Cuestionario de Auditoría Informática

CUESTIONARIO PARA AUDITORIA INFORMATICA
CONTROLES DE OPERACIONES Y MANTENIMIENTO DE EQUIPOS

1.- Se elabora peridicamente un plan de renovacin de equipos 2.- Se lleva un control de inventario de hardware de la entidad 3.- El control de inventario contempla informacin detallada de las caractersticas y componentes del equipo inventariado 4.- El mantenimiento de los equipos de cmputo se da por funcionarios internos 5.- Se le da manteninieto de tipo preventivo a los equipos de cmputo 6.- El mantenimiento correctivo del equipo de cmputo se tiene contratado externamente 7.- Se lleva un control de las garantas del equipo de cmputo para saber cul de estos cuentan con esta cobertura. 8.- Se cuenta con las licencias del software que se utiliza en la entidad 9.- Se lleva un inventario del software que se encuentra instlado en todas las computadoras de la entidad 10.- Se evala el rendimiento del personal directivo y operativo? 11.- Se efecta en forma anual una evaluacin de mantenimiento y de proveedores? 12.- Cul es la cobertura de los seguros contratados? 13.- Existe una bitcora sobre el uso de los computadores y su posterior evaluacin del tipo de utilizacin? 14.- Se cumple con la bitcora de los procedimientos que cumple el operador, durante el da y est es revisada por el supervisor inmediato o el Gerente de sistemas? 15.- Existe la bitcora sobre el mantenimiento que se le da a los equipos, con la novedades correspondientes? 16.- Existen procedimientos escritos sobre la actualizacin de archivos? 17.- Existen procedemientos por escrito sobre la utilizacin de las libreras? 18.- Existen programas de control y revisin sobre los archivos manejados por el usuario? 19.- Est prohibido la operacin del equipo de analistas y programadores? 20.- Los operadores del equipo conocen de la lgica de los programas a tal punto que puedan hacer cambios o actualizaciones? 21.- Se ha creado archivos que proporcionen pistas para la intervencin posterior de Auditora?
SI
NO
N/A
OBSERVACIONES

CONTROLES PARA EL ANLISIS, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIN
1.- Se ha determinado alguna metodologa de los standares para diseo de sistemas? 2.- Existen estudios de factibilidad? 3.- Se han elaborado planes de diseo, desarrollo de la implantacin de sistemas? 4.- Se han diseado, sistemas integrados de informacin? 5.- Qu procedimiento se utiliza para los estudios de Costo - Beneficio.? 6.- Cul es la poltica de costo utilizada? 7.- Se cumplen los planes de procesamiento de datos comparando lo ejecutado con lo planeado.? 8.- Participan los auditores internos en los procesos de planificacin para expresar sus necesidades.? 9.- Existe una metodologa escrita para el anlisis desarrollo de implantacin de sistemas? 10.- Existen planes para adquisiciones futuras de equipos.? 11.- Se aplican los procedimientos para planificar software? 12.- Participa auditora en el desarrollo de sistemas? 13.- Se han diseado procedimientos standares para todas las reas usuarias? 14.- Es el usuario el responsable del ingreso de los datos? 15.- Se ha efectuado una racionalizacin de los formularios que facilite el ingreso de datos? 16.- Se han incluido en los sistemas cifras de control que facilite detectar inconsistencias durante el proceso? 17.- Los planes de procesamiento de datos estn adecuadamente coordinados con los planes generales de la institucin.? 18.- Se cumplen los planes de desarrollo de sistemas? 19.- Las modificaciones de los programas se realizan de acuerdo a los estndares existentes? 20.- Los usuarios revisan y prueban los resultados de los cambios antes de su implantacin? 21.- Qu criterio de seleccin se utiliz para el uso del lenguaje de programacin? 22.- Existe documentacin de los programas, cuales son los documentos que la forman? 23.- Existe un procedimiento de actualizacin? 24.- En caso de cambios o actualizaciones de programas existe la documentacin necesaria que respalde dichos cambios? 25.- Existen controles adecuados establecidos para solicitar y aprobar los cambios a los programas? 26.- Existen normas estndares para la codificacin de los programas?
SI
NO
N/A
OBSERVACIONES

CONTROLES A LAS BASES DE DATOS
1.- Se tiene definido un rea o persona para la administracin de la base de Datos en la entidad? 2.- Se tienen definidos perfiles de acceso para los funcionarios en la base de datos aparte de los del sistema? 3.- Se realizan afinamientos "Tunning" peridicos de las Bases de Datos? 4.- Las bases de datos tienen definidas un password para lograr accerderlas? 5.- Se tiene un procedimiento formal el cual se debe aplicar en el caso de que se deba realizar alguna modificacin a los datos de una base de datos en produccin? 6.- Se utilizan las fortalezas de validacin de informacin que ofrece la base de datos ( Trigers, integridad referencial y validaciones personalizadas por el programador?
SI
NO
N/A
OBSERVACIONES
ASPECTOS GENERALES DE LOS SISTEMAS DE INFORMACIN

1.- El sistema es desarrollado internamente 2.- El mantenimiento del Sistema lo dan funcionarios de la Entidad 3.- El Sistema es una aplicacin desarrollada a la medida 4.- El Sistema est desarrollado con base en un lenguaje de programacin que es estndar de la Entidad 5.- El Sistema est desarrollado con base en una plataforma de base de datos que es estndar para la entidad 6.- El Sistema tiene menos de cinco aos de funcionamiento 7.- El Sistema es integrado con otras aplicaicones automatizadas de la Entidad 8.- El Sistema ha sido auditado ya sea por la Auditora Interna o por una firma externa 9.- Existe documentacin de los sistemas que forman el software, de ser as adjunte el detalle de los mismos? 10.- Es adecuada la socumentacin de los programas? 11.- Los cambios, midificaciones, o nuevos programas son autorizados antes de proceder a su realizacin?. 12.- Existen cronogramas de trabajo para el personal de CPD, tanto de operaciones como programacin y anlisis?. 13.- Si la respuesta anterior es afirmativa, quienes son los responsables de la evaluacin de su cumplimiento?. 14.- La elaboracin y desarrollo de los programas es efectuado en una librera de pruebas, independiente de la librera de programas en lnea?. 15.- Se documenta adecuadamente cualquier cambio o modificacin a un programa ?. 16.- Existe un inventario actualizado de los manuales y documuentacin de programas y aplicaciones ?. 17.- Participan los auditores internos en el desarrollo y revisin de los programas y aplicaciones?. 18.- Existe un plan para el desarrollo futuro de programas y aplicaciones?. 19.- El acceso a los programas est restringido y reglamentado para el departamento de CPD?. 20.- Se preparan manuales de cada programa para el usuario?. 21.- Se da mantenimiento a los programas y aplicaciones en forma regular?. 22.- Estn integrados los programas y aplicaciones en un todo?. 23.- Existen procedimientos escritos y detallafdos con instrucciones concretas acerca del uso de cada programa y aplicacin?. 24.- Est cada usuario o grupo de usuarios provistos de una palabra clave o cdigo secreto de seguridad?. 25.- Se cambia las claves de seguridad cada que tiempo y quienes son los responsables de hacerlo?. 26.- El acceso a las palabras claves o secretas es restringido?. 27.- Cuando se da el retiro de alguna persona del Centro de Cmputo, o de cualquier otro departamento, Cul es el procedimiento que se aplica sobre las claves de seguridad asignadas? 28.- Las fallas de funcionamiento en los programas son documentadas y revisadas adecuadamente? 29.- Los programas y aplicaciones son autorizados por los niveles respectivos y adecuados? 30.- Existen procedimientos escritos para descargar o restaurar informacin al computador? 31.- Emite el sistema un listado de control donde se especifique la hora, la fecha, los programas utilizados y los usuarios respectivos ? 32.- Existen estndares establecidos para la elaboracin y documentacin de los programas? 33.- Exiten procedimientos para probar programas modificados de manera que asegure el no daar a los dems ? 34.- Las mejoras o modificaciones a los sistemas son aprobados como seal de conformidad ? 35.- Si la respuesta es correcta indique si existe algn formulario y quienes efectan la aprobacin? 36.- Hay procedimientos y controles para detectar un intento de ingresar al computador por parte de personas no autorizadas ?.
SI
NO
N/A
OBSERVACIONES

CONTROLES A LOS RESPALDOS
1.- Se tiene definido un procedimiento formal para el respaldo de la aplicacin (fuentes y ejecutables ) ? 2.- Se tiene definido un procedimiento formal para el respaldo de la base de datos del Sistema ? 3.- El procedimiento de respaldo est automatizado ? 4.- El respaldo se realiza peridicamente ? 5.- Se realizan varias copias del respaldo de datos y de la aplicacin ? 6.- Se tienen almacenadas copias del respaldo de datos y de la aplicacin en lugares geogrficos diferentes ? 7.- Se tiene un funcionario responsable de verificar que el respaldo se realiz satisfactoriamente ? 8.- Dentro de la organizacin el respaldo se almacena en lugar especialmente diseado para ello ? 9.- La forma de organizacin de la ejecucin del respaldo permite a la organizacin asegurarse de que en caso de una contingencia la prdida de informacin sea mnima ? 10.- Se tiene definido un procedimiento de recuperacin de informacin parcial o total ante una contingencia ? 11.- Se realizan pruebas peridicas de recuperacin para determinar que los respaldos estan funcionando adecuadamente ? 12.- Se cambian con regularidad los medios fsicos donde se almacena la informacin respaldada, para asegurar su buen funcionamiento ? 13.- Estn los discos, cintas y cualquier otro medio magntico convenientemente almacenado en salas o armarios especiales? 14.- Existen copias de los respaldos fuera del edificio? 15.- En caso que la respuesta anterior sea s, las llaves y copias por quin se encuentran custodiadas? 16.- Est restringido el acceso a manuales, documentacin, libreras, discos, cintas y medios magnticos? 17.- Est marcado o identificado perfectamente el material confidencial? 18.- Se sacan suficientes copias de seguridad de los archivos principales? 19.- Existe algn plan escrito sobre la periodicidad para emitir las copias de respaldo? 20.- Existe un inventario actualizado de las cintas y discos que permita controlar su ubicacin y antigedad? 21.- Destruye los discos y cintas daadas, o aquellos que ya no estn en uso, dejando evidencia de dicha destruccin en un acta? 22.- Se destruye adecuadamente todo papel, listado, etc., que no se le va a dar uso? 23.- Existe una destructura de papel y funciona adecuadamente? 24.- Existe un stock mnimo o de seguridad de los suministros en el departamento de CPD? 25.- Existe una bitcora que identifique y permita cumplir los procedimientos para encender y apagar el equipo ya sea en opoeraciones normales o cuando se va la energa elctrica? 26.- Existe la probabilidad, que en caso de algn problema en los equipos, se pueda continuar el desarrollo de las tareas en otra oficina, de ser as, existe la seguridad de que la otra empresa dar las condiciones necesarias para hacerlo, de existir algn contrato o convenio, mencinelo? 27.- Se lleva una bitcora, sobre las averas, interrupciones en el funcionamoento del equipo, como tambin sobre los posibles problemas que se presentan al operarlo. 28.- Est prohibido el uso y operacin de los equipos del Centro de Cmputo a personal no autorizado? 29.- Existe algn mecanismo de control que permita conocer a quien se le entrega la informacin procesada por el computador? 30.- Existe algn tipo de solicitud para la emisin de listado, archivos magnticos e informacin por parte de CPD? 31.- Tiene la informacin y listados emitidos por CPD, una hoja de ruta que permita conocer el destino y utilizacin de dicha informacin? 32.- Se retiene copias de la informacin en el tiempo necesario para satisfacer requisitos operacionales y legales?
SI
NO
N/A
OBSERVACIONES

CONTROLES DE ENTRADA DE DATOS
1.- Se tienen formularios preimpresos para la captura de la informacin que ingresa al sistema ? 2.- El formulario cuenta con copias ? 3.- Las copias en el formulario identifican claramente las reas a las que se le debe entregar ? 4.- Los formularios son prenumerados ? ? 5.- El formulario preimpreso tiene el mismo orden de captura que el de ingreso de la informacin en el Sistema, esta coincide con la forma del diseo de la pantalla 6.- En las pantallas de captura de datos se tienen definidos campos como obligatorios para ser digitados ? 7.- Se tiene control de tipos sobre los campos que se capturan ? 8.- Se permite ingresar transacciones con el mismo nmero de indentificacin o clave primaria del documento ? 9.- Se tienen establecidos controles que permitan restringir rangos de accin de algn valor que se deba ingresar en el sistema ? 10.- Se controla el orden cronolgico de ingreso de transacciones en el sistema, de tal forma que no permita realizar operaciones en forma extempornea o de perodos anteriores ?
SI NO N/A
OBSERVACIONES
CONTROLES DEL PROCESAMIENTO DE LOS DATOS

1.- El sistema deja rastro en la transaccin de los usuarios que se vieron involucrados en su procesamiento (creador, autorizador o aprobador ? 2.- El sistema lleva un consecutivo propio de las diferentes transacciones que permite realizar la aplicacin ? 3.- El sistema cuenta con herramientas de auditora que permitan dar seguimiento a una transaccin a lo largo de su procesamiento ? 4.- El sistema cuenta con un flujo de trabajo interno que permita asegurar que la transaccin sigue el cilo normal de procesamiento y que ste no se pueda alterar ?
SI NO N/A
OBSERVACIONES
CONTROLES DE LAS SALIDAS DE DATOS

1.- Los reportes impresos que emite el Sistema se clasifican de acuerdo a su confidencialidad ? 2.- Si tiene restringido el acceso a los reportes y consultas del sistema de acuerdo con las funciones y responsabilidades de los usuarios ? 3.- Si el sistema emite archivos electrnicos como salida se graban en un rea con acceso restringido ? 4.- Loa archivos electrnicos emitidos por el Sistema cuentan con un porcedimiento formal para su distribucin ? 5.- Se tiene un responsable definido para la distribucin de los archivos electrnicos ? 6.- Los reportes cuentan con nombre del reporte, fecha de emisin, usuario que lo emiti, programa que los elabor y vigencia consignada en ellos cada vez que son impresos ? 7.- Si tiene alguna disposicin establecida en trminos de manipulacin, archivado o destruccin de los reportes obsoletos que emite el sistema ?
SI NO N/A
OBSERVACIONES

SEGURIDADES LGICAS Y ACCESO LOS DATOS
1.- Se cuenta con servidores de archivos separados? 2.- Se cuenta con un servidor de aplicaciones separado? 3.- Se cuenta con un servidor o rea para desarrollo separada ? 4.- Se cuenta con un servidor o rea para produccin separada ? 5.- Se cuenta con un servidor de base de datos ? 6.- Se cuenta con un servidor PROXY ? 7.- Se cuenta con un servidor de acceso remoto RAS ? 8.- Se cuenta habilitada la posibilidad de rellamado para las conexiones RAS ? 9.- El acceso por medio de RAS solicita password para autenticar la conexin ? 10.- El password del RAS tiene vencimiento peridico ? 11.- El password del RAS puede ser cambiado por los usuarios dueos de la cuenta ? 12.- Se tiene politicas definidas para determinar los funcionarios que son candidatos a tener acceso por medio RAS ? 13.- Se cuenta con polticas y directrices para evitar la propagacin de virus en la Red? 14.- Se cuenta con un motor de software antivirus que est corriendo en los servidores ? 15.- Se cuenta con un antivirus que est corriendo en los clientes ? 16.- Se cuenta con polticas definidas para la actualizacin peridica del software de antivirus tanto en el cliente como en los servidores ? 17.- Se cuenta con procedimientos formales que indiquen a los funcionarios de soporte cules son las acciones a seguir cuando se detecta un virus en las estaciones de trabajo o en los servidores ?
SI
NO
N/A
OBSERVACIONES
CONTROLES DE ACCESO A LOS SISTEMAS

1.- El sistema cuenta con un mecanismo de control de acceso ? 2.- El mecanismo de control de acceso se basa en la poltica de autentificacin por password ? 3.- La palabra de paso tiene un periodo de vencimiento establecido ? 4.- La palabra de paso tiene una longitud mnima para ser ingresada o definida ? 5.- Al definir un usuario en el sistema por primera ves se le asigna una palabra de paso que debe modificar cuando este ingresada por primera vez a la aplicacin ? 6.- Los usuarios pueden cambiar su palabra del paso personalmente una vez que se da su vencimiento ? 7.- La estructura de la palabra de paso es tal que requiere de una combinacin de caracteres que no lo permite ingresar palabras de fcil deduccin ? 8.- La palabra de paso se almacena en forma encriptada ? 9.- El mecanismo de control de acceso se basa en la politica de identificacin por medio del usuario ? 10.- Se tiene un procedimiento formal para la solicitud de ingreso, bloqueo o eliminacin de un usuario al sistema ? 11.- Los usuarios definidos en el Sistema estn asociados a un solo funcionario ? 12.- El sistema no permite que con un mismo usuario se ingrese simultneamente a la aplicacin desde dos estaciones diferentes ? 13.- Si una sesin en el sistema se queda abierta por un periodo determinado de tiempo sin actividad, la aplicacin se bloquea para que el sistema no sea utilizado ? 14.- El usuario de ingreso al sistema se bloquea despus de un nmero determinado de intentos fallidos de ingreso ? 15.- Cuando un usuario se encuentra fuera de la entidad por vacaciones, incapacidad o permiso en Usuario es desactivado para que no se pueda ingresar por el tiempo que este est fuera de la Institucin ? 16.- El sistema presenta en pantalla el usuario que realiz el ltimo acceso desde la estacin del cliente ? 17.- Se cuenta con bitcoras que almacenen informacin relativa a la actividad de ingreso al Sistema ? 18.- En la bitcora de control de acceso por lo menos se lamacena la siguiente informacin: usuario y hora de igreso, usuario y hora de salida, procesos utilizados por el usuario, transacciones de actualizacin en la BD, intentos fallidos de acceso y desactivacin ? 19.- Se hacen revisiones pedridicas de la bitcoras de acceso al Sistema ? 20.- En caso de detectar desciaciones en el sistema por medio de la revisin de las bitcoras se cuenta con un procedimiento formal que determine las acciones a tomar en estos casos? 21.- El sistema cuenta con la facilidad de definir perfiles de acceso ? 22.- Los perfiles de acceso definidos en el Sistema identifican en forma independiente las tareas y procesos a los que tienen acceso los usuarios de acuerdo con sus funciones y responsabilidades ? 23.- Se tiene un procedimiento formal que permita solicitar la modificacin, inclusin, desactivacin de perfiles en el Sistema ? 24.- El rea o persona encargada de la administracin de los perfiles del Sistema es un funcionario que no pertenece a CPD ? 25.- Cuando un usuario tiene asignado un perfil determinado y se ingresa al sistema en la aplicacin se muestra solo las opciones a las que tiene acceso el funcionario con ese perfil ? 26.- Se tiene definidos perfiles generales por grupos de usuarios o personas de acuerdo con sus funciones y responsabilidades ?
SI
NO
N/A
OBSERVACIONES

SEGURIDADES FISICAS
1.- Cuenta el sistema con un regulador de voltaje? 2.- Si la respuesta a la pregunta anterior es s, est funcionando adecuadamente? 3.- Cuenta el sistema con una fuente de poder capaz de dar energa al computador cuando se suprime la corriente elctrica? 4.- Si la respuesta a la pregunta anterior es s, Est funcionando adecuadamente?, indique en observaciones cuantos minutos de energa le da al computador. 5.- La instalacin elctrica del CPD, tiene conexin a tierra? 6.- Existe en el centro de cmputo extintor de incendio? 7.- Si la respuesta a la pregunta anterior es s, Est dentro del perodo de carga y con la presin adecuada? 8.- Cuenta el sistema con un equipo de aire acondicionado adecuado? 9.- Se mide con frecuencia la temperatura y la humedad? 10.- Las instalaciones de CPD se encuentran en un lugar funcional? 11.- Las lneas elctricas de CPD son independientes del resto de la instalacin elctrica? 12.- Tienen proteccin para sobre cargas? 13.- Existe un sistema adecuado de deteccin de incendios? 14.- Existen reglas y letreros que indiquen: "Prohibicin de fumar", " Prohibicin de ingreso a personal no autorizado" 15.- Est restringido el acceso al CPD? 16.- Tiene el departamento de CPD alguna puerta de escape y sta puede ser utilizada como entrada? 17.- Existe algn plan de seguridad de emergencia escrito y aprobado? 18.- Existen plizas de seguros contratadas y stas qu tipo de riesgo cubren? 19.- Existe un mantenimiento adecuado y peridico a los equipos de computacin? 20.- Existe algn manual o reglamento que trate acerca de la seguridad fsica del CPD? 21.- Existe alguna librera con llave para guardar los manuales y documentos de los programas y aplicaciones? 22.- Copia de estos manuales se entregan para que sean guardados en otro lugar fuera de la empresa, en caso de algn siniestro? 23.- En caso que la respuesta anterior sea s, las llaves y copias por quin se encuentran custodiadas? 24.- Existe algn tipo de control de acceso al Dpto. de CPD. Si existe alguno descrbalo brevemente en observaciones? 25.- Se tiene algn control de entrada/salida del personal No Autorizado? 26.- Se cuenta con alguna rea definida deCintoteca o Discoteca? 27.- Esta rea es de acceso restringido? 28.- Se tiene un procedimiento para el control de Entrada/Salida de informacin de esta rea?
SI
NO N/A
OBSERVACIONES
Cristbal Garca Espinoza Consultor Informtico

Telf.: 2231233 - 099745407, email: cgarcia@on.net.ec
30/Sep/2004 Pg. 8 de 18
INFORME PORMENORIZADO DE RIESGOS DE CONTROL EN EL REA INFORMTICA DE UN CENTRO DE COMPUTO

30/Sep/2004 Pg. 9 de 18
EN EL REA INFORMTICA DE UN CENTRO DE COMPUTO

G02-01 G02-02 G02-03 G02-04 G02-05 G02-06 G02-07 G02-08 G02-09 G02-10 G02-11 G02-12 G02-13 G02-14 G02-15 G02-16 G02-17 G02-18 G02-19 G02-20 G02-21 G02-22 G02-23 G02-24 G02-25 G02-26 G02-27 G02-28 G02.- SEGURIDADES FISICAS Cuenta el sistema con un regulador de voltaje? Si la respuesta a la pregunta anterior es s, est funcionando adecuadamente? Cuenta el sistema con una fuente de poder capaz de dar energa al computador cuando se suprime la corriente elctrica? Si la respuesta a la pregunta anterior es s, Est funcionando adecuadamente?, indique en observaciones cuantos minutos de energa le da al computador. La instalacin elctrica del CPD, tiene conexin a tierra? Existe en el centro de cmputo extintor de incendio? Si la respuesta a la pregunta anterior es s, Est dentro del perodo de carga y con la presin adecuada? Cuenta el sistema con un equipo de aire acondicionado adecuado? Se mide con frecuencia la temperatura y la humedad? Las instalaciones de CPD se encuentran en un lugar funcional? Las lneas elctricas de CPD son independientes del resto de la instalacin elctrica? Tienen proteccin para sobre cargas? Existe un sistema adecuado de deteccin de incendios? Existen reglas y letreros que indiquen: "Prohibicin de fumar", " Prohibicin de ingreso a personal no autorizado" Est restringido el acceso al CPD? Tiene el departamento de CPD alguna puerta de escape y sta puede ser utilizada como entrada? Existe algn plan de seguridad de emergencia escrito y aprobado? Existen plizas de seguros contratadas y stas qu tipo de riesgo cubren? Existe un mantenimiento adecuado y peridico a los equipos de computacin? Existe algn manual o reglamento que trate acerca de la seguridad fsica del CPD? Existe alguna librera con llave para guardar los manuales y documentos de los programas y aplicaciones? Copia de estos manuales se entregan para que sean guardados en otro lugar fuera de la empresa, en caso de algn siniestro? En caso que la respuesta anterior sea s, las llaves y copias por quin se encuentran custodiadas? Existe algn tipo de control de acceso al Dpto. de CPD. Si existe alguno descrbalo brevemente en observaciones? Se tiene algn control de entrada/salida del personal No Autorizado? Se cuenta con alguna rea definida de Cintoteca o Discoteca? Esta rea es de acceso restringido? Se tiene un procedimiento para el control de Entrada/Salida de informacin de esta rea?
SI NO N/A OBSERVACIONES

30/Sep/2004 Pg. 10 de 18

G03.- SEGURIDADES LGICAS Y ACCESO A LOS DATOS G03-01 G03-03 G03-06 G03-11 G03-13 G03-14 G03-15 G03-16 G03-17 Se cuenta con servidores de archivos separados? Se cuenta con un servidor o rea para desarrollo separada ? Se cuenta con un servidor PROXY ? El password de las estaciones de trabajo puede ser cambiado por los usuarios dueos de la cuenta ? Se cuenta con polticas y directrices para evitar la propagacin de virus en la Red? Se cuenta con un motor de software antivirus que est corriendo en los servidores ? Se cuenta con un antivirus que est corriendo en los clientes ? Se cuenta con polticas definidas para la actualizacin peridica del software de antivirus tanto en el cliente como en los servidores? Se cuenta con procedimientos formales que indiquen a los funcionarios de soporte cules son las acciones a seguir cuando se detecta un virus en las estaciones de trabajo o en los servidores ?
SI NO N/A
OBSERVACIONES

30/Sep/2004 Pg. 11 de 18

30/Sep/2004 Pg. 12 de 18

G08-01 G08-02 G08-03 G08-04 G08-05 G08-06 G08-07 G08-08 G08-09 G08-10 G08-11 G08-12 G08-13 G08-14 G08-15 G08-16 G08-17 G08-18 G08-19 G08-20 G08-21 G08-22 G08-23 G08-24 G08-25 G08-26 G08-27 G08-28 G08-29 G08-30 G08-31 G08-32 G08.- CONTROLES A LOS RESPALDOS Se tiene definido un procedimiento formal para el respaldo de la aplicacin (fuentes y ejecutables ) ? Se tiene definido un procedimiento formal para el respaldo de la base de datos del Sistema ? El procedimiento de respaldo est automatizado ? El respaldo se realiza peridicamente ? Se realizan varias copias del respaldo de datos y de la aplicacin ? Se tienen almacenadas copias del respaldo de datos y de la aplicacin en lugares geogrficos diferentes ? Se tiene un funcionario responsable de verificar que el respaldo se realiz satisfactoriamente ? Dentro de la organizacin el respaldo se almacena en lugar especialmente diseado para ello ? La forma de organizacin de la ejecucin del respaldo permite a la organizacin asegurarse de que en caso de una contingencia la prdida de informacin sea mnima ? Se tiene definido un procedimiento de recuperacin de informacin parcial o total ante una contingencia ? Se realizan pruebas peridicas de recuperacin para determinar que los respaldos estan funcionando adecuadamente ? Se cambian con regularidad los medios fsicos donde se almacena la informacin respaldada, para asegurar su buen funcionamiento ? Estn los discos, cintas y cualquier otro medio magntico convenientemente almacenado en salas o armarios especiales? Existen copias de los respaldos fuera del edificio? En caso que la respuesta anterior sea s, las llaves y copias por quin se encuentran custodiadas? Est restringido el acceso a manuales, documentacin, libreras, discos, cintas y medios magnticos? Est marcado o identificado perfectamente el material confidencial? Se sacan suficientes copias de seguridad de los archivos principales? Existe algn plan escrito sobre la periodicidad para emitir las copias de respaldo? Existe un inventario actualizado de las cintas y discos que permita controlar su ubicacin y antigedad? Destruye los discos y cintas daadas, o aquellos que ya no estn en uso, dejando evidencia de dicha destruccin en un acta? Se destruye adecuadamente todo papel, listado, etc., que no se le va a dar uso? Existe una destructura de papel y funciona adecuadamente? Existe un stock mnimo o de seguridad de los suministros en el departamento de CPD? Existe una bitcora que identifique y permita cumplir los procedimientos para encender y apagar el equipo ya sea en opoeraciones normales o cuando se va la energa elctrica? Existe la probabilidad, que en caso de algn problema en los equipos, se pueda continuar el desarrollo de las tareas en otra oficina, de ser as, existe la seguridad de que la otra empresa dar las condiciones necesarias para hacerlo, de existir algn contrato o convenio, mencinelo? Se lleva una bitcora, sobre las averas, interrupciones en el funcionamoento del equipo, como tambin sobre los posibles problemas que se presentan al operarlo. Est prohibido el uso y operacin de los equipos del Centro de Cmputo a personal no autorizado? Existe algn mecanismo de control que permita conocer a quien se le entrega la informacin procesada por el computador? Existe algn tipo de solicitud para la emisin de listado, archivos magnticos e informacin por parte de CPD? Tiene la informacin y listados emitidos por CPD, una hoja de ruta que permita conocer el destino y utilizacin de dicha informacin? Se retiene copias de la informacin en el tiempo necesario para satisfacer requisitos operacionales y legales?
SI NO N/A
OBSERVACIONES

30/Sep/2004 Pg. 13 de 18

G09.- CONTROLES A LAS BASES DE DATOS G09-01 Se tiene definido un rea o persona para la administracin de la base de Datos en la entidad?
SI NO N/A
OBSERVACIONES
G09-02
Se tienen definidos perfiles de acceso para los funcionarios en la base de datos aparte de los del sistema?
G09-03
Se realizan afinamientos "Tunning" peridicos de las Bases de Datos?
G09-04
Las bases de datos tienen definidas un password para lograr accerderlas?
G09-05
Se tiene un procedimiento formal el cual se debe aplicar en el caso de que se deba realizar alguna modificacin a los datos de una base de datos en produccin?
G09-06
Se utilizan las fortalezas de validacin de informacin que ofrece la base de datos ( Trigers, integridad referencial y validaciones personalizadas por el programador?

30/Sep/2004 Pg. 14 de 18

G10-01 G10-02 G10-03 G10-04 G10-05 G10-06 G10-07 G10-08 G10-09 G10-10 G10-11 G10-12 G10-13 G10-14 G10-15 G10-16 G10-17 G10-18 G10-19 G10-20 G10-21 G10-22 G10-23 G10-24 G10-25 G10-26 G10-27 G10-28 G10-29 G10-30 G10-31 G10-32 G10-33 G10-34 G10-35 G10-36 G10.- ASPECTOS GENERALES DE LOS SISTEMAS DE INFORMACIN El sistema es desarrollado internamente El mantenimiento del Sistema lo dan funcionarios de la Entidad El Sistema es una aplicacin desarrollada a la medida El Sistema est desarrollado con base en un lenguaje de programacin que es estndar de la Entidad El Sistema est desarrollado con base en una plataforma de base de datos que es estndar para la entidad El Sistema tiene menos de cinco aos de funcionamiento El Sistema es integrado con otras aplicaicones automatizadas de la Entidad El Sistema ha sido auditado ya sea por la Auditora Interna o por una firma externa Existe documentacin de los sistemas que forman el software, de ser as adjunte el detalle de los mismos? Es adecuada la socumentacin de los programas? Los cambios, midificaciones, o nuevos programas son autorizados antes de proceder a su realizacin?. Existen cronogramas de trabajo para el personal de CPD, tanto de operaciones como programacin y anlisis?. Si la respuesta anterior es afirmativa, quienes son los responsables de la evaluacin de su cumplimiento?. La elaboracin y desarrollo de los programas es efectuado en una librera de pruebas, independiente de la librera de programas en lnea?. Se documenta adecuadamente cualquier cambio o modificacin a un programa ?. Existe un inventario actualizado de los manuales y documuentacin de programas y aplicaciones ?. Participan los auditores internos en el desarrollo y revisin de los programas y aplicaciones?. Existe un plan para el desarrollo futuro de programas y aplicaciones?. El acceso a los programas est restringido y reglamentado para el departamento de CPD?. Se preparan manuales de cada programa para el usuario?. Se da mantenimiento a los programas y aplicaciones en forma regular?. Estn integrados los programas y aplicaciones en un todo?. Existen procedimientos escritos y detallafdos con instrucciones concretas acerca del uso de cada programa y aplicacin?. Est cada usuario o grupo de usuarios provistos de una palabra clave o cdigo secreto de seguridad?. Se cambia las claves de seguridad cada que tiempo y quienes son los responsables de hacerlo?. El acceso a las palabras claves o secretas es restringido?. Cuando se da el retiro de alguna persona del Centro de Cmputo, o de cualquier otro departamento, Cul es el procedimiento que se aplica sobre las claves de seguridad asignadas? Las fallas de funcionamiento en los programas son documentadas y revisadas adecuadamente? Los programas y aplicaciones son autorizados por los niveles respectivos y adecuados? Existen procedimientos escritos para descargar o restaurar informacin al computador? Emite el sistema un listado de control donde se especifique la hora, la fecha, los programas utilizados y los usuarios respectivos ? Existen estndares establecidos para la elaboracin y documentacin de los programas? Exiten procedimientos para probar programas modificados de manera que asegure el no daar a los dems ? Las mejoras o modificaciones a los sistemas son aprobados como seal de conformidad ? Si la respuesta es correcta indique si existe algn formulario y quienes efectan la aprobacin? Hay procedimientos y controles para detectar un intento de ingresar al computador por parte de personas no autorizadas ?.
SI NO N/A
OBSERVACIONES

30/Sep/2004 Pg. 15 de 18

G11.- CONTROLES PARA EL ANLISIS, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIN G11-01 G11-02 G11-03 G11-04 G11-05 G11-06 G11-07 G11-09 G11-10 G11-11 G11-12 G11-13 G11-14 G11-15 G11-16 G11-17 G11-18 G11-19 G11-20 G11-21 G11-22 G11-23 G11-24 G11-25 G11-26 Se ha determinado alguna metodologa de los standares para diseo de sistemas? Existen estudios de factibilidad? Se han elaborado planes de diseo, desarrollo de la implantacin de sistemas? Se han diseado, sistemas integrados de informacin? Qu procedimiento se utiliza para los estudios de Costo - Beneficio.? Cul es la poltica de costo utilizada? Se cumplen los planes de procesamiento de datos comparando lo ejecutado con lo planeado.? Existe una metodologa escrita para el anlisis desarrollo de implantacin de sistemas? Existen planes para adquisiciones futuras de equipos.? Se aplican los procedimientos para planificar software? Participa auditora en el desarrollo de sistemas? Se han diseado procedimientos standares para todas las reas usuarias? Es el usuario el responsable del ingreso de los datos? Se ha efectuado una racionalizacin de los formularios que facilite el ingreso de datos? Se han incluido en los sistemas cifras de control que facilite detectar inconsistencias durante el proceso? Los planes de procesamiento de datos estn adecuadamente coordinados con los planes generales de la institucin.? Se cumplen los planes de desarrollo de sistemas? Las modificaciones de los programas se realizan de acuerdo a los estndares existentes? Los usuarios revisan y prueban los resultados de los cambios antes de su implantacin? Qu criterio de seleccin se utiliz para el uso del lenguaje de programacin? Existe documentacin de los programas, cuales son los documentos que la forman? Existe un procedimiento de actualizacin? En caso de cambios o actualizaciones de programas existe la documentacin necesaria que respalde dichos cambios? Existen controles adecuados establecidos para solicitar y aprobar los cambios a los programas? Existen normas estndares para la codificacin de los programas?
SI NO N/A
OBSERVACIONES

30/Sep/2004 Pg. 16 de 18

G12.- CONTROLES DE OPERACIONES Y MANTENIMIENTO DE EQUIPOS G12-01 G12-02 G12-03 G12-04 G12-05 G12-06 G12-07 G12-08 G12-09 G12-10 G12-11 G12-12 G12-13 G12-14 G12-15 G12-16 G12-17 G12-18 G12-19 G12-20 G12-21 Se elabora peridicamente un plan de renovacin de equipos Se lleva un control de inventario de hardware de la entidad El control de inventario contempla informacin detallada de las caractersticas y componentes del equipo inventariado El mantenimiento de los equipos de cmputo se da por funcionarios internos Se le da manteninieto de tipo preventivo a los equipos de cmputo El mantenimiento correctivo del equipo de cmputo se tiene contratado externamente Se lleva un control de las garantas del equipo de cmputo para saber cul de estos cuentan con esta cobertura. Se cuenta con las licencias del software que se utiliza en la entidad Se lleva un inventario del software que se encuentra instlado en todas las computadoras de la entidad Se evala el rendimiento del personal directivo y operativo? Se efecta en forma anual una evaluacin de mantenimiento y de proveedores? Cul es la cobertura de los seguros contratados? Existe una bitcora sobre el uso de los computadores y su posterior evaluacin del tipo de utilizacin? Se cumple con la bitcora de los procedimientos que cumple el operador, durante el da y est es revisada por el supervisor inmediato o el Gerente de sistemas? Existe la bitcora sobre el mantenimiento que se le da a los equipos, con la novedades correspondientes? Existen procedimientos escritos sobre la actualizacin de archivos? Existen procedemientos por escrito sobre la utilizacin de las libreras? Existen programas de control y revisin sobre los archivos manejados por el usuario? Est prohibido la operacin del equipo de analistas y programadores? Los operadores del equipo conocen de la lgica de los programas a tal punto que puedan hacer cambios o actualizaciones? Se ha creado archivos que proporcionen pistas para la intervencin posterior de Auditora?
SI NO N/A
OBSERVACIONES

30/Sep/2004 Pg. 17 de 18

G13.- CONTROLES EN REDES G13-01 G13-02 G13-03 G13-04 G13-05 G13-06 G13-07 G13-08 G13-09 G13-10 G13-11 G13-12 G13-13 G13-14 G13-15 G13-16 G13-17 G13-18 G13-19 G13-20 G13-21 G13-22 G13-23 La Empresa tiene definida una LAN La empresa tiene definida una WAN Se cuenta con un administrador o grupo de personas que se dediquen a la administracin de la red definida en la entidad Se cuenta con un conjunto formal de funciones asignadas al grupo de administracin de red El software de red cuenta con bitcoras que permita dejar pistas ante anomalas de acceso o violacin de recursos en la red Se realizan revisones peridicas de la bitcora disponibles por el software de red Se tiene polticas definidasque se deban tomar ante la deteccin de una anomala en la bitcora Se tiene definidos usuarios individualizados para los diferentes funcionarios de la empresa que acceden a la red Se tienen definidos grupos de trabajo que accedan reas particulares de la red de acuerdo a sus funciones y responsabilidades. Se cuenta con usuarios de administracin de la red identificados para cada persona que tenga asignada esta labor Se le cambiaron los password por defecto o en blanco que genera el software de red a los diferentes usuarios incluyendo al de administracin cuando este se instala El usuario de administrador por defecto que genera en la instalacin de la red, est con acceso restringido por parte del grupo de administracin y en particular este no se utiliza para labores de soporte a la red sino que se utilizan los usuarios persona. Se tiene restringido el acceso a la red en horas que no son de oficina a los funcionarios que no deberan estar laborando Se suspende el acceso a la red afuncionarios que se encuentran de vacaciones, permiso o incapacitados Las funicones de administracin de red se busca rotarlas peridicamente entre los funcionarios que las realizan Se monitorea el acceso a las diferentes reas y recursos de red por parte de los funcionarios del CPD Si se detecta alguna anomala del monitoreo de funcionarios del CPD en la red se tienen polticas y procedimientos establecidos para proceder ante estas situaciones Se realizan anlisis para asegurar el equilibrio entre las cargas de trabajo, tiempos de respuesta y eficiencia del sistema Se tienen habilitadas las facilidades de uso de contrasea que ofrece el software para los usuarios de red Se define vencimiento peridico para los password de la red Se permite restringir el uso del mismo password al usuario despus de que este se cambia Se obliga al usuario a cambiar su password cuando este es definido por primera vez por parte del CPD en el momento de crear su cuenta Se permite que el usuario cambie su contrasea en forma personalizada
SI NO N/A
OBSERVACIONES

30/Sep/2004 Pg. 18 de 18

G14-01 G14-02 G14-03 G14-04 G14-05 G14-06 G14-07 G14-08 G14-09 G14-10 G14-11 G14-12 G14-13 G14-14 G14-15 G14-16 G14-17 G14-18 G14-19 G14-20 G14-21 G14-22 G14-23 G14-24 G14.- CONTROLES EN COMUNICACIONES Se tiene definido un funcionamiento o grupo de funcionarios responsables del rea de comunicaciones Se tiene definidas formalmente sus funciones y responsabilidades Se cuenta con cableado estructurado en el edificio de la entidad El cableado estructurado de la entidad fue debidamente certificado una vez que este se instal La entidad cuenta con un muro de fuego El mantenimiento y programacin del muro de fuego es efectuado por personal interno El mantenimiento y programacin del muro de fuego es efectuado por terceros Si el mantenimiento del muro de fuego es efectuado por terceros, se cuenta con un contrato de mantenimiento que asegure la confidencialidad de la configuracin de este equipo El muro de fuego de la entidad es por hardware Se cuenta con enrutadores en la entidad Los routers de la empresa son por hardware Las configuraciones de los equipos de comunicacin se hacen intrenamente Se tiene definida una zona desmilitarizada (DMZ) en la configuracin de la red para la publicacin de internet y otros archivos de acceso pblico de la entidad Se tienen restringidos los puertos de acceso al Inside de la red de la entidad Se tiene restringida la posibilidad de realizar FTP Se se permite hacer FTP se tienen identificadas las direcciones y usuarios que tiene acceso a este puerto Se realizan revisiones peridicas de la bitcora que generan los diferentes dispositivos de comunicacin (Firewall, proxy, etc) Se tienen restringidos los puertos que permiten a los usuarios bajar software de internet, abrir sesiones de chat, conectarse en lnea a estaciones de radio, TV o video Se tiene comunicacin establecidas con entidades ajenas a la organizacin Se tienen lneas de conexin dedicadas con estas entidades externas a la empresa Se cuenta con un sistema de deteccin de intrusos (IDS) El sistema de deteccin de instrusos es basado en Red El IDS est basado en deteccin de anomalas Se tiene polticas definidas cuando el IDS arroja una anomala detectada
SI NO N/A
OBSERVACIONES

30/Sep/2004 Pg. 19 de 18

G15.- MANEJO DE CONTINGENCIAS G15-01 G15-02 G15-03 G15-04 Se tiene definido un plan de contingencia y continuidad en la entidad Se cuenta con un grupo de personas que le dan mantenimiento y sean responsables de mantener actualizado el plan de contingencia y continuidad del negocio Se tiene definida la poltica de realizar pruebas peridicas de las diferentes partes que conforman el plan Se realiza algn tipo de anlisis de resultado de las pruebas realizadas
SI NO N/A
OBSERVACIONES
G16.- MANEJO DE INTERNET G16-01 G16-02 G16-03 G16-04 G16-05 G16-06 G16-07 G16-08 G16-09 G16-10 G16-11 G16-13 G16-14 G16-15 Se cuenta con un servidor de Internet para la entidad Se tiene en funcionamiento un proxy que controle el acceso a las diferentes pginas de Internet Se tiene definida una pgina de Internet propia de la entidad En esta pgina se puede consultar informacin relacionado con los afiliados Por medio de la pgina de Internet de la entidad se permite realizar transacciones a los afiliados Se le tiene definida una constrasea y usuario a los afiliados que desean realizar transacciones en la red Se tiene un procedimiento formal para la solicitud de esta contrasea y usuario a los afiliados El afiliado puede hacer cambio de esta contrasea El rea o pgina de consulta de los afiliados se desactiva despus de cierto tiempo de no uso Se tiene algn procedimiento de verificacin adicional sobre los trmites que solicita el afiliado por internet para determinar Se tiene definido un funiconario o grupo de funcionarios para que le den mantenimiento a la pgina WEB de la empresa Se tiene polticas establecidas para determinar que personas pueden tener acceso a los servicios de Internet en la entidad Se tiene polticas definidas para determinar qu persnas pueden bajar aplicaciones de Internet Se permite a los funcionarios de la entidad acceder los servidor de Internet de la empresa en forma remota
SI
NO
N/A
OBSERVACIONES

SI
4.- Retenciones Judiciales 5.- Pensiones para Jubilados. 6.- Impuesto a la Renta. 7.- Interface Contable. 8.- Generacin de Acumulados e histricos. 9.- Liquidacin Individuales. 10.- Consultas a perodos escogidos a detalle. 11.- Control de deudas del personal. 12.- Consultas, Histricos de liquidacin. 13.- Estadsticas histricas y de proyeccin. 14.- Simulacin y manejo de costos Contrato Colectivo. 15.- Reliquidaciones de Pago. 16.- Programacin de vacaciones. 17.- Manejo de Cargas Familiares. 18.- Orientado a manejar costos por Centro y Sub-centro.
NO N/A
OBSERVACIONES

AREA TECNICA:
1.- Sistema de administracin de Proyectos para control de obras de inversin 2.- Programas para Estadsticas de operacin y mantenimiento del Sistema de subadministracin y distribucin de la empresa 3.- Activos Fijos. 4.- Sistema para liquidacin de transacciones con el MEM y generadores 5.- Soporte para estudios tcnicos con el Conelec u otros Organismos. 6.- Estudios para la conexin en lnea con las subestaciones. 7.- Sistema para la administracin y control de tarea va Correo Electrnico.
SI
NO
N/A
OBSERVACIONES
AREA FINANCIERA - CONTABILIDAD:

1.- Orientada al manejo de costos.
SI
NO
N/A
OBSERVACIONES
AREA FINANCIERA - TESORERA:

1.- Orientada al manejo de costos. 2.- Integrada con: Control Presupuestal, Compras, Comercial, Ordenes de Pago, Emisin de Cheques y sus comprobantes, Flujo de Caja, Bancos y Conciliacin, Parametrizada y con Manejo de centros y subcentros de costos
SI
NO
N/A
OBSERVACIONES
CUENTAS POR PAGAR Y COBRAR AREA FINANCIERA - PRESUPUESTO:

1.- Control Presupuestal.
SI
NO
N/A
OBSERVACIONES
AREA FINANCIERA - BODEGA:

1.- Control de Bodega. 2.- Soportando Ordenes de Trabajo por Proyecto. 3.- Considerar Puntos de Cargos y Conceptos de Gastos para Costos.
SI
NO
N/A
OBSERVACIONES
AREA FINANCIERA - COMISARIATO:

1.- Integrado con inventarios, compras, contabilidad, Recurso Humano. 2.- Ciclo de compras sistematizado e integrado con requisiciones, Ordenes de Compras, Cotizaciones, Proveedores, Integrado con Inventarios (mxima y mnima), Tesorera, Pagos. Clientes (Internet) Contabilidad (Registros con centros y subcentros de Costos)
SI
NO
N/A
OBSERVACIONES
AREA RECURSOS HUMANOS:

1.- Mayor confiabilidad, flexibilidad, seguridad, dinamismo, paramtrico orientado al servicio al cliente interno y externo. 2.- Independizar del rea de Sistemas la aplicacin. 3.- Integrado con las dems reas.
SI
NO
N/A
OBSERVACIONES
AREA RECURSOS HUMANOS - LIQUIDACION DE HABERES:

1.- Roles de Pago. 2.- Planillas de aportes. 3.- Descuentos al IESS. 4.- Retenciones Judiciales
SI
NO
N/A
OBSERVACIONES

AREA COMERCIAL - RECAUDACION:
1.- Bsqueda del cliente por nombre, cedula, cuenta. 2.- Recaudacin en lnea o en lote de facturas y otros servicios prestados 3.- Claves individuales por recaudador. 4.- Eliminacin de cobros. 5.- Impresin del soporte o recibo de pago. 6.- Permite pagos o abonos parciales. 7.- Manejar opciones de pago: cheque, tarjetas, transferencias Bancarias 8.- Manejo en lnea y fuera de lnea en Agencia. 9.- Convenios de Pago. 10.- Controles de cartera vencida y por vencer parametrizable. 11.- Reportes de Anlisis de cartera. 12.- Reportes de recaudacin diaria, parciales a una hora. 13.- Actualiza acumulados de deuda en lnea.
SI
NO
N/A
OBSERVACIONES
AREA COMERCIAL - CORTES Y RECONEXIN DEL SERVICIO:

1.- Integracin automtica en base a parmetros con la facturacin y su antigedad para el corte y recaudacin y sus convenios para la reconexin 2.- Proceso de optimizacin automtica de rutas de corte y reconexin 3.- Proceso de verificacin y control de las mismas. 4.- Integracin convenios de pago. 5.- Pagos a reconectores por reconexin.
SI
NO
N/A
OBSERVACIONES
AREA COMERCIAL - CONTROL DE MEDIDORES Y TRANSFORMADORES:

1.- La asignacin a un abonado . 2.- El estado del mismo; nuevo, daado, en reparacin. 3.- Manejo del historial. 4.- La relacin alimentadora, subestacin, transformadores y medidores 5.- Todo lo anterior con Interfaces del Area Tcnica.
SI
NO
N/A
OBSERVACIONES
AREA COMERCIAL - CONTROL DE PERDIDAS DE ENERGA:

1.- En base a lecturas promedio, se abrir un caso de Investigacin hacia ese cliente medidor 2.- Se le dar seguimiento, hasta darle una solucin definitiva.
SI
NO
N/A
OBSERVACIONES
AREA COMERCIAL - LIQUIDACION DE COMPRA VS VENTA DE ENERGA:

1.- Comparar la energa comprada vs la energa vendida en un rango o perido de fechas que se establezca 2.- Con esto se determinar los ndices del balance energtico.
SI
NO
N/A
OBSERVACIONES
AREA COMERCIAL - GENERACIN DE FACTURAS POR OTROS CONCEPTOS:

1.- Se facturar por ejemplo por bases de concursos, daos a la empresa, devoluciones, derechos de cobros, multas y todo lo que no sea consumo o facturado anteriormente 2.- El tratamiento sera el mismo que las facturas anteriores.
SI
NO
N/A
OBSERVACIONES

AREA COMERCIAL - MANEJO DE TOMAS DE LECTURAS:
1.- Manejo de lectores y rutas automatizados. 2.- Control diario a lectores su eficiencia y eficacia. 3.- Registro de novedades de los lectores.
SI
NO N/A
OBSERVACIONES
AREA COMERCIAL - MANEJO DE DIGITACION DE LECTURAS:

1.- Asignacin y control automatizado de digitadores y sectores rutas entregados 2.- Control diario a digitadores de su eficiencia y eficacia. 3.- Registro de novedades de los digitadores.
SI
NO N/A
OBSERVACIONES
AREA COMERCIAL - MANEJO VERIFICACION Y CORRECCION DE LECTURAS:

1.- Validacin en lnea y lote de lecturas. 2.- Parmetrizacin de las validaciones con opcin de cambiar a los controles que se deseen. 3.- Filtros de validaciones especiales para los grandes consumidores 4.- Correccin interactivas o en lote.
SI
NO N/A
OBSERVACIONES
AREA COMERCIAL - FACTURACION:

1.- Parametrizada en lo que respecta a pliegos tarifarios, intereses, subsido 2.- Facturacin individualizada por agencias, sector, ruta. 3.- Utiliza Prorrateo con varios pliegos. 4.- Generacin de intereses diarios. 5.- No se facturarn a abonados dados de baja o pendientes de por algn problema 6.- Mensaje Parametrizado en la Planilla. 7.- Generacin de reportes y estadsticos
SI
NO N/A
OBSERVACIONES
AREA COMERCIAL - EMISION DE AVISOS:

1.- No se emitirn si el proceso detect problemas en su generacin a menos que se autorice su emisin 2.- Se emitirn a travs de parmetros es decir por agencias, sector, ruta, cliente u otros 3.- Emite grficos de Historia de Consumos. 4.- No necesitara Formulario Preimpreso. 5.- El Sistema contempla envo de avisos por e-mail. 6.- Se podra implementar un sistema automtico de llamadas directas a los clientes avisndoles el valor de su faturacin reciente y estado de cuenta
SI
NO N/A
OBSERVACIONES
AREA COMERCIAL - REFACTURACION:

1.- Rectificar errores en planillas por datos como lecturas, otros y clculos 2.- Se pueden refacturar aos anteriores, desde cuando. 3.- Se alimentara automticamente de los filtros en la facturacin (en caso de necesitarse) 4.- Usa el criterio de varios pliegos. 5.- Se genera una nueva planilla cuando esta todava no ha sido cancelada 6.- Se genera una N/C o N/D al cliente cuando esta ya ha sido cancelada 7.- Actualiza la historia de facturas del cliente. 8.- Se debe llevar un histrico de antes y despus, usuarios que intervienen y frecuencia de clientes 9.- Permite refacturar al mismo cliente; y misma planilla ms de una vez
SI
NO N/A
OBSERVACIONES

MANEJO DE CONTINGENCIAS
1.- Se tiene definido un plan de contingencia y continuidad en la entidad 2.- Se cuenta con un grupo de personas que le dan mantenimiento y sean responsables de mantener actualizado el plan de contingencia y continuidad del negocio 3.- Se tiene definida la poltica de realizar pruebas peridicas de las diferentes partes que conforman el plan 4.- Se realiza algn tipo de anlisis de resultado de las pruebas realizadas
SI
NO
N/A
OBSERVACIONES
MANEJO DE INTERNET
1.- Se cuenta con un servidor de Internet para la entidad 2.- Se tiene en funcionamiento un proxy que controle el acceso a las diferentes pginas de Internet 3.- Se tiene definida una pgina de Internet propia de la entidad 4.- En esta pgina se puede consultar informacin relacionado con los afiliados 5.- Por medio de la pgina de Internet de la entidad se permite realizar transacciones a los afiliados 6.- Se le tiene definida una constrasea y usuario a los afiliados que desean realizar transacciones en la red 7.- Se tiene un procedimiento formal para la solicitud de esta contrasea y usuario a los afiliados 8.- El afiliado puede hacer cambio de esta contrasea 9.- El rea o pgina de consulta de los afiliados se desactiva despus de cierto tiempo de no uso 10.- Se tiene algn procedimiento de verificacin adicional sobre los trmites que solicita el afiliado por internet para determinar que realmente fueron solicitados por esta persona 11.- Se tiene definido un funiconario o grupo de funcionarios para que le den mantenimiento a la pgina WEB de la empresa 12.- La pgina WEB de la empresa corre en la DMZ 13.- Se tiene polticas establecidas para determinar que personas pueden tener acceso a los servicios de Internet en la entidad 14.- Se tiene polticas definidas para determinar qu persnas pueden bajar aplicaciones de Internet 15.- Se permite a los funcionarios de la entidad acceder los servidor de Internet de la empresa en forma remota
SI
NO
N/A
OBSERVACIONES
EVALUACIN DEL ALCANCE DE LOS PRINCIPALES APLICATIVOS DE LA EMPRESA AREA COMERCIAL - ATENCION AL CLIENTE
1.- Novedades al abonado, Altas/bajas y cambios 2.- Estados de Cuenta. 3.- Solicitud de Servicios 4.- Emisin de Contratos. 5.- Seguimiento a los requisitos y situacin del cliente 6.- Interfaces con el resto de sistemas. 7.- Tiene control de ubicacin : Ejemplo (Geocdigo)
SI
NO
N/A
OBSERVACIONES
AREA COMERCIAL - ATENCION Y SEGUIMIENTO A RECLAMOS:

1.- Seguimiento a los diferentes tipos de reclamos de un cliente desde su presentacin hasta su solucin, inclusive dando paso refacturaciones con N/D o N/C al cliente
SI
NO
N/A
OBSERVACIONES
AREA COMERCIAL - EXTENSIONES DE REDES:

1.- Se maneja el contrato para extensiones de red a grupos de usuarios que solicitan el servicio
SI
NO
N/A
OBSERVACIONES

CONTROLES EN COMUNICACIONES
1.- Se tiene definido un funcionamiento o grupo de funcionarios responsables del rea de comunicaciones 2.- Se tiene definidas formalmente sus funciones y responsabilidades 3.- Se cuenta con cableado estructurado en el edificio de la entidad 4.- El cableado estructurado de la entidad fue debidamente certificado una vez que este se instal 5.- La entidad cuenta con un muro de fuego 6.- El mantenimiento y programacin del muro de fuego es efectuado por personal interno 7.- El mantenimiento y programacin del muro de fuego es efectuado por terceros 8.- Si el mantenimiento del muro de fuego es efectuado por terceros, se cuenta con un contrato de mantenimiento que asegure la confidencialidad de la configuracin de este equipo 9.- El muro de fuego de la entidad es por hardware 10.- Se cuenta con enrutadores en la entidad 11.- Los routers de la empresa son por hardware 12.- Las configuraciones de los equipos de comunicacin se hacen intrenamente 13.- Se tiene definida una zona desmilitarizada (DMZ) en la configuracin de la red para la publicacin de internet y otros archivos de acceso pblico de la entidad 14.- Se tienen restringidos los puertos de acceso al Inside de la red de la entidad 15.- Se tiene restringida la posibilidad de realizar FTP 16.- Se se permite hacer FTP se tienen identificadas las direcciones y usuarios que tiene acceso a este puerto 17.- Se realizan revisiones peridicas de la bitcora que generan los diferentes dispositivos de comunicacin (Firewall, proxy, etc) 18.- Se tienen restringidos los puertos que permiten a los usuarios bajar software de internet, abrir sesiones de chat, conectarse en lnea a estaciones de radio, TV o video 19.- Se tiene comunicacin establecidas con entidades ajenas a la organizacin 20.- Se tienen lneas de conexin dedicadas con estas entidades externas a la empresa 21.- Se cuenta con un sistema de deteccin de intrusos (IDS) 22.- El sistema de deteccin de instrusos es basado en Red 23.- El IDS est basado en deteccin de anomalas 24 Se tiene polticas definidas cuando el IDS arroja una anomala detectada
SI
NO N/A
OBSERVACIONES
INFORME PORMENORIZADO DE RIESGOS DE CONTROL EN EL REA INFORMTICA DE EMAPAM

G01.ASPECTO S ORGANIZ ACIONAL ES Se cuenta con un comit informtico ? El comit informtico est funcionan do y se rene peridicam ente? Se emiten actas formales de las resolucion es y disposicio nes tomadas en el Comit Informtic o?
SI
NO
N/A
OBSERVACIONES
G01-01
G01-02
G01-03
G01-04
Se cuenta con representa cin de la Presidenci a en el Comit Informtic o? Se tiene definido formalmen te el Plan estratgico informtico para la Institucin ? El Plan Estrtegic o informtico se evala con regularida d para determinar si este se apega a los objetivos de la entidad, su misin y visin?
G01-05
G01-06
G01-07
Se tiene definido un Plan Anual Operativo para el rea de sistemas de informaci n? Se hace una revisin peridica del cumplimie nto del Plan Anual Operativo y se emiten resultados formales? Se selecciona , motiva y capacita adecuada y contnuam ente al personal de CPD ?
G01-08
G01-09
G01-10
G01-11
G01-12
Se tiene definido un plan de capacitaci n tecnolgic o formal para los diferentes grupos de usuarios de la entidad? Se define peridicam ente un plan de inversin para el CPD? Se tienen definidos procedimie ntos formales de operacin para CPD? Se cuenta con un organigra ma formalmen te definido para el Area de CPD?
G01-13
G01-14
Se tiene un manual de puestos y funciones formalmen te definido para el rea CPD? Se tiene definida una metodolog a de desarrollo de sistemas formal? Esta metodolog a de desarrollo es de uso obligatorio ? Se cuenta con contratos de mantenimi ento de equipos ? Se cuenta con un seguro contra robo, hurto o daos para el equipo de cmputo?
G01-15
G01-16
G01-17
G01-18
G01-19
Se tiene una politica que obligue a separar los ambientes de desarrollo y produccin de sistemas en la organizaci n? Se tiene un procedimie nto formal que indique a los funcionario s de mantenimi ento y desarrollo de sistemas qu se debe hacer para poner en produccin una modificaci n a los sistemas?
G01-20
G01-21
Se tienen definidos politicas y procedimie ntos formales para la revisin de la calidad de los productos entregado s por CPD? Se cuenta con un oficial o encargado de la Seguridad Electrnic a a nivel institucion al ? Est el personal de operacin del computad or adecuada mente formado en tcnicas de determina cin de problemas y averas?
G01-22
G01-23
G01-24
Est informado el personal de seguridad sobre medidas y cuidados especfico s relativos a la seguridad del departame nto de CPD ? Existen polticas de vacaiones obligatoria s para el personal de CPD? Tiene Auditora un alcance sin restriccion es para investigar cualquier aspecto referente al CPD?
G01-25
G01-26
G02.SEGURID ADES FISICAS
SI
NO
N/A
OBSERVACIONES
G02-01
Cuenta el sistema con un regulador de voltaje? Si la respuesta a la pregunta anterior es s, est funcionan do adecuada mente? Cuenta el sistema con una fuente de poder capaz de dar energa al computad or cuando se suprime la corriente elctrica?
G02-02
G02-03
G02-04
Si la respuesta a la pregunta anterior es s, Est funcionan do adecuada mente?, indique en observacio nes cuantos minutos de energa le da al computad or.
La instalacin elctrica del CPD, tiene conexin a tierra? Existe en el centro de cmputo extintor de incendio?
G02-05
G02-06
G02-07
Si la respuesta a la pregunta anterior es s, Est dentro del perodo de carga y con la presin adecuada ? Cuenta el sistema con un equipo de aire acondicion ado adecuado ? Se mide con frecuencia la temperatur a y la humedad? Las instalacion es de CPD se encuentra n en un lugar funcional?
G02-08
G02-09
G02-10
G02-11
Las lneas elctricas de CPD son independie ntes del resto de la instalacin elctrica? Tienen proteccin para sobre cargas? Existe un sistema adecuado de deteccin de incendios? Existen reglas y letreros que indiquen: "Prohibici n de fumar", " Prohibici n de ingreso a personal no autorizado "
G02-12
G02-13
G02-14
G02-15
Est restringido el acceso al CPD? Tiene el departame nto de CPD alguna puerta de escape y sta puede ser utilizada como entrada? Existe algn plan de seguridad de emergenci a escrito y aprobado? Existen plizas de seguros contratada s y stas qu tipo de riesgo cubren?
G02-16
G02-17
G02-18
G02-19
Existe un mantenimi ento adecuado y peridico a los equipos de computaci n?
G02-20
Existe algn manual o reglament o que trate acerca de la seguridad fsica del CPD? Existe alguna librera con llave para guardar los manuales y document os de los programas y aplicacion es?
G02-21
G02-22
Copia de estos manuales se entregan para que sean guardados en otro lugar fuera de la empresa, en caso de algn siniestro? En caso que la respuesta anterior sea s, las llaves y copias por quin se encuentra n custodiada s?
G02-23
G02-24
Existe algn tipo de control de acceso al Dpto. de CPD. Si existe alguno descrbalo brevement e en observacio nes? Se tiene algn control de entrada/sa lida del personal No Autorizado ? Se cuenta con alguna rea definida de Cintoteca o Discoteca ? Esta rea es de acceso restringido ?
G02-25
G02-26
G02-27
G02-28
Se tiene un procedimie nto para el control de Entrada/S alida de informaci n de esta rea?
G03-01
G03.SEGURID ADES LGICAS Y ACCESO A LOS DATOS Se cuenta con servidores de archivos separados ? Se cuenta con un servidor de aplicacion es separado? Se cuenta con un servidor o rea para desarrollo separada ?
SI
NO
N/A
OBSERVACIONES
G03-02
G03-03
G03-04
Se cuenta con un servidor o rea para produccin separada ? Se cuenta con un servidor de base de datos ? Se cuenta con un servidor PROXY ? Se cuenta con un servidor de acceso remoto RAS ? Se cuenta habilitada la posibilidad de rellamado para las conexione s RAS ? El acceso por medio de RAS solicita password para autenticar la conexin ?
G03-05
G03-06
G03-07
G03-08
G03-09
G03-10
G03-11
El password del RAS tiene vencimient o peridico ? El password del RAS puede ser cambiado por los usuarios dueos de la cuenta ? Se tiene politicas definidas para determinar los funcionario s que son candidatos a tener acceso por medio RAS ? Se cuenta con polticas y directrices para evitar la propagaci n de virus en la Red?
G03-12
G03-13
G03-14
G03-15
G03-16
Se cuenta con un motor de software antivirus que est corriendo en los servidores ? Se cuenta con un antivirus que est corriendo en los clientes ? Se cuenta con polticas definidas para la actualizaci n peridica del software de antivirus tanto en el cliente como en los servidores ?
G03-17
Se cuenta con procedimie ntos formales que indiquen a los funcionario s de soporte cules son las acciones a seguir cuando se detecta un virus en las estaciones de trabajo o en los servidores ?
G04.CONTRO LES DE ACCESO A LOS SISTEMA S El sistema cuenta con un mecanism o de control de acceso ?
SI
NO
N/A
OBSERVACIONES
G04-01
G04-02
El mecanism o de control de acceso se basa en la poltica de autentifica cin por password ? La palabra de paso tiene un periodo de vencimient o establecid o? La palabra de paso tiene una longitud mnima para ser ingresada o definida ?
G04-03
G04-04
G04-05
Al definir un usuario en el sistema por primera ves se le asigna una palabra de paso que debe modificar cuando este ingresada por primera vez a la aplicacin ? Los usuarios pueden cambiar su palabra del paso personalm ente una vez que se da su vencimient o?
G04-06
G04-07
La estructura de la palabra de paso es tal que requiere de una combinaci n de caracteres que no lo permite ingresar palabras de fcil deduccin ? La palabra de paso se almacena en forma encriptada ?
G04-08
G04-09
El mecanism o de control de acceso se basa en la politica de identificaci n por medio del usuario ?
G04-10
Se tiene un procedimie nto formal para la solicitud de ingreso, bloqueo o eliminaci n de un usuario al sistema ? Los usuarios definidos en el Sistema estn asociados a un solo funcionario ?
G04-11
G04-12
El sistema no permite que con un mismo usuario se ingrese simultnea mente a la aplicacin desde dos estaciones diferentes ?
G04-13
Si una sesin en el sistema se queda abierta por un periodo determina do de tiempo sin actividad, la aplicacin se bloquea para que el sistema no sea utilizado ?
G04-14
El usuario de ingreso al sistema se bloquea despus de un nmero determina do de intentos fallidos de ingreso ?
G04-15
Cuando un usuario se encuentra fuera de la entidad por vacacione s, incapacida d o permiso en Usuario es desactivad o para que no se pueda ingresar por el tiempo que este est fuera de la Institucin ?
G04-16
El sistema presenta en pantalla el usuario que realiz el ltimo acceso desde la estacin del cliente ?
G04-17
Se cuenta con bitcoras que almacenen informaci n relativa a la actividad de ingreso al Sistema ? En la bitcora de control de acceso por lo menos se lamacena la siguiente informaci n: usuario y hora de ingreso, usuario y hora de salida, procesos utilizados por el usuario, transaccio nes de actualizaci n en la BD, intentos fallidos de
G04-18
G04-19
Se hacen revisiones pedridica s de la bitcoras de acceso al Sistema ? En caso de detectar desciacion es en el sistema por medio de la revisin de las bitcoras se cuenta con un procedimie nto formal que determine las acciones a tomar en estos casos? El sistema cuenta con la facilidad de definir perfiles de acceso ?
G04-20
G04-21
G04-22
Los perfiles de acceso definidos en el Sistema identifican en forma independie nte las tareas y procesos a los que tienen acceso los usuarios de acuerdo con sus funciones y responsabi lidades ?
Se tiene un procedimie nto formal que permita solicitar la modificaci n, inclusin, desactivac in de perfiles en el Sistema ?
G04-23
G04-24
El rea o persona encargada de la administra cin de los perfiles del Sistema es un funcionario que no pertenece a CPD ? Cuando un usuario tiene asignado un perfil determina do y se ingresa al sistema en la aplicacin se muestra solo las opciones a las que tiene acceso el funcionario con ese perfil ?
G04-25
G04-26
Se tiene definidos perfiles generales por grupos de usuarios o personas de acuerdo con sus funciones y responsabi lidades ?
G05-01
G05.CONTRO LES DE ENTRADA DE DATOS Se tienen formulario s preimpres os para la captura de la informaci n que ingresa al sistema ? El formulario cuenta con copias ?
SI
NO
N/A
OBSERVACIONES
G05-02
G05-03
Las copias en el formulario identifican clarament e las reas a las que se le debe entregar ? Los formulario s son prenumera dos ? El formulario preimpres o tiene el mismo orden de captura que el de ingreso de la informaci n en el Sistema, esta coincide con la forma del diseo de la pantalla ?
G05-04
G05-05
G05-06
En las pantallas de captura de datos se tienen definidos campos como obligatorio s para ser digitados ? Se tiene control de tipos sobre los campos que se capturan ? Se permite ingresar transaccio nes con el mismo nmero de indentifica cin o clave primaria del document o?
G05-07
G05-08
G05-09
Se tienen establecid os controles que permitan restringir rangos de accin de algn valor que se deba ingresar en el sistema ? Se controla el orden cronolgic o de ingreso de transaccio nes en el sistema, de tal forma que no permita realizar operacion es en forma extempor nea o de perodos anteriores ?
G05-10
G06.CONTRO LES DEL PROCESA MIENTO DE LOS DATOS El sistema deja rastro en la transacci n de los usuarios que se vieron involucrad os en su procesami ento (creador, autorizado r o aprobador ? El sistema lleva un consecutiv o propio de las diferentes transaccio nes que permite realizar la aplicacin ?
SI
NO
N/A
OBSERVACIONES
G06-01
G06-02
G06-03
El sistema cuenta con herramient as de auditora que permitan dar seguimient o a una transacci n a lo largo de su procesami ento ?
G06-04
El sistema cuenta con un flujo de trabajo interno que permita asegurar que la transacci n sigue el cilo normal de procesami ento y que ste no se pueda alterar ?
G07.CONTRO LES DE LAS SALIDAS DE DATOS Los reportes impresos que emite el Sistema se clasifican de acuerdo a su confidenci alidad ? Si tiene restringido el acceso a los reportes y consultas del sistema de acuerdo con las funciones y responsabi lidades de los usuarios ?
SI
NO
N/A
OBSERVACIONES
G07-01
G07-02
G07-03
Si el sistema emite archivos electrnico s como salida se graban en un rea con acceso restringido ? Loa archivos electrnico s emitidos por el Sistema cuentan con un porcedimie nto formal para su distribuci n ? Se tiene un responsabl e definido para la distribuci n de los archivos electrnico s?
G07-04
G07-05
G07-06
Los reportes cuentan con nombre del reporte, fecha de emisin, usuario que lo emiti, programa que los elabor y vigencia consignad a en ellos cada vez que son impresos ? Si tiene alguna disposici n establecid a en trminos de manipulaci n, archivado o destrucci n de los reportes obsoletos que emite el sistema ?
G07-07
G08.CONTRO LES A LOS RESPALD OS Se tiene definido un procedimie nto formal para el respaldo de la aplicacin (fuentes y ejecutable s) ? Se tiene definido un procedimie nto formal para el respaldo de la base de datos del Sistema ? El procedimie nto de respaldo est automatiza do ? El respaldo se realiza peridicam ente ?
SI
NO
N/A
OBSERVACIONES
G08-01
G08-02
G08-03
G08-04
G08-05
Se realizan varias copias del respaldo de datos y de la aplicacin ? Se tienen almacenad as copias del respaldo de datos y de la aplicacin en lugares geogrfico s diferentes ?
G08-06
G08-07
Se tiene un funcionario responsabl e de verificar que el respaldo se realiz satisfactori amente ?
G08-08
Dentro de la organizaci n el respaldo se almacena en lugar especialm ente diseado para ello ? La forma de organizaci n de la ejecucin del respaldo permite a la organizaci n asegurars e de que en caso de una contingenc ia la prdida de informaci n sea mnima ?
G08-09
G08-10
G08-11
Se tiene definido un procedimie nto de recuperaci n de informaci n parcial o total ante una contingenc ia ? Se realizan pruebas peridicas de recuperaci n para determinar que los respaldos estan funcionan do adecuada mente ?
G08-12
Se cambian con regularida d los medios fsicos donde se almacena la informaci n respaldad a, para asegurar su buen funcionami ento ? Estn los discos, cintas y cualquier otro medio magntico convenient emente almacenad o en salas o armarios especiales ? Existen copias de los respaldos fuera del edificio?
G08-13
G08-14
G08-15
En caso que la respuesta anterior sea s, las llaves y copias por quin se encuentra n custodiada s? Est restringido el acceso a manuales, document acin, libreras, discos, cintas y medios magntico s? Est marcado o identificad o perfectam ente el material confidenci al?
G08-16
G08-17
G08-18
Se sacan suficientes copias de seguridad de los archivos principales ? Existe algn plan escrito sobre la periodicida d para emitir las copias de respaldo? Existe un inventario actualizad o de las cintas y discos que permita controlar su ubicacin y antigeda d?
G08-19
G08-20
G08-21
Destruye los discos y cintas daadas, o aquellos que ya no estn en uso, dejando evidencia de dicha destrucci n en un acta? Se destruye adecuada mente todo papel, listado, etc., que no se le va a dar uso? Existe una destructur a de papel y funciona adecuada mente? Existe un stock mnimo o de seguridad de los suministro s en el departame nto de CPD?
G08-22
G08-23
G08-24
G08-25
Existe una bitcora que identifique y permita cumplir los procedimie ntos para encender y apagar el equipo ya sea en opoeracio nes normales o cuando se va la energa elctrica?
G08-26
Existe la probabilida d, que en caso de algn problema en los equipos, se pueda continuar el desarrollo de las tareas en otra oficina, de ser as, existe la seguridad de que la otra empresa dar las condicione s necesarias para
G08-27
Se lleva una bitcora, sobre las averas, interrupcio nes en el funcionam oento del equipo, como tambin sobre los posibles problemas que se presentan al operarlo. Est prohibido el uso y operacin de los equipos del Centro de Cmputo a personal no autorizado ?
G08-28
G08-29
Existe algn mecanism o de control que permita conocer a quien se le entrega la informaci n procesada por el computad or? Existe algn tipo de solicitud para la emisin de listado, archivos magntico s e informaci n por parte de CPD?
G08-30
G08-31
Tiene la informaci n y listados emitidos por CPD, una hoja de ruta que permita conocer el destino y utilizacin de dicha informaci n? Se retiene copias de la informaci n en el tiempo necesario para satisfacer requisitos operacion ales y legales?
G08-32
G09.CONTRO LES A LAS BASES DE DATOS
SI
NO
N/A
OBSERVACIONES
G09-01
Se tiene definido un rea o persona para la administra cin de la base de Datos en la entidad? Se tienen definidos perfiles de acceso para los funcionario s en la base de datos aparte de los del sistema? Se realizan afinamient os "Tunning" peridicos de las Bases de Datos? Las bases de datos tienen definidas un password para lograr accerderla s?
G09-02
G09-03
G09-04
G09-05
G09-06
Se tiene un procedimie nto formal el cual se debe aplicar en el caso de que se deba realizar alguna modificaci n a los datos de una base de datos en produccin ? Se utilizan las fortalezas de validacin de informaci n que ofrece la base de datos ( Trigers, integridad referencial y validacion es personaliz adas por el programad or?
G10.ASPECTO S GENERAL ES DE LOS SISTEMA S DE INFORMA CIN El sistema es desarrolla do intername nte El mantenimi ento del Sistema lo dan funcionario s de la Entidad El Sistema es una aplicacin desarrolla da a la medida
SI
NO
N/A
OBSERVACIONES
G10-01
G10-02
G10-03
G10-04
El Sistema est desarrolla do con base en un lenguaje de programac in que es estndar de la Entidad El Sistema est desarrolla do con base en una plataforma de base de datos que es estndar para la entidad El Sistema tiene menos de cinco aos de funcionami ento
G10-05
G10-06
G10-07
El Sistema es integrado con otras aplicaicon es automatiza das de la Entidad El Sistema ha sido auditado ya sea por la Auditora Interna o por una firma externa Existe document acin de los sistemas que forman el software, de ser as adjunte el detalle de los mismos? Es adecuada la socumenta cin de los programas ?
G10-08
G10-09
G10-10
G10-11
Los cambios, midificacio nes, o nuevos programas son autorizado s antes de proceder a su realizacin ?. Existen cronogram as de trabajo para el personal de CPD, tanto de operacion es como programac in y anlisis?. Si la respuesta anterior es afirmativa, quienes son los responsabl es de la evaluacin de su cumplimie nto?.
G10-12
G10-13
G10-14
La elaboraci n y desarrollo de los programas es efectuado en una librera de pruebas, independie nte de la librera de programas en lnea?. Se document a adecuada mente cualquier cambio o modificaci n a un programa ?. Existe un inventario actualizad o de los manuales y documuen tacin de programas y aplicacion es ?.
G10-15
G10-16
G10-17
G10-18
G10-19
G10-20
Participa n los auditores internos en el desarrollo y revisin de los programas y aplicacion es?. Existe un plan para el desarrollo futuro de programas y aplicacion es?. El acceso a los programas est restringido y reglament ado para el departame nto de CPD?. Se preparan manuales de cada programa para el usuario?.
G10-21
G10-22
G10-23
Se da mantenimi ento a los programas y aplicacion es en forma regular?. Estn integrados los programas y aplicacion es en un todo?. Existen procedimie ntos escritos y detallafdos con instruccion es concretas acerca del uso de cada programa y aplicacin ?.
G10-24
Est cada usuario o grupo de usuarios provistos de una palabra clave o cdigo secreto de seguridad ?. Se cambia las claves de seguridad cada que tiempo y quienes son los responsabl es de hacerlo?. El acceso a las palabras claves o secretas es restringido ?.
G10-25
G10-26
G10-27
Cuando se da el retiro de alguna persona del Centro de Cmputo, o de cualquier otro departame nto, Cul es el procedimie nto que se aplica sobre las claves de seguridad asignadas ? Las fallas de funcionami ento en los programas son document adas y revisadas adecuada mente?
G10-28
G10-29
Los programas y aplicacion es son autorizado s por los niveles respectivo s y adecuados ? Existen procedimie ntos escritos para descargar o restaurar informaci n al computad or? Emite el sistema un listado de control donde se especifiqu e la hora, la fecha, los programas utilizados y los usuarios respectivo s?
G10-30
G10-31
G10-32
Existen estndare s establecid os para la elaboraci n y document acin de los programas ? Exiten procedimie ntos para probar programas modificado s de manera que asegure el no daar a los dems ?
G10-33
G10-34
Las mejoras o modificaci ones a los sistemas son aprobados como seal de conformid ad ?
G10-35
Si la respuesta es correcta indique si existe algn formulario y quienes efectan la aprobaci n? Hay procedimie ntos y controles para detectar un intento de ingresar al computad or por parte de personas no autorizada s ?.
G10-36
G11.CONTRO LES PARA EL ANLISIS, DESARR OLLO Y MANTENI MIENTO DE LOS SISTEMA S DE INFORMA CIN Se ha determina do alguna metodolog a de los standares para diseo de sistemas? Existen estudios de factibilidad ? Se han elaborado planes de diseo, desarrollo de la implantaci n de sistemas?
SI
NO
N/A
OBSERVACIONES
G11-01
G11-02
G11-03
G11-04
G11-05
G11-06
G11-07
Se han diseado, sistemas integrados de informaci n? Qu procedimie nto se utiliza para los estudios de Costo Beneficio. ? Cul es la poltica de costo utilizada? Se cumplen los planes de procesami ento de datos comparan do lo ejecutado con lo planeado. ?
G11-08
Participa n los auditores internos en los procesos de planificaci n para expresar sus necesidad es.? Existe una metodolog a escrita para el anlisis desarrollo de implantaci n de sistemas? Existen planes para adquisicio nes futuras de equipos.? Se aplican los procedimie ntos para planificar software?
G11-09
G11-10
G11-11
G11-12
Participa auditora en el desarrollo de sistemas? Se han diseado procedimie ntos standares para todas las reas usuarias? Es el usuario el responsabl e del ingreso de los datos? Se ha efectuado una racionaliza cin de los formulario s que facilite el ingreso de datos?
G11-13
G11-14
G11-15
G11-16
Se han incluido en los sistemas cifras de control que facilite detectar inconsiste ncias durante el proceso? Los planes de procesami ento de datos estn adecuada mente coordinad os con los planes generales de la institucin. ? Se cumplen los planes de desarrollo de sistemas?
G11-17
G11-18
G11-19
Las modificaci ones de los programas se realizan de acuerdo a los estndare s existentes ? Los usuarios revisan y prueban los resultados de los cambios antes de su implantaci n? Qu criterio de seleccin se utiliz para el uso del lenguaje de programac in?
G11-20
G11-21
G11-22
Existe document acin de los programas , cuales son los document os que la forman? Existe un procedimie nto de actualizaci n? En caso de cambios o actualizaci ones de programas existe la document acin necesaria que respalde dichos cambios? Existen controles adecuados establecid os para solicitar y aprobar los cambios a los programas ?
G11-23
G11-24
G11-25
G11-26
Existen normas estndare s para la codificaci n de los programas ?
G12.CONTRO LES DE OPERACI ONES Y MANTENI MIENTO DE EQUIPOS Se elabora peridicam ente un plan de renovacin de equipos Se lleva un control de inventario de hardware de la entidad
SI
NO
N/A
OBSERVACIONES
G12-01
G12-02
G12-03
El control de inventario contempla informaci n detallada de las caractersti cas y componen tes del equipo inventariad o
G12-04
El mantenimi ento de los equipos de cmputo se da por funcionario s internos
G12-05
Se le da manteninie to de tipo preventivo a los equipos de cmputo
G12-06
El mantenimi ento correctivo del equipo de cmputo se tiene contratado extername nte Se lleva un control de las garantas del equipo de cmputo para saber cul de estos cuentan con esta cobertura. Se cuenta con las licencias del software que se utiliza en la entidad
G12-07
G12-08
G12-09
Se lleva un inventario del software que se encuentra instlado en todas las computad oras de la entidad Se evala el rendimient o del personal directivo y operativo? Se efecta en forma anual una evaluacin de mantenimi ento y de proveedor es? Cul es la cobertura de los seguros contratado s?
G12-10
G12-11
G12-12
G12-13
Existe una bitcora sobre el uso de los computad ores y su posterior evaluacin del tipo de utilizacin ? Se cumple con la bitcora de los procedimie ntos que cumple el operador, durante el da y est es revisada por el supervisor inmediato o el Gerente de sistemas?
G12-14
G12-15
Existe la bitcora sobre el mantenimi ento que se le da a los equipos, con la novedades correspon dientes? Existen procedimie ntos escritos sobre la actualizaci n de archivos? Existen procedemi entos por escrito sobre la utilizacin de las libreras? Existen programas de control y revisin sobre los archivos manejados por el usuario?
G12-16
G12-17
G12-18
G12-19
Est prohibido la operacin del equipo de analistas y programad ores? Los operadore s del equipo conocen de la lgica de los programas a tal punto que puedan hacer cambios o actualizaci ones? Se ha creado archivos que proporcion en pistas para la intervenci n posterior de Auditora?
G12-20
G12-21
G13-01
G13-02
G13-03
G13-04
G13.CONTRO LES EN REDES La Empresa tiene definida una LAN La empresa tiene definida una WAN Se cuenta con un administra dor o grupo de personas que se dediquen a la administra cin de la red definida en la entidad Se cuenta con un conjunto formal de funciones asignadas al grupo de administra cin de red
SI
NO
N/A
OBSERVACIONES
G13-05
El software de red cuenta con bitcoras que permita dejar pistas ante anomalas de acceso o violacin de recursos en la red Se realizan revisones peridicas de la bitcora disponible s por el software de red Se tiene polticas definidasq ue se deban tomar ante la deteccin de una anomala en la bitcora
G13-06
G13-07
G13-08
G13-09
G13-10
Se tiene definidos usuarios individualiz ados para los diferentes funcionario s de la empresa que acceden a la red Se tienen definidos grupos de trabajo que accedan reas particulare s de la red de acuerdo a sus funciones y responsabi lidades. Se cuenta con usuarios de administra cin de la red identificad os para cada persona que tenga asignada esta labor
G13-11
Se le cambiaron los password por defecto o en blanco que genera el software de red a los diferentes usuarios incluyendo al de administra cin cuando este se instala
G13-12
El usuario de administra dor por defecto que genera en la instalacin de la red, est con acceso restringido por parte del grupo de administra cin y en particular este no se utiliza para labores de soporte a la red sino que se utilizan los usuarios Se tiene restringido el acceso a la red en horas que no son de oficina a los funcionario s que no deberan estar laborando
G13-13
G13-14
Se suspende el acceso a la red afuncionari os que se encuentra n de vacacione s, permiso o incapacita dos Las funicones de administra cin de red se busca rotarlas peridicam ente entre los funcionario s que las realizan Se monitorea el acceso a las diferentes reas y recursos de red por parte de los funcionario s del CPD
G13-15
G13-16
G13-17
Si se detecta alguna anomala del monitoreo de funcionario s del CPD en la red se tienen polticas y procedimie ntos establecid os para proceder ante estas situacione s Se realizan anlisis para asegurar el equilibrio entre las cargas de trabajo, tiempos de respuesta y eficiencia del sistema
G13-18
G13-19
Se tienen habilitadas las facilidades de uso de contrase a que ofrece el software para los usuarios de red Se define vencimient o peridico para los password de la red Se permite restringir el uso del mismo password al usuario despus de que este se cambia
G13-20
G13-21
G13-22
Se obliga al usuario a cambiar su password cuando este es definido por primera vez por parte del CPD en el momento de crear su cuenta
G13-23
Se permite que el usuario cambie su contrase a en forma personaliz ada
G14.CONTRO LES EN COMUNIC ACIONES
SI
NO
N/A
OBSERVACIONES
G14-01
G14-02
Se tiene definido un funcionami ento o grupo de funcionario s responsabl es del rea de comunicac iones Se tiene definidas formalmen te sus funciones y responsabi lidades Se cuenta con cableado estructura do en el edificio de la entidad El cableado estructura do de la entidad fue debidame nte certificado una vez que este se instal
G14-03
G14-04
G14-05
La entidad cuenta con un muro de fuego El mantenimi ento y programac in del muro de fuego es efectuado por personal interno El mantenimi ento y programac in del muro de fuego es efectuado por terceros
G14-06
G14-07
G14-08
Si el mantenimi ento del muro de fuego es efectuado por terceros, se cuenta con un contrato de mantenimi ento que asegure la confidenci alidad de la configuraci n de este equipo El muro de fuego de la entidad es por hardware Se cuenta con enrutadore s en la entidad Los routers de la empresa son por hardware
G14-09
G14-10
G14-11
G14-12
Las configuraci ones de los equipos de comunicac in se hacen intrename nte Se tiene definida una zona desmilitari zada (DMZ) en la configuraci n de la red para la publicaci n de internet y otros archivos de acceso pblico de la entidad Se tienen restringido s los puertos de acceso al Inside de la red de la entidad
G14-13
G14-14
G14-15
Se tiene restringida la posibilidad de realizar FTP Se se permite hacer FTP se tienen identificad as las direccione s y usuarios que tiene acceso a este puerto Se realizan revisiones peridicas de la bitcora que generan los diferentes dispositivo s de comunicac in (Firewall, proxy, etc)
G14-16
G14-17
G14-18
Se tienen restringido s los puertos que permiten a los usuarios bajar software de internet, abrir sesiones de chat, conectarse en lnea a estaciones de radio, TV o video Se tiene comunicac in establecid as con entidades ajenas a la organizaci n Se tienen lneas de conexin dedicadas con estas entidades externas a la empresa
G14-19
G14-20
G14-21
Se cuenta con un sistema de deteccin de intrusos (IDS)
G14-22
El sistema de deteccin de instrusos es basado en Red El IDS est basado en deteccin de anomalas Se tiene polticas definidas cuando el IDS arroja una anomala detectada
G14-23
G14-24
G15.MANEJO DE CONTING ENCIAS
SI
NO
N/A
OBSERVACIONES
G15-01
Se tiene definido un plan de contingenc ia y continuida d en la entidad Se cuenta con un grupo de personas que le dan mantenimi ento y sean responsabl es de mantener actualizad o el plan de contingenc ia y continuida d del negocio Se tiene definida la poltica de realizar pruebas peridicas de las diferentes partes que conforman el plan
G15-02
G15-03
G15-04
Se realiza algn tipo de anlisis de resultado de las pruebas realizadas
G16.MANEJO DE INTERNE T Se cuenta con un servidor de Internet para la entidad Se tiene en funcionami ento un proxy que controle el acceso a las diferentes pginas de Internet Se tiene definida una pgina de Internet propia de la entidad
SI
NO
N/A
OBSERVACIONES
G16-01
G16-02
G16-03
G16-04
En esta pgina se puede consultar informaci n relacionad o con los afiliados Por medio de la pgina de Internet de la entidad se permite realizar transaccio nes a los afiliados
G16-05
G16-06
Se le tiene definida una constrase a y usuario a los afiliados que desean realizar transaccio nes en la red
G16-07
Se tiene un procedimie nto formal para la solicitud de esta contrase a y usuario a los afiliados El afiliado puede hacer cambio de esta contrase a El rea o pgina de consulta de los afiliados se desactiva despus de cierto tiempo de no uso
G16-08
G16-09
G16-10
Se tiene algn procedimie nto de verificaci n adicional sobre los trmites que solicita el afiliado por internet para determinar
G16-11
Se tiene definido un funiconario o grupo de funcionario s para que le den mantenimi ento a la pgina WEB de la empresa
G16-12
La pgina WEB de la empresa corre en la DMZ
G16-13
G16-14
Se tiene polticas establecid as para determinar que personas pueden tener acceso a los servicios de Internet en la entidad Se tiene polticas definidas para determinar qu persnas pueden bajar aplicacion es de Internet Se permite a los funcionario s de la entidad acceder los servidor de Internet de la empresa en forma remota
G16-15

CONTROLES EN REDES
1.- La Empresa tiene definida una LAN 2.- La empresa tiene definida una WAN 3.- Se cuenta con un administrador o grupo de personas que se dediquen a la administracin de la red definida en la entidad 4.- Se cuenta con un conjunto formal de funciones asignadas al grupo de administracin de red 5.- El software de red cuenta con bitcoras que permita dejar pistas ante anomalas de acceso o violacin de recursos en la red 6.- Se realizan revisones peridicas de la bitcora disponibles por el software de red 7.- Se tiene polticas definidasque se deban tomar ante la deteccin de una anomala en la bitcora 8.- Se tiene definidos usuarios individualizados para los diferentes funcionarios de la empresa que acceden a la red 9.- Se tienen definidos grupos de trabajo que accedan reas particulares de la red de acuerdo a sus funciones y responsabilidades. 10.- Se cuenta con usuarios de administracin de la red identificados para cada persona que tenga asignada esta labor 11.Se le cambiaron los password por defecto o en blanco que genera el software de red a los diferentes usuarios incluyendo al de
SI
NO
N/A
OBSERVACIONES
administracin cuando este se instala 12.- El usuario de administrador por defecto que genera en la instalacin de la red, est con acceso restringido por parte del grupo de administracin y en particular este no se utiliza para labores de soporte a la red sino que se utilizan los usuarios persona. 13.- Se tiene restringido el acceso a la red en horas que no son de oficina a los funcionarios que no deberan estar laborando 14.- Se suspende el acceso a la red afuncionarios que se encuentran de vacaciones, permiso o incapacitados 15.- Las funicones de administracin de red se busca rotarlas peridicamente entre los funcionarios que las realizan 16.- Se monitorea el acceso a las diferentes reas y recursos de red por parte de los funcionarios del CPD 17.- Si se detecta alguna anomala del monitoreo de funcionarios del CPD en la red se tienen polticas y procedimientos establecidos para proceder ante estas situaciones 18.- Se realizan anlisis para asegurar el equilibrio entre las cargas de trabajo, tiempos de respuesta y eficiencia del sistema 19.- Se tienen habilitadas las facilidades de uso de contrasea que ofrece el software para los usuarios de red 20.- Se define vencimiento peridico para los password de la red 21.- Se permite restringir el uso del mismo password al usuario despus de que este se cambia 22.- Se obliga al usuario a cambiar su password cuando este es definido por primera vez por parte del CPD en el momento de crear su cuenta 23.- Se permite que el usuario cambie su contrasea en forma personalizada

Cuestionario de Auditoría Informática

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cuestionario de Auditoría Informática

Cargado por

Copyright:

Formatos disponibles

CUESTIONARIO PARA AUDITORIA INFORMATICA

CONTROLES DE OPERACIONES Y MANTENIMIENTO DE EQUIPOS

CUESTIONARIO PARA AUDITORIA INFORMATICA

CUESTIONARIO PARA AUDITORIA INFORMATICA

ASPECTOS GENERALES DE LOS SISTEMAS DE INFORMACIN

CUESTIONARIO PARA AUDITORIA INFORMATICA

CUESTIONARIO PARA AUDITORIA INFORMATICA

CONTROLES DEL PROCESAMIENTO DE LOS DATOS

CONTROLES DE LAS SALIDAS DE DATOS

CUESTIONARIO PARA AUDITORIA INFORMATICA

CONTROLES DE ACCESO A LOS SISTEMAS

CUESTIONARIO PARA AUDITORIA INFORMATICA

Cristbal Garca Espinoza Consultor Informtico

INFORME PORMENORIZADO DE RIESGOS DE CONTROL EN EL REA INFORMTICA DE UN CENTRO DE COMPUTO

Cristbal Garca Espinoza Consultor Informtico

EN EL REA INFORMTICA DE UN CENTRO DE COMPUTO

Cristbal Garca Espinoza Consultor Informtico

EN EL REA INFORMTICA DE UN CENTRO DE COMPUTO

Cristbal Garca Espinoza Consultor Informtico

EN EL REA INFORMTICA DE UN CENTRO DE COMPUTO

Cristbal Garca Espinoza Consultor Informtico

EN EL REA INFORMTICA DE UN CENTRO DE COMPUTO

Cristbal Garca Espinoza Consultor Informtico

EN EL REA INFORMTICA DE UN CENTRO DE COMPUTO

Se realizan afinamientos "Tunning" peridicos de las Bases de Datos?

Las bases de datos tienen definidas un password para lograr accerderlas?

Cristbal Garca Espinoza Consultor Informtico

EN EL REA INFORMTICA DE UN CENTRO DE COMPUTO

Cristbal Garca Espinoza Consultor Informtico

EN EL REA INFORMTICA DE UN CENTRO DE COMPUTO

Cristbal Garca Espinoza Consultor Informtico

EN EL REA INFORMTICA DE UN CENTRO DE COMPUTO

Cristbal Garca Espinoza Consultor Informtico

EN EL REA INFORMTICA DE UN CENTRO DE COMPUTO

Cristbal Garca Espinoza Consultor Informtico

EN EL REA INFORMTICA DE UN CENTRO DE COMPUTO

Cristbal Garca Espinoza Consultor Informtico

EN EL REA INFORMTICA DE UN CENTRO DE COMPUTO

CUESTIONARIO PARA AUDITORIA INFORMATICA

CUESTIONARIO PARA AUDITORIA INFORMATICA

AREA FINANCIERA - CONTABILIDAD:

AREA FINANCIERA - TESORERA:

CUENTAS POR PAGAR Y COBRAR AREA FINANCIERA - PRESUPUESTO:

AREA FINANCIERA - BODEGA:

AREA FINANCIERA - COMISARIATO:

AREA RECURSOS HUMANOS:

AREA RECURSOS HUMANOS - LIQUIDACION DE HABERES:

CUESTIONARIO PARA AUDITORIA INFORMATICA

AREA COMERCIAL - CORTES Y RECONEXIN DEL SERVICIO:

AREA COMERCIAL - CONTROL DE MEDIDORES Y TRANSFORMADORES:

AREA COMERCIAL - CONTROL DE PERDIDAS DE ENERGA:

AREA COMERCIAL - LIQUIDACION DE COMPRA VS VENTA DE ENERGA:

AREA COMERCIAL - GENERACIN DE FACTURAS POR OTROS CONCEPTOS:

CUESTIONARIO PARA AUDITORIA INFORMATICA

AREA COMERCIAL - MANEJO DE DIGITACION DE LECTURAS:

AREA COMERCIAL - MANEJO VERIFICACION Y CORRECCION DE LECTURAS:

AREA COMERCIAL - FACTURACION:

AREA COMERCIAL - EMISION DE AVISOS:

AREA COMERCIAL - REFACTURACION:

CUESTIONARIO PARA AUDITORIA INFORMATICA

AREA COMERCIAL - ATENCION Y SEGUIMIENTO A RECLAMOS:

AREA COMERCIAL - EXTENSIONES DE REDES:

CUESTIONARIO PARA AUDITORIA INFORMATICA