AUDITORIA DE BASE DE

DATOS
1.

Origen de la Auditoria:
La presente auditoria se realiza como programa de
estudios para la materia de Auditoria y Sistemas de
Informacin de la Universidad Cesar Vallejo teniendo
como docente al Ing. Wigberto Martn Nicho Vir, como
forma de proyecto de Investigacin se usaran los
conocimientos tericos expuestos en clase.
La misma est basada en el modelo de la gua de
Auditoria, aplicada al rea de Sistemas de la institucin
elegida, la cual ha sido el caso de nuestra firma auditora,
la empresa Mundo Electrnico S.A.C.

2.

Objetivos de la Auditoria:
Objetivos General:
Realizar una evaluacin del gestor de base de
datos actual usado en la empresa, su
administracin,
seguridad,
acceso,
confidencialidad y uso de datos.

Objetivos Especficos:
Evaluar la seguridad lgica y fsica de los datos.
Evaluar el diseo y estructura de los datos.
Evaluar los niveles de acceso.
Evaluar los procedimientos de respaldo de
informacin.
Evaluar los planes de contingencia.
Evaluar la integridad de los datos.
Evaluar la confiabilidad de los datos.

3.

Alcance:
Periodo comprendido entre 24 de Setiembre y el 24 de
Octubre, la auditoria se llevara a cabo en concordancia
con las Normas de Auditoria Gubernamental NAGU y las
Normas
Tcnicas
Peruanas Aplicables
Aceptadas;
comprender la revisin y anlisis selectivo de las
actividades desarrolladas por el rea de Informtica.

4.

Descripcin de las Actividades:

La actividad principal del Departamento de Sistemas est
referida a administrar las tecnologas de informacin a fin
de que las actividades administrativas, operativas y
financieras que realiza la empresa, cuenten con el ms
eficiente
soporte
tecnolgico
para
la
captura,
procesamiento, acceso, difusin y explotacin de la
informacin, facilitando el cumplimiento de los objetivos y
metas de las unidades orgnicas.

5.

Normatividad Aplicable:
Se cumplir con aplicar las Normas de Auditoria
Generalmente
Aceptadas,
Normas
de
Auditoria
Gubernamental aprobadas por la Contralora General,
mediante Resolucin N 162-95 de 95.09.22 y por la
Comisin de Normalizacin y de Fiscalizacin de Barreras
Comerciales no Arancelarias INDECOPI y tambin por la
Comisin de Reglamentos Tcnicos y Comerciales
INDECOPI.

Compendio de Normas Tcnicas Peruanas

Aplicables:
a. Normas de Tcnicas de seguridad y sistemas de gestin
de seguridad de la informacin (NTP-ISO/IEC 270012008).
b. Normas de Cdigo de buenas prcticas para la gestin
de la seguridad de la informacin (NTP-ISO/IEC 177992007).

6. Informes por emitir y fecha de

entrega:
La formulacin del proyecto de informe con los resultados
de la auditoria, se har al Jefe de la Comisin de la
Auditoria, dentro de los cinco (05) das de concluida la
comisin y se formular de acuerdo a las normas
establecidas en la NAGU 4 y dems numerales que la
conforman.

7. Identificacin de las reas

Crticas:
rea
Informtica

Instalaciones

8. Puntos

Procedimientos Bsicos
Verificar el motor de base de datos a
ser utilizado en ejecucin de acuerdo
al Plan General acordado.
Constatar el uso del Servidor de Base
de Datos, el ambiente en donde se
encuentra y los dems equipos de TI.

a evaluar:

8.1. Para la evaluacin del Departamento de Sistemas

se llevan a cabo las siguientes actividades:

Solicitud del organigrama del departamento.

Solicitud del manual de organizacin funcional.
Solicitud de plan de trabajo.
Elaboracin de una entrevista para el personal.
Anlisis y evaluacin de la informacin
Elaboracin del informe.

8.2. Para la evaluacin del SGDB y de la base de datos

se llevan a cabo las siguientes actividades:

Elaboracin de entrevista al DBA.

Aplicacin de la entrevista al DBA.
Elaboracin de pruebas manuales.
Aplicacin de las pruebas manuales.
Anlisis y evaluacin de la informacin.
Identificacin de los problemas.
Elaboracin del informe.

8.3. Para la evaluacin de la Seguridad se llevan a cabo

las siguientes actividades:

Solicitud de normas y polticas de seguridad.

Solicitud de planes de contingencia.
Anlisis y evaluacin de la informacin.
Identificacin de las casusticas encontradas.
Elaboracin del informe.

9. Personal:

La comisin de la Auditoria para el presente examen,

estar constituida por los Auditores que se indican a
continuacin:

CARGO

APELLIDOS Y

TAREAS BSICAS

Jefe de
Comisin
(Supervis
or)

NOMBRES
Jos Luis Castilla

Auditor
General
Encargad
o de
Comisin

Carlos Reyes Ortega

Evaluar el ambiente de control y la

informacin recopilada sobre los
aspectos objeto de la auditoria.
Participar
en
la
determinacin
preliminar del nivel de materialidad
y la estrategia de auditoria en orden
a la emisin del Memorndum de
Planificacin de Auditoria.
Dirigir la planificacin de la auditoria
y el desarrollo de la estrategia.
Revisar y aprobar la planificacin de
la auditoria.
Revisar y aprobar los programas de
trabajo de la auditoria.
Revisar los papeles de trabajo.
Analizar los problemas significativos
detectados
en
la
auditoria
preliminar.
Discutir
con
los
problemas
encontrados durante la realizacin
del trabajo, informando al Auditor
Interno de dichos problemas y de las
soluciones propuestas.
Coordinar con el Supervisor la
distribucin del tiempo y la duracin
de las diversas fases del trabajo, los
lugares a ser visitados y la cantidad
de horas hombre necesarias para
hacer
frente
a
las
tareas
proyectadas.
Introducir y revisar con el Supervisor
los cambios en el programa de
auditoria
que
se
consideren
necesarios.
Asignar las diferentes fases del
trabajo a los Asistentes. Planear el
tiempo y orden en que se har el
trabajo de campo y la elaboracin de
los distintos informes.
Con acuerdo del Supervisor, ajustar
o redefinir la naturaleza, alcance y
extensin de los procedimientos de
auditoria
en
funcin
de
los
descubrimientos
y
resultados
derivados de las pruebas de
cumplimiento de control interno (si
son aplicables).
Mantener un control constante sobre
el tiempo insumido por los asistentes

Auditor
Asistente

Josu Villanueva
Medina.
Catherine Vargas
Salas.
Noem Olaya
Bautista.
Yessenia Manco
Gutirrez.
Emily Mendoza
Bravo.

en relacin con el presupuesto de

horas proyectado a utilizar.
Revisar con el Supervisor y los
responsables de las reas auditadas,
las deficiencias de control interno
observadas, preparando un informe
a tal fin.
Asistir en obtener informacin acerca
de los aspectos a analizar junto con
las normas y reglamentaciones
aplicables.
Desarrollar una evaluacin ampliada
de los riesgos de control a travs de
la aplicacin de formularios de
control interno.
Coordinar con el Auditor Encargado
los cambios en la naturaleza y
extensin en las pruebas de
validacin y otros procedimientos de
auditoria.
Identificar los asuntos significativos
descubiertos en la auditoria y los
que requieran la atencin del Auditor
Encargado.
Completar los procedimientos de
auditoria
y
las
informaciones
correspondientes a los distintos
legajos del trabajo (permanente y
transitorio).
Preparar
los
borradores
de
recomendaciones de acuerdo con el
formato tipo especificado para el
trabajo.

10. Cronograma de Actividades

24 de Setiembre
10.1. Visita Preliminar a la Empresa.
Recopilar Informacin Organizacional de la empresa.
Visitar el Departamento de Sistemas.
Solicitud del Organigrama del Departamento.
Solicitud del Manual de Organizacin Funcional.
Solicitud del Plan de Trabajo.
Elaborar Pruebas y Entrevistas.

01-10 de Octubre
10.2. Desarrollo de Auditoria.
Evaluacin al Departamento de Sistemas.
Evaluacin al SGDB y de la Base de Datos.
Evaluacin de la Seguridad.
Reorganizacin de evaluaciones y plan
auditores.

entre

los

11-14 de Octubre
10.3. Revisin y Pre-Informe.
Discusin de los Resultados de las Entrevistas y Pruebas
Manuales.
Identificar Problemas Detectados.
Discutir con los Auditados los problemas encontrados.
17 de Octubre
10.4. Informe Final
Elaboracin y Presentacin del Informe.

11. Presupuesto de Tiempo

El examen se efectuara en los calendarios especificados,
debiendo iniciarse y culminar en las fechas indicadas de
acuerdo al siguiente detalle:
ACTIVIDAD

Planeamiento
Trabajo de campo
Ordenamiento de los papeles

CANTIDAD
DAS
TILES
05
20
05

N DE
TOTA
PERSON L H/H
AS
02
10
03
04
02
02

de Trabajo y Archivos
Evaluacin de redaccin de
informe preliminar
Revisin y supervisin de
proyecto

05

06

30

02

01

02

12. Participacin de otros profesionales:

Por parte del rea de Auditoria Corporativa.

13. Instrucciones Complementarias:

Los miembros que conforman la comisin, durante el
desarrollo de su misin observaran un comportamiento
acorde con las normas de control vigente de lo que
cuenta el auditor general encargado de la comisin.

PROGRAMA DE AUDITORIA
PROCEDIMIENTOS BASICOS
Concepto

P/ Fech Inicia
T
a
les

CONTROLES ORGANIZATIVOS GENERALES

Solicitar los procedimientos operativos
previamente autorizados.
Revisar que los manuales contengan

T
T

24/09/2
014
24/09/2

polticas de sistemas y determinar que

las mismas estn acordes con las
polticas de la empresa.
Entrevistar al personal del rea para
verificar si conocen las normas y
procedimientos establecidos en el
manual.
Entrevistar al Jefe del rea de Sistemas.

014

24/09/2
014

25/09/2
014
25/09/2
014

Revisar
el
organigrama
de
la T
organizacin, a fin de determinar si el
nivel
funcional
del
rea
es
independiente de las reas operativas.
Evaluar la disgregacin de funciones a T 25/09/2
travs de la revisin de los descriptivos
014
de
cargos
contenidos
en
los
procedimientos.
Entrevistar al personal del rea de T 25/09/2
sistemas, a fin de determinar que las
014
funciones
y
responsabilidades
corresponden con los descriptivos de
cargos y el organigrama.
EVALUACION DEL PLAN DE CONTINGENCIA
Solicitar el plan de contingencia para la T 30/09/2
recuperacin de la base de datos.
014
Determinar que la Gerencia General T 30/09/2
haya realizado la evaluacin de riesgo y
014
vulnerabilidad de todas las operaciones
del rea de Sistemas.
Verificar si se hicieron las evaluaciones T 30/09/2
del impacto de la emergencia.
014
Revisar el plan de Contingencia.
T 30/09/2
014
Definicin de la prioridad de la T 30/09/2
recuperacin de la data y si existe
014
respaldo de la misma en medios
magnticos, como en otros.
Revisar los resultados de la ltima T 01/10/2
prueba realizada.
014

Verificar la efectividad de los sistemas

de control de acceso fsico al rea de
Sistemas (llaves, cdigos, otros).
Determinar la condicin de los sistemas
de deteccin y prevencin contra
incendio e inundacin.

01/10/2
014

01/10/2
014

CONTROLES AUTOMATIZADOS DE LA APLICACIN

EVALUACIN DEL SISTEMA DE SEGURIDAD LGICA
Determinar quin es el responsable por T 01/10/2
la seguridad lgica y fsica de la
014
informacin y si dicha responsabilidad
est asignada correctamente.
Determinar a travs del organigrama T 01/10/2
qu unidad funcional ejerce esta
014
responsabilidad.
Entrevistar al personal del rea, a fin de T 01/10/2
verificar que autorizaciones de los
014
usuarios se han fijado de acuerdo a las
normas y procedimientos establecidos.
Determinar que aplicacin de seguridad T 01/10/2
est instalada en el computador.
014
Solicitar registros de auditoria del T 01/10/2
sistema para determinar el nivel de
014
proteccin de todos los objetos del
sistema.
Revisar las herramientas disponibles en T 01/10/2
la aplicacin para monitorear los
014
intentos de acceso no autorizados al
sistema.
Solicitar los perfiles de usuarios.
T 01/10/2
014
Identificar la autoridad de los usuarios: T 01/10/2
capacidad para registrar, modificar,
014
consultar y eliminar objetos.
Verificar que la disgregacin de los T 01/10/2
niveles de accesos sean adecuados.
014
EVALUACIN DEL DISEO CONCEPTUAL DE LA BASE DE
DATOS
Determinar en las tablas generales de la T 01/10/2
base de datos los parmetros definidos.
014

Verificar
que
los
parmetros
determinados en el punto anterior sean
adecuados para el funcionamiento
eficiente y correcto de la base de datos.

01/10/2
014

EVALUACIN DE CONTROL DE ENTRADA,

PROCESAMIENTO Y SALIDA
CONTROLES DE ENTRADA
Verificar la existencia de validaciones de
sintaxis (alfanumrico, numrico, fechas
y alfabticos).
Determinar si existe un reporte donde
se encuentren registrados todos los
datos transcritos en la aplicacin, as
como las modificaciones y eliminaciones
realizadas a los registros de la base de
datos.
CONTROLES DE PROCESAMIENTO
Determinar todas las transacciones de
la base de datos.
Identificar
todos
los
cdigos
de
transaccin.
Identificar si se han utilizado programas
que puedan ejecutar acciones no
autorizadas o fraudulentas.
CONTROLES DE SALIDA
Solicitar la lista de los reportes del
SGBD.
Solicitar la lista de los usuarios de los
reportes a fin de determinar su
adecuada distribucin.
CONTROLES DE ALMACENAMIENTO
Verificar si los procedimientos de
almacenamiento de la informacin son
suficientes y adecuados.
Verificar que se realice el respaldo de la
base de datos y que el mismo sea
resguardado en un lugar confiable y
seguro.
Verificar la existencia de archivos de
respaldo permanentes apropiadamente

01/10/2
014

01/10/2
014

01/10/2
014
01/10/2
014
01/10/2
014

T
T

P
P

02/10/2
014
02/10/2
014

02/10/2
014

02/10/2
014

02/10/2
014

almacenados fuera de la organizacin.

CHECKLIST
Auditora de bases de datos
1.

Existi una metodologa para el diseo de la base de datos?

Si

No

NA

Observaciones:

2.

Se cuenta con un diseo conceptual y lgico de la base de datos?

Si

No

NA

Observaciones:

3.

Existen polticas de gestin de datos?

Si

No

NA

Observaciones:

4.

Se cuenta con planes estratgicos y tcticos para la manipulacin de los

datos?

Si

No

NA

Observaciones:

5.

Se cuenta con procedimientos para controlar la integridad y seguridad de

los datos?

Si

No

NA

Observaciones:

6.

Cuenta con una copia de respaldo de la BD?

Si

No

NA

Observaciones:

7.

Cuenta con un diccionario de datos de la BD?

Si

No

NA

Observaciones:

Se cuenta con alguna estrategia de recuperacin de datos en

caso de un fallo?
8.

Si

No

NA

Observaciones:

Se realiza copias de seguridad (diariamente, semanalmente,

mensualmente.)?
9.

Si

No

NA

Observaciones:

10.

Se encuentra un administrador de sistemas en la empresa que lleve un

control de los usuarios?

Si

No

NA

Observaciones:

11.

Si

No

Son gestionados los perfiles de estos usuarios por el administrador?

NA

Observaciones:

12.

Son gestionados los accesos a las instancias de la base de datos?

Si

No

NA

Observaciones:

13.

Las copias de seguridad son encriptados?

Si

No

NA

Observaciones:

14.

Se ha probado restaurar alguna vez una copia de seguridad, para probar

que las mismas se encuentran bien hechas?

Si

No

NA

Observaciones:

15.

Los dispositivos que tienen las copias de seguridad son almacenados

fuera del edificio de la empresa?

Si

No

NA

Observaciones:

16.

En caso de que el servidor principal sufra una avera, existen servidores

auxiliares?

Si

No

NA

Observaciones:

17.

Hay algn procedimiento para dar de alta a un usuario?

Si

No

NA

Observaciones:

18.

Hay algn procedimiento para dar de baja a un usuario?

Si

No

NA

Observaciones:

19.

El motor de base de datos soporta herramientas de auditoria?

Si

No

NA

Observaciones:

20.

Se cuenta con niveles de seguridad para el acceso a la base de datos?

Si

No

NA

Observaciones:

21.

Si

No

NA

Existe algn plan de contingencia ante alguna situacin no deseada en

la base de datos?

Observaciones:

22.

Existen logs que permitan tener pistas sobre las acciones realizadas
sobre los objetos de la base de datos?

Si

No

NA

Observaciones:

*** SI EXISTEN ESTOS LOGS ***

23.

Se usan los generados por el DBMS?

Si

No

NA

Observaciones:

24.

Se usan los generados por el Sistema Operativo?

Si

No

NA

Observaciones:

25.

Se han configurado estos logs para que slo almacenan la informacin

relevante?

Si

No

NA

Observaciones:

Se tiene un sistema de registro de acciones propio, con fines de

auditoria?
26.

Si

No

NA

Observaciones:

27.

Las instalaciones del centro de cmputo son resistentes a potenciales

daos causados por agua?

Si

No

NA

Observaciones:

28.

Las instalaciones del centro de cmputo son resistentes a potenciales

daos causados por fuego?

Si

No

NA

Observaciones:

29.

La ubicacin del centro de cmputo es acorde con las mnimas

condiciones de seguridad?

Si

No

NA

Observaciones:

Existe un control de entradas y salidas de la base de datos (a nivel

datos)?
30.

Si

No

NA

Observaciones: