UNIVERSIDAD ESTATAL A DISTANCIA ESCUELA CIENCIAS DE LA ADMINISTRACIN

Curso: AUDITORA INFORMTICA I Cdigo: 434

Trabajo Evaluacin del Control Interno Informtico en la Asociacin Administradora del Acueducto Rural de La Virgen

Elaborado por: Ronald Salmern Seidy Araya Jessica Solano Centro Universitario: San Carlos y Cartago 24 de Abril, 11

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

Introduccin

La auditoria informtica es un rea o disciplina que actualmente en muchas empresas costarricenses sean pblicas o privadas no se prctica. Prueba de ello podemos predecir el impacto que provocara la instalacin de sistemas de informacin, administracin de recursos y modificacin de procedimientos empleados en las empresas que no cuentan con un departamento destinado para enfrentar tales retos. En general, la poca formacin informtica existente en las empresas no les permite percatarse de la importancia de la auditoria informtica y menos incorporarla en muchos procesos para desarrollar proyectos. Es indispensable reconocer la necesidad de la auditoria como requisito para enfrentar la competitividad de los mercados y as lograr mayor xito a travs de ella. A continuacin presentamos el proyecto para aumentar la visin que tenemos acerca del desempeo de la empresa costarricense por medio de la auditoria informtica.

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

San Jos, Costa Rica 24 de abril del 2010

Mauricio Solano Profesor Auditoria Informtica I Universidad Estatal a Distancia Estimado Seor: En atencin al programa de evaluacin del curso de Auditora Informtica I, donde se solicita realizar un trabajo prctico de auditora, mismo que evaluar el Control Interno Informtico a la Gestin Informtica de La Asociacin Administradora del Acueducto Rural de La Virgen de Sarapiqu, (ASADA LA VIRGEN), remitimos el respectivo Informe Final del Resultados, especficamente en cuanto a darle una opinin tcnica del estado de la Gestin Informtica y su administracin dentro de sta institucin. En el presente informe, encontrar el dictamen y las conclusiones a las cuales se llegaron despus de la aplicacin de las tcnicas y procedimientos de auditora de sistemas de tipo integral. Agradecemos su atencin,

_________________ Ronald Salmern

___________________ Seidy Araya

Formatted: Left

______________________ Jessica Solano

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

I. MARCO TERICO Concepto de Auditoria: Es la revisin independiente de alguna o algunas actividades, funciones especficas, resultados u operaciones de una entidad administrativa; realizada por un profesional de la auditora, con el propsito de evaluar su correcta realizacin y con base en ese anlisis, poder emitir una opinin autorizada sobre la razonabilidad de sus resultados y el cumplimiento de sus operaciones. 1 La funcin auditora debe ser absolutamente independiente; no tiene carcter ejecutivo, ni son vinculantes sus conclusiones. Queda a cargo de la empresa tomar las decisiones pertinentes. La auditora contiene elementos de anlisis, de verificacin y de exposicin de debilidades y disfunciones. Auditora en Informtica La auditora en informtica es la revisin y la evaluacin de los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones. La auditora en informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin. La auditora en informtica es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo (informtica, organizacin de centros de informacin, hardware y software).

Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed Field Code Changed

Carlos Muoz Razo, Auditora en Sistemas Computacionales. ( pg. 11)

Field Code Changed

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

Caractersticas de la auditora informtica. La informacin de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informticas, materia de la que se ocupa la Auditora de Inversin Informtica. Del mismo modo, los Sistemas Informticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditora de Seguridad Informtica en general, o a la auditora de Seguridad de alguna de sus reas, como pudieran ser Desarrollo o Tcnica de Sistemas. Cuando se producen cambios estructurales en la Informtica, se reorganiza de alguna forma su funcin: se est en el campo de la Auditora de Organizacin Informtica. Estos tres tipos de auditoras engloban a las actividades auditoras que se realizan en una auditora parcial. De otra manera: cuando se realiza un a auditoria del rea de Desarrollo de Proyectos de la Informtica de una empresa, es porque en ese Desarrollo existen, adems de ineficiencias, debilidades de organizacin, o de inversiones, o de seguridad, o alguna mezcla de ellas. La auditora de sistemas es fundamental para garantizar el correcto funcionamiento de los Sistemas de Informacin al proporcionar los controles necesarios que permiten garantizar la segurida d, integridad, disponibilidad y confiabilidad de los mismos. 2 Objetivos de la auditoria informtica Los principales objetivos que constituyen a la auditoria Informtica son el control de la funcin informtica, el anlisis de la eficiencia de los Sistemas Informticos que comporta, la verificacin del cumplimiento de la Normativa general de la empresa en este mbito y la revisin de la eficaz gestin de los recursos materiales y humanos informticos. 3

Field Code Changed Field Code Changed

Field Code Changed

Field Code Changed

Field Code Changed

2
3

Rivas Gonzalo Alonso, 1988 Carlos Muoz Razo, Auditora en Sistemas Computacionales.

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

Estos objetivos son: Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin. Seguridad del personal, los datos, el hardware, el software y las instalaciones. Minimizar existencias de riesgos en el uso de Tecnologa de informacin. Conocer la situacin actual del rea informtica para lograr los objetivos. Apoyo de funcin informtica a las metas y objetivos de la organizacin. Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico. Incrementar la satisfaccin de los usuarios de los sistemas informticos. Capacitacin y educacin sobre controles en los Sistemas de Informacin. Buscar una mejor relacin costo-beneficio de los sistemas automticos. Decisiones de inversin y gastos innecesarios. Que el procesamiento de datos cumpla con las normas y procedimientos institucionales y legales vigentes. Que existan procedimientos adecuados para la seleccin, uso y resguardo de los recursos informticos de la organizacin. Que la consistencia, confiabilidad y seguridad de los datos sean suficientes. Que est asegurada la adecuada y eficaz operacin de los sistemas informticos de la organizacin. 4

Roberto Gmez Lpez, Generalidades en la Auditora

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

Alcance de la Auditora Informtica El alcance ha de definir con precisin el entorno y los lmites en que va a desarrollarse la auditora informtica, se complementa con los objetivos de sta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cules materias fronterizas han sido omitidas. Ejemplo: Se sometern los registros grabados a un control de integridad exhaustivo*? Se comprobar que los controles de validacin de errores son adecuados y suficientes*? La indefinicin de los alcances de la auditora compromete el xito de la misma. Auditora de la Seguridad informtica: La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad lgica. La seguridad fsica se refiere a la proteccin del Hardware y de los s oportes de datos, as como de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc. La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la informacin. Auditora en sistemas de Redes : Es la revisin exhaustiva, especfica y especializada que se realiza a los sistemas de redes de una empresa, considerando en la evaluacin los tipos de redes, arquitectura, topologa, sus protocolos de comunicacin, las conexiones, accesos, privilegios, administracin y dems aspectos que repercuten en su instalacin, funcionamiento y aprovechamiento. Es tambin la revisin del software institucional, de los recursos informticos e informacin de las operaciones, actividades y funciones que permiten compartir las bases de datos, instalaciones, software y hardware de un sistema. 5

Field Code Changed

Field Code Changed

Field Code Changed

Carlos Muoz Razo, Auditora en Sistemas Computacionales

[Seleccionar fecha]

S.A.S.
II.

Auditora en Sistemas S. A.

PROCESO DE AUDITORIA Evaluacin del Control Interno Informtico Asociacin Administradora de Acueducto Rural de La Virgen de Sarapiqu.

Antecedentes de la organizacin: La empresa elegida para desarrollar este proyecto es el Acueducto Rural de La Virgen de Sarapiqu en la cual laboran actualmente diecisiete empleados distribuidos en distintas reas. Hoy en da la organizacin est destinada a la atencin del pblico en general en el rea de Mantenimiento y Servicios de Agua Potable para consumo humano, que cubren 92000 metros de extensin en la zona. Adems efecta capacitaciones para empleados y realiza reuniones de personal peridicamente. Esta institucin se encarga de coordinar con el ente rector Acueductos y Alcantarillados, especficamente con La Unidad Ejecutora de Rurales (UEN de Rurales). La institucin cuenta con diversos departamentos dentro de los cuales podramos mencionar: Servicio al Cliente, Departamento de Cajas, Administracin, Departamento de cobros; Bodega, Departamento de Fontanera y por otro lado existen Contador Externo, supervisores, Ingenieros, maestros de obra. La proyeccin a futuro de la institucin es captar una naciente de 400 lts /seg y la construccin de una lnea de conduccin de 14000 mts y una red de distribucin de 78000 mts. Cabe sealar que dicha Institucin no cuenta con un departamento de Informtica, el Sr. Vctor Sanabria es un Ingeniero en Informtica externo que da el soporte Tcnico, nos brind la colaboracin para lograr desarrollar el proyecto que a continuacin presentamos; cabe destacar que Vctor Sanabria posee amplio conocimiento en el rea Informtica y ha brindado su servicio a la institucin desde hace dos aos de manera incansable.

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

Evaluacin del Control Interno Informtico Asociacin Administradora de Acueducto Rural de La Virgen de Sarapiqu Origen de la Auditoria: Esta auditora se realiza a solicitud del Encargado de la Unidad de Sistemas Computacionales de La Asociacin Administradora de Acueductos Rurales de La Virgen. Abarcando el periodo comprendido entre el 01 de marzo y el 18 de abril del 2010. Metodologa desarrollada: Es importante destacar que los sistemas computacionales de la empresa privada a la empresa pblica difieren enormemente, porque cada uno posee particularidades como recursos fsicos de los equipos, plataformas y arquitecturas de sistemas, entre otros. En primer plano desarrollamos el proyecto sobre la auditoria al sistema computacional que se enfoca nicamente a la evaluacin del funcionamiento y uso correcto del equipo de cmputo, as como de su hardware, software y perifricos asociados. Tambin abarca la composicin y arquitectura de los equipos, instalaciones, comunicaciones en software de operacin, aplicacin y de desarrollo. Recursos humanos, rea de trabajo, de tiempo y otros detalles como herramientas, tcnicas, mtodos de evaluacin. Tomando en cuenta la aplicacin de los recursos informticos, tcnicas, procedimientos y experiencia, evaluamos los sistemas que nos permiti el desarrollo de nuestras habilidades para obtener informacin til para la auditoria.

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

Evaluacin del Control Interno Informtico Asociacin Administradora de Acueducto Rural de La Virgen de Sarapiqu

Planeacin de la auditora: Esta auditora se realiza a solicitud de la Gerencia de la empresa de Auditoras Servicios Informticas S.A, con los siguientes objetivos: Objetivos Generales de Auditora
1. Evaluar el control interno del Departamento de Informtica en la Asociacin

Administradora de Acueductos Rurales de La Virgen.

2. Diagnosticar las fortalezas y debilidades de Control Interno que tiene el Sistema de

Recaudacin de Fondos de La Asociacin Administradora de Acueductos Rurales de La Virgen de Sarapiqu.

3. Evaluar la operatividad del personal, sistemas de informacin, redes y equipo de la

auditora informtica.
4. Conocer si la informacin que contiene el sistema es confiable, suficiente y oportuna

Estos objetivos se cubrirn con los siguientes objetivos especficos: a. Identificar y conocer la confiabilidad y suficiencia de la informacin que contienen los sistemas, as como si su informacin es oportuna y est acorde a las necesidades de los funcionarios y usuarios de los servicios que ofrece esta Institucin. b. Evaluar el cumplimiento de planes, programas, estndares, polticas, normas, lineamientos que regulan las reas y unidades de trabajo de una empresa, as como la correlacin de sus funciones y actividades. c. Revisar y evaluar la efectividad, propiedad y aplicacin de los controles internos.

10

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

d. Cerciorarse del grado de cumplimiento de las normas, polticas y procedimientos vigentes. e. Evaluar la calidad del desempeo en el cumplimiento de las responsabilidades asignadas de los funcionarios administrativos y usuarios finales. f. Verificar si el rea de informtica cuenta con los requerimientos necesarios. g. Evaluar la calidad del desempeo en el cumplimiento de las funciones y responsabilidades asignadas a los funcionarios administrativos y usuarios finales. h. Identificar la forma operante de las Redes dentro de la Asociacin Administradora del Acueducto Rural de La Virgen de Sarapiqu, su seguridad, funcionamiento, y analizar si su uso es confiable, oportuno y acorde con las necesidades de la institucin. i. Verificar la confiabilidad de la informacin que se produce en el sistema de Comprobar el grado de confiabilidad de la informacin que produzca el sistema de Recaudacin de Fondos.

11

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

Evaluacin del Control Interno Informtico Asociacin Administradora de Acueducto Rural de La Virgen de Sarapiqu Programa general de auditora: Para llevar a cabo el presente trabajo de auditora se utiliz la siguiente metodologa: 1. Se efectu el contrato de la auditoria por parte del gerent e de la empresa S.A.S. Auditoria en Sistemas S. A. (Nombre ficticio utilizado por los estudiantes de la UNED que realizamos este trabajo.)

2. Se llev a cabo una visita preliminar el da 06 de marzo del 2010, con el objetivo de hacer una pequea evaluacin del trabajo a realizar, conocer al personal, el equipo que se va a auditar y tener una entrevista con el encargado de la Unidad de Sistemas computacionales, a fin de definir claramente el tipo de auditora que desea se le realice. 3. Una vez efectuada la visita, se determin que la auditora en sistemas computacionales se efectuar en dos reas a saber: y y Auditoria al sistema computacional (interno) Auditoria a sistemas de redes

4. Se prepararon los programas para efectuar la auditoria, en ellos se incluy: Controles Internos sobre la organizacin del rea de Informtica en atencin al usuario y operacin de las actividades informticas de la institucin, presupuestos de recursos econmicos, humanos, de tiempo, otros detalles como herramientas, tcnicas, mtodos. 5. Se procedi con la aplicacin de la auditoria, en donde se logr identificar las situaciones presentadas.

6. Elaboracin y discusin de este informe con la direccin de la unidad y representante de gerencia. 7. Informe final de auditora (el presente documento)

12

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

Evaluacin del Control Interno Informtico Asociacin Administradora de Acueducto Rural de La Virgen de Sarapiqu Aspectos a Evaluar: Cada rea Especifica ser auditada desde los siguientes criterios: (Anexo 1) 1. Desde su propio funcionamiento interno.

2. Desde el apoyo que recibe de la Administracin en sentido ascendente, del grado de cumplimiento de las directrices de sta. 3. Desde la perspectiva de los usuarios, destinatarios reales de la informtica. 4. Desde el punto de vista de la seguridad que ofrece la Informtica en general. Mtodos, Procedimientos, Herramientas e Instrumentos necesarios: y y y y y y y Visita preliminar Visitas peridicas en el tiempo que dure la auditoria Entrevistas a personal Aplicacin de cuestionarios Inventario de Software y Hardware Aplicacin de muestreo en revisin de documentos Documentacin de auditoras realizadas anteriormente

13

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

Evaluacin del Control Interno Informtico Asociacin Administradora de Acueducto Rural de La Virgen de Sarapiqu Cronograma de actividades a ejecutar en el periodo de la auditoria de sistemas:
Actividad Semanas Marzo Abril

No. 1 2 3 4 5 6 7 8 9

Nombre Visita a Entidad Elaborar Plan Auditora. Iniciar Auditora Auditar Gestin Informtica Auditar Personal Informtico Auditar Seguridad de los Sistemas Inventario de Equipo Revisin del rea de Informtica Elaborar Resultados Presentar Borrador de Informe a Gerencia Elaboracin Informe Final

Responsable Duracin

1-7

8-14

15-21

22 -28

29-4 5-11 12-18

Formatted: English (U.S.)

Ronald S. Seidy A. Jessica S. Jessica S. Ronald S. Seidy A. Jessica S. Jessica S. Seidy A. Ronald S. Ronald S. Seidy A. Jessica S. Ronald S. Seidy A. Jessica S. Ronald S. Seidy A. Jessica S. Ronald S. Seidy A. Jessica S.

1 da 5 das 15 das 5 das 3 das 5 das 2 das 2 das 5 das


Formatted: English (U.S.)


Formatted: English (U.S.)

  


Formatted: English (U.S.)

    
Formatted: English (U.S.)

 


Formatted: English (U.S.) Formatted: English (U.S.)

10

5 das


Formatted: English (U.S.) Formatted: English (U.S.)

11

5 das


Formatted: English (U.S.)

14

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

Evaluacin del Control Interno Informtico Asociacin Administradora de Acueducto Rural de La Virgen de Sarapiqu Hoja de identificacin de la entidad auditada: INFORMACIN DE CARCTER GENERAL Se considera informacin de carcter general, aquella que se solicita con el propsito de identificar claramente la razn social de la empresa que se somete a la revisin de una auditora externa:
Nombre del cliente Domicilio Telfono / Fax Responsable por el cliente Contacto inicial Fecha de la oferta Perodo que se debe cubrir Direccin a que debe enviarse el informe Tipo de auditora Informe especial Copias del informe Fecha de inicio Fecha lmite para entrega del informe Fecha de la revisin inicial Personas que brindan la informacin Nombre del cliente Asociacin Administradora del Acueducto Rural de La Virgen de Sarapiqu Trescientos metros sur del Banco Nacional de Costa Rica 2761-02-65 Joel Alvarado Chavarria El mismo 06 de marzo del 2010 01 de marzo del 2010 al 18 de abril del 2010 Trescientos metros sur del Banco Nacional de Costa Rica (ASADA LA VIRGEN) Auditoria informtica al sistema de computo 1 1 06 de marzo del 2010 18 de abril del 2010 26 de marzo del 2010 Vctor Sanabria M., Depto. Informtica Externo. Asociacin Administradora del Acueducto Rural de La Virgen de Sarapiqu

15

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

Evaluacin del Control Interno Informtico Asociacin Administradora de Acueducto Rural de La Virgen de Sarapiqu Identificacin de las reas de estudio Es indispensable que el auditor identifique las reas de la organizacin donde su personal est involucrado en las funciones que tienen que ver con el manejo de los sistemas informticos y de los operarios que pueden participar en una eventual investigacin segn los programas de auditoria ya definidos. Para lo anterior, se adjunta el organigrama estructural de la organizacin y se identifica el rea donde se ubican empleados que interactan con los sistemas de cmputo (Anexo 1). Las reas a estudiar son: Gerente Administrativo Asistente Administrativa Cajeros Fonteneros * La mayor parte del trabajo se enfoca en la Supervisin del Ingeniero de Informtica Externo. El resto de reas evaluadas, se centr en el trabajo por el uso del sistema informtico. Departamento De Recaudacin Asistente Administrativa Servicio al Cliente Director Regional Supervisor Informtica *

16

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

Evaluacin del Control Interno Informtico Asociacin Administradora de Acueducto Rural de La Virgen de Sarapiqu Documentacin requerida para iniciar la auditoria:
Requerimientos Actas, minutas de reuniones, oficios del comit del Acueducto. Archivo de plizas Contratos o subcontratos de procesamiento. Cronogramas de actividades y proyectos. Documentacin de cmo resguardos de informacin hacer los respaldos y Referencia Papeles de Trabajo Persona o rea a examinar Administracin Administracin Administracin Administracin Informtica Informtica

Documentacin de las metodologas definidas para el rea de TI. Documentacin y Polticas Sistemas de informacin (entrada, proceso, salida de datos) Documentacin y Polticas Hardware, comunicaciones (cajeros automticos) Documentacin y Polticas Seguridad fsica. Informes de auditoria y otros similares. Inventarios de Software y Hardware Mtodos y esquemas de supervisin de TI. Organigrama. Otras polticas Perfiles y manual de los puestos de Tecnologa de Informacin para el rea de presupuesto en adelante TI. redes y

Informtica

Informtica

Administracin Contador Externo Informtica Informtica Administracin Presidente Junta Directiva

Administracin / Informtica

17

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

Requerimientos Plan estratgico de la unidad del rea de informtica. Polticas y procedimientos Programa de capacitacin para tcnicos de la unidad y usuarios finales. Requerimientos mnimos del rea de Informtica.

Referencia Papeles de Trabajo

Persona o rea a examinar Informtica Presidente Junta Directiva

Informtica Informtica

18

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

Informe de auditoria externa

Se somete a discusin el dictamen de la Auditoria Externa al Sistema y a las redes informticas de la Asociacin Administradora del Acueducto Rural de La Virgen, de las deficiencias y fortalezas encontradas. Asimismo los auditores externos representantes del Despacho S.A.S. Auditora en Sistemas S. A. realizan los siguientes comentarios: Primeramente se agradece la confianza brindada al despacho S.A.S. Auditora en Sistemas S. A. por la oportunidad de llevar a cabo la Auditora, e inicia su comentario, aclarando a la Asociacin Administradora de Acueducto La Virgen que como auditores externos su responsabilidad consiste en expresar una opinin sobre las situaciones encontradas durante la evaluacin con fundamento en la auditoria realizada. As mismo, manifiesta que la auditoria de los sistemas y las redes informticas es un trabajo que se realiza por varios requerimientos, uno de ellos es presentar informacin clara y transparente ante la empresa. Para el periodo 2010 el informe que se esta conociendo indica que la situacin de la sucursal se presenta razonablemente en el rea de Sistemas Informticos y Redes. La Asociacin Administradora del Acueducto Rural de La Virgen se rige por las normas de contabilidad generalmente aceptadas. Quienes son los que regulan las actividades comerciales, quienes tienen una serie de reglas que obligan a las empresas a cumplirlas. Parte del trabajo de sta Auditoria es velar porque se cumplan todas esas reglas y/o normativas. En el dictamen de este periodo se emite una opinin limpia. Los estudios realizados muestran los datos reales de la empresa y presentan razonable mente su realidad en sistemas de informacin. A continuacin el informe detallado:

19

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

Informe de los Auditores Pblicos independientes

Ciudad Quesada, 19 de abril del 2008

Administracin

Asociacin Administradora del Acueducto Rural de La Virgen Presente Estimados seores:

Hemos auditado la seguridad de los Sistemas informticos y sistemas de redes informticas que se acompaa a la Asociacin Administradora del Acueducto Rural de La Virgen, al 17 de abril del 2010. Estos controles y usos son responsabilidad de la Asociacin Administradora del Acueducto Rural de La Virgen. Nuestra responsabilidad es expresar opinin sobre esos estados de los Sistemas informticos y sistemas de redes informticas basados en la auditoria realizada. Realizamos la auditoria de acuerdo con las Normas Internacionales de Contabil idad, que requieren planear y desarrollar el trabajo para obtener certeza razonable de que las evaluaciones estn libres de errores sign ificativos. La auditoria incluy examinar mediante pruebas selectivas evidencia que sustenta las situaciones encontradas y revelaciones en los informes. Una auditoria tambin incluye evaluar las normas contables usadas y las estimaciones significativas hechas por la administracin, as como la practicada que proporcionan una base razonable para fundamentar la opinin. En nuestra opinin las evaluaciones hechas (adjuntas) representan razonablemente, en sus aspectos ms importantes, la situacin de uso y manejo de los sistemas y redes inform ticas de la Asociacin Administradora del Acueducto Rural de La Virgen, de la comunidad de La Virgen de Sarapiqu, al 17 de abril del 2010 y el resultado de sus procedimientos y las variaciones en su patrimonio, de acuerdo a las Normas Internacionales de Contabilidad (NICS). A continuacin se detallan las deficiencias encontradas y sus posibles soluciones.
Ciudad Quesada, San Carlos 17 de abril del 2008 Dictamen firmado por Ronald S. Seidy A. Jessica S. Pol. R-1196 v.30-9-2010 Timbre Ley 6663 1.000 Adherido al original.

20

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

Informe de los Auditores Pblicos independientes

A. Recurso Humano: 1. Deficiencia: Falta de personal en el rea de Informtica Recomendacin: En la empresa no existe actualmente nadie encargado de la auditora de los sistemas computaciones, ni nadie que le d mantenimiento al sistema. Para desarrollar las labores en el rea informtica de cada organizacin es indispensable contar con el recurso humano suficiente para atender las necesidades de los usuarios por lo cual se recomienda tener un encargado de departamento para administrar, planificar y supervisar la labor propia de las reas de trabajo de la Asociacin Administradora del Acueducto Rural de La Virgen, adems tener dos tcnicos encargados del mantenimiento tanto preventivo como correctivo fsico y lgico de los sistemas de cmputo y de red. 2. Deficiencia: La mayor parte del personal que labora en la institucin no poseen conocimientos en el rea de informtica (base de datos, o configuraciones del sistema) Recomendacin: Capacitar a personal especfico para que en una emergencia, sepa solucionar momentneamente el problema con el fin de evitar la manipulacin inadecuada de los equipos por parte de otros usuarios no capacitados, y as impedir al mismo tiempo el dao de los mismos. 3. Deficiencia: No existe un Departamento de Auditora en la institucin ; en caso de requerirse recurren a la auditoria del ente rector Acueductos y Alcantarillados, por ende, la Auditoria en Informtica es un proceso desconocido por todos los funcionarios. Recomendacin: Para toda institucin es indispensable la existencia de un auditor o encargado de control interno, a fin de poder evacuar dudas y llevar un control eficiente del manejo de los recursos del rea de Acueducto. Se recomienda la coordinacin peridica de la visita del auditor del ente rector de Acueductos y Alcantarillados, si es factible en forma trimestral, en caso de que no se pueda contratar un auditor externo o interno que se dedique a dar seguimiento al Acueducto. 4. Deficiencia: Los usuarios no reciben una adecuada capacitacin del uso y manejo del sistema, solo lo indispensable para realizar sus funciones. Recomendacin: Programar e impartir una capacitacin exhaustiva del uso y manejo del sistema informtico, al mismo tiempo deben sentarse

Comment [MSC1]: En todos los casos, se recomienda cambiar el concepto deficiencia por hallazgo como sera tradicional u Oportunidad de Mejora como lo he mencionado en las tutoras.

Comment [MSC2]: cul sistema? Siempre hay que ser explcitos con relacin a lo que se est evaluando.

21

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

responsabilidades por el mal manejo y aplicacin del mismo, ya que el sistema es un activo de la institucin y por ende debe drsele el manejo y cuidado respectivo.

Informe de los Auditores Pblicos independientes

5. Deficiencia: Los usuarios no reciben capacitacin especfica sobre el manejo, cuidado y seguridad que deben brindar a los sistemas informticos de la institucin. Recomendacin: Deberan establecerse directrices sobre la responsabilidad de cada funcionario sobre el equipo que se le asigna y utiliza, al mismo tiempo debera existir un control sobre los activos asignados, ya sea por asignacin de un vale sobre el equipo otorgado, el cual responder como documento con valor legal en caso de dao, extravo, robo o prdida del activo, con culpabilidad del funcionario. 6. Deficiencia: Falta de conocimiento de la existencia de Manuales de Procedimientos para uso de los sistemas, y por ende pocos manuales. Recomendacin: De acuerdo con la observacin y documentacin presentada, solo existe un funcionario responsable del resguardo de los manuales para uso de los sistemas, mismos que no estn al alcance de todos los funcionarios. Deberan reproducirse estos manuales, actualizarlos y entregrseles a cada empleado para su respectivo conocimiento y aplicacin dentro del sistema. B. Manejo de Bases de Datos y continuidad de las operaciones: 1. Deficiencia: No existen controles documentacin ingresada al sistema. estrictos para el resguardo de la
Comment [MSC3]: en quin?

Recomendacin: Toda la informacin debe ser protegida, ya que esta es la fuente para el sistema. Deben existir un registro manual (libro de control u archivo), donde se indique la documentacin procesada 2. Deficiencia: Las cifras correspondientes a las validaciones y su concordancia con los documentos de entrada no son verificados.

22

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

Recomendacin: Debe existir un encargado de llevar a cabo la revisin de las aplicaciones que se realizan, ya que no es recomendable que una misma persona ejecute y apruebe las transacciones que se realizan.

Informe de los Auditores Pblicos independientes

3. Deficiencia: No se hacen reportes diarios, semanales ni mensuales de capturas de datos. Recomendacin: La organizacin para seguridad del departamento debe poseer respaldos de las capturas hechas al sistema, en forma diaria, a fin de poder llevar un control y un resguardo de informacin, en caso de fallo de equipo de cmputo o robo. 4. Deficiencia: No existe cambio automtico de clave automtico en el sistema. Recomendacin: Deber modificarse la actualizacin automtica de cambio de claves o contraseas dentro del sistema, a fin de que resguardar la informacin, tener ms discrecin con la misma y que los usuarios se vean obligados a actualizarla en forma peridica, de tal manera que el sistema no permita el ingreso del usuario si no ha actualizado su clave, durante el tiempo que se establezca. 5. Deficiencia: No hay confidencialidad en el manejo de la informacin confidencial de ndole administrativa. Recomendacin: Sugerimos crear polticas de manejo de informacin, las cuales deben ser resguardadas en archivos con llaves, o documentacin con claves de acceso, esto por cuanto el procesamiento de datos es de conocimiento de usuarios que no laboran en el departamento al cual pertenecen. 6. Deficiencia: Falta de capacitacin e informacin a los funcionarios sobre el uso de las bases de datos. Recomendacin: No existen manuales explicativos que detallen el manejo de las bases de datos, los funcionarios aprenden de otros el como llenar y procesar la informacin. Debera evaluarse el hecho de hacer una capacitacin detallada sobre la importancia y delicadeza del manejo de la informacin que stas conllevan para todo el personal que las utiliza.
Comment [MSC5]: Especificar cul informacin

23

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

7. Deficiencia: La empresa no cuenta con un proveedor establecido para la reparacin de los equipos. Recomendacin: Se debera realizar un perfil profesional de las personas y /o empresas que brinden el servicio de mantenimiento al equipo de cmputo y las redes de la institucin, y con base en ste perfil, buscar a una empresa que ofrezca los servicios y establecer un contrato de servicios profesionales con la misma.

Informe de los Auditores Pblicos independientes

8. Deficiencia: El cableado del los equipos de la empresa son muy antiguos Recomendacin: Revisar el cableado de la red, respaldo, colocar venillas que protejan los cables. C. Hardware, Software, redes y comunicaciones 1. Deficiencia: Falta de equipo de cmputo para satisfacer la demanda de todos los funcionarios Recomendacin: Debido al reclutamiento de nuevo personal en la institucin es primordial comprar equipos de cmputo nuevos para satisfacer las transacciones de informacin que requieren los usuarios y as incrementar la calidad del servicio. Esto obedece a que no es beneficioso para la institucin que varias personas manipulen la informacin en un solo equipo, por factores de seguridad y logstica. 2. Deficiencia: Red original de sistemas muy pequea para la demanda actual Recomendacin: La red original de la organizacin se cre hace tres aos cuando se implement el sistema de recaudacin, debido a la cantidad de equipos conectados a la red y altos niveles de solicitud de informacin, es necesario mejorar y ampliar para un futuro el crecimiento de la red, ya sea en el aspecto de software como de hardware que brinde el servicio adecuado de transmisin de datos. 3. Deficiencia: Los equipos con que cuentan son muy viejos por lo cual estn obsoletos.

24

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

Recomendacin: Es de suma importancia actualizar los equipos que tienen los usuarios de cada departamento para poder ejecutar de forma correcta y solvente los sistemas y aplicaciones. 4. Deficiencia: La asignacin de activos est bajo la responsabilidad de la Administracin, y no distribuida por funcionario. Recomendacin: Debera efectuarse la asignacin de mobiliario y equipo a cada rea o departamento en forma individual a cada funcionario, con el fin de sentar responsabilidades sobre el uso del mismo. Esta asignacin deber quedar plasmada por escrito y detallando las caractersticas y calidades de lo asignado.

Informe de los Auditores Pblicos independientes

5. Deficiencia: Los inventarios fsicos de los equipos de cmputo se realizan cada ao. Recomendacin: Con el objetivo de poder llevar un mejor control del estado, prdida, dao y cantidad de activos asignados, se recomienda que los inventarios de activos respecto a la parte informtica, se realicen como mnimo cada 3 meses, esto por cuanto son equipos de muy fcil manipulacin y al no existir responsables directos y que muchos funcionarios utilizan un mismo equipo pueden presentarse daos o extravos con mayor frecuencia. 6. Deficiencia: Solo algunos equipos cuentan con UPS. Recomendacin: Es evidente que teniendo UPS o reguladores de voltaje en la mayora de equipos de cmputo, disminuiran los costos de reparacin de equipo y se ejecutara de manera ininterrumpida los sistemas a nivel de redes. Se recomienda la adquisicin de ste equipo para cada compu tadora dentro de la institucin. D. Seguridad fsica y lgica del Sistema 1. Deficiencia: La infraestructura fsica no cuenta con los parmetros mnimos para su seguridad y operacin. Recomendacin: Debemos indicar que es necesario aislar los servidores ubicados en el rea Administrativa en un cubculo con condiciones como: aire

25

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

acondicionado, acceso limitado y espacio fsico adecuado. Adems los equipos deben poseer espacio amplio para el buen desenvolvimiento de los usuarios. 2. Deficiencia: En el rea de la Administracin, no se cuentan con unidades de respaldo para la informacin. Recomendacin: La organizacin debe adquirir unidades de respaldo en cada uno de los departamentos para salvaguardar la informacin ms importante, o en su defecto, salvaguardar la informacin en un servidor.

Informe de los Auditores Pblicos independientes

3. Deficiencia: No se realiza mantenimiento preventivo a los equipos. Recomendacin: En primera instancia la organizacin debe crear nuevos puestos en el rea informtica y desarrollar planes de trabajo para realizar visitas en los departamentos y prevenir posibles fallas de los equipos, esto con el fin de asegurar el buen funcionamiento de los equipos y evitar prdidas de informacin en momentos menos oportunos. 4. Deficiencia: Retrasos en el servicio de reparacin de los equipos . Recomendacin: Se debe agilizar el servicio de reparacin de los equipos y notificar al encargado de informtica las dificultades por las cuales atraviesa el usuario con el equipo de cmputo. Este problema se solventa tambin con la asignacin de funciones y contratacin de personal en el rea de mantenimiento y reparacin de sistemas y equipo de cmputo. 5. Deficiencia: Acceso a Internet no restringido para todos los funcionarios del rea. Recomendacin: La Administracin debe restringir el uso de Internet ya que el mismo se presta para abandono de las funciones. Se recomienda el establecimiento de periodos para poder acceder a la red, para lo cual se pueden hacer horarios de 2 o 3 horas diarias para que el funcionario pueda acceder la red. As mismos el Encargado del T.I, deber establecer bitcoras de las actividades realizadas por los funcionarios, entorno a la red, en caso de que se requieran para futuras investigaciones.
26

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

E. Sistemas de cmputo 1. Deficiencia: Los equipos no cuentan con los recursos adecuados para ejecutar los sistemas. Recomendacin: En el caso de los servidores instalados en el rea informtica, es urgente ampliar tanto la memoria de cada uno de los equipos como cambiar a un procesador ms poderoso, para el manejo de informacin. En el caso de las otras reas es importante comprar equipo nuevo con caractersticas que se adapten a las necesidades actuales.

Informe de los Auditores Pblicos independientes

2. Deficiencia: El sistema no registra las operaciones de los usuarios dentro de s. Recomendacin: Se debe desarrollar mtodos para registrar los procesos que realizan los usuarios en los sistemas. Deficiencia: El sistema est obsoleto y le faltan funciones. 3. Recomendacin: Se recomienda adquirir otro sistema de cmputo ms actualizado para todas las funciones que son necesarias para el desempeo de las actividades, para no tener necesidad de usar otras herramientas.

27

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

Conclusin

El proyecto que desarrollamos nos permiti elaborar un informe de auditora informtica orientada en dos reas de estudio: sistemas computacionales y sistemas de redes, por medio del cual obtuvimos como resultado alcanzar los objetivos propuestos por el curso. Es importante destacar que la labor de los funcionarios de la institucin es muy buena, sin embargo notamos carencia de recurso humano en cada rea de organizacin y de tecnologa que les permita desarrollar sus labores de manera adecuada con el fin de mejorar la calidad del servicio en la Zona Norte.

28

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

ANEXOS
Formatted: Spanish (International Sort)

29

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

Formatted: Spanish (International Sort)

Anexo 1. Programa de trabajo sobre los aspectos a evaluar: Recurso Humano:

Aspectos a Evaluar Interna (1) reas a Evaluar Direccin Usuario (2) (3) Seguridad (4)

Hacer una evaluacin del personal que manipula los sistemas, personas que dan soporte, mantenimiento, para su buen funcionamiento. Incluyendo tambin a los usuarios de los mismos. Hacer un anlisis de los perfiles del personal que manipula los sistemas informticos. Capacitacin, entrenamiento y desarrollo Manual de puestos Contratos de prestacin de servicios Evaluacin de las funciones y actividades del personal del rea de sistemas. Capacitacin y adiestramiento del personal y usuarios del sistema

x x x

x x x

x x x

Manejo de Bases de datos y continuidad de las operaciones:

reas a Evaluar Direccin Usuario (2) (3)

Aspectos a Evaluar

Interna (1)

Seguridad (4)

Definicin de periodos de almacenamiento Controles de capacidad y desempeo Administracin, mantenimiento y seguridad de las bases de Datos Arquitectura de informacin Procedimientos de respaldo y recuperacin de informacin Plan de contingencias Suministro de energa Seguridad del equipo electrnico e informtico

x x x x x x x x

x x x x x x x x x x x x x x x

30

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

Hardware, Software, redes y comunicaciones:

Aspectos a Evaluar Interna (1) reas a Evaluar Direccin Usuario (2) (3) Seguridad (4)

Estudios de capacidad y desempeo de lneas de comunicacin. Inventario de equipos Requerimientos mnimos de cableado estructurado Documentacin de la red institucional Requerimientos mnimos de la aplicacin Caractersticas y seguridad en la operacin del Hardware Inventario de software Control de software no autorizado Actualizacin de software Calidades, seguridad en el acceso y uso del Software Proteccin de los usuarios, la informacin, los archivos y dems componentes dentro del sistema de cmputo. Proteccin y respaldo de la informacin Sistema de redes, usos, accesos. Proteccin, custodia y niveles de acceso a los sistemas computacionales y redes. Control de licencias de programas

x x x x x x x x x x x

x x x x x x x

x x x x x x x

x x x x x x x x

x x x x

x x x x

x x x x

x x x

Seguridad fsica y lgica del sistema:

Aspectos a Evaluar

Interna (1)

reas a Evaluar Direccin Usuario (2) (3)

Seguridad (4)

Ubicacin Control de acceso y construccin del centro de cmputo Condiciones ambientales Controles de acceso de usuarios ajenos al departamento. Control de salida e ingreso de materiales por parte de los funcionarios del centro de cmputo

x x x x

x x x x

x x

x x

Sistemas de cmputo:
reas a Evaluar Direccin Usuario

Aspectso a Evaluar

Interna

Seguridad

31

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

(1)

(2)

(3)

(4)

Polticas de uso de los sistemas de recaudacin de fondos Uso y manejo adecuado de sistemas de cmputo especficos que utiliza diariamente el personal de sta dependencia como lo son: recaudacin de fondos . Profundizar aspectos detallados de los equipos a nivel interno (procesadores, unidades, fabricantes), las bases de datos que utilizan y las licencias con las que cuentan. Evaluar los manuales de uso de los sistemas, si existe la capacitacin adecuada de los usuarios, accesos a los sistemas, almacenamiento de la informacin. Realizar una evaluacin minuciosa sobre la seguridad que se le da a la informacin contendida en los distintos programas y sistemas computacionales, as como a la utilizacin de redes dentro de la institucin. Prevencin, deteccin y correccin de virus. Ciclo de vida de desarrollo del sistema Disponibilidad, capacidad y desempeo del sistema Controles de entrada, proceso y salida de datos Plan de continuidad Integridad y privacidad de la informacin Seguridad en puntos de acceso al servicio Identificacin y autenticacin para accesar el servicio Bitcoras de transacciones Estudios de capacidad y desempeo Evaluacin de la seguridad de los sistemas de informacin Informacin, documentacin y registros de los sistemas de informacin. Sistemas, equipos, instalaciones y componentes

x x

x x

x x

x x

x x x x x x x x

x x x x x x x

x x x x x x x x x x

x x x

x x

Anexo 2 Cuestionarios

32

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

El presente cuestionario se utiliz para evaluar las distintas reas dentro de la institucin a fin de poder realizar la auditora respectiva. Enfocando y aplicando segn las necesidades de informacin a adquirir de acuerdo con cada rea evaluada. rea de Recurso Humano: Nombre Edad Sexo para sta institucin?

Cunto tiempo lleva laborando ______________________________

Ha trabajado antes en otra rea ajena a la de sistemas informticos? Especifique

Cuntas personas laboran en sta oficina? ___________________________________ Cul es su nivel acadmico? ______________________________________________ Su condicin como empleado es: Directa ( ) Trabaja con contratos a terceros ( )

Tienen estudios relacionados o cursan alguna carrera relacionada con Informtica o Auditorias en Sistemas Informticos Si ( ) No ( ). Cuantos funcionarios ( )

(Especifique) _________________________________________________________ Tienen funciones especficas para el rea de informtica? Descrbalas.

Utiliza usted algn sistema o programa especfico del Acueducto para llevar a cabo su trabajo?
33

[Seleccionar fecha]

S.A.S.
Comente

Auditora en Sistemas S. A.

Recibi capacitacin para utilizar ste sistema?

Ha recibido capacitacin especfica sobre el manejo, cuidado y seguridad que debe brindar a los sistemas informticos de la institucin?

Conoce usted de la existencia de manuales para los usuarios al sistema de cmputo. Si ( ) Especifique. No ( )

Manejo de Bases de datos y continuidad de las operaciones 1. Cuntos funcionarios en el rea utilizan bases de datos?

2. Quin cre estas base de datos? 3. Se le brind capacitacin al personal sobre el uso adecuado de las bases de datos? 4. Quin brinda mantenimiento a las bases de datos? 5. Las personas que utilizan las bases de datos tienen conocimientos en sistemas de informacin? 6. Existen funcionarios especficos o definidos para ingresar informacin a las bases de datos, o cualquier usuario puede procesar la informacin? 7. Con que regularidad (da, semana, mes) se almacena informacin en las bases de datos? 8. Existen controles (Con claves o cdigos) de los usuarios que accesan el sistema, para poder evaluar un control de capacidad y desempeo de los mismos? 9. Quin administra las bases de datos?
34

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

10. Cuntos funcionarios brindan mantenimiento y seguridad de las bases de Datos? 11. Existe un plan de contingencia, relacionado con las Bases de Datos? 12. Existen controles en la captacin de datos? 13. Quin controla las entradas de documentos fuentes?

Hardware, Software, redes y comunicaciones 1. Existen estudios de capacidad y desempeo de lneas de comunicacin?. Especifique. 2. Existe un inventario actualizado de mobiliario y equipo?. hardware) 3. Est ste inventario asignado por rea de trabajo, departamento o persona asignado? 4. Existen documentos que respalden la responsabilidad de los funcionarios por el uso y manejo de ste equipo y mobiliario? 5. La estructura para cableado de red, cuenta con los requerimientos mnimos?. Explique 6. Existe documentacin que respalde la red institucional? 7. Hay algn documento en donde se indiquen las caractersticas y seguridad en la operacin del Hardware? 8. En caso de que los funcionarios utilicen equipo de software y hardware personal. Existe algn control sobre el uso de ste? Explique 9. El software utilizado, cada cunto periodo es actualizado? 10. Existen polticas, calidades sobre la seguridad en el acceso y uso del Software por parte de los funcionarios y/o personas ajenas al mismo? 11. Los usuarios, protegen el equipo de cmputo utilizado, su informacin, archivos y dems componentes?. Cmo lo hacen?. Explique 12. En el sistema de redes: Existe algn control sobre su uso y acceso por parte de los usuarios y/o personas ajenas, como medio de consulta? (Activos, software,

35

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

13. Existe algn inventario escrito, o control sobre las licencias de los programas utilizados? 14. Cuntas computadoras tiene en el rea de informtica? Defina caractersticas 15. Cuntos y cules perifricos de cmputo tiene el rea de informtica? Existe algn inventario al respecto? 16. Cules sistemas operativos y programas de software utilizan en comn? 17. Los equipos de cmputo cuentan con patrimonio (placas identificadoras) al ser una institucin pblica? 18. En qu fecha fue se creada la red informtica? 19. Se realizan inventarios fsicos de los equipos? 20. Cada cunto se realizan stos inventarios? 21. Cmo es el suministro de energa? 22. Existen polticas de operacin y de uso de equipos? Seguridad fsica y lgica del Sistema 1. Existe una persona responsable del mantenimiento de los equipos de cmputo y de sistemas? 2. Contratan servicios externos para resolver las fallas tanto en el equipo de cmputo como en los sistemas establecidos? 3. Realizan respaldos de informacin en la institucin? 4. Los equipos estn ubicados correctamente? 5. 7. Los equipos estn asegurados? En caso de resguardo de informacin de entrada en sistemas, Se custodia sta en un lugar seguro? 8. Se verifica que las cifras de las validaciones concuerden con los documentos de entradas? 9. Se aprovecha adecuadamente el papel de los listados inservibles? 10. Se hace un reporte diario, semanal o mensual de capturas? 11. Existen procedimientos formales para la operacin del sistema de cmputo?
36

6. Se da induccin al personal para el manejo de los sistemas?

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

12. Estn actualizados los procedimientos? 13. Queda registrado la entrada del usuario al sistema? 14. Todos los funcionarios tienen acceso a internet? 15. Existen restricciones sobre el uso de internet? 16. Tienen acceso a todas las pginas de internet? 17. Tienen todos los usuarios claves de acceso para el sistema? 18. Cada cuanto se hace cambio de clave? 19. El cambio de clave es automtico, o cada usuario debe estar pendiente de hacerlo? 20. Cmo son las condiciones ambientales 21. Se establecen controles de acceso de usuarios ajenos al departamento? 22. Existe un control de salida e ingreso de materiales por parte de los funcionarios del centro de cmputo? 23. Estn los equipos diseados para la prevencin, deteccin y correccin de virus? 24. Existen controles de entrada, proceso y salida de datos y/o informacin? 25. Existe integridad y privacidad de la informacin? 26. Se evala en forma peridica la seguridad de los sistemas de informacin? 27. Existe algn mtodo de identificacin y autenticacin para accesar el servicio? 28. El cableado de la red se encuentra en buen estado? 29. Los equipos cuentan con UPS? Sistemas de cmputo 1. Existen Polticas de uso de los sistemas de recaudacin de fondos? 2. Cules son stas polticas? 3. Estn estas polticas plasmadas en documentos o manuales? 4. Existe un uso y manejo adecuado de sistemas de cmputo especficos que utiliza diariamente el personal de sta dependencia como lo son: recaudacin de fondos ? 5. Se profundizan aspectos detallados de los equipos a nivel interno (procesadores, unidades, fabricantes), de las bases de datos que utilizan y las licencias con las que cuentan? 6. Existen manuales de uso de los sistemas?. Cuntos?
37

[Seleccionar fecha]

S.A.S.

Auditora en Sistemas S. A.

7. Se realiz o se realiza una capacitacin adecuada de los usuarios, accesos a los sistemas, almacenamiento de la informacin? 8. Cul es el ciclo de vida de desarrollo del sistema? 9. Cul es la disponibilidad, capacidad y desempeo del sistema? 10. Existen Bitcoras de transacciones efectuadas? 11. Existen estudios de capacidad y desempeo? 12. Existe Informacin o documentacin que respalde los registros de los sistemas de informacin? 13. Existen inventarios sobre los sistemas, equipos, las instalaciones y sus componentes? 14. Existe un manual de procedimientos de los sistemas? 15. En qu fecha se instalaron los sistemas? 16. Existe algn proyecto de instalar nuevos sistemas? 17. Existen restricciones con respecto a los niveles de acceso de la informacin? 18. Poseen privilegios de consulta, modificar o borrar informacin? 19. Considera que el sistema a nivel de red da los resultados esperados? 20. Son claros los manuales de usuario? 21. Los sistemas son agiles, cumplen con las necesidades del usuario? 22. Se ejecuta en forma correcta y eficiente el proceso de informacin? 23. Se podran simplificar algunas funciones para aprovechar los sistemas? 24. Cuenta la empresa con algn departamento de Auditoria Informtica? 25. El equipo de red esta ubicado correctamente y que opina acerca de la seguridad?

OTROS ANEXOS

38