ENAMI
Programa de auditoria
Seguridad fsica CPD del banco mundial.
Actividades
Hecho por
/ -fecha
Coordinacin Trabajo
WV/ 10-08
Referencia
Hoja de
Trabajo
MA/15-08
MA/31-08
www.eduardoleyton.com
www.eduardoleyton.com
www.eduardoleyton.com
Programa de Auditora
Direccin de Fiscalizacin
6 de junio de 1997
www.eduardoleyton.com
Contenido
I.
Obtencin de Conocimiento
II.
Definicin de Objetivos
III.
IV.
Procedimientos de Auditora
V.
Programa de Trabajo
www.eduardoleyton.com
OBTENCIN DE CONOCIMIENTO
de
incorporacin,
ENAMI,
en
custodia
temas
uso
concernientes
de
tecnologas
a
de
Solicitar,
analizar
evaluar
las
polticas
informticas de ENAMI.
2.
Evaluar
las
normativas
internas
de
ENAMI
que
4.
Analizar
las
internos
relevantes
www.eduardoleyton.com
del
actas
de
rea
tomadas
reuniones
respecto
en
relacin
a
a
de
comits
decisiones
la
gestin
Analizar
las
Informtica
actas
de
reuniones
de
Comit
Evaluar
alianzas
estratgicas-tecnolgicas
Solicitar
evaluar
documentacin
del
Plan
ENAMI
analizar
las
actas
de
sesiones
del
Comit de sta.
9.
10.
Otros
antecedentes
escritos
de
estratgico-tecnolgico-informtico
que
carcter
oriente
el desarrollo de la auditora.
11.
Antecedentes
de
programas
anuales
de
Antecedentes,
Planes
de
conocimiento
Contingencias
cumplimiento
aplicados
al
rea
de
de
informtica.
www.eduardoleyton.com
Respaldo
energtico
continuidad
de
las
II.
OBJETIVOS
OBJETIVO GENERAL
El objetivo del presente trabajo consiste en relevar y
evaluar las estructuras de control que sustentan el
ambiente
de
informtica
Interno
seguridad
de
la
entorno
fsica
Empresa
a
la
de
lgica
del
Minera.
incorporacin
rea
de
El
Control
uso
de
principales
organizacin y
caractersticas
que
sustentan
su
de
polticas,
normas
procedimientos
www.eduardoleyton.com
OBJETIVOS ESPECFICOS
El cumplimiento del objetivo general de este trabajo
considera lograr los siguientes objetivos especficos:
1.
con
el
control
de
datos,
3.
4.
5.
Verificar
la
existencia
Polticas
Informticas,
cumplimiento
normas
de
las
procedimientos
vigentes.
www.eduardoleyton.com
de
Contingencias
asociadas
al
rea
de
Informtica.
7.
Evaluar
el
cumplimiento
de
las
funciones
de
comunicacin,
protocolos
corporativas
reded
globales
(internet,intranet)
9.
para
prevenir
reconstruir
Indagar
verificar
la
existencia
de
un
Plan
Informtico en ENAMI.
11.
generacin,
aprobacin,
comunicacin
de
polticas,
relacionados
con
normas
el
objeto
tema
procedimientos
de
nuestra
auditora.
www.eduardoleyton.com
10
14.
a ellos.
Identificar
evaluar
Informticos
tendencias
de
los
la
principales
Empresa
tecnolgicas
del
Proyectos
respecto
mercado
las
sus
METODOLOGA DE AUDITORA
informtica,
disponibilidades
informticos,
principales
tecnolgicas
en
contratos
concordancia
con
de
recursos
por
alianzas-
los
objetivos
antecedentes
proporcionados
por
ENAMI,
la
procedimientos
documentacin
y
otros
informacin
documentos
de
tcnicos
www.eduardoleyton.com
11
en
Oficina
tcnicas
Central
pertinentes
se
con
todos
ellos
vinculados
tecnologa,
procesamiento
informacin,
seguridad
fsica
efectuarn
ejecutivos,
de sistemas y
al
tema
explotacin
y
lgica
del
de
la
de
la
rea
de
PROCEDIMIENTOS DE AUDITORIA
actividades
directamente
relacionadas
con
la
identificar
aquellas
decisiones
comit
de
informtica
polticas
del
cumplimiento
Plan
de
Informtico
aspectos
verificar
estratgicos
desde
el
la
www.eduardoleyton.com
12
ocular
la
infraestructura
de
contratos
de
proveedores
externos,
que
en
reuniones
de
coordinacin
los
usuario
como
receptor
beneficiado
de
las
la
optimizacin
inserta
existencia
de
de
adquisicin,
plataforma
posterior
la
de
cambio,
computacional,
elaboracin
del
Plan
Informtico.
7. Verificar la existencia, difusin, ejecucin o prueba
de
Planes
de
Contingencias
asociados
al
rea
de
informtica.
www.eduardoleyton.com
13
Programa de Trabajo
Descripcin de Actividades
Programa de Trabajo
Descripcin de Actividades
3
4
5
1
2
.
1
2
3
4
5
6
7
8
9
10
11
12
13
Programa de Trabajo
Descripcin de Actividades
14
15
16
17
18
V
1
2
3
4
5
6
Programa de Trabajo
Descripcin de Actividades
Conclusin
B Direccin de Fiscalizacin
Fiscalizador
VB
Programa de Trabajo
Auditora a la Explotacin del Sistema Computacional de Control de Gastos
-CONGAFecha Inicio: 27 de abril de 1999
Fecha Trmino: 3 semanas
Auditor: Eduardo Leyton G.
Descripcin de Actividades
I.
II.
Fecha
27.04.99
Refer
.
Contro
l
ok
Programa de Trabajo
Auditora a la Explotacin del Sistema Computacional de Control de Gastos
-CONGAFecha Inicio: 27 de abril de 1999
Fecha Trmino: 3 semanas
Auditor: Eduardo Leyton G.
Descripcin de Actividades
1. Obtener antecedentes Globales de Gestin Informtica:
1.1 Solicitud del Plan Informtico de la Empresa Nacional de
Minera Actualizado.
1.2 Solicitar Estructura y organizacin del Area de Informtica.
(Organigrama)
1.3 Solicitar Plataforma de Hardware y Software que sustentan el
servicio de computacional e informtico.
1.4 Actas sesiones del Comite de Informtica, en las cuales se haya
aprobado el desarrollo y construccin del sistema en cuestin.
1.5 Solicitar
Auditoras
Computacionales
o
Informticas
relacionadas con el desarrollo de la presente auditora.
2. Visita en Terreno: Observar y evaluar la:
2.1 Organizacin del servicio computacional (estructura del servicio)
y asistencia al usuario; servicio de postimplementacin.
2.2 Dotacin de recursos humanos asignados al rea de informtica
2.3 Plataforma Configuracin computacional.
2.4 Estandarizacin del hardware y software de la Empresa.
2.5 Sistemas de Respaldo Magntico.
2.6 Grado de compenetracin del usuario con su sistema.
3. Antecedentes Legales y Normativos :
3.1 Solicitar Normas Internas de elaboracin del sistema de
prespuesto y control de gastos.
3.2 Antecedentes legales, emanados del Ministerio de Hacienda,
Mideplan, Cochilco, que regulen la asignacin de presupuesto y
control de gastos.
3.3 Solicitar normas de programacin y Metodologa de Desarrollo.
3.4 Soliciitar normas de control de versiones y explotacin de sistemas.
3.5 Solicitar normas de respaldo de informacin magntica.
4. Antecedentes Tcnicas del Sistema Computacional.: Solicitar :
4.1 Antecedentes de la concepcin, definicin de requerimientos, factibilidad,
diseo, construccin e implementacin del Sistema Computacional CONGA.
4.2 Diseo Lgico del Sistema, esquema administrativo de trabajo, D.F.D.
principales funcionaes vinculadas con el sistema computacional, formularios,
Fecha
Refer
.
Contro
l
Programa de Trabajo
Auditora a la Explotacin del Sistema Computacional de Control de Gastos
-CONGAFecha Inicio: 27 de abril de 1999
Fecha Trmino: 3 semanas
Auditor: Eduardo Leyton G.
Descripcin de Actividades
niveles de autorizacin y flujo de informacin del Sistema CONGA.
4.3 Diseo Fsico del Sistema, D.E.R., modelo canonico, secuencia de procesos,
descripcin de tablas identificacin de PK, FK, y factores de normalizacin.
4.4 Informacin sobre nivles de autorizaciin y control de acceso al sistema.
4.5 Informacin sobre referencia cruzada de Aplicaciones-Tablas (archivos)
4.6 Definicin de los principales algoritmos usitlizados por el sistema y definidos
por el usuario y la Empresa.
4.7 Codificacin utilizada por el sistema.
4.8 Diagrama jerarquico de opciones o funciones del sistema jerarquizado.
4.9 Organizacin de disco, biblioteca, libreras donde reside el sistema y
mecanismos de respaldos magnticos.
4.10 Una breve descripcin de las restricciones, factores criticos que impactan o
afectan al sistema.
4.11 Descripcin de las herramientas y actual apoyo computacional
complementario utilizado por el usuario.
4.12 Procedimientos asociados a la explotacin del sistema en estudio.
4.13 Manual de Explotacin de Sistemas.
4.14 Secuencia Crtica de Procesos y Respaldo Magntico.
III.
5.1
5.2
5.3
5.4
5.5
5.6
5.7
Fecha
Refer
.
Contro
l
Programa de Trabajo
Auditora a la Explotacin del Sistema Computacional de Control de Gastos
-CONGAFecha Inicio: 27 de abril de 1999
Fecha Trmino: 3 semanas
Auditor: Eduardo Leyton G.
Descripcin de Actividades
Fecha
Refer
.
VB Direccin de Fiscalizacin
VB
Contro
l
Programa de Trabajo
Auditora a la Explotacin del Sistema Computacional de Control de Gastos
-CONGAFecha Inicio: 27 de abril de 1999
Fecha Trmino: 3 semanas
Auditor: Eduardo Leyton G.
Descripcin de Actividades
Fecha
Refer
.
Contro
l
Fiscalizador
IV.
Las actividades directamente relacionadas con la determinacin niveles de riesgos, obtencin de pruebas y
evidencias de auditora son las siguientes:
1. Verificar la existencia del diseo lgico, fsico, modelamiento de datos y la estructura de procesos del
sistema para analizar su correlacin con los requerimientos de informacin institucional, evaluar su
normalizacin de datos, su efeciencia como modelo para capturar, resguardar y accesar informacin.
2. Identificar y evaluar los potenciales riesgos de las principales tablas y aplicaciones del sistema
computacional.
3. Identificar el grado de formalidad y coordinacin entre el rea de explotacin de sistemas y el rea usuaria
(reparticiones, contabilidad, control de gatos y prespuestos)
4. Observar y evaluar los procedimientos definidos y aplicados, por el rea usuaria, para efectuar los cierres
y cuadraturas de procesos.
5. Indagar y evaluar los procedimientos manuales o automatizados para efectuar cierres computacionales y/o
respaldos magnticos.
6. Verificar la existencia y constante actualizacin y revisin de bitacoras de procesos, log de errores o de
eventos.
7. Verificar le existencia y cumplimiento de normas de control de versiones y traspaso de aplicaciones desde
el rea de mantencin a explotacin de sistemas.
OBTENCIN DE CONOCIMIENTO
Recopilar informacin tcnica y administrativa relacionado con el diseo, construccin e implementacin del
sistema computacional de Control de Gastos y Presupuesto - CONGA-, focalizando los esfuerzos, tanto en la
explotacin como en el diseo y ejecucin de controles de aplicacin del sistema.
Actividades especficas:
1. Solicitar cuerpos normativos del rea de informtica de ENAMI.
2. Evaluar las normativas de internas del rea de informtica ENAMI relacionado con la gestin de
desarrollo de proyectos informaticos, programacin y explotacin de sistemas.
3. Identificar hitos de control en el sistema computacional, tanto administrativos desarrollados por el usuario
y el explotador de sistemas, como automatizados insertos en las aplicaciones.
4. Determinar aplicaciones y procesos criticos del sistemas.
5. Evaluar la estructura de almacenamiento de informacin magntica del sistema CONGA.
6. Solicitar y evaluar la documentacin de cierre y cuadraturas utilizados por el usuario.
7. Indagar la existencia de coordinacin y formalidad entre Explotador de Sistemas y Usuario del CONGA.
8. Indagar la existencia de auditoras anteriores que permitan complementar la informacin a compilar.
9. Otros antecedentes escritos de carcter estratgico-tecnolgico-informtico que oriente el desarrollo de la
auditora.
10. Evaluar el grado de coordinacin entre las reas de explotacin de sistemas, control de presupuestos,
contabilidad y reparticiones, faenas y/o plantas fuentes de informacin del sistema CONGA.
Programa de Auditora
Auditora a la
Funcin de Administracin de BD,
Seguridad Fsica y Lgica de las
Redes de Comunicacin de Datos.
Direccin de Fiscalizacin
22 de junio de 1998
Contenido
I.
Obtencin de Conocimiento
II.
Definicin de Objetivos
III.
IV.
Procedimientos de Auditora
V.
Programa de Trabajo
OBTENCIN DE CONOCIMIENTO
Recopilar informacin y conocimiento relativo a la seguridad lgica y fsica del rea de informtica para
evaluar el ambiente de control asociado a la gestin informtica de ENAMI, en temas concernientes a
incorporacin, custodia y uso de tecnologas de tratamiento de la informacin. Lo anterior se har en base a
pruebas de cumplimiento pruebas sustantivas u otros antecedentes que permitan orientar el trabajo de
auditora a la determinacin de debilidades, riesgos y obtencin de evidencias en el ambiente de control del
rea informtica de ENAMI.
Actividades generales:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
OBJETIVOS
OBJETIVO GENERAL
El objetivo del presente trabajo consiste en relevar y evaluar las estructuras de control que sustentan el
ambiente de seguridad fsica y lgica del rea de informtica de la Empresa de Minera. El Control Interno
entorno a la incorporacin y uso de tecnologas de informacin en la Empresa de modo de satisfacer sus
requerimientos tecnolgicos presentes y futuros a nivel integral.
Este anlisis ser realizado en trminos de examinar las principales caractersticas que sustentan su
organizacin y sus controles internos asociados al rea de Informtica de la Empresa de Oficina Central
mediante la verificacin de la existencia, calidad y aplicacin de polticas, normas y procedimientos
especficos asociados al tema de esta auditora.
OBJETIVOS ESPECFICOS
El cumplimiento del objetivo general de este trabajo considera lograr los siguientes objetivos especficos:
1.
2.
3.
4.
5.
6.
7.
8.
9.
12.
13.
14.
III.
METODOLOGA DE AUDITORA
PROCEDIMIENTOS DE AUDITORIA
Las actividades directamente relacionadas con la determinacin niveles de riesgos, obtencin de pruebas y
evidencias de auditora son las siguientes:
1. Revisar, e identificar aquellas decisiones estratgicas consignadas en las actas de sesiones de directorio,
comit de informtica , polticas informticas y documentacin afn, respecto a temas de seguridad
computacional y ambiente de control del rea de informtica de ENAMI.
2. Revisin del Plan Informtico y verificar el cumplimiento de aspectos estratgicos desde la perspectiva de
seguridad fsica y lgica.
3. Inspeccin ocular a la infraestructura de procesamiento de datos y sus niveles de control de acceso a las
reas restringidas.
4. Revisar contratos de proveedores externos, que entregan servicios estratgicos de procesamiento de
informacin.
5. Constatar en reuniones de coordinacin a los niveles que corresponda, del grado de satisfaccin del
usuario como receptor y beneficiado de las decisiones estratgicas adoptadas.
6. Indagar la existencia de adquisicin, cambio, optimizacin de plataforma de computacional, inserta o
posterior a la elaboracin del Plan Informtico.
7. Verificar la existencia, difusin, ejecucin o prueba de Planes de Contingencias asociados al rea de
informtica.
Programa de Trabajo
Descripcin de Actividades
Fecha
Refer.
Control
k
Programa de Trabajo
Descripcin de Actividades
1
2
.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Fecha
Refer.
Control
Programa de Trabajo
Descripcin de Actividades
Fecha
Refer.
Control
B Direccin de Fiscalizacin
Fiscalizador
VB
Cableado
Numero de nodos.
Numero de usuarios.
Servidores.
Plano de distribucin de la red.
Distancia entre nodos
Paneles de circuitos de red.
Cables conectores.
Sistema operativos de red.
Servicio de postventa.
Bitacora de fallas
Administracin de la Red.
-
Actividad de la Red
Carga de la Red
Estadisticas de error de la red.
Estadisticas de Administracin de la Red
Inventario de las estaciones de trabajo.
Elementos de seguridad de la red.
Cuestionario:
1.
Estn combinadas las redes de voz y comunicacin de datos?
2.
Cuantas redes de datos independientes estn en uso en la Empresa?
3.
Cual es la disponibilidad e la red en el ltimo perodo.?
4.
Quien administra la red, cual es su preparacin.?
5.
Que informes y documentacin de red estn estructurados.?
6.
Existe un software de red de administracin de red?
7.
Estn disponibles la seguridad y el control, cual es la poltica y el ambiente de control asociado a
ello?
8.
Cual es el presupuesto anual de la administracin de red, incluyendo todos los recursos
involucrados.?
9.
Cual es el costo de comunicacin mensual o el costo anual para voz y datos.
10.
Histogramas de uso de red (diario, semanal, mensual, numero de errores, o lo que sea
apropiado).
11.
Uso de voz versus uso de datos por circuitos.
12.
Mapas de uso de la red
13.
Lista de todas las conexiones de discado en la red.
14.
Manuales de HW/SW
15.
Plan de contingencias
16.
Estadsticas de mensajes o bloques de datos missing, o alterados.
17.
Existen hotline interno para payo helpdesk de RAL.
_____________________________
www.eduarcoleyton.com
32