OBJETIVOS Y ALCANCE
OBJETIVO GENERAL
Revisar y Evaluar los controles, sistemas, procedimientos de informtica; de los
equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin
que participan en el procesamiento de la informacin, a fin de que por medio
del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y
segura de la informacin que servir para una adecuada toma de decisiones.
OBJETIVOS ESPECIFICOS
su
de
las
al
ENFOQUE A UTILIZAR
La presente accin de control, se realiza de acuerdo con el organismo central y
rector de los Sistemas Nacionales de Estadstica e Informtica, responsable de
normar, supervisar y evaluar los mtodos, procedimientos y tcnicas
estadsticas e informticas utilizados por los rganos del Sistema INEI (Instituto
Nacional de Estadstica e Informtica), Normas Internacionales de Auditoria
(NIA); habindose aplicado procedimientos de Auditoria que se consideraron
necesarios de acuerdo a las circunstancias.
La presente Auditoria Informtica se realizara a la Sociedad Educacional
COMPUMAT S.A., ubicada en la ciudad de Santiago, siendo el rea a examinarse
la de Informtica.
RELACION DE FUNCIONARIOS O PERSONAL A CARGO DEL AREA A
EXAMINAR
Nombres y Apellidos Cargo Periodo de Gestin:
Victoria Marshall FALTA RUT
CRONOGRAMA DE TRABAJO
PROGRAMA DE AUDITORIA EMPRESA:
Sociedad Educacional COMPUMAT S.A.
PLAN DE AUDITORIA
Para la evaluacin del rea de Informtica se llevarn a cabo las siguientes
actividades:
Solicitud de los estndares utilizados y programa de trabajo
Aplicacin del cuestionario al personal
Anlisis y evaluacin del a informacin
Elaboracin del informe
Para la evaluacin de los sistemas tanto en operacin como en
desarrollo se llevarn a cabo las siguientes actividades:
Solicitud del anlisis y diseo del os sistemas en desarrollo y en
operacin
Solicitud de la documentacin de los sistemas en operacin (manuales
tcnicos, de operacin del usuario, diseo de archivos y programas)
Recopilacin y anlisis de los procedimientos administrativos de cada
sistema (flujo de informacin, formatos, reportes y consultas)
Anlisis de llaves, redundancia, control, seguridad, confidencial y
respaldos
Anlisis del avance de los proyectos en desarrollo, prioridades y personal
asignado
Entrevista con los usuarios de los sistemas
Evaluacin directa de la informacin obtenida contra las necesidades y
requerimientos del usuario
Anlisis objetivo de la estructuracin y flujo de los programas
Anlisis y evaluacin de la informacin recopilada
Elaboracin del informe
CONTRATO
Contrato de prestacin de servicios profesionales de auditora en informtica que
celebran por una parte
Sociedad Educacional COMPUMAT S.A.
, representada
por
Victoria Marshall
, en su carcter de
Gerente General
, y en lo
sucesivo se denominar el cliente, por otra parte
AUDIT S.A.
,
representada por
Geovanni Alcaino
, a quin se denominar el auditor,
de conformidad con las declaraciones y clusulas siguientes:
DECLARACIONES
I.
II.
III.
El cliente declara:
a. Que
es
una
Institucin
Privada________________________________________________
,
b. Que est representado para este acto por
Victoria Marshall
, y tiene
como su domicilio
Brown Norte 262, uoa Santiago
,
c. Que requiere obtener servicios de auditora en informtica, por lo que ha
decidido contratar los servicios del auditor.
Declara el auditor:
a. Que es una sociedad annima, constituida y existente de acuerdo con las leyes
y que dentro de sus objetivos primordiales est el de prestar auditora en
informtica.
b. Que est constituida legalmente segn escritura nmero
050
, de
fecha
16 de marzo de 2010, ante el notario pblico don(a)
Daniel
Fuentes.
c. Que seala su domicilio
Brown Norte 262, Departamento F404, uoa
Santiago
,.
Declaran ambas partes:
a. Que habiendo llegado a un acuerdo sobre lo antes mencionado, lo formalizan
otorgando el presente contrato que se contiene en las siguientes:
CLAUSULAS
PRIMERA. OBJETO
El auditor se obliga a prestar al cliente los servicios de auditora en informtica
para llevarla a cabo la evaluacin de la direccin de informtica del cliente, que se
detallan en la propuesta de servicios anexa que, firmada por las partes, forma parte
integrante del contrato.
CUARTA. SUPERVISIN
El cliente o quien designe tendr derecho a supervisar los trabajos que se le han
encomendado al auditor dentro de este contrato y a dar por escrito las instrucciones
que estime convenientes.
DCIMA. HONORARIOS
El cliente pagar al auditor por los trabajos objeto del presente contrato,
honorarios por la cantidad de
Dos millones de pesos
, ms los impuestos
correspondientes a la forma de pago. La forma de pago ser la siguiente:
a) 30 % a la firma del contrato
b) 30 % a los 15 das hbiles despus de iniciados los trabajos.
c) 40 % a la terminacin de los trabajos y presentacin del informe final.
DECIMOSPTIMA. JURISDICCIN
Todo lo no previsto en este contrato se regir por las disposiciones relativas,
contenidas en el cdigo civil y, en caso de controversia para su interpretacin y
cumplimiento, las partes se someten a la jurisdiccin de los tribunales de justicia de la
provincia de
Santiago
, renunciando al fuero que les pueda corresponder en razn
de su domicilio presente o futuro.
Enteradas las partes del contenido y alcance legal de este contrato, lo rubrican
y firman de conformidad en original y tres copias, en la ciudad de
Santiago
, el
da
Quince de Diciembre del ao dos mil trece.
EL CLIENTE
EL AUDITOR
INFORME DE AUDITORIA
1. Identificacin del informe
Auditoria de la Ofimtica
El rea de Informtica
4. Objetivos
5. Hallazgos Potenciales
8. Recomendaciones
AUDITORIA DE LA DIRECCION
1. Alcance de la Auditoria.
PREGUNTAS
1. La
SI
NO
N/A
estndares
de
funcionamiento
estndares
de
funcionamiento
estndares
procedimientos
existentes
OBJETIVOS
Auditoria Direccin
Para hallar el SI
17 -> 100%
12 ->X
X = 70.58
Para hallar el NO
17 -> 100%
5 -> X
X = 29.41
AUDITORIA DE LA EXPLOTACION
1. Alcance de la Auditoria
Evaluacin del personal y coherencia de cargos de la propia institucin.
Normas y Procedimientos del rea de informtica
2. Objetivos
Realizar un informe de Auditoria con el
objeto de verificar la adecuacin
de las funciones que sirven de apoyo a las tecnologas de la informacin.
1. Se restringe el acceso a los lugares asignados para guardar los
dispositivos de almacenamiento, al personal autorizado?
2. Se tiene relacin del personal autorizado para firmar la salida de
archivos confidenciales?
3. Existe un procedimiento para registrar los archivos que se prestan
y la fecha en que se devolvern?
4. Se lleva control sobre los archivos prestados por la instalacin?
5. Se conserva la cinta maestra anterior hasta despus de la nueva
cinta?
6. El cintotecario controla la cinta maestra anterior previendo su uso
incorrecto o su eliminacin prematura?
7. La operacin de reemplazo es controlada por el cintotecario?
un
de
procedimiento
la cintoteca
para
el
manejo de la
documento
de
entrada
se
tienen?
Auditoria Explotacin:
Para hallar el SI
40 -> 100%
26 -> X
X = 65
Para hallar el NO
40 -> 100%
14 -> X
X = 35
Conexiones
Cifrado
Salidas gateway y routers
Correo Electrnico
Pginas WEB
Firewalls
2. Objetivos
SI
adscrito
al
rea,
NO
N/A
y formacin?
8. El rea de desarrollo lleva su propio control presupuestario?
9. Se hace un presupuesto por ejercicio y se cumple?
10. El presupuesto esta en concordancia con los objetivos a
cumplir?
11. El personal de rea de desarrollo cuenta con la formacin
adecuada y son motivados para la realizacin de su trabajo?
12. Existen procedimientos de contratacin?
13. Las personas seleccionadas cumplen los requisitos del puesto
al que acceden?
14. Las ofertas de puestos del rea se difunden de forma suficiente
fuera de la organizacin y las selecciones se hacen de forma
objetiva?
15. Existe un plan de formacin que este en consonancia con los
objetivos tecnolgicos que se tenga en el rea?
16. El plan de trabajo del rea tiene en cuenta los tiempos de
formacin?
17. Existe un protocolo de recepcin / abandono para las personas
que se incorporan o dejan el rea?
18. Existe un protocolo y se respeta para cada incorporacin /
abandono?
19. En los abandonos del personal se garantiza la proteccin del
rea?
20. Existe
accesibles
una
por
biblioteca
y
una
el personal del rea?
hemeroteca
23. Existe
empleados
del rea?
24. Existe
trabajo?
Auditoria Desarrollo:
Para hallar el SI
40 -> 100%
26 -> X
X = 65
Para hallar el NO
40 -> 100%
14 -> X
X = 35
2. Objetivos de la Auditoria.
SI
tiempos
de
respuesta
de
compostura
los
de
evaluar
NO
el
N/A
para
establecer
su
impacto
sobre
la
mantenibilidad?
13. Se realizan varios tipos de medidas para poder estimar la
calidad del software?
14. La mantenibilidad se tiene en cuenta antes de empezar a
desarrollar?
15. El desarrollador prepara un Plan de Mantenibilidad que
establece prcticas especficas de mantenibilidad, as
como recursos y secuencias relevantes de actividades?
16. Durante el anlisis de requerimientos, los siguientes
aspectos que afectan a la mantenibilidad, son tomados en
cuenta?
Identificacin y definicin de funciones, especialmente
las opcionales.
Exactitud y organizacin lgica de los datos.
Los Interfaces (de mquina y de usuario).
Requerimientos de rendimiento.
Requerimientos
impuestos
por
el
entorno
(presupuesto).
Granularidad (detalle) de los requerimientos y su
impacto sobre la trazabilidad.
nfasis del Plan de Aseguramiento de Calidad del
Software (SQAP) en el cumplimiento de las normas de
documentacin
17. La transicin del software consiste en una secuencia
controlada y coordinada de acciones para trasladar un
producto software desde la organizacin que inicialmente
ha
realizado
el
desarrollo
la
encargada
del
mantenimiento?
18. La responsabilidad del mantenimiento se transfiere a una
organizacin distinta, se elabora un Plan de Transicin?
que es lo que incluye este plan?
La
software.
19. El mantenedor a menudo se encuentra con un producto
software con documentacin?
20. Si no hay documentacin, el mantenedor deber crearla?
Realiza lo siguiente?
a.
b.
c.
21. Documentos
como
especificaciones,
manuales
informes
de
pruebas
son
correctos
las
del
Auditoria de Mantenimiento:
Para hallar el SI
40 -> 100%
26 -> X
X = 65
Para hallar el NO
40 -> 100%
14 -> X
X = 35
AUDITORIA DE BASE DE DATOS
1. Alcance de la auditoria:
Esta auditoria comprende solamente al rea de cetro de computo de la
municipalidad mariscal respecto cumplimiento proceso Gestin administracin
de la Base de Datos " de la de manera que abarca la explotacin,
mantenimiento, diseo carga, post implementacin, Los sistemas de gestin
de base de datos (SGBD), software de auditoria
,
sistema
operativo
protocolos y sistemas distribuidos.
2. Objetivos
Verificar la responsabilidad para la planificacin de planillas y control de los
activos de datos de la organizacin (administrador de datos)
Verificar la responsabilidad de la administracin del entorno de la base de
datos (administrador de la base de datos).
Proporcionar servicios de apoyo en aspectos de organizacin y mtodos,
mediante la definicin, implantacin y actualizacin de Base de Datos y/o
procedimientos administrativos con la finalidad de contribuir a la eficiencia.
PREGUNTAS
1. Existe equipos o software de SGBD
2. La organizacin tiene un sistema de gestin de base de
datos (SGBD)
3. Los datos son cargados correctamente en la interfaz grafica
4. Se verificar que los controles y relaciones de datos se
realizan de acuerdo a Normalizacin libre de error
5. Existe personal restringido que tenga acceso a la BD
SI
NO
N/A
de
INFORME DE AUDITORIA
1. Identificacin del informe
El rea de Informtica
5. Hallazgos Potenciales
7. Conclusiones:
Como resultado de la Auditoria podemos manifestar que hemos cumplido con
evaluar cada uno de los objetivos contenidos en el programa de auditoria.
El Departamento de centro de cmputo presenta deficiencias sobre todo en el
debido cumplimiento de Normas de seguridad de datos y administracin de la
Base de Datos.
8. Recomendaciones
AUDITORIA DE LA SEGURIDAD
1. Alcance de la Auditoria.
Riesgos
Normativa a cumplir
Costes estimados de las recomendaciones
PREGUNTAS
1. Existen
medidas,
controles,
SI
procedimientos,
normas
estndares de seguridad?
2. Existe un documento donde este especificado la relacin de las
funciones y obligaciones del personal?
3. Existen
procedimientos
de
notificacin
gestin
de
incidencias?
4. Existen procedimientos de realizacin de copias de seguridad y
de recuperacin de datos?
5. Existe una relacin del personal autorizado a conceder, alterar
o anular el acceso sobre datos y recursos?
6. Existe una relacin de controles peridicos a realizar para
verificar el cumplimiento del documento?
NO
N/A
Auditoria Fisica
PREGUNTAS
SI
NO
N/A
N de soportes
la
asignacin
de
privilegios
que
permitan
Auditoria Calidad:
Para hallar el SI
40 -> 100%
26 -> X
X = 65
Para hallar el NO
40 -> 100%
14 -> X
X = 35
AREAS CRTICAS DE LA AUDITORIA DE SEGURIDAD
Evaluacin de la seguridad en el acceso al Sistema
100%
80%
Preguntas
Excelente
Bueno
la
administracin
de
contraseas al sistema
Evaluar el monitoreo en el acceso
al sistema.
Evaluar
las
administrador
funciones
del
acceso
del
al
sistema.
Evaluar las medidas preventivas o
correctivas en caso de siniestros n
el acceso.
60%
40%
20%
Regular
Mnimo
No cumple
Preguntas
100%
80%
60%
40%
20%
Excelente
Bueno
Regular
Mnimo
No cumple
60%
40%
20%
Regular
Mnimo
No cumple
las
polticas
de
la
Evaluar
aplicacin
la
existencia,
y
uso
Bueno
difusin,
de
contra
contingencias de sistemas.
Evaluar
la
aplicacin
de
la
confidencialidad,
veracidad y oportunidad en la
aplicacin de las medidas del plan
contra contingencias.
Preguntas
Evaluar el rendimiento y uso del
sistema computacional y de sus
perifricos asociados.
Evaluar la existencia, proteccin y
periodicidad de los respaldos de
bases
de
informacin
organizacin.
datos,
software
importante
de
e
la
100%
80%
60%
40%
20%
Excelente
Bueno
Regular
Mnimo
No cumple
Evaluar
la
instalaciones
configuracin,
y
seguridad
del
la
seguridad
en
el
procesamiento de informacin.
Evaluar
los
procedimientos
de
de
resultados
de
los
sistemas computacionales.
Bueno
20%
Regular
Mnimo
No cumple
60%
40%
20%
Regular
Mnimo
No cumple
Medidas preventivas.
Proteccin de archivos.
Limitacin de accesos.
Proteccin contra robos
Proteccin ante copias ilegales
Evaluacin de la proteccin contra virus informticos
100%
80%
Preguntas
Excelente
Bueno
Preguntas
Realizacin
de
inventarios
100%
80%
60%
40%
20%
Excelente
Bueno
Regular
Mnimo
No cumple
80%
60%
40%
20%
Bueno
Regular
Mnimo
No cumple
de
computacional
sus
fsico
del
perifricos asociados.
Evaluar
el
estado
Realizacin
de
inventarios
de
de
los
sistemas
computacionales.
Verificar que la instalacin del
software, paqueteras y sistemas
desarrollados en la empresa sea la
adecuada
para
cubrir
las
INFORME DE AUDITORIA
1. Identificacin del informe
Auditoria de la Seguridad
El rea de Informtica
5. Hallazgos Potenciales
6. Alcance de la auditoria
Nuestra auditoria, comprende el presente periodo 2013 y se ha realizado
especialmente al rea de Informtica de acuerdo a las normas y dems
disposiciones aplicable al efecto.
7. Conclusiones:
Como resultado de la Auditoria de la Seguridad realizada nombrexxx, por el
perodo comprendido entre el 01 de Septiembre al 10 de Diciembre del 2013,
podemos manifestar que hemos cumplido con evaluar cada uno de los
objetivos contenidos en el programa de auditoria.
El rea
de Informtica presenta deficiencias sobre todo en el debido
cumplimiento de sus funciones y por la falta de ellos.
8. Recomendaciones
CONCLUSIN
Al realizar el anterior trabajo se investigo acerca de todos los elementos que
componen Nombre xxx, tanto materiales como humanos, con lo anterior, se
puede dar uno cuenta auditar una institucin no es nada fcil, ya que si falla un
elemento
del que se compone, trae consigo un efecto domino, que hace que
los dems elementos bajen su rendimiento, o en el peor de los casos sean
causantes del fracaso de la institucin.
Nombrexxxx
Santiago, 15 de Diciembre de 2013
Seora xxxxxxxx
JEFE DEL REA DE INFORMTICA
De nuestra consideracin:
Tenemos
el agrado de dirigirnos a Ud. a efectos de elevar a vuestra
consideracin el alcance trabajo de Auditora del rea de Informtica
practicada los das 16 de Septiembre al 15 de Diciembre, sobre la base del
anlisis y procedimientos detallados de todas las informaciones recopiladas y
emitidos en el presente informe, que a nuestro criterio es razonable.
Sntesis de la revisin realizada, clasificado en las siguientes secciones:
1.- En su Seguridad
2.- En el rea Fsica
3.- En Redes
El contenido del informe ha sido dividido de la siguiente forma a efectos de
facilitar su anlisis.
a. Situacin. Describe brevemente las debilidades resultantes de nuestro
anlisis.
b. Efectos y/o implicancias probables. Enuncian los posibles riesgos a que se
encuentran expuestos las operaciones realizadas por la Cooperativa.
c. ndice de importancia establecida. Indica con una calificacin del 0 al 3 el
grado crtico del problema y la oportunidad en que se deben tomar las
acciones correctivas del caso.
0
1
2
3
=
=
=
=
Alto
Alto
Medio
Bajo