Apéndice E 1

Lista de verificación de auditoría alrededor de la computadora

Esta herramienta trata de evaluar todo lo que involucra la actividad de los sistemas
computacionales procurando de ser posible, dejar a un lado los aspectos especializados,
técnicos y específicos de los sistemas, a fin de evaluar únicamente las actividades
vinculadas que se llevan a cabo alrededor de estos.
Evaluación de la administración del software de la empresa
Evaluar y calificar el cumplimiento de los
siguientes aspectos: Excele Bue Regu Míni No
Lenguajes y programas de desarrollo, aplicaciones y nte no lar mo cumple
explotación del software institucional del área de sistemas y
del software de las demás áreas de la empresa que cuenten
con sistemas.
Especificaciones de acceso y uso de los datos e información
del sistema, así como de los procesos y operación del propio
sistema.
Estándares y métodos de entradas de datos y salidas de
información.
Estándares para la operación y manipulación de datos del
sistema.
Formas de procesamiento de información y procesos de datos
en línea o lote.
Administración de archivos, programas e
información institucional.
Medidas para evitar la piratería de software, así como la
instalación de programas ilegales en el área de sistemas y en
las demás áreas de la empresa que cuenten con sistemas.

Administración y control de las licencias, resguardos y custodia

del software institucional.
Manuales e instructivos de operación, técnicos, de
procedimientos, así como de las instalaciones y demás
documentación relacionada con el funcionamiento del sistema.

Metodologías y estándares para el desarrollo de nuevos

sistemas.
Estándares de programación y documentación de sistemas.

Adquisición, desarrollo e instalación de nuevos sistemas

computacionales.
Mantenimiento preventivo y correctivo del sistema
computacional, del hardware, software, de la información y
demás componentes de los sistemas de la empresa.
Evaluación de la configuración física del área de sistemas de la empresa
Evaluar y calificar el cumplimiento de los
siguientes aspectos: Excelente Bueno Regular Mínimo No cumple
Configuración, ubicación y adecuación de las áreas físicas del
centro de cómputo y de las demás áreas de la empresa que
cuenten con sistemas, en relación con el aire acondicionado,
pisos falsos, iluminación, instalaciones y demás componentes
físicos para el bienestar y comodidad de los usuarios de
sistemas.
Configuración del sistema computacional, redes, procesadores,
periféricos, componentes e instalaciones físicas internas y
externas del centro de cómputo y de las demás áreas de la
empresa que cuenten con sistemas computacionales.

Configuración y características físicas de locales,

instalaciones, mobiliario y equipos.
Distribución de los equipos, componentes y configuración
física del centro de cómputo y de las demás áreas de la
empresa que cuenten con sistemas.

Instalaciones eléctricas (tipos de cableados y conexiones, tierra

física, no-breaks, reguladores de corriente, etc.), de
comunicación y de datos del área de sistemas y de las demás
áreas de la empresa que cuenten con sistemas.

Medio ambiente físico del área de sistemas (sistemas de

calefacción, polvo, ruido, estática, aire acondicionado, etc.) y
los demás elementos ambientales que pueden influir en el
desarrollo adecuado de la función informática en la empresa.

Sistemas de acceso, seguridad y protección físicos del área de

sistemas, así como la seguridad de sus activos informáticos,
personal y usuarios.
Distribución del mobiliario, equipo y sistemas.
Usuarios de los sistemas de red, PCs individuales, de correo
electrónico, grupales y de cualquier otro sistema.

Componentes externos del área de sistemas y de las demás

áreas de la empresa que cuenten con sistemas.
Evaluación de los métodos de acceso, seguridad y salvaguarda de los activos informáticos del área de
sistemas.
Evaluar y calificar el cumplimiento de los siguientes
aspectos: Excelente Bueno Regular Mínimo No cumple
Planes y programas de prevención contra contingencias en el
funcionamiento de los sistemas, en la información y datos de la
empresa y en los demás bienes informáticos del centro de
cómputo y de las demás áreas de la empresa que cuenten con
sistemas.

Identificación de accesos, almacenamiento y custodia de la

información, sistemas operativos, lenguajes, archivos y
programas institucionales.
Evaluación de controles y sistemas de seguridad, protección y
salvaguarda de los activos, del personal, instalaciones,
información, mobiliario y equipo del área de sistemas y de las
demás áreas de la empresa que cuenten con sistemas.

Planes contra contingencia para seguridad y protección de

los programas, información, instalaciones, empleados y
usuarios del sistema computacional.

Sistemas de control de accesos lógicos al sistema y a las bases

de datos.
Sistemas de control de accesos físicos al centro de cómputo.

Prevención y erradicación de virus informáticos.

Sistemas de protección y de supresión de sistemas piratas y
juegos en los sistemas computacionales de la empresa.

Evaluación de la administración del área de sistemas

Evaluar y calificar el cumplimiento de los siguientes
aspectos: Excelente Bueno Regular Mínimo No cumple
Diseño de la estructura de organización del sistema, de las
áreas de trabajo y de las funciones y líneas de autoridad y
responsabilidad de funcionarios, empleados y usuarios del área
de sistemas.
Administración centralizada de sistemas, archivos y
procesamiento de información.
Administración desconcentrada de sistemas, archivos y
procesamiento de información.
Administración y control de los recursos informáticos,
personal, instalaciones, mobiliario y equipo del área de sistemas
y de las demás áreas de la empresa que cuenten con sistemas.

Estándares, normas y políticas para la evaluación y

adquisición del hardware, software, periféricos, mobiliarios,
equipos, instalaciones y artículos de consumo para el área de
sistemas.
Estándares para la selección, capacitación y desarrollo del
personal y usuarios del centro de cómputo.

Supervisión, coordinación y control de funciones y actividades

de funcionarios, personal y usuarios del área de sistemas
computacionales.
Supervisión, coordinación y control de la operación de los
sistemas, equipos, periféricos e información del área de
sistemas.
Evaluación de los aspectos técnicos del sistema, en cuanto a
características, configuración, procesamiento de información,
componentes y demás peculiaridades de la función informática
en la empresa.

Administración y control del sistema operativo, de los lenguajes,

programas y paqueterías institucionales utilizados en el sistema
computacional del procesador.
Administración y control de los sistemas de red,
cliente/servidor, multiusuarios y microcómputo de la empresa.

Administración y control de sistemas de telecomunicación de

datos y teleprocesamiento de información.

Prevención y control de la contaminación informática.

Actualización permanente de acuerdo con los cambios
computacionales y tecnologías informáticas de vanguardia.

Diseño e implantación de estándares de operación,

adquisición, capacitación, desarrollo de sistemas, accesos al
sistema, procesamiento de datos y demás estándares
relacionados con la administración y control del centro de
cómputo.
Evaluación de los aspectos técnicos del sistema
Evaluar y calificar el cumplimiento de los siguientes
aspectos: Excelente Bueno Regular Mínimo No cumple
Administración y control de la configuración de servidores,
terminales y PCs de la empresa, en cuanto a procesadores,
tarjetas madres, cableado interno y externo, componentes del
sistema computacional y demás peculiaridades de los
sistemas de la empresa.

Administración y control de los sistemas operativos, lenguajes

de operación, desarrollo y aplicación para la programación y
explotación del sistema.
Administración y control de los sistemas de red (LAN, MAN
o WAN), sistemas mayores, cliente/servidor, multiusuarios
y de PC personal.
Determinación y aplicación de normas y estándares para la
instalación de sistemas computacionales en la empresa,
relacionados con los procesadores, tarjetas madre, velocidades
de procesos, memorias, medios de almacenamiento secundario
y demás componentes de los sistemas de la empresa.

Administración y control de las bibliotecas del sistema, sean

maestras, fuente, de parámetros, de procedimientos, de carga,
de objetivos y demás, según los sistemas operativos,
lenguajes y programas de dicho sistema

Administración y control de los archivos del sistema, de los

usuarios y específicos de producción, pruebas de sistemas,
operación de pruebas, nuevos
proyectos y resguardos de la información
institucional.
Administración y control de las bases de datos del sistema y de
los usuarios, en relación con su estructura, configuración,
características, lenguajes y programas, resguardos, custodia
interna y externa y demás formas de administración de las
bases
de datos.
Administración y control de la arquitectura de comunicación, de
los sistemas de telecomunicación, teleprocesamiento,
transmisión, retransmisión, interconexión y de los sistemas
utilizados para la transmisión vía módem, cableado o satelital.

Prevención, control y erradicación de la contaminación

informática, piratería y virus informáticos.
 Actualización permanente de acuerdo con los
cambios computacionales y tecnológicos que impactan la
función informática en la empresa.
Administración y control de los estándares, velocidades,
procesadores, memorias y demás características de los
sistemas computacionales de la empresa.

Evaluación de la administración del sistema

Evaluar y calificar el cumplimiento de los siguientes
aspectos: Excelente Bueno Regular Mínimo No cumple
Administración estratégica de la función informática, visión,
misión y objetivos del área de sistemas, así como de los planes
y programas, normas, políticas, lineamientos y procedimientos
para regular la actividad de sistemas en la empresa.

Los planes, programas y presupuestos financieros que afectan

la administración del centro de cómputo.
La estructura de organización, puestos, funciones, niveles de
autoridad y canales de comunicación del centro de cómputo,
según su tamaño, características y sistemas de procesamiento.

La selección, capacitación, formación, adiestramiento y

contratación de funcionarios, personal y usuarios del área de
sistemas.
El establecimiento y uso de los sistemas y métodos de control
para el acceso a los sistemas e información institucionales.

La aplicación de las técnicas y métodos de dirección,

supervisión, toma de decisiones, coordinación y de motivación
del personal y usuarios del centro de cómputo.

Administración de proyectos de sistemas informáticos de la

empresa, así como de la adquisición, adecuación o desarrollo
interno de sistemas.
Existencia, difusión, actualización y uso de la documentación
técnica y administrativa del área de sistemas, manuales de
usuarios, de operación del sistema, manuales de organización, de
procedimientos y de operación administrativa del área de
sistemas.
Existencia, difusión y actualización de resguardos de sistemas
computacionales, licencias de lenguajes, programas y paquetes
del sistema.
 Administración y control de los materiales y
consumibles del área de sistemas.
Evaluación de los perfiles de puestos del área de sistemas y
cumplimiento de los requisitos del puesto.
Análisis del entorno de los sistemas, en relación con la
comunicación de las áreas de la empresa y la atención a
usuarios.
Cumplimiento de las funciones administrativas de los
funcionarios del área de sistemas, en lo referente a
la planeación, organización, dirección y control de las
funciones informáticas de la empresa.

El levantamiento de inventarios a fin de hacer un recuento de los bienes informáticos del área
de sistemas
Evaluar y calificar el cumplimiento de los siguientes
aspectos: Excelente Bueno Regular Mínimo No cumple
Inventarios de los equipos de cómputo, contemplando las marcas,
procesadores, tarjetas madre, velocidad, configuración,
componentes, memorias, sistemas de almacenamiento, tarjetas
adicionales, números de serie, responsables de su resguardo y
todos los demás aspectos relacionados con estos equipos.

Inventario de los sistemas operativos, lenguajes, programas,

paqueterías, utilerías y demás software institucional,
incluyendo licencias, resguardos, originales, copias
autorizadas y copias piratas.
Inventario del personal informático y usuarios del sistema, a fin
de evaluar sus perfiles de puestos, conocimientos,
características y preparación para el uso de los sistemas
computacionales de la empresa.
Inventario de bienes muebles, inmuebles, materiales y
consumibles del área de sistemas.
Inventario de los sistemas de redes, cuando el sistema
esté diseñado de esta manera.
Inventario de instalaciones físicas, protecciones,
características y funcionalidad de las áreas de sistemas,
contemplando su medio ambiente de trabajo, iluminación,
aire acondicionado, ruidos, temperatura, estática y demás
peculiaridades
de su funcionamiento.
Otros inventarios acordes a las necesidades de la
auditoría.
El diseño físico del área de sistemas y de las áreas de la
empresa que cuenten con sistemas computacionales.
El análisis y aprobación de las propuestas para la
adquisición del software, hardware, periféricos, equipos
adicionales, bienes muebles, consumibles y materiales diversos
que permiten el funcionamiento del sistema.

El medio ambiente de trabajo en el que se realiza la función

informática de la empresa.
La gestión administrativa de la función informática de la
empresa.
El diseño de proyectos de nuevos sistemas
computacionales en el área de sistemas.
El diseño de formatos, formas y métodos para la
recopilación de información que será procesada en el
sistema.
La administración y control de los sistemas de seguridad y
salvaguarda de los activos informáticos, la información, el
personal y los usuarios del sistema.
La administración y control de accesos a las instalaciones del
área de cómputo, a los sistemas, a la información y los bienes
informáticos del área.
Todos aquellos aspectos especiales que intervienen de
alguna manera en el aprovechamiento y explotación del
sistema computacional y en la gestión administrativa del
centro de cómputo. Con la condición indiscutible de no
interferir directamente en el uso del
equipo de cómputo.