nanopdf.com_auditoria-de-sistemas-informaticos.pdf

Auditoria de Sistemas Informáticos UDB
0
UDB
Auditores:
Moisés Salvador Pérez Prieto
Mario Edgardo Planas Orellana
William José Manuel Lobos
Proyecto Auditoria de Sistemas
Auditoria al Sistema “de
Suministro de bodegas” Hospital
Zacamil

1
INDICE
INTRODUCCIÓN. ----------------------------------------------------------------------------------------------------------2
ETAPA 1. PLANEACION DE LA AUDITORIA DE SISTEMAS DE INFORMACION
1.1. Identificar el origen de la auditoria. -----------------------------------------------------------------------3
1.2. Realizar una visita preliminar al área que será evaluada. -----------------------------------------------4
1.3. Planteamiento del problema.----------------------------------------------------------------------------------4
1.4. Objetivos-------------------------------------------------------------------------------------------------------------6
1.5. Importancia de la auditoría. -----------------------------------------------------------------------------------7
1.6. Alcances.-------------------------------------------------------------------------------------------------------------7
1.7. Limitaciones. -------------------------------------------------------------------------------------------------------8
1.8. Metodología de desarrollo. -----------------------------------------------------------------------------------8
A. Instrumentos de recopilación. -----------------------------------------------------------------------------------9
B. Describir como se llevará a cabo: ------------------------------------------------------------------------------10
1.9. Marco teórico. ---------------------------------------------------------------------------------------------------11
A. Referencias históricas. -------------------------------------------------------------------------------------------11
B. Marco conceptual. ----------------------------------------------------------------------------------------------12
1.10. Recolección de evidencias ----------------------------------------------------------------------------------12
1.10.1 funcionamientos del sistema actual. --------------------------------------------------------------------13
1.11. Factorización. ---------------------------------------------------------------------------------------------------14
1.12. Necesidades y prioridades. --------------------------------------------------------------------------------14
1.13. Evidencias concretas. ----------------------------------------------------------------------------------------15
1.14. Presupuesto de ejecución. ----------------------------------------------------------------------------------15
1.15. Cronograma de actividades. -------------------------------------------------------------------------------16
2.1. Plan Operativo------------------------------------------------------------------------------------------------- -17
2.2 Estándares de calidad--------------------------------------------------------------------------------------------21
2.3 Aseguramiento de la calidad de la auditoria----------------------------------------------------------20
2.4 Aspectos Legales En Los Que Se Fundamentara-----------------------------------------------------26

2
INTRODUCCION
En la actualidad los Sistemas Informáticos se han constituido en las herramientas más
poderosas para materializar y efectuar los procesos más vitales y necesarios para
cualquier organización sea de orden social o empresarial.
La Informática hoy, está inmersa en la gestión integral de la empresa, y por eso las
normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los
generales de la misma. En consecuencia, las organizaciones informáticas forman parte de
la nueva gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente
la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido
a su importancia en el funcionamiento de una empresa, existe la Auditoría Informática. La
naturaleza especializada de la auditoría de los sistemas de información y las habilidades
necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la
promulgación de Normas Generales para la Auditoría de los Sistemas de Información. La
auditoría de los sistemas de información se define como cualquier auditoría que abarca la
revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los
sistemas automáticos de procesamiento de la información, incluidos los procedimientos
no automáticos relacionados con ellos y las interfaces correspondientes para que, por
medio del señalamiento de cursos alternativos de acción, se tomen decisiones que
permitan corregir los errores, en caso de que existan, o bien mejorar la forma de
actuación.
Es por ello que comprendiendo la magnitud e importancia que tiene una auditoria de
sistemas en una organización, es que emprenderemos la faena de llevar a cabo la
auditoria de sistemas informáticos en una organización Salvadoreña, dicha auditoria será
plasmada en el documento presentado a continuación.

3
PLANEACION DE LA AUDITORIA DE SISTEMAS DE INFORMACION
1.1. IDENTIFICAR EL ORIGEN DE LA AUDITORIA.
El Hospital Nacional Zacamil Dr. Juan J. Fernández ubicado en la colonia Zacamil, calle la
Ermita y Calle Castro Moran, municipio de Mejicanos, actualmente en aras de la
modernización ha implementado varios sistemas informáticos, la mayoría de gestión
administrativa, algunos pocos como el Sistema de administración de bodegas
desempeñan distintas funciones a las administrativas, dicho sistema el cual está en línea,
es un sistema web desarrollado en fox Pro y MySql, este sistema lleva un control de los
pacientes en función de sus enfermedades y muertes por dicha enfermedad.
El Sistema fue implementado hace ya muchos anos y desde el momento de su
Implementación tanto hardware como software no ha sido revisado, ni adaptado a las
nuevas necesidades tecnológicas y volúmenes de datos.
Por lo cual al presentarnos como alumnos de la Universidad Don Bosco, con el interés de
llevar a cabo una auditoria de sistemas informáticos, a un sistema especifico, el Personal
del Hospital se mostro accesible y nos sugirió implementar dicha auditoria al sistema de
administración de bodegas.
Por lo que nos comprometimos con el hospital a desarrollar una auditoria al sistema dicha
auditoria se llevara a cabo durante el transcurso de nuestra materia “Auditoria de
Sistemas Informáticos” y establecimos que nuestra meta era para con el sistema.
 Comprobar su funcionalidad plena.
 Saber si el sistema responde adecuadamente a las actuales demandas.
 Comprobar seguridad y confidencialidad de la información manejada.
 Establecer si el sistema cumple con estándares de calidad.
 Definir recomendaciones para futuras mejoras.

4
1.2 VISITA PRELIMINAR.
La visita al Hospital Nacional Zacamil, se realizo el día viernes 5 de febrero. Dicha visita se
realizo con el fin de poder conocer el sistema que se deseaba auditar.
Gracias a la colaboración del Dr. Mario Francisco Planas Murillo, director de planificación,
se pudo tener acceso al departamento de computación del hospital en donde se dio una
muestra del sistema actual.
Aspectos Relevantes.
 Sistema a evaluar es de carácter web, elaborado en FOX PRO, con el uso de MYSQL.
 El sistema evaluar, según las instrucciones del encargado, se encuentra en línea
únicamente dentro del hospital, esta es una cuestión que desean investigar, es
decir que no exista fuga de información.
 Dicho sistema, se le realizara el estudio para ver si existen los elementos
necesarios para poder expandirlo a más áreas o a otros hospitales de la nación.
 El sistema es muy utilizado, haciendo que la auditoria a realizar sea delicada ya que
el sistema se beneficia, pero también puede perjudicar a algunas de una forma u
otra.
 Esta auditoría se realizara, con éxito, esperando la valiosa colaboración del
personal que este manejando el sistema además del personal que lo crea y
administra.
Con esto se demuestra la realización de la visita hacia el Hospital Nacional Zacamil, con el
motivo de conocer el sistema a auditar. Se pudo encontrar el funcionamiento actual, del
cual se partirá para la realización de la auditoria que se desea ejecutar.
1.3. PLANTEAMIENTO DEL PROBLEMA
El avance de la informática, los sistemas, las telecomunicaciones, y otras aplicaciones de
tecnología, han permitido a la sociedad moderna a través de entes públicos y privados
desarrollarse rápidamente, en todos los ámbitos y sentidos, en especial hará énfasis en el
desarrollo de los negocios, el cual esta íntimamente relacionado con la tecnología de
información, y a su permitido la evolución en la forma de llevar los procesos. Pero esta
tecnología no solo ha beneficiado a los sectores económicos directamente, también los
sectores sociales se han visto involucrados en este boom de información tal es el caso del
sector salud y nos enfocaremos en El Salvador, esta tecnología nos ha permitido la
automatización de procesos de información en hospitales como registros, planillas, y con
mayor significancia para los hospitales diagnostico y prevención de enfermedades.

5
Dicha implantación de tecnología, en los hospitales (no todos, ni todos los sistemas) ha
permitido que los sistemas informáticos estén sometidos al control correspondiente. La
necesidad de la existencia de estos controles es evidente debido a:
 Las computadoras y los centros de proceso de datos se convirtieron en blancos
apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo.
 Se manejan regulaciones antiguas en el manejo de datos (no se han cambiado
desde su implementación).
 Existen más exigencias informáticas manejo de volúmenes de datos.
 Centralidad de la información (Encontramos Sistemas Islas).
 Las computadoras creadas para procesar y difundir resultados o información
elaborada pueden producir resultados o información errónea si dichos datos son, a
su vez, erróneos. Este concepto obvio es a veces olvidado por los operarios que
terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus
sistemas informáticos, con la posibilidad de que se provoque un efecto cascada y
afecte a aplicaciones independientes.
 Un sistema informático mal diseñado puede convertirse en una herramienta muy
peligrosa para la empresa, ya es el caso del sistema que auditaremos ya que posee
información muy critica de de enfermedades mortales y su registro en pacientes.
Dado que el manejo de información fidedigna e incorruptible, es de vital importancia para
el sistema en que nos centraremos es necesario cumplir muchos estándares para lograr
los requisitos ideales de funcionamiento.
La auditoria de sistemas, permite mostrar las debilidades y las fortalezas que presenta el
hospital zacamil, con respecto a los controles que se estén empleando, a los sistemas y
procedimientos de la informática, los equipos de cómputo que se emplean, su utilización,
eficiencia y seguridad.
Para ello se realiza una inspección pormenorizada de los sistemas de información, desde
sus entradas, procedimientos, comunicación, controles, archivos, seguridad, personal y
obtención de la información, cabe recalcar que, la auditoria inicia su actividad cuando los
sistemas están operativos y el principal objetivo es el de mantener tal como esta la
situación para comenzar el levantamiento de información.
Posteriormente la auditoria generara un informe, para que las debilidades que son
detectadas, sean corregidas y se establecen nuevos métodos de prevención con el fin de
mejorar los procesos, aumentar la confiabilidad en los sistemas y reducir los riesgos.

6
1.4. OBJETIVOS
a. GENERAL.
 Realizar un proceso de auditor, a un sistema desarrollado en una empresa con el
fin de encontrar sus puntos débiles y fuertes para dar a conocer y brindar las
soluciones que ayudaran al rendimiento de la misma.
b. ESPECÍFICOS.
 Determinar a través de la auditoria todos aquellos aspectos que afecten el
rendimiento del sistema.
 Verificar que los recursos informáticos sean utilizados óptimamente en el uso del
sistema.
 Llevar a cabo una evaluación de la seguridad en el área informática.
 Establecer las oportunas recomendaciones, concluidas a través de la auditoria que
garanticen mejorías en el sistema informático.

7
1.5 IMPORTANCIA DE LA AUDITORÍA.
Bajo el escenario antes indicado se hace necesario entonces una evaluación objetiva e
independiente, por parte de personas competentes, abarcando todas las áreas entorno al
sistema, los estándares y procedimientos en vigor, su idoneidad y el cumplimiento de
éstos, de los objetivos fijados, los contratos y las normas legales aplicables, el grado de
satisfacción de usuarios y directivos, los controles existentes y el análisis de riesgos.
En consecuencia ya que para el hospital, la información y la tecnología que la soporta,
representan activos valiosos y se quiere tener mayor velocidad de respuesta y
confiabilidad en los datos que se presenta, declaramos que es necesaria tomar medidas
como una auditoria al sistema para que se declare optimo el funcionamiento y se corrijan
posibles errores en su proceso.
1.6 ALCANCES.
Los alcances encontrados en el desarrollo del sistema en estudio serán:
 Esta auditoría, comprende llegar a las partes relacionada con el sistema que se
trabajara, en el área de hardware, software, redes, arquitectura de la misma.
 Se tratara, de poder tener el acceso necesario a la base de datos del sistema,
sabiendo, que este tipo de centros no desea compartir mucho la información, con
el fin de tener datos reales que nos ayuden a la supervisión del mismo.
 El proceso abarcara además la parte gestión del sistema haciendo que el estudio
no se desarrolle en parte a como esta su arquitectura, sino que se conozca el
manejo que está empleando.
 La auditoria será demostrada por un documento en donde expongan, sus ventajas,
como oportunidades, hasta sus desventajas e ineficiencias.

8
1.7 LIMITANTES.
Las limitantes que se encontraran en el desarrollo de nuestro sistema, son definidas a
continuación:
 El periodo de realización del proyecto puede ser afectado por el grado de trabajos
que se tengan que desarrollar en el resto de las materias que se están llevando.
 El grado de permisividad por parte de la empresa al momento de ejecutar las
acciones de auditoría sobre el sistema que se está evaluando, el cual a veces no es
muy amplio.
 El grado de veracidad de los datos que se puedan obtener debido a la no
cooperación de las partes involucradas en la creación del sistema.
1.8 METODOLOGIA DE DESARROLLO.
En el desarrollo de este proyecto el recurso humano ha sido vital para dicho proceso, en
este caso las personas involucradas se detallan a continuación:
 Mario Edgardo Planas Orellana, Auditor.
 Moisés Salvador Pérez, Auditor.
 William Lobos, Auditor.
 Dr. Mario Francisco Planas Murillo, Director de Planificación.
 Miembros del Departamento de Informática.
En el caso de los recursos financieros, no se ha estipulado un capital definido, aunque se
pueda usar para la elaboración de los diferentes documentos y reportes que se
entregaran.
En los recursos tecnológicos para el desarrollo del sistema se encuentran varios materiales
que si estarán en uso como:
o Computadoras.
o Impresoras.
o Programas para el monitoreo de los datos.
o Otros.

9
El grupo de trabajo posee además su propio equipo computacional que ayudara para este
proyecto, esto genera una mayor confianza entre los mismos.
También se utilizara como medidas de control, las listas de chequeo, las cuales se
apegaran a las métricas que queremos estudiar, y así darnos las deficiencias que puedan
afectar en cualquier punto al sistema. Y esto se hará junto a otros recursos los cuales se
mencionaran a continuación:
TÉCNICAS DE RECOLECCIÓN DE DATOS.
Las técnicas de esta índole son un eje fundamental a la hora de conocer cuáles son los
puntos que se deberá mejorar al sistema que se está estudiando. A continuación se
detallara los puntos relevantes que participaran en nuestra auditoria:
 Entrevistas
Se piensa realizar dicha actividad con la persona encargada de todo el proceso, además de
conocer la opinión de las personas que lo manejan para determinar la forma de trabajo de
la empresa.
 Encuestas
Estas se pueden realizar con los empleados, para ver cuáles son sus dificultades y
encontrar la forma de mejorar esas inquietudes.
 Observación
En este método la persona tomara la visión como arma de recolección de información,
donde veremos las actividades y procesos que se lleva en la empresa.
 Listas de Chequeo
Estas listas nos ayudaran a poder identificar los aspectos que se deberán mejorar, por
medio de una encuesta que está relacionada con las métricas de uso.
PLANEACION:
 Nuestra investigación dará inicio con la visita preliminar, donde veremos por
primera vez el sistema que se desea auditar.

10
 De ahí se buscara la forma de realizar las visitas que se pretenden para poder
auditar y sacar la información necesaria para poder dar nuestro dictamen del
sistema estudiado.
 Se buscara tener el acceso necesario a la información, por medio del dialogo con
las autoridades mayores de la empresa y así poder dar un mejor diagnostico de la
auditoria del sistema que se estudia.
EJECUCION:
 -Las visitas serán semanales debido a que se desea tener la mejor información
posible y hace un buen análisis del sistema en observación.
 -Los estudios que se realizaran serán en las oficinas donde se encuentra el sistema,
además de ver si el sistema está conectado.
 -Se usaran las técnicas antes planteadas para obtener información necesaria de la
auditoria.
DICTAMEN:
 Nuestro resultado será un documento en donde se detallen nuestros
descubrimientos de la auditoria, el cual será entregado al encargado del
departamento o al director de planificación, el cual servirá para tomar las mejores
decisiones sobre el sistema.
 El documento contendrá un FODA, el cual revelara todos los aspectos importantes
del sistema estudiado, además de las recomendaciones que se darán de parte de
nuestra persona para el mejoramiento del sistema.

11
1.9. MARCO TEÓRICO.
a. REFERENCIAS HISTÓRICAS.
La auditoria nace como un órgano de control de algunas instituciones estatales y privadas.
Su función inicial es estrictamente económico-financiera.
La función auditora debe ser absolutamente independiente; no tiene carácter ejecutivo, ni
son vinculantes sus conclusiones. Queda a cargo de la empresa tomar las decisiones
pertinentes. La auditoria contiene elementos de análisis, de verificación y de exposición
de debilidades y disfunciones. Aunque pueden aparecer sugerencias y planes de acción
para eliminar las disfunciones y debilidades antedichas; estas sugerencias plasmadas en el
Informe final reciben el nombre de Recomendaciones.
Las funciones de análisis y revisión que el auditor informático realiza, puede chocar con la
psicología del auditado, ya que es un informático y tiene la necesidad de realizar sus
tareas con racionalidad y eficiencia.
El auditor sólo puede emitir un juicio global o parcial basado en hechos y situaciones
incontrovertibles, careciendo de poder para modificar la situación analizada por él mismo.
Históricamente estos conceptos de auditoría solo se vertían en el ámbito económico con
los contadores, y procesos financieros, en la actualidad el termino auditoria se ha
extendido a casi todas las áreas donde exista un proceso critico y vital en una compañía.
En El Salvador en cambio ha sido una inclusión difícil de la auditoría contable a los
términos de auditoría de sistemas informáticos, debido a la falta de legislación actualizada
que regule dichos procesos, el analfabetismo informático, departe de la población, y la
falta de aceptación de las tecnologías informáticos.
En el Salvador se tendría que definir la informatización ideal de un Hospital como aquélla
que en sus cuatro áreas: administrativa, asistencial, académica y de apoyo cuenta con la
herramienta informática y la implementa adecuadamente de acuerdo a sus necesidades e
intereses, estando a su vez interconectadas.
Internacionalmente en Latinoamérica según los resultados de la encuesta realizada por
GIBBA (Grupo de Informática Biomédica de Buenos Aires) presentada en Hospitalaria
1999 se llegó a la conclusión que el nivel de adecuación de la informática es la resultante
de su crecimiento en forma aislada y parcial según las necesidades y motivación de cada
institución y de cada servicio en particular.

12
b. MARCO CONCEPTUAL.
La tecnología informática es una herramienta de probada utilidad e inmenso potencial en
el sector salud. Por si misma, ayuda a reducir de manera sustancial los errores y
desperdicios de los sistemas de salud. No obstante, persiste como un tema pendiente y de
actualidad pues el sector salud, a pesar de su intensa dinámica en la introducción de
nueva tecnología asistencial, aún presenta un marcado retraso en la incorporación de
tecnología informática.
En el salvador se destaca el bajo uso de los registros médicos informatizados y su
orientación hacia áreas específicas. De esto surge que la implementación de la informática
en los hospitales ha surgido como intento de grupos aislados en función de la motivación
de equipos de profesionales.
En general el uso de recursos informáticos a nivel público se lleva a cabo en el área
administrativa para el control de gestión y tiene muy baja implementación en el área
asistencial y académica, investigativa.
Esta aparente ‘tecnofobia informática’ contrasta con la rapidez con la que otros sectores
del mundo contemporáneo han asimilado la tecnología informática desde comienzos de la
década de los noventa es por ello que las iniciativas que algunos hospitales presentan
deben de ser tomadas como base para la modernización, y prestarle la atención que
corresponden, en este caso nos referimos a que los sistemas que están empezando a
surgir se desarrollen de acuerdo a estándares y normas que se rijan de acuerdo a medidas
establecidas por el mismo hospital o que este tome de ejemplo, de normativas
internaciones, es aquí donde la auditoria de sistemas informáticos pone de su parte para
garantizar que estos sistemas sean de calidad y funcionen como se espera que lo hagan.
1.10 RECOLECCION DE EVIDENCIAS.
SISTEMA DE ADMINISTRACION DE BODEGAS, es un sistema el cual se encarga de
administrar el inventario de existencias y peticiones de la bodega. Dicho sistema está
siendo utilizado por el Hospital Nacional Zacamil, además del Ministerio de Salud.
Este sistema es un sistema local, elaborado en FOX PRO, con la base de datos en MYSQL.
Se puede decir que dicho sistema está actualmente aislado, no hay acceso a el desde otras
del área del hospital. Además a simple vista se pudieron encontrar algunos puntos que los
mencionamos a continuación:

13
 El cableado del hospital, se nota que no es muy eficiente, debido que no existe una
estructura bien definida.
 Algunas de las buenas prácticas es que el sistema está muy bien estructurado,
cuestión que nos puede adelantar mucho en la esquematización de este, aunque
no pasa lo mismo con su interfaz grafica que es por mucho muy pobre.
 El sistema además posee una base de datos, colocada en un solo ordenador,
haciéndolo obsoleto para conexiones en red.
 De las normativas de uso del sistema, no se ven muy definidas, más que todo en el
área de computación, en este hospital. Por eso se necesita definir normas de uso
del sistema.
 El entorno del sistema es que se usa para la administración de existencias de
material usado en el hospital, por lo que es muy usado.
 El recurso humano reacciono de forma positiva, a la idea de la realización de la
auditoria que se realizara, debido al deseo de mejorar de mejor manera el uso del
sistema.
 Los involucrados en este sistema son los del departamento de computación,
además de las personas que lo han usado, la bodega.

14
1.11. FACTORIZACIÓN.
La metodología que usaremos para desarrollar, la auditoria de sistemas sigue la estructura
que sigue:
1.12. NECESIDADES Y PRIORIDADES.
 Posible fuga de información.
 Descentralización de la información manejada.
 Problemas de datos corruptos.
 Las averías en el sistema no son resueltas oportunamente.
 Retrasos en el control de enfermedades a ciertos pacientes.
 Se han producido algunos gastos que no son justificables en el área informática.
1. Inicio de la
Auditoria
2. Visita Preliminar
3. Establecer
Objetivos
4. Determinar los
puntos a ser
Evaluados
5. Elaborar Planes,
presupuestos y
programas
6. Seleccionar las
herramientas,
técnicas, métodos y
procedimientos
7. Asignar los
recursos y sistemas
para la auditoría
8. Aplicar la auditoria
9. Identificar
desviaciones y
elaborar borradores
de informes
10. Presentar
desviaciones a
discusión
11. Elaborar borrador
final de desviaciones
12. Presentar el
informe de auditoria.
13. Establecer las
recomendaciones
concluidas

15
1.13. EVIDENCIAS CONCRETAS
Entre nuestras evidencias concretas tomadas en cuenta para demostrar que este necesita una
auditoria para demostrar a las personas que aspectos se puede mejorar son:
 El sistema de comunicación es inexistente y el usado mecánicamente es muy eficiente
debido a que el factor humano.
 El sistema, pueda tener un tipo de fuga de información o pérdida de la misma, lo cual hace
peligroso al proceso de trabajo.
 También existe la posibilidad de no tener un control al momento de pérdida de
información, por varios motivos (Negligencia, Perdida de Electricidad, etc.)
 No exista una validación, en la entrada y salida de los datos, generando también que no se
presente información veraz.
 No existan manuales, que expliquen la forma de manejo del sistema, haciendo que las
personas no sepan el uso de la misma.
 La gerencia es posible, que no conozca mucho del uso de este sistema, por eso es
necesaria la realización de nuestra auditoria.
 Una interfaz grafica obsoleta
 El uso de computadoras obsoletas de generaciones bastante atrás
 El ser un sistema realizado en una plataforma de programación desfasado y con errores de
seguridad.

16
CRONOGRAMA.

17
ETAPA 2
EJECUCION DE LA AUDITORIA DE SISTEMAS DE INFORMACION
2.1. PLAN OPERATIVO.
Para el pleno ejercicio de la auditoria de sistemas de información, haremos uso de un plan
operativo de ejecución, donde estableceremos las actividades que realizaremos para el
desarrollo de cada etapa, en el periodo de realización de nuestra auditoria. Dicho plan
cumplirá con el régimen establecido por la metodología de desarrollo. La cual se resume a
continuación:
La auditoria de sistemas que llevaremos a cabo seguirá una metodología de desarrollo
que será de la siguiente manera.
 Establecer términos, condiciones y alcances con la institución.
 Comenzar la evaluación
 Análisis y desarrollo
 informes
Para la evaluación e investigación del Área de Informática se llevarán a cabo las
siguientes actividades:
 Solicitud de los estándares utilizados y programa de trabajo
 Aplicación del cuestionario al personal
 Análisis y evaluación del a información
 Elaboración del informe
Para la evaluación de los sistemas tanto en operación como en desarrollo se llevarán a
cabo las siguientes actividades:
 Solicitud del análisis y diseño del os sistemas en desarrollo y en operación

18
 Solicitud de la documentación de los sistemas en operación (manuales técnicos,
de operación del usuario, diseño de archivos y programas)
 Recopilación y análisis de los procedimientos administrativos de cada sistema
(flujo de información, formatos, reportes y consultas)
 Análisis de llaves, redundancia, control, seguridad, confidencial y respaldos
 Entrevista con los usuarios de los sistemas
 Evaluación directa de la información obtenida contra las necesidades y
requerimientos del usuario
 Análisis objetivo de la estructuración y flujo de los programas
 Análisis y evaluación de la información recopilada
 Elaboración del informe
 Para la evaluación de los equipos se llevarán a cabo las siguientes actividades:
 Solicitud de los estudios de viabilidad y características de los equipos actuales,
proyectos.
Sobre ampliación de equipo, su actualización
 Solicitud de contratos de compra y mantenimientos de equipo y sistemas
inventario.
 Elaboración de un cuestionario sobre la utilización de equipos, memoria, archivos,
unidades de entrada/salida, equipos periféricos y su seguridad
 Visita técnica de comprobación de seguridad física y lógica de la instalaciones de la
 Evaluación técnica del sistema electrónico y ambiental de los equipos y del local
utilizado
 Evaluación de la información recopilada, obtención de gráficas, porcentaje de
utilización de los equipos y su justificación
 Elaboración y presentación del informe final ( conclusiones y recomendaciones)
El plan operativo queda detallado de la siguiente manera:

19
Etapa Objetivo Metas Actividades Logros Responsables Recursos
Tiempo de
realización
Identificar la necesidad de auditoria y ubicar
el contexto
Establecer contacto con la
empresa a evaluar, Conocer
el tipo de giro de la empresa.
visita directa, de parte del equipo de
trabajo hacia la ubicación de la entidad a
evaluar. Establecer criterios de trabajo con
la entidad. Y conocer detalladamente el
rubro de la empresa
Pudimos establecer contacto
con los encargados de la
entidad, obtuvimos la
información necesaria para
comenzar
Equipo de trabajo
compuesto por: Moisés
Salvador Pérez, Mario
Edgardo Planas, William
José Manuel.
Para llegar al lugar
transporte.
1 jornada
Establecer el indicio y surgimiento de la
auditoria, así como establecer las razones
justificables de la auditoria
Conocer el porque de la
auditoria para focalizar
algunas áreas en el análisis
Se identificara los factores que justificaron
la auditoria, por medio de entrevistas a los
encargados.
Equipo de trabajo
José Manuel.
Para llegar al lugar
transporte, fotografías.
1 jornada
Establecer objetivos
Delimitar los objetivos que persigue el
desarrollo de nuestra auditoria
Se calcularan mediante las necesidades y
los estándares, los objetivos de desarrollo
de la auditoria
Se dieron a conocer los
objetivos perseguidos por la
Auditoria
Encargado de Equipo de
trabajo
Determinar los puntos que deben ser
evaluados
Determinar cuales son los aspectos en los
que la auditoria debe de hacer énfasis
Establecer las zonas de mayor
impacto en la auditoria, para
escoger el método adecuado
de evaluación. Identificar con
el grupo de trabajo cuales so
las áreas idóneas a ser
evaluadas y donde se espera
un mayor impacto y
oportunidad de mejora.
Identificaremos mediante observación u
otras técnicas de recolección de datos,
cuales son las áreas y sus puntos a evaluar
en la empresa
en nuestra segunda visita
realizada se pudo obtener
esra información
Equipo de trabajo
José Manuel.
1 semana de
trabajo
Elaborar planes, presupuestos y
programas
Elaborar la planeación respectiva, en base a
los conocimientos de la empresa recabados.
Elaborar un presupuesto de desarrollo de la
auditoria.
Desarrollar una agenda en la
que este contemplado
cronológicamente el
desarrollo de la auditoria.
Establecer el costo de la
auditoria
realizaremos un diagrama cronológico
acorde al desarrollo de la auditoria,
además se realizara una planeación acerca
de la metodología a usar, en la que
describiremos nuestra manera de ejecutar
la ASI. Diseñar los respectivos controles y
listas de chequeo
Se estipulo la
candelarizacion de los
hechos a llevar a cabo
Encargado de Equipo de
trabajo
Origen de la auditoría
Plan Operativo Auditoria
Informática

20
Seleccionar las herramientas, técnicas,
métodos y procedimientos.
Escoger de manera adecuada las
herramientas que facilitaran el labor de
desarrollo de la ASI
Implementar las herramientas
adecuadas que se adecuen a
la metologia de desarrollo
que usamos, junto con las
técnicas y procedimientos
respectivos.
Seleccionaremos las herramientas a usar y
definir el porque de la utilización.
Establecer por escrito los diferentes
métodos usados así como los
procedimientos que se realizaran. Al final
se ejecutaran con ayuda de estas
herramientas las los procedimientos en la
auditoria
Se escogió determinadas
herramientas, y
procedimientos acorde a la
metodología a usar
Equipo de trabajo
José Manuel.
3 Jornadas
de trabajo
Asignar los recursos y sistemas para la
auditoría
Determinar cuales serán aquellos recursos
que orientaremos a la realización de la
auditoria
Con el fin de establecer los
insumos de desarrollo de la
ASI se detallara cuales serán
los recursos y en que serán
empleados
Se asignaran labores y funciones en la ASI a
cada miembro del equipo de trabajo y a
cada uno se le asignaran los respectivos
sistemas de acuerdo a su labor.
Se definieron los roles
dentro de la auditoria de
sistemas, así como la
administración de recursos.
Equipo de trabajo
José Manuel.
Aplicar la auditoria
Dar arranque a la labor de evaluación y
peritaje, respetando todos los lineamientos
establecidos con anterioridad.
Aplicar con éxito la auditoria
Visitaremos la entidad física a ser a
evaluada. Visitaremos los diferentes
departamentos acorde a los a planes
establecidos. Ejecutaremos las diversas
herramientas de obtención de información
obtener la información
necesaria para el pleno
ejercicio del análisis.
Detectar todos los puntos de
riesgo en la empresa
Equipo de trabajo
José Manuel.
3 semanas
de trabajo
Identificar desviaciones y elaborar
borradores de informes
utilizar la información recolectada para
proceder al análisis
identificar y documentar
todo los hallazgos relevantes
encontrados
revisaremos las notas obtenidas en la
recolección. Analizaremos y calcularemos
en base a las métricas establecidas el
resultado de nuestras listas de chequeo.
Identificar las áreas de riesgo
Desarrollaremos los
borradores de informes,
respectivos relativos a la
toma de datos, donde
detallaremos los puntos de
riesgo
Equipo de trabajo
José Manuel.
3 semanas
de trabajo
Presentar desviaciones a discusión
elaborar una presentación con las
respectivas áreas de riesgo encontradas y
establecer una discusión para establecer
indicios y conclusiones de ellos
analizar en consenso las
diferentes desviaciones
encontradas para sus
respectivas conclusiones.
Establecer un borrador que
representara el informe de
desviaciones en base a las
conclusiones del consenso
Desarrollar un mesa de discusión con los
diferentes miembros de auditorias, en los
que se consolidara la información y
hallazgos de cada uno y se sometara a
discusión, además se tomara nota de todas
las conclusiones obtenidas y de sus
recomendaciones, que serán incluidas en
un informe.
Establecer un borrador del
informe
Equipo de trabajo
José Manuel.
1 semana de
trabajo
Presentar el informe de auditoria. dar a conocer el resultado de la auditoria
mostrar el resultado de la
auditoria para siu respectiva
consideración y aplicación
Asistir a reunión con los representes de la
empresa evaluada y exponer los informes
de la evaluación desarrollada, con sus
respectivas señalizaciones y
recomendaciones
Dar a conocer los resultados
de la auditoria y finalizar así
dicha evaluación
Equipo de trabajo
José Manuel.
1 semana de
trabajo

21
2.2. ESTANDARES DE CALIDAD.
Dada la naturaleza especializada de la auditoria de sistemas de información, se requiere
de ciertas destrezas necesarias para llevar a feliz término, es por eso que es necesaria la
aplicación de determinados estándares que se apliquen específicamente a la ASI.
Los estándares que utilizaremos en la auditoria serán:
 Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit
and Control Association (ISACA).
 Modelo de Evolución de Capacidades de software (CMM), desarrollado por el
Instituto de Ingeniería de Software (SEI).
 Administración de seguridad de información de la GAO.
Definimos cada uno de estos estándares de la siguiente manera
Directrices Gerenciales de COBIT:
Las Directrices Gerenciales de COBIT son un marco internacional de referencias que
abordan las mejores prácticas de auditoría y control de sistemas de información.
Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la
tecnología de información y establezca el enlace entre los procesos de administración,
aspectos técnicos, la necesidad de controles y los riesgos asociados.
Modelo de Evolución de Capacidades de software (CMM):
Este modelo hace posible evaluar las capacidades o habilidades para ejecutar, de una
organización, con respecto al desarrollo y mantenimiento de sistemas de información.
Consiste en 18 sectores clave, agrupados alrededor de cinco niveles de madurez. Se
puede considerar que CMM es la base de los principios de evaluación recomendados por
COBIT, así como para algunos de los procesos de administración de COBIT.
La razón por la cual hemos escogido estos estándares es porque nos parece idónea la
utilización de dichos estándares, en el marco de actuación de la empresa auditada. Y
además nos parece que estos estándares desarrollan la formula adecuada de trabajo ya
que se complementan entre si y no presentan discrepancias en el desarrollo de una y otra.
Además son estándares mundialmente reconocidos que se apegan mucho a la realidad
que enfrentamos actualmente, y dada su imagen internacional puede con ello aportar
dicha imagen a la casa auditora.

22
Administración de seguridad de información de la GAO desarrollado por la Oficina de
Contabilidad General de los Estados Unidos (GAO):
Este modelo considera ocho organizaciones privadas reconocidas como líderes respecto a
seguridad en cómputo. Este trabajo hace posible la identificación de 16 prácticas
necesarias para asegurar una adecuada administración de la seguridad de cómputo, las
cuáles deben ser suficientes para incrementar significativamente el nivel de
administración de seguridad en tecnología de información y comunicación electrónica.
(Esta última se tomo en cuenta debido a que engloba aspectos de seguridad que eran
desapercibidos por los dos anteriores, que nosotros consideramos de vital importancia)
Definición formal de lo que consideramos aplicable de los estándares aportados por
ISACA a nuestra auditoria:
Los Estándares definen requisitos obligatorios para la auditoría y el reporte de SI asi como
de las obligaciones de algunos actuadores.
En ellos Informan a:
 Los auditores de SI respecto al nivel mínimo de desempeño aceptable requerido para
cumplir con las responsabilidades profesionales indicadas en el Código de Ética
Profesional.
 La dirección y otras partes interesadas en las expectativas de la profesión con respecto
al trabajo de sus profesionales.
Establecen directrices.
Las Directrices proporcionan asesoramiento en la aplicación de los Estándares de
Auditoría de SI. El auditor de SI debe considerarlas al determinar cómo lograr la
implementación de los estándares, utilizar un buen juicio profesional en su aplicación y
estar dispuesto a justificar cualquier desviación de las mismas. El objetivo de las
Directrices de Auditoría de SI es proporcionar mayor información con respecto a cómo
cumplir con los Estándares de Auditoría de SI.
Establecen procedimientos.
Los Procedimientos proporcionan ejemplos de procedimientos que podría seguir un
auditor de SI en el curso de un contrato de auditoría. Los documentos sobre

23
procedimientos proporcionan información sobre cómo cumplir con los estándares al
realizar trabajos de auditoría de SI, pero no establecen los requisitos correspondientes. El
objetivo de los Procedimientos de Auditoría de SI es proporcionar mayor información con
respecto a cómo cumplir con los Estándares de Auditoría de SI.
Los recursos de COBIT® deben utilizarse como fuente de asesoramiento con respecto a las
mejores prácticas.
El Marco Referencial de COBIT que será parte de la metodología de desarrollo
Establece que: "Es responsabilidad de la gerencia salvaguardar todos los activos de la
empresa. Para descargar esta responsabilidad, así como para lograr sus expectativas, la
gerencia debe establecer un adecuado sistema de control interno. “COBIT proporciona un
conjunto detallado de controles y de técnicas de control para el entorno de
administración/gestión de sistemas de información.
La selección del material más relevante en COBIT aplicable al alcance de la auditoría en
particular se basa en la selección de procesos específicos de COBIT para TI, considerando
además los criterios de información de COBIT.
Su utilización permite la comprensión de los objetivos del negocio, la comunicación de las
mejores prácticas y las recomendaciones que deben hacerse, basándose en una referencia
de estándares comúnmente comprendida y bien respetada.
COBIT incluye:
 „ Objetivos de control
 „ Directrices de auditoría: Asesoramiento para cada área de control sobre cómo
obtener un entendimiento, evaluar cada control, evaluar el cumplimiento y
sustanciar el riesgo de que los controles no se cumplan
 „ Directrices gerenciales: Asesoramiento sobre cómo evaluar y mejorar el
desempeño del proceso de TI, utilizando modelos de madurez, métricas y factores
críticos de éxito. Proporcionan un marco de referencia administrativo orientado
hacia una continua y proactiva autoevaluación del control, enfocada
específicamente en:
o Medición del desempeño: ¿Qué tan adecuadamente está apoyando la
función de TI los requisitos del negocio? Las directrices gerenciales se
pueden utilizar para apoyar talleres de autoevaluación, y también se

24
pueden utilizar para apoyar a la gerencia en la implementación de
procedimientos de monitoreo y mejora continuos, como parte de un
esquema de gobernabilidad de TI.
o Perfil del control de TI: ¿Cuáles procesos de TI son importantes? ¿Cuáles
son los factores críticos de éxito para el control?
o Concientización: ¿Cuáles son los riesgos de no lograr los objetivos?
o Benchmarking: ¿Qué hacen los demás? ¿Cómo pueden medirse y
compararse los resultados? Las directrices gerenciales proporcionan
ejemplos de métricas que permiten la evaluación del desempeño de TI en
términos del negocio. Los indicadores claves de resultados identifican y
miden los resultados de los procesos de TI, y los indicadores claves de
desempeño evalúan lo bien que están funcionando los procesos, al medir
los facilitadores del proceso. Los modelos y los atributos de madurez
proporcionan evaluaciones de capacidad así como benchmarking,
ayudando a que la gerencia pueda medir la capacidad de control y pueda
identificar vacíos de control y determinar estrategias para su mejora.
2.3. ASEGURAMIENTO DE LA CALIDAD DE LA AUDITORIA.
En cuanto a la calidad de los servicios prestados por nuestra entidad auditora nos
comprometemos a proporcionar una auditoria de calidad en la que los resultados
cumplen las expectativas proyectadas. Para lograr esto nos enfocamos en ciertas partes:
 Efectividad a la hora de satisfacer las necesidades de las partes interesadas
 Eficiencia y efectividad en el uso de las últimas mejores prácticas de auditoría
informática.
 Efectividad a la hora de cumplir con las normas y requerimientos profesionales y/o
regulatorios de auditoría informática aplicables.
 Rigurosa aplicación de seguridad y confidencialidad.
Los procesos de Auditoría informática deben abordar estas partes para ser considerada
altamente efectiva en el contexto desafiante actual.

25
Para lograr cada parte se considera:
La asignación de roles (establecimiento de funciones especificas acorde a capacidades),
asignación de personal calificado.
Uno de los esquemas que usaremos para tener un adecuado control es que el personal
que intervengan esté debidamente capacitado, con alto sentido de moralidad, al cual se le
exija la optimización de recursos (eficiencia) y se le retribuya o compense justamente por
su trabajo.
Con estas bases se debe considerar las características de conocimientos, práctica
profesional y capacitación que debe tener el personal que intervendrá en la auditoría. En
primer lugar se debe pensar que hay personal asignado por la organización, con el
suficiente nivel para poder coordinar el desarrollo de la auditoría, proporcionar toda la
información que se solicite y programar las reuniones y entrevistas requeridas.
En esta parte también cabe mencionar que dependiendo de la capacidad del auditor y de
su perfil como tal se le asignaran diferentes funciones acorde a la necesidad de la
auditoria y la capacidad del auditor. Garantizando así tener siempre a una persona idónea
ejerciendo la auditoria. Además cada función que sea asignada será evaluada, es decir los
miembros devolverán un informe a parte de los procesos de la auditoria en el que se
detalle los resultados de cada una de las funciones adjudicadas, la cual será revisada por el
encargado de grupo quien rendirá cuentas y exigirá al resto de grupo resultados.
En cuanto al desarrollo de la comunicación.
Es claro que cuando se trate de dar a conocer resultados o informes, la comunicación es
de vital importancia y debido a que la información es de alta confidencialidad, nosotros
garantizamos guardar con el respectivo cuidado, los canales de comunicación a usar
siempre cuidando no perder la efectividad en la transmisión de la información. Ya que
parte de nuestra calidad esta en la comunicación pronta de resultados, debido a que para
la organización auditada el material a entregar no incluirá simplemente un informe de
auditoría sino también un plan de acción para abordar las brechas identificadas.
En esta etapa, el uso de las diferentes normativas como ISO 9000 y la herramienta de
referencia de mejores prácticas de auditoría interna registrada de CobiT, se utiliza para
evaluar comparativamente las prácticas de una función de auditoría. Más importante aún,
el uso de estos estándares también permite identificar mejores prácticas que

26
posiblemente puedan ajustarse a los impulsores de valor de la organización. Esta etapa
también incluye evaluaciones en materia de cumplimiento de normas profesionales.
2.4. ASPECTOS LEGALES EN LOS QUE SE FUNDAMENTARA
En nuestro país no existen normativas que se apeguen al desarrollo de las auditorias, por
lo que el marco legal se basa en las normativas internacionales.
En este punto se describen la regulación de las mejores prácticas de Auditoría en
Informática como administrar los riesgos en tecnología Informática, la auditoría en el
sector público en base a los organismos nacionales(los cuales no encontramos) e
internacionales.
Institute of System Audit and Association, ISACA
La Information Systems Audit and Control Association –Asociación de Auditoría y Control
de Sistemas de Información– ISACA, comenzó en 1967. En 1969, el grupo se formalizó,
incorporándose bajo el nombre de EDP Auditors Association –Asociación de Auditores de
Procesamiento Electrónico de Datos. En 1976 la asociación formó una fundación de
educación para llevar a cabo proyectos de investigación de gran escala para expandir los
conocimientos y el valor del campo de gobernación y control de TI.
Actualmente, los miembros de ISACA –más de 28.000 en todo el mundo– se caracterizan
por su diversidad ya que están presentes en más de 100 países y cubren una variedad de
puestos profesionales relacionados con TI, como son los Auditores de SI, Consultores,
Educadores, Profesionales de Seguridad de SI, Reguladores, Directores Ejecutivos de
Información y Auditores Internos, por mencionar sólo algunos.
En las tres décadas transcurridas desde su creación, ISACA se ha convertido en una
organización global que establece las pautas para los profesionales de gobernación,
control, seguridad y auditoría de información.
Su certificación Certified Information Systems Auditor –Auditor Certificado de Sistemas de
Información– CISA, es reconocida en forma global y ha sido obtenida por más de 30.000
profesionales. Su nueva certificación Certified Information Security Manager –Gerente
Certificado de Seguridad de Información– CISM, se concentra exclusivamente en el sector
de gerencia de seguridad de la información. Publica un periódico técnico líder en el campo
de control de la información, el Information Systems Control Journal –Periódico de Control
de Sistemas de Información.
Las empresas públicas y privadas están valorando cada día más la creciente importancia
que representa mantener sistemas informáticos seguros, confiables y confidenciales, que

27
eviten o prevengan la ocurrencia de errores u operaciones ilegales a partir de debilidades
en los sistemas de control.
Certified Information Security Auditor, CISA
La Asociación de Auditoría y Control de Sistemas de Información (ISACA) provee una
Certificación en Auditor en Sistemas de Información (CISA), por medio de un examen
anual que realiza el Instituto a los candidatos, el cual cubre el conocimiento de actividades
requeridas para la función de Auditoría en TI, para lo cual presenta un Manual de
Información Técnica para la preparación de los candidatos.
La certificación de CISA (Certified Information Systems Auditor) es otorgada por la (ISACA),
desde 1978 y es considerada en la actualidad como un reconocimiento de que se cuenta
con los conocimientos teóricos y prácticos necesarios para desempeñarse como Auditor
de Sistemas siguiendo los estándares y directrices definidos para una mejor preparación.
La designación de CISA, se considera hoy en día, una ventaja competitiva y resulta de
beneficio no solo para las organizaciones que deben cumplir con requerimientos de
certificación profesional de sus colaboradores, sino para las personas que buscan un
desarrollo profesional y la obtención de certificaciones que ofrecen oportunidades a nivel
internacional.
Certified Information Security Manager, CISM
También ISACA provee la Certificación para la Administración de la Seguridad de la
Información del cual intenta garantizar que existan administradores de seguridad de TI
que tengan los conocimientos necesarios para reducir el riesgo y proteger a la
organización.
La certificación CISM está diseñada para dar la certeza de que los individuos certificados
tengan los conocimientos para ofrecer una eficaz administración y consultoría de
seguridad.
Esta orientada a profesionales que administran la seguridad de la información en una
organización y tienen el conocimiento y la experiencia para montar, implementar y dirigir
una estructura de seguridad para administrar el riesgo con eficacia y tienen la
responsabilidad de entender la relación entre las necesidades comerciales y la seguridad
de TI.

28
Para obtener esta certificación, los profesionales deben aprobar el examen, adherirse a un
código ético y presentar pruebas verificadas de que tienen una experiencia laboral de
cinco años en seguridad de la información.
El Institute of Internal Auditors (IIA) –organización profesional con sede en Estados
Unidos, con más de 70.000 miembros en todo el mundo y 60 años de existencia–
anualmente organiza su Conferencia Internacional, la que habitualmente congrega a más
de un millar de auditores de todos los continentes.
EI IIA es reconocido mundialmente como una autoridad, pues es el principal educador y el
líder en la certificación, la investigación y la guía tecnológica en la profesión de la auditoría
interna.
El desarrollo de los Estándares de la Práctica Profesional de Auditoría Interna, así como las
Certificaciones de Auditor Interno (CIA), de Auto evaluación de Control (CCSA) y de
Auditor Interno Gubernamental (CGAP), y su participación en el diseño del Enfoque COSO
son sólo algunos de los hitos que han transformado al IIA en la entidad internacional
señera en la profesión.
Establecen el IIA como el recurso de conocimiento primario sobre las mejores prácticas y
publicaciones (cuestiones) que afectan la profesión interna de auditoría. Encuentran las
necesidades de desarrollo de profesional que se desarrollan de médicos internos de
auditoría.
Certified Internal Auditor, CIA
El IIA cuenta con su propia Certificación de Auditores Internos CIA, la cual se da tanto a
proveedores de estos servicios.
Contar con profesionales certificados en auditoría interna, para la organización significa
contar con un valioso recurso para la dirección y el consejo de administración, que ayuda
a garantizar el avance en la dirección correcta para el logro de sus metas y objetivos. La
certificación como auditor interno la otorga el Institute of Internal Auditors que es una
asociación internacional de profesionales especialistas en auditoría interna,
administración de riesgos, gobierno corporativo. Control interno, auditoría a tecnología de
información, educación y seguridad.
Para obtener la certificación CIA además de los requisitos educacionales y de experiencia
sino el apego al Código de Ética, y el desarrollo profesional continúo.

29
Los rigurosos requerimientos de este programa, aseguran que los auditores internos
que logran la certificación, están armados con herramientas invaluables que pueden ser
aplicadas globalmente en cualquier organización o industria.
Para mantener la certificación CIA se requiere que los CIA mantengan y actualicen sus
habilidades y conocimientos. Los CIA practicantes deben completar e informar cada dos
años, 80 horas de educación profesional continua.
2.5. TECNOLOGIA A UTILIZAR.
Ordenadores:
El equipo a utilizar esta detallado a continuación.
Nombre Modelo Características
Equipo 1 Sony Vaio Dual core 1.6 ghz T2330
Equipo 2 PC clon Dual core 1.8 ghz E2160
Equipo 3 XFX Core 2 quad 2.66 ghz E8400
Servicios:
Herramientas CASE:
Se implementaran las siguientes herramientas CASE:
 Backtrack3: Es una distribución Linux pensada para la auditoria de seguridad en
redes y la seguridad informática en general. Incluye larga lista de herramientas de
seguridad listas para usar, entre las que destacan numerosos scanners de puertos
y vulnerabilidades, archivos de exploits, sniffers, herramientas de análisis forense y
herramientas para la auditoría Wireless.
o Esta herramienta nos permitirá llevar un control sobre los permisos en el
acceso a la red de cada uno de los usuarios así como establecer límites.
 Systemarchitec: Esta herramienta posee un repositorio único que integra todas las
herramientas, y metodologías usadas. En la elaboración de los diagramas, el

30
SystemArchitect conecta directamente al diccionario de datos, los elementos
asociados, comentarios, reglas de validaciones, normalización, etc.
Posee control automático de diagramas y datos, normalizaciones y balanceado
entre diagramas "Padre e Hijo", además de balanceado horizontal, que trabaja
integrado con el diccionario de datos, asegurando la compatibilidad entre el
Modelo de Datos y el Modelo Funcional.
2.6. CONTROLES INTERNOS.
CONTROLES INTERNOS.
Los controles internos son la guía de nuestra auditoria que mencionara lo que se piensa evaluar al
momento de la aplicación de esta en el sistema.
Controles internos sobre la organización del área de informática.
En estos controles veremos el grado de organización que posee el departamento, es decir si se
encuentra bien estructurado en la forma de trabajo, con la determinación de roles de las personas
que trabajan. A continuación detallamos los puntos que se evaluaran:
Dirección: La dirección es uno de los subelementos básicos del control interno en cualquier
empresa, ya que esta es la función primordial de la entidad o persona que tiene la misión de dirigir
la actividades en la institución o en un área específica, así como la de coordinar el uso de los
recursos disponibles en el área para cumplir en objetivo institucional.
División de Trabajo: Para el buen desarrollo de las actividades de cualquier empresa es necesario
que las actividades se realicen de acuerdo a como hayan sido diseñadas en la estructura de la
organización y de acuerdo con lo delimitado por el perfil de puestos.
Asignación de Responsabilidad y Autoridad: Es la asignación de las líneas de autoridad por puesto
y el establecimiento de los limites de responsabilidad de las líneas de autoridad por puesto y el
establecimiento de los limites de responsabilidad que tendrá cada uno de estos.
Establecimiento de Estándares y Métodos: Es de suma importancia estandarizar el desarrollo de
todas las actividades y funciones a fin de que estas se realicen de manera uniforme conforme a las
necesidades concretas de las unidades de informática que integran la empresa.
Perfiles de Puestos: Este elemento del control interno informático ayuda a identificar y establecer
los requisitos, habilidades, experiencia y conocimientos específicos que necesita tener el personal
que ocupa un puesto en el área de sistemas.

31
Controles internos sobre el análisis, desarrollo e implementación de sistemas.
Estandarización de Metodologías para el Desarrollo de Proyectos: La empresa debe adoptar
alguna metodología que sea acorde al desarrollo de sus proyectos de sistemas, la aplicación de
una metodología estandarizada para el desarrollo de un proyecto informático.
Asegurar que el beneficio del sistema sea óptimo: Se busca la optimización de las tareas,
operaciones y funciones que resultaran con la implementación de los sistemas, contando para ello
con el seguimiento de una metodología uniforme para el desarrollo de nuevos sistemas.
Elaborar estudios de factibilidad Del sistema: Todo proyecto de informática tiene que evaluar
desde dos puntos de vista específicos: la viabilidad y la factibilidad, es decir se deben analizar la
viabilidad de realizar el proyecto y la factibilidad de llevarlo a cabo.
Garantizar la eficiencia y eficacia en el análisis y diseño del sistema: La premisa fundamental del
analisis y diseño de sistemas es la realización de proyectos que optimicen las actividades que se
desarrollaran con la implementación de un nuevo sistema computacional, además un nuevo
proyecto solo se justifica si con él se busca satisfacer la eficiencia y eficacia de las actividades de la
empresa lo cual se logra mediante la adopción de una metodología estándar en la realización de
los sistemas.
Vigilar la efectividad y eficacia en la implementación y en el mantenimiento del sistema: Es
necesario vigilar la efectividad en la implementación del sistema y, una vez liberado, también se
debe procurar su eficiencia a través del mantenimiento.
Lograr un uso eficiente del sistema por medio de su documentación: Después de terminado el
desarrollo del sistema o durante su elaboración es requisito indispensable ver una buena
documentación en relación al sistema.
Controles internos para la operación del sistema.
Permite evaluar la adecuada operación de los sistemas, se requiere de un elemento que se
encargue de vigilar y verificar la eficiencia y eficacia en la operación de dichos sistemas, su
existencia ayuda a garantizar el cumplimiento de los objetivos básicos del control interno.

32
Controles internos para los procedimientos de entrada de datos, procesamiento de información y
emisión de resultados.
Son de gran ayuda por la confiabilidad que brindan en el procesamiento de información, permiten
verificar que el procedimiento de entrada-proceso-salida se lleve a cabo correctamente.
Controles internos para la seguridad del área de sistemas.
Seguridad de los recursos informáticos, del personal, de la información, de sus programas, etc., lo
cual se puede lograr a través de medidas preventivas o correctivas, o mediante el diseño de
programas de prevención de contingencias para la disminución de riesgos.
Controles para prevenir y evitar amenazas, riesgos y contingencias en las áreas de sistematización
Estos tipos de controles son los que deberán llevarse a cabo dentro de nuestra auditoria de
sistemas, para así, determinar los datos que se evaluaran para poder dar una solución a algún
problema que se presente.
A continuación mostramos la aplicación de esos controles internos, que se verán en nuestra
auditoria.
APLICACIÓN DE CONTROLES INTERNOS.
Actividad. Tipo de Control a Aplicar. Información a Encontrar.
Entrevista. -Organización del área de
informática.
-Dirección.
-División de Trabajo
-Asignación de Responsabilidad y Autoridad.
-Establecimiento de Estándares y Métodos.
-Perfiles de Puestos
Encuesta. -Los procedimientos de
entrada de datos,
procesamiento de
información y emisión de
resultados.
-El análisis, desarrollo e
implementación de
sistemas.
-Verificar la confiabilidad, veracidad y
exactitud del procesamiento de datos.
-Asegurar que el beneficio del sistema sea
óptimo.

33
Listas de
Chequeo.
TODOS Se espera que estas listas nos brinden toda la
información del sistema.
Observación. -La operación del sistema.
-La seguridad del área de
sistemas.
-Los procedimientos de
entrada de datos,
procesamiento de
información y emisión de
resultados.
implementación de
sistemas.
-Prevenir y corregir errores de operación.
-Prevenir y evitar la manipulación fraudulenta
de la información.
-Implementar y mantener la seguridad en la
operación.
-Mantener la confiabilidad, oportunidad,
veracidad y suficiencia en el procesamiento de
la información en la institución.
-Control de accesos físicos del personal del
área de cómputo.
-Control de accesos al sistema, a las bases de
datos, a los programas y a la información.
-Uso de niveles de privilegios para acceso, de -
palabras clave y de control de usuarios.
-Monitoreo de accesos de usuarios,
información y programas de uso.
-Existencia de manuales e instructivos, así
como difusión y vigilancia del cumplimiento de
los reglamentos del sistema.
-Identificación de los riesgos y amenazas para
el sistema, con el fin de adoptar las medidas
preventivas necesarias.
-Elaboración de planes de contingencia,
simulacros y bitácoras de seguimiento.
-Verificar la existencia y funcionamiento de los
procedimientos de captura de datos.
-Comprobar que los datos sean debidamente
procesados.
-Comprobar la suficiencia de la emisión de
información.
-Vigilar la efectividad y eficacia en la
implementación y en el mantenimiento del
sistema.
Evaluación de
Documentación
implementación de
sistemas.
-Lograr un uso eficiente del sistema por medio
de su documentación.
-Estandarización de Metodologías para el
Desarrollo de Proyectos.
-Elaborar estudios de factibilidad Del sistema.
-Garantizar la eficiencia y eficacia en el análisis
y diseño del sistema.

34
2.7. PLANEACION DE LA COMUNICACIÓN.
Para poder dar a conocer todos los resultados de la información recolectada, así como los
resultados de los datos analizados, procederemos de la siguiente manera.
 Para definir la manera de dar a conocer los resultados se hará con una semana de
anticipación para que todos estén conocedores y se hagan presente el día
acordado.
 La información será divulgada por medio de una reunión con todas las personas
involucradas en la auditoria.
 Se investigara que personas pueden sufrir achaques de salud para evitar
complicaciones con los resultados a mostrar
 La reunión procederá de la siguiente manera.
o Se hará firmar a todos los presentes una carta en la que juraran
confidencialidad total de:
 Los procesos en los cuales se les evaluó.
 La información que se obtuvo de ellos y se está dando a conocer.
 Discreción con los demás compañeros de trabajo.
o Se hará por medio de un reporte el cual será expuesto en un breve
planteamiento; el reporte completo será entregado al encargado del área
para que lo analice y se le entregaran dos copias:
 Digital: la cual será enviada por correo electrónica de la manera más
discreta y confidencial, para confirmar su recepción se dará un plazo
de dos días y con un correo de confirmación y una respuesta
secreta que solo el líder del equipo y el encargado del área
conocerán.
 Impresa: el reporte será entregado personalmente alencargado y se
le pasara una hoja de recibido y tendrá que firmarla, para su
entrega.

35
o Se mostraran todos los resultados obtenidos.
 Después de mostrar los resultados se procederá a:
o Evaluar de manera general con los involucrados los resultados.
o Evitar desavenencias entre los empleados, tales como:
 Señalar culpables.
 Negar responsabilidades.
 Al finalizar la reunión se acordara con el jefe de área el punto en el cual se explica
cómo se hará la entrega del reporte completo.
2.8. DEFINICION DE MÉTRICAS.
Para el desarrollo de las métricas nos hemos basado en listas de control o checklist, en las
cuales hemos establecido métricas que nos devuelven un indicador que va catalogado del
1 al 5 en donde el limite inferior 1, significa la ausencia total de este control lo cual es
catalogado como inexistente, y el limite superior que es 2, lo cual significa la existencia de
este control, o cumplimiento de este, y además de manera optima, luego existen las
ponderaciones intermedias que muestran el grado de deficiencia en que se encuentran
dichos controles actualmente en la empresa.
Para establecer el rigor con que son aplicadas las métricas nos basamos en la experiencia
del personal y en las normativas de trabajo, dichas unidades de medición son escalables,
simples, y objetivas. Dichos controles quedan evidenciados en los anexos

36
2.9. PRESUPUESTOS Y PROGRAMAS.
Hospital Nacional "Dr. Juan José Fernández", Zacamil.
P r e s e n t e
Propuesta de auditoria informática.
La presente propuesta abarca todo el desarrollo de la auditoria, así como los suministros
necesarios.
Presupuesto auditoria de sistema 2010.
Auditoria externa.

37
Monto en dólares.
Los precios incluyen i.v.a.
Los pagos puede realizarlos por medio de:
 Paypal.
 Moneygram.
 Transferencia bancaria.
 Cheque.1
Atentamente el equipo auditor.
1
Para todo cheque rechazado se hará un recargo extra.
Programa de la auditoria.
Unidad encargada Actividad Descripción Días
Unidad administrativa 1 Solicitud de la auditoria. 1
Unidad administrativa 2 Reunión del equipo con los solicitantes
de la auditoria.
1
3 Delimitación de cargos en el equipo
auditor.
1
Unidad de informática 4 Concretización del día y hora de la
primera reunión con el encargado.
1
Unidad informática 5 Reunión del encargado del área de
sistemas con los auditores para definir
una fecha en la que se visitaran las
2

38
instalaciones de informática.
6 Delimitar el plan de la auditoria y
evaluar los aspectos a tomar en cuenta.
1
Unidad informática 7 Entrevistas con el jefe de informática y
el personal.
2
8 Procesamiento de la información
obtenida.
4
Unidad administrativa
e informática
9 Concretar la fecha de la reunión del
análisis de resultados.
1
Unidad administrativa
e informatica
10 Reunión con el personal y el jefe sobre
los resultados del informe.
1
2.10. APLICAR LA AUDITORIA. EMPEZAR LA ASI!
Algunos de los procesos por los que deberá pasar son:
Confirmación.
documental, digital o de sistemas.
No olvide declarar y detallar el modelo de desarrollo de la así (Lineal, espiral, cascada,
etc.)

39
2.11. IDENTIFICAR DESVIACIONES Y ELABORAR BORRADORES DE INFORMES.
DESVIACIONES Y BORRADORES DE INFORMES.
En el caso de nuestro proyecto vamos a evaluar alrededor de 6 áreas de gran importancia para el
sistema y obtener los resultados que serán brindados en el informe final de la auditoria.
Mencionamos las áreas:
 Hardware.
 Software.
 Base de Datos.
 Redes.
 Gerencia.
 Documentación.
Con los resultados de la aplicación de las actividades a realizar, se deberá tener un plan de
clasificación de hallazgos. Este plan consistirá de la siguiente forma:
1. Para el hallazgo de información en cada uno de las actividades se tomara una metodología
diferente.
Actividad. Manejo de los Hallazgos.
Entrevista. -Se tomara en base a la opinión del entrevistado que contestara las
preguntas, que hayamos diseñado.
-Tomando en cuenta puntos positivos y negativos.
-Se dividirá la entrevista en cada área para abarcar la mayor cantidad de
información que se posea.
Encuesta. -Dicha encuesta será pasada, a la persona o personas que utilizan el
sistema. En caso de ser solo una, se puede convertir la actividad en
entrevista.
-Se evaluara los puntos que fueron planteados en los controles descritos.
-De acuerdo a la opinión que se encuentre, se tomara muy en cuenta en
el informe final.
Listas de
Chequeo.
-Se tomaran muy en cuenta las mayores y menores notas que se brinden
a cada aspecto de la lista de chequeo.
-Se comparara con las demás actividades.
Observación. -Se anotara aspectos positivos y negativos.
-Se anotaran los más mínimos detalles de la auditoria.
-Se tomara pruebas de los resultados, como fotos, para la comprobación.
Evaluación de
Documentación
-Se anotara todos los aspectos positivos o negativos de la documentación
que se presente.
2. Se clasificaran los hallazgos por áreas de estudio. Y en cada área se clasificara en:
Positivos: No se necesita ningún cambio a ese aspecto.
Menores: No representan una mayor urgencia de cambio, es decir que puede seguir manteniendo
por un tiempo.

40
Mayores: Necesitan una mayor atención y posiblemente sean requeridos un cambio, a los
aspectos que estén en esta categoría.
REPORTES DE ASPECTOS ENCONTRADOS.
Sistema: Fecha:
Área:
Aspectos Positivos.
Aspectos Negativos.
Carácter Menor
Carácter Mayor.

41
DESVIACIONES.
En el caso de las desviaciones hasta el momento se han hallado varios descubrimientos. A
continuación detallamos algunas desviaciones.
 Hardware.
-El hardware encontrado, no es muy adecuado con respecto a las necesidades del sistema.
-Algunos de los dispositivos no se encuentran activados dentro de las computadoras, esto
puede ser debido a no se encuentran activados o no se les ha colocado los drivers que se
deberá tener.
-Algunos de los equipos se encuentran desubicados, es decir que no se encuentran dentro
de una misma área específica.
 Software.
-Los reportes que se están desarrollando en el sistema, no son de mucha confianza,
debido a que toman informaciones más de lo debido.
-El software no posee una contraseña de acceso, esto genera un gran error de acceso,
porque puede ser visto por otras personas.
 Base de Datos.
-La base de datos no posee un servidor donde poder guardar la información.
-La base de datos totalmente se rige de un código que representa toda la información,
pero dicho código es muy redundante lo cual puede generar un problema.
-La base de datos se encuentra insegura, es decir que no se encuentra encriptado.
 Redes.
-El sistema en general no tiene instalado un área de redes que conecte el sistema. Es decir
que para poder pasar una información a otra computadora debe ser solo por diskette
 Gerencia.
-No existe personas que puedan desarrollar un mantenimiento del equipo en su totalidad.
 Documentación.
-No existe documentación hasta el momento encontradas.
Se estará encontrando más adelante más puntos o desviaciones que ofrezcan la auditoria.

42
2.12. PRESENTAR DESVIACIONES A DISCUSIÓN.

43
GLOSARIO
Auditoría de la información
Metodología global que permite detectar de forma sistemática el uso, los recursos y los
flujos de información dentro de una organización, y determinar qué información es crítica
para el cumplimiento de su misión y objetivos. Identifica necesidades, duplicidades, costes,
valor y barreras, que obstaculizan flujos de información eficientes.
Auditores externos.
Profesionales facultados que no son empleados de la organización cuyas afirmaciones o
declaraciones auditan.
Auditores internos.
Profesionales empleados por una organización para examinar continuamente y evaluar el
sistema de control interno y presentar los resultados de su investigación y
recomendaciones a la alta dirección de la entidad.
Auditoría financiera o de estados financieros.
Consiste en el examen y evaluación de los documentos, operaciones, registros y estados
financieros del auditado, para determinar si éstos reflejan razonablemente, su situación
financiera y los resultados de sus operaciones, así como el cumplimiento de las
disposiciones económico-financieras, con el objetivo de mejorar los procedimientos
relativos a la gestión económico-financiera y el control interno.
Evaluación de servicios de información
Valoración, desde el punto de vista cuantitativo, cualitativo y de impacto en el seno de la
organización del servicio de información, para determinar en qué medida cumple los
objetivos para los que fue creado y detectar áreas de mejora donde concentrar
intervenciones posteriores.
Flujo de información
Movimiento de información entre departamentos e individuos dentro de una organización
y entre una organización y su entorno.
Control interno. Todas las medidas utilizadas por una empresa para protegerse contra
errores, desperdicios o fraudes y para asegurar la confiabilidad de los datos contables.

44
Está diseñado para ayudar a la operación eficiente de una empresa y para asegurar el
cumplimiento de las políticas de la empresa.
Economía. Se obtiene cuando se reduce al mínimo el costo de los recursos que se
emplean en una actividad, con la debida consideración a su calidad apropiada.
Eficacia. El grado en que se cumplen los objetivos y la relación entre el efecto deseado en
una actividad y su efecto real.
Eficiencia. La relación que existe entre el producto (en término de bienes, servicios u
otros resultados) y los recursos empleados en su producción.
Entidad (empresarial).
Una unidad económica que realiza transacciones comerciales que se deben registrar,
resumir y reportar. Se considera la entidad separada de su propietario o propietarios.
Estados Financieros. Fuentes de información sobre la marcha de la entidad empresarial.
Incumplimiento. No pago de intereses o capital de un pagaré en la fecha de vencimiento.
Objetivo de la auditoría. Propósito o fin que persigue la auditoría, o la pregunta que se
desea contestar por medio de la auditoría.
Riesgo. Posibilidad de que no puedan prevenirse o detectarse errores o irregularidades
importantes.
Riesgo inherente. Existe un error que es significativo y se puede combinar con otros
errores cuando no hay control.
Riego de control. Error que no puede ser evitado o detectado oportunamente por el
sistema de control interno.
Riesgo de detección. Se realizan pruebas exitosas a partir de un procedimiento de prueba
inadecuado.
Técnicas de auditoría. Métodos que el auditor emplea para realizar las verificaciones
planteadas en los programas de auditoría, que tienen como objetivo la obtención de
evidencia.

45
FUENTES DE INFORMACION
A. BIBLIOGRAFÍA.
1. AUDITORIA EN SISTEMAS COMPUTACIONALES. CARLOS MUÑOZ RAZO. Editorial
Prentice Hall. 2006. México.
B. SITIOS WEB.
1.- http //auditoriasistemas.com/auditoria-de-sistemas-informaticos/, Sitio informativo
de Auditores y consultores en seguridad informática.
2.- http://www.mitecnologico.com/Main/InvestigacionPreliminarAuditoriaInformatica/,
Sitio informativo de tecnología , articulo de auditoría informática.
3.- http://www.encolombia.com/medicina/enfermeria/Enfermeria8405-Sistemas.htm,
Sitio informático de auditoría de sistemas en la Salud y sus sistemas.

46
PARTICIPACION EN EL PROYECTO
Nombre
Participación
Etapa 1 Etapa 2 Etapa 3
Moisés Salvador Pérez Prieto 10
Mario Edgardo Planas Orellana 10
William José Manuel Lobos 10

47
ANEXOS…………………..
AREA DE AUDITORIA DE SISTEMAS DE INFORMACIÓN.
EMPRESA:
SISTEMA:
Objetivo: Determinar por medio de esta lista de chequeo, el grado de seguridad que ofrecen al
momento de protección de la información.
En la siguiente lista coloque un cheque según crea conveniente, basado en una escala de rangos
donde 1 es inexistente, 2 deficientes, 3 mejorable, 4 aceptable, 5 correcto.
ACCESO A LA INFORMACIÓN.
Preguntas. 1 2 3 4 5
1. ¿El sistema posee una petición de usuario y contraseña a la
entrada del sistema?
2. ¿La digitación de la contraseña se hace de forma
encriptado?
3. ¿El sistema no posee deficiencias al momento de ingresar,
con un usuario y contraseña correcta?
4. ¿El sistema guarda el usuario y su contraseña en la base de
datos respectiva?
5. ¿La modificación de usuario y contraseña se hace de forma
efectiva?
6. ¿La eliminación de usuario y contraseña se hace de forma
efectiva?
7. ¿Se puede agregar de forma correcta el usuario y
contraseña y establecer su existencia?
8. ¿Se puede diferenciar los permisos de usuario ya
administrativo?
PUNTAJE EN ESTA SECCIÓN.
ENTRADA DE DATOS.
Preguntas 1 2 3 4 5
1. ¿Los formularios se encuentran validados de acuerdo a la
especificación de cada dato que se debe ingresar?
2. ¿Existen las notificaciones de los datos obligatorios que
necesita el sistema?
3. ¿Existen las alertas necesarias al momento que falte datos
obligatorios?

48
4. ¿El sistema ingresa correctamente los datos a la base de
datos que se está empleando?
REDES DE COMUNICACIÓN.
1. ¿La información que se envía por medio de redes
computacionales llega de forma segura a su destino?
2. ¿La red del sistema posee el cableado necesario, sin fuga
de información?
3. ¿El cableado cumple las normas para evitar la latencia y la
atenuación de las señales?
4. ¿La información que se envía por las redes se encuentran
encriptados?
BASE DE DATOS.
Preguntas 1 2 3 4 5
1. ¿Está protegido el ingreso al sistema gestor y a la base de
datos?
2. ¿Se encuentran encriptados los datos que se están
utilizando?
3. ¿Se modifica información, desde la base de datos, sin
necesidad de ingresar al sistema?
4. En la base de datos, ¿Los permisos de acceso están
definidos?
5. ¿Existe el uso del backup, para guardar la información?
6. ¿El backup es realizado con frecuencia?
HARDWARE.

49
1. ¿El área donde se encuentra el equipo hardware está
protegido?
2. ¿Dicha área, posee las herramientas necesarias en casos de
emergencias (extintores, aire acondicionado, otros)?
3. ¿El acceso al área es muy restringido?
4. ¿El personal es capacitado para manejar, ese equipo y la
información que lo posea?
TOTALES.
TOTAL FINAL
OBSERVACIONES:

50
LISTA DE CHEQUEO CONTROL DE LA CALIDAD
Objetivo: El objetivo principal que se persigue al llevar acabo esta lista de chequeo es la
Evaluación de cómo gestionan la calidad de los sistemas y procedimientos.
Aún cuando se han dejado sólo dos columnas para verificar la existencia o detección de evidencia/s de
cumplimiento de cada requisito exigido por la norma de referencia, en ocasiones, la respuesta o valoración
podría ser matizada en un campo anexado nominado como “Observaciones” cuando se aprecien indicios o
evidencias no suficientes pero que manifiestan cierto nivel de cumplimiento del requisito.
CONTRO DE LA CALIDAD
SI NO
Sobre La Organización:
a) Identifica y reconoce los procesos necesarios para la gestión de la calidad y su aplicación a
través de la organización.
b) determina la secuencia e interacción de estos procesos,
c) determina los métodos y criterios requeridos para asegurar: el funcionamiento efectivo y el
control de los procesos,
d) asegura la disponibilidad de recursos e información necesarios para apoyar el funcionamiento
y el seguimiento de los procesos,
e) mide, realiza el seguimiento y analiza estos procesos,
f) implanta las acciones necesarias para alcanzar los resultados previstos y la mejora continua de
estos procesos.
Si la organización tiene contratado externamente algún proceso que afecte a la interacción del sistema
informático y por ende su calidad de desarrollo
a) ¿Se asegura el control sobre tales procesos?
b) ¿El control de dichos procesos contratados externamente está identificado en el sistema de
gestión de la calidad?
La documentación del sistema de gestión de la calidad incluye:
a) declaraciones documentadas de una política de la calidad y de objetivos de la calidad,
El manual de la calidad incluye:
 Todas las funciones desempeñadas por el proceso de la organización, especificando el
protocolo a desarrollar en cada una.
 Documentación acerca de normas o estándares que se están cumpliendo o deberían
de cumplirse.
El procedimiento documentado para el control de documentos contempla entre otras, las disposiciones
necesarias:
 para asegurar que las versiones pertinentes de los documentos aplicables se
encuentran disponibles en los puntos de uso,
 para asegurar que los documentos permanecen legibles y fácilmente identificables,
 para asegurar que se identifican los documentos de origen externo y que se controla
su distribución.
Los registros de calidad permanecen legibles, fácilmente identificables y recuperables
Acerca de las salidas y entradas de información.
Se cumple una normativa o estándar en la que se respalde los métodos de ingreso y salida de
datos

51
El ingreso de datos se lleva a cabo acorde a las normas de calidad establecidas por la empresa
OBSERVACIONES:
AREA DE AUDITORIA DE SISTEMAS DE INFORMACIÓN.
EMPRESA:
SISTEMA:
Objetivo: Determinar el nivel de control que se posee el sistema evaluado.
Indicaciones: Coloque un cheque en la casilla donde más le parezca sabiendo que 1-
Deficiente y 5-Aprobado.
ENTRADA AL SISTEMA.
9. ¿El acceso al sistema se hace de acuerdo a un usuario y contraseña?
10. ¿Los permisos que se brindan son definidos en el interior del sistema?
11. ¿El sistema es capaz de eliminar esos permisos?
12. ¿Se puede modificar los permisos en el sistema?
13. ¿Existen opciones en caso de no conocer usuario y contraseña?
ENTRADA DE DATOS.
Preguntas 1 2 3 4 5
5. ¿Los formularios se encuentran validados de acuerdo a la
especificación de cada dato que se debe ingresar?
6. ¿Existen los botones para la administración de la información?
7. ¿Existen las alertas necesarias al ingresar información?
8. ¿El sistema ingresa correctamente los datos a la base de datos que se
está empleando?
REDES DE COMUNICACIÓN.
5. ¿La información que se envía por medio de redes computacionales
llega de forma segura a su destino?
6. ¿Están definidas las rutas que llevaran los paquetes de un punto a

52
otro?
7. ¿El cableado cumple las normas para evitar la latencia y la atenuación
de las señales?
8. ¿Están definidos los protocolos de enrutamiento que se usan para
conocer las rutas?
9. ¿Está definida físicamente la topología (física y lógica) que lleva el
sistema?
BASE DE DATOS.
Preguntas 1 2 3 4 5
7. ¿Están normalizadas la base de datos que se usara?
8. ¿Están estructuradas las bases de datos con la información coherente
para la entrada y salida?
9. ¿Se modifica información, desde la base de datos, sin necesidad de
ingresar al sistema?
10. ¿Se hace el uso de trigger, procedimientos, con el fin de ayudar al
sistema gestor de base de datos para realizar procesos mas eficientes?
11. ¿Los datos que se guardan son muy necesarios a la hora de su uso?
SALIDA DE DATOS.
5. ¿Los reportes están definidos con la información
necesaria?
6. ¿Existe el equipo para la salida de información con buen
funcionamiento (Impresoras, pantallas, etc)?
7. ¿Los datos están bien marcados dentro del reporte?
8. ¿Existen las opciones de modificación de la información
con los datos ya evaluados?
TOTALES.
TOTAL FINAL

53

nanopdf.com_auditoria-de-sistemas-informaticos.pdf

Recomendados

Recomendados

Más contenido relacionado

Similar a nanopdf.com_auditoria-de-sistemas-informaticos.pdf

Similar a nanopdf.com_auditoria-de-sistemas-informaticos.pdf (20)

Último

Último (20)

nanopdf.com_auditoria-de-sistemas-informaticos.pdf