Está en la página 1de 28

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.

2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
CARRERA Ingeniera en Sistemas Computacionales PLAN DE ESTUDIOS ISC-2004-296 CLAVE DE LA ASIGNATURA RDC-0705 NOMBRE DE LA ASIGNATURA Auditoria Informtica

CLAVE DE PRCTICA MPAI-3.2

TIPO DE SESIN Taller

TIEMPO DE REALIZACIN 4 Horas

TIEMPO DE PRESENTACIN 1 Hora

1. OBJETIVO DE APRENDIZAJE Obtener la documentacin a travs de una metodologa formal de los procesos administrativos y de control que se evaluarn en un proceso de Auditora Informtica. El estudiante conocer los principales procesos administrativos y de control para el procesamiento de datos a auditar en la funcin Informtica y las herramientas mecanismos necesarios para su desarrollo. El estudiante entender los conceptos para la realizacin de auditoras, tomando en consideracin las directrices de la ISO 19011. El estudiante conocer cmo evaluar el manejo y la medicin de los objetivos del Sistema de Gestin. El estudiante comprender cmo evaluar la mejora continua de los procesos y los Sistemas de Gestin. El estudiante comprender los conceptos para evaluar el compromiso y la responsabilidad de la Alta Direccin. Establecer estrategias para la obtencin de informacin considerando las tcnicas y metodologas requeridas por la norma dentro del mbito de la Auditora.

Emitido el: 07-29-2010 Revisin: 0

Pgina 1 de 29

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
2. INTRODUCCIN Auditando un Proceso Cuando los objetivos de la auditoria requieren evaluaciones enfocadas a la eficacia del Sistema de Gestin de la Calidad, entonces ser requerida una Auditoria de Procesos. Estas evaluaciones requieren relativamente de ms tiempo las Auditorias de Sistemas dado que examinan el trabajo del Sistema de Gestin mucho mas profundamente. En el propio proceso de auditoria se hacen las siguientes preguntas bsicas: Estn los trabajadores de acuerdo con los procedimientos y con las instrucciones de trabajo? Estn los procedimientos, las instrucciones de trabajo y las habilidades de las personas adecuadas a asegurar un control efectivo? Los procesos actuales estn adecuados para cumplir los requisitos acordados internamente, tales como la salud y la seguridad, el desarrollo personal, las necesidades internas de los clientes y la minimizacin de costos? Los procesos son efectivos y estn de acuerdo a los objetivos primarios?

Caractersticas esenciales para la Auditoria de un Proceso Una auditoria de Proceso involucra un equipo de auditores calificados, los cuales tienen asignada la tarea de estudiar las actividades relacionadas a los departamentos, reas, funciones o mecanismos los cuales transforman las entradas en salidas. El propsito es determinar si estas actividades y sus correspondientes salidas cumplen con los requisitos, y reportan resultados apropiados a la gerencia. En la preparacin para la auditoria, el auditor obtendr informacin del Sistema de Gestin de la organizacin y tendr que hacer una cuidadosa seleccin de cules actividades debera investigar para cumplir con los objetivos1 de la auditoria. En la etapa de verificacin, el auditor seguir algunas actividades identificadas como fases de la Auditoria de Procesos. Fases para la Auditoria de un Proceso ISO 19011 describe las siguientes fases de una auditoria en general son: Inicio. Revisin Documental. Preparacin. Ejecucin. Reporte. Trmino de la auditoria. Seguimiento. Estas fases tambin son aplicables cuando se enfoca la auditoria sobre un proceso especfico.

Emitido el: 07-29-2010 Revisin: 0

Pgina 2 de 29

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
La Fases de Ejecucin para la Auditoria de un Proceso Durante la fase de Ejecucin de una Auditoria de Proceso se llevan a cabo los siguientes pasos: 1. Determinar si el Proceso establecido y la documentacin relacionada esta conforme con los requisitos aplicables al Sistema de Gestin. 2. Determinar si hay una documentacin apropiada para asegurar el control del Proceso. 3. Determinar si la implementacin es consistente con la documentacin establecida. 4. Evaluar si el Proceso es eficaz en el cumplimiento de los requisitos. Para algunas de ias tcnicas estipuladas en esta seccin, es importante que el auditor este habilitado para una comunicacin efectiva y tambin sea lo suficientemente agresivo para verificar la informacin que se brind. Las siguientes secciones de esta lectura brindarn una gua para una comunicacin efectiva con el auditado y tambin, la forma de como verificar la informacin provista.

Emitido el: 07-29-2010 Revisin: 0

Pgina 3 de 29

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.

Romper el hielo Explicar al auditado sus metas para la sesin Solicitar una breve explicacin de su actividad Preguntar que documentacin se usa para la actividad Determinar si la documentacin est accesible Verificar si la documentacin se entiende Verificar si la documentacin es usada Evaluar si el proceso es efectivo

Registro de la informacin
Fig. 2 Comunicacin

Emitido el: 07-29-2010 Revisin: 0

Pgina 4 de 29

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
Interrogacin La siguiente es un lista de los tipos de preguntas que un auditor puede realizar para apoyar algunas de las preguntas y/o tems de su Lista de Verificacin o "Check List". Preguntas Iniciales: "Por favor me explicara usted como es el proceso de trabajo?" Preguntas Directas: "Cul es el siguiente paso en el proceso?" "Cmo estn distribuidos los reportes?" "Quin aprueba estos documentos?" "Que tan frecuentemente es revisado este plan?" "Dnde es almacenado el equipo que no es usado?" "Porqu se hizo de esa manera?" Preguntas Cerradas (Para respuestas de Si/No): "Mantiene el departamento algn registro de las quejas de los clientes?' "Estaba usted presente durante la sesin de entrenamiento? " Preguntas Silenciosas: El auditor har una pregunta, entonces ei auditado responder, el auditor podr permanecer en silencio lo que implica que se requiere ms informacin. Preguntas Tontas: "Esto luce muy complicado para mi. Piensa que me puede explicar esto en trminos que pueda entender? " Preguntas Hipotticas: "Qu pasara si hubiese una poderosa prdida? "

Esta forma de preguntas es apropiada solo donde las circunstancias potenciales son reales y relevantes en la actividad existente que e; examinada. Escuchar Todas las entrevistas del auditor comprenden una combinacin de cuestionamiento y escucha. Para muchos auditores, la escucha efectiva es mas difcil. En parte, esto es porque frecuentemente se anticipan las respuestas y se tiende a or solo aquellas partes de la respuesta que ya se espera. Algunas veces los auditores estn muy ocupados tomando notas o haciendo preguntas, como para escuchar toda la respuesta. Adems, las partes ignoradas algunas veces contienen pistas sobre el estado real del negocio. La buena escucha requiere de toda la concentracin. Ejemplo tpico de los patrones de escucha: Realizar la pregunta. Parar la conversacin. Escuchar toda la respuesta. Buscar una aclaratoria. Tomar notas. Realizar otra pregunta.

Emitido el: 07-29-2010 Revisin: 0

Pgina 5 de 29

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
Bsqueda Adems de las interrogaciones hay otras formas de comunicacin y medios que proveen al auditor toda la informacin necesaria para llevar a cabo una auditoria eficaz. Por ejemplo: Personas: Cuerpo de lenguaje, encogerse de hombros, falta de contacto visual. Documentos: Control de caractersticas, ubicacin. Productos: Identificacin, rea disponible. Facilidades: Condiciones Ambientales, ordenamiento, identificacin del equipo . Gua de adicional para las entrevistas (ISO 19011): Entrevistar personal de diferentes niveles y funciones . Conducir la entrevista durante horas normales en el lugar actual de trabajo . Siempre poner a la persona en un lugar cmodo. Explicar porque se deberan tomar notas. Resumir los resultados de la entrevista. Evitar preguntas capciosas. Agradecer a la persona por su participacin.

Tcnicas para Verificar la Informacin Los hechos sern revelados por una combinacin de cuestionarios, listas y bsqueda. De cualquier modo, antes de convertir la informacin en hechos debera verificarse que sean datos verdaderos. Siempre que un auditado haga una afirmacin sobre un punto vital, la responsabilidad del auditor debera ser "por favor, mustremelos". La verificacin se puede hacer de varias maneras, incluyendo: Revisando los registros. Preguntando a alguien mas y comparando las respuestas. Observando las actividades que se llevan a cabo. Tomando parte de la actividad. Simulando la actividad. Manejo de las Situaciones Difciles Naturalmente, no todos los auditados aceptan las no-conformidades. Algunas veces durante la verificacin el auditado puede ponerse a la defensiva y quizs relativamente nervioso. La siguiente gua ayudar al auditor a manejar estas situaciones: El auditor debera mantener la confidencialidad de los hallazgos . Explicar y acordar los requisitos con el auditado. Explicar y acordar la evidencia con el auditado. Otra vez, establecer la discrepancia. Si el auditado no lo acepta, dejar que conozcan a peticin las opciones que ellos tienen. Si los auditados aceptan o confiesan las no-conformidades, se registran y se remueven. Pgina 6 de 29

Emitido el: 07-29-2010 Revisin: 0

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
No involucrarse con ningn argumento interno. Siempre mantener todo bajo control.

Con el fin de evitar una situacin de confrontacin, el auditor debera explicar al auditado toda la informacin que se registrar y que la determinacin final con la consideracin de los temas se har ms adelante, despus de una nueva consideracin. Como con todas las cosas, la tcnica de auditoria mejora con la prctica y los auditores deberan esforzarse para desarrollar su propia forma y estilo. El siguiente "hacer y no hacer" aplica al auditor durante las actividades de auditoria en la localidad: Procurar siempre: Entrevistar a la persona que hace el trabajo. Consultar con frecuencia su "Check List". Tomar notas. Ser calmado, corts y firme en el control del tiempo. Buscar hechos y no asumir. Seleccionar cuidadosamente la muestra. Informar prontamente al auditado de cualquier hallazgo de la auditoria. Ser imparcial y honesto y si est equivocado, admitirlo. Evitar: Empezar tarde. Desviarse del plan de auditoria, a menos que sea para cumplir con los objetivos de la auditoria. Conferenciar. Dar recomendaciones. Criticar a la administracin. Hacer comparaciones con otras personas o departamentos . No ser concreto, hay que hacer las preguntas cortas y directas . Atemorizarse de decir no entiendo algo. Usar el Buen Juicio No obstante todo el planeamiento y la precisin natural del "Check List" del auditor, la auditoria no es una ciencia exacta. Existen siempre "reas grises", las cuales requieren que el auditor ejercite su criterio basado en el entrenamiento y la experiencia: Determinando los requisitos de mayor aplicabilidad. La tcnica que usa. De quin se habla? Qu se observa? La muestra que se toma. Cunto tiempo queda? Si hay suficiente evidencia para un hallazgo. Si el hallazgo es significativo. Cuando consultar al equipo de Auditores. Emitido el: 07-29-2010 Revisin: 0 Pgina 7 de 29

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
Auditando una muestra No hay suficiente tiempo para examinar cada cosa y por esto es necesario seleccionar una muestra que le permita al auditor juzgar gran parte de los requisitos se ha cumplido. Las muestras deberan ser relevantes para el propsito y el alcance de la auditoria y ad ems ser representativas de la actividad que se va a examinar. El auditor debera asegurarse que la muestra es: Relevante: Esto se debera buscar en todos los departamentos o actividades que son relevantes para los Objetivos de la Auditoria, Alcance y Criterio. Representativos: Esto se debera buscar en una muestra representativa del control de los elementos y actividades relativas. Gua para el muestreo de auditoria: El muestreo se puede considerar durante las etapas de planeamiento . El tamao de la muestra usualmente se establece durante la investigacin. La muestra rara vez se basa en planes estadsticos. Los muestras pequeas de los registros o tems pueden ser suficientes . No estar tomando muestras hasta encontrar un problema. Si se encuentra un problema en la primera muestra, hay que tomar otra muestra para evaluar en una mayor proporcin. Si no se encuentra un problema en la primera y segunda muestra, dejarlo . Estas son las mejores tcnicas que ayudarn al auditor a llegar a conclusiones en una f orma imparcial para todas las partes involucradas. Consideraciones de Secuencia de los Procesos El Plan de Auditoria debe asegurar que los procedimientos documentados se revisan antes de iniciar las actividades de investigacin. Aunque la revisin de los documentos es parte del Preparacin de la Auditoria, es posible que el objetivo del documento revisado se limite al Manual de Polticas y a algunos procedimientos relacionados. Por esta razn, el Plan de Auditoria debe asegurar que el auditor revise los pr ocedimientos especficos relativos a un proceso, antes de la investigacin en las instalaciones del auditado. La revisan puede llevarse a cabo inmediatamente despus de la reunin de apertura o en un momento apropiado antes de comenzar la evaluacin de un proceso dado. El Plan de auditora debe ser un documento lgico y no slo un conjunto de Funciones v actividades. Por esto se sugiere que el Proceso Central se evale antes que los Procesos de Apoyo. Proceso central (o medular) Estos son procesos de los Sistemas de Gestin con salidas que forman parte del producto de la organizacin y puede, como consecuencia, tener un impacto directo en las necesidades v/o requerimientos de las partes interesadas (tal como Clientes, el ambiente y/o empleados. Ejemplos:

Emitido el: 07-29-2010 Revisin: 0

Pgina 8 de 29

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
Procesos de Manufactura Procesos de Servicio Procesos de Manipulacin del Producto

Procesos de apoyo Estos estn en los procesos del Sistema de Gestin pero no necesariamente forman parte del producto de la Organizaron. No obstante se consideran necesarios para asegurar la consistencia y eficacia de un proceso central. Ejemplos: Entrenamiento. Control de Documentos. Accin Correctiva. Consideraciones Adicionales de la Secuencia de Auditoria: Como la informacin obtenida durante la auditoria de los Procesos centrales ayuda a determinar la efectividad de los Procesos de Apoyo, usualmente es mejor auditar primero al Proceso Central. La secuencia de los procesos centrales debe seguir el flujo lgico del trabajo. Esto permite las interfaces entre varias funciones o departamentos a ser examinados. La secuencia de los procesos de apoyo no tiene que seguir ningn modelo en particular. Procedimientos Algunas organizaciones se refieren a "Procedimientos del Sistema" y "Procedimientos operacionales". Los Procedimientos de Sistema son aquellos requeridos especficamente por la norma. Los Procedimientos Operacionales son aquellos establecidos por la organizacin para cumplir con los objetivos funcionales que pueden relacionarse con uno o ms Sistemas de Gestin. En una organizacin pequea con muy pocos procedimientos, stos se pueden incluir en el Manual de Polticas. Sin embargo es ms comn elaborar cada procedimiento en un documento separado, con su propia lista de distribucin. Las Secciones Tpicas de un Procedimiento Documentado son: Una seccin de propsitos u objetivos que explique por qu se establece el procedimiento. El alcance de la seccin, que explique dnde, cundo y bajo qu condiciones ser aplicable el procedimiento. Definicin de trminos y/o abreviaciones que se utilizan en la organizacin que pudieran no ser conocidos por un nuevo usuario calificado. Una lista de equipos u otros recursos que sean necesarios para llevar a cabo el procedimiento. Una lista de documentos que sirvan de referencia y/o que se requieran para llevar a cabo el procedimiento. Una seccin que describa las responsabilidades generales para la implementacin del procedimiento.

Emitido el: 07-29-2010 Revisin: 0

Pgina 9 de 29

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
Una seccin que describa claramente los pasos involucrados, indicando quin llevar a cabo cada actividad y baj qu condiciones. Una descripcin de cmo se mantendrn los registros relacionados con el procedimiento. Un mecanismo de distribucin para tener los procedimientos accesibles y el contenido disponible a las personas que tienen que llevar a cabo la actividad. Medios para la identificacin y control de la revisin de los documentos, para que siempre estn al da y reflejen la prctica actual. Evidencia de que el documento, antes de ser editado, ha sido revisado y aprobado por el responsable de la actividad.

Pautas para Desarrollar un Sistema de Gestin Documentado Los Procedimientos pueden ser escritos por cualquier persona que tenga las habilidades literarias necesarias y conocimiento de la actividad. El lenguaje utilizado debera ser lo ms simple posible Los documentos' deberan ser revisados por las personas que lo utilizan para asegurar que sean consistentes con la prctica. Las Actividades o procesos que van a ser documentados, se deberan establecer primero en un flujo grama para asegurar una secuencia lgica.

Emitido el: 07-29-2010 Revisin: 0

Pgina 10 de 29

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
1. CORRELACIN CON LOS TEMAS O SUBTEMAS DEL PROGRAMA DE ESTUDIOS 3.1 3.2 3.3 3.4 3.5 3.6 Introduccin Recopilacin de informacin Organizacional Evaluacin de Recursos Humanos Entrevistas con personal de informtica Entrevistas con el personal usuario Situacin Presupuestal y Financiera Auditoria Informtica 3.6.1 Presupuestos Auditora Informtica 2.1.1 Recursos Financieros y Materiales Auditoria Informtica

2. MATERIAL Y EQUIPO NECESARIO HARDWARE Computadora Impresora MATERIAL DE APOYO ISO/IEC 27001:2005 Sistema de Gestin de Seguridad de la Informacin: Requisitos. ISO 20000-1:2005 Gestin del Servicio Parte 1: Especificaciones. ISO 19011:202 Directrices para la Auditoria de los Sistemas de Gestin de Calidad y Ambiental. Documentos Anexos.

Emitido el: 07-29-2010 Revisin: 0

Pgina 11 de 29

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
ACTIVIDADES: A. Efectuando una auditoria cruzada por equipos de trabajo y bajo una metodologa de auditora externa con enfoque por procesos, aplique y documente las siguiente lista de verificacin: 1. NIVEL DE SERVICIOS DEL CENTRO DE COMPUTO Con esta informacin se puede comenzar a realizar la entrevista para determinar si los servicios proporcionados y planeados por la direccin de informtica cubren las necesidades de informacin de la organizacin. 1. Considera que la direccin de informtica le da los resultados esperados? 2. Por qu? 3. Cmo considera usted, en general, el servicio proporcionado por la direccin de informtica? a) Deficiente b) Aceptable c) Satisfactorio d) Excelente 4. Por qu? 5. Cubre sus necesidades de procesamiento? a) No las cubre b) Parcialmente c) La mayor parte d) Todas 6. Por qu? 7. Cmo considera la calidad del procesamiento que se le proporciona? a) Deficiente b) Aceptable c) Satisfactorio d) Excelente 8. Por qu? 9. Hay disponibilidad de procesamiento para sus requerimientos? 10. Generalmente no existe a) Ocasionalmente b) Regularmente c) Siempre 11. Por qu? 12. Conoce los costos de los servicios proporcionados? 13. Qu opina del costo del servicio proporcionado por el departamento de procesos electrnicos? a) Excesivo b) Mnimo c) Regular d) Adecuado e) No lo conoce 14. Por qu? 15. Son entregados con puntualidad los trabajos? a) Nunca Emitido el: 07-29-2010 Revisin: 0 Pgina 12 de 29

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
b) Rara vez c) Ocasionalmente d) Generalmente e) Siempre Por qu? Qu piensa de la presentacin de los trabajos solicitados? a) Deficiente b) Aceptable c) Satisfactoria d) Excelente Por qu? Qu piensa de la atencin brindada por el personal de procesos electrnicos? a) Insatisfactoria b) Satisfactoria c) Excelente Por qu? Qu piensa de la asesora que se imparte sobre informtica? a) No se proporciona b) Es insuficiente c) Satisfactoria d) Excelente Qu piensa de la seguridad en el manejo de la informacin proporcionada para su procesamiento? a) Nula b) Excelente a) Riesgosa b) Satisfactoria c) Lo desconoce Por qu? Existen fallas de exactitud en los procesos de informacin? Cules? Cmo utiliza los reportes que se le proporcionan? Cules no utiliza? De aquellos que no utiliza, por qu razn los recibe? Qu sugerencias hace en cuanto a la eliminacin de reportes: modificacin, fusin, divisin de reporte? Se cuenta con un manual del usuario por sistema? Es claro y objetivo el manual del usuario? Qu opinin tiene sobre el manual? Nota: Pida el manual del usuario para evaluarlo. De su departamento, quin interviene en el diseo de sistemas? En qu sistemas tiene actualmente su servicio de computacin? Qu sistemas deseara que se incluyeran? Observaciones.

16. 17.

18. 19.

20. 21.

22.

23. 24. 25. 26. 27. 28. 29. 30. 31. 32. 33. 34. 35. 36.

Emitido el: 07-29-2010 Revisin: 0

Pgina 13 de 29

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
2. CONTROL DE DATOS Y MANEJO DE CIFRAS DE CONTROL 1. Existen normas que definan el contenido de los instructivos de captacin de datos? 2. Indique el porcentaje de datos que se reciben en el rea de captacin y verifique si contiene su instructivo correspondiente. En caso de que el usuario sea el responsable de la captura, debe existir un manual del usuario, o bien ayuda (help) dentro del sistema. 3. Indique el contenido de la orden de trabajo que se recibe en el rea de captacin de datos del rea de informtica: a) Nmero de folio. b) Fecha y hora de recepcin. c) Nombre del documento. d) Volumen aproximado de registros. e) Clave de cargo (nmero de cuenta). f) Nmero de registros. g) Fecha y hora de entrega de documentos y registros captados. h) Clave del capturista. i) Nmero(s) de formato(s). j) Nombre, departamento, usuario. k) Nombre del responsable. l) Fecha estimada de entrega. 4. Indique cul(es) control(es) interno(s) existe(n) en el rea de captacin de datos: a) Firmas de autorizacin. b) Recepcin de trabajos. c) Revisin del documento fuente (legibilidad, verificacin de datos completos, etc.). d) Prioridades de captacin. e) Produccin de trabajo. f) Costo mensual por trabajo. g) Verificacin de cifras de control de entrada con las de salida. h) Control de trabajos atrasados. i) Avance de trabajos. j) Verificacin. k) Errores por trabajo. l) Correccin de errores. m) Entrega de trabajos. 5. Existe un programa de trabajo de captacin de datos? 6. Se elabora ese programa para cada turno? a) Diariamente b) Semanalmente c) Mensualmente 7. La elaboracin del programa de trabajo se hace: a) Internamente b) Se les seala a los usuarios las prioridades c) Se les seala a los usuarios la posible fecha de entrega

Emitido el: 07-29-2010 Revisin: 0

Pgina 14 de 29

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
8. El programa de trabajo es congruente con el calendario de produccin? 9. Indique el contenido del programa de trabajo de captacin. a) Nombre de usuario. b) Hora programada de entrega. c) Clave de trabajo. d) Volumen estimado de registros por trabajo. e) Fecha programada de recepcin f) Hora programada de recepcin. g) Fecha programada de entrega 10. Qu accin(es) se toma(n) si el trabajo programado no se recibe a tiempo? 11. Cuando la carga de trabajo supera la capacidad instalada se requiere: a) Tiempo extra b) Se subcontrata 12. Quin controla las entradas de documentos fuente? 13. En qu forma las controla? 14. Qu cifras de control se obtienen? a) Sistema b) Cifras que se obtienen c) Observaciones 15. Qu documentos de entrada se tienen? a) Sistemas b) Documentos c) Depto. Que patrocina el documento d) Periodicidad e) Observaciones 16. Se anota qu persona recibe la informacin y su volumen? 17. Se anota a qu capturista se entrega la informacin, el volumen y la hora? 18. Se verifica la calidad de la informacin recibida para su captura? 19. Se revisan las cifras de control antes de enviarlas a captura? 20. Para aquellos procesos que no traigan cifras de control se han establecido criterios a fin de asegurar que la informacin es completa y vlida? 21. Existe un procedimiento escrito que indique cmo tratar la informacin invlida? (Sin firma, ilegible, no corresponden las cifras de control.) 22. En caso de resguardo de informacin de entrada en sistemas, se custodian en un lugar seguro? 23. Si se queda en el departamento de sistemas, por cunto tiempo se guarda? 24. Existe un registro de anomalas en la informacin debido a mala codificacin? 25. Existe una relacin completa de distribucin de listados, en la cual se indiquen personas, secuencia y sistemas a los que pertenecen? 26. Se verifica que las cifras de las validaciones concuerden con los documentos de entrada? 27. Se hace una relacin de cundo y a quin fueron distribuidos los listados? 28. Se controlan separadamente los documentos confidenciales? 29. Se aprovecha adecuadamente el papel de los listados inservibles? 30. Existe un registro de los documentos que entran a captura? 31. Se hace un reporte diario, semanal o mensual de captura? Emitido el: 07-29-2010 Revisin: 0 Pgina 15 de 29

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
32. Se hace un reporte diario, semanal o mensual de anomalas en la informacin de entrada? 33. Se lleva un control de la produccin por persona? 34. Quin revisa este control? 3. CONTROL DE OPERACION 1. Existen procedimientos formales para la operacin del sistema de cont? 2. Esos procedimientos describen detalladamente tanto la organizacin de la sala de mquinas como la operacin del sistema de cmputo? 3. Estn actualizados los procedimientos? 4. Indique la periodicidad de la actualizacin de los procedimientos: a) Semestral b) Anual c) Cada vez que haya cambio de equipo 5. Observe la forma en que est operando la mquina, cmo se distribuyen los trabajos en lotes? 6. Cul es el lmite de trabajos en lotes y si se tiene un adecuado orden y control en los procesos por lotes? 7. Indique el contenido de los instructivos de operacin para cada aplicacin: a) Identificacin del sistema. b) Periodicidad y duracin de la corrida. c) Especificacin de formas especiales. d) Etiquetas de archivos de salida, nombre del archivo lgico y fechas de creacin y expiracin. e) Instructivo sobre materiales de entrada y salida. f) Altos programados y las acciones requeridas. g) Instructivos especficos para los operadores en caso de falla del equipo. h) Puntos de reinicio, procedimientos de recuperacin para proceso de gran duracin o criterios. 8. Identificacin de todos los dispositivos de la mquina a ser usados. a) Especificaciones de resultados (cifras de control, registros de salida por archivo, etc.). b) Instructivos de plan de contingencia. c) Instructivos de procedimientos de recuperacin. 9. Existen rdenes de proceso para cada corrida en computadora (incluyendo pruebas, compilaciones y produccin)? 10. Son suficientemente claras para los operadores estas rdenes? 11. Existe una estandarizacin de las rdenes de proceso? 12. Existe un control que asegure la justificacin de los procesos en el computador? (Que los procesos que se estn trabajando estn autorizados y tengan una razn de ser procesados. 13. Cmo programan los operadores los trabajos dentro de la sala de mquinas? a) Primero que entra, primero que sale. b) Se respetan las prioridades. c) Otra (especifique). 14. Los retrasos o incumplimiento del programa de operacin diaria, se revisa y analiza? 15. Quin revisa este reporte en su caso? 16. Cmo controlan los operadores las versiones correctas y cmo se identifican las que son de prueba? 17. Analice la eficiencia con que se ejecutan los trabajos dentro de la sala de mquinas, tomando en cuenta equipo y operador, mediante una inspeccin visual, y describa sus observaciones. Emitido el: 07-29-2010 Revisin: 0 Pgina 16 de 29

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
18. 19. 20. 21. Existen procedimientos escritos para la recuperacin del sistema en caso de fallas? Cmo se acta en caso de errores? Existen instrucciones especficas para cada proceso, con las indicaciones pertinentes? Se tienen procedimientos especficos que indiquen al operador qu hacer cuando un programa interrumpe su ejecucin u otras dificultades en proceso? Puede el operador modificar los datos de entrada? Se prohbe a analistas y otro personal ajeno al rea la operacin de la mquina? Se prohbe al operador modificar informacin de archivos o biblioteca de programas? El operador realiza funciones de mantenimiento diario en dispositivos que as lo requieran? Las intervenciones de los operadores: a) Son muy numerosas b) Se limitan a los mensajes esenciales c) Otras. (Especifique). Se tiene un control adecuado sobre los sistemas que estn en operacin? Cmo se controlan los trabajos dentro de la sala de mquinas? Se rota al personal del control de informacin con los operadores, procurando un entrenamiento cruzado y evitando la manipulacin fraudulenta de datos? Cuentan los operadores con una bitcora para mantener registros de cualquier evento y accin tomada por ellos? a) S b) Por mquina c) Escrita manualmente d) No Verifican que exista un registro de funcionamiento que muestre el tiempo de paros y mantenimiento o instalaciones de software? Existen procedimientos para evitar las corridas de programas no autorizados? Existe un plan definido para el cambio de turno de operacin que evite el descontrol y discontinuidad de la operacin? Verifican que sea razonable el plan para coordinar el cambio de turno? Se hacen inspecciones peridicas de muestreo? Enuncie los procedimientos mencionados en el inciso anterior. Se controla estrictamente el acceso a la documentacin de aplicaciones rutinarias? Cmo? Verifican que los privilegios del operador se restrinjan a aquellos que le son asignados a la clasificacin de segundad de operador? Existen procedimientos formales que se deban observar antes de que se hayan aceptado en operacin, sistemas nuevos o modificaciones a los mismos? Estos procedimientos incluyen corridas en paralelo de los sistemas modificados con las versiones anteriores? Durante cunto tiempo? Qu precauciones se toman durante el periodo de implantacin? Quin da la aprobacin formal cuando las corridas de prueba de un sistema modificado o nuevo estn acordes con los instructivos de operacin? Pgina 17 de 29

22. 23. 24. 25. 26.

27. 28. 29. 30.

31. 32. 33. 34. 35. 36. 37. 38. 39. 40. 41. 42. 43. 44.

Emitido el: 07-29-2010 Revisin: 0

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
45. Mencione qu instructivos se proporcionan a las personas que intervienen en la operacin rutinaria de un sistema. 46. Indique qu tipo de controles se tienen sobre los archivos magnticos de los archivos de datos, que aseguren la utilizacin de los datos precisos en los procesos correspondientes. 47. Existe un lugar para archivar las bitcoras del sistema del equipo de cmputo? 48. Indique cmo est organizado este archivo de bitcora. a) Por fecha b) Por fecha y hora c) Por turno de operacin d) Otros 49. Cul es la utilizacin sistemtica de las bitcoras? 50. Adems de las mencionadas anteriormente, qu otras funciones o reas se encuentran en la sala de mquinas actualmente? 51. Se verifica que se lleve un registro de utilizacin del equipo diario, sistemas en lnea y batch, de tal manera que se pueda medir la eficiencia del uso del equipo? 52. Se tiene un inventario actualizado del total de los equipos, de su localizacin? 53. Cmo se controlan los procesos en lnea? 54. Se tienen seguros sobre todos los equipos? 55. Con qu compaa? Nota: Solicitar plizas de seguros y verificar tipo de seguro y montos. 56. Cmo se controlan las llaves de acceso (password)? Se debe verificar que el instructivo de operacin contenga los siguientes datos: Diagramas. Mensajes y su explicacin. Parmetros y su explicacin. Frmulas de verificacin. Observaciones e instrucciones en caso de error. Calendario de proceso y de entrega de resultados. 4. 1. 2. 3. 4. 5. 6. 7. CONTROL DE SALIDA Se tienen copias de los archivos magnticos en otros locales? Dnde se encuentran esos locales? Qu seguridad fsica se tiene en esos locales? Qu confidencialidad se tiene en esos locales? Quin entrega los documentos de salida de los procesos en lotes (batch)? En qu forma se entregan? Qu documentos? a) Sistema b) Documentos c) A quin se entregan d) Periodicidad e) Observaciones

Emitido el: 07-29-2010 Revisin: 0

Pgina 18 de 29

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
8. Qu controles se tienen? a) Sistema b) Control c) Observaciones d) Comentarios 9. Se tiene un responsable (usuario) de la informacin de cada sistema en lnea y en lotes (batch)? 10. Cmo se atienden solicitudes de informacin a otros usuarios del mismo sistema? 11. Se destruye la informacin no utilizada, o bien qu se hace con ella? a) Destruye b) Vende c) Tira d) Otro 5. 1. 2. 3. 4. 5. 6. 7. 8. CONTROL DE ASIGNACIN DE TRABAJO Opera la sala de mquinas sobre la base de programas de trabajo? Indique los periodos que abarcan los programas de trabajo. Indique el puesto o departamento responsable de la elaboracin de los programas de trabajo. Se cambian frecuentemente los programas de trabajo? Cul es la causa principal? Se comunica oportunamente a los usuarios las modificaciones a los programas de trabajo? Cmo se comunican? Dentro del programa de trabajo de la mquina, se tienen previstas: a) Demandas inesperadas b) Fallas de la mquina c) Soporte de los usuarios d) Mantenimiento preventivo e) Otras.(especifique). 9. Con qu frecuencia se asigna la computadora, en su totalidad o en un gran porcentaje, para una sola aplicacin (la de mayor utilizacin)? 10. Especifique los elementos que sirven como base para programar las cargas de mquina. 6. CONTROL DE MEDIOS DE ALMACENAMIENTO MASIVO 1. Los locales asignados a almacenamientos magnticos tienen: a) Aire acondicionado. b) Proteccin contra el fuego (sealar qu tipo de proteccin). c) Cerradura especial. d) Otro. 2. Tienen el almacn de archivos proteccin automtica contra el fuego? (Sealar qu tipo.) 3. Qu informacin mnima contiene el inventario de la cintoteca y la discoteca? a) Nmero de serie o carrete. b) Nombre o clave del usuario. c) Nombre del archivo lgico. d) Nombre del sistema que lo genera. e) Fecha de generacin del archivo. Emitido el: 07-29-2010 Revisin: 0 Pgina 19 de 29

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
f) Fecha de expiracin del archivo. g) Nmero de volumen. h) Otras. Se verifican con frecuencia la validez de los inventarios de los archivos magnticos? En caso de existir discrepancia entre archivos y su contenido, se resuelven y explican satisfactoriamente las discrepancias? Qu tan frecuentes son estas discrepancias? Se tienen procedimientos que permitan la reconstruccin de un archivo en cinta o disco, el cual fue inadvertidamente destruido? Se tienen identificados los archivos con informacin confidencial y se cuenta con claves de acceso? Cmo? Existe un control estricto de las copias de estos archivos? Qu medio se utiliza para almacenarlos?: a) Mueble con cerradura. b) Bveda. c) Otro (especifique). Este almacn est situado: a) En el mismo edificio de la direccin de informtica. b) En otro lugar. c) Ambos Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan stos? Cules? Se certifica la destruccin o baja de los archivos defectuosos? Se registran como parte del inventario los nuevos elementos magnticos que se reciben en la biblioteca? Se tiene un responsable, por turno, de los archivos magnticos? Se realizan auditoras peridicas a los medios de almacenamiento? Con qu periodicidad? Qu medidas se toman en el caso de extravo de algn dispositivo de almacenamiento?

4. 5. 6. 7. 8. 9. 10. 11.

12.

13. 14. 15. 16. 17. 18. 19. 20.

21. Se restringe el acceso a los lugares asignados para guardar los dispositivos de almacenamiento, a cargo de personal autorizado? 22. Se tiene relacin del personal autorizado para firmar la salida de archivos confidenciales? 23. Existe un procedimiento para registrar los archivos que se prestan y la fecha en que se devolvern? 24. Se lleva control sobre los archivos prestados por la instalacin? 25. En caso de prstamo, con qu informacin se documentan? 26. Nombre de la institucin a quien se hace el prstamo. a) Fecha de recepcin b) Fecha en que se debe devolver c) Archivos que contiene d) Formatos e) Cifras de control f) Cdigo de grabacin g) Nombre del responsable que los prest Emitido el: 07-29-2010 Revisin: 0 Pgina 20 de 29

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
h) Otros 27. Indique qu procedimiento se sigue en el reemplazo de las cintas que contienen los archivos maestros. 28. El cintotecario controla la cinta maestra anterior previendo su uso incorrecto o su eliminacin prematura? 29. La operacin de reemplazo es controlada por el cintotecario? 30. Se utiliza la poltica de conservacin de archivos hijo-padre-abuelo? 31. En los procesos que manejan archivos en lnea, existen procedimientos para recuperacin de archivos? 32. Estos procedimientos los conocen los operadores? 33. Cmo los consigue? 34. Con qu periodicidad se revisan estos procedimientos? a) Mensual. b) Anual. c) Semestral. d) Otra. 35. Existe un responsable en caso de falla? 36. Explique qu polticas se siguen para la obtencin de archivos de respaldo. 37. Existe un procedimiento para el manejo de la informacin de la cintoteca? 38. Lo conoce y lo sigue el cintotecario? 39. Se distribuyen en forma peridica entre los jefes de sistemas informes de archivos para que liberen los dispositivos de almacenamiento? 40. Con qu frecuencia? 7. CONTROL DE FALLAS 1. Se mantienen registros actualizados de las fallas de los dispositivos del sistema de cmputo y servicios auxiliares (aire acondicionado, sistema de energa ininterrumpida, etctera)? (Solicitar los registros de los ltimos seis meses.) 2. Es posible identificar por medio de estos registros los problemas ms recurrentes o las fallas mayores que afectan en forma determinante el funcionamiento de la sala de mquinas? 3. Cmo se identifican? 4. Tiempo de respuesta promedio que se ha tenido con el contrato de mantenimiento (tiempo de respuesta es el periodo entre la notificacin o aviso de la existencia de un problema y la llegada del personal tcnico que realiz las reparaciones del equipo). 5. Cules son las actitudes de los ingenieros de servicio que mantienen sus equipos? 6. Cul considera que es la competencia tcnica de los ingenieros de servicio que dan mantenimiento a sus equipos? Por qu? 7. Cul es el tiempo promedio que toma investigar y resolver el problema? 8. Cul es la disponibilidad de refacciones necesarias para dar mantenimiento a sus equipos? 9. Cul es la efectividad del proveedor para resolver sus problemas de mantenimiento? 10. Cules son las medidas de mantenimiento preventivo realizadas al dar servicio a su equipo? 11. Cul es en general la calidad de los servicios ofrecidos bajo su "Contrato de mantenimiento"?

Emitido el: 07-29-2010 Revisin: 0

Pgina 21 de 29

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
8. EVALUACIN DEL MANTENIMIENTO 1. Indique los registros que se llevan de la utilizacin del sistema de cmputo (especificando la periodicidad). 2. Tiempo de prueba de programas. 3. Tiempo dedicado a produccin. 4. Tiempo dedicado a mantenimiento correctivo del sistema operativo. 5. Tiempo dedicado a mantenimiento preventivo. 6. Tiempo de falla de los dispositivos del sistema de cmputo. 7. Tiempo de uso de cada unidad de cinta. 8. Tiempo ocioso. 9. Tiempo de uso de impresora. 10. Tiempo de reproceso. 11. Tiempo de la computadora utilizado en demostraciones. 12. Tiempo de falla por servicios auxiliares. 13. Tiempo promedio de operaciones por da. 14. Tiempo promedio de respuesta para programas de produccin. 15. Nmero promedio al da que se consideran como horas de produccin. 16. Nmero promedio de trabajos en cola de espera de ejecucin en horas pico. 17. Nmero promedio de trabajos en cola de espera de impresin en horas pico. 18. Nmero promedio de trabajos de ejecucin en horas pico. 19. Evale la relacin de uso de impresoras respecto a la mezcla de trabajo. Determine si se debe: a) Incrementar el nmero de impresoras. b) Restaurar las cargas de trabajo. c) Utilizar otro tipo de salidas (diferentes a impresoras). d) Utilizar impresora de mayor velocidad. 20. Es excesivo el volumen de impresin? 21. En caso de contestar s, seale las causas: a) Reportes muy largos. b) Reportes no utilizados. c) Procesos en lote que deben estar en lnea. 22. Otros (especificar cules). 23. Especificar si existen procesos que deben cambiarse de batch a lnea o viceversa. 24. Evale la utilizacin del sistema de cmputo a travs de las siguientes relaciones: a) Si el tiempo ocioso excede el 35%. b) El equipo instalado puede estar sobrado de capacidad para la carga de trabajo actual. c) Si el tiempo de mantenimiento al equipo sobrepasa el 5%. d) Se deber exigir al proveedor que mejore la calidad de soporte de mantenimiento. e) Si el tiempo de falla del sistema de cmputo es mayor al 5%. f) Se le deber exigir la reparacin y disminucin de los tiempos de falla al proveedor. NOTA: stos son solamente ejemplos de factores que pueden obtenerse, los cuales pueden ser ampliados, y los porcentajes dependern del tipo de equipo y la experiencia que se tenga. (Esta seccin est orientada a revisar las acciones que realiza la direccin de informtica para evaluar, mantener y auditar los sistemas implantados.) Emitido el: 07-29-2010 Revisin: 0 Pgina 22 de 29

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
25. Indique qu tipo de evaluacin se realiza a los sistemas implantados: a) Ninguna. b) Econmica. c) De beneficios. d) Otros (especificar). e) De objetivos. f) De oportunidad. g) De operacin. 26. Indique qu instructivos se elaboran: a) Interno del sistema (help). b) De captacin. c) Del usuario. d) De operacin. e) Otros (especificar). 27. Qu porcentaje del personal de programacin se dedica a dar mantenimiento a los sistemas existentes? 28. El responsable del rea de produccin formula las estadsticas de utilizacin de equipos, mostrando la frecuencia de fallas de los mismos y las estadsticas de produccin por aplicacin? (Especifique cmo se realiza y d un ejemplo.) 29. En qu porcentaje se cumplen los calendarios de produccin? 9. ORDEN EN EL CENTRO DE CMPUTO 1. Indique la periodicidad con que se hace la limpieza de la sala de mquinas y de la cmara de aire que se encuentra abajo del piso falso y los duelos de aire: a) Semanalmente. b) Mensualmente. c) No hay programa. d) Quincenalmente. e) Bimestralmente. f) Otro (especifique). 2. Existe un lugar asignado a las cintas y discos magnticos? 3. Se tiene asignado un lugar especfico para papelera y utensilios de trabajo? 4. Son funcionales los muebles asignados para la cintoteca y discoteca? 5. Se tienen disposiciones para que se acomoden en su lugar correspondiente, despus de su uso, las cintas, los discos magnticos, la papelera, etctera? 6. Indique la periodicidad con que se limpian las unidades de cinta: a) Al cambio de turno. b) Cada da. c) Cada semana. d) Otra (especificar). 7. Existen prohibiciones para fumar, tomar alimentos y refrescos en la sala de mquinas? 8. Se cuenta con carteles en lugares visibles que recuerden dicha prohibicin?

Emitido el: 07-29-2010 Revisin: 0

Pgina 23 de 29

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
9. Se tiene restringida la operacin del sistema de cmputo nicamente al personal especializado de la direccin de informtica? 10. Mencione los casos en que personal ajeno al departamento de operacin opera el sistema de cmputo. 11. Evale los niveles de iluminacin y ruido y seale cuando estn fuera del rango estipulado en los estndares. 10. EVALUACIN DE LA CONFIGURACIN DEL SISTEMA DE CMPUTO 1. De acuerdo con los tiempos de utilizacin de cada dispositivo del sistema de cmputo, existe equipo: a) Con poco uso b) Ocioso c) Capacidad superior a la necesaria 2. Describa cul es: 3. El equipo mencionado en el inciso anterior puede reemplazarse por otro ms rpido y de menor costo? El sistema de cmputo tiene capacidad de red? Se utiliza la capacidad de red? En caso negativo, exponga los motivos por los cuales no se utiliza la red. Especifique qu sistema de comunicacin se tiene. Cuntas terminales, computadoras personales, perifricas, se tienen conectadas al sistema de cmputo? a) Cantidad b) Tipo 9. Se ha investigado si el tiempo de respuesta satisface a los usuarios? 10. Indique si existen polticas para aplicaciones soportadas en red: a) Tamao mximo de programas. b) Nmero de archivos. c) Tamao mximo para cada archivo. d) Nivel de acceso. 11. El almacenamiento mximo del sistema de cmputo es suficiente para atender el proceso por lotes y en lnea? 11. PRODUCTIVIDAD 1. Verifique que se cuente con una descripcin completa de los trabajos que se corren y la descripcin de las caractersticas de carga. 2. Verifique la existencia de un pronstico de cargas o trabajos que se efectuarn durante el ao, con el objeto de que se prevean los picos en las cargas de trabajo y se puedan distribuir adecuadamente estas cargas. 3. Se tiene un programa de trabajo diario? Semanal? Anual? 4. En caso de que no se tenga la programacin diaria, cmo se realiza la produccin? 5. Verifique que se contemplen dentro de los planes de produccin periodos de mantenimiento preventivo. 6. Verifique que se disponga de espacio y tiempo para realizar corridas especiales, corridas de prueba de sistemas en desarrollo y corridas que deben repetirse. 7. Verifique que se tengan definidos el espacio y el tiempo para el respaldo de la informacin. 4. 5. 6. 7. 8.

Emitido el: 07-29-2010 Revisin: 0

Pgina 24 de 29

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
8. Verifique el equipo de comunicacin, caractersticas, nmero de usuarios y tiempo de respuesta que se obtiene en un proceso normal. 9. Se tiene una programacin del mantenimiento previo? 10. Se tiene un plan definido de respaldo de la informacin? 11. Se revisa el cumplimiento de los programas de produccin establecidas? 12. Verifique que se tenga conocimiento de los prximos sistemas que entrarn en produccin, con objeto de que se programe su incorporacin. 13. Quin revisa estos planes? 14. Se cumplen generalmente estos planes? Si no, explique por qu. 15. Se repiten con frecuencia corridas por anomalas? 16. Indique los estndares de produccin que se tienen en la direccin de informtica. a) Por plataforma b) Por tipo de equipo 17. Existen ndices de error aceptables para cada tipo de trabajo? 18. Cundo fue la ltima revisin de esos estndares? 19. El personal de captacin conoce esos estndares? 20. Indique los medios utilizados para medir la eficiencia de los operadores de captacin. a) Estadsticas mensuales de produccin por trabajo y por operador. b) Estadsticas mensuales de error por trabajo y por operador. c) Estadsticas mensuales de produccin por trabajo. d) Estadsticas mensuales de error por trabajo. e) Estadsticas de produccin por trabajo y operador por hora. f) Otros (especificar). 21. Indique qu medida(s) se toma(n) cuando el rendimiento para un trabajo est abajo del estndar: a) Se consulta a los operadores sobre los problemas observados en el trabajo. b) Se capacitan los operadores sobre el manejo del equipo. c) Se imparten plticas sobre el trabajo. d) Otros. 22. Se tienen incentivos para el personal que tenga un rendimiento superior al estndar? 23. Cada cundo se imparten cursos de capacitacin sobre la operacin del equipo? 24. Se registran los tiempos de respuesta a las solicitudes? 25. Cul es el tiempo de respuesta promedio?

Emitido el: 07-29-2010 Revisin: 0

Pgina 25 de 29

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
3. METODOLOGA 1. 2. 3. 4. 5. Al iniciar el instructor presentara los objetivos de la prctica. El instructor creara equipos de 4 a 5 estudiantes quienes trabajaran juntos por el resto del curso. Los estudiantes completaran el cuestionario del taller en equipos de trabajo. El instructor verificara que esta asignacin se haya completado. Los equipos seleccionaran un caso y un expositor, quien ser el encargado de presentarlo al resto del grupo.

1. SUGERENCIAS DIDACTICAS Actividades Grupales. Los estudiantes sern integrados en equipos, de manera que puedan desarrollar aptitudes importantes para el proceso de auditora, trabajando en situaciones prcticas, en un contexto de empresa. Presentaciones Individuales. Los estudiantes tendrn oportunidad de hacer breves presentaciones orales y escritas. Evaluacin de Participacin Individual. Los estudiantes sern evaluados segn su participacin en la clase la cual incluye los siguientes aspectos: Hacer preguntas relevantes. Compartir experiencias. Su rol tomado en las actividades grupales. Su desempeo en los juegos de roles. Los informes de entrega.

Emitido el: 07-29-2010 Revisin: 0

Pgina 26 de 29

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
2. REPORTE DEL ALUMNO RESULTADOS CONCLUSIONES

Emitido el: 07-29-2010 Revisin: 0

Pgina 27 de 29

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 3.2 Elaborar un instrumento para la recopilacin de la informacin en un proceso de auditora bajo la metodologa de la norma ISO 19011:2002 Directrices para la Auditora interna de los SGC.
3. BIBLIOGRAFIA Y REFERENCIAS Fitzgeral, Jerry. Controles internos para Sistemas de Computacin. Ed. Limusa Wiley. Mario Piattini Velthuis. Auditoria de Tecnologas y Sistemas de Informacin. Alfaomega - Rama. Jose Antonio Echenique Garca. Auditora en informtica 2 Edicin. Mac Graw Hill. ISO/IEC 20000 Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin. AENOR Ediciones. Enrique Hernndez Hernndez. Auditoria informtica Un enfoque metodolgico. CESCSA. ISO/IEC 27001:2005 Sistema de Gestin de Seguridad de la Informacin: Requisitos. ISO 20000-1:2005 Gestin del Servicio Parte 1: Especificaciones. ISO 19011:202 Directrices para la Auditoria de los Sistemas de Gestin de Calidad y Ambiental.

Emitido el: 07-29-2010 Revisin: 0

Pgina 28 de 29

También podría gustarte