LAN DE AUDITORIA

1.0 METODOLOGIA

La metodología de trabajo para la evaluación del Área de Informática se llevarán a cabo las
siguientes actividades:
● Solicitud de los estándares utilizados y programa de trabajo
● Aplicación del cuestionario al personal
● Análisis y evaluación de la información
● Elaboración del informe
.
Para la evaluación de los sistemas tanto en operación como en desarrollo se llevarán a cabo las
siguientes actividades:
● Solicitud del análisis y diseño de los sistemas en desarrollo y en operación.
● Solicitud de la documentación de los sistemas en operación (manuales técnicos,
de operación del usuario, diseño de archivos y programas).
● Recopilación y análisis de los procedimientos administrativos de cada sistema (flujo
de información, formatos, reportes y consultas).
● Análisis de llaves, redundancia, control, seguridad, confidencial y respaldos.
● Análisis del avance de los proyectos en desarrollo, prioridades y personal asignado.
● Entrevista con los usuarios de los sistemas.
● Evaluación directa de la información obtenida contra las necesidades y requerimientos del
usuario.
● Análisis objetivo de la estructuración y flujo de los programas.
● Análisis y evaluación de la información recopilada.
● Elaboración del informe
.
Para la evaluación de los equipos se llevarán a cabo las siguientes actividades:
● Solicitud de los estudios de viabilidad y características de los equipos actuales,
● Proyectos sobre ampliación de equipo, su actualización.
● Solicitud de contratos de compra y mantenimientos de equipo y sistemas.
● Solicitud de contratos y convenios de respaldo.
● Solicitud de contratos de Seguros.
● Elaboración de un cuestionario sobre la utilización de equipos, memoria, archivos, unidades
de entrada/salida, equipos periféricos y su seguridad.
● Visita técnica de comprobación de seguridad física y lógica de la instalaciones de
la Dirección de Informática.
● Evaluación técnica del sistema electrónico y ambiental de los equipos y del local utilizado.
● Evaluación de la información recopilada, obtención de gráficas, porcentaje de utilización de
los equipos y su justificación.
● Elaboración y presentación del informe final ( conclusiones y recomendaciones).

2.0 JUSTIFICACION (ejemplo)

● Aumento considerable e injustificado del presupuesto del PAD (Departamento de
Procesamiento de Datos).
● Desconocimiento en el nivel directivo de la situación informática de la empresa
● Falta total o parcial de seguridades lógicas y fisicas que garanticen la integridad
del personal, equipos e información.
● Descubrimiento de fraudes efectuados con el computador.
 ● Falta de una planificación informática.
● Organización que no funciona correctamente, falta de políticas, objetivos, normas,
metodología, asignación de tareas y adecuada administración del Recurso Humano.
● Descontento general de los usuarios por incumplimiento de plazos y mala calidad de
los resultados.
● Falta de documentación o documentación incompleta de sistemas que revela la dificultad de
efectuar el mantenimiento de los sistemas en producción.

3.0MOTIVO O NECESIDAD DE UNA AUDITORIA INfOFRMATICA: (ejemplo)

3.1 Síntomas de descoordinación y desorganización:

● No coinciden los objetivos del área de Informática y de la propia Institución.
● Los estándares de productividad se desvían sensiblemente de los promedios conseguidos
habitualmente. Puede ocurrir con algún cambio masivo de personal, o en una
reestructuración fallida de alguna área o en la modificación de alguna norma importante

3.2 Síntomas de mala imagen e insatisfacción de los usuarios:

● No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de software en
los terminales de usuario, resfrecamiento de paneles, variación de los ficheros que deben
ponerse diariamente a su disposición, etc.
● No se reparan las averías de hardware ni se resuelven incidencias en plazos razonables.
El usuario percibe que está abandonado y desatendido permanentemente.
● No se cumplen en todos los casos los plazos de entrega de resultados periódicos.
Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario,
en especial en los resultados de Aplicaciones críticas y sensibles.

3.3 Síntomas de debilidades económicofinanciero:

● Incremento desmesurado de costes.
● Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente
convencida de tal necesidad y decide contrastar opiniones).
● Desviaciones Presupuestarias significativas.
● Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo
de Proyectos y al órgano que realizó la petición).

3.4 Síntomas de Inseguridad: Evaluación de nivel de riesgos

● Seguridad Lógica
● Seguridad Física
● Confidencialidad
● Los datos son propiedad inicialmente de la organización que los genera. Los datos
de personal son especialmente confidenciales.
 Instructivo general para la auditorias
(Este instructivo es un ejemplo)
(Debe completarse en función de la empresa estudiada)

Las auditorias a realizar son:

● Física
● Ofimática
● Dirección
● Explotación
● Desarrollo
● Mantenimiento
● Base de Datos
● Calidad
● Seguridad
● Redes
● Aplicación

Para realizar auditorias se mantiene la siguiente estructura de información por cada tipo de
auditoria:
1. Alcance de la auditoria
2. Objetivos
3. Encuesta
4. Análisis de la encuesta
5. Listado de verificación
6. Informe de auditoria
1. Objetivos
2. Alcance de la auditoria
3. Programación de fechas
PLANEAMIENTO
EJECUCION
INFORME
4. Hallazgos Potenciales
5. Conclusiones
6. Recomendaciones
7. Identificación y firma del Auditor
<Apellidos y nombre, Cargo en el equipo de auditoria, correo electrónico>

El informe final comprende:

● Identificación del informe
● Identificación del Cliente
● Identificación de la Entidad Auditada
● Resumen de Auditoria
● Conclusión
● ANEXOS
○ Encuesta
○ Consejos
 AUDITORIA FISICA

1. Alcance de la Auditoria
● Organización y cualificación del personal de Seguridad.
● Remodelación del ambiente de trabajo.
● Planes y procedimientos.
● Sistemas técnicos de Seguridad y Protección.

2. Objetivos
● Revisión de las políticas y Normas sobre seguridad Física.
● Verificar la seguridad de personal, datos, hardware, software e instalaciones
● Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático

3. Encuesta:
PREGUNTAS SI NO NA
1. ¿Se han adoptado medidas de seguridad en el departamento de sistemas de
información?
2. ¿Existe una persona responsable de la seguridad?
3. ¿Se ha dividido la responsabilidad para tener un mejor control de la seguridad?
4. ¿Existe personal de vigilancia en la institución?
5. ¿Existe una clara definición de funciones entre los puestos clave?
6. ¿Se investiga a los vigilantes cuando son contratados directamente?
7. ¿Se controla el trabajo fuera de horario?
8. ¿Se registran las acciones de los operadores para evitar que realicen algunas
pruebas que puedan dañar los sistemas?
9. ¿Existe vigilancia en el departamento de cómputo las 24 horas?
10. ¿Se permite el acceso a los archivos y programas a los programadores, analistas y
operadores?
11. ¿Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien
pretenda entrar sin autorización?
12. ¿El centro de cómputo tiene salida al exterior?
13. ¿Son controladas las visitas y demostraciones en el centro de cómputo?
14. ¿Se registra el acceso al departamento de cómputo de personas ajenas a la
dirección de informática?
15. ¿Se vigilan la moral y comportamiento del personal de la dirección de
informática con el fin de mantener una buena imagen y evitar un posible fraude?
16. ¿Se ha adiestrado el personal en el manejo de los extintores?
17. ¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores?
18. ¿Si es que existen extintores automáticos son activador por detectores
automáticos de fuego?
19. ¿Los interruptores de energía están debidamente protegidos, etiquetados y sin
obstáculos para alcanzarlos?
20. ¿Saben que hacer los operadores del departamento de cómputo, en caso de que
ocurra una emergencia ocasionado por fuego?
21. ¿El personal ajeno a operación sabe que hacer en el caso de una emergencia
(incendio)?
22. ¿Existe salida de emergencia?
23. ¿Se revisa frecuentemente que no esté abierta o descompuesta la cerradura de
esta puerta y de las ventanas, si es que existen?
24. ¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar
las instalaciones en caso de emergencia?
25. ¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en el
interior del departamento de cómputo para evitar daños al
equipo?
26. ¿Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe?
27. ¿Se cuenta con copias de los archivos en lugar distinto al de la computadora?
28. ¿Se tienen establecidos procedimientos de actualización a estas copias?
29. ¿Existe departamento de auditoria interna en la institución?
30. ¿Este departamento de auditoria interna conoce todos los aspectos de los
sistemas?
31. ¿Se cumplen?
32. ¿Se auditan los sistemas en operación?
33. Una vez efectuadas las modificaciones, ¿se presentan las pruebas a los
interesados?
34. ¿Existe control estricto en las modificaciones?
35. ¿Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado?
36. ¿Si se tienen terminales conectadas, ¿se ha establecido procedimientos de
operación?
37. ¿Se ha establecido que información puede ser accesada y por qué persona?

4. Análisis de la encuesta

% para el SI
% para el NO

5. LISTADO DE VERIFICACIÓN DE AUDITORIA FISICA

Gestión física de seguridad. 100% 80% 60% 40% 20 %

excelente bueno regular mínimo no cumple
Los objetivos de la instalación física de computo
Las características físicas de son seguras de centro
Los componentes físicos de computo
La conexiones de los equipos de las
comunicaciones e instalaciones físicas
La infraestructura es
El equipos es
La distribución de los quipos de computo es

Evaluación de análisis física de cómputo 100% 80% 60% 40% 20 %

excelente bueno regular mínimo no cumple
Evaluación de la existencia y uso de
normas, resolución base legal para el diseño
del centro de computo.
El cumplimiento de los objetivos
fundamentales de la organización para
instalar del centro de cómputo.
La forma de repartir los recursos
informáticos de la organización.
La confiabilidad y seguridades el uso de la
información institucional
La satisfacción de las necesidades de poder
computacional de la organización.
La solución a identificación del centro
de cómputo (apoyó).

Análisis de la delimitación la manera en que 100% 80% 60% 40% 20 %

se cumplen: excelente bueno regular mínimo no cumple
La delimitación espacial, por
las dimensiones físicas.
La delimitación tecnológica, por los
requerimientos y conocimientos
informáticos.

Análisis de la estabilidad y el 100% 80% 60% 40% 20 %

aprovechamiento de los recursos a para excelente bueno regular mínimo no cumple
instalar el centro de computo.
Análisis de la transparencia del trabajo para
los usuarios.
La ubicación del centro de computo
Los requerimientos de seguridad del centro
de computo

Evaluación del diseño según el ámbito 100% 80% 60% 40% 20 %

excelente bueno regular mínimo no cumple
Análisis del ambiente de trabajo
Evaluar el funcionamiento de los equipos
El local para el trabajo es
Los equipos cuentan con ventilación
La iluminación

Análisis de la seguridad física 100% 80% 60% 40% 20 %

excelente bueno regular mínimo no cumple
La seguridad de los equipos.
El estado centro de computo esta en
Los accesos de salida son

6. INFORME DE AUDITORIA
1. Objetivos
● Verificar la estructura de distribución de los equipos.
● Revisar la correcta utilización de los equipos
● Verificar la condición del centro de cómputo.
2. Alcance de la auditoria
Nuestra auditoria, comprende el periodo 2006 y se ha realizado especialmente al Departamento de
centro de cómputo de acuerdo a las normas y demás disposiciones aplicable al efecto.

3. Programación de fechas
PLANEAMIENTO: del 99/99/99 al 99/99/99
EJECUCION : del 99/99/99 al 99/99/99
INFORME : del 99/99/99 al 99/99/99

4. . Hallazgos Potenciales (ejemplo)

● Falta de presupuesto y personal.
● Falta de un local mas amplio
● No existe un calendario de mantenimiento
● Falta de ventilación.
● Faltan salida al exterior
● Existe salidas de emergencia.
5. Conclusiones: (ejemplo)
● Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada
uno de los objetivos contenidos en el programa de auditoria.
● El Departamento de centro de cómputo presenta deficiencias sobre todo en el debido
cumplimiento de normas de seguridad.
6. Recomendaciones (ejemplo)
● Reubicación del local
● Implantación de equipos de ultima generación
● Implantar equipos de ventilación
● Implantar salidas de emergencia.
● Elaborar un calendario de mantenimiento de rutina periódico .
● Capacitar al personal.
7. Identificación y Firma Del Auditor
<Apellidos y nombre, Cargo, correo electrónico>

AUDITORIA DE LA OFIMATICA

1. Alcance de la Auditoria.
● Planes y procedimientos
● Políticas de Mantenimiento
● Inventarios Ofimáticos
● Capacitación del Personal
2. Objetivos de la Auditoria.
Realizar un informe de Auditoria con el objeto de verificar la existencia de
controles preventivos, detectivos y correctivos, así como el cumplimiento de los
mismos por los usuarios.

3. Encuesta

PREGUNTAS SI NO NA
1. ¿Existe un informe técnico en el que se justifique la adquisición del equipo,
software y servicios de computación, incluyendo un estudio costobeneficio?
2. ¿Existe un comité que coordine y se responsabilice de todo el proceso de
adquisición e instalación?
3. ¿Han elaborado un instructivo con procedimientos a seguir para la selección
y adquisición de equipos, programas y servicios computacionales?
4. ¿se cuenta con software de oficina?
5. ¿Se han efectuado las acciones necesarias para una mayor participación de
proveedores?
6. ¿Se ha asegurado un respaldo de mantenimiento y asistencia técnica?
7. ¿El acceso al centro de cómputo cuenta con las seguridades necesarias para
reservar el ingreso al personal autorizado?
8. ¿Se han implantado claves o password para garantizar operación de consola
y equipo central (mainframe), a personal autorizado?
9. ¿Se han formulado políticas respecto a seguridad, privacidad y protección
de las facilidades de procesamiento ante eventos como: incendio, vandalismo,
robo y uso indebido, intentos de violación?
10. ¿Se mantiene un registro permanente (bitácora) de todos los procesos
realizados, dejando constancia de suspensiones o cancelaciones de procesos?
11. ¿Los operadores del equipo central están entrenados para recuperar o
restaurar información en caso de destrucción de archivos?
12. ¿Los backups son mayores de dos (padres e hijos) y se guardan en lugares
seguros y adecuados, preferentemente en bóvedas de bancos?
13. ¿Se han implantado calendarios de operación a fin de establecer
prioridades de proceso?
14. ¿Todas las actividades del Centro de Computo están normadas mediante
manuales, instructivos, normas, reglamentos, etc.?
15. ¿Las instalaciones cuentan con sistema de alarma por presencia de fuego,
humo, así como extintores de incendio, conexiones eléctricas seguras, entre
otras?
16. ¿Se han instalado equipos que protejan la información y los dispositivos
en caso de variación de voltaje como: reguladores de voltaje,
supresores pico, UPS, generadores de energía?
17. ¿Se han contratado pólizas de seguros para proteger la información,
equipos, personal y todo riesgo que se produzca por casos fortuitos o mala
operación?
18. ¿Se han Adquirido equipos de protección como supresores de pico,
reguladores de voltaje y de ser posible UPS previo a la adquisición del
equipo?
19. ¿Si se vence la garantía de mantenimiento del proveedor se contrata
mantenimiento preventivo y correctivo?
20. ¿Se establecen procedimientos para obtención de backups de paquetes y
de archivos de datos?
21. ¿Se hacen revisiones periódicas y sorpresivas del contenido del disco para
verificar la instalación de aplicaciones no relacionadas a la gestión de la
empresa?
22. ¿Se mantiene programas y procedimientos de detección e inmunización de
virus en copias no autorizadas o datos procesados en otros equipos?
23. ¿Se propende a la estandarización del Sistema Operativo, software
utilizado como procesadores de palabras, hojas electrónicas, manejadores de
base de datos y se mantienen actualizadas las versiones y la capacitación sobre
modificaciones incluidas?
24. existen licencias

4. Análisis de la encuesta
% para el SI
% para el NO
5. Listado de verificación (No aplicable)
6. Informe de auditoria
1. Objetivos
● Verificar si el hardware y software se adquieren siempre y cuando tengan la
seguridad de que los sistemas computarizados proporcionaran mayores
beneficios que cualquier otra alternativa.
● Verificar si la selección de equipos y sistemas de computación es adecuada
● Verificar la existencia de un plan de actividades previo a la instalación
● Verificar que los procesos de compra de Tecnología de Información, deben
estar sustentados en Políticas, Procedimientos, Reglamentos y Normatividad
 en General, que aseguren que todo el proceso se realiza en un marco de
legalidad y cumpliendo con las verdaderas necesidades de la organización
para hoy y el futuro, sin caer en omisiones, excesos o incumplimientos.
● Verificar si existen garantías para proteger la integridad de los recursos
informáticos.
● Verificar la utilización adecuada de equipos acorde a planes y objetivos.
2. Alcance de la auditoria (ejemplo)
● Nuestra auditoria, comprende el periodo 2006 y se ha realizado
especialmente al Departamento de centro de cómputo de acuerdo a
las normas y demás disposiciones aplicable al efecto.
● El alcance ha de definir con precisión el entorno y los límites en que va a
desarrollarse la auditoria Ofimática, se complementa con los objetivos
de ésta.
3. Programación de fechas
PLANEAMIENTO: del
99/99/99 al 99/99/99
EJECUCION : del 99/99/99
al 99/99/99
INFORME : del 99/99/99 al 99/99/99

4. Hallazgos Potenciales . (ejemplo)

● Falta de licencias de software.
● Falta de software de aplicaciones actualizados
● No existe un calendario de mantenimiento ofimatico.
● Faltan material ofimática.
● Carece de seguridad en Acceso restringido de los equipos ofimaticos y software.

5. Conclusiones: (ejemplo)
● Como resultado de la Auditoria podemos manifestar que hemos cumplido
con evaluar cada uno de los objetivos contenidos en el programa de
auditoria.
● El Departamento de centro de cómputo presenta deficiencias sobre el debido
cumplimiento de Normas de seguridad.
● La escasez de personal debidamente capacitado.
● Cabe destacar que la sistema ofimatico pudiera servir de gran apoyo a la
organización, el cual no es explotado en su totalidad por falta de
personal capacitado.
6. Recomendaciones (ejemplo)
● Se recomienda contar con sellos y firmas digitales
● Un de manual de funciones para cada puesto de trabajo dentro del área.
● Reactualizacion de datos.
● Implantación de equipos de ultima generación
● Elaborar un calendario de mantenimiento de rutina periódico .
● Capacitar al personal.
7. Identificación y Firma Del Auditor
<Apellidos y nombres, cargo, correo electrónico>
 INFORME FINAL
1. Identificación del informe
2. Identificación del Cliente
3. Identificación de la Entidad Auditada
4. RESUMEN DE AUDITORIA
Tipo de auditoria % SI % NO
Física
Ofimática