Se documentan las reas de riesgo examinadas en esta auditora, como por ejemplo:

PLANIFICACIN DE LA AUDITORIA

CENTRO DE CLCULO___________________________________

OBJETIVO GENERAL DEL TRABAJO A REALIZAR__________

______________________________________________________
______________________________________________________
______________________________________________________

ALCANCE DEL TRABAJO A REALIZAR (reas de Revisin)

Planificacin y organizacin de sistemas.

Seguridad fsica y lgica
Plan de contingencias y documentacin
Origen, captura y validacin de datos
Procesamiento y actualizacin de datos
Salidas, utilizacin y control de resultados
Integridad y seguridad de los sistemas y de los datos
Terminales y comunicacin de datos

AUDITORES ASIGNADOS.
Supervisor_______________________ Senior ________________

Junior_________________________________________________

DURACION ESTIMADA______ Horas____ Das____ Semanas___

FECHA INICIACION______ FECHA TERMINACION_________

Y para cada punto a analizar se dispone de un listado con los objetivos y

procedimientos de auditora. Por ejemplo, para el "sistema de aire acondicionado"
los objetivos y procedimientos de auditora:

C. SISTEMA DE AIRE ACONDICIONADO (TEMPERATURA,

FILTRACION Y HUMEDAD)

Objetivo de Auditora:
Verificar la suficiencia del sistema de aire acondicionado en cuanto a:

Temperatura
Ventilacin
Filtracin
Humedad
Proteccin
 Respaldo

Procedimientos de Auditora:
1. Se usa el sistema exclusivamente para el centro de clculo?

2. Los revestimientos de los conductos y los filtros estn hechos en materiales no combustibles?

3. Se suministran reguladores de corrientes de aire contra incendio?

4. El compresor est alejado del centro de clculo?

5. La torre de enfriamiento est suficientemente protegida?

6. Existe un sistema de aire acondicionado de respaldo?

7. Las tomas de aire:

a. Estn cubiertas con mallas protectoras?

b. Estn ubicadas a mayor altura que el nivel de la calle?
c. Estn ubicadas para evitar que entren elementos contaminan tes o escombros?

3) Regulacin internacional sobre Auditora de Sistemas de

Informacin

En materia de Auditora de Sistemas de Informacin existen varias metodologas

desde el enfoque de control a nivel internacional. Algunas de las ms
importantes para los profesionales de la contabilidad y la auditora son:

ISACA (COBIT)
COSO
AICPA (SAS)
IFAC (NIA)
SAC
MARGERIT
EDP

A) ISACA-COBIT

The Information Systems Audit and Control Foundation, ISACA

(http://www.isaca.org). Es la asociacin lider en Auditora de Sistemas, con 23.000
miembros en 100 pases.

ISACA propone la metodologa COBIT (Control Objectives for Information and

related Technology). Es un documento realizado en el ao de 1996 y revisado
posteriormente, dirigido a auditores, administradores y usuarios de sistemas de
informacin, que tiene como objetivos de control la efectividad y la eficiencia de las
operaciones; confidencialidad e integridad de la informacin financiera y el
cumplimiento de las leyes y regulaciones.

COBIT

COBIT (http://www.isaca.org/cobit.htm). Objetivos de Control para la Informacin y Tecnologas Afines. Est

disponible en espaol el Resumen Ejecutivo, Marco de Referencia, Objetivos de Control, Directrices de Auditora y
Conjunto de Herramientas de Implementacin.

El COBIT se desarrolla a travs de varios captulos: planificacin y organizacin, adquisicin e implementacin,

desarrollo, soporte y control.

Planificacin y organizacin

Po1 Definicin de un plan estratgico

Po2 Definicin de la arquitectura de informacin
Po3 Determinacin de la direccin tecnolgica
Po4 Definicin de organizacin y relaciones
Po5 Administracin de la inversin
Po6 Comunicacin de las polticas
Po7 Administracin de los recursos humanos
Po8 Asegurar el cumplimiento con los requerimientos Externos
Po9 Evaluacin de riesgos
Po10 Administracin de proyectos
Po11 Administracin de la calidad

Adquisicin e implementacin

A11. Identificacin de soluciones automatizadas

A12. Adquisicin y mantenimiento del software aplicativo
A13. Adquisicin y mantenimiento de la infraestructura tecnolgica
A14. Desarrollo y mantenimiento de procedimientos
A15. Instalacin y aceptacin de los sistemas
A16. Administracin de los cambios

Prestacin y soporte

Ds1. Definicin de los niveles de servicios

Ds2. Administrar los servicios de terceros
Ds3. Administrar la capacidad y rendimientos
Ds4. Asegurar el servicio continuo
Ds5. Asegurar la seguridad de los sistemas
Ds6. Entrenamiento a los usuarios
Ds7. Identificar y asignar los costos
Ds8. Asistencia y soporte a los clientes
Ds9. Administracin de la configuracin
Ds10. Administracin de los problemas
Ds11. Administracin de los datos
Ds12. Administracin de las instalaciones
Ds13. Administracin de la operacin

LISTAS DE CHEQUEO O CHECKLIST

PARA REAS DE CMPUTO
Definicin: Actualmente es difcil definir lo que es un centro de cmputo, puesto
que en una organizacin pequea dos equipos PC son todo su centro de cmputo,
en una escuela, su centro de cmputo lo conforman sus aulas y las oficinas
administrativas, y en un corporativo, su centro de cmputo lo forman varios
edificios o un sitio central y oficinas regionales.

Para poder englobar todos estos extremos, se definir al centro de cmputo no en

funcin del nmero de equipos con que cuente, ni en funcin del espacio que
ocupa, sino en cuanto al servicio que proporciona. En este entorno un centro de
cmputo es la infraestructura necesaria para satisfacer todas las necesidades de
procesamiento de informacin y brindar los servicios que la organizacin requiere,
contando para ello con recursos humanos, tcnicos y materiales.

CUESTIONARIO DE CONTROL C1

Aulas de informtica Institucin Educativa R/PT

Cuestionario de Control C1
Dominio Adquisicin e Implementacin
Proceso AI3: Adquirir y mantener la arquitectura tecnolgica
Objetivo de Control Evaluacin de Nuevo Hardware
Cuestionario
Pregunta SI NO N/A
Se cuenta con un inventario de todos los equipos que
integran el centro de cmputo?
Con cuanta frecuencia se revisa el inventario?
Se posee de bitcoras de fallas detectadas en los
equipos?
Caractersticas de la bitcora (seale las opciones).
La bitcora es llenada por personal especializado?
Seala fecha de deteccin de la falla?
Seala fecha de correccin de la falla y revisin de
que el equipo funcione correctamente?
Se poseen registros individuales de los equipos?
La bitcora hace referencia a hojas de servicio, en
donde se detalla la falla, y las causas que la
originaron, as como las refacciones utilizadas?

Se lleva un control de los equipos en garanta, para que a

la finalizacin de sta, se integren a algn programa de
mantenimiento?
Se cuenta con servicio de mantenimiento para todos los
equipos?
Con cuanta frecuencia se realiza mantenimiento a los
equipos?
Se cuenta con procedimientos definidos para la
adquisicin de nuevos equipos?
Se tienen criterios de evaluacin para determinar el
rendimiento de los equipos a adquirir y as elegir el mejor?
Documentos probatorios presentados:

CUESTIONARIO DE CONTROL C2

Aulas de informtica Institucin Educativa R/PT

Cuestionario de Control C2
Dominio Adquisicin e Implementacin
Proceso AI3: Adquirir y mantener la arquitectura tecnolgica
Objetivo de Control Mantenimiento Preventivo para Hardware
Cuestionario
Pregunta SI NO N/A
Se lleva un control de los equipos en garanta, para que a
la finalizacin de sta, se integren a algn programa de
mantenimiento?
Se cuenta con servicio de mantenimiento para todos los
equipos?
Con cuanta frecuencia se realiza mantenimiento a los
equipos?
Se cuenta con procedimientos definidos para la
adquisicin de nuevos equipos?
Se tienen criterios de evaluacin para determinar el
rendimiento de los equipos a adquirir y as elegir el mejor?
Documentos probatorios presentados:

CUESTIONARIO DE CONTROL C3

Aulas de informtica Institucin Educativa R/PT

Cuestionario de Control C3
Dominio Entrega de Servicios y Soportes
Proceso DS12: Administracin de Instalaciones.
Objetivo de Control Escolta de Visitantes
Cuestionario
Pregunta SI NO N/A
Las instalaciones (aulas, cubculos y oficinas) fueron
diseadas o adaptadas especficamente para funcionar
como un centro de cmputo?
Se tiene una distribucin del espacio adecuada, de forma
tal que facilite el trabajo y no existan distracciones?
Existe suficiente espacio dentro de las instalaciones de
forma que permita una circulacin fluida?
Existen lugares de acceso restringido?
Se cuenta con sistemas de seguridad para impedir el paso
a lugares de acceso restringido?
Se cuenta con sistemas de emergencia como son
detectores de humo, alarmas, u otro tipo de censores?
Existen sealizaciones adecuadas en las salidas de
emergencia y se tienen establecidas rutas de evacuacin?
Se tienen medios adecuados para extincin de fuego en el
centro de cmputo?
Se cuenta con iluminacin adecuada y con iluminacin de
emergencia en casos de contingencia?
Se tienen sistemas de seguridad para evitar que se
sustraiga equipo de las instalaciones?
Se tiene un lugar asignado para papelera y utensilios de
trabajo?
Son funcionales los muebles instalados dentro del centro
de cmputo: cintoteca, Discoteca, archiveros, mesas de
trabajo, etc?
Existen prohibiciones para fumar, consumir alimentos y
bebidas?
Se cuenta con suficientes carteles en lugares visibles que
recuerdan estas prohibiciones?
Con cuanta frecuencia se limpian las instalaciones?
Con cuanta frecuencia se limpian los ductos de aire y la
cmara de aire que existe debajo del piso falso (si existe)?
Documentos probatorios presentados:

CUESTIONARIO DE CONTROL C4

Aulas de informtica Institucin Educativa R/PT

Cuestionario de Control C4
Dominio Entrega de Servicios y Soportes
Proceso Proteccin contra Factores Ambientales
Objetivo de Control Controles Ambientales
Cuestionario
Pregunta SI NO N/A
El centro de cmputo tiene alguna seccin con sistema de
refrigeracin?

Con cuanta frecuencia se revisan y calibran los controles

ambientales?
Se tiene contrato de mantenimiento para los equipos que
proporcionan el control ambiental?
Se tienen instalados y se limpian regularmente los filtros
de aire?
Con cuanta frecuencia se limpian los filtros de aire?
Se tiene plan de contingencia en caso de que fallen los
controles ambientales?
Documentos probatorios presentados:

CUESTIONARIO DE CONTROL C5

Aulas de informtica Institucin Educativa R/PT

Cuestionario de Control C5
Dominio Entrega de Servicios y Soportes
Proceso DS12 Administracin de Instalaciones.
Objetivo de Control Suministro Ininterrumpido de Energa
Cuestionario
Pregunta SI NO N/A
Se cuenta con instalacin con tierra fsica para todos los
equipos?
La instalacin elctrica se realiz especficamente para el
centro de cmputo?
Se cuenta con otra Instalacin dentro el centro de
cmputo, diferente de la que alimenta a los equipos de
cmputo?
La acometida llega a un tablero de distribucin?
El tablero de distribucin esta en la sala, visible y
accesible?
El tablero considera espacio para futuras ampliaciones de
hasta de un 30 % (Considerando que se dispone de
espacio fsico para la instalacin de ms equipos)?
La Instalacin es independiente para el centro de
cmputo?
La misma instalacin con tierra fsica se ocupa en otras
partes del edificio?
La iluminacin est alimentada de la misma acometida
que los equipos?
Las reactancias (balastros de las lmparas) estn
ubicadas dentro de la sala?
Los ventiladores y aire acondicionado estn conectados
en la misma instalacin de los equipos a la planta de
emergencia?
Los ventiladores y aire acondicionado estn conectados
en la misma instalacin de los equipos a los no-brake?
Se cuenta con interruptores generales?
Se cuenta con interruptores de emergencia en serie al
interruptor general?
Se cuenta con interruptores por secciones aulas?
Se tienen los interruptores rotulados adecuadamente?
Se tienen protecciones contra corto circuito?
Se tiene implementado algn tipo de equipo de energa
auxiliar?
Se cuenta con Planta de emergencia?
Se tienen conectadas algunas lmparas del centro de
cmputo a la planta de emergencia?
Qu porcentaje de lmparas: % estn conectadas a la
planta de emergencia (recomendable el 25 %)?
Documentos probatorios presentados:

CUESTIONARIO DE CONTROL C6

Aulas de informtica Institucin Educativa R/PT

Cuestionario de Control C6
Dominio Entrega de Servicios y Soportes
Proceso Proteccin contra Factores Ambientales
Objetivo de Control Seguridad Fsica
Cuestionario
Pregunta SI NO N/A
Se tienen lugares de acceso restringido?
Se poseen mecanismos de seguridad para el acceso a
estos lugares?
A este mecanismo de seguridad se le han detectado
debilidades?
Tiene medidas implementadas ante la falla del sistema de
seguridad?
Con cuanta frecuencia se actualizan las claves o
credenciales de acceso?
Se tiene un registro de las personas que ingresan a las
instalaciones?
Documentos probatorios presentados: