lan para desarrollo de sistemas6
443 El dise;o detallado o de programacin contiene+
opia de los formatos de entrada y salida
ontroles y procedimientos de auditora aprobados e incluidos
&rocedimientos para la preparacin de datos6
'iagrama de flujo del sistema general
'escripcin de arc!ivos y bases de datos
Requerimientos de entrada y salida
Darrativa del sistema y de cada programa6
473 Existen por escrito y son comprensibles los manuales del usuario6
483 Esta documentacin incluye+
Especificaciones y dise;o de entrada de datos
Decesidades de totales de control
Eodos de presentar los datos
Responsabilidades sobre la conversin de datos a lenguaje de mquina6
Responsabilidad para resolver errores o algunas otras inconsistencias6
,a asignacin de prioridades para procesos6
El calendario y frecuencia de distribucin de los reportes6
,a lgica de programacin
,a deduccin y explicacin de frmulas crticas
((
,a aprobacin del usuario6
El registro de la aprobacin de solicitud de cambios en un programa6
&rocedimientos para encender y apagar terminales
493 'escripcin de los mapas de la pantalla del terminal y de los comandos disponibles6
4:3 ,os manuales del usuario estn distribuidos a los responsables6
4=3 Existen por escrito y son comprensibles los manuales de operacin6
4>3 Esta documentacin incluye+
.nformacin suficiente para el operador sobre cada programa de la cadena de
trabajo6
5uncin de cada programa.
Requerimientos mnimos de equipo
Explicacin de todos los mensajes de consola y la respuesta que debe dar el
operador6
reacin de salidas y su disposicin
.dentificacin adecuada de las etiquetas de arc!ivos de salida6
&untos de reinicio
&rocedimientos especficos para notificar errores o condiciones de falla6
,os manuales del operador se !an distribuido a cada uno de los responsables6
)e mantienen actuali"ados los respectivos manuales, reflejando en ellos los
cambios en programas, procedimientos, bac%ups, etc6
)e mantiene en copia magn$tica los diferentes manuales del rea de
sistemas6
16. CONTROLES DE SE.URIDAD
43 Estn asignadas las responsabilidades para control de acceso y seguridad fsica en el rea
de sistemas6
73 Existen por escrito procedimientos de seguridad en cuanto a los equipos de computo6
83 Estn los funcionarios del rea de sistemas concienti"ados sobre la importancia del control
de acceso y de la seguridad fsica6
93 )e implantan y respetan los procedimientos de seguridad establecidos6
:3 ,os responsables de seguridad reportan peridicamente a la alta gerencia6
17. ACCESO AL CENTRO DE C<MPUTO
(/
43 )e encuentra el acceso al centro de cmputo restringido al personal autori"ado6
73 Existen procedimientos que definen las restricciones del acceso por escrito6
83 El personal autori"ado est especficamente definido6
93 )e observa personal no autori"ado en la sala de cmputo6
:3 Existe alg*n medio de identificacin mecnico o automtico que restrinja el acceso6
=3 )e !an instalado alarmas que detecten entradas no autori"adas al rea de cmputo6
>3 Existen procedimientos especficos que prevengan el acceso de programadores del
sistema al centro de cmputo6
19. ACCESO A TERMINALES
43 Existen polticas para la ubicacin de terminales que puedan desplegar informacin
confidencial de la entidad6
73 ,a activacin de terminales est protegida por medio de palabras claves de acceso
2&ass(ords36
83 Existen procedimientos adecuados para la asignacin de los pass(ords6
93 )on los usuarios conscientes sobre la privacidad de los pass(ords asignados6
:3 Existen procedimientos adecuados para los cambios peridicos de los pass(ords que
incluyan la manera como un cambio de pass(ord puede ser programado, registrado y
comunicado a los usuarios6
=3 El sistema detecta los intentos repetidos para ingresar a trav$s de la adivinacin del
pass(ords6
>3 )e programan durante el da, !oras restringidas de acceso6
?3 ,os pass(ords asignados a los usuarios se usaron y cancelaron en el momento
adecuado6
@3 El sistema registra los accesos de las terminales a los datos6
4A3 )e revisan peridicamente los reportes de acceso de los terminales6
443 )e tienen definidos los riesgos que existen durante las conversiones, las pruebas y los
perodos de recuperacin6
!:. ACCESO EN L)NEA A PRO.RAMAS @ BIBLIOTECAS
43 Existen procedimientos que estable"can controles sobre el acceso y uso de los arc!ivos de
informacin6
73 El control fsico en el rea de almacenamiento de arc!ivos es suficiente para evitar el
acceso de personas no autori"adas y el mal uso de los arc!ivos6
83 Est pro!ibido el acceso a la biblioteca a programadores y operadores6
93 on respecto al acceso en lnea+
(4
Existen restricciones de acceso a cada biblioteca6
Existen restricciones adicionales de acceso a arc!ivos crticos y bases de
datos6
)e utili"a registro de entrada en las estaciones de acceso6
Es adecuado el nivel de acceso para estaciones crticas como por ejemplo,
slo consulta, actuali"acin, recuperacin de informacin, grabar, etc.
Es suficiente la seguridad fsica instalada6
!1. SE.URIDAD
43 Existe y est de acuerdo con los estndares generalmente aceptados la proteccin de
incendios de las instalaciones de sistemas6
73 Estn protegidos contra contingencias como accidentes, destruccin o utili"acin no
autori"ada, los arc!ivos de cmputo6
83 El rea de biblioteca cuenta con las protecciones fsicas adecuadas, tales como detectores
de incendios y dispositivos anti<inundaciones6
93 El manual de operacin especifica los procedimientos para el manejo de los arc!ivos6
:3 )e encuentran en buen estado los arc!ivos magn$ticos6
=3 Existe la seguridad adecuada de formas, documentos y su almacenamiento6
>3 )e !a entrenado al personal de operaciones del centro de cmputo para la aplicacin de
controles y procedimientos preventivos y correctivos de seguridad6
?3 Est consciente el rea de operaciones de la ubicacin de alarmas, extintores,
interruptores de energa, interruptores de energa auxiliar, tel$fonos de emergencia, etc.6
@3 ,os planes de seguridad son aprobados peridicamente6
4A3 Estn suficientemente detallados y son comprensibles6
443 Existen registros de las pruebas reali"adas6
473 /oma la alta gerencia medidas correctivas de acuerdo con los reportes de las pruebas6
483 Existe un plan de respaldo para el procesamiento de trabajos crticos para casos de
interrupciones por fallas en el equipo, en el soft(are o por una destruccin permanente o
temporal del centro de cmputo6
493 Existen copias del plan fuera de las instalaciones del centro de cmputo6
4:3 Est conscientes los encargados del centro de cmputo de la existencia y procedimientos
descritos en el plan6
4=3 )on los procedimientos alternos propuestos, ra"onables desde el punto de vista del costo<
beneficio6
4>3 Can sido probados los procedimientos propuestos en el plan6
4?3 ontiene el plan una prioridad preestablecida para el procesamiento de las aplicaciones6
4@3 .dentifica los sistemas operativos y arc!ivos crticos6
(5
7A3 Existe un sitio externo al centro de cmputo para el almacenamiento de los arc!ivos
crticos6
743 )e mantienen durante cierto tiempo los arc!ivos de transacciones que se utili"an en la
creacin de arc!ivos maestros6
773 ontiene procedimientos para recuperacin de las lneas de comunicacin6
783 &rev$ la necesidad de un equipo de respaldo de id$nticas o similares condiciones que el
principal6
793 .ncluye procedimientos para respaldo de arc!ivos de tal manera que minimice los
requerimientos de recuperacin6
7:3 Estn los procedimientos de respaldo de arc!ivos incluidos dentro de las funciones del
bibliotecario6
7=3 .ncluye instructivos para vaciar arc!ivos en disco a cinta y almacenar $stas fuera del centro
de cmputo6
7>3 Especifica la periodicidad conque debe ser probado para asegurar que es funcional6
7?3 ontiene procedimientos definidos para la reconstruccin del centro de cmputo6
7@3 &rev$ los procedimientos manuales que deben adelantarse con el fin de volver a colocar el
operativo al centro de cmputo6
8A3 ,os usuarios son conscientes de los procedimientos manuales que son necesarios llevar a
cabo durante la recuperacin de la operatividad del centro de cmputo6
!!. CONTROLES ESPEC)1ICOS
,os ontroles de arcter Especfico comprenden los procedimientos que estn referidos
directamente con el procesamiento de datos, concretamente se orientan !acia las aplicaciones en
explotacin o produccin y la integridad de los datos, desde su origen o entrada, su proceso !asta
su salida, as mismo se incluyen aspectos de control que no necesariamente se encuentran en
todos los ambientes de cmputo. &or ejemplo, una organi"acin puede tener un sistema soportado
en bases de datos, otra en sistemas distribuidos, etc.
1l igual que los controles anteriormente descritos, $stos tambi$n se verificarn y comprobarn con
cuestionarios.
!!.1. Contro +e A#i$a$ione"
43 )e establecen claramente los objetivos de cada aplicacin6
73 Est documentada adecuadamente cada aplicacin6
83 )e desarrollan las aplicaciones de acuerdo con una metodologa estndar preestablecida6
93 .ncluyen las aplicaciones rutinas de control yBo mdulos para la labor de 1uditora6
:3 ,as responsabilidades estn claramente definidas a nivel de+
Entrada de datos6
&rocesamiento de computador6
(6
Galanceos de entrada y salida6
'istribucin de errores6
Reprocesamientos6
Eonitoreo de problemas y Resolucin6
/ablas de fec!as6
Eantenimientos6
Entrenamientos6
=3 on respecto a la operacin de cada aplicacin+
,as condiciones de excepcin como necesidad de correccin de errores de
edicin o de lenguaje se resuelven eficientemente6
Existen calendarios para la recepcin de entradas crticas6
Cay un catlogo que muestre la distribucin de cada reporte, frecuencia,
n*mero de copias, instrucciones de manejo especial, etc.6
Existe un n*mero excepcional de reprocesamientos6
Existe un n*mero excepcional de errores del operador6
)e tienen procedimientos para el bac%up de arc!ivos de datos, soft(are de la
aplicacin y documentacin asociada6
En procesos en lnea se tienen procedimientos alternos para usar en casos de
cadas por largo tiempo6
Estn documentados los aspectos de seguridad6
)on adecudadas las pistas de 1uditora6
)e genera un log de problemas de computador especificando la causa del
problema 2equipo, soft(are, aplicacin, operador36
El ,og del sistema permite determinar si los problemas son demasiado
frecuentes6
Es la aplicacin fcil de usar por los usuarios 2amigable36
Existe evidencia de los cambios reali"ados a las aplicaciones y fueron
probados dic!os cambios6
Es el dise;o de la aplicacin lo suficientemente flexible que permita fcilmente
cambios a la estructura de los datos, creacin de nuevos reportes,
modificaciones de formatos, etc.36
)e llevan registros de los costos de produccin de cada aplicacin y se reporta
a la gerencia6
(7
)e indica el impacto de la aplicacin sobre los recursos del computador, tales
como !oras de &I, tiempo de entrada y salida, n*mero de terminales que
soporta, uso de espacio en disco, etc.36
)e registran los desempe;os obtenidos, con respecto a tiempos de respuesta,
tiempo de proceso en batc!, produccin de reportes, correcciones de errores,
etc.6
)e reali"a seguimiento yBo mantenimiento a la aplicacin6
)e mantienen registros de ellos6
Ca sido revisada la aplicacin para evaluar su potencial integracin con otros
sistemas6
)i est en interface con otras aplicaciones, se obtuvo una interface simple,
bien controlada y exenta de redundancia en los datos6
,a 1uditora interna est envuelta en la revisin del desempe;o de la
aplicacin6
El dise;o de la aplicacin permite que el proceso de computador sea tan
eficiente como podra 2en t$rminos de organi"acin de arc!ivos, accesos,
optimi"acin de programas, etc.36
!!.!. CONTROLES DE ENTRADA
43 Est la informacin sometida a procesamiento, debidamente autori"ada, integrada,
preparada y transmitida6
73 ,os usuarios tienen procedimientos establecidos para preparar los datos6
83 )on identificables los documentos utili"ados para cada tipo de entrada6
93 )e aseguran los usuarios de la valide" de los datos que se integran a cada documento
fuente6
:3 Existen controles durante la preparacin de los datos que se llevan a cabo antes de la
transmisin para su procesamiento6
=3 )on los documentos fuente dise;ados t$cnicamente con el fin de minimi"ar errores y
omisiones6
>3 Estn los documentos fuente prenumerados6
?3 &or cada tipo de transaccin provee un cdigo o identificacin *nico6
@3 Existe una referencia cru"ada entre el documento fuente y las transacciones para facilitar
su rastreo6
4A3 ,os documentos fuente en blanco permanecen en poder de personal ajeno al del proceso
de diligenciamiento6
443 Estn almacenados en un lugar seguro6
473 ,a autori"acin de salida de documentos en blanco requiere de la firma del responsable6
483 )e establecen procedimientos de autori"acin para la entrada de los datos6
(9
493 Estn documentados los procedimientos de control de informacin6
4:3 Estos procedimientos incluyen+
1utori"aciones adecuadas para cada aplicacin6
Revisin de las autori"aciones6
Entrada inicial de la informacin6
Eensaje de error6
Registros de control de errores y excepciones6
&rocedimientos para la depuracin de errores y excepciones6
ontrol de la informacin de entrada antes de procesarse6
ontroles de cambios y actuali"acin del arc!ivo maestro6
4=3 ,os procedimientos anteriores que se prueban demuestran ser efectivos en la prctica6
4>3 )e retienen los documentos fuente para facilitar la recuperacin reconstruccin de la
informacin6
4?3 Est preimpreso en cada documento fuente su tiempo de vigencia6
4@3 ,os medios con los cuales se almacenan y recuperan los documentos fuente son
apropiados6
7A3 El rea usuaria guarda copia de la informacin enviada a procesamiento6
743 Existen por escrito y se cumplen los procedimientos para la conversin y entrada de los
datos que garanticen la separacin de tareas y la rutina de verificacin del trabajo de
entrada de datos6
773 )e obtienen por escrito los procedimientos que expliquen la manera como los datos son
convertidos e introducidos6
783 Existe separacin de labores entre las funciones de gerencia, entrada, procesamiento y
distribucin de los datos6
793 Existen dispositivos de control de los datos tales como+
5lujo administrativo del documento6
/$cnicas de identificacin6
onteo de registros totales de control predeterminados6
/$cnicas de registro6
)e marcan los documentos fuente para evitar duplicaciones o
reentradas6
Existen por escrito los procedimientos para la conversin y entrada de
los datos a trav$s de terminales6
Est fsicamente resguardados los terminales para entrada de datos6
/:
Estn restringidas las entradas a terminales previamente autori"adas6
)e utili"an pass(ords para prevenir entradas no autori"adas6
)e limita a cada usuario la entrada de un n*mero limitado de
transacciones6
)e utili"an formatos predise;ados de captura para asegurar mayor
calidad y eficiencia6
)e utili"an terminales inteligentes de tal manera que permitan la
captura, su validacin y edicin respectivas6
7:3 Existen programas de validacin para todos los campos susceptibles6 Especifique+
digos de aprobacin o autori"acin
'gitos verificadores para las llaves de identificacin
'gitos verificadores de datos num$ricos no sujetos a balanceo
#alidacin de cdigos
/ama;o de los campos
ombinacin de campos
,mites o rangos de valores
)ignos aritm$ticos
otejo de registros
)ecuencias
#alores num$ricos o alfanum$ricos
Referencias cru"adas
Existen por escrito procedimientos para la identificacin, correccin y
reentrada de datos rec!a"ados6
)on los mensajes de error claros y suficientemente desplegados6
)e graban automticamente en arc!ivos de pendientes los datos
rec!a"ados durante la captura6
,os arc!ivos pendientes de entrar contienen+
digo de identificacin del error6
5ec!a y !ora de grabacin en el arc!ivo de pendientes6
.dentificacin del usuario que reali" la entrada6
onteo de registros errados
/1
!!.(. CONTROLES DE PROCESO
43 Existen procedimientos por escrito para la separacin de tareas durante el procesamiento
de los datos6
73 Existe separacin de las siguientes tareas durante el ciclo de procesamiento+
-eneracin de los datos
Entrada de los datos
&rocesamiento de los datos
'istribucin de los datos
83 Existen pistas de auditora tales como bitcoras que permitan la reconstruccin de arc!ivos
de datos cuando se requiera6
93 )e pueden rastrear los datos !asta su punto de origen6
:3 )e imprime la fec!a y !ora de las transacciones6
=3 )e tienen procedimientos de control como+
Evaluar la actividad de los terminales
.nvestigar cualquier intervencin del operador diferente a los procedimientos
establecidos
1segurarse de que los reinicios se reali"an apropiadamente.
Galanceo de los contadores de lotes de datos procesados6
Galanceo de los contadores de registros de datos procesados6
Galanceo de los totales de control de datos procesados6
>3 ,os programas aplicados contienen controles que impidan la entrada de datos por
consola6
?3 ,os programas aplicados contienen controles que impidan la actuali"acin de los arc!ivos6
@3 .dentifican los programas aplicados el tipo de datos de entrada por procesar6
4A3 Existen opciones estandari"adas de valores fijos o predeterminados 2default3 dentro de la
lgica de los programas6
443 ,os programas aplicados generan totales de control6
473 ,os programas aplicados contienen rutinas que controlan las etiquetas iniciales internas de
los arc!ivos antes de su procesamiento6
483 ,as etiquetas finales internas contienen totales de control que compara contra el total
incluido en los arc!ivos6
493 ,os datos incorrectos son rec!a"ados antes de la actuali"acin de arc!ivos maestros6
4:3 ,os procedimientos de validacin se aplican a todos los campos6
/!
4=3 ,os programas aplicados contienen rutinas o mecanismos que aseguren la exactitud de los
valores incluidos en las tablas6
4>3 )i los arc!ivos son actuali"ados directamente, los programas generan un log que muestren
la fec!a y !ora de la transaccin y clave del usuario que est actuali"ando6
4?3 Existen por escrito procedimientos para la identificacin, correccin y reprocesamiento de
los datos previamente rec!a"ados6
4@3 ,os mensajes de error por consola son claros y comprensibles6
7A3 )e graban los datos rec!a"ados en arc!ivos de pendientes6
743 )e limita la intervencin del operador lo mximo posible durante el procesamiento6
773 ,os procedimientos descritos en el manual de operacin determinan claramente las
intervenciones del operador durante la ejecucin de un trabajo6
783 umplen las actividades actuales del operador con las funciones establecidas para su
cargo6
793 )e revisan los logs del sistema para evaluar las intervenciones del operador6Est
pro!ibido a los operadores el acceso a la documentacin de la aplicacin, programas,
datos y soft(are del sistema6
7:3 Existe un procedimiento para reiniciar o reprocesar un trabajo posterior a la deteccin de
errores6
7=3 )e especifican puntos de control de corrida a corrida6
7>3 ,os sistemas de informacin se dise;an de acuerdo con los estndares desarrollados6
7?3 ,os errores de procesamiento son identificados en el punto ms cercano al inicio6
7@3 )e utili"an al mximo las utilidades del !ard(are y del soft(are para detectar y corregir
errores6
8A3 ,a contabilidad de los trabajos de procesamiento incluyen+
Dombre del trabajo
D*mero del trabajo
/iempo de ejecucin inicial y final
Ra"n de terminacin
Eensajes de error
.nterrupciones del trabajo
.ntervenciones del operador
843 El sistema genera reportes por excepcin que contenga
.ntentos no autori"ados de acceso a arc!ivos
Excesos de tiempo de corrida
Reprocesos de aplicaciones en produccin
/erminaciones anormales
/(
873 Estn debidamente registrados las fallas de los equipos, la recuperacin de errores, los
reinicios o paradas de trabajos y se revisan peridicamente6
883 )e mantiene una bitcora del sistema o de la consola que incluya todas las actividades de
cmputo y se revisa peridicamente especialmente para+
omparar su contenido contra la claridad y congruencia con los estndares de
operacin
ontrolar la cantidad de terminaciones anormales
'eterminar el tiempo perdido durante las terminaciones anormales.
!(. BASES DE DATOS
43 'ocumentacin 1nlisis de &laneacin y Riesgos de la Gase de 'atos
73 )eguridad del )istema 0perativo de la Gase de 'atos
83 &roceso de ,ogin y 1utenticacin
93 ontroles de 1cceso
:3 'isponibilidad de la Gase de 'atos , Gac%up y Recuperacin
=3 Redes de la Gase de 'atos
!(.1. DOCUMENTACI<N
)olicite y verifique+
43 'iagramas del sistema y la red de los servidores de bases de datos, los servidores de
replicacin y los servidores de aplicacin, todas las conexiones de clientes a la base de
datos, incluyendo las interfaces de red, direcciones .&, conexiones de ,1D y J1D 2Ej.
routers, s(itc!es, dial<up3.
73 'ocumentacin de las aplicaciones para la base de datos, narrativa, o manuales
describiendo todas las aplicaciones que usa la base de datos.
83 Esquemas organi"acionales y descripciones de trabajo para los empleados que estn a
cargo de las bases de datos.
93 &olticas y procedimientos para la administracin de la base de datos, incluyendo
procedimientos de seguridad y recuperacin, as cmo los procedimientos de bac%up.
:3 'ocumentacin de recuperacin de la base de datos junto con sus pruebas y resultados.
=3 Espacio de disco y espacio de las tablas, planeacin, tama;o y documentacin de
monitoreo.
>3 1rc!ivo de inicio de la base de datos 2en 0racle+ initK)ystemB.nstance .'L.ora3.
?3 .mpresin de todos los scripts de inicio para las utilidades de la base de datos, los
programas de bac%up o las aplicaciones.
//
@3 &ara 0racle + la impresin del arc!ivo configurada.
4A3 .mpresin de los directorios en Inix y Jindo(s D/ que muestren a los o(ners y los
permisos de arc!ivo en cada directorio de los arc!ivos.
443 &ara 0racle+ .mpresin de los directorios de arc!ivos de Jindo(s D/ y Inix, locali"ados
por el logMarc!iveMdest en el arc!ivo initK)ystemB.nstance .'L.ora, mostrando a los o(ners
y los permisos de arc!ivo.
473 .mpresin de los directorios de Jindo(s D/ y Inix conteniendo cdigo y scripts que
pueden !abilitar un acceso a la base de datos y mostrando o(ners y permisos de arc!ivo
para cada directorio.
483 &ara 0racle+ .mpresin de los directorios de Jindo(s D/ y Inix mostrando a los o(ners y
permisos de arc!ivos para el arc!ivo servidor paralelo de pass(ord de 0racle que se
encuentra en la variable remoteMloginMpass(ordfile en el arc!ivo initK)ystemB.nstance
.'L.ora. 'ebe incluir los permisos de arc!ivo para el directorio en donde se encuentra.
493 .mpresin de los arc!ivos de Inix BetcBpass(d y BetcBgroup.
4:3 .mpresin del comando df 2desplegar sistema de arc!ivos3 de Inix.
4=3 &ara 0racle+ .mpresin de la vista a la tabla dbaMusers.
4>3 &ara 0racle+ .mpresin de la vista de logs de la tabla sys.audN o el nombre del arc!ivo
denotado por el parmetro 1I'./M/R1., en el arc!ivo initK)ystemB.nstance .'L.ora.
'G1M1I'./M)E)).0D
1I'./M1/.0D)
'G1M1I'./M0GHE/
&ara 0racle+ .mpresiones de los usuarios de la base de datos y sus privilegios+
'G1MR0,E)
'G1MR0,EM&R.#)
'G1M)O)M&R.#)
'G1M/1GM&R.#)
R0,EMR0,EM&R.#)
R0,EM)O)M&R.#)
R0,EM/1GM&R.#)
.mpresin de los directorios de Inix y Jindo(s D/ que muestren a los o(ners y los permisos de
arc!ivo para el )F,PDet, #ersin 7, arc!ivo tnsnames.ora.
.mpresin del arc!ivo BetcBservices 2Inix3 o las descripciones de servicios en Jindo(s D/.
!(.!. An8i"i" +e Panea$i*n A Rie"go" +e a Ba"e +e Dato"
/ener conocimiento de la Gase de 'atos sobre su medio, aplicaciones, y administracin, y usar
esta informacin para desarrollar una estrategia de auditorQa sobre los riesgos de la Gase de 'atos.
/4
43 .dentificar a trav$s de la observacin y la discusin+
73 )istemas de aplicaciones significantes para la base de datos, bodegas de datos
83 )istemas de informacin, aplicaciones Jeb y otros usos crticos para la misin de la base
de datos.
&rocedimientos+
#erifique la existencia de la documentacin de los procesos de liente<)ervidor y el !ost.
/iene un servidor de base de datos, los usuarios !acen ,ogin por medio del sistema
operativo 2telnet36
En el medio liente<)ervidor 2dos personas3 con procesos que corren en el & del cliente
2cliente 5at3, los usuarios !acen ,ogin por medio del programa de acceso a redes de
0racle.6
En el medio liente<)ervidor 2tres personas3 con aplicaciones lgicas que se encuentran
cargadas en servidores de aplicacin ubicados de forma separada que los servidores de
Gases de 'atos y los & del usuario, los usuarios !acen ,ogin por medio de una
aplicacin encargada de dar el acceso a la red.6
)e lleva una documentacin de cada aplicacin de la Gase de 'atos, utilidad o los
programas de administracin usados6
Existen documentos de las aplicaciones de usuarios a la base de datos o utilidades del
sistema operativo y los m$todos de acceso a la base de datos6
)e Isa el sistema de autenticacin del sistema operativo en el arc!ivo Inix, BetcBpass(ord,
o el Iser Eanager de Jindo(s D/ y se documenta siempre que la aplicacin corra bajo un
solo usuario o cuando un usuario !aga ,ogin al sistema operativo para tener acceso6
uando se usa la tabla de usuarios 2en 0racle dbaMusers3, se documenta si la aplicacin
corre bajo un solo proceso de un usuario con un solo identificador o s cada programa de
aplicacin corre como un proceso separado con su propio identificador.6
'etermine si el programa de aplicaciones corre a nivel del sistema operativo para cada
usuario individual de Inix o D/ 2Ej. /elnet y acceso netlogin3. En este caso, se enfoca el
control en el medio para la autenticacin de InixBD/.6
,os usuarios estn restringidos apropiadamente por la seguridad de la aplicacin o la
seguridad del men* de opciones.6
El usuario puede escaparse de ese nivel de la aplicacin y ganar acceso al sistema
operativo o a la base de datos.6
,os accesos de la base de datos estn limitados a los objetos de los programas, y los
accesos a los objetos del sistema estn restringidos de las aplicaciones de la base de
datos.6
'etermine si el programa corre al nivel del sistema operativo bajo un solo identificador, que
cada usuario logs en la base de datos para autenticacin. En este caso, el acercamiento
de la auditora se debe enfocar en los controles de los procesos de autenticacin y ,ogin.
/5
1seg*rese que cada usuario es restringido apropiadamente por la seguridad del programa
u opcin de men*.
1seg*rese que el usuario no puede escaparse de ese nivel de la aplicacin y ganar acceso
al sistema operativo o la base de datos.
1seg*rese que los usuarios est$n restringidos de la administracin de la base de datos y
!erramientas de desarrollo 2Ej. )qlplus y server manager3, as como de !erramientas de
consulta.
1seg*rese que el acceso 2Ej. Roles y privilegios3 limitan cada proceso del usuario en las
aplicaciones a slo objetos de la aplicacin y restringe los accesos a objetos del sistema.
En los casos donde los usuarios !acen log directamente a la base de datos a trav$s de
)F,&lus, )F,'G1 o alguna otra interfa", se efect*an procesos de autenticacin y ,ogin,
as como tambi$n de los controles de acceso6
1seg*rese que cada perfil de usuario en la tabla de usuarios 2En oracle dbaMusers 3 es
autenticado.
1seg*rese que cada privilegio y rol estn auditados en un ambiente usuario<usuario.
&ara un proceso de ,ogin controlado por una aplicacin 2Ej. ,os usuarios no !ace log a la
base de datos o al sistema operativo3.6
1seg*rese que cada perfil del .d del proceso del usuario en la tabla de usuarios 2En 0racle
dbaMusers3 es auditada.
1seg*rese que acceso 2Ej. Roles y privilegios3 limitan cada acceso a aplicaciones de
usuario 2.' 0racle3 a slo objetos de programas de aplicaciones y restringe el acceso a
objetos del sistema.
'etermine si el usuario tiene acceso a !erramientas de la base de datos+ sqlplus, sqldba y
server manager.
Caga una revisin detallada de los procesos de autenticacin, perfiles de usuario y
controles de acceso de roles y privilegios.
'etermine si un programa es una aplicacin de Jeb a trav$s de !ttp+BB y un -. gate(ay
en un servidor Jeb.
'etermine que el router de .nternet y los controles de fire(all restringen el acceso a la base
de datos.
,os controles son adecuados para el acceso al servidor Jeb.6
,os procesos de un solo usuario y los procesos del sistema operativo para cada usuario
son identificados por el servidor de bases de datos 2ver puntos anteriores3.6
!(.(. Seg,ri+a+ +e Si"te-a O#erativo +e a Ba"e +e Dato"
/6
'etermine que el acceso la base de datos a trav$s del !ost es seguro.
43 Isando la lista de la tabla de datos del usuario 2en 0racle dbaMusers3, identifique todos los
prefijos de .dentificacin 2en 0racle 0&)N, operating system pass<t!roug! to 0racle3.
73 Examine la seguridad de ,ogin del !ost para asegurar que todos los .' son validos y
representan a los usuarios actuales.
83 &ara 0racle+ Referencia del parmetro 0)M1I/CED/M&RE5.R en el arc!ivo
iniK)ystemB.nstance .'L.ora a la lista de dbaMusers6
93 ,os usuarios remotos que estn autenticados no puede conectarse a la base de datos al
determinar que parmetros son usados para arrancar la base de datos 2en 0racle
0&)N0553.6
:3 1udite el arc!ivo de seguridad del sistema para asegurar que los usuarios estn
restringidos de acceder programas, arc!ivos de configuracin, logs, y tama;o de las tablas.
=3 El due;o de todos los directorios es una cuenta administrativa 2en 0racle es la cuenta
dba36
>3 El grupo de o(ner de Inix es el grupo administrador 2en oracle dba3.6
?3 ,os permisos en los directorios de Inix son >:: o menos.6
@3 ,os permisos para los arc!ivos Inix son >:A para arc!ivos ejecutables binarios del
sistema de bases de datos.6
4A3 El parmetro umas% de Inix est puesto para que los arc!ivos log no sean ledos ni
modificados.6
443 ,os permisos de los arc!ivos D/ estn restringidos de manera que no se puede acceder al
grupo SEveryoneS.6
473 ,os permisos de los arc!ivos D/ estn puestos para arc!ivos que !eredan permisos de su
directorio.6
483 1udite la seguridad del o(ner y el grupo de la base de datos para asegurarse que el uso
est restringido a personal administrativo autori"ado y procesos.
493 El uso de las cuentas es restringido al administrador de la base de datos.6
4:3 Revise el arc!ivo de Inix BetcBgroup para asegurarse que los miembros del grupo
administrativo 2dba3 est limitado a la cuenta administrativa para prevenir conexiones no
autori"adas que son internas a la base de datos.BetcBgroup.
4=3 Revise los permisos de arc!ivo para el sqldba y el server manager para asegurar que su
uso est restringido a la cuenta administrativa de la base de datos.
!(./ Pro$e"o +e Login A A,tenti$a$i*n
43 ,ograr que todos los procesos y usuarios est$n autori"ados y autenticados en la base de
datos y que los procesos de usuarios estn controlados.
/7
73 0btenga una lista completa de la vista a la tabla de usuarios 2en oracle dbaMusers3 para
asegurar que la autenticacin de la base de datos es segura.
83 'etermine que todos los usuarios estn representados por procesos y usuarios de la base
de datos vlidos y autenticados.
93 &ruebe los pass(ords que se tienen por defecto en las cuentas de sistema y de la base de
datos 2En 0racle sys3.
:3 ,os procesos estn en su lugar para que un cambio peridico de pass(ords y formatos de
pass(ords sea seguro.6
=3 &or medio de la observacin de programas script y discusiones con el administrador de la
base de datos, determine si los programas de la base de datos y sus procesos son
iniciados usando una consola segura o cadenas de conexiones inseguras.
>3 El comando de procesos de Inix 2ps3 estTa restringido al nivel del sistema operativo, de
manera que un usuario no pueda ver el pass(ord de la base de datos en texto 2Esto ocurre
con 0racle con el comando ps en el momento que un usuario inicia )F,&lus u otro
programa con un string de tipo usernameBpass(ord3.6
?3 1 trav$s de una revisin de los procesos de los programas y la discusin con los
funcionarios operativos y el personal de administracin de la base de datos, determine si
los programas de aplicacin o utilidades conectan a la base de datos desde el cdigo del
programa y si los programas que contengan cdigo sobre la bases de datos 2Ej. .d,
pass(ords3 estn protegidos por los apropiados permisos de arc!ivo y directorio.
@3 Revise la vista de la tabla de usuarios 2dbaMusers en 0racle3 para asegurarse que todos
los procesos de usuario estn configurados para proteger los recursos del sistema y las
tablas.
4A3 El parmetro por defecto del espacio de las tablas est puesto a una tabla de usuario y que
slo las cuentas de sistema 2sys y system en 0racle3 tengan el espacio de tablas del
sistema como su tama;o por defecto.6
443 1seg*rese que slo la cuenta de administracin 2sys en oracle3 tenga el espacio de tablas
del sistema y el temporal./odos los otros usuarios deberan tener un espacio de tablas
temporal como el temporal del espacio de tablas.
473 1seg*rese que el perfil de los parmetros de los usuarios incluyan los valores por defecto
que sean consistentes con la aplicacin de la base de datos para ayudar a proteger el
sistema contra procesos de usuarios no controlados 2En oracle &IM&ERM)E)).0D,
&R.#1/EM)-1, y ,0-.1,MRE1')M&ERM)E)).0D3.
483 Revise que la vista de la tabla de usuario para lograr que los siguientes parmetros que
pertenecen a procesos de seguridad de ,ogin y sus procesos est$n activos.
493 &ara 0racle+ )E)).0D)M&ERMI)ER debera tener como valor 4 en la mayora de los
casos.
4:3 0DDE/M/.EE debera ser usado para usuarios interactivos 2esta variable se mide en
minutos3 y nunca para procesos con el fin de asegurar que los procesos de la base de
datos no sean molestados.
/9
4=3 .',EM/.EE debera ser usado para usuarios interactivos 2esta variable se mide en
minutos3, y nunca para procesos con el fin de asegurar que los procesos de la base de
datos no sean molestados.
4>3 0btenga una impresin del log de sesin de los usuarios 2en oracle la vista de la tabla
'G1M1I'./M)E)).0D3.
4?3 /odos los intentos fallidos de log queden registrados, revisados y seguidos.6
!(.4. Controe" +e A$$e"o
43 'etermine que los procesos de los usuarios e identificadores est$n restringidos por los
objetos de acceso al sistema.
73 El sistema le otorga a los usuarios un acceso interactivo a la base de datos por medio de
!erramientas de consulta y !erramientas de la base de datos.6
83 El acceso de los usuarios est propiamente restringido por medio de la asignacin de roles
y privilegios.6
93 0btenga una impresin de las tablas que involucren actividad de los usuarios 2En 0racle
son las siguientes tablas 'G1MR0,E), 'G1MR0,EM&R.#), 'G1M0,M&R.#),
'G1M)O)M&R.#), 'G1M/1GM&R.#), R0,EMR0,EM&R.#), R0,EM)O)M&R.#),
R0,EM/1GM&R.#)3.
:3 ,os usuarios que interact*an en un ambiente de produccin estn restringidos al privilegio
seleccionado por cada privilegio especfico o rol.6
=3 ,a informacin confidencial est restringida por los usuarios interactivos y los procesos
estn restringidos del sistema o cualquier objeto.6
>3 ,os procesos guardados y los privilegios de usuario estn limitados a seleccionar y
ejecutar la interaccin6
?3 ,a opcin de dar permisos generales est slo !abilitada para el administrador6
@3 ,a opcin de administracin que le da a los usuarios la posibilidad de otorgar privilegios del
sistema a otros usuarios, est restringida a los usuarios con el nivel ms alto de privilegios
2Ej. 1dministrador de la base de datos36
4A3 0btenga las impresiones de los logs de las acciones de auditora.
443 ,os comandos crticos en los objetos 2Ej. rear, alterar, delete3 estn en el log y son
revisados.6
473 ,os objetos del usuario y del sistema que son crticos estn en el log para cada cambio,
adiciones, y eliminaciones y que el log es revisado y monitoreado.6
!(.5. Di"#onibii+a+ +e a Ba"e +e Dato"B Ba$C,# A Re$,#era$i*n
4:
43 1segurar que la base de datos est disponible para usuarios y procesos y qu$ las medidas
!an sido tomadas para limitar la exposicin de las fallas de los componentes, de la
comunicacin y de cualquier otra interrupcin sobre el sistema.
73 Isando la documentacin de planeacin y tama;o de la base de datos con la salida del
comando df de Inix, compruebe+
El espacio de las tablas 2crticas y dinmicas3.
1segurar que los espacios de las tablas !an sido distribuidos a trav$s de m*ltiples
discos para distribuir inputBoutput.
En la salida de los logs de reali"acin !an sido arc!ivados y los arc!ivos de control
!an sido montados en discos separados y que estos !an sido copiados en otros
discos por separado.
Revise los contenidos del arc!ivo de configuracin 2en 0racle config.ora3 para el
control de nombres de los arc!ivos y confirme que los controles sobre los arc!ivos
estn locali"ados en tres diferentes sistemas de arc!ivos y en tres diferentes discos.
83 ,a informacin crtica sobre el tama;o de las tablas est duplicada para una rpida
recuperacin.6
93 ada disco usa un controlador por separado para minimi"ar el impacto sobre una falla en
el controlador 6 2#er el nombre del arc!ivo en la salida del df3.
:3 ,os procedimientos de monitores de los discos y del tama;o de las tablas estn en su
lugar.6 2&ara garanti"ar que los requerimientos de crecimiento son conocidos de antemano
en la necesidad de una variacin en el tama;o o que se realice una reorgani"acin del
tama;o de las tablas3.
=3 ,os requerimientos de la memoria del sistema, el espacio en disco y las proyecciones
futuras !an sido incorporadas dentro del dise;o del sistema.6
>3 &ara 0racle+ revise el parmetro dbMbloc%Msi"e en el arc!ivo initK)ystemB.nstance .'L.ora
y aseg*rese que este valor es igual al loc% si"e del sistema operativo 2Excepto en los
sistemas operativos 1.R de .GE3.
?3 &ara 0racle+ busque el parmetro logMarc!iveMset dentro del arc!ivo initK)ystemB.nstance
.'L.ora y aseg*rese que su valor se /rue para que el modo de log sea iniciali"ado.
@3 El arc!ivo initK)ystemB.nstance .'L.ora est en el parmetro llamado !ec%pointMprocess
y tiene un valor de /rue.6 2&ara asegurar que los puntos de c!equeo est$n siendo
grabados en arc!ivos de control3.
4A3 El parmetro llamado ,ogM!ec%pointM.nterval est puesto en una frecuencia apropiada
con relacin al tama;o de la base y su uso.6
443 0btenga los procedimientos de bac%up para la base de datos, los !orarios de bac%up, y los
programas de bac%up.
473 ,os bac%ups incrementales estn siendo tomados como mnimo cada noc!e6 2Ej. 0bjetos
que !an cambiado desde la *ltima ve"3.
41
483 ,os !orarios de bac%ups de la base de datos 2lgicos3 son puestos cuando los usuarios no
est$n en el sistema, los reportes y los procesos de batc! !ayan terminado.6
493 )e usan procedimientos estndar para los bac%ups lgicos que permitan proteger la
integridad de la base de datos.6
4:3 uando se efect*an los bac%ups lgicos con la base de datos se !ace de modo restringido,
asegurando que los usuarios que no tengan la calidad de administradores de la base de
datos no puedan !acer ,ogin mientras corre el bac%up.6
4=3 ,os bac%ups lgicos semanales son !ec!os usando la opcin completa 2por defecto3, para
asegurarse que toda la base de datos esta en el bac%up.62si no !ay bac%ups, revisar en
tiempo de ejecucin3
4>3 ,os bac%ups del sistema son reali"ados como mnimo semanal o mensualmente.6
4?3 Revise el catlogo del almacenamiento de los bac%ups y procedimientos de control para
asegurar que !an sido actuali"ados satisfactoriamente, marcados interna y externamente y
conservados fuera del lugar donde se encuentra la base de datos.
4@3 0btenga y revise la documentacin sobre recuperacin de la base de datos y sus pruebas
con sus resultados. 1seg*rese que por lo menos oc!o escenarios de riesgo !an sido
probados satisfactoriamente.
!(.6. Re+e" +e Ba"e" +e Dato"
43 'etermine que las redes de la base de datos !an sido dise;adas para soportar los
requerimientos de disponibilidad y las necesidades de seguridad de la aplicacin en base
de datos.
73 0btenga un diagrama de la red de los servidores de la base de datos y sus conexiones
lgicas y fsicas sobre el resto de la red.
83 ul es la velocidad mxima y el mximo de anc!o de banda que es usado para soportar
el uso elevado de )F, entre la red y sus componentes.6 2Ej. Entre servidores de bases de
datos y los servidores de aplicaciones3.
93 ,os lin%s redundantes 2ej. .nterfaces, !ubs y routers3 son usados para soportar los
requerimientos del sistema.6
:3 Fu$ puertos de mantenimiento estn siendo utili"ados por separado por los servidores de
bases de datos para acceso administrativo y de mantenimiento.6
=3 Isando el comando netstat, revise el routing y el direccionamiento .p usado para los
servidores de bases de datos. 1seg*rese que el trfico de )F, de alto anc!o de banda
est restringido a un subred separada y es guardada en forma separada de los puertos de
mantenimiento.
>3 0btenga los arc!ivos de configuracin para los routers que conectan la base de datos con
las redes de los usuarios 2puertos tcp 4:74 y 4:7:3.
4!
?3 El trfico en esos puertos es o bloqueado o restringido a un destino autori"ado.6 2direccin
.p o direccin de fuentes3.
@3 El !ot s(ap routing protocol 2!srp3 est en uso y los routers redundantes estn disponibles
a los servidores de base de datos en caso de una falla de los equipos.6
4A3 En )F,PDet, versin 7, revise que el contenido del arc!ivo de nombres 2en 0racle
tnsnames.ora3 para confirmar que cada sistema listado es aut$ntico y autori"ado por el
servidor de bases de datos.
!(.7. Controe" +e De"arroo e Integri+a+
43 1segurar que los controles de desarrollo e integridad son efectivos para proteger la base
de datos contra cambios no intencionales !ec!os por usuarios y procesos.
73 0btenga los estndares y procedimientos de desarrollo utili"ados.
83 El cdigo y los procedimientos de prueba son usados para lograr que los programas de
acceso a la base de datos cumplan con la integridad de las transacciones en procesos que
actuali"an m*ltiples tablas.6
93 En 0racle examine el parmetro R0JM,0U.D- en el arc!ivo initK)ystemB.nstance
.'L.ora para asegurar que el sistema multiusuario protege la base de datos contra la
actuali"acin del mismo registro al mismo tiempo por parte de usuarios.
!/. CUESTIONARIO PARA LA EVALUACI<N DE CONTROL INTERNOB REDES @ PROCESOS
DISTRIBUIDOS
!/.1. A+-ini"tra$i*n +e a Re+
,as responsabilidades del administrador de la red incluyen aquellas actividades que garanticen la
identificacin y satisfaccin eficiente de los requerimientos de los usuarios, tales como+
43 &laneacin de la red
73 1dministracin de las configuraciones
83 1dministracin de los problemas
93 1dministracin de los cambios de la red
:3 1dministracin de la seguridad de la red
=3 )uministro del plan de contingencia de la red
>3 Eantenimiento de los acuerdos de servicios con los usuarios, los administradores de la red
y de aplicaciones
4(
?3 Eantenimiento de las estadsticas y control de uso de la red
@3 ,a administracin de proyectos y desarrollo del servicio de redes cuenta con+
!/.!. De&ini$i*n +e Objetivo" A Pro+,$to"
43 Establecimiento de Responsabilidades claras, nivel de la organi"acin e individual.
73 Establecimiento de &lanes de /rabajo con objetivos definidos y establecidos, incentivos de
costo, criterios de aceptacin, aprobaciones, acontecimientos importantes e itinerarios.
83 1plicacin de procesos de anlisis de controles.
93 onduccin de las actividades del proyecto.
:3 VRevisin y aprobacin de los cambios significativos en planes, costos o beneficios6.
=3 VEl proceso de aprobacin de proyectos cumplen con los requerimientos previos6
>3 V)e miden las prcticas que soportan la administracin del proyecto, de acuerdo con
indicadores visibles de riesgo, tales como tama;o, crticabilidad de la red o servicio
afectado6
?3 V)e cuenta con una metodologa de administracin de proyectos, para la reali"acin de
cambios significativos o adiciones a sistemas de telecomunicaciones existentes, en el que
se estable"can los criterios para distinguir dic!os cambios significativos de las
modificaciones rutinarias6
@3 V)e especifican los planes del proyecto, las responsabilidades para las pruebas, el
entrenamiento y la documentacin6
4A3 Vuando el servicio de telecomunicaciones forma parte de un proyecto de aplicaciones se
incorpora el control respectivo en la administracin de la aplicacin6
443 V)e establecen acuerdos escritos de servicio en los que se especifiquen tiempos de
respuesta y riesgos que afectan el servicio de las telecomunicaciones6
!/.(. Ca,"a" +e Rie"go
43 )eleccin de equipos costosos
73 )eleccin de equipos no compatibles con otros de la organi"acin
83 )eleccin de equipos obsoletos
93 )eleccin de equipos no acordes con los requerimientos de los procesos y exigencias de
los usuarios
:3 1usencia de controles de redes
1nlisis de controles de redes
4/
,os conceptos de anlisis de controles comprenden+
El anlisis oportuno de exposicin al riesgo
,os problemas que pueden !aber en el servicio de telecomunicaciones
1fectacin para la entidad
&robalidad de que ocurra
1nlisis de posibilidades de da;o del servicio y medidas de control recomendadas para
evitar y reducir el riesgo.
Revisin y anlisis de los puntos apropiados del proceso por parte de un grupo de
expertos.
&rocedimientos escritos de las responsabilidades sobre los puntos crticos acordados y
recomendaciones dadas
)e tiene el personal apropiado en el anlisis de controles con relacin a+
Isuarios de aplicaciones o informacin
Expertos t$cnicos
Expertos en controles
En los nuevos desarrollos yBo mantenimiento para mejoras mayores, se reali"a la
evaluacin de lo crtico y el riesgo general del servicio y las instalaciones, con el fin de
identificar la seguridad y control que se debe involucrar en el &royecto.
'esarrollo y Eantenimiento del )oft(are
)e encuentran definidas las &olticas y Dormas de desarrollo y mantenimieto del
soft(are en las redes6
=3 'eterminacin de E$todos, /$cnicas y !erramientas de desarrollo y mantenimiento
estndar apropiados para el ambiente de redes.
>3 1nlisis de requerimientos exigidos por la red para el soft(are.
?3 'efinicin de la responsabilidad por la calidad y oportunidad del desarrollo yBo
mantenimiento.
@3 )eguridad fsica
4A3 )e efectu previamente un anlisis de la ubicacin fsica de la red 21mbiente36
443 )e cuenta con el .nventario e identificacin de todos los componentes de la red6
473 'efinicin de necesidades de entrenamiento en medidas de seguridad
483 1nlisis de costoBbeneficio, medidas de seguridad fsica #s. p$rdidas probables por causas
del riesgo.
44
493 )e !a definido el plan de contingencias y medidas de seguridad para prevenir
contingenciasBdesastres.
4:3 ausas de Riesgo+
.nterferencia electromagn$tica
&olvo, calor, !umo, partculas en el aire y excesiva !umedad
.nundacin, incendio, terremotos y otros fenmenos
Robo de equipos
Robo de medios magn$ticos con datos
)abotaje
&$rdida de datos y soft(are
'a;o de los equipos
.nterrupcin del fluido el$ctrico
)eguridad ,gica
)e encuentran claramente definidos los derec!os de acceso a las
instalaciones de la red6
)e !an reali"ado anlisis de la ubicacin de los datos y soft(are en el
ambiente de la red6
)e cuenta con el .nventario e identificacin de todos los arc!ivos de
datosBsoft(are6
)e reali"a la identificacin y clasificacin por nivel de riesgo de las
aplicaciones y datos que se utili"an6
)e encuentran claramente definidas las responsabilidades parala
seguridad lgica6.
)e !an establecido necesidades de entrenamiento en las medidas de
seguridad6
)e reali"an anlisis de ostoBGeneficio, medidas de seguridad lgica #s
perdidas probables por causas de riesgo6
)e !an establecido medidas yBo controles de seguridad que cubran y prevengan
las causas de riesgo tales como+
Robo de datos sensibles6
1lteracin accidentalBmalintencinada de datos o programas6
ontaminacin por virus en etaciones de trabajo6
45
ontaminacin por virus de servidores6
)oft(are legal contaminado con virus6
)uplantacin de personal autori"ado con acceso a los datos yBo
programas6
opia ilegal de datos yBo programas6
.nfiltracin externa por medios de comunicacin6
Robo de secretos industriales o proyectos estrat$gicos6
Eultas o sanciones por uso inadecuado de datos y soft(are6
'ivulgacin inapropiada por empleados, proveedores, t$cnicos de
mantenimiento de datos y programas sensibles6
!/./. Contrata$i*n
43 'entro de los procedimientos de contratacin se !an definido paramentos para la
elaboracin de contratos relacionados con este tipo de servicios6
73 )e !an considerado los parmetros para la reali"acin de la+
Elaboracin de contratos de compra
Elaboracin de contratos de alquiler
Elaboracin de contratos de mantenimiento preventivo
Elaboracin de contratos de mantenimiento correctivo
Elaboracin de contratos de soporte y asesora
Elaboracin de contratos de respaldo
Elaboracin de contratos de custodia externa de
datosBsoft(areBsuministros etc.
1nlisis de los contratos de seguros
Efectos
Errores en la elaboracin de contratos
ontratacin de servicios externos innecesarios
Do contratacin de servicios externos necesarios
ubrimiento inadecuado de los contratos de seguros
)ubBsobrevaloracin de los seguros
46
!/.4. Controe" +e Mi$ro$o-#,ta+ore"
43 /iene la alta gerencia polticas por escrito relacionadas con la adquisicin de
Eicrocomputadores6
73 ,as polticas para adquisicin de Eicrocomputadores contienen consideraciones sobre+
,os equipos ms convenientes si el propsito es la utili"acin de modo
independiente6
,os equipos que se adapten mejor cuando es necesario el acceso a datos
en otras instalaciones de cmputo y las aprobaciones que se requieren
antes de que el acceso sea permitido6
El tipo de aplicaciones adecuadas para cada uno de los dos m$todos de
operar descritos anteriormente6
)e !an elaborado formas especiales y otra documentacin para facilitar la
requisicin y aprobacin de las adquisiciones de Eicrocomputadores6
,as requisiciones para la compra de equipos se soportan en anlisis costo<
beneficio6
83 )e !a reglamentado el uso de Eicrocomputadores en la entidad de tal manera que
contemple+
Responsabilidades por la seguridad de cada equipo instalado6
&rocedimientos estndar para el manejo y administracin de los equipos6
Responsabilidades sobre el uo de perif$ricos6
Eanejo de arc!ivos y programas residentes en el disco duro6
/iene la gerencia lineamientos relacionados con el desarrollo o adquisicin
del soft(are aplicativo de Eicrocomputadores6
Existe personal dedicado al desarrollo de soft(are aplicativo de
Eicrocomputadores yBo para evaluar el soft(are ofrecido por los
proveedores6
&articipa el usuario en la decisin de adquirir o desarrollar soft(are
aplicativo6
Existe documentacin de las aplicaciones adquiridas y desarrolladas para
Eicrocomputadores6
Ca sido la totalidad del soft(are adquirido legalmente6
Estn los programas de aplicacin protegidos contra copiado ilegal yBo
modificacin sin autori"acin previa del proveedor6
47
)i los Eicrocomputadores accesan datos de otras instalaciones o del
equipo central, existen controles que regulen la velocidad de transferencia,
de tal manera que no degraden la eficiencia de la red6
uando se utili"a el microcomputador como un terminal, existen
mecanismos para controlar la evasin de las claves de entrada al
computador central6
El personal que inicia las transacciones no tiene responsabilidad de
desarrollo de programas para los Eicrocomputadores6
,os totales y subtotales de control, la cuenta de documentos y otros
puntos de verificacin programados se !an incluido en las transacciones
que se introducen para procesamiento6
Existen procedimientos para la autori"acin de acceso de los
microcomputadres a otras instalaciones de cmputo o al equipo central6
Existen cdigos de identificacin o pass(ords para identificar a los
usuarios autori"ados para el manejo de los Eicrocomputadores6
)e !an instalados matrices o men*s para identificar niveles de acceso a
los diferentes usuarios de Eicrocomputadores6
93 )e !a reali"ado una evaluacin de los riesgos asociados a la utili"acin de los
Eicrocomputadores que incluya+

lasificacin de las aplicaciones por tipo 2contabilidad, anlisis,
procesamiento de palabras, automati"acin de oficinas, etc.3.
Eedicin de la sensibilidad yBo confidencialidad de los datos que maneja
cada aplicacin6
&ara las facilidades de control incluidas se efectu un estudio de costo<
beneficio6
Existen procedimientos para el respaldo de programas y arc!ivos6 )on
adecuados6
,as instalaciones de almacenamiento para el resguardo de programas y
arc!ivos de datos cumplen con las medidas mnimas de seguridad6
)on conscientes los diferentes usuarios de la necesidad de mantener bien
resguardados los diss%ettes con informacin crtica o confidencial cuando
se encuentren fuera del rea del microcomputador6
)e !a estudiado la posibilidad de exigir pass(ord para la entrada al
sistema operativo del microcomputador con el fin de evitar alteraciones o
p$rdida deliberada o accidental de arc!ivos residentes en el disco duro6
49
,os locales donde se ubican los Eicrocomputadores permanecen aislados
en recintos cerrados despu$s del !orario normal de trabajo6
:3 El microcomputador y todos sus perif$ricos poseen un n*mero *nico de identificacin para
prevenir robos, con el objeto de poder asignar la responsabilidad sobre su manejo a un
empleado de la organi"acin6
=3 )e lleva un reporte peridico sobre la calidad en el manejo de los Eicrocomputadores por
parte de los usuarios6
>3 )e lleva un registro sobre el tiempo de utili"acin de los Eicrocomputadores con el objeto
de reubicar los equipos subutili"ados6
?3 )e tiene una estadstica sobre el consumo de recursos por cada puesto de trabajo6
@3 )e reali"a mantenimiento preventivo y correctivo a los Eicrocomputadores6
4A3 Estn los Eicrocomputadores asegurados contra robo y contra p$rdida total o parcial de
datos crticos6
443 )e controla permanentemente el uso de Eicrocomputadores con el fin de evitar la
instalacin de programas no autori"ados que pueden infectar con virus a los equipos6
!4. MEMORANDO DE PLANEACI<N DE LOS SISTEMAS DE IN1ORMACI<N
omprende la definicin de los aspectos a cubrir en la fase de ejecucin de la 1uditora y la
disposicin en tiempo, modo y lugar de los recursos necesarios para llevarla a cabo y la carta de
gerencia que sobre los resultados de la evaluacin preliminar debe entregarse al sujeto de control.
&ara la preparacin del memorando deben seguirse los parmetros establecidos para tal fin en
esta gua.
!5. PADUETES DE AUDITOR)A
El propsito de estos paquetes es auxiliar en la consulta y los clculos bsicos sobre los arc!ivos
magn$ticos que anteriormente se reali"aban con registros en forma manual. omo ejemplo se
tiene el paquete .'E1 2.nteractive 'ata Extraction 1nalysis3. ,as principales funciones que ejecuta
un paquete de esta clase son+
43 ,ectura de arc!ivos.
73 #alidacin de campos.
83 &ruebas parciales.
93 ,ectura salteada de los registros.
:3 .dentificacin de registros duplicados.
=3 !equeo de ausencia de registros en una secuencia.
5:
>3 0rdenamiento de intercalacin de los datos.
?3 0btencin de totales y sub<totales.
@3 Ejecucin de clculos.
4A3 G*squeda de tablas.
443 lasificacin por perodos de vencimiento.
473 )eleccin de registros.
483 -eneracin de arc!ivos de salida.
493 omparacin de arc!ivos.
!6. REALI;ACI<N DE PRUEBAS DE AUDITOR)A
Es la etapa de la 1uditora en que con base en los resultados de la Evaluacin del ontrol .nterno
de )istemas, el auditor define, prepara y efect*a las &ruebas de 1uditora que en sntesis
corresponden a la seleccin de las t$cnicas ms adecuadas, con el fin de determinar la
consistencia lgica de los programas; la exactitud, confiabilidad, integridad, oportunidad y
seguridad de los controles en el tratamiento de la informacin y la optimi"acin en el uso de los
recursos informticos.
,as &ruebas de 1uditora se constituyen en las !erramientas del auditor para obtener las
evidencias adecuadas que fundamentan las conclusiones de auditora. Cay que tener en cuenta,
sin embargo, que los resultados de las pruebas pueden mostrar la existencia de fallas en el
sistema pero nunca pueden probar su total perfeccin.
,as pruebas de auditora son de dos tipos+
&ruebas de umplimiento
&ruebas )ustantivas
on respecto al )istema de ontrol .nterno operante y los tipos de pruebas vistos, se pueden tener
las siguientes situaciones, las cuales el auditor debe tener en cuenta durante la ejecucin de su
trabajo+
uando el auditor decide confiar en los controles que la administracin !a dise;ado, debe evaluar
que estos controles operen efectivamente a trav$s de las &ruebas de umplimiento. )i estas
pruebas proporcionan al auditor un alto grado de confian"a, las &ruebas )ustantivas pueden ser
reducidas.
)i las &ruebas de umplimiento no proporcionan un buen grado de confian"a, o si el auditor
decidi no confiar en el ontrol .nterno, se deben ampliar las &ruebas )ustantivas.
51
'e todas maneras, posterior a la reali"acin de &ruebas de umplimiento siempre existir la
posibilidad de ocurrencia de errores y su no deteccin. on la aplicacin de &ruebas )ustantivas
es posible obtener evidencia sobre la presencia o ausencia de errores monetarios.
!6.1. Pr,eba" +e C,-#i-iento
,as pruebas de cumplimiento se usan para determinar si un procedimiento de control prescrito est
funcionando efectivamente y consisten en verificar+
,a aplicacin de leyes o reglamentos, procedimientos establecidos en los manuales y que
$stos se encuentren actuali"ados.
El conocimiento por parte del personal de los manuales y polticas del ambiente
informtico.
,a existencia de informes o memorados preparados por el 'epartamento de .nformtica.
)i !an sido implantadas las recomendaciones emitidas por auditoras anteriores.
!6.!. Pr,eba" S,"tantiva"
,as pruebas sustantivas se dise;an para proveer una seguridad ra"onable sobre la valide" de la
informacin producida.
El desarrollo de las pruebas es logrado mediante la aplicacin de una o varias t$cnicas de
auditora, ya sea simultnea o secuencialmente, tales como+
1nlisis de registros.
Elaboracin de operaciones.
omparacin de arc!ivos.
Estratificacin de arc!ivos.
)eleccin de la muestra aleatoria.
Resumen de informacin.
-eneracin de reportes.
onstruccin de arc!ivos de prueba.
Extraer informacin de un arc!ivo.
Reali"ar anlisis estadsticos.
)imular parte del sistema o el sistema completo.
5!
!7. PROCEDIMIENTOS @ T'CNICAS DE AUDITOR)A
,os procedimientos de auditora requieren de t$cnicas que ayuden a establecer la eficiencia en la
utili"acin de recursos informticos; la consistencia, integridad y oportunidad de la informacin y la
efectividad de los controles.
1*n cuando los objetivos de auditora no se modifican con relacin a la manera como se procesan
los datos, el uso del computador si afecta los procedimientos para el logro de estos objetivos, es
decir, las variaciones en los procedimientos son resultado de las modificaciones al sistema de
control interno en el medio informtico.
El auditor debe identificar, verificar y evaluar los m$todos de control en el proceso de obtencin de
la evidencia adecuada para fundamentar las conclusiones de auditora a trav$s de pruebas de
cumplimiento yBo sustantivas.
!7.1. TE$ni$a" +e A,+itor%a A"i"ti+a" #or Co-#,ta+or TAACF"
Ina de las !erramientas ms *tiles para adelantar tanto pruebas de cumplimiento como pruebas
sustantivas son las que se conocen como /$cnicas de 1uditora 1sistidas por omputador 2
/11Ts3, las cuales se orientan !acia los datos, las aplicaciones, los equipos y programas y
permiten seleccionar y procesar la informacin necesaria para fines especficos de la auditora,
facilitando la aplicacin de m$todos de muestreo estadstico, aumentar el alcance de las pruebas y
verificar la integridad de los datos en la poblacin auditada.
!7.!. Lote" +e Dato" +e Pr,eba
Eediante esta prueba se genera un conjunto de datos con los errores ms frecuentes tales como+
valores muy grandes o muy peque;os, cdigos inexistentes, caracteres en lugar de n*meros,
fec!as imposibles, datos mayores al tama;o de los campos, etc., con el objeto de verificar si la
aplicacin valida la informacin de entrada, detecta los errores y c!equea rutinas de inter$s tales
como clculos de pagos, descuentos, etc.
!7.(. 1a$ii+a+ +e Pr,eba Integra+a
Eval*a el sistema de controles del procesamiento basado en permitir la introduccin de
transacciones al sistema para probar todas las reglas de la aplicacin, adems trabaja en conjunto
con el procesamiento principal de la aplicacin, por lo tanto puede reali"arse dentro de un
procesamiento normal.
!7./. Regi"tro EGten+i+o
onsiste en adicionar a los registros normales de la aplicacin, datos que son importantes para el
1uditor 2pistas de auditora3. Eediante este m$todo se recopilan datos significativos que !an
afectado el procesamiento.
5(
!7.4. Ra"treo
on esta prueba se busca verificar si un grupo de instrucciones de un programa !a sido
efectivamente ejecutado durante el procesamiento
!7.5. Re$o#ia$i*n A Co-#ara$i*n +e Progra-a" 1,ente"
&ermite verificar los cambios efectuados a los programas y que los procedimientos de
mantenimiento sean los correctos mediante la comparacin del programa que est en produccin
con el programa fuente.
Eediante el anlisis de las diferencias obtenidas pueden detectarse casos de fraudes,
modificaciones o alteraciones no autori"adas o si lo fueron, no se encuentran documentadas.
!7.6. R,tina" 1ija" +e A,+itor%a
onsisten en la adicin de rutinas preparadas por el auditor e incorporadas en el programa, con el
fin de verificar condiciones de excepcin.
!7.7. Si-,a$i*n Paraea
onsiste en preparar una aplicacin computacional por separado que efect*e las mismas
funciones que los programas de aplicacin reales deben leer los mismos datos de entrada
utili"ando los mismos arc!ivos y tratando de producir los mismos resultados.
!7.9. Pro$e"o" +e Dato"
)e utili"an los mismos programas existentes en el sistema que permiten comprobar los controles
definidos previamente con los realmente programados.
!9. EL IN1ORME DE AUDITOR)A
El producto final de la labor de 1uditora es el .nforme 5inal; con este .nforme se busca dar a
conocer a la entidad auditada la realidad con respecto al rea examinada, dando una opinin
5/
constructiva en forma clara y concisa, evitando detalles excesivos, los que pueden ser incluidos en
anexos.
1s mismo, se deben presentar conclusiones del trabajo efectuado, de acuerdo con los
antecedentes contenidos en las diferentes fases y en concordancia con los objetivos tra"ados,
!ec!os que deben estar debidamente sustentados en los papeles de trabajo que se dejarn en
legajos independientes y se referenciados de acuerdo a la odificacin asignada para esta rea.
El contenido del informe debe proporcionar elementos de juicio concernientes al resultado de la
evaluacin de los controles anali"ados en cuanto a su efectivo funcionamiento y a la medicin de
los efectos de cada deficiencia en particular y su presentacin debe reali"arse en el orden en que
se clasificaron los tipos de control.
(:. SE.UIMIENTO
Esta fase cierra el ciclo del proceso de auditora en la que se efectuar el anlisis y evaluacin del
acatamiento de las entidades del Estado a las recomendaciones formuladas por la ontralora de
Gogot '... abe anotar que para su ejecucin se debe cumplir todo el ciclo de auditora.
(1. PRO.RAMAS DE AUDITOR)A DE SISTEMAS
&rograma para Evaluacin de 0rgani"acin en el Wrea de )istemas
&rograma para Evaluacin de la )eguridad 5sica y &lanes de ontingencia de la 0ficina
de )istemas
&rograma para Evaluacin de Gases de 'atos, 1rc!ivos y 'atos
&rograma para Evaluacin de 0peraciones en el entro de &rocesamiento y Wrea de
atencin a usuarios
&rograma para Evaluacin de 'esarrollo y Eantenimiento de )istemas
&rograma para Evaluacin de Redes de omunicaciones
(1.1. Progra-a #ara Eva,a$i*n +e Organi=a$i*n en e Area +e Si"te-a"
Objetivo"
#erificar que la estructura de organi"acin considere la separacin de funciones entre el personal
del rea de informtica y el de las reas usuarias en lo que respecta a+
Responsabilidad por la generacin de las transacciones enviadas a proceso.
Eantenimiento de los registros contables, manuales y custodia de bienes.
54
ontroles sobre la exactitud los datos de entrada y salida.
Responsabilidad de definir y aprobar especificaciones tanto para el desarrollo de sistemas
nuevos como para las modificaciones de sistemas en explotacin.
omprobar la eficiencia del rea de informtica y que sus recursos sean tambi$n
administrados apropiadamente.
onfirmar la existencia de una buena planificacin, organi"acin, control, estandari"acin,
etc. dentro del rea; que todos los proyectos sean abordados por medio de un estudio de
factibilidad previo y que no se decidan por la E0'1 que impera en el mercado que traten
de imponer proveedores de equipos.
#erificar que la eficiencia siempre se tiene en cuenta dentro del rea de informtica, ya que se trata
de un rea costosa, debido a factores tales como+
/ecnologa costosa
Especialistas escasos y de altas remuneraciones.
ambios tecnolgicos y rpidos.
0bsolescencia de los sistemas en corto pla"o 28 a;os mx.3
.nsumos de alto costo.
'esarrollo lento de sistemas de informacin.
#erificar la segregacin adecuada de funciones dentro del rea de .nformtica, de tal
manera que se garantice la compatibilidad en la ejecucin de las mismas.
onfirmar que existe un omit$ 'irectivo y un omit$ de Isuarios de )istemas de
.nformacin integrado por representantes de las diferentes reas. Estos comit$s tendrn
como funcin elaborar y controlar el &lan Estrat$gico de )istemas.
omprobar que la 0ficina de .nformtica considera los siguientes elementos de
planificacin que contribuyan a mejorar el control+
ronogramas de actividades.
.nformacin individual de las actividades.
Racionali"acin en el uso de los recursos y sucesos operacionales.
.nforme mensual sobre el cumplimiento y estado de los proyectos.
#erificar la existencia de una planificacin y de una metodologa de 'esarrollo y Eantenimiento del
control, con el fin de evitar las siguientes fallas+
'ificultades en el desarrollo y mantenimiento de sistemas.
.ncentivo para el surgimiento de personas SimprescindiblesS dentro de la organi"acin.
Exceso de tiempo o injustificacin de atrasos en el desarrollo de sistemas.
55
&roblemas en el cumplimiento de la entrega de resultados a las reas usuarias.
-aranti"ar que est$n descritos los procedimientos de planificacin, desarrollo,
mantenimiento y operacin de sistemas que est$n controlados con m$todos simples y
funcionales.
Eva,a$i*n +e Contro Interno
DETALLE SI NO
CALIFICACIO
N
OBSERVACIONES
1 ! ( / 4
,a organi"acin !a planificado eficientemente el uso de recursos de sistemas.
Estable"ca si la 0ficina de )istemas tiene documentados los objetivos y estrategias
corporativas a corto y mediano pla"o.

'etermine si la 0ficina de )istemas tiene la descripcin de las necesidades presentes
y futuras de la ontralora 'istrital

#erifique si la Eisin definida para la 0ficina de )istemas y cada uno de los -rupos se
cumple satisfactoriamente y contin*a vigente.

'etermine si la 0ficina !a consultado a las otras reas acerca de sus necesidades en
materia de informacin y se tiene la descripcin sobre las reas que representan
problemas.

Estable"ca si se !a constituido un grupo interno en la 0ficina de )istemas para
supervisar el funcionamiento de los aplicativos en produccin.

,a oficina de sistemas esta preparada para cubrir las necesidades futuras tecnolgicas
y de automati"acin en forma ordenada y controlada sin inconvenientes en su
funcionamiento.

Existe un &lan Estrat$gico de sistemas y determine si contempla planes de accin
especficos a corto pla"o para ser implementados dentro de los prximos doce meses.

)e establecen prioridades para la asignacin de los recursos computacionales.
,a alta direccin conoce y apoya el plan y se actuali"a peridicamente.
)e !an establecido prioridades para la ejecucin del &lan Estrat$gico.
)e !a definido un calendario para poner en accin los proyectos especficos del &lan
Estrat$gico y asignar recursos necesarios.

El !ard(are actual o futuro definido, es suficiente para apoyar el &lan Estrat$gico a
corto y mediano pla"o.

)e utili"a un sistema de monitoreo para asegurar que las actividades de la 0ficina de
)istemas se estn desarrollando de acuerdo con lo previsto en el plan.

,a oficina cuenta con los sistemas y recursos suficientes que contribuyan en forma
mas efectiva al cumplimiento de las metas y objetivos de la entidad

'etermine si estn descritos y se !an entregado los objetivos para cada rea funcional
de la 0ficina de )istemas.


1 trav$s de una encuesta determine si+
Estn identificadas y documentadas las necesidades, manuales yBo automati"adas para
cada rea funcional.
56
Estn clasificados los sistemas en adecuados, por mejorar, por ajustar yBo por implantar,
acorde con las necesidades.
,a adquisicin de los recursos informticos es adecuada para cubrir las necesidades de la
organi"acin .
El !ard(are y soft(are adquirido es adecuado para satisfacer las necesidades de
informacin.
Es adecuada la tecnologa de informacin para los usuarios.
Fue concepto tienen los usuarios internos de la funcin de la tecnologa de informacin
(1.!. Progra-a #ara Eva,a$i*n +e a Seg,ri+a+ 1%"i$a A Pane" +e Contingen$ia +e a
O&i$ina +e Si"te-a"
Objetivo"
Establecer la continuidad de operaciones de negocio que se apoyan en la oficina de
sistemas mediante la verificacin de los planes para la S&revencin y Recuperacin de
'esastresS, as como la seguridad fsica de las instalaciones, equipos, programas y medios
de almacenamiento del rea de informtica.
omprobar el dise;o y la implantacin de un plan de contingencia para garanti"ar a los
usuarios la continua prestacin del servicio, a*n en circunstancias de emergencia en las
que por problemas t$cnicos no se pueda prestar el servicio con la misma eficiencia que en
circunstancias normales.
#erificar la existencia de controles sobre el acceso fsico y de procedimientos de respaldo
que permiten minimi"ar los riesgos derivados de+
Itili"acin no autori"ada de los elementos computacionales.
#erificar si !ay robo de informacin, programas, equipos arc!ivos de la entidad
'eterminar la existencia de modificacin revelacin premeditada accidental de
informacin, programas equipos.
#erificar la existencia de la p$rdida de grandes cantidades de informacin !istrica del
perodo corriente de difcil recuperacin elevado costo.

Pro$e+i-iento"
No. Detae
1e$Ha +e
Ini$ia$i*n
1e$Ha +e
Ter-ina$i*n
RE1.
P3T
Re"#on"abe Ob"erva$ione"
1 #erifique los planes para la prevencin y recuperacin de
desastres as como la seguridad fsica de las instalaciones,
equipos, programas y medios de almacenamiento del rea
informtica para establecer si la continuidad de las

57
aprobaciones del negocio se apoyan en la oficina de sistemas
!
ompruebe el dise;o e implantacin de un plan de
contingencia para garanti"ar a los usuarios la continua
prestacin del servicio, a*n en situaciones de emergencia

Eva,a$i*n +e Contro Interno
Detae SI NO
CALI1ICACION
OBSERVACIONES
1 ! ( / 4
,os recursos materiales estn protegidos en forma ra"onable contra p$rdidas a trav$s de
medidas preventivas apropiadas.
)e !a instalado un sistema para detectar fuego y !umo.
)e !an instalado sistemas de extincin automticos de 1gua, Calgeno, dixido de carbono.
El personal conoce las precauciones a tomar en caso de siniestro.
)e !an ubicado estrat$gicamente extintores de fuego porttiles con marcaciones de ubicacin
bien se;ali"adas.
,os controles de emergencia para desconectar la energa el$ctrica estn fcilmente accesibles
a las salidas.
,os controles de energa el$ctrica desconectan la calefaccin, ventilacin y el aire
acondicionado.
)e !acen pruebas regulares del funcionamiento de los detectores.
)e !acen con regularidad ejercicios de simulacin de incendios.
,as cuadrillas de emergencia pueden acceder a las distintas instalaciones sin demora.
,as instalaciones estn ubicadas lejos de sitios de almacenamiento de materiales inflamables
o de explosivos.
El almacenamiento de desperdicios y materiales inflamables dentro de las instalaciones est
organi"ado para minimi"ar la posibilidad de generar incendios.
,as instalaciones de la oficina de sistemas est libre de peligro de inundaciones.
Existen sistemas y mecanismos para llamar a los bomberos a la polica en caso de que se
presenten problemas.
,as locali"aciones fsicas y los recursos de cmputo de la oficina de sistemas estn protegidos
contra actos vandlicos y terroristas.
,as reas de atencin al p*blico estn ubicadas en lugares que otorgan seguridad a los
usuarios de la oficina de sistemas.
59
Detae SI NO
CALI1ICACION
OBSERVACIONES
1 ! ( / 4
,as reas donde se guarda el material de respaldo ya sea en el mismo edificio en otro lugar
estn debidamente protegidas contra incendio y otras catstrofes materiales.
En caso de sufrir los efectos de una catstrofe mayor como por ejemplo, la destruccin total de
equipos y de los sistemas de informacin, la oficina de sistemas est preparada para seguir
funcionando.
Existe un &lan de ontingencias para casos de catstrofe.
)e documenta y actuali"a peridicamente el plan.
Este plan se distribuye a todos las reas de la oficina de sistemas y a los usuarios externos
que de una manera u otra estn involucrados.
Existen procedimientos manuales que podran usarse en caso de urgencia para atender las
necesidades prioritarias.
Estn clasificadas las prioridades de los servicios que proporciona la oficina de sistemas.
)e !a probado si el plan de contingencias de la oficina de sistemas; es lo suficientemente
slido y funcional.
Est dispuesto todo lo necesario para asegurarse que los procesos vitales puedan seguir
funcionando durante periodos de emergencia causados por desperfectos en los equipos,
perdida com*n de datos, errores de programacin y otras situaciones parecidas.
Existen respaldos de los arc!ivos principales 2vitales3 en sitios de almacenamiento externos,
remotos y seguros.
Existen respaldos para los datos de transacciones input residente en el sistema.
Existen respaldos de las versiones actuali"adas de los sistemas operacionales.
Estn respaldados los sistemas de soft(are de comunicacin de datos, teleproceso y otros
paquetes de soft(are en sus *ltimas versiones.
Existe un catlogo actuali"ado de todos los arc!ivos de datos y de programas que se guardan
fuera de la oficina de sistemas.
Cay procedimientos y controles formales para lo que se almacena fuera de la oficina de
sistemas.
Estn debidamente asegurados contra posibles p$rdidas por catstrofes naturales o fallas
!umanas.
Cay pli"as de seguros contratadas para todo el equipo e instalaciones materiales.
6:
Detae SI NO
CALI1ICACION
OBSERVACIONES
1 ! ( / 4
,a compa;a tiene contratados seguros para cubrir p$rdidas por errores en el rea informtica
que puedan causar interrupciones en el negocio.
El soft(are est asegurado por su costo de perfeccionamiento valor del paquete de
reposicin, incluyendo las modificaciones necesarias.
,a pli"a de seguros cubre costos de viaje, reposicin de discos, cintas y otros materiales, as
como costos de !oras de trabajo extras 2sobre tiempo3.
El manejo de soft(are debe estar vigilado para no incurrir en faltas que produ"can problemas
legales o la p$rdida de datos de la tecnologa de sistemas de informacin.
Existe una reglamentacin para la utili"acin del soft(are.
,os funcionarios de la Entidad tienen claro el uso de soft(are con licencia y sin ella.
El uso de soft(are sin licencias est penali"ado por la ley6 ,os empleados tienen
conocimiento de ello.
)e !an fijado polticas de responsabilidad a los funcionarios en caso de utili"acin de soft(are
ilegtimo.
)e !a prevenido a los usuarios de los equipos de cmputo del peligro de los virus.
)e !a adquirido el soft(are anti<virus.
)e tiene instalado.
)e tiene contrato de actuali"acin de versiones.
)e !a pro!ibido traer o llevar disquetes o soft(are para lugares diferentes a los sitios de
trabajo de los funcionarios.
,os disquetes son probados por un soft(are anti<virus antes de ser utili"ados.
)e tienen polticas definidas en caso de detectarse un equipo un disquete con virus.
(1.(. Progra-a #ara Eva,a$i*n +e Ba"e" +e Dato"B Ar$Hivo" A Dato"
Objetivo"
#erificar que la informacin almacenada en las bases de datos y que es de gran valor para
la entidad, est$ protegida contra su p$rdida o robo.
61
omprobar la seguridad para la proteccin de los datos contra el acceso accidental o
intencional por parte de individuos no autori"ados y contra su indebida destruccin o
alteracin.
.dentificar las medidas de seguridad empleadas para conservar correctos los datos en la
base de datos, con el fin de mantener su integridad.
onfirmar las medidas implementadas para conservar ms de una copia de seguridad de
cada arc!ivo en prevencin de posibles fallos.
Examinar los procedimientos con los que cuenta el sistema de base de datos para evitar la
inconsistencia de los datos, reduciendo al mnimo la redundancia y preservando en todo
momento la integridad de los datos.

Pro$e+i-iento"
No. Detae
1e$Ha +e
Ini$ia$i*n
1e$Ha +e
Ter-ina$i*n
RE1.
P3T
Re"#on"abe Ob"erva$ione"
1
#erifique la proteccin contra p$rdida o robo de la base de
datos de la entidad

!
ompruebe la seguridad para la proteccin de los datoscontra
el acceso accidental o intencional por parte de personas no
autori"adas y contra los peligros de destruccin o alteracin

3
onfirme si se !an implementado medidas para la
conservacin de copias de seguridad de los arc!ivos

Eva,a$i*n +e Contro Interno
ACTIVIDADES SI NO
CALI1ICACION
OBSERVACIONES
1 ! ( / 4
Estn debidamente controlados los arc!ivos y
los datos6

)e !a creado la funcin de biblioteca de medios
magn$ticos6

Estn documentados las prcticas y
procedimientos relativos a la biblioteca de
medios magn$ticos6

,a lista de los arc!ivos incluye suficiente
informacin sobre los datos contenidos6

El acceso a los arc!ivos y a la informacin est
restringido slo al personal autori"ado6

,os datos originales de entrada se copian para
fines de respaldo6

)e controla y protege en forma regular la
integridad y consistencia de los datos6

)e obtienen copias de las bases de datos
peridicamente6

6!
ACTIVIDADES SI NO
CALI1ICACION
OBSERVACIONES
1 ! ( / 4
)e comprueban regularmente los datos
duplicados 2bac%up3 para verificar su
consistencia6

)e prueban peridicamente las relaciones de
los datos6

Existen controles para verificar que se usan las
versiones correctas de los arc!ivos en el
procesamiento6

,os datos que se usan corrientemente son
administrados *nicamente por los usuarios
propietarios6

,os arc!ivos y datos estn protegidos en forma
ra"onable contra accesos no autori"ados6

,os arc!ivos y datos se clasifican con fines de
seguridad6

)e cambian las claves de acceso
peridicamente6

,os arc!ivos de claves de acceso son
fcilmente accesibles legibles6

)e !an tomado medidas para que los
operadores no puedan obtener las claves de
acceso del usuario6

&ueden tener acceso a los arc!ivos personas
no autori"adas6

Existe una bitcora registro de las personas
que tienen acceso a los arc!ivos y datos6

Estn protegidos contra robo o uso no
autori"ado los arc!ivos que contiene los
programas de la compa;a6

)e registran de alguna manera u otra todos los
cambios introducidos en los programas6

El usuario aprueba estos cambios6
)e elabora documentacin a los cambios
reali"ados6

)e ejecutan las pruebas de los programas una
ve" modificados y antes de ser colocados en
produccin6

,as copias de respaldo de los programas se
corren peridicamente para verificar que
funcionen en forma correcta6

El acceso a la documentacin del programa
est limitado a las personas que lo necesitan
para llevar a cabo sus tareas6

Existe un catlogo de todos los programas
fuente6

,os programas que estn en etapa de

6(
ACTIVIDADES SI NO
CALI1ICACION
OBSERVACIONES
1 ! ( / 4
desarrollo se mantienen separados de los que
estn usando para produccin6
,os arc!ivos se manejan de manera que la
informacin que contienen est$ protegida y slo
a disposicin de las personas autori"adas6

)e !a creado la funcin de 1dministracin de
'atos 2'13 de 1dministrador de Gases de
'atos 2'G136

Esta funcin contempla el uso de un diccionario
de datos y convenciones para asignar nombres
a los elementos de datos, programas y otros6

)e necesita autori"acin para crear arc!ivos de
datos6

)e destruyen los arc!ivos temporales despu$s
que !an sido usados6

,a funcin de 1dministrador de 'atos
1dministrador de Gase de 'atos considera la
revisin peridica de los datos que contienen
los arc!ivos6

Entre las funciones del 'G1 se considera el
dise;o de la estructura lgica y de la base de
datos y decisin en la estrategia de
almacenamiento fsico6

El 'G1 tiene organi"ados la seguridad y
controles de privacidad e integridad6

El personal dentro de la funcin del 'G1 tiene
las !abilidades necesarias y conocimientos de
las agencias y usuarios para la adecuada
implementacin de la G.'6

Est previsto dentro del desarrollo de nuevos
sistemas la participacin oportuna del 'G1 para
proveer los requerimientos antes de iniciar los
proyectos6

El 'G1 se asegura y prueba todo cambio que
afecte el 'GE) antes de su implementacin6

,os usuarios son entrenados en los
procedimientos de control, antes de la
implementacin de una aplicacin6

)e !an establecido controles para determinar
cundo es necesario reorgani"ar fsica y
lgicamente la G.'. o para mantener un nivel
adecuado en el desempe;o6

'espu$s de cada reorgani"acin del 'G1, se
asegura que los totales de control, previos a
$sta, sean iguales a los obtenidos despu$s de
su reali"acin6

)e asegura el 'G1 de manera que
t$cnicamente sea imposible el acceso a la G.'.
por otro medio diferente al 'GE)6

6/
ACTIVIDADES SI NO
CALI1ICACION
OBSERVACIONES
1 ! ( / 4
Estn claramente definidas las
responsabilidades entre el 'G1 y el analista de
sistemas6

)e asegura el 'G1 de forma que los usuarios
sean conscientes de sus responsabilidades en
la calidad e integridad de los datos6

)e asegura el 'G1 para que exista adecuada
coordinacin y comunicacin entre los usuarios
comunes de la G.'6

El 'G1 coordina el desarrollo y afinamiento de
la G.'. con la funcin de programacin del
sistema6

Can tenido los usuarios entrenamiento
adecuado para el uso de la base de datos6

,os procedimientos de bac%up y recuperacin
!an sido probados y !an demostrado ser
efectivos dentro de los lmites del tiempo
previsto6

Existe un grupo independiente tal como una
auditora interna que verifique peridicamente
la sujecin del 'G1 a los estndares de trabajo
y calidad del rea de procesamiento6

Existe adecuada documentacin de la funcin
del 'G16

El 'G1 prepara reportes peridicos de control
para revisin6

)on consolidados y anali"ados los logs de
errores, fallas y otros problemas y reportados a
la Hefatura6

Es revisada y probada regularmente la
seguridad de la G.'6

Existe 'ocumentacin que describa el
procedimiento para actuali"ar, mantener y
monitorear la integridad del diccionario de
datos6

Est cada uno de los datos codificados para
indicar qu$ usuarios yBo transacciones pueden
crear, modificar, borrar, actuali"ar, leer o no
tener acceso a ellos6

Existe facilidad para documentar los atributos
de cada dato en el '.'6

Existe documentacin adecuada de la funcin
de la base de datos6

Existe el soft(are necesario para la
recuperacin de informacin y reportes de la
G.'6

,a G.'. provee un nivel adecuado de seguridad
y control acorde con el tipo de informacin que
maneja6

64
ACTIVIDADES SI NO
CALI1ICACION
OBSERVACIONES
1 ! ( / 4
El 'GE) tiene adecuados controles sobre
borrado de datos6

)on registrados y revisados los comandos de
privilegio restringido cuando son utili"ados6

Estn los comandos de privilegio dentro del
'GE) restringidos a los funcionarios
autori"ados6

El 'GE) registra los programas que !an tenido
acceso a cada dato y cundo !an sido ledos,
actuali"ados yBo creados nuevos campos o
borrados6

)e registran los intentos infructuosos la G.'6
Estn todos los cambios al 'GE)
documentados, indicando qui$n, por qu$ y
cundo se efectu el cambio6

Estn documentadas las fallas del 'GE) para
ser reportadas y estudiadas por la Hefatura6

Existe un adecuado rastro de auditora dentro
de la G.'. para reconstruir cualquier
transaccin o evento durante un tiempo
ra"onable6

(1./. Progra-a #ara Eva,a$i*n +e O#era$ione" en e Centro +e Pro$e"a-iento A Area +e
Aten$i*n a U",ario"
Objetivo"
#erificar el control del rea de operaciones de los centros de procesamiento de datos y las
reas de atencin a usuarios, puesto que son puntos claves que se deben tener presentes
en la oficina de sistemas.
ontrolar que estas reas sean eficientes y eficaces, es fundamental, ya que tiene
consecuencias inmediatas en el mantenimiento de la continuidad de las operaciones de la
oficina de sistemas.

Pro$e+i-iento"
No. Detae
1e$Ha +e
Ini$ia$i*n
1e$Ha +e
Ter-ina$i*n
RE1.
P3T
Re"#on"abe Ob"erva$ione"
1
#erifique los controles implantados en el rea de operaciones
de los centros de procesamientos de datos y las reas de
atencin a los usuarios.

!
Estable"ca la eficiencia y eficacia de las operaciones que
garanti"en la ra"on de ser de la oficina de sistemas.

3
Estable"ca la eficiencia y eficacia de las operaciones, puesto
que de ello depende la continuidad de las actividades de la

65
oficina de sistemas.
Eva,a$i*n +e Contro Interno
OBSERVACIONES SI NO N3A
,as especificaciones iniciales del sistema operacional estn documentadas formalmente6
)on apropiados los valores de los 5ilesystems6
Existen disquetes de arranque para reiniciali"ar el sistema por fallas de arranque6
)e !ace mantenimiento al sistema para evitar su degradacin6
,a seguridad de acceso a la informacin a trav$s del sistema est definida en forma
ra"onable contra accesos no autori"ados6
El uso de clave de acceso es obligatorio6
,as claves de acceso son definidas por+
El Isuario.
El 1dministrador del )istema.
El oordinador de -rupo.
El sistema permite ingresar claves utili"adas anteriormente6
El usuario puede cambiar su clave en el momento que $l lo necesite, por medida de
seguridad6
El uso de claves de ingreso es personali"ado6
/odos los derec!os estn vinculados a una clave de acceso6
Existen usuarios con varias claves de ingresos al sistema6
)e cambian las claves de acceso peridicamente6
)e restringe el acceso a un usuario que no cambie peridicamente su clave de acceso6
)e bloquea el acceso a un usuario que no utilice su clave en un perodo determinado6
)e usa el bloqueo de terminales ante intentos infructuosos6
Estn encriptados los arc!ivos de claves de acceso6
)e !an tomado medidas para que los operadores B administradores no puedan obtener
las claves de acceso del usuario6
Est restringido el acceso a los arc!ivos a personas no autori"adas6
66
OBSERVACIONES SI NO N3A
Existe un registro de las personas que tienen acceso a los arc!ivos y datos6
)e examinan las bitcoras del sistema6
)e toman medidas en caso de existir situaciones anmalas en los logs del sistema6
Existe un registro de las personas que tienen acceso a los arc!ivos, datos, terminales6
Existe un monitoreo permanente a las terminales en funcionamiento6
Existe una reglamentacin formal para el administrador del sistema6
El ingreso a la 1dministracin del sistema es restringido6
Es obligatorio el cambio peridico de claves para el administrador6
El 1dministrador del sistema lleva un registro de las actividades diarias que reali"a en el
sistema6
El 1dministrador es supervisado regularmente por un funcionario de mayor jerarqua6
En caso de ausencia del administrador, existe otro funcionario capacitado para asumir
sus funciones6
)e !an considerado medidas de control adecuadas para tener la seguridad de que los
usuarios reciben la informacin correcta y oportunamente6
)e usan procedimientos de control de entrada B salida de informacin en el rea de
operaciones del sistema6
Existen procedimientos relacionados con la preparacin de datos y comunicaciones6
)e !a preparado un !orario para atender consultas6
Estn conscientes los usuarios de los pla"os para !acer ingresos de transacciones y los
pla"os de entrega de los informes6
Existe un inventario de todos los informes emitidos6
Existe un procedimiento para asegurar que la emisin de todos los informes programados
y su entrega correcta6
El usuario oportunamente verifica los informes de saldos e informa de las incorrecciones
detectadas6
,os controles aseguran que los ciclos de procesamiento se ejecuten correctamente6
,as funciones no cotidianas son siempre ejecutadas cundo corresponde6
,as fallas en los programas impiden la ejecucin de los procesos posteriores6
Existe un manual de operaciones donde se detalle, la secuencia de la ejecucin de los
programasT
)e usan procedimientos catalogados para ejecutar trabajos6
67
OBSERVACIONES SI NO N3A
El manual de los operadores incluye procedimientos para retroceder y comen"ar6
)e compara la lista de procesos con el programa de trabajo, para tener seguridad de que
todos los trabajos !an sido procesados y en la secuencia correspondiente6
)e !an considerado suficientes medidas durante el procesamiento para que se puedan
detectar y resolver errores6
)e comparan los totales de control obtenidos durante el procesamiento con los totales de
los controles de entrada6
)e comparan los totales de salida con los totales de entrada y proceso6
)e notifica al grupo de control de entrada B salida acerca de las discrepancias existentes6
,os supervisores revisan los logs de operacin, para verificar si los operadores estn
respondiendo adecuadamente a los mensajes de operacin6
,os procedimientos consideran la posibilidad de ubicar personal de programacin, en
caso de que falle el sistema durante las !oras fuera de turno6
,os operadores tienen instrucciones de guardar informacin que pueda servir para
solucionar problemas6
)e contabili"an en debida forma los items rec!a"ados, para asegurar que sean
procesados ms adelante6
,os procedimientos relacionados con el mantenimiento de los equipos de computo
aseguran la posibilidad de poder garanti"ar la continuidad de las operaciones6
)e lleva un registro de todos los mantenimientos que se !acen en el equipo6
El mantenimiento preventivo interno es llevado a cabo por los mismos funcionarios6
)e lleva a cabo el mantenimiento preventivo externo 2ontratado36
)e efect*an revisiones regulares para evaluar la prestacin del servicio6
)e notifican las irregularidades en la prestacin del servicio. 1 qui$n6
El mantenimiento preventivo es reali"ado siempre el da programado6
Existe un stoc% de repuestos que permita reali"ar un mantenimiento de urgencia6
El mantenimiento preventivo es postergado algunas veces por exceso de trabajo6
)e lleva una planilla para el mantenimiento de cada equipo en la que se consigna el tipo
de mantenimiento, fec!a de reali"acin, estado del equipo y anotaciones especiales6
Ea aceptable el tiempo que est detenido un equipo por falta de mantenimiento6
'entro del contrato de mantenimiento se tiene previsto el pr$stamo de equipos mientras
se repara o se sustituye el otro6
El oordinador del -rupo de )oporte elabora un documento peridico indicando la
satisfaccin o inconformidad con el servicio prestado6
,os controles aseguran que las operaciones de correccin ejecutadas por grupos de
atencin al usuario se ajustan a las necesidades6
69
OBSERVACIONES SI NO N3A
Existe un rea destinada a la atencin al usuario6
Existen formatos de solicitud de atencin6
)e tienen prioridades para atencin al usuario6
)e efect*an revisiones peridicas para evaluar la prestacin del servicio6
)e registran las operaciones reali"adas en la atencin al usuario6
,a integridad y confiabilidad de los datos son verificadas y supervisadas en actuaciones a
los arc!ivos o datos6
El usuario aprueba los cambios reali"ados6
)e documentan los cambios6
)i !ubiera un cambio importante en el personal del rea de informtica, esto producira un
problema grave en la seguridad de la tecnologa de sistemas de informacin6
Cay una metodologa para el desarrollo de sistemas que permitan la transferencia de
proyectos6
untos sistemas son manejados mantenidos en promedio por los ingenieros6
Cay sistemas mantenidos por terceras personas6
'ispone la entidad de todos los cdigo fuente de los aplicativos6
Existen disposiciones claras para el retiro de personal que exija entre otras, la devolucin
de llaves y la elaboracin de un inventario del material a que tena acceso6
(1.4. Progra-a #ara Eva,a$i*n +e De"arroo A -anteni-iento +e Si"te-a"
Objetivo"
#erificar los procedimientos establecidos por el rea de )istemas y que permiten al -rupo
de desarrollo garanti"ar que los sistemas sean eficientes, eficaces, y confiables cuando
entren en produccin normal 2explotacin3.
omprobar que los procedimientos incluyen pistas de 1uditora y ontrol en los sistemas.
&or otra parte, cabe se;alar que los recursos de esta rea son los que ms inciden en los
costos del procesamiento de la informacin.
Es fundamental, que el rea cumpla con los pla"os estipulados en el desarrollo de los
sistemas, para garanti"ar buenos resultados, ya que entregar informacin correcta y
oportuna es fundamental para la toma de decisiones.
Pro$e+i-iento"
7:
No. Detae
1e$Ha +e
Ini$ia$i*n
1e$Ha +e
Ter-ina$i*n
RE1.
P3T
Re"#on"abe Ob"erva$ione"
1
#erifique los procedimientos establecidos en el rea de
sistemas para garanti"ar su eficienca, eficaci y confiabilidad
en su fase de produccin normal.

!
ompruebe la inclusin de pistas de auditora y control en los
sistemas y procedimientos del rea, debido a su importancia
en la incidencia en los costos de procesamiento en la
informacin.


Eva,a$i*n +e Contro Interno
OBSERVACION SI NO N3A
,os sistemas estn dise;ados y programados eficientemente
de manera que tambi$n se tenga la certe"a de que en el futuro
podrn ser comprendidos y mantenidos con facilidad6

Existe un proceso formal para administrar los cambios en los
aplicativos existentes6

Existe una metodologa estndar para el desarrollo de
sistemas, que incluya su control6

1ntes de desarrollar un sistema se !acen estudios formales de
factibilidad y costos6

Es obligatoria la documentacin en la etapa de construccin6
)e ejecuta un anlisis preliminar para evaluar el impacto de los
cambios propuestos en el ambiente existente6

Cay un procedimiento de prueba y de aceptacin formal6
&or lo general, los usuarios estn formalmente comprometidos
con los proyectos6

,os usuarios !acen proposiciones para el nuevo sistema por
escrito, por lo menos, las autori"an por escrito6

,os usuarios aprueban los manuales antes de comen"ar a
usarlos6

)e toman en cuenta los controles definidos por el usuario
cuando se preparan sistemas6

El usuario toma parte en el grupo de proyectos de sistemas6
,os usuarios preparan pruebas de aceptacin formales antes
de que los sistemas se consideren operacionales6

)e preparan informes amplios y objetivos acerca de la marc!a
de los trabajos en el rea de desarrollo de sistemas para evitar
atrasos insospec!ados en los proyectos6

71
OBSERVACION SI NO N3A
,os informes se preparan de acuerdo con la metodologa6
)e controlan e informan oportunamente los gastos6
,a jefatura general revisa los informes y se toman las medidas
del caso6

El desarrollo y mantenimiento del sistema, toma en
consideracin amplias pruebas y corridas paralelas para
reducir las fallas en los sistemas cuando se est$n usando en
produccin6

,as pruebas son apropiadamente planeadas y documentadas6
uando se preparan arc!ivos de prueba, se toman en cuenta
datos de todo tipo, correctos y rec!a"ables6

El usuario toma parte en la preparacin de los datos de
prueba6

)e lleva a cabo una prueba de aceptacin final para los
sistemas nuevos y para los antiguos, despu$s de una
modificacin importante6

)e someten a prueba todos los procedimientos, incluso los de
respaldo6

)e reali"an todas las pruebas con arc!ivos simulados o con
copias de datos aut$nticos provenientes de una biblioteca que
no sea de produccin6

(1.5. Progra-a #ara Eva,a$i*n +e Re+e" +e $o-,ni$a$i*n
Objetivo"I
Evaluar la forma de comunicacin entre los usuarios y los sistemas.
Evaluar cmo se afecta globalmente la seguridad de los datos, a medida en que las
comunicaciones y procesamiento de datos contin*an expandi$ndose, teniendo en cuenta el
incremento en la proliferacin de computadores personales, terminales y porttiles que acceden a
sistemas por redes.
Pro$e+i-iento"
No. Detae
1e$Ha +e
Ini$ia$i*n
1e$Ha +e
Ter-ina$i*n
RE1.
P3T
Re"#on"abe Ob"erva$ione"
1
Evalue la comunicacin entre los usuarios y los sistemas y la
manera como opera.

! Evalue la seguridad de los datos en la medida en que las
comunicaciones y el procesamiento de los mismos se
expande en ra"n al incremento de computadores personales,

7!
No. Detae
1e$Ha +e
Ini$ia$i*n
1e$Ha +e
Ter-ina$i*n
RE1.
P3T
Re"#on"abe Ob"erva$ione"
terminales y portatiles que acceden a los sistemas en red.
Eva,a$i*n +e Contro Interno
OBSERVACIONES SI NO N3A
Existe la infraestructura y el ambiente de un departamento de comunicaciones6
)e cuenta con una arquitectura total de la red de comunicaciones6
El protocolo de la red ejecuta funciones de verificacin automtica de errores,
para asegurar la exactitud de la transmisin de mensajes entre nodos de la red6
)e tienen controles de+
#erificacin de n*mero de secuencia.
.dentificacin de recibo yBo envo.
Hornal de transacciones.
Reconocimiento o acuse de recibo positivo.
Reconciliacin peridica de mensajes.
#erificacin de sumas en direcciones de mensajes.
digo de deteccin Bcorreccin de errores.
digo de redundancia de claves.
,ogging de errores.
.nstalaciones y equipos de Gac%up.
&rocedimientos de recuperacin.
'eteccin de desconexin de dispositivos.
'irecciones interconstruidas de dispositivos.
Encripcin ciframiento.
5acilidades de transmisin de baja tasa de errores.
7(
OBSERVACIONES SI NO N3A
)e monitorea que los controles estn funcionando correctamente.
)e incluye requerimientos para la integridad y la complejidad de los datos cuando
especifica un reempla"o nuevos elementos de !ard(are, soft(are medios de
comunicaciones6
,a seguridad del soft(are es parte indispensable para la proteccin de la
informacin que viaja va red6
/iene la organi"acin alg*n programa formal de seguridad fsica de datos6
)e tienen establecidas funciones para el manejo de seguridad en las
comunicaciones6
,a informacin est clasificada 2)ensitiva, rtica36
Est involucrado el departamento Hurdico en la planeacin y administracin de la
seguridad6
)e tiene registro de los problemas normativos legales con relacin a la
seguridad de las comunicaciones6
,a organi"acin lleva a cabo alg*n anlisis de riesgo formal para las facilidades
de comunicaciones respecto al impacto de acceso no autori"ado6
)e !an tomado medidas en los servidores de los sitios remotos para proteger
fsicamente las facilidades de comunicaciones contra acceso no autori"ado6
El soft(are ofrece facilidades de logging, reportes y vigilancia para proveer
adecuadas pistas de auditora de las actividades de la red y alertar a la Hefatura
de potenciales penetraciones de la seguridad de la red6
Est protegido contra acceso no autori"ado las libreras y programas sensitivos
de soft(are de comunicaciones6
)e usan dispositivos de seguridad en comunicaciones para la red 2Encripcin,
dial<bac%36
Fu$ controles existen entre las redes p*blicas y las de gate(ay, para garanti"ar
la integridad y seguridad de los datos6
Existen controles 2Ej. 'ispositivos de autenticacin personal servicios 'ial<bac%36
&ermite su red un n*mero indeterminado de logon 6
)e monitorean las violaciones de acceso dial<in6
En ra"n a la complejidad de los montajes y modificaciones de los sistemas de
comunicacin. )e tienen procedimientos y polticas muy claras para no incurrir
en fallas que causen estragos6
)e tiene un plan formal para el desarrollo de la arquitectura de la red de
comunicaciones6
Existen procesos para que soporten la arquitectura de sistemas de comunicacin
2vo" y datos3 en los planes corporativos6
Estn documentadas las definiciones de requerimiento funcionales y desarrollo
para servicios en comunicaciones de vo" y datos6
Estn identificadas y asignadas las responsabilidades en el departamento, el
dise;o, instalacin y funciones de operacin6
7/
OBSERVACIONES SI NO N3A
)e tiene asignada la responsabilidad para identificar y probar los controles
basados en comunicacin6
)e tiene una metodologa estructurada para el dise;o de los sistemas de
comunicacin6
)e cuenta con una !erramienta de soft(are para dise;ar sistemas de
comunicacin6
Existe un proceso formal para administrar los cambios en las comunicaciones6
)e ejecuta un anlisis preliminar para evaluar el impacto de los cambios
propuestos en el ambiente existente6
Existen controles en el procedimiento de administracin de cambios6
Cay documentacin actuali"ada de la configuracin del !ard(are y soft(are de
comunicacin6
)e encuentra asociacin entre los procesos de administracin de cambios y el
control de inventarios de comunicaciones6
El control de inventarios es automtico6
Existen procedimientos de prueba para implementar los nuevos cambios en los
sistemas de comunicacin6
Cay un ambiente de prueba disponible6
Es obligatorio para ejecutar pruebas off<line antes de introducir un nuevo o
modificado componente de comunicaciones en el ambiente de comunicacin6
)e reali"an revisiones post<implementacin de cambios en las comunicaciones6
)e ejecutan pruebas de SstressS para el funcionamiento y la confiabilidad de redes
modificadas6
)e utili"an paquetes de soft(are de los vendedores para simular diferentes
patrones de trfico6
74