Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoria Informatica
Auditoria Informatica
PARTE N VIII
AUDITORIA INFORMATICA
PROYECTO BID/CGR
MANAGUA NICARAGUA
JULIO, 2009
Contralora General de la Repblica
INDICE
Captulo XXVI
Visin general de la Auditora Informtica 1
Captulo XXVII
Fase I. Planeacin y Programacin de Auditora 6
1. Planificacin Previa 8
2. Informacin preliminar que se debe recopilar 10
2.1 Informacin general 10
2.2 Seguridad 11
2.3 Integridad, confiabilidad y disponibilidad de los sistemas de informacin 11
2.4 Desarrollo, adquisicin, mantenimiento, de los sistemas de informacin 11
3. Evaluacin de los Sistemas 12
4. Comprensin del Control Interno 13
4.1 Evaluacin de los controles 13
5. Desarrollo de la estrategia de la Auditora 16
5.1 Establecimiento de trminos de referencia 16
5.2 Hechos y transacciones de significacin 18
5.3 Seguimiento de hallazgos y recomendaciones 19
5.4 Programacin de la estrategia de auditora 19
5.5 Ajustes a la planeacin de la estrategia 20
6. Personal participante 20
7. Programas de auditora 21
7.1 Evaluacin de poltica y procedimientos 22
7.2 Evaluacin del diseo lgico de sistemas 23
7.3 Evaluacin del diseo, control de los sistemas 24
7.4 Evaluacin de las medidas de seguridad y control de los sistemas 24
7.5 Respaldo en casos de desastre 25
7.6 Contratos de mantenimiento 26
8. Cronograma 27
Captulo XXVIII
Fase II. Ejecucin de Auditoria Informtica 28
Captulo XXIX
Fase III. Informe de Auditora Informtica 45
1. Evaluacin de los hallazgos y conclusiones de auditora 47
2. Tipos de informe 48
3. Discusin de Informe 48
Anexos
Modelos de Cuestionarios y programas 50
1. Cuestionarios 51
1.1 Revisin de Control Interno general 51
1.2 Cuestionario sobre planes generales 53
1.3 Evaluacin del diseo y pruebas de los sistemas 55
1.4 Cuestionario sobre control de informacin 56
1.5 Cuestionarios sobe control de operaciones 59
1.6 Cuestionario sobre controles de salida 64
1.7 Cuestionario sobre control de medios de almacenamiento 65
1.8 Cuestionario sobre control de mantenimiento 68
1.9 Cuestionario sobre orden y cuidado de centro de cmputo 70
1.10 Cuestionario sobre evaluacin de configuracin del sistema 71
1.11 Cuestionario sobre evaluacin de la seguridad fsica 72
1.12 Cuestionario sobre control de inventario 79
1.13 Cuestionario sobre control de activo fijo 80
1.14 Cuestionario sobre uso de correo electrnico 81
2. Programas de auditora 82
2.1 Programa de anlisis de software 82
2.2 Programa de apoyo al Software del sistema 86
2.3 Programa de verificacin del Hardware 87
2.4 Programa de evaluacin del diseo lgico 88
2.5 Programa de evaluacin del desarrollo de los sistemas 90
2.6 Programa de evaluacin de los instructivos de operacin 91
2.7 Programa de evaluacin de los controles 92
2.8 Programa de verificacin de la seguridad fsica 93
2.9 Programa de verificacin de la seguridad en la utilizacin de equipos 95
2.10 Programa de verificacin de la seguridad al restaurar el equipo 97
2.11 Programa de verificacin de la seguridad de la informacin 98
Contralora General de la Repblica
CAPITULO XXVI
VISION GENERAL DE LA AUDITORIA INFORMATICA
1
Captulo XXVI VISION GENERAL DE AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
Captulo XXVI
Visin General de la Auditora Informtica
La Auditora informtica debe ser realizada por un Auditor de Sistemas, miembro especialista del
personal profesional designado para la ejecucin de la auditora, para ello debe tener
entrenamiento apropiado y experiencias en ambientes complejos de computacin, lo que en su
actuacin esta regulado muy estrechamente con las normas ticas de la OLACEF e INTOSAI
que a nivel global estn enmarcado a la fiscalizacin gubernamental en Centroamrica, y los
asuntos relacionados tiene temas como:
2
Captulo XXVI VISION GENERAL DE AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
2. Concepto
2. Objetivos
El objetivo general de la auditora informtica recae en emitir una opinin sobre los procesos
claves de control de los sistemas informticos, utilizando como criterios de comparacin los
Principios Generales y Normas Bsicas de Controles Estndares, disposiciones legales,
reglamentarias, normativas y/o polticas aplicables a la Entidad u Organismo auditado, as como
la evaluacin de a efectividad de sus sistemas de informacin que integran y conforman el control
interno computarizado.
Verificar el cumplimiento de las polticas, normas y procedimientos que rigen las tecnologas de
la informacin.
Comprobar una seguridad razonable de los recursos (datos, tecnologas, instalaciones, personal y
aplicaciones), cumpliendo con los objetivos de control y los objetivos generales del negocio.
3
Captulo XXVI VISION GENERAL DE AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
b.1 Las Normas Generales de la Instalacin Informtica: Registrar las reas que carezcan
de normatividad. Se revisa que la normatividad informtica general no sea contradictoria
con la Normal general de la Empresa.
3. Normas de Auditora
En auditora Informtica se debern aplicar las NAGUN 2.10 a 2.90 correspondiente a las normas
aplicables a todo tipo de auditora as como las Normas especficas de Auditora Informtica
NAGUN 10.10 a NAGUN 10.30
4
Captulo XXVI VISION GENERAL DE AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
Como toda auditora, se lleva a cabo en tres fases generales denominada planeacin, ejecucin
(trabajo de campo) y comunicacin de resultados. (Informes); en cada una de esas fases se
ejecutan una serie de actividades, labores y tareas, las que sern tratadas en el presente Manual.
a) Planeacin de la auditora:
5
Captulo XXVI VISION GENERAL DE AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
CAPITULO XXVII
PLANEACION Y PROGRAMACION DE AUDITORIA
6
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
Captulo XXVII
Planeacin y programacin de la auditora
El plan de auditora debe estar basado en la comprensin de las actividades de las entidades, sus
sistemas de administracin y control, la naturaleza de las transacciones que realiza y las leyes y
reglamentos que le aplican. Debe ser documentado como parte integral de los papeles de trabajo
y modificado, cuando sea necesario durante el transcurso de la auditoria.
La planeacin es imprescindible para todo tipo de trabajo, cualquiera sea su tamao. Sin una
adecuada planeacin es prcticamente imposible obtener efectividad y eficiencia en la ejecucin
de los trabajos, debe ser cuidadosa y creativa, positiva e imaginativa y tener en cuenta
alternativas para realizar las tareas, seleccionando lo mtodos ms apropiados, es decir,
determinando un enfoque de auditora adecuado y prctico, acorde con las circunstancias.
Las Normas de Auditoras Gubernamentales de Nicaragua (NAGUN) establecen que Para cada
auditora se elaborar un plan de trabajo especfico y en lo particular a la auditora Informtica
indican:
NAGUN 10.10
Para hacer una adecuada planeacin de la auditora en informtica, hay que seguir una serie de
pasos previos que permitirn dimensionar el tamao y caractersticas de rea dentro del
organismo a auditar, sus sistemas, organizacin y equipo.
1. Para que un proceso de auditora de tecnologa de la informacin tenga xito debe comenzar
por obtener un diagnostico con informacin verdadera y a tiempo de lo que sucede en la
organizacin bajo anlisis, esta obtencin de la informacin debe ser planeada en forma
estructurada para garantizar una generacin de datos que ayuden posteriormente su anlisis.
Es un ciclo continuo en el cual se planea la recoleccin de datos, se analiza, se retroalimentan
y se da un seguimiento.
7
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
3. Se deber obtener una comprensin suficiente del ambiente total que revisar. Este
conocimiento debe incluir una comprensin general de las diversas prcticas, el diseo
conceptual, polticas de gestin, formas de registro, niveles de seguridad y uso de las
comunicaciones para la gestin de la informacin y funciones de la auditora, as como los
tipos de sistemas de informacin que se utilizan.
1. Planeacin Previa
5. Personal
6. Programas de auditora
1. Planeacin previa
a) Alcance de trabajo;
b) Actividad y riesgo inherente computarizados;
d) Ambiente de control;
e) Polticas significativas.
Se deber efectuar una investigacin preliminar para observar el estado general del rea, su
situacin dentro de la organizacin, si existe la informacin solicitada, si es o no necesaria y
la fecha de su ltima actualizacin.
Administracin:
Se recopila la informacin para obtener una visin general del rea de informtica por medio
de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el
objetivo y alcances de la auditora.
8
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
b) Detalle de recursos materiales y tcnicos disponibles tales como documentos sobre los
equipos, nmero de ellos, localizacin y caractersticas.
Estudios de viabilidad.
Nmero de equipos, localizacin y las caractersticas (de los equipos instalados y por
instalar y programados)
Fechas de instalacin de los equipos y planes de instalacin.
Contratos vigentes de compra, renta y servicio de mantenimiento.
Contratos de seguros.
Convenios que se tienen con otras instalaciones.
Configuracin de los equipos y capacidades actuales y mximas.
Planes de expansin.
Ubicacin general de los equipos.
Polticas de operacin.
Polticas de uso de los equipos.
Sistemas
Descripcin general de los sistemas instalados y de los que estn por instalarse que
contengan volmenes de informacin.
Manual de formas.
Manual de procedimientos de los sistemas.
Descripcin genrica.
Diagramas de entrada, archivos, salida.
Salidas.
Fecha de instalacin de los sistemas.
Proyecto de instalacin de nuevos sistemas.
9
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la informacin sin
fundamento)
Investigar las causas, no los efectos.
Atender razones, no excusas.
No confiar en la memoria, preguntar constantemente.
Criticar objetivamente y a fondo todos los informes y los datos recabados.
Informacin general
10
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
2.2 Seguridad
Conocer el perodo de los reportes facilitados para las gerencias de los sistemas de
aplicacin.
11
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
Los sistemas deben ser evaluados con mucho detalle, para lo cual se debe revisar si existen
realmente sistemas entrelazados como un todo o bien si existen programas aislados. Otro de
los factores a evaluar es si existe un plan estratgico para la elaboracin de los sistemas o si
se estn elaborados sin el adecuado sealamiento de prioridades y de objetivos.
Los sistemas deben evaluarse de acuerdo con el ciclo de vida que normalmente siguen:
requerimientos del usuario, estudio de factibilidad, diseo general, anlisis, diseo lgico,
desarrollo fsico, pruebas, implementacin, evaluacin, modificaciones, instalacin, mejoras.
Y se vuelve nuevamente al ciclo inicial, el cual a su vez debe comenzar con el de
factibilidad.
La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual debe analizar si el
sistema es factible de realizarse, cul es su relacin costo/beneficio y si es recomendable
elaborarlo.
Por ejemplo en un sistema que el estudio de factibilidad seal determinado costo y una serie
de beneficios de acuerdo con las necesidades del usuario, debemos comparar cual fue su
costo real y evaluar si se satisficieron las necesidades indicadas como beneficios del sistema.
Para investigar el costo de un sistema se debe considerar, con una exactitud razonable, el
costo de los programas, el uso de los equipos (compilaciones, programas, pruebas, paralelos),
tiempo, personal y operacin, cosa que en la prctica son costos directos, indirectos y de
operacin.
Los beneficios que justifiquen el desarrollo de un sistema pueden ser el ahorro en los costos
de operacin, la reduccin del tiempo de proceso de un sistema. Mayor exactitud, mejor
servicio, una mejora en los procedimientos de control, mayor confiabilidad y seguridad.
12
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
En lo referente a la consulta a los usuarios, el plan estratgico debe definir los requerimientos
de informacin de la dependencia.
En el rea de auditora interna debe evaluarse cul ha sido la participacin del auditor y los
controles establecidos.
Se debe comprender y evaluar el control interno para identificar las reas crticas que
requieren un examen profundo y determinar su grado de confiabilidad a fin de establecer la
naturaleza, alcance y oportunidad de los procedimientos de auditora a aplicar.
Existen dos tipos de controles: el control general y el control detallado de los sistemas de
informacin. El control general involucra a todos los sistemas de informacin y el control
detallado est diseado para controlar el procesamiento en s de la informacin.
Los controles claves son evaluados para decidir si son confiables corno fuente de -
satisfaccin de auditora y en qu grado confiar en ellos en el desarrollo del trabajo. La
evaluacin se basa en el criterio de profesional e implica:
13
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
b) Controles de exactitud:
Sirven para asegurar el grado de correccin de los datos y de los procesos en un sistema;
como por ejemplo: validacin de campos numricos, validacin de exceso en un campo,
conteo de registros, cifras de control de valores, etc.;
c) Controles de totalidad:
Sirven para asegurarse que no se ha emitido ningn dato y que el proceso se efectu
adecuadamente hasta su conclusin; por ejemplo: validacin de campo en blanco, conteo
de registro, cifras control de valores, validacin secuencia de registros, etc.;
d) Controles de redundancia:
Sirven para asegurar que los registros son procesados una sola vez; como por ejemplo:
sello de cancelacin de lotes, verificacin de secuencia de registros, archivo de suspenso,
cifras control, etc.;
e) Controles de privacidad:
Sirven para asegurar que los datos estn protegidos contra el tomar conocimiento de ellos
en forma inadvertida o no autorizada; como por ejemplo: passwords, compactacin de
datos, inscripcin de datos, etc.;
Sirven para asegurarse que se mantiene un registro cronolgico de los eventos tal como
ocurrieron en el sistema. Existen dos tipos de pistas de auditora:
14
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
g) Controles de existencia:
Sirven para asegurar la continua disponibilidad de los recursos del sistema; como por
ejemplo: vaciados de la base de datos, bitcora estatus de recursos, procedimientos de
recuperacin, mantenimiento preventivo, puntos de verificacin, puntos de reinicio,
duplicacin de hardware, etc.
Sirven para asegurarse que todos los recursos del sistema estn protegidos contra
destruccin o deterioro; como por ejemplo: extinguidores, barreras fsicas, passwords,
cajas fuertes contra incendio, semforos, etc.;
i) Controles de efectividad:
Sirven para asegurar que los sistemas logran su objetivos; como por ejemplo: encuestas de
satisfaccin de usuarios, monitoreo de la influencias de uso, medicin de los niveles de
servicios, estudios de factibilidad auditorias post-implementacin, etc.;
j) Controles de eficiencia:
Sirven para asegurarse que en los sistemas se hace un uso ptimo de sus recursos al lograr
sus objetivos; como por ejemplo: bitcora de uso de recursos, programas monitores,
anlisis costo-beneficio, cargos medidos a usuarios, etc.
a. Propiedad intelectual
b. Contrato de licencia
c. Copia no autorizada
d. Piratera
g. software
15
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
Se tiene que definir los riesgos de la auditora como el riesgo de que la informacin pueda
contener errores materiales o de que el auditor no detectar un error que no ha ocurrido
El Plan Estratgico de una auditoria de sistemas representa el soporte sobre el cual estarn
basadas todas las actividades requeridas para la ejecucin del trabajo y para alcanzarlo de
forma eficiente. A continuacin se analiza cada una de sus fases:
16
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
Se deben identificar los diferentes informes que se emitirn en la fase del trabajo y las fechas
mximas en que se deben ser efectivas, los que incluyen los anlisis de los sistemas, el
funcionamiento de los diseos del sistema, ejecucin de pruebas, etc.
Se deben describir las actividades principales que deban cumplirse as como las fechas claves,
en tal forma que se asegure cabalmente el entendimiento de responsabilidades, ejemplos:
Las informaciones obtenidas en esta etapa debern servir de base para que a manera de
sntesis en el Memorando de Planeacin ilustre la informacin sobre antecedentes con
nfasis en los cambios ocurridos en el ltimo ao, al menos lo siguiente:
Al planificar una auditora, el Auditor Informtico debe tener una comprensin suficiente del
ambiente total que revisar. Este conocimiento debe incluir una comprensin general de las
diversas prcticas y funciones de la auditora, as como los tipos de sistemas de informacin
que se utilizan. Tambin, debe comprender el ambiente normativo del negocio. Ejemplo: A un
banco se le exigir requisitos de integridad de sistemas de informacin y de control que no
estn presente en una empresa comercial.
Los pasos que puede llevar a cabo un Auditor Informtico para obtener una comprensin de la
Entidad pueden incluir:
Se tiene que definir los riesgos de la auditora como el riesgo de que la informacin pueda
contener errores materiales o de que el auditor Informtico pueda no detectar un error que no
ha ocurrido
Riesgo inherente: El riesgo de que un error pueda ser material o significativo (importante)
cuando se combina con otros errores encontrados durante la auditoria, no existiendo controles
compensatorios relacionados.
Riesgo de control: El riesgo de existir un error material que no pueda ser evitado o detectado
en forma oportuna por el sistema de control interno.
Cabe sealar que la materialidad exige al auditor de SI un juicio claro, basado en que para el
auditor Informtico es ms complicado la materialidad.
18
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
Para evaluar los efectos sobre los Sistemas se debe dar seguimiento a los hallazgos y
recomendaciones de importancia obtenidos de auditoras anteriores, las medidas correctivas
realizadas, la aceptacin y aporte efectuado por las auditorias de sistemas realizadas y la
emisin de informes reportndose aquellas observaciones no realizadas recordando su
importancia y la necesidad de correccin para propsito de determinar el enfoque, alcance,
naturaleza y oportunidad de pruebas.
En el alcance de nuestras pruebas podramos decidir hacer revisiones en reas que no fueron
consideradas significativas o efectuar procedimientos mnimos.
La planeacin podr ser ajustada bsicamente por circunstancias que pueden ser:
6 Personal participante
En primer lugar se debe pensar que hay personal asignado por la organizacin, con el
suficiente nivel para poder coordinar el desarrollo de la auditora, proporcionar toda la
informacin que se solicite y programar las reuniones y entrevistas requeridas.
Tambin se debe contar con personas asignadas por los usuarios para que en el momento que
se solicite informacin o bien se efecte alguna entrevista de comprobacin de hiptesis, nos
proporcionen aquello que se est solicitando, y complementen el grupo multidisciplinario, ya
que se debe analizar no slo el punto de vista de la direccin de informtica, sino tambin el
del usuario del sistema.
Tcnico en informtica.
Experiencia en el rea de informtica.
Experiencia en operacin y anlisis de sistemas.
Conocimientos de los sistemas ms importantes.
20
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
7 Programas de auditora
6. Que los controles de seguridad y continuidad estn establecidos tanto en los procesos
manuales como automatizados.
7. La existencia de procedimientos efectivos para controlar los datos recibidos y los enviados.
10. Internet.
21
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
Esta etapa consiste bsicamente en el proceso mediante el cual se preparan las listas de
procedimientos de auditoras para examinar los Sistemas, tanto a nivel de Controles Generales
del Computador como Controles Generales de Aplicacin.
Los programas de auditora detallados son los instrumentos metodolgicos mediante los cuales se
pone en ejecucin la Planeacin General de la Auditora documentada en el Memorando de
Planeacin y su preparacin es responsabilidad del Auditor de Sistemas, el cual llega ser la gua a
los auditores para ejecutar los procedimientos y proporciona un registro permanente de la
auditoria para facilitar la supervisin final.
Las reas o aspectos a evaluar en una auditora de sistemas son: la planeacin de las aplicaciones,
el inventario de sistemas en proceso, la situacin de cada aplicacin.
Se debern elaborar programas para evaluar la forma en que se encuentran especificadas las
polticas, los procedimientos y los estndares de anlisis, si es que se cumplen y si son los
adecuados para la dependencia.
22
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
La auditora en sistemas debe evaluar los documentos y registros usados en la elaboracin del
sistema, as como todas las salidas y reportes, la descripcin de las actividades de flujo de la
informacin y de procedimientos, los archivos almacenados, su uso y su relacin con otros
archivos y sistemas, su frecuencia de acceso, su conservacin, su seguridad y control, la
documentacin propuesta, las entradas y salidas del sistema y los documentos fuentes a
usarse. Con la informacin obtenida podemos contestar a las siguientes preguntas:
El anlisis del diseo lgico del sistema debe ser comparado con lo que realmente se est
obteniendo en la cual debemos evaluar lo planeado, cmo fue planeado y lo que realmente se
est obteniendo.
Entradas.
Salidas.
Procesos.
Especificaciones de datos.
Especificaciones de proceso.
Mtodos de acceso.
Operaciones.
Manipulacin de datos (antes y despus del proceso electrnico de datos).
Proceso lgico necesario para producir informes.
Identificacin de archivos, tamao de los campos y registros.
Proceso en lnea o lote y su justificacin.
Frecuencia y volmenes de operacin.
Sistemas de seguridad.
Sistemas de control.
Responsables.
23
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
Nmero de usuarios.
Se debern auditar los programas, su diseo, el leguaje utilizado, interconexin entre los
programas y caractersticas del hardware empleado (total o parcial) para el desarrollo del
sistema. Al evaluar un sistema de informacin se tendr presente que todo sistema debe
proporcionar informacin para planear, organizar y controlar de manera eficaz y oportuna,
para reducir la duplicidad de datos y de reportes y obtener una mayor seguridad en la forma
ms econmica posible. Es importante considerar las variables que afectan a un sistema:
ubicacin en los niveles de la organizacin, el tamao y los recursos que utiliza.
Se debern disear programas de auditora para evaluar las medidas de seguridad fsica, de
respaldo, seguridad lgica, en la utilizacin del equipo, en la recuperacin de equipos de
cmputos.
Una vez que todos los riesgos han sido clasificados se est en condiciones de fijar los
procedimientos que aseguraran la continuidad del funcionamiento del negocio.
Tipos de seguros:
Todo riesgo
24
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
Daos determinados
Seguro contra averas
Seguro de fidelidad
Seguro contra interrupcin del negocio; cubre las perdidas que sufriran la empresa
en el caso que las actividades informticas se interrumpiesen.
El sistema debe ser probado y utilizado en condiciones anormales, para que en caso de usarse
en situaciones de emergencia, se tenga la seguridad que funcionar; por lo que se debe incluir
proce3dimientos para comprobar que la informacin que contiene el plan de emergencia, se
considere como confidencial o de acceso restringido.
25
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
Al evaluar el mantenimiento se debe primero analizar cul de los tres tipos es el que ms nos
conviene y en segundo lugar pedir los contratos y revisar con detalles que las clusulas estn
perfectamente definidas en las cuales se elimine toda la subjetividad y con penalizacin en
caso de incumplimiento, para evitar contratos que sean parciales.
Para poder exigirle el cumplimiento del contrato de debe tener un estricto control sobre las
fallas, frecuencia, y el tiempo de reparacin.
26
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
8 Cronograma
El control del avance de la auditora es fundamental para el logro eficiente de la misma por
lo que se deber elaborar un cronograma de ejecucin que defina las reas y tiempos
asignados para su cumplimiento, lo cual permitir el seguimiento a los procedimientos de
control y asegurarnos que el trabajo se est llevando a cabo de acuerdo con el programa de
auditora, con los recursos estimados y en el tiempo sealado en la planeacin.
27
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
CAPITULO XXVIII
EJECUCION DE LA AUDITORIA DE INFORMATICA
28
Captulo XXVIII EJECUCION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
Captulo XXVIII
Ejecucin de la Auditora informtica
Los papeles de trabajo de una auditora de sistemas constituyen el sustento del trabajo llevado a
cabo por el auditor especialista, as como de los comentarios, conclusiones y recomendaciones
incluidos en su informe, representado por la evidencia en ellos contenida.
Los papeles de trabajo de la auditora debern mostrar los detalles de la evidencia, la forma de su
obtencin, las pruebas a que fue sometido y las conclusiones sobre su validez.
Los papeles de trabajo son propiedad absoluta del auditor condicionando su uso nicamente a los
propsitos de su revisin y soporte de los resultados obtenidos.
1. Tcnicas de Auditora
a) Cuestionarios
El trabajo de campo del auditor consiste en lograr toda la informacin necesaria para la
emisin de un juicio global objetivo, siempre amparado en hechos demostrables, llamados
tambin evidencias.
29
Captulo XXVIII EJECUCION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
Se envan cuestionarios preimpresos a las personas concretas que el auditor cree adecuadas,
sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas
reas a auditar.
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino
diferentes y muy especficos para cada situacin, y muy cuidados en su fondo y su forma.
Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal anlisis
determine a su vez la informacin que deber elaborar el propio auditor. El cruzamiento de
ambos tipos de informacin es una de las bases fundamentales de la auditora. Se recomienda
solo hacer preguntas necesarias, que permitan alcanzar el objetivo; preguntas sencillas y
directas, no hacerlas abiertas, porque dificultan el anlisis.
b) Entrevistas
El auditor comienza a continuacin las relaciones personales con el auditado. Lo hace de tres
formas:
La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste
recoge ms informacin, y mejor matizada, que la proporcionada por medios propios
puramente tcnicos o por las respuestas escritas a cuestionarios.
Para el caso del auditor informtico, siempre tienen que ser su entrevista preparada y con
preguntas sistematizadas, que en un ambiente de cordialidad le permita al usuario dar la
informacin que el auditor requiere, de una manera sencilla.
c) Checklist
Adems del chequeo de los Sistemas, el auditor somete al auditado a una serie de
cuestionario. Dichos cuestionarios, llamados Check List, tienen que ser comprendidas por el
auditor al pie de la letra, ya que si son mal aplicadas y mal recitadas se pueden llegar a
obtener resultados distintos a los esperados.
30
Captulo XXVIII EJECUCION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
La Check List puede llegar a explicar cmo ocurren los hechos pero no por qu ocurren. El
cuestionario debe estar subordinado a la regla, a la norma, al mtodo.
Rango
Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido. Despus
se hacen preguntas, mismas a las que se les dio una ponderacin y despus bajo promedio
aritmtico, se relacionado con el rango preestablecido.
Los Checklists de rango son adecuados si el equipo auditor no es muy grande y mantiene
criterios uniformes y equivalentes en las valoraciones. Permiten una mayor precisin en la
evaluacin que en los checklist binarios. Sin embargo, la bondad del mtodo depende
excesivamente de la formacin y competencia del equipo auditor.
Binaria
Deben ser de gran precisin, como corresponde a la suma precisin de la respuesta. Una vez
construidas, tienen la ventaja de exigir menos uniformidad del equipo auditor y el
inconveniente genrico del <si o no> frente a la mayor riqueza del intervalo.
d) Comparacin de programas
Esta tcnica se emplea para efectuar una comparacin de cdigo (fuente, objeto o comandos
de proceso) entre la versin de un programa en ejecucin y la versin de un programa piloto
que ha sido modificado en forma indebida, para encontrar diferencias.
31
Captulo XXVIII EJECUCION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
Esta tcnica emplea un software especializado que permite analizar los programas en
ejecucin, indicando el nmero de veces que cada lnea de cdigo es procesada y las de las
variables de memoria que estuvieron presentes.
Se emplea para analizar los programas de una aplicacin. El anlisis puede efectuarse en
forma manual (en cuyo caso slo se podra analizar el cdigo ejecutable).
g) Datos de prueba
Se emplea para verificar que los procedimientos de control incluidos los programas de una
aplicacin funcionen correctamente. Los datos de prueba consisten en la preparacin de una
serie de transacciones que contienen tanto datos correctos como datos errneos
predeterminados.
Tcnica muy similar a la anterior, con la diferencia de que en sta se debe crear una entidad,
falsa dentro de los sistemas de informacin.
i) Anlisis de bitcoras
Existen varios tipos de bitcoras que pueden ser analizadas por el auditor, ya sea en forma
manual o por medio de programas especializados, tales como bitcoras de fallas del equipo,
bitcoras de accesos no autorizados, bitcoras de uso de recursos, bitcoras de procesos
ejecutados.
j) Simulacin paralela
Tcnica muy utilizada que consiste en desarrollar programas o mdulos que simulen a los
programas de un sistema en produccin. El objetivo es procesar los dos programas o mdulos
de forma paralela e identificar diferencias entre los resultados de ambos.
k) Trazas o Huellas
Por lo general, los auditores se apoyan en software que les permiten rastrear los caminos que
siguen los datos a travs del programa. Las Trazas se utilizan para comprobar la ejecucin de
las validaciones de datos previstas. No deben modificar en absoluto el Sistema. Permite
rastrear los caminos que siguen los datos a travs del programa.
32
Captulo XXVIII EJECUCION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
l) Log
Consiste en el historial que informa que fue cambiando y cmo fue cambiando la
informacin.
i) Software de auditora
Las tcnicas de auditora asistidas por el computador son aquellas que utilizan computadores,
programas y datos de computacin para obtener evidencias de auditora. Los tipos de tcnicas son
Programas de recuperacin y anlisis; tcnicas de transacciones de pruebas;
33
Captulo XXVIII EJECUCION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
Programas Utilitarios
Son otras fuentes de software que pueden ser utilizadas para la ejecucin de procedimientos
de auditora. Son diseados para llevar a cabo tareas especficas de procesamientos de datos.
El usuario da las instrucciones al programa utilitario en forma de los que identifican los
archivos de entrada y salida y la funcin que debe ser realizada y los criterios de seleccin.
El uso de estos lenguajes requiere un alto nivel de conocimientos tcnicos para desarrollar y
correr los programas. Se requieren instrucciones de programacin detalladas aun para realizar
un procedimiento simple. Sin embargo, cuando no se dispone de programas de software de
auditora y otro software de recuperacin de datos, un programa convencional puede ser la
alternativa ms conveniente.
Informe de Excepciones.
- Impresin de las cuentas por cobrar que supera un determinado monto o que estn
vencidas;
- Impresin de pagos posteriores a una fecha determinada;
- Impresin de items potencialmente obsoletos, de baja rotacin o de aquellos con
existencia excesiva.
34
Captulo XXVIII EJECUCION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
Seleccin de muestras.
Los programas de recuperacin y anlisis pueden ser utilizados para probar los
clculos, ya sea rehaciendo los mismos, o mediante comprobaciones globales de
razonabilidad Los ejemplos de clculos que pueden ser probados incluyen:
Prueba de imputaciones.
Totales de archivos.
Los programas de recuperacin y anlisis pueden ser utilizados para revisar las sumas
y multiplicaciones en los registros individuales contenidos en los archivos, a fin de que
los montos puedan ser comparados con los registros externos. Algunos ejemplos son:
35
Captulo XXVIII EJECUCION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
36
Captulo XXVIII EJECUCION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
Al emplear la tcnica de datos de prueba debe tenerse en cuenta los siguientes aspectos:
-Una vez desarrollados los lotes de pruebas pueden volver a ser usados en ocasiones
futuras, siempre y cuando los programas no hayan sido modificados;
Cuando los lotes de pruebas deban cubrir un amplio alcance su desarrollo y ejecucin
pueden requerir una considerable inversin de tiempo;
Se debe estar seguro de que se prueban las copias adecuadas de los programas de
produccin.
- La mayora de los sistemas con captura interactiva estn diseados para rechazar
transacciones invlidas sin dejar huellas de dicho rechazo;
37
Captulo XXVIII EJECUCION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
- - Es fcil de usar y las pruebas en ser instaladas con un mnimo de interrupcin en los
sistemas de aplicacin;
- Las pruebas en lneas pueden ser usadas para evaluar los controles en contra de
accesos no autorizados.
Los controles sobre los cambios a los datos permanentes permiten confirmar la
correccin de la informacin, al impedir o detectar las modificaciones errneas o no
autorizadas.
38
Captulo XXVIII EJECUCION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
Cartera de inversiones para verificar los precios a travs de conexiones con base
de datos pblicas;
39
Captulo XXVIII EJECUCION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
-Procedimientos de muestreo;
En el entorno actual, el uso de equipos para procesamiento electrnico de datos en los sistemas
computarizados cada da es ms rpido y generalizado, an en entidades de tamao mediano o
pequeo.
La mayora de los Delitos por computadora son cometidos por modificaciones de datos fuente al:
b) Falta de rastro visible de transacciones, ciertos datos son mantenidos slo en los archivos
de la computadora, o slo parcialmente legible y por un perodo limitado de tiempo.
41
Captulo XXVIII EJECUCION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
Un sistema con deficiencias de sistemas y/o procedimientos puede dar lugar a errores en
cuanto a:
b) Procedimientos de control.
3. Tipos de procedimientos
Documentacin.
Manuales de usuario, tcnicos y procedimientos.
Cambios en los programas.
Solicitud por escrito.
Pruebas por parte de los usuarios.
42
Captulo XXVIII EJECUCION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
El objetivo de las pruebas sustantivas es obtener la suficiente evidencia para que el auditor
pueda juzgar si ha habido prdidas materiales o podran ocurrir en el ambiente de
procesamiento de datos.
Es recomendable que toda la informacin que se necesita para revisar datos con fines de
auditora contable, se guarde en una base de datos, la cual deber contener por lo menos la
siguiente informacin:
c) Recursos solicitados;
43
Captulo XXVIII EJECUCION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
d) Privilegios solicitados;
Si se usa la captura con documentos, la constancia de la auditora debe estar presente en los
documentos otros debe identificarse:
b) Quin lo autoriz.
c) Cuando se elabor;
e) Qu informacin se actualizar,
e) El tiempo que toma en ejecutar la misma instruccin usando una pluma magntica Vs. ratn.
44
Captulo XXVIII EJECUCION DE LA AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
CAPITULO XXIX
INFORME DE AUDITORIA INFORMATICA
45
Captulo XXIX INFORME DE AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
Captulo XXIX
Informe de Auditora
Las normas relativas al informe de auditora definen que se prepare un informe por escrito que
contenga los resultados obtenidos por la auditora, con sus conclusiones, observaciones,
recomendaciones y comentarios procedentes, especificando los criterios tcnicos para su
elaboracin, contenido y presentacin.
1. Carta de envo
2.1 Antecedentes,
2.4 Un breve resumen de los resultados de auditoria, control interno, cumplimiento con las
leyes y regulaciones aplicables, y estado de las recomendaciones anteriores;
b) Los objetivos, que identificarn los propsitos especficos que se cubrirn durante la
misma.
46
Captulo XXIX INFORME DE AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
d) Se debe especificar en el alcance, que la auditora se realiz de acuerdo con las normas de
auditora gubernamental.
g) Resultados de Auditora que expondrn los hallazgos significativos que tengan relacin
con los objetivos de auditora, los que incluirn la informacin suficiente que permita una
adecuada comprensin del asunto que se informa; adems, la exposicin de la misma
debe ser objetiva y convincente, redactados conforme los atributos sealados en la
NAGUN 2.80.
h) Las conclusiones, que son inferencias lgicas sobre el objeto de auditoras basadas en los
hallazgos, deben ser expresadas explcitamente de manera convincente y persuasiva,
evitando el riesgo de interpretaciones por parte de los lectores.
Para que la evidencia sea competente, tiene que ser vlida y relevante; estas cualidades
dependen tanto de las circunstancias en la que se obtiene como de la confiabilidad inherente
a cada tipo de evidencia, por ejemplo:
47
Captulo XXIX INFORME DE AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
Si los papeles de trabajo han sido preparados en tal forma que no haya duda sobre la
procedencia de la evidencia (fuente) y si existe claridad sobre el problema (hay ejemplos
considerados representativos o materiales) incluyendo verificaciones, discusiones con
funcionarios autorizados, observaciones fsicas, testimonios de terceros, etc.
2. Tipos de informes
3. Discusin de informes
48
Captulo XXIX INFORME DE AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
La discusin de los hallazgos previa a la presentacin del informe ante la mxima autoridad,
debe hacerse con los siguientes objetivos:
Indagar o completar la informacin sobre las causas de los hallazgos y ampliar conocimientos
sobre los problemas.
Obtener los puntos de vista de los empleados con responsabilidad sobre los hallazgos, en cuanto
a la manera como ellos podran solucionar los problemas.
La informacin verbal cuando es obtenida por los auditores de sistemas a medida que identifican
las deficiencias y excepciones mediante entrevistas informales, suele quedar documentada en los
papeles de trabajo como parte de cada hallazgo; en cada caso deber especificarse al responsable
de tal informacin y si ella es corroborable, el auditor debe hacerlo y dejar constancia de ello.
49
Captulo XXIX INFORME DE AUDITORIA INFORMATICA MAG 2009
Contralora General de la Repblica
ANEXOS
50
ANEXOS MAG 2009
Contralora General de la Repblica
ANEXOS
1. Cuestionarios
51
ANEXOS MAG 2009
Contralora General de la Repblica
52
ANEXOS MAG 2009
Contralora General de la Repblica
16. 17.
C
o 18.
n
19.
q
u 20.
p De
e ter
r mi
i na
o
d ci
i n
c de
i los
d
a obj
d eti
vo
s
e s.
r Se
e al
v am
i ien
s to
a de
e las
l pol
tic
r as.
e
p De
o sig
r nac
t in
e del
fun
d cio
e nar
io
a res
v po
a nsa
ble
n del
c pro
e yec
to.
d
e Int
l
egr
p aci
r n
o
del
gru po
po s.
de
trab 21.
De
ajo.
anlisi
Inte s
grac
in De
de progra
un macin
com Observ
it acione
de s
deci
sion 22. I
es.
Des
arro
llo
de
la
inve
stig
aci
n.
Doc
ume
ntac
in
de
la
inve
stig
aci
n.
Fact
ibili
dad
de
los
siste
mas
.
An
lisis
y
valu
aci
n de
pro
pue
stas.
Sele
cci
n de
equi
i l
e
n
e
n
A
N
e
n
q
u
e
e
l
d
e
p
a
r
t
a
m
e
n
t
o
d
e
i
n
f
o
r
m
t
i
c
a
p
o
d
r
a
s
a
t
i
s
f
a
c
e
r
54
MA
G
2009
Contralora General de la Repblica
Permite evaluar la entrada de la informacin y que se tengan las cifras de control necesarias
para determinar la veracidad de la informacin, para lo cual se puede utilizar el siguiente
cuestionario:
10. Se anota a que capturista se entrega la informacin, el volumen y la hora? SI_____ NO ____
12. Se revisan las cifras de control antes de enviarlas a captura? SI ______ NO _________
13. Para aquellos procesos que no traigan cifras de control se ha establecido criterios a fin de
asegurar que la informacin es completa y valida? SI ________ NO ________
14. Existe un procedimiento escrito que indique como tratar la informacin invlida (sin firma
ilegible, no corresponden las cifras de control)?
__________________________________________________________________________
__________________________________________________________________________
57
ANEXOS MAG 2009
Contralora General de la Repblica
18. Existe una relacin completa de distribucin de listados, en la cual se indiquen personas,
secuencia y sistemas a los que pertenecen?
__________________________________________________________________________
19. Se verifica que las cifras de las validaciones concuerden con los documentos de entrada?
________________________________________________________________________
________________________________________________________________________
20. Se hace una relacin de cundo y a quin fueron distribuidos los listados?
________________________________________________________________________
________________________________________________________________________
28. Existen instrucciones escritas para capturar cada aplicacin o, en su defecto existe una
relacin de programas?
________________________________________________________________________
________________________________________________________________________
58
ANEXOS MAG 2009
Contralora General de la Repblica
El objetivo del llenado de este cuestionario es sealar los procedimientos e instructivos formales
de operacin, analizar su estandarizacin y evaluar el cumplimiento de los mismos.
PREGUNTAS:
8. Existe un control que asegure la justificacin de los procesos en el computador? (Que los
procesos que se estn autorizados y tengan una razn de ser procesados. SI ( ) NO ( )
9. Cmo programan los operadores los trabajos dentro del departamento de cmputo? Primero
que entra, primero que sale, se respetan las prioridades, Otra (especifique)
59
ANEXOS MAG 2009
Contralora General de la Repblica
10. Los retrasos o incumplimiento con el programa de operacin diaria, se revisa y analiza?
SI ( ) NO ( )
13. Existen procedimientos escritos para la recuperacin del sistema en caso de falla?
________________________________________________________________________
________________________________________________________________________
15. Existen instrucciones especificas para cada proceso, con las indicaciones pertinentes?
________________________________________________________________________
________________________________________________________________________
16. Se tienen procedimientos especficos que indiquen al operador que hacer cuando un programa
interrumpe su ejecucin u otras dificultades en proceso?
________________________________________________________________________
________________________________________________________________________
18. Se prohbe a analistas y programadores la operacin del sistema que programo o analizo?
________________________________________________________________________
________________________________________________________________________
60
ANEXOS MAG 2009
Contralora General de la Repblica
22. Se tiene un control adecuado sobre los sistemas y programas que estn en operacin?
SI ( ) NO ( )
24. Se rota al personal de control de informacin con los operadores procurando un entrenamiento
cruzado y evitando la manipulacin fraudulenta de datos?
SI ( ) NO ( )
25. Cuentan los operadores con una bitcora para mantener registros de cualquier evento y
accin tomada por ellos? SI ( ) A MAQUINA ( ) MANUAL ( ) NO ( )
26. Verificar que exista un registro de funcionamiento que muestre el tiempo de paros y
mantenimiento o instalaciones de software.
________________________________________________________________________
________________________________________________________________________
28. Existe un plan definido para el cambio de turno de operaciones que evite el descontrol y
discontinuidad de la operacin.
________________________________________________________________________
________________________________________________________________________
29. Verificar que sea razonable el plan para coordinar el cambio de turno.
________________________________________________________________________
________________________________________________________________________
32. Se permite a los operadores el acceso a los diagramas de flujo, programas fuente, etc. fuera
del departamento de cmputo? SI ( ) NO ( )
61
ANEXOS MAG 2009
Contralora General de la Repblica
34. Verifique que los privilegios del operador se restrinjan a aquellos que le son asignados a la
clasificacin de seguridad de operador.
________________________________________________________________________
________________________________________________________________________
35. Existen procedimientos formales que se deban observar antes de que sean aceptados en
operacin, sistemas nuevos o modificaciones a los mismos? SI ( ) NO ( )
________________________________________________________________________
________________________________________________________________________
36. Estos procedimientos incluyen corridas en paralelo de los sistemas modificados con las
versiones anteriores? SI ( ) NO ( )
________________________________________________________________________
________________________________________________________________________
39. Quin da la aprobacin formal cuando las corridas de prueba de un sistema modificado o
nuevo estn acordes con los instructivos de operacin.
________________________________________________________________________
________________________________________________________________________
41. Mencione que instructivos se proporcionan a las personas que intervienen en la operacin
rutinaria de un sistema.
________________________________________________________________________
________________________________________________________________________
42. Indique que tipo de controles tiene sobre los archivos magnticos de los archivos de datos,
que aseguren la utilizacin de los datos precisos en los procesos correspondientes.
________________________________________________________________________
________________________________________________________________________
62
ANEXOS MAG 2009
Contralora General de la Repblica
43. Existe un lugar para archivar las bitcoras del sistema del equipo de cmputo? SI ( ) NO ( )
________________________________________________________________________
________________________________________________________________________
46. Adems de las mencionadas anteriormente, que otras funciones o reas se encuentran en el
departamento de cmputo actualmente?
________________________________________________________________________
________________________________________________________________________
47. Verifique que se lleve un registro de utilizacin del equipo diario, sistemas en lnea y batch, de
tal manera que se pueda medir la eficiencia del uso de equipo.
________________________________________________________________________
________________________________________________________________________
51. Conque compaa? Solicitar plizas de seguros y verificar tipo de seguro y montos.
________________________________________________________________________
________________________________________________________________________
63
ANEXOS MAG 2009
Contralora General de la Repblica
7. Que documentos?
________________________________________________________________________
________________________________________________________________________
________________________________________________________________________
64
ANEXOS MAG 2009
Contralora General de la Repblica
Adems se deben tener perfectamente identificados los archivos para reducir la posibilidad de
utilizacin errnea o destruccin de la informacin.
65
ANEXOS MAG 2009
Contralora General de la Repblica
8. Se tienen identificados los archivos con informacin confidencial y se cuenta con claves de
acceso? SI ( ) NO ( ) Cmo?
_______________________________________________________________
10. Que medio se utiliza para almacenarlos? Mueble con cerradura ( ); Bveda ( )
Otro (especifique)_______________________________________________________
12. Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos?
SI ( ) NO ( )
17. Se tiene relacin del personal autorizado para firmar la salida de archivos confidenciales?
SI ( ) NO ( )
18. Existe un procedimiento para registrar los archivos que se prestan y la fecha en que se
devolvern? SI ( ) NO ( )
23. En los procesos que manejan archivos en lnea, Existen procedimientos para recuperar los
archivos? SI ( ) NO ( )
67
ANEXOS MAG 2009
Contralora General de la Repblica
Al evaluar el mantenimiento se debe primero analizar cul de los tres tipos es el ms conveniente
y en segundo lugar pedir los contratos y revisar con detalles que las clusulas estn
perfectamente definidas en las cuales se elimine toda la subjetividad y con penalizacin en caso
de incumplimiento, para evitar contratos que sean parciales. Para poder exigirle el cumplimiento
del contrato de debe tener un estricto control sobre las fallas, frecuencia, y el tiempo de
reparacin.
Para evaluar el control que se tiene sobre el mantenimiento y las fallas se pueden utilizar los
siguientes cuestionarios:
68
ANEXOS MAG 2009
Contralora General de la Repblica
PREGUNTAS
1. Especifique el tipo de contrato de mantenimiento que se tiene (solicitar copia del contrato).
___________________________________________________________________________
___________________________________________________________________________
5. Solicite el plan de mantenimiento preventivo que debe ser proporcionado por el proveedor.-
SI ( ) NO ( )
6. Cmo se notifican las fallas?
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
69
ANEXOS MAG 2009
Contralora General de la Repblica
Una direccin de Sistemas de Informacin bien administrada debe tener y observar reglas
relativas al orden y cuidado del departamento de informtica o cmputo. Los dispositivos del
sistema de cmputo, los archivos magnticos, pueden ser daados si se manejan en forma
inadecuada y eso puede traducirse en prdidas irreparables de informacin o en costos muy
elevados en la reconstruccin de archivos. Se deben revisar las disposiciones y reglamentos que
coadyuven al mantenimiento del orden dentro del departamento de cmputo.
PREGUNTAS
Semanalmente ( ) Quincenalmente ( )
Mensualmente ( ) Bimestralmente ( )
No hay programa ( ) Otra (especifique) ( )
4. Son funcionales los muebles asignados para el archivo de a cintas, discos y otros?
SI ( ) NO ( )
8. Mencione los casos en que personal ajeno al departamento de operacin opera el sistema de
cmputo:
___________________________________________________________________________
___________________________________________________________________________
70
ANEXOS MAG 2009
Contralora General de la Repblica
Los objetivos son evaluar la configuracin actual tomando en consideracin las aplicaciones y el
nivel de uso del sistema, evaluar el grado de eficiencia con el cual el sistema operativo satisface
las necesidades de la instalacin y revisar las polticas seguidas por la unidad de informtica.
1. De acuerdo con los tiempos de utilizacin de cada dispositivo del sistema de cmputo y
diferentes reas de la Entidad. existe equipo?
Con poco uso? SI ( ) NO ( )
Ocioso? SI ( ) NO ( )
Con capacidad superior a la necesaria? SI ( ) NO ( )
Describa cual es ____________________________________________________
2. El equipo mencionado en el inciso anterior puede reemplazarse por otro ms lento y de menor
costo? SI ( ) NO ( )
4. De ser negativa la respuesta al inciso anterior, explique las causas por las que no puede ser
cancelado o cambiado. _______________________________________________________
7. En caso negativo, exponga los motivos por los cuales no utiliza el teleproceso? SI ( ) NO ( )
71
ANEXOS MAG 2009
Contralora General de la Repblica
El objetivo es comprobar que se han establecido polticas, procedimientos y prcticas para evitar
las interrupciones prolongadas del servicio de procesamiento de datos, informacin debido a
contingencias como incendio, inundaciones, huelgas, disturbios, sabotaje, etc. y continuar en
medio de emergencia hasta que sea restaurado el servicio completo.
PREGUNTAS
4. La vigilancia se contrata?
a) Directamente ( )
b) Por medio de empresas que venden ese servicio ( )
72
ANEXOS MAG 2009
Contralora General de la Repblica
9. Se registran las acciones de los operadores para evitar que realicen algunas pruebas que
puedan daar los sistemas?. SI ( ) NO ( )
11. Existe vigilancia a la entrada del departamento de cmputo las 24 horas? a) Vigilante ? ( )
b) Recepcionista? ( ) c) Tarjeta de control de acceso ? ( ) d) Nadie? ( )
13. Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda
entrar sin autorizacin? SI ( ) NO ( )
20. Se vigilan la moral y comportamiento del personal de la direccin de informtica con el fin
de mantener una buena imagen y evitar un posible fraude? SI ( ) NO ( )
73
ANEXOS MAG 2009
Contralora General de la Repblica
30. Si es que existen extintores automticos son activador por detectores automticos de fuego?
SI ( ) NO ( )
31. Si los extintores automticos son a base de agua Se han tomado medidas para evitar que el
agua cause ms dao que el fuego? SI ( ) NO ( )
32. Si los extintores automticos son a base de gas, Se ha tomado medidas para evitar que el
gas cause mas dao que el fuego? SI ( ) NO ( )
74
ANEXOS MAG 2009
Contralora General de la Repblica
33. Existe un lapso de tiempo suficiente, antes de que funcionen los extintores automticos para
que el personal
34. Los interruptores de energa estn debidamente protegidos, etiquetados y sin obstculos para
alcanzarlos? SI ( ) NO ( )
35. Saben que hacer los operadores del departamento de cmputo, en caso de que ocurra una
emergencia ocasionado por fuego? SI ( ) NO ( )
36. El personal ajeno a operacin sabe que hacer en el caso de una emergencia (incendio)?
SI ( ) NO ( )
39. Se revisa frecuentemente que no est abierta o descompuesta la cerradura de esta puerta y de
las ventanas, si es que existen? SI ( ) NO ( )
40. Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en
caso de emergencia? SI ( ) NO ( )
43. Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe? SI ( ) NO ( )
75
ANEXOS MAG 2009
Contralora General de la Repblica
45. Explique la forma como se ha clasificado la informacin vital, esencial, no esencial etc.
___________________________________________________________________________
___________________________________________________________________________
47. Explique la forma en que estn protegidas fsicamente estas copias (bveda, cajas de
seguridad etc.) que garantice su integridad en caso de incendio, inundacin, terremotos, etc.
___________________________________________________________________________
___________________________________________________________________________
49. Indique el nmero de copias que se mantienen, de acuerdo con la forma en que se clasifique
la informacin:
___________________________________________________________________________
___________________________________________________________________________
51. Este departamento de auditoria interna conoce todos los aspectos de los sistemas?
SI ( ) NO ( )
___________________________________________________________________________
___________________________________________________________________________
53. Se cumplen? SI ( ) NO ( )
76
ANEXOS MAG 2009
Contralora General de la Repblica
58.Una vez efectuadas las modificaciones, se presentan las pruebas a los interesados?
SI ( ) NO ( )
59.Existe control estricto en las modificaciones? SI ( ) NO ( )
60.Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado?
SI ( ) NO ( )
65.Se registra cada violacin a los procedimientos con el fin de llevar estadsticas y frenar las
tendencias mayores? SI ( ) NO ( )
77
ANEXOS MAG 2009
Contralora General de la Repblica
( ) Archivos Magnticos_______________________________________________
( ) Operacin del equipo de computacin__________________________________
( ) En cuanto al acceso de personal_______________________________________
( ) Identificacin del personal___________________________________________
( ) Policia___________________________________________________________
( ) Seguros contra robo e incendio_______________________________________
( ) Cajas de seguridad_________________________________________________
( ) Otras (especifique)_________________________________________________
78
ANEXOS MAG 2009
Contralora General de la Repblica
80
ANEXOS MAG 2009
Contralora General de la Repblica
81
ANEXOS MAG 2009
Contralora General de la Repblica
2. Programas de auditora
AI. Procedimientos
82
ANEXOS MAG 2009
Contralora General de la Repblica
e:
Siste a) Pr
ovee
mas abaste
de cimien
proce to de
samie inform
acin
nto sobre
distrib una
uido y base
redes descen
traliza
da.
4.
R b) Ex
e isten
v planes
i de
s impla
e ntaci
n,
e conver
l siones
s y
i prueba
s s de
t acepta
e cin
m adecu
a adas
de la
d red.
e
c) Ex
d isten
i estnd
s ares y
t poltic
r as
i para e
b contro
u l de la
c red.
i
n d) Po
seen
y facilid
ades
r de
e contro
d l de
e hardw
s are y
el
y softwa
re
c
o e) Ex
m iste
p compa
r tibilid
u ad, en
e la
b integri
d ativo
a de red
d
y contro
el l de
u rendi
s mient
o o de la
d red.
e
d
at Sistemas
o basados en
s. microcom
f) E putadoras
xi
st 5.
e Efecte
co rev
nt isi
ro n
de
l los
de equ
ac ipo
ce s
de
so mi
a cro
da co
to mp
uta
s dor
g) E es
xi exi
st ste
e nte
u s y
n co
S mp
rue
of be:
t
w
ar a)
e Los
Criteri
d o de
e adquis
c icin,
o y
m poltic
u as de
ni asigna
c cin
a de
ci equipo
s
n
y b)
si Software
st aplicat
e ivo, de
m desarr
a ollo y
o sistem
p a
operat
er
v mparti
o, r
en recurs
us
o. os
c) D autoriz
oc acin
u
m g)
en Programas
ta de
ci mante
nimien
n to
de
pr Sistemas
o Online
gr
a 6.
m Reali
as ce
d) P revis
ro in
ce de
di los
m
ie siste
nt mas
os Onli
pa ne y
ra
la com
cr prue
ea be:
ci
n a. Q
y ue e
m usuari
an o tiene
te acceso
ni directo
m al
ie sistem
nt a y lo
o contro
de a de
ar algn
ch modo
iv
os a
. travs
e) S de
termin
eg ales
ur del
id softwa
ad re
f dispon
si ible.
ca
f) C b. Ex
o isten
sistem
as ros)
de
co e. Re
ns mote
Job
ul Entry
ta (un
s punto
remoto
c. Pr acta
oc con
ed contro
i total
m del
ie ordena
nt dor
os central
de )
E
nt A
ra
da N
de
da
to
s
O
nl
in
e
(v
al
id
ac
io
ne
s)
d. A
ct
ua
li
za
ci
n
de
da
to
s
O
nl
in
e
(a
ct
ua
li
za
ci
n
de
ar
ch
iv
os
m
ae
st
83
MAG 2009
Contralora General de la Repblica
de
f. Pr l
o ac
gr ce
a so
m O
ac nli
i ne
n y
O co
nl m
in pr
e, ue
pe be
r qu
m e
it ni
e ng
a n
lo us
s ua
pr rio
o pu
gr ed
a
m e
ad ac
or ce
es de
tr r a
ab da
aj tos
ar qu
de e
sd no
e de
p be
u ra
nt o
os re
re ali
m za
ot r
os pr
de oc
l es
eq os
ui no
p pe
o
ce rm
nt iti
ra do
l s,
en
est
7. R e
ea ca
li so
ce ve
an rif
l iq
isi ue
s
: minale
a. Q s (time
ue out o
la intento
s s de
pa acceso
ss )
w d. Logue
or o de
ds activid
de ades
lo
s del
us usuari
ua o
ri
os e. Encrip
p
os tacin
ea de
n datos.
ca
m
bi 8.
os Del
pe A
ri n
lis
di is
co de
s las
b. P co
er ns
fil ult
es as
de O
nli
us ne,
ua ve
ri rif
os iq
(a ue
cc qu
e
es el
o us
li ua
m rio
it no
ad pu
ed
o a
a m
ar od
ch ifi
iv ca
os r
) da
tos
c. Bl de
o los
q ar
ue ch
o iv
de os,
te pa
r
ra uesta.
el
lo 9.
in Realic
ve e
sti an
g li
ue sis
:.
de
a) C la
o int
nt ro
ro du
l cci
d n
e de
a da
c tos
O
c nli
es ne
o y
al de
si ter
st mi
e ne
m la
a ex
ist
b) U en
s cia
o de
d pr
e ob
la le
in m
fo as
r so
n
m de
a co
ci ntr
ol,
n va
o lid
bt aci
e n
ni y
co
d rre
a. cci
c) Ti n
e de
m los
p mi
o sm
d os,
co
e m
re pr
s ue
p be
:. o de
a) C docum
o entaci
nt n,
autori
ro zacin
l adecu
d ada.
e
a c) Sistem
c a de
c contro
l que
es permit
o a
al verific
si ar la
totalid
st ad de
e los
m datos
a de
entrad
b) E a.
xi
st d) Contr
e oles
n que
ci protej
a an
d contra
e omisio
pr nes o
o duplic
c acione
e s de
di datos.
m e) Calida
ie d de la
nt valida
o cin
s
pr f) Existe
e ncia
vi de
o registr
s os de
a las
la correc
e ciones
nt efectu
ra adas
d en
a caso
d de
e fallo
d del
at sistem
a:
o
s,
tr g) Mtod
at os que
a deter
minen
m que
ie transa
nt
c uego
ci del
o reinici
n o)
es
se 10.
h Verifique
a los
p proc
er edim
di iento
d s de
o actua
h) Pr lizac
oc in
ed onlin
i e y
com
m prue
ie be:
nt
os a. Existe
B ncia
at de
ch Contr
de oles
re de
e acceso
m al
pl sistem
az a
o.
i) P b. Se
ro establ
c ecen
e puntos
di de
m
ie contro
nt l en la
o entrad
s a
p
ar
a c. Manti
c ene
o logs
m
pr de
o actuali
b zacion
ar es
el
es
ta
d A
o N
d
el
si
st
e
m
a
(l
84
MAG 2009
Contralora General de la Repblica
del
usuari
o.
d. S
e f. Prove
re en
al oportu
iz namen
a te la
n correc
v cin
al de
id errore
a s y su
ci impact
o o.
n
es
s g. Manti
o enen
br una
e relaci
lo n de
s los
re archiv
gi os
st maestr
ro os que
s se
a hayan
ct
u modifi
al cado,
iz indica
a ndo e
d movi
o mient
s o
e. E antes
xi y
st despu
e s de
la la
a modifi
ut cacin
or .
id
a 11.
d
n Realice
e an
c lisi
es s
ar
ia de
p la
ar seg
a
la uri
a dad
ct On
u lin
al
iz e
a
ci a. Dispo
nibilid
n ad de
e practic
q ados.
ui
p c. Seguri
o
s dad de
al archiv
te os,
rn backu
at
iv p, etc.
o
s d. Medid
p as de
ar seguri
a dad
c contra
u acceso
br s no
ir autori
n zados.
e
c 12. C
es omp
id
a rueb
d e el
es cont
m rol
n de
i la
m entr
as ada
. de
b. E rem
xi ote
st Job
e entr
n y,
ci los
a nive
d les
e de
pl auto
a riza
n cin
es del
d
e usua
e rio.
m Se
er deb
g er
e com
n prob
ci ar
a, que:
d
o a)
c
u Acceso de
m progra
e mador
nt es
a
d autori
o zados
s
y
b) R lados.
e
gi 13. Co
st mprue
ro e
d desarro
el llo d
u aplicac
s ones
o Online
d sobre:
el a. Asegu
si
st ar
e rutinas
m de
a validac
c
o in
n
e b. Existe
m cia d
is
i ayudas
n en la
d termin
e les
in
fo
r c. Proced
m miento
es de
p correc
er n
i modifi
di acin
c Online
o
s d. Contro
c) T de
ra acceso
b simult
aj
o nea
s registr
d s.
e
pr
o
gr
a
m
a
ci
n
a
ut
or
iz
a
d
o
s
y
c
o
nt
ro A
N
8
M
Contralora General de la Repblica
I. Objetivos
AI. Procedimientos
3. Compruebe la aprobacin de la
implementacin del software de sistemas
nuevos y/o modificaciones al software
existente (v. gr., nuevas versiones de dicho
software)
86
ANEXOS MAG 2009
Contralora General de la Repblica
AI. Procedimientos
87
ANEXOS MAG 2009
Contralora General de la Repblica
I. Objetivos
AI. Procedimientos
88
ANEXOS MAG 2009
Contralora General de la Repblica
n d
flujo
de
inform
2. acin
Solic y/o
it proce
e os.
c) Descr
i
pcin
n
y
f
distrib
o
ucin
r
de
m
infor
a
maci
c
n.
i
d) Manu
al d
n
forma
d
s.
e
e) Manu
l
al d
o
repor
s
es.
s
f) Lista
i
de
s
archiv
t
os
e
espec
m
ficaci
a
ones.
s
y 3.
e Determ
v ine
a los
l pro
cedi
e mie
: ntos
de
a) Ma los
nua sist
l ema
del s:
usu a) Qui
ari n
o. hace,
b) Des cuand
crip o
ci
co o
mo faltan
? ?
b) Q
u 4.
for Investig
ma ue si
s se el
util flujo
iza de
n infor
en maci
el n:
sist a) Es
em fcil
a? de
c) So usar?
n b) Es
nec lgica
esa ?
rias c) Se
, se encon
usa traron
n, lagun
est as?
n d) Hay
dup faltas
lica de
das contro
? l?
d) El
n 5. C
om
me pru
ro ebe
de el
cop dise
o
ias exis
es te y
el se
ade ajus
ta la
cua herr
do? ami
e) E enta
xist al
pro
en cedi
pun mie
tos nto?
de
con
trol
ANEXOS
8
M
Contralora General de la Repblica
I. Objetivos
AI. Procedimientos
90
ANEXOS MAG 2009
Contralora General de la Repblica
AI. Procedimientos
91
ANEXOS MAG 2009
Contralora General de la Repblica
I. Objetivos
AI. Procedimientos
92
ANEXOS MAG 2009
Contralora General de la Repblica
admin
6. C strativ
o s
m b)
p Definicin
r de un
e poltic
n a d
d seguri
e dad
c)
e Organizac
l in
divisi
s n d
i respon
s sabilid
t ades
e
m d)
a Seguridad
fsica
contra
i catstr
n fes(inc
t ndio,
e terrem
tos,
g etc.)
r e)
a Prcticas
l de
seguri
d dad
e del
person
s al
e f)
g Elemento
u tcnic
r os
i proced
d imient
a os
d
: g)
Sistemas
a) E de
le seguri
me ad (de
equipo
nto y de
s sistem
s, as
inc desast
luy y
end prueb
o
tod 7. S
os e ha
los clasi
ele fica
me do
nto la
s, insta
laci
tan n en
to trm
red inos
es de
co riesg
mo o
ter
mi a)
nal Se
es. clasifi
h) Ap an lo
licac datos,
in inform
de
los acin
siste progra
mas mas
de que
segu contie
rida en
d,
incl inform
uyen acin
do confid
dato ncial
s y que
arch tenga
ivos un al
i) El valor
pape dentro
l de
los del
audi merca
tores o d
, compe
tant encia
o de un
inter
nos organi
com acin,
o inform
exte acin
rnos que se
j) Pla de
neac difcil
in recupe
de acin.
prog
ram
b) S
e 8. S
ha e
n han
ide tom
ntif ado
ica las
do prec
la auci
inf ones
or , del
ma riesg
o
ci que
n teng
qu a la
e infor
ten maci
ga n y
un del
gra tipo
n y
cos tama
to o
fin de la
anc orga
ier niza
o cin
en .
cas
o a)
de El person
pr que
prepar
did la
a o inform
bie acin
n no
pu debe
ede tener
pro acceso
vo a
car operac
n.
un
gra b)
n Los
im anlis
pac y
to progra
en mador
la s n
to tiene
ma acceso
de al re
de
dec operac
isi ones
on viceve
es. sa.
c) L que
os tengan
op el
era contro
dor sobre
es los
no trabaj
de s
be proces
ten dos
er no
acc
eso deben
irre hacer
stri las
ngi correc
do iones
a los
las errore
libr detect
er dos.
as
ni
a A
los N
lug
are
s
do
nd
e
se
ten
ga
n
los
arc
hiv
os
al
ma
cen
ad
os;
d) L
os
op
era
dor
es
no
de
be
n
ser
los
ni
cos
93
MAG 2009
Contralora General de la Repblica
I. Objetivos
AI. Procedimientos
2. Verifique lo siguiente:
94
ANEXOS MAG 2009
Contralora General de la Repblica
I. Objetivos
AI. Procedimientos
95
ANEXOS MAG 2009
Contralora General de la Repblica
tengan
e) En fotoco
el pias d
caso inform
de acin
progr confid
amas, encial
se sin l
asign debida
a a autori
cada acin.
uno
de b) Slo e
ellos, person
una al
clave autori
que ado
debe
identi tener
fique acceso
el a l
siste inform
ma, acin
subsis confid
tema, encial
progr
ama y c) Contro
versi l de lo
n. listado
s tant
3) C de lo
o proces
m os
pr correc
ue os
be como
la aquell
se s
gu proces
rid os co
ad termin
en acin
el incorr
m cta.
an
ej
o d) Contro
de l de
inf nmer
or o d
m copias
ac y l
i destru
n: cin d
la
a) Qu inform
e acin
no del
se papel
ob carbn
de ivo
los s y
re do
po cu
rte me
s nta
m ci
uy n
co ne
nfi ces
de ari
nci
ale os
s. par
a
qu
4) e
Verifi pu
qu ed
e a
qu fun
e cio
la nar
en el
tid pla
ad n
cu de
en em
te erg
co en
n cia
lo .
s *
re Equipo,
sp progra
al
do mas
s, archiv
y os
du * Contro
pli de
ca aplicacion
do es po
s
de terminal
lo
s * De
sis finir
una
te estrate
m gia d
as, seguri
pr ad d
og la re
ra y d
m respal
as, os
ar * Re
ch querim
ien
tos
fs
ico
s.
* Es
tn
da
r
de
arc
hi
vo
s.
ANEXOS
9
M
Contralora General de la Repblica
I. Objetivos
AI. Procedimientos
97
ANEXOS MAG 2009
Contralora General de la Repblica
Tiene el cliente un programa para hacer del conocimiento del usuario las polticas,
procedimientos y prcticas de seguridad
Seguridad Lgica
En la tabla siguiente, relacione los mtodos que usa el cliente para restringir el acceso lgico a
los sistemas de aplicacin y a la informacin:
En la tabla siguiente, relacione las tcnicas que el cliente usa para autentificar la identidad de los
usuarios que intentan acceder al sistema:
Tcnicas de Autentificacin
Describa brevemente los procesos del cliente para autorizar el acceso a la informacin y para
asignar los privilegios de acceso a los usuarios:
98
ANEXOS MAG 2009
Contralora General de la Repblica
Quin es el responsable de asignar los privilegios de acceso a los usuarios (es decir, de fijar
los parmetros de software que restringen o permiten ciertos tipos de acceso a cierta
informacin)?
Describa el acceso de Internet a/desde los sistemas de la computadora del cliente. Considere lo
siguiente:
Tienen los usuarios la capacidad de transmitir datos (to up load) a los sistemas
de aplicacin, fuera del sistema de aplicacin normal de entrada de datos?
Seguridad Fsica
99
ANEXOS MAG 2009
Contralora General de la Repblica
En la tabla siguiente, relacione todos los grupos (internos y externos) cuyo acceso fsico est
permitido a este ambiente de procesamiento de la computadora. Por cada grupo, indique si se le
ha otorgado acceso completo o restringido e indique la naturaleza de las restricciones.
Tiene el cliente acceso a una copia actual del cdigo fuente para todos los
sistemas de aplicacin importantes?
100
ANEXOS MAG 2009
Contralora General de la Repblica
Describa la arquitectura de datos de los sistemas deBase de datos integrada, utilizada por todos
aplicacin soportados por esta ubicacin delos mdulos de aplicacin
procesamiento.
En la tabla siguiente, relacione el software de administracin de la base de datos usado por los
sistemas de aplicacin soportados por este ambiente de procesamiento de la computadora y los
sistemas de aplicacin correspondientes.
Apoyo a la Red
Describa brevemente el uso de redes del cliente, incluyendo las ubicaciones conectadas a la red,
los ciclos y actividades de negocios y que estn soportados por los sistemas de aplicacin en la
red, y las interrelaciones dentro de la red. Considere adjuntar un diagrama general de la red, si
hay alguno disponible.
En la tabla siguiente, relacione el software del sistema de administracin de la red usado por el
cliente:
101
ANEXOS MAG 2009