OBJETIVOS Y ALCANCE DE LA AUDITORIA:

Objetivos

Alcance:

a) Evaluar los métodos de acceso, seguridad y salvaguarda de los

activos informáticos del área de sistemas.
Por la importancia que representa la pérdida de información para una
organización, con esta auditoría se pretende verificar que en se cuente con
planes y programas de prevención contra contingencias en el
funcionamiento de los sistemas, información y datos de la empresa; planes
contra contingencias para seguridad y protección de los programas; y para
la prevención y oportuna erradicación de virus informáticos.

b) Evaluar la configuración física del área de sistemas de la empresa.

Objetivo que pretende determinar la existencia de una configuración y
adecuada ubicación de las áreas físicas del centro de cómputo en relación
con aspectos como el aire acondicionado, iluminación, instalaciones y todo
componente físico necesario para el bienestar y comodidad de los usuarios
del sistema, tanto del departamento informático como de los demás
departamentos de la empresa que utilicen los sistemas.
c) Evaluar la seguridad de la información generada por la empresa.

Para minimizar los riesgos de fuga de información importante de la

empresa, verificando la utilización de controles de seguridad tales como la
realización de backups internos y externos, acceso a puertos de USB,
seguridad y restricción de equipo portátil, acceso restringido a internet y
cualquier otro control utilizado en la empresa para el resguardo de la
información procesada de la misma.

d) Evaluar la calidad de la información.

Determinar la Calidad de la Información, validando que la empresa cuente
con Licencias Originales del Software; entiéndase Office, Antivirus y
Windows, que garanticen la fidelidad, Seguridad, Confidencialidad e
Integridad.
FECHAS CLAVE DE LA AUDITORÍA

Fechas clave Fecha

Visita preliminar
Visita Final
Elaboración del Informe
Entrega de Informe

3. DOCUMENTACIÓN DE VISITA PRELIMINAR (OTROS TEMAS)

Origen de la auditoría:

4. ASIGNACIÓN DEL EQUIPO DE AUDITORÍA

Nombre Nivel Experiencia

COMUNICACIÓN CON EL CLIENTE

Personal del Cliente al Tema Forma de

que va Dirigido
Principal Comunicación Oportunidad
5. COMPRENDER LA ENTIDAD Y SU AMBIENTE

Al realizar un Compromiso de Auditoría, debemos tener y obtener una

comprensión de la entidad y su ambiente suficiente para permitirnos identificar y
comprender los eventos, transacciones y prácticas que, a nuestro juicio, puedan
tener un efecto significativo en el Compromiso de Auditoría en su conjunto.

Datos Generales de la empresa:

6. COMPRENDER EL AMBIENTE TI

VISTA GENERAL DE LOS SISTEMAS DE INFORMACIÓN

Ambiente TI: Las políticas y procedimientos que la Entidad implementa y la

infraestructura TI (hardware, sistemas operativos, etc.) y el software de aplicación
que usa para soportar las operaciones de negocios y lograr las estrategias de
negocios.

Los dos amplios grupos de actividades de control de los sistemas de información

son controles de aplicación, que aplican al procesamiento de aplicaciones
individuales, y los controles generales TI, que son políticas y procedimientos que
se relacionan con muchas aplicaciones y soportan el funcionamiento efectivo de
los controles de aplicación ayudando a asegurar la apropiada operación continua
de los sistemas de información.

Áreas de Controles Generales TI

Los Controles Generales TI son políticas y procedimientos que se relacionan con
muchas aplicaciones y soportan el funcionamiento efectivo de los controles de
aplicación.

Los Controles Generales TI que mantienen la integridad de la información y la

seguridad de los datos comúnmente incluyen controles sobre lo siguiente:

• Centro de datos y operaciones de red

 • Adquisición, cambio y mantenimiento del software de sistemas

• Cambio en el programa

• Seguridad de acceso

• Adquisición, desarrollo y mantenimiento del sistema de aplicación

TI también plantea riesgos específicos para el control interno de una entidad

Organización y Personal de los Sistemas de Información

¿Está centralizado o descentralizado el enfoque de la Entidad Centralizado

acerca de los sistemas de información y las actividades de soporte
relacionadas o es una combinación?

Para los Sistemas de Información observados arriba, mencionar los

departamentos relevantes, el número aproximado de personal en cada
departamento y los nombres y puestos del personal clave.

Ambiente TI Departamento / No. Aprox. Nombre y Puestos

Unidad de Negocios de del Personal Clave
Personal

COMPRENDER LAS ÁREAS DE LOS CONTROLES GENERALES TI

Los Controles Generales TI son políticas y procedimientos que se relacionan con

muchas aplicaciones y soportan el funcionamiento efectivo de los controles de
aplicación. Estos aplican a ambientes mainframe, miniframe y usuario final.

CUESTIONARIO

USUARIO 1

Cuestionario sobre la protección y respaldo de archivos e información.

Considera que la protección del equipo que utiliza es el adecuado.

SI √ NO

La custodia y salvaguarda del equipo de computo por parte de la entidad es

oportuno?

SI √ NO

La entidad facilita los medios magnéticos para archivar la información procesada.

SI √ NO

Se realiza un back-up al final del día, de la información procesada.

SI NO √

La entidad le proporciona contraseña para ingresar al sistema.

SI √ NO

Se revisa constantemente la batería UPS de cada una de las computadoras?

SI √ NO
Después de guardar o grabar la información procesada la almacena en un lugar
fresco y alejado de la humedad.

SI NO
√

Cuando utiliza un medio magnético lo revisa antes de abrirlo en el sistema para

estar seguro de que no este infectado con virus?

SI √ NO

El manual de procedimientos para utilización del equipo de computo es de

utilidad?

SI √ NO

Recibe instrucciones de su superior inmediato de la información que debe guardar

en medios magnéticos?

SI √ NO

Los archivos y documentos que usted graba permanecen a la vista de todos y

cualquiera puede utilizarlos?

SI √ NO √

La información almacenada en discos magnéticos es vulnerable a ser modificada?

√
 SI NO

Existen normas y disciplina de protección de la confidencialidad de los datos o

información de la empresa?

SI √ NO

El sistema presenta fallos o errores con frecuencia?

SI NO √

Se encuentra la información debidamente respaldada por back-ups o copias a

manera que este disponible para trabajar con ellas al momento de una perdida de
datos?

SI √ NO

Los back-ups se encuentran debidamente custodiados?

SI √ NO

USUARIO 1

Cuestionario sobre la evaluación de los sistemas, equipos, instalaciones y

componentes.
Las instalaciones donde se resguarda el equipo de cómputo son adecuados para
el mismo?

SI √ NO

El equipo de cómputo con que se cuenta actualmente en la empresa es suficiente

para la información que se procesa?

SI NO √

El lugar que ocupa el departamento de cómputo dentro de la empresa es el

idóneo?

SI √ NO

Las instalaciones y conexiones eléctricas para el equipo de cómputo es efectivo y

seguro?

SI √ NO

Todo el equipo de cómputo cuenta con los programas necesarios para el buen
funcionamiento y desempeño de las labores diarias?

SI √ NO

Los servidores se encuentran en un lugar frío y restringido al personal y visitas.

SI √ NO
CUESTIONARIO DE SEGURIDAD DE INFORMACIÓN

La información almacenada en discos magnéticos es vulnerable a ser modificada?

SI NO

El sistema presenta fallos o errores frecuentemente?

SI NO

Los back up se encuentran debidamente custodiados?

SI NO

Los archivos y documentos que usted graba permanecen a la vista de todos y

cualquiera puede utilizarlos?

CUESTIONARIO CALIDAD DE LA INFORMACIÓN

La entidad facilita los medios magnéticos para archivar la información procesada?

SI NO

Se realizan back up al final del día, de la información procesada?

SI NO

Después de guardar o grabar la información procesada la almacena en un lugar

fresco y alejado de la humedad?

SI NO

Las instalaciones donde se resguarda el equipo de cómputo son adecuados para

el mismo?

SI NO
Los servidores se encuentran en un lugar frio y restringido al personal y visitas?
SI NO

I. PUNTOS A EVALUAR
Para poder alcanzar los objetivos de la auditoría se cubrirán las áreas descritas a
continuación por cada punto a evaluar.

Organización del Centro:

 Diagrama de configuración del sistema por red.

 Control de los paquetes del software
 Existencia de reporte de todos los programas y aplicaciones en uso.

Sistemas y Medidas de Seguridad:

 Uso de gafetes de identificación

 Vigilancia y Alarmas
 Entrenamiento de personal para atender emergencias

Control de Calidad:

 Cotejo de totales entrada ver sus salidas

 Estadísticas por aplicación de errores detectados
 Normas sobre la calidad de impresión y exactitud de los datos

1. Controles Generales

A continuación se detallan las actividades de control de Havells Sylvania

Guatemala, S.A. las cuales serán cubiertas por el equipo de auditoría en sistemas:
 INSERTAR MATRIZA DE
RIESGOS

PROGRAMA DE AUDITORIA)
Resumen del Plan de Pruebas de Controles para Ambientes TI

Ambiente Área de los Descripción de los procedimientos Referencia

TI Controles planeados de pruebas de controles
Generales TI que se van a realizar para D&&I y al
final del período

ASIGNACION DE RECURSOS

Humanos

Personal especializado

Auditores:
Personal de la empresa

Departamento de Tecnología e Información

Tecnológicos, físicos y materiales

Computadoras

Impresoras

Scanner

Fotocopiadoras

USB`s

Cartuchos de tinta color - blanco y negro

Físicos

Escritorios

Mesas de estudio

Salón de clases para reuniones de planeación y ejecución

Materiales

Hojas de papel bond

Bolígrafos, lápices, borradores

USB`s y CD`s

Marcadores, resaltadores
 Engrapadoras

Libro de Auditoria en Sistemas computacionales, Muñoz Razo,

Libro de Metodología COBIT

Financieros

Para cubrir gastos en el transcurso de nuestra auditoria de sistemas, cada integrante aportará la
cantidad de cien quetzales (Q.100.00).

PRESUPUESTO DE AUDITORIA

Cantidad Humanos Informáticos Materiales Costo Costo Total

y y de Unitario
Tecnológicos consumo

11

11

11

300
10

TOTAL PRESUPUESTO DE GASTOS