UNIVERSIDAD DE SAN CARLOS DE GUATEMALA

CENTRO UNIVERSITARIO DE OCCIDENTE

DIVISION DE CIENCIAS ECONÓMICAS

AUDITORIA DE SISTEMAS
 INTRODUCCION

Consideramos que la auditoria de sistemas es de vital importancia para que se de un buen

desempeño en los sistemas de información ya que esta proporciona y motiva a mantener controles
necesarios para que los sistemas sean confiables
Esta actividad la encaminamos a juzgar cada una de las actividades dentro de la empresa
Conocer metodologías y métodos cuantitativos, cualitativos, mixtos. Para poder realizar la auditoría
se debe hacer una visita preliminar a la empresa Manufacturera, S.A para conocerlo y poder adaptar
nuestros cuestionarios y programas correspondientes para preliminar la área a ser evaluada.

Debido a la importancia de la misma se debe de identificar algunos puntos importantes para la

auditoría en sistemas la cual se va a realizar del 01 al 31 de marzo del año 2021.

SR. XXXXXX
Presidente Junta Directiva
Presente

Me permito remitir a usted el Informe de Resultados de la auditoría practicada a las instalaciones del
Centro de Cómputo de la Empresa MANUFACTURERA S.A. a los sistemas de computación, que se
realizó del 1 al 31 de marzo del año 2022.

La revisión realizada fue de carácter integral y comprendió la evaluación de la estructura de

organización, la operación del sistema, el cumplimiento de las actividades y funciones asignadas al
personal y la revisión a los resultados de la gestión informática.

En el citado informe encontrará el dictamen y las condiciones a las cuales se llegó después de la
aplicación de las técnicas y procedimientos de la auditoría de sistemas de tipo integral.

Quedo de ustedes para cualquier aclaración al respecto.

Lic. Bernardo Tevalan

Gerente General

Lic. Ricardo Montejo

Presidente Junta Directiva

Presente:
De acuerdo con la instrucción dada por parte del consejo de administración de la empresa
MANUFACTURERA S.A. a su digno cargo, me permito remitir a usted el dictamen de la auditoría
practicada al Centro de Computo, con especial énfasis en la administración, funcionamiento y
operación del sistema de red de esa institución, misma que se llevó acabo del 1 al 31 de marzo del
2022.

De acuerdo a los resultados obtenidos durante la evaluación me permito informarle a usted las
siguientes observaciones:

Situaciones presentadas por áreas auditadas

No se cuenta con un plan de renovación de equipos y servidores, estos se renuevan hasta que existe
un fallo general en los mismos. Se trabaja con un equipo desactualizado el cual presenta mayores
problemas de seguridad, gasto en actualizaciones y mantenimientos, así como la incompatibilidad
con nuevos programas y tecnologías, se incluye en la cedula relevante A.H.
Se verifico que las contraseñas son seguras en un 60%, en la anterior auditoria hace 4 años se le
sugirió a los empleados utilizar como mínimo 6 dígitos, Letras mayúsculas y minúsculas y números. Se
considera en la cedula de situaciones relevantes A.P.

A pesar que se cuenta con correos institucionales, los empleados siguen utilizando correos no
institucionales de Gmail u otro servidor gratuito, lo cual se considera un riesgo de seguridad de
información. Los empleados utilizan correos que no pertenecen a la institución, lo cual llegará a
provocar riesgos en la seguridad de la información, se propone cedula de situaciones relevantes A.T.

El traslado de información de un ordenador a otro es por medio de memoria USB personal, se

propone en la cedula de situaciones relevantes A.L.

El servidor actual no cuenta con discos redundantes o discos espejos, de tal manera que si el equipo
llega a fallar, la Empresa podría perder información y suspender actividades, la restauración requerirá
de por lo menos 24 horas para levantar, instalar y restaurar la actividad normal del servidor, pero si
realizan un backup diario. El servidor no cuenta con discos fundamentales que ayuden a que no se
pueda perder la información de la Empresa y para recuperar la información llevaría demasiado
tiempo. Se contempla en la cedula de situaciones relevantes A.S.
Se verificaron las principales políticas de uso del equipo para empleados y se logró verificar que es
necesario una actualización y renovación de políticas específicas del uso del equipo de cómputo por
parte del personal, esto específicamente a conexiones, descargas, comida, bebida e instalaciones de
software y hardware por parte del usuario. De parte de los empleados no se toman en cuenta
políticas específicas para el uso de equipos de cómputo.

Los empleados utilizan contraseñas no tan seguras que pueden poner en riesgo su información y
datos de la empresa.

Se logró establecer que la empresa programadora cuenta con el licenciamiento necesario para
realizar este tipo de desarrollo, y según el representante de la empresa que instala el sistema de caja,
se realizó el correspondiente análisis de compatibilidad con los equipos de la Empresa, por lo tanto,
no debería existir problemas de considerable magnitud en su implementación completa.

El personal del área de informática realiza el mantenimiento de los equipos de forma personal y sin
contar con la orden específica.

Verificar los vinculo que existen con el proveedor actual verificando que sea independiente y no
exista alguna acción de mala fe, cotizar con más proveedores evaluando costo y calidad, para elegir la
mejor opción.
El backup o respaldo de datos del sistema contable computarizado actual, es efectuado por el
encargado del departamento de informática de la Empresa, el mismo presenta las siguientes
debilidades. El backup es una copia de todas las bases de datos del sistema, misma que no se extrae
encriptada, al hacerlo de esta forma se podrá tener acceso a información relevante de clientes y
transacciones sin que exista registro del acceso y/o extracción de datos. Cabe mencionar que el
encargado del área comprime los backup con clave, el backup es realizado y almacenado en un DVD y
un Disco externo del departamento de informática de forma diaria, el DVD no es almacenado en una
caja de seguridad con llave y el disco se encuentra en el escritorio de la persona encargada del área.

Existe una carpeta en el servidor llamado ARCHIVOS GENERALES, esta es usada por todos los
empleados para poder compartir información y así no necesitan movilizarse para llevar la información
de un lugar a otro por parte de memorias USB (aunque nada les prohíbe hacerlo) , Tener una carpeta
y que todo el personal tenga acceso, es una amenaza para la información confidencial que quizá
algunos otros empleados manejen.
CONCLUSIONES

• Del trabajo que se ha llevado a cabo podemos manifestar que hemos llevado a la realización
de evaluaciones a cada uno de los objetivos contenidos en los programas de auditoría de
manera eficiente.
• Se ha ejecutado con eficiencia todos los procesos de auditoria y técnicas necesarias que nos
permitieron obtener información relevante.

• El Departamento de centro de computación presenta deficiencias sobre el debido

cumplimiento de Normas de seguridad. Posee un nivel bajo de seguridad y un nivel alto de
riesgo.

• Se le da uso inapropiado a los sistemas computacionales en cuanto al uso y acceso de los

mismos, todo esto a consideración de que no existe una política ni manual de procedimientos.

• El equipo computacional no recibe mantenimiento ni mucho menos actualizaciones tanto en

el hardware como en el software, esto por falta de interés por parte del departamento y de lo
usuarios que realizan uso de los mismos. Tambien no se tiene un plan de mantenimiento a los
equipos de protección, como los extinguidores.

• No obstante, el sistema informatico constituye una de las bases del buen funcionamiento de
la empresa.

Recomendaciones
• Se recomienda la implementación de políticas y un manual de procedimiento y funciones y
que se haga en base de la asesoría de profesionales expertos en el área.

• Que se formule un presupuesto con el propósito de actualizar, reestablecer e implementar el

uso de equipos actualizados, los cuales darán una mayor eficiencia dentro de la empresa, asi
como permitirá que los empleados se sientan motivados a contribuir al logro y objetivos de la
empresa . como también establecer reglamentos para los usuarios. Tomar en cuenta la parte
de conexiones, dispositivos para compartir información, descargas, navegaciones, comida y
bebida, uso, restricciones y prohibiciones.

• Reestructuren la base de datos con la que se cuenta.

• Que se mantenga un plan de monitoreo y capacitación del personal a fin de rendir resultados
optimos, durante el uso de las nuevas tecnologías a presentar.

• Monitorear constantemente el área fisica, cableado, red y todo lo que involucre y sea
oportuno dentro del área de computación

• Aumentar el nivel de seguridad para el resguardo de datos de información de la empresa,

generando procesos con altas restricciones, con el propósito de que cada persona solamente
se encargue de sus funciones y así deducir responsabilidades con alta facilidad.
SITUACIONES DETECTADAS

EMPRESA AREA AUDITADA FECHA

Industria Manufacturera Software 01/03/2022 al 31/03/2022

REF Situación Causa Solución Fecha Responsable

de
solución
A.S. La Empresa Implementar un Encargado
cuenta con un  Necesidad de plan para de sistemas
departamento fondos para renovar el equipo 15 de
de sistemas, mantener el aire y servidores, abril de
encargado de acondicionado y dentro del cual 2022
velar por el el suministro de debe
rendimiento de energía. contemplarse un
los equipos de presupuesto que
cómputo y  Falta de sea factible para
resguardo de la conocimiento la empresa,
información, acerca de la donde se pueda
cuenta con un discontinuidad realizar
servidor cotizaciones con
de los equipos
principal con un diferentes
por lo que no
procesador Xeon lugares para
existe
3.2 con 8 gigas tener el mejor
planificación y
de ram, el precio de
sistema previsión en la adquisición.
operativo es implementación
Windows server de una
2003, este se renovación de los
encuentra en un sistemas
ambiente
protegido bajo
llave, sin
refrigeración y
con protección
de Ups por un
máximo de 15
minutos. El
servidor cuenta
con 8 Gb de
Ram, a pesar de
ello en la
evaluación solo
se comprobó el
funcionamiento
 de 3 Gb, esto
conllevo a la
verificación del
sistema
operativo del
servidor y se
comprobó que
tiene instalado
un sistema
operativo de 32
bits (Windows
2003 Server)
A.S. El servidor Por cuestiones Realizar la 20 de Encargado
actual no cuenta económicos no se ha compra de discos abril de de sistemas
con discos comprado el disco, redundantes. Y 2022
redundantes o también el factor tiempo tomar en cuenta
discos espejos, es lo que afecta el no que el tiempo
de tal manera colocarlo ya que lleva invertido será
que si unas horas realizar el para la
el equipo llega a cambio, tiempo del cual protección de su
fallar, la Empresa no se puede perder. Se información.
podría perder esperará a que el equipo
información y solicite cambios.
suspender
actividades, la
restauración
requerirá de por
lo menos 24
horas para
levantar, instalar
y restaurar la
actividad normal
del servidor,
pero si realizan
un backup
diario.
A.S. El sistema de Visual Studio 2008 y SQL Planificar y Encargado
caja nuevo se 2008 r2, que pueden coordinar de sistemas
está presentar limitaciones y adecuadamente 05 de
desarrollado problemas de seguridad entre la empresa abril de
bajo un código que podrían afectar el programadora 2022
ASP net, Visual rendimiento y la del sistema de
Studio 2008 con estabilidad del sistema caja y la empresa
un soporte de que lo
de caja.
base de datos implementa para
SQL 2008 r2, se garantizar una
 logró establecer integración
que la empresa adecuada con la
programadora infraestructura
cuenta con el existente
licenciamiento
necesario para
realizar este tipo
de desarrollo, y
según el
representante
de la empresa
que instala el
sistema, se
realizó el
correspondiente
análisis de
compatibilidad
con los equipos
de la Empresa,
por lo tanto no
debería existir
problemas de
considerable
magnitud en su
implementación
completa.
A.S. El 2% de los  El hecho de que También es 30 de
equipos de haya equipos que importante abril de En cargado
cómputo utilizan utilizan establecer una 2022 de sistemas
sistema diferentes estrategia clara
operativo sistemas de actualización
Windows XP operativos se y
estos utilizados debe a las homogeneización
en el área de de la plataforma
decisiones de
secretaria, el tecnológica, de
adquisición de
80% de equipos modo que todos
equipos por
cuentan con los equipos
separado en
Windows 7 y el utilicen el mismo
resto con 8/10, diferentes sistema
momentos, sin operativo y se
una estrategia puedan
clara de garantizar la
actualización y compatibilidad y
homogeneizació la seguridad
n de la
plataforma
 tecnológica.
 el 2% de los
equipos utilice
Windows XP es
porque los
equipos son
antiguos y no
cumplen con los
requisitos
mínimos para
ejecutar
versiones más
nuevas de
Windows,

A.P Se cuenta con Esto puede deberse a la Implementar un

licencias falta de conocimiento software de
originales de técnico para gestión de
sistemas implementar un sistema antivirus: Este
operativos y automatizado de software puede
office para 30 actualización de automatizar el
equipos, de la antivirus, presupuesto proceso de
misma forma limitado o falta de actualización de
para los
atención a las antivirus en
antivirus, las
necesidades de todos los equipos
actualizaciones
seguridad de la empresa. El
de antivirus se
realizan de personal
forma manual encargado puede
por parte de los programar el
encargados del software para
departamento que realice las
de sistemas actualizaciones
desde una en un horario
máquina del regular y
departamento garantizar que
todos los equipos
estén protegidos
de manera
oportuna.
EMPRESA AREA AUDITADA FECHA
Industria Manufacturera Lógica 01/03/2022 al 31/03/2022

REF Situación Causa Solución Fecha Responsable

de
solució
n
A.L. El backup es  Establecer una Encargado
una copia de Falta de una política de política de de sistemas
todas las bases seguridad de la seguridad de la 15 de
de datos del información adecuada información abril de
sistema, misma y la falta de conciencia que incluya los 2022
que no se y capacitación del procedimientos
extrae encargado del
para realizar y
encriptada, al departamento de
almacenar los
hacerlo de esta informática acerca de
backups, así
forma se podrá los riesgos y mejores
prácticas para realizar y como las
tener acceso a
almacenar los backups. medidas de
información
relevante de seguridad
clientes y  Falta de necesarias para
transacciones conocimiento proteger la
sin que exista acerca de la información
registro del discontinuidad crítica y
acceso y/o de los equipos sensible.
extracción de por lo que no
datos. Cabe existe
mencionar que planificación y
el encargado previsión en la
del área implementación
comprime los
de una
backup con
renovación de
clave, el
los sistemas
backup es
realizado y
almacenado en
un DVD y un
Disco externo
del
departamento
de informática
de forma
 diaria, el DVD
no es
almacenado en
una caja de
seguridad con
llave y el disco
se encuentra
en el escritorio
de la persona
encargada del
área
A.L. Se verifico que No se realizan cambio Crear parámetros 20 de Encargado
las contraseñas de contraseñas por sobre las contraseñas, abril de de sistemas
son seguras en periodos de tiempos como son el número 2022
un 60%, en la largos, además de uno de dígitos, que estos
anterior utilizar contraseñas contengan, números,
auditoria hace demasiado largas para letras mayúsculas y
4 años se le evitar olvidarlas. minúsculas, así como
sugirió a los la utilización de signos
empleados especiales y que a
utilizar como cada trimestre, sean
minio 6 dígitos, actualizadas.
Letras
mayúsculas y
minúsculas y
números
B.D. Existe una Por descuido y falta de Restringir el acceso a Encargado
carpeta en el interés del la carpeta compartida de sistemas
servidor departamento de solo a los empleados 05 de
llamado Técnicos en que necesitan tener abril de
ARCHIVOS informática, NO se acceso a ella para 2022
GENERALES, tiene el debido realizar su trabajo e
esta es usada cuidado, ya que en los individualizar
por todos los servidores es donde se responsabilidades.
empleados almacena toda la
.
para poder información de la
compartir industria, es de gran
información y riesgo y de suma
así no urgencia dejar de
necesitan realizar esa práctica,
movilizarse por el bien de la
para llevar la información
información de
un lugar a otro
por parte de
memorias USB
 (aunque nada
les prohíbe
hacerlo)

EMPRESA AREA AUDITADA FECHA

Industria Manufacturera Hardware 01/03/2022 al 31/03/2022

REF Situación Causa Solución Fecha Responsable

de
solución
A.H No se cuenta No se realiza un Los equipos deben Encargado de
. con un plan de diagnóstico de contener sistemas
renovación de periódicamente para características 15 de
equipos y detectar algún específicas abril de
servidores, riesgo en algún relacionadas con 2022
estos se equipo. No se tiene su uso, se debe de
renuevan hasta un presupuesto para gestionar un plan
que existe un para la renovación
el cambio en
fallo general en y mantenimiento
determinado
los mismos. para los equipos.
periodo.
Realizar Fichas de
responsabilidad,
para que el
encargado del
equipo de a
conocer como se la
entregaron y si
necesita algún
mantenimiento
A.H Para la Concentración del Descentralizar la 20 de Consejo de
adquisición del poder de elegir una autoridad e abril de administración
equipo se compra por parte Investigar a otros 2022
cuenta con un del consejo de proveedores: Es
proveedor administración, por importante realizar
específico el miedo a que se una investigación
sugerido por compren con exhaustiva de
parte del personas que no les otros proveedores
consejo de simpatice. en el mercado para
administración comparar opciones
de la Empresa de productos y
el cual surte precios y evaluar si
todos los hay otras opciones
suministros, que puedan
repuestos y satisfacer las
 equipo necesidades de la
necesarios empresa.
para la
institución
A.H DONACIÓN- Falta de control y Mejora del control Encargado de
. UNIDAD seguimiento de inventario: Se inventarios de
ATENCIÓN A adecuado del podrían 05 de activos
VÍCTIMAS equipo donado. Es implementar abril de
CONFLICTO posible que no se procedimientos y 2022
ARMADO hayan controles más
nunca se pudo implementado los efectivos para el
observar este procedimientos y registro,
equipo, según
controles adecuados seguimiento y
se argumentó
para la gestión de control de los
la persona
los activos donados, activos donados,
estaba fuera
del país al lo que podría haber incluyendo la
momento de la resultado en la falta asignación de
auditoria de cuidado del responsabilidades
equipo. claras.

EMPRESA AREA AUDITADA FECHA

Industria Manufacturera Base de datos 01/03/2022 al 31/03/2022

REF Situación Causa Solución Fecha Responsable

de
solución
B.D Existe una Por descuido y falta Lo ante posible, ya Encargado
. carpeta en el de interés del no se dará acceso de sistemas
servidor departamento de a los 05 de
llamado Técnicos en colaboradores a abril de
ARCHIVOS informática, NO se los servidores, ya 2022
GENERALES, tiene el debido que un mal
esta es usada cuidado, ya que en teclaso podría
por todos los los servidores es significar la
empleados donde se almacena desaparición de
para poder toda la información toda la
compartir de la industria, es información de la
información y de gran riesgo y de industria.
así no suma urgencia
necesitan dejar de realizar esa
movilizarse práctica, por el bien
para llevar la de la información
 información de
un lugar a otro
por parte de
memorias USB
(aunque nada
les prohíbe
hacerlo)

EMPRESA AREA AUDITADA FECHA

Industria Manufacturera Personal 01/03/2022 al 31/03/2022

REF Situación Causa Solución Fecha Responsable

de
solución
A.P. Se verificaron las Falta de Definir las Consejo de
principales planificación y/o políticas de uso administración
políticas de uso del falta de priorización del equipo de 30 de
equipo para por parte de los cómputo: Se abril de
empleados y se responsables de la deben definir 2022
logró verificar la empresa. Es posible políticas claras y
ausencia de que no se hayan específicas en
políticas específicas tomado en cuenta cuanto al uso del
del uso del equipo
los riesgos y las equipo de
de cómputo por
implicaciones de no cómputo, que
parte del personal,
tener políticas incluyan temas
esto
específicamente a claras y específicas como conexiones,
conexiones, en cuanto al uso del descargas,
descargas, comida, equipo de cómputo instalaciones de
bebida e por parte del software y
instalaciones de personal, lo que hardware, y
software y puede resultar en consumo de
hardware por parte problemas de comida y bebida
del usuario seguridad cerca de los
informática, equipos.
reducción de la
productividad y
otros problemas
relacionados con el
uso inadecuado del
equipo.
A.P. El personal del área Falta de políticas de Establecer 30 de Consejo de
de informática mantenimiento de procesos claros y abril de administración
realiza el los equipos formales para la 2022
 mantenimiento de informáticos de la solicitud y
los equipos de organización. Es aprobación del
forma personal y posible que el mantenimiento y
sin contar con la personal de limpieza de los
orden específica, al informática no esté equipos
interrogar del familiarizado con informáticos. Esto
porque se realizaba los procedimientos puede incluir la
este proceso de la de solicitud y creación de
forma en que se
aprobación de formularios de
hace, el personal
mantenimiento de solicitud de
indico que no
los equipos, o que mantenimiento, la
necesitan ninguna
orden ya que ellos no se hayan definición de
son los mismos que establecido criterios objetivos
autorizan las procesos claros y para priorizar el
ordenes de formales mantenimiento, y
mantenimiento y la identificación
limpieza, y lo de las personas o
realizan cuando departamentos
consideran que a responsables de la
un equipo se le aprobación del
debe dar mantenimiento.
mantenimiento
A.P. En el MSD-USAID La persona que Capacitación y 30 de Consejo de
COVENIO 514C-00- proporcionó la monitoreo al abril de administración.
01-00102-00 2005 información sobre personal para 2022
(ASUNTOS la máquina cometió asegurarse de los
INTERNACIONALES un error al escribir registros
) la maquina o recordar la adecuados a cerca
contaba con un capacidad del disco de los inventarios
disco duro de 120 duro. de activos
gb.
A.P. Los usuarios No existe una En primera
pueden utilizar una política establecida, instancia se creará 30 de
memoria USB en la cual se una política en la abril de Consejo de
personales para prohíba el uso de cual quede 2022 administración
trasladar memorias USB excluida la
información de una ajenos a la utilización de
maquina a otra. institución, por memorias USB
ajenos del
tanto es riesgoso y
Hardware de la
pueden infectar de
industria
virus a las
manufacturera
computadoras.
para poder hacer
efectivo y soportar
 la no utilización de
la misma.

EMPRESA AREA AUDITADA FECHA

Industria Manufacturera Telecomunicaciones 01/03/2022 al 31/03/2022

RE Situación Causa Solución Fecha Responsable

F de
solución
A.T A pesar que se Los empleados Implementar Consejo de
cuenta con están políticas y administración
correos acostumbrados al monitoreos que 30 de
institucionales, uso de sus obliguen a los abril de
los empleados cuentas empleados a 2022
siguen utilizando personales, cosa utilizar los
correos no que no puedan correos
institucionales de adaptarse al uso institucionales, y
Gmail u otro dentro de los
de una cuenta
servidor gratuito, parámetros
exclusiva de la
lo cual se establecer
empresa.
considera un sanciones sobre
riesgo de aquellos que no
seguridad de acaten dichas
información. instrucciones.

EMPRESA AREA AUDITADA FECHA

Industria Manufacturera Física 01/03/2022 al 31/03/2022

RE Situación Causa Solución Fecha Responsable

F de
solución
A.F. El cableado para Esto ha ocurrido Reemplazar el Encargado de
la red de datos de por cableado no sistemas.
la institución es desconocimiento certificado de 20 de
rj45 categoría 5 y falta de categoría 5 por abril de
no certificado, presupuesto para un cableado 2022
pero cabe la compra e certificado de
mencionar que instalación de un mayor calidad,
las distancias del cableado como la
edifico no categoría 6 o 6a,
certificado de
sobrepasan los 50 que permita una
mayor calidad.
metros, la mayor velocidad
 velocidad de de transmisión
transmisión de de datos y mayor
datos por la red capacidad de
es de 10/100. ancho de banda.
A.F. Para las Falta de Monitorear y 05 de Técnico de
contingencias se seguimiento y exigir que exista abril de soporte
cuenta con supervisión de verificaciones 2022
extintores de gas, estos procesos constantes para
no se logró por parte de la garantizar que el
verificar la fecha empresa. equipo se
de encuentre en
mantenimiento condiciones
por ausencia del óptimas.
jefe del área, los
empleados según
entrevista con
algunos de ellos,
supieron
responder a las
preguntas sobre
el correcto uso
del mismo
A.F No se verificaron Buen control, Monitorear para n/a Personal de
zonas de buen trabajo por que se siga mantenimiento
humedad parte del personal teniendo el
extrema, del área y de espacio en
iluminación es la mantenimiento. óptimas
adecuada y el condiciones.
soporte de los
equipos también
es el adecuado.
A.F El equipo con En el momento de Implementar un 05 de Auxiliar de
contrato la verificación , la control que abril de sistema.
028/2009 máquina estaba permita adecuar 2022
contaba con 512 en un lugar la ubicación de
gb de Ram pero inadecuado por lo cada equipo para
se comprobó que que no se pudo evitar
era problema hacer el chequeo confusiones.
lógico y físico apropiado
SITUACIONES RELEVANTES

EMPRESA AREA AUDITADA FECHA

Industria Manufacturera Hardware 01/03/2022 al 31/03/2022

REF Situación Causa Solución

A.H No se cuenta con un plan de No existe presupuesto Implementar un
renovación de equipos y suficiente para crear un plan para renovar el
servidores, estos se renuevan plan para renovar el equipo y servidores,
hasta que existe un fallo equipo, algo que puede dentro del cual
general en los mismos. afectar a la empresa debe contemplarse
pues no se tiene un presupuesto que
equipo actualizado. sea factible para la
empresa, donde se
pueda realizar
cotizaciones con
diferentes lugares
para tener el mejor
precio de
adquisición.
A.H. La Empresa cuenta con un Falta de conocimiento Implementar un
departamento de sistemas, acerca de la plan para renovar el
encargado de velar por el discontinuidad de los equipo y servidores,
rendimiento de los equipos equipos por lo que no dentro del cual
de cómputo y resguardo de la existe planificación y debe contemplarse
información, cuenta con un previsión en la un presupuesto que
servidor principal con un implementación de sea factible para la
procesador Xeon 3.2 con 8 una renovación de los empresa, donde se
gigas de ram, el sistema sistemas pueda realizar
operativo es Windows server cotizaciones con
2003, este se encuentra en diferentes lugares
un ambiente protegido bajo para tener el mejor
llave, sin refrigeración y con precio de
protección de Ups por un adquisición.
máximo de 15 minutos. El
servidor cuenta con 8 Gb de
Ram, a pesar de ello en la
evaluación solo se comprobó
el funcionamiento de 3 Gb,
esto conllevo a la verificación
del sistema operativo del
servidor y se comprobó que
 tiene instalado un sistema
operativo de 32 bits
(Windows 2003 Server) hacer
efectivo y soportar la no
utilización de la misma.

EMPRESA AREA AUDITADA FECHA

Industria Manufacturera Software 01/03/2022 al 31/03/2022

REF Situación Causa Solución

A.S. El servidor actual no cuenta Por cuestiones Aprobar la compra
con discos redundantes o económicos no se ha de discos
discos espejos, de tal manera comprado el disco, redundantes. Y
que si también el factor tomar en cuenta
el equipo llega a fallar, la tiempo es lo que que el tiempo
Empresa podría perder afecta el no colocarlo invertido será para
información y suspender ya que lleva unas la protección de su
actividades, la restauración horas realizar el información.
requerirá de por lo menos 24 cambio, tiempo del
horas para levantar, instalar y cual no se puede
restaurar la perder. Se esperará a
actividad normal del servidor, que el equipo solicite
pero si realizan un backup cambios.
diario.
EMPRESA AREA AUDITADA FECHA
Industria Manufacturera Telecomunicaciones 01/03/2022 al 31/03/2022

REF Situación Causa Solución

A.T. A pesar que se cuenta con Los empleados están Implementar
correos institucionales, los acostumbrados al uso políticas que
empleados siguen utilizando de sus cuentas obliguen a los
correos no institucionales de personales, cosa que empleados a utilizar
Gmail u otro servidor no puedan adaptarse al los correos
gratuito, lo cual se considera uso de una cuenta institucionales, y
un riesgo de seguridad de exclusiva de la dentro de los
información. empresa. parámetros
establecer
sanciones sobre
aquellos que no
acaten dichas
instrucciones.

EMPRESA AREA AUDITADA FECHA

Industria Manufacturera Personal 01/03/2022 al 31/03/2022

REF Situación Causa Solución

A.P Se verifico que las
contraseñas son seguras en
un 60%, en la anterior
auditoria hace 4 años se le
sugirió a los empleados
utilizar como mínimo 6
dígitos, Letras mayúsculas y
minúsculas y números
No se realizan cambio Crear parámetros
de contraseñas por sobre las
periodos de tiempos contraseñas, como
largos, además de uno son el número de
utilizar contraseñas dígitos, que estos
demasiado largas para contengan números
evitar olvidarlas. letras mayúsculas y
minúsculas, así
como la utilización
de signos especiales
y lapsos de tiempo
para su cambio.
EMPRESA AREA AUDITADA FECHA
Industria Manufacturera Lógica 01/03/2022 al 31/03/2022

REF Situación Causa Solución

A.L. Los usuarios pueden utilizar No existen controles En primera
una memoria usb personales para mitigar estos instancia se creara
para trasladar información de riesgos. una política en la
una maquina a otra. cual quede excluida
la utilización de
memorias USB
ajenos del
Hardware de la
industria
manufacturera para
poder hacer
efectivo y soportar
la no utilización de
la misma.
 PROGRAMA GENERAL AUDITORIA DE SISTEMAS

1. PROGRAMA DE AUDITORÍA, ÁREA LÓGICA.

Objetivo General. Identificar el sistema de lógica de la empresa y cuáles son las medidas que esta
toma para compensar las brechas de seguridad lógica informática que pueda
llegar a sufrir, de esta manera comprender el nivel de riesgo que se asume.

Objetivos específicos

1. Comprobar la existencia de un plan de contingencia y continuidad del negocio, en el cual

este contemplado los posibles riesgos que los sistemas informáticos puedan llegar a sufrir.
2. Analizar los sistemas y procedimientos de la empresa relacionados a la seguridad de la
información que sean eficientes y contengan una estructura específica y precisa.
3. Examinar la gestión de identidad y acceso a los sistemas.
4. Detectar actividad sospechosa que representen amenaza a los sistemas informáticos.
5. Comprobar si se le da el uso adecuado a los sistemas y equipos tecnológicos y así
garantizar un óptimo rendimiento.

No. Procedimiento Técnica Ref. PT Auditor

1. Revisar los registros de back up y Entrevista AL-1 SMTC
comprobar quién es el encargado de
realizar el proceso. Analizando las
debilidades identificadas en el proceso y
su impacto en la seguridad y
confidencialidad de los datos. Comprobar
a seguridad del back up y si esta se
encuentra encriptada.
2. Revisar la política de la empresa en Entrevista AL-2 SMTC
relación al uso de dispositivos de observación AL-3
almacenamiento externo y entrevistas
con los responsables de su elaboración
para entender su alcance y objetivos.

3. Revisar las políticas actuales de Cuestionario AL-4 SMTC

contraseñas de la empresa, la longevidad
de la misma, el cambio de contraseñas de
la empresa, al igual que la evaluación de
 las medidas de seguridad adicionales que
se han implementado para aumentar la
seguridad de las contraseñas desde la
última auditoría.

4. Identificar los factores que afectan la Cuestionario AL-5 SMTC

seguridad de la información de la
empresa con respecto al almacenaje del
equipo.
5 Verificar la existencia de Sistemas Entrevista AL-2 JDCM
Alternativos para transmitir información Observación AL-3
en caso de que el sistema principal no
pueda ser utilizado.
 2. PROGRAMA DE AUDITORIA, ÁREA HARDWARE.

Objetivo

Comprobar que existan los contratos de seguro necesarios para el hardware y software de la empresa
(elementos requeridos para el funcionamiento continuo de las aplicaciones básicas).

No Procedimiento Técnica Ref. pt Auditor

1 Revisar el inventario del hardware y Entrevista A-H1 JDCM
sus componentes (se debe realizar Cuestionario A-H2
una comparación, tanto física como Observación A-H3
digital, si coinciden con el modelo y
número de serie, para tener un
mejor control)
2 Evaluar si se implementan políticas Entrevista A-H1 JDCM
respecto a la seguridad, privacidad, Cuestionario A-H2
protección de las facilidades del
procesamiento del hardware ante
eventos como; incendio, vandalismo,
robo y uso indebido.
3 Planes de renovación del equipo de Entrevista A-H1 JDCM
hardware (evaluar los métodos de Cuestionario A-H2
depreciación y vida útil, para un
manejo eficiente y de calidad para
todos los que conforman una
institución como también a los
clientes.
4 Revisión de los proveedores con que Entrevista A-H1 JDCM
la empresa negocia para la obtención Cuestionario A-H2
de suministros, equipos y repuestos
de las computadoras.
5 Examinar los estudios de adquisición, Entrevista A-H1 JDCM
selección y evolución del hardware Cuestionario A-H2

6 Revisar si el equipo de la empresa Entrevista A-H1 JDCM

esta actualizado, a modo de que Cuestionario A-H2
soporten los nuevos sistemas de Observación A-H3
software que la empresa adquiera.
7 Verificar si existe una persona Entrevista A-H1 JDCM
calificada para brindar Cuestionario A-H2
mantenimiento al Hardware, además
de brindar asesoramiento de uso del
equipo a los empleados.
8 Evaluar si existe un orden en las Entrevista A-H1 JDCM
instalaciones, entiéndase que el Cuestionario A-H2
equipo de cómputo tenga su Observación A-H3
escritorio adecuado, que el cableado
este ordenado a modo que no se
deterioren con facilidad (en el mejor
de los casos que tengan canaletas).
9 Evaluar y tener los conocimientos del Entrevista A-H1 JDCM
funcionamiento de las computadoras Cuestionario A-H2
actuales y los diferentes Observación A-H3
componentes.
10 Verificar cuales son los montos de Entrevista A-H1 JDCM
inversión de Hardware en la Cuestionario A-H2
empresa.
11 Examinar físicamente los diferentes Entrevista A-H1 JDCM
componentes del hardware como: Cuestionario A-H2
impresora, CPU, mouse, módulos de Observación A-H3
audios, teclado, que estén
 debidamente actualizados.
12 Revisar si la empresa cuenta con Entrevista A-H1 JDCM
garantías de los equipos adquiridos, Cuestionario A-H2
en el caso de que sufran algún daño
o en caso contrario si cuentan con
algún fondo para reparaciones.
13 Evaluar el funcionamiento de las Entrevista A-H1 JDCM
computadoras actuales y los Cuestionario A-H2
diferentes componentes, y describir Observación A-H3
las funciones básicas que realizan
cada componente Hardware

3. PROGRAMA DE AUDITORÍA, ÁREA BASE DE DATOS.

Objetivo: Adquirir información acerca del funcionamiento de la base de datos y servidores que posea la
empresa, en seguridad, capacidad, alcance, compatibilidad y manipulación. Así mismo conocer acerca de sus
políticas y procedimientos para la utilización de la información dentro de la institución.

No. Procedimiento. Técnica. Ref. PT. Auditor.

Verificar el respaldo y frecuencia
1.
de la copia de seguridad de la
base de datos del sistema BD – 01
contable computarizado, el Entrevista R.T.S.H

responsable y su
almacenamiento de back ups.

Identificar si el back ups que se

realiza es de forma individual, o

2 se realiza una copia, en la cual

Entrevista BD – 01 R.T.S.H
todas se encuentran
almacenadas en un solo lugar,
también si al momento de su
No. Procedimiento. Técnica. Ref. PT. Auditor.
realización se encripta.

Identificar el resguardo del back

up de seguridad que se realiza, es
3
decir quién es el encargado del Entrevista BD – 01 R.T.S.H

resguardo.

Identificar si al momento de
4 realizar un back up de seguridad, Cuestionario BD – 02 R.T.S.H
se comprime con alguna clave.

Identificar si el servidor cuenta

con disco redundante o disco de
5
espejos, para evitas fallas y no Cuestionario BD – 02 R.T.S.H

perder información valiosa.

Identificar si los colaboradores

introducen USB de uso personal
6 en alguna de las computadoras, Cuestionario BD – 02 R.T.S.H
esto con el fin de evitar algún
virus.

Identificar quienes tienen acceso

a los servidores de la institución,
7
esto con el fin de salvaguardar la Entrevista BD – 01 R.T.S.H

información de la institución.
 4. PROGRAMA DE AUDITORÍA, ÁREA SOFTWARE.

PROGRAMA DE AUDITORIA.

Área: Software.

OBJETIVO: Verificar el cumplimiento de las normas establecidas y posibles debilidades

en el software utilizado en la entidad con la finalidad de asegurar que el software esté
siendo utilizado de manera adecuada con el fin de proteger la seguridad y los intereses
de la empresa y de sus clientes, asimismo, identificar aspectos de mejora y
oportunidades para optimizar el uso del software y mejorar los procesos relacionados
con la empresa; Verificar la correcta aplicación de los sistemas utilizados, aplicaciones y
antivirus para el sistema de las computadoras de la empresa.

Ref.
No. Procedimientos. Técnica. Auditor.
Pt
1 Verificar si la empresa tiene políticas y Encuesta AS-1 SJJB
procedimientos formales para la seguridad del
software, incluyendo la gestión de licencias,
actualización control de cambios, gestión de
vulnerabilidades, pruebas y validación del
software, gestión de registros de software,
gestión de proveedores de software,
capacitación y conciencia de seguridad del
software.
2 Verificar la eficiencia y eficacia del software, Encuesta AS-1 SJJB
incluyendo la velocidad y precisión del
procesamiento de datos como también la
capacidad de manejar grandes cantidades de
datos y la facilidad de mantenimiento y
 actualización del software que el
departamento de Informática o el proveedor
del software brinda a los computadores de la
empresa.
3 Verificar que los softwares que utilizan en las Encuesta AS-1 SJJB
áreas operacional cuentan con:
* medidas de seguridad adecuadas para
proteger la información confidencial.
* si existen controles de acceso para asegurar
que solo personas autorizadas puedan acceder
al sistema.
* si se han implementado controles adecuados
para garantizar la integridad y confiabilidad de
los datos.
4 El auditor realizará pruebas para evaluar el Encuesta AS-1 SJJB
funcionamiento del software y verificar si se
están llevando a cabo las transacciones
correctamente y si los resultados son los
esperados.
5 Revisar si los programas cuentan con Encuesta AS-1 SJJB
procedimientos de respaldo y recuperación de
datos importantes en caso de una falla en el
sistema o interrupción del servicio
minimizando así el impacto en la continuidad
del negocio.
6 Revisar si lo programas estén diseñados para Encuesta AS-1 SJJB
funcionar en una versión anterior de un
sistema Operativo o a cambios de tecnología y
que el mismo no se vuelva obsoleto o deje de
ser compatible con otras nuevas tecnologías.
7 Revisar si los programas de la empresa Encuesta AS-1 SJJB
cuentan con seguridad contra riesgo para virus
informáticos, hackers, ataques de malware,
accesos no autorizados, entre otros, Investigar
la utilización de Antivirus Certificados para
prevenir la filtración de datos importantes
 5. PROGRAMA DE AUDITORIA, ÁREA PERSONAL

Objetivo

Verificar la capacidad y desempeño de cada colaborador en su área específica de trabajo, así como el
cumplimiento adecuado de sus labores, adaptabilidad a los programas empleados por la empresa y
lugar específico de desempeño.

No Procedimiento Técnica Ref. Pt Auditor

1 Evaluar el método empleado para A-H1 R.E.M.C.

la contratación de personal dentro A-H2
de la Empresa.
2 Verificar que la empresa cuente Check List A-H1 R.E.M.C.
con un Manual de Funciones de los A-H2
Empleados y Áreas de la Empresa.
3 Analizar cómo se encuentra Check List A-H1 R.E.M.C.
organizada la Empresa, en A-H2
referencia del Personal.
4 Verificar si la empresa cuenta con Cuestionario A-H1 R.E.M.C.
un jefe inmediato por A-H2
departamento.
5 Verificar si la empresa cuenta con Cuestionario A-H1 R.E.M.C.
un programa de capacitación para A-H2
el empleado, con el fin de que su
conocimiento sea mejor día con
día y que crezca tanto en
conocimientos como en
experiencia para desempeñar
mejor su trabajo.
6 Verificar que el personal encargado Evaluación R.E.M.C.
del área de sistemas tenga
conocimiento suficiente para
poder dirigir cierta área, si el
objetivo como empresa es realizar
las actividades con exactitud.
 6. PROGRAMA DE AUDITORIA, ÁREA FÍSICA.
PROGRAMA AUDITORIA
ÁREA FÍSICA
ENTIDAD:
Área: Física

REF. PT
No. PROCEDIMIENTOS Técnica Auditor
Objetivos

1 Realizar pruebas en el área física como:

a) Verificar las condiciones estructurales
en las cuales están ubicados los bienes
muebles y equipos.
Cuestionario AF SJJB
b) Verificar el mantenimiento y
actualización periódica de los equipos.
c) Verificar la existencia de un plan de
Cuestionario AF SJJB
renovación.
d) Verificar la existencia humedad,
además que la iluminación y soporte Cuestionario
AF SJJB
sea adecuado al área.
e) Verificar el espacio físico en el que se
Cuestionario
encuentran los servidores, ya que son AF
los encargados de brindar estabilidad
y comodidad a los usuarios.

Evaluar que el personal esté capacitado para

manipular los equipos.

Evaluar que los lugares de trabajo se ajusten

2 en cuanto a los espacios de instalación AF SJJB
Cuestionario
3

eléctrica

Evaluar que todos los equipos tengan un

óptimo sistema de red, tanto en distribución
5 SJJB
de cableado como instalaciones eléctricas. Cuestionario AF

Verificar las salidas de aire de forma regular

como parte del mantenimiento general de la
computadora para garantizar un flujo de aire AF SJJB
 7. PROGRAMA DE AUDITORÍA, TELECOMUNICACIONES.
Fase de evaluación.

Objetivo: Verificar la existencia del uso razonable de las telecomunicaciones, la protección de

información que contienen y la eficiencia de las mismas, así como los controles internos del
departamento.

No. Procedimiento. Técnica. Ref. Pt. Auditor.

1 Entrevistar al personal acerca de los medios que se Entrevista. AT-1 SJJB
utilizan en la notificación de reuniones: con el
objeto de encontrar el uso correcto de los medios
evitando la alteración de información.

7 Comprobar si todos los colaboradores poseen Entrevista. AT-1 SJJB

correo institucional.
8 Verificar el tiempo establecido para la creación del Entrevista, AT-1 SJJB
correo institucional y usuarios.
10 Verificación de la existencia y utilización de correos Entrevista. AT-1 SJJB
institucionales.
 TECNICAS DE AUDITORIA
INSTRUMENTOS DE AUDITORIA, ÁREA LÓGICA
Guía de entrevista.

AL-1

Nombre del Juan García Roldan Realizado SMTC

entrevistado: por:
Fecha de la 27/04/202 Hora de 2:00 pm Hora de 2:05 pm
entrevista 3 inicio: Finalización:
Puesto
Departamento:
Descripción del
puesto:
Introducción:
Conocer al candidato.
Presentar los objetivos de la entrevista.
Explicar el proceso de entrevista.
Objetivo: Obtener información sobre el método y seguridad del back up que la empresa realiza para
respaldar la información.

1. ¿Quién realiza el back up o respaldo de datos del sistema contable computarizado

actual?
Esto lo realiza el encargado del departamento de informática, es decir por mi
persona

2. ¿Con que frecuencia se realiza un Backup?

Este se realiza una vez por día

3. ¿Dónde se encuentra el DVD o disco externo actualmente?

Para mayor accesibilidad esta se encuentra en mi escritorio

4. ¿ El back up está encriptado?

No, pero se comprime el back up en clave.

5. ¿Cuál es el periodo de retención de las copias de back up de datos?

 Esto depende principalmente de que tan importante sea la información, por
ejemplo, hay datos que deben ser permanentes mientras que otros son temporales

6. ¿Se lleva un registro de acceso al DVD o disco externo de back up?

No, debido a lo complicado que es.

7. ¿Existen procedimientos establecidos para la gestión y control de los DVDs o discos

externos de back up?
Dentro de los manuales no, pero estos son asegurados por mi persona
Guía de entrevista 2.

AL-2

Nombre del José Marroquín Osorio Realizado SMTC

entrevistado: por:
Fecha de la 27/04/2023 Hora de 2:05 pm Hora de 2:10pm
entrevista inicio: Finalización:
Puesto Departamento:
Descripción del puesto:

Introducción
Conocer al candidato.
Presentar los objetivos de la entrevista.
Explicar el proceso de entrevista.
Objetivo: Obtener información del encargado de sistemas sobre la existencia de un sistema
alternativo para el manejo de la información de la empresa.

1. ¿La empresa cuenta con un sistema para el intercambio de información?

Si, y es a través de una carpeta en el servidor llamado ARCHIVOS GENERALES, esta es

usada por todos los empleados para poder compartir información.
2. ¿Cuenta la empresa con un sistema secundario para compartir la información?

Si, y es a través de pasar la información por medio de USB’s, aunque con la carpeta
de acceso General no es muy común.
3. ¿Los usuarios reciben instrucciones claras sobre el uso de dispositivos de
almacenamiento externo y los riesgos asociados con su uso?
No, debido a que no existe una capacitación integrada para esto

4. ¿Se han implementado medidas de seguridad para proteger la información de la

empresa en dispositivos de almacenamiento externo, como el cifrado de datos?

Si, pero no a toda la información, porque si así se realiza muchos empleados no

lograría llegar a la información

5. ¿Se ha llevado a cabo alguna revisión o auditoría interna en el pasado para evaluar
la eficacia de la política actual sobre el uso de dispositivos de almacenamiento
externos?
 La empresa no cuenta con ese tipo de revisión

6. ¿Se ha llevado a cabo alguna capacitación o educación de los usuarios sobre los
riesgos asociados con el uso de dispositivos de almacenamiento externos y cómo
minimizar estos riesgos?
No, este tipo de capacitación no es muy popular por decir que no se emplea en la
empresa

7. ¿Se ha considerado la implementación de restricciones físicas en las computadoras

para prevenir el uso no autorizado de dispositivos de almacenamiento externos,
como puertos USB sellados o bloqueados?

No, pues en realidad nada impide a los empleados a transmitir la información de

esta manera

8. ¿Hay algún plan o propuesta para actualizar o revisar la política actual sobre el uso
de dispositivos de almacenamiento externos en un futuro cercano?
No, sin embargo, creo que es importante empezar a crear un plan para esto, pues así
el equipo esta menos vulnerable a posibles virus

9. ¿Se realizan controles periódicos para detectar el uso inapropiado de dispositivos de

almacenamiento externo, como la realización de auditorías?
No, como se explico antes, nada impide a los empleados a usar este método para
circular la información, aunque se supone que la información que necesita se
encuentra en la “Carpeta General”
Guía de observación.

AL-3
SI
✓
Pregunta Comentario
NO
X
1. ¿Existe una política clara sobre el uso de X
memorias USB en la empresa?

2. ¿Se han implementado medidas de seguridad X

para proteger la información almacenada en
las memorias USB?

3. ¿Se lleva un registro de las memorias USB que X

se utilizan en la empresa?

4. ¿Los usuarios reciben capacitación y X

concientización sobre el uso seguro de las
memorias USB?

5. ¿Existe un protocolo para manejar la X

información que se traslada de una máquina a
otra mediante memorias USB?

6. ¿Se realizan inspecciones y controles X

periódicos para detectar el uso indebido de
memorias USB?

7. ¿Se ha evaluado el riesgo de la utilización de ✓

memorias USB en la red y sistemas
informáticos de la empresa?

8. ¿La empresa cuenta con un plan de X

contingencia en caso de que se produzca una
brecha de seguridad relacionada con el uso
de memorias USB?

9. ¿La política de uso de memorias USB se ajusta X

a las normativas y regulaciones aplicables en
materia de seguridad informática?
Cuestionario.

AL-4

Área: Aroldo Lux Rodríguez Realizado SMTC

por:
Fecha: 27/04/2023 Hora de 2:11 pm Hora de 2:16 pm
inicio: Finalización:

Preguntas Si No Observación
1. ¿La empresa realiza capacitaciones X
regulares sobre seguridad de
contraseñas y conciencia de
seguridad para sus empleados?

2. ¿Se asegura la empresa de que los X

proveedores de servicios externos
que acceden a sus sistemas usen
contraseñas seguras?

3. ¿La empresa tiene algún X Si, pero no se ha puesto en utilización

procedimiento de revisión de desde hace un tiempo
contraseñas antiguas y la
eliminación de cuentas inactivas?

4. ¿Existen políticas específicas de X

contraseñas para ciertos grupos de
empleados, como administradores
de sistemas o ejecutivos de alto
nivel?

5. ¿Se han realizado pruebas de X

penetración o auditorías de
seguridad de la red para detectar
posibles vulnerabilidades de las
contraseñas?

6. ¿La empresa proporciona X

herramientas a los empleados para
generar contraseñas seguras y
almacenarlas de manera segura?
7. ¿Se utilizan medidas de seguridad X
adicionales implementadas para
proteger las contraseñas en la
empresa, como el cifrado de
contraseñas o la autenticación
multifactor?

8. ¿Existe alguna política o X

procedimiento de bloqueo de
cuentas de usuario por intentos
fallidos de inicio de sesión?

9. ¿Existe una frecuencia X

recomendada para cambiar las
contraseñas en la empresa?
Cuestionario.
Área: Oscar Manuel Yat Osorio
Fecha: 27/04/2023 Hora de
inicio:
Objetivo: Explorar sobre los contratos que la empresa tiene, en especial ampliar el conocimiento del
auditor sobre el contrato 028/2009
Preguntas
1. ¿Quién es responsable de asegurar
que el equipo cumpla con las
especificaciones del contrato?
2. ¿Cuál es la cantidad de RAM que el
equipo debería tener según el
contrato?
3. ¿Cuánto tiempo llevaba el equipo
en uso antes de que se descubriera
el problema?
4. ¿Cómo afectó el problema al
rendimiento del equipo?
AL-5
Realizado SMTC
por:
2:18 pm Hora de 2:24 pm
Finalización:
Respuesta
El encargado del departamento de
informática
La cantidad es de 512 GB de RAM;
El equipo llevaba en uso aproximadamente
6 meses
Problemas lógicos: El equipo presentaba
virus informáticos, errores de software y
archivos corruptos, afectando el
rendimiento del equipo de varias maneras.
Haciendo que el sistema se vuelva
inestable, provocando errores al ejecutar
programas e incluso hacer que el equipo se
bloquee por completo.
Problemas físicos: El disco duro pueda que
este defectuoso al igual que la placa base
este dañada o la fuente de alimentación
este defectuosa, considero que estos
pueden afectar significativamente el
rendimiento del equipo.
 5. ¿El problema identificado afectó a
otras partes del equipo además de
la RAM?
6. ¿Se identificaron otros problemas
durante la auditoría que deban ser
resueltos?
Si, como lo mencionaba anteriormente en
general, los problemas de hardware
pueden tener efectos secundarios en otros
componentes del equipo.
Varias, pero las más relevantes son las que
ya mencioné con anterioridad

7. ¿Qué impacto tiene el problema Los problemas identificados en el

identificado en el desempeño y
productividad de la organización y
cómo se puede mitigar este
impacto mientras se resuelve el
problema del equipo?
8. ¿Quiénes son las personas
responsables de realizar el
mantenimiento del equipo y cuál es
su nivel de capacitación?
desempeño y la productividad del equipo
pueden tener un impacto significativo en la
organización, ya que pueden retrasar la
finalización de proyectos, aumentar los
costos y disminuir la calidad del trabajo.
Además, también pueden afectar la moral
de los empleados y la satisfacción de los
clientes.
Los técnicos de soporte TI, especialistas en
soporte de hardware y software.

Preguntas Respuesta
9. ¿Quién es responsable de asegurar
que el equipo cumpla con las
especificaciones del contrato?

10. ¿Cuál es la cantidad de RAM que el

equipo debería tener según el
contrato?

11. ¿Cuánto tiempo llevaba el equipo

en uso antes de que se descubriera
el problema?

12. ¿Cómo afectó el problema al

rendimiento del equipo?

13. ¿El problema identificado afectó a

otras partes del equipo además de
la RAM?

14. ¿Se identificaron otros problemas

durante la auditoría que deban ser
 resueltos?

15. ¿Qué impacto tiene el problema

identificado en el desempeño y
productividad de la organización y
cómo se puede mitigar este
impacto mientras se resuelve el
problema del equipo?
Principio del formulario

16. ¿Quiénes son las personas

responsables de realizar el
mantenimiento del equipo y cuál es
su nivel de capacitación?
 1.1. INSTRUMENTOS DE AUDITORIA, ÁREA HARDWARE.
1.1.1. Entrevista hardware.

Programa de auditoría del equipo de hardware.

Nombre: Luis Gómez

Fecha: 23 de abril de 2023 AH-1
Cargo:
Área: Sistemas Marcas.
Hecho por: Juana Chuc
Revisado por:
Aspectos a tratar durante la entrevista.

1. Implementación de políticas de seguridad de hardware.

2. Inventario de hardware.
3. Planes de resguardo.
4. Mantenimiento de hardware.
5. Actualización del hardware.
6. Renovación del equipo del hardware.
7. Almacenamientos solidos del hardware.
8. Personal operativo.
 1.1.2. Preguntas.
1) ¿Cómo se establece la implementación de la política de seguridad en hardware dentro de la
institución?
No existe una política definida de manera concreta y documentada para el área de hardware
2) ¿En el transcurso del tiempo laborado han realizado una planificación de inventarios de
hardware?
Si, este se realiza con el fin de conocer que tanto equipo tiene la empresa
3) ¿Existe alguna política de seguridad para evitar actos como el vandalismo, los robos, entre
otros, que afecten al equipo de la empresa?
Si, debido a que es importante asegurarnos de que el equipo este bien y además de que de
esta forma la empresa no tenga que pagar más para comprar nuevo equipo.
4) ¿Cuál es el procedimiento de mantenimiento del hardware de la institución?
El personal del área de informática realiza el mantenimiento de los equipos de forma
personal y sin contar con la orden específica.
5) ¿Porque se realiza de esta manera el mantenimiento del equipo?
Debido que no se necesitan ninguna orden ya que el mismo personal son los que autorizan
las ordenes de mantenimiento y limpieza, y lo realizan cuando consideran que a un equipo se
le debe dar mantenimiento.
6) ¿Cuáles son las fechas de planificaciones de actualización de hardware?
No existe un plan de renovación del equipo, debido a que únicamente se actualiza si es por
fuerza mayor, por lo que no existe una fecha programada para el mismo.
7) ¿La empresa cuenta con registros para los repuestos de almacenamiento sólidos para el equipo
de hardware, mencione el plazo en la cual deberá de cambiar dichos equipos solidos?
Existe un registro del mismo debido a que se necesita tener un control de las entradas a la
empresa de los suministros y repuestos. No existe una fecha o plazo fijo para el cambio del
equipo sólido.
8) ¿Los proveedores actuales que abastece el inventario de equipo, suministro y repuesto, cual es
el método de selección de los mismos?
Para la adquisición del equipo se cuenta con un proveedor específico sugerido por parte del
consejo de administración de la Empresa el cual surte todos los suministros, repuestos y
equipo necesarios para la institución.
9) ¿El quipo que actualmente utiliza es compatible con los programas y aplicaciones que la
institución utiliza?
Si, de lo contrario no serviría para el trabajo de los empleados.
10) ¿Dentro del inventario escrito de hardware se halló un contrato de DONACIÓN-UNIDAD
ATENCIÓN A VÍCTIMAS CONFLICTO ARMADO, el cual es un equipo?
La persona la cual está a cargo de este equipo no se encuentra en este momento en el país,
por lo cual no se puede observar en este momento.

11) ¿El equipo de computación cuenta con garantía ante posibles fallas?
Si, sin embargo, no todas cuentan con garantía vigente.
 1.1.3. Cuestionario general área de hardware.

Elaborado Juana Chuc

por:
Fecha: 23/04/2023 AH-2

Objetivo: Conocer de manera General las condiciones. la forma de trabajo, eficiencia y la calidad en la
que se observan y se opina acerca del hardware.

Introducción: Se deberá subrayar o marcar con una X la respuesta que considere que se adecua más a
la situación que observa dentro de su empresa.

1. ¿El personal cuenta con la capacidad y el entrenamiento necesario para manipular la

naturaleza y complejidad de una computadora de última generación?

Si (X) No( )

2. ¿Conoce las políticas Implementadas sobre la protección del hardware?

Si( ) No(X)

3. ¿Sabe cuál es la temperatura adecuada que debe tener una computadora?

(X) Entre 30°C y 50 °C
( ) Entre 95 °C.
( ) Entre 100 °C

4. ¿Hay disponibilidad de los equipos para que los que llegan al lugar reciban la atención
necesaria?
 ( ) Generalmente
( ) Regularmente
(X) Ocasionalmente
( ) Siempre

5. ¿Se cuenta con un inventario de todos los equipos?

Si(X) No( )
6. ¿La empresa cuenta actualmente con una persona calificada encargada de darle
mantenimiento al sistema Hardware y también para brindar asesoramiento?

Si( ) No(X)

7. ¿A cada cuanto tiempo realizan las copias de seguridad?

(X) Día
( ) Semana
( ) Mes
( ) Trimestre

8. ¿Usted sabe el costo de inversión del sistema de Hardware?

Si( ) No(X)
 1.1.4. Guía de observación.

SI Comentario
AH-3
✓
Pregunta
NO
X
1. ¿El equipo está en buen estado? ✓
2. ¿Los accesorios de la computadora se ✓
encuentran completos y en funcionamiento?
3. ¿El modelo y número de serie de cada equipo ✓
coincide con el inventario físico?
4. ¿El espacio donde se encuentra el equipo ✓
tiene un buen nivel de seguridad?
5. ¿Las computadoras están actualizadas? X Estas se actualizan hasta que algún
equipo falla.
6. ¿Las computadoras son compatibles con los ✓
programas y aplicaciones que los empleados
utilizan?
7. ¿Se cuenta con personal capacitado para el X
mantenimiento del equipo de la empresa?
8. ¿Existen horarios o fechas estipuladas para el X
mantenimiento de las computadoras?
9. ¿El cableado se encuentra en orden? ✓
10. ¿Las impresoras se encuentran en buen ✓
estado?
 1.2. INSTRUMENTOS DE AUDITORIA, ÁREA BASE DE DATOS.
1.2.1. Entrevistas.
BD-01

Empresa:

Área: BASE DE DATOS.

Función para evaluar:

Nombre: Raimundo Timoteo Silverio Hernández

Firma: _______________________________________________________________

Fecha: _________________

1. ¿Usted crea copia de seguridad del sistema contable computarizado?

Si, creamos copias de seguridad todos los días, y la realiza el encargado del departamento
de informática.

2. ¿Dónde almacenan su copia de seguridad del sistema contable computarizado?

No contamos con un lugar en específico, pero lo eh visto en varias ocasiones en DVD
encima de la mesa del encargado del departamento de informática.

3. ¿Quiénes son los responsables de almacenar la copia de seguridad ¿

La realiza en encargado del departamento de informática.

4. ¿El back up que se realiza, lo hacen separado de las demás bases de datos del sistema?
No, unificamos todas las bases de datos del sistema.

5. ¿Quién tiene acceso al servidor?

Todos tenemos acceso, ya que existe una carpeta llamada archivos generales, y la
utilizamos todos los empleados para poder compartir información y así no tenemos que
movilizando de un lugar a otro llevando archivos.
6 ¿El servidor cuenta con disco redundante o disco de espejo?

No cuenta con ninguno de los dos.

CUESTIONARIO

Empresa: BD-02

Área: BASE DE DATOS.

Función para evaluar:

Fecha: _________________

Pregunta. Si. No N/ Observaciones.

No.
. A.
¿Al momento de realizar un back up No

1. del sistema contable computarizado,

se comprime?

¿Usted como colaborador introduce Si

2. USB en el servidor del sistema

computarizado?

INSTRUMENTOS DE AUDITORIA, ÁREA SOFTWARE.

Encuesta.
 ENCUESTA DE AUDITORIA.

Área: Software.

Fecha: Hecho por: SJJB

Cargo: Ref. AS-1. Revisado por:
Objetivo: Recopilar información sobre el control de los procesos que se utiliza en la
empresa y conocer las responsabilidades de cada operador a base de preguntas.

Instrucciones: Responder las siguientes interrogantes, subrayando la respuesta que usted

considere que sea la correcta.

1. ¿La empresa tiene una política de gestión de software?

 Sí, está claramente definida y comunicada a los empleados.
 Sí, pero no está muy clara o no se comunica bien.
 No, no hay una política formal establecida.

2. ¿Se verifica la integridad del software antes de su instalación?

 Siempre se realizan pruebas y verificaciones exhaustivas.
 Se realizan algunas pruebas básicas.
 No se realizan pruebas de ningún tipo.

3. ¿Existe una copia de seguridad del software antes de su instalación?

 Sí, siempre se realiza una copia de seguridad.
 A veces se realiza una copia de seguridad.
 No se realiza una copia de seguridad.

4. ¿El servidor actual cuenta con discos espejos o redundantes para guardar la
información contenida?
 Sí, se cuenta con discos redundantes.
  No se cuenta con discos redundantes.

5. ¿Se verifican las licencias y los permisos del software utilizado?

 Sí, se revisan regularmente y se mantienen actualizados.
 Se revisan a veces, pero no se mantienen siempre actualizados.
 No se revisan los permisos y licencias.

6. ¿Se verifica la compatibilidad del software con el sistema operativo y otros

programas instalados?
 Sí, siempre se realiza una verificación exhaustiva.
 Se realizan algunas pruebas básicas.
 No se verifica la compatibilidad.

7. ¿Se lleva un control de versiones del software utilizado?

 Sí, se lleva un control riguroso del cambio de versiones.
 A veces se lleva un control, pero no siempre es muy riguroso.
 No se lleva un control de versiones.

8. ¿Se mantiene actualizado el software utilizado con los últimos parches y

actualizaciones de seguridad?
 Sí, siempre se mantienen actualizados.
 A veces se actualizan, pero no siempre con regularidad.
 No se actualizan con regularidad.

9. ¿Se realizan pruebas de simulación de ataques para verificar la seguridad del

software?
  Sí, se realizan regularmente pruebas de simulación de ataques.
 A veces se realizan este tipo de pruebas.
 No se realizan este tipo de pruebas.

10. ¿Se realizan copias de seguridad del código fuente del software?
 Sí, se realizan copias de seguridad de manera regular.
 A veces se realizan copias de seguridad, pero no siempre de forma regular.
 No se realizan copias de seguridad del código fuente.

11. ¿La dirección ha establecido procedimientos de back-up de manera diaria y los

mismo se llevan a cabo?
 Sí, se realiza Procedimiento de back-up diario en todos los programas y
archivos.
 A veces se realiza algún tipo de procedimientos, pero no todos los días.
 No se realiza Ningún tipo de procedimiento.

ENTREVISTA DE AUDITORIA.

Área: Telecomunicaciones.

Fecha: Hecho por: SJJB

 Cargo: Ref. AT-1. Revisado por:
Objetivo: Recopilar información sobre el control de los correos institucionales que se utiliza en la
empresa y conocer las responsabilidades de cada operador a base de preguntas.

Entrevista con encargado de sistemas.

A: Muchas gracias por el espacio.

B: Un gusto.

A: Iniciaremos con una serie de preguntas.

B: Con gusto.

A: ¿Manejan correos institucionales?

B: Si

A: ¿Todos los trabajadores tienen correos institucionales?

B: No

A: ¿Existe algún parámetro para asignar correos institucionales?

B: Que se comunique con personas dentro y fuera de la empresa

A: ¿Para los colaboradores que no tienen correo como les comunica alguna información?

B: Por medio de un memorándum en una pizarra .

A: ¿todos los empleados que poseen su correo lo utilizan de manera frecuente?

B: Podríamos decir que la mayoría.

A: ¿no todos los empleados con correo electrónico reciben un correo al menos al día?

B: No solamente la parte administrativa y cuando hay un informe la parte de ventas.

A: ¿Cuánto tardan en crear un correo a un nuevo usuario que sea capaz de usar el correo?

B: 1 mes

A: ¿mientras este no posee el correo como se le informa?

B: Igual con el memorándum o se entera por sus compañeros .

A: Muchas gracias
 CUESTIONARIO AREA PERSONAL.
1. ¿Cuáles son los métodos que utiliza para contratación de personal?
Los métodos que empleamos dentro de la Empresa es realizarles una entrevista por vía
telefónica, solicitando aspectos muy generales, luego de ello si notamos que la persona
cuenta con interés en el puesto se le sita a una entrevista de manera presencial, donde ya
se abarca todo lo referente a Estudios experiencia entre otras cosas.
2. ¿Realiza pruebas técnicas para la contratación del personal?
Siempre realizamos pruebas de acuerdo al área, por ejemplo, en el área de Sistemas
solicitamos que realice una prueba bastante sencilla, como conectar una computadora, en
este caso le damos un equipo al cual le tiene que adaptar todos los elementos, cables,
conectores, mouse y teclado, básicamente hacer que funcione la computadora.
3. ¿Verifica las referencias personales y laborales de los candidatos a los puestos?
Si verificamos este tipo de referencias, ya que si no lo hacemos corremos con un riesgo de
que estas referencias sean falsas, además de ello las referencias nos ayudan a comprobar y
conocer un poco más de la persona y sus actitudes.
4. ¿Usted pide experiencia laboral de acuerdo al puesto que se valla a desempeñar?
Normalmente se solicita que la persona cuente con experiencia previa al puesto al que
aplica, pero también se le puede dar la oportunidad a una persona que no tenga
experiencia, pero si el conocimiento.
5. ¿Qué medios utiliza para publicar los anuncios de plazas disponibles dentro de la
Empresa?
Se realizan publicaciones a través de las redes sociales como Facebook y medios de
comunicación como emisoras de radio.
 INSTRUMENTOS DE AUDITORIA, ÁREA FÍSICA.
Cuestionario de control interno área física.
EMPRESA AUDITIVA, S.A.
AF

CUESTIONARIO DE CONTROL INTERNO ÁREA FÍSICA

Entrevistado:       Iniciales Fecha

Cargo:   Hecho por:  Grupo 1  
Área: Revisado  JCL  
por:
S NO
NO. PREGUNTA NO OBSERVACIONES
I APLICA
1. ¿Existe un encargado para
verificar el estado del edificio y
limpieza de los ordenadores? NO

2. ¿Existe un técnico profesional

encargado, que realiza el
mantenimiento de los
equipos? NO

3. ¿Existen manuales o
reglamentos que indiquen el
funcionamiento y uso de los SI
ordenadores?
4. ¿Se verifica que el área de
trabajo cuente con iluminación
adecuada? SI

5. ¿Se ha prohibido a los

operadores el consumo de
alimentos y bebidas en el área
de las máquinas para evitar
 daños al equipo? SI
6. ¿Existe un plan de renovación
de equipo? NO
7. ¿Existe un seguro para los
daños físicos que pueden
ocasionarse ya sea por
desastres naturales u otros en NO

los equipos?
8. ¿Se proporcionan
capacitaciones y educación
sobre controles en los Sistemas
y uso adecuado al personal de SI
la empresa?
9. ¿Se garantiza la seguridad del
personal, los datos, el
hardware, el software y las SI
instalaciones?
10. ¿Existe una alarma para
detectar fuego, calor o humo
en forma automática? NO