CUESTIONARIO DE CONTROL INTERNO Y PROGRAMAS DE AUDITORIA

>> ORGANIZACIN <<

ACONTROL SI NO N/A REFERENCIA

1 2 3 4

Existe en la institucin un organigrama general? Existe un organigrama en el Departamento de Sistemas con una adecuada separacin de funciones? Existen manuales de descripcin de funciones y puestos claramente definidos? Existen polticas y procedimientos definidos para el reclutamiento, la seleccin y contratacin del personal de Sistemas? El personal clave o de alto riesgo del Departamento de Sistemas est incluido en alguna pliza de fidelidad? Existe un Comit de Informtica que coordine y supervise las actividades de Sistemas de la empresa? Se realizan auditorias al Departamento de Sistemas peridicamente?

x x x x x x x

6 7

>> ADMINISTRACIN <<

BCONTROL SI NO N/A REFERENCIA

11 Existe un plan de capacitacin continuo y adecuado para el personal del Departamento de Sistemas? 12 Se cuentan con polticas definidas para evaluar al personal del Departamento de Sistemas? 13.1 Existe rotacin del personal para las funciones operacionales bsicas del Departamento de Sistemas? 13.2 Existe rotacin del personal para las funciones operacionales bsicas de las aplicaciones automatizadas? 14 Existe un plan previo de vacaciones para el personal del Departamento de Sistemas? 15 Cuenta el Departamento de Sistemas con polticas definidas para la terminacin del contrato de trabajo del personal de Sistemas? 16 Se cuenta con un plan estratgico de Sistemas acorde con los objetivos de la empresa? 17 Existe un programa de actividades a corto, mediano y largo plazo de todas las funciones del Departamento de Sistemas? 18 Existe una adecuada y oportuna supervisin de labores del Departamento de Sistemas? 19 Se cumple con las disposiciones gubernamentales para procesar las operaciones en un sistema automatizado? 20 El software operativo y aplicativo adquirido de proveedores externos cuenta con sus respectivas licencias originales? 21 Existen polticas de las Tecnologas de Informacin y Comunicaciones?

x x x x x x x x x x x

>> DESARROLLO DE APLICACIONES <<

CCONTROL SI NO N/A REFERENCIA

24 25 26 27 28

Existen estndares o guas para el diseo y desarrollo de aplicaciones? (analista) Existen estndares o guas para el diseo y desarrollo de programas? (programador) Existen estndares o guas para elaborar la documentacin tcnica de las aplicaciones? Cada aplicacin tiene documentacin tcnica? Existen procedimiento para asegurar la implantacin de software en el servidor de produccin?

x x x x x x x x x x x x x

29.1 Los Departamentos de origen, usuarios, auditoria y la gerencia, participan en todas las etapas del desarrollo de las aplicaciones? 29.2 Los Departamentos de origen y/o usuario dueos de cada aplicacin, dan la aprobacin final al funcionamiento de la nueva aplicacin? 30 Se cuenta con procedimientos definidos para solicitar y efectuar modificaciones a los programas? 31 Se realizan estudios de factibilidad, (costobeneficio) antes de iniciar el desarrollo o la compra de nuevas aplicaciones? 32 Existe la funcin de control de calidad para los Sistemas de Informacin antes de entrar en operaciones? 33 En el desarrollo de los Sistemas se contemplan las pistas de Auditoria para la posterior auditabilidad de los mismos? 34.1 Los programas y aplicaciones se prueban con datos especialmente diseados para ello? 34.2 Los usuarios participan activamente en las pruebas de los programas y aplicaciones?

34.3

Toda aplicacin o Sistema es probado En Paralelo contra el anterior proceso, antes de su puesta en operaciones formalmente? La institucin efecta contratos con entidades externas para realizar actividades de administracin, procesamiento y resguardo de las operaciones d informacin, as como el desarrollo de sus sistemas, servicios de consultara, patentes y otros servicios relacionados con las TIC? Estn adecuadamente separados los recursos para desarrollo, prueba y produccin?

35

36

>> OPERACIONES <<

CONTROL DSI NO N/A REFERENCIA

37 Estn diseados en la red de seguridad, los diferentes grupos o categoras del personal involucrado en las aplicaciones? 38 Cuenta el Departamento de Sistemas con hardware interno o externo similar o compatible para ser utilizado en caso de emergencias? 39.1 Existe un adecuado mantenimiento preventivo de hardware? 39.2 Existe un control y anlisis del desempeo del hardware para proyectar y presupuestar a futuro cambios de equipo? 40 Existe un plan de contingencia para situaciones de emergencias? 41.1 El uso de Internet es controlado adecuadamente?
41.2 Se cuenta con procedimientos de seguridad para

x x x x x x x x x x x

evitar el contagio de virus por Internet?

42.1 El Departamento de Sistemas en ocasiones inicia o

autoriza transacciones u operaciones? 42.2 El Departamento de Sistemas en ocasiones custodia o maneja documentos, formularios de recibos y/o cheques en blanco? 43 La institucin brinda servicios de Banca Electrnica? 44 La institucin tiene sus oficinas principales en un pas del exterior?

>> PROCESAMIENTO <<

ECONTROL Existen manuales operativos (trascripcin de datos, de 45 operacin, de biblioteca, de usuario) para cada aplicacin del computador? 46 Los formularios de la informacin fuente estn diseados eficientemente para evitar interpretacin y/o trascripcin errnea de los datos? 47.1 En el punto de preparacin, registro o envo de los datos, todas las transacciones son controladas por medio de listados o totales de control adecuados? 47.2 Existe la funcin de control de procesos y de datos, para verificar y revisar los datos de entrada, procesos y salidas o resultados en el Departamento dueo de la aplicacin? 47.3 Los resultados finales de los procesos se comprueban adicionalmente en forma automtica o manual contra archivos o registros externos relacionados? 47.4 Existen procedimientos definidos para la correccin y retroalimentacin de transacciones no registradas por tener errores? 48 Existen rutinas de validacin de inconsistencias en los programas de captacin de datos y/o programas de inconsistencias especialmente diseados para tal efecto? 49 El personal de trascripcin y operacin est capacitado para identificar fallas de funcionamiento del computador? 50 Son marcados o sellados los documentos fuentes utilizados en la captacin de datos para protegerlos contra duplicados o reentradas? 51.1 Son los reportes de salidas que contienen informacin confidencial y sensible, mantenida y manejada con la prudencia que corresponde? 51.2 La informacin confidencial y sensible mantenida en los archivos magnticos, es restringida y autorizada a los funcionarios y personal de nivel adecuado? 52 Los archivos de datos y programas para procesamiento estn adecuadamente administrados e identificados tanto interna como externamente? SI NO N/A REFERENCIA

x x x x x x x x x x x x

53 Los operadores del computador y/o los operadores de las aplicaciones en el Departamento de origen poseen conocimientos de programacin de computadoras? 54 Existe adecuada segregacin de procesamiento de las aplicaciones? tareas en el

x x

>> SEGURIDADES LGICAS <<

F55.1 Existe

CONTROL

SI

NO

N/A

REFERENCIA

un procedimiento eficiente para el otorgamiento y administracin de password o contrasea? 55.2 Existe un procedimiento eficiente para la concientizacin en el personal sobre la responsabilidad, uso y manejo de contraseas? 56.1 Se han designado a algunas personas para llevar a cabo las funciones de administracin de seguridad de los sistemas?
56.2 Se investiga en el Departamento de Sistemas y por

x x x x x x

parte de los dueos de la aplicacin, las violaciones del acceso al computador y a las aplicaciones?
56.3 Existe por parte de la jefatura de Sistemas un

anlisis sobre el acceso de los usuarios al computador y a las aplicaciones? 57 Existen procedimientos de control que protejan la informacin que es transmitida entre el computador central o servidor y las computadoras y/o terminales remotas? 58 Cuenta la empresa con procedimientos y programas de antivirus?

59 Cuenta el centro de Cmputo con suficientes UPS u otros sistemas alternativos que garanticen el suministro de energa por el tiempo suficiente para la proteccin oportuna de archivos o programas? 60 Existen adecuados procedimientos de control para el otorgamiento de terceros a los sistemas de informacin?

61

Existe un Comit de Gestin de la Seguridad de la Informacin u otro rgano interno con similares funciones Existen polticas sobre el uso de criptogrficas? medidas

x x

62

>> SEGURIDAD FSICA <<

GCONTROL SI NO N/A REFERENCIA

63 La localizacin y distribucin fsica del Departamento de Sistemas es la adecuada? 64.1 El acceso al centro de Cmputo es permitido solamente al personal del Departamento? 64.2 Existen rtulos visibles que indiquen que el Departamento de Sistemas y en especial el centro de Cmputo es rea restringida? 64.3 El personal del Departamento de Sistemas est debidamente identificado? 65 Existe pliza de seguros para proteger econmicamente la inversin del software y hardware en caso de siniestro? 66 Existen controles ambientales para proteger contra las condiciones de humedad, temperatura y otras condiciones ambientales que pudieran afectar al centro de Cmputo? 67 Existen extintores contra el fuego en el Departamento de Sistemas? 68 Cuenta la empresa con una planta de energa elctrica que la provea de energa en caso de ausencia de la misma? 69.1 Cuenta el centro de Cmputo con su propio panel de control de breaker? (interruptores) 69.2 Los toma corrientes estn debidamente identificados y protegidos? 69.3 El sistema de cableado y cables estn debidamente identificados y protegidos contra daos y/o violaciones a la informacin? 70 Existen restricciones fsicas que impidan el fcil acceso de personas no autorizadas a las terminales o computadoras y adecuados procedimientos para garantizar la correcta y segura salida y retorno del hardware y software de la organizacin 71 Cuenta la institucin con loockers para proteger los Hub Routers y/o Switch?

x x x x x x x x x x x x

72 El Servidor de Produccin o de Aplicaciones se encuentra separado fsicamente de los dems servidores? 73 Existen disposiciones de seguridad para recursos informticos instalados fuera de la organizacin?

>> ALMACENAMIENTO <<

HCONTROL SI NO N/A REFERENCIA
76.1 El Departamento de Sistemas cuenta con una

biblioteca de archivos y programas?

76.2 Existen procedimientos definidos para el uso de

x x x

archivos de datos, programas y aplicaciones de la biblioteca? 77 Cuenta el centro de Cmputo con archivos de respaldo externos (back up) de programas y de datos ubicados fuera de las instalaciones?

ADMINISTRACIN Y OPERACIN DE REDES <<

ICONTROL SI NO N/A REFERENCIA

y polticas para la 78 Existen estndares administracin de la Red? 79 Existen procedimientos establecidos para la eficiente operacin de la Red? 80 Existen procedimientos que verifiquen la seguridad e integridad de la Red? 81 Existe una poltica para el personal que usa recursos de comunicacin de voz, facsmile y video? 82 El funcionamiento de la Red es eficiente? (encuesta a usuarios)

x x x x x

ADMINISTRACIN Y OPERACIN DE LA BASE DE DATOS <<

JCONTROL SI NO N/A REFERENCIA

85 Existen procedimientos para el desempeo de las funciones del Administrador de la Base de Datos? 86 Existen procedimientos para la seguridad de la Base de Datos?

x x

>> CALIDAD DE SERVICIO DEL DEPARTAMENTO DE SISTEMAS <<

KCONTROL 89 Cul es el grado de satisfaccin de los usuarios de los servicios de Informtica que recibe del Departamento de Sistemas? (Encuesta a usuarios del Departamento de Sistemas) SI NO N/A REFERENCIA 8/10