PLAN DE AUDITORIA INFORMTICA PARA LA

EMPRESA REACH SYSTEM PLUS

NOMBRE DE LOS AUDITORES:

Alfonso lvarez Vlez
Neyra Karen Felipe Reyes
Ma. Jaceli Hernndez Serrano

ANTECEDENTES DE LA ORGANIZACIN
REACH SYSTEM PLUS es una empresa de servicios informticos que comenz
su andadura en 2015 como pequea empresa con una plantilla inicial de tres
personas. Desde su inicio centr su actividad en la produccin y mantenimiento de
sistemas de software; iniciando una trayectoria de desarrollo empresarial en el que
progresivamente nos hemos ido embarcando en proyectos de mayor complejidad
tcnica y volumen.

OBJETIVO GENERAL DE LA AUDITORIA

Evaluar la funcin informtica de la empresa REACH SYSTEM PLUS para
detectar errores de principio o de ambigedad en los sistemas de informacin.

DETERMINACIN DEL ALCANCE

Se aplicara una auditoria informtica a la empresa REARCH SYSTEM PLUS
iniciando el da 7 de julio del 2015 a las 11:00 am. En el edificio F de la
Universidad Tecnolgica de Tecamachalco y finalizando el da 13 del mismo mes.
Siendo auditados:
Jos Mara Lezama Luna
Gerardo Colotla Carrera
Hyram Prez Zayas
Por los auditores:
Mara Jaceli Hernndez Serrano (lder de auditoria)
Neyra Karen Felipe Reyes
Alfonso lvarez Vlez
Se auditaran por medio de los siguientes recursos.
Entrevistas.
Cuestionarios.
Observaciones.
Listas de cotejo.
Una vez concluida la auditoria se entregara un reporte de los resultados
obtenidos en la auditoria el da 11 de agosto del 2015.

RECURSOS A UTILIZAR
Recursos materiales:

Guion de entrevistas
Cuestionarios
Listas de cotejo

Recursos humanos:
Equipo auditado:
Administrador de proyecto
Programador
Analista
Diseador BD
Tester
Diseador

Equipo auditor:
Mara Jaceli Hernndez Serrano (lder de auditoria)
Neyra Karen Felipe Reyes
Alfonso lvarez Vlez (lder de la empresa)

Recursos tecnolgicos:

Equipos de cmputo.

Recursos tcnicos:

Software

Cronograma (Gantt)

Instrumentos de para recopilacin de

informacin.
Check List.
CONOCIMIENTO DEL
SISTEMA: SOFTWARE
Ha tenido en cuenta las
distintas versiones de los
elementos Software?
Es posible modificar y
mejorar el cdigo fuente
de sus programas?
Est disponible el
cdigo fuente?
Se han hecho estudios
sobre si cambiar los
sistemas del
departamento o
mejorarlos?
Se han hecho estudios
que revelan cul es la
manera ms sencilla y
menos costosa de
cambiar y mejorar el
sistema?
Ha identificado qu
cdigos fuente son
propiedad de otras
entidades?
Existe un contrato de
utilizacin con los
propietarios?

Si

No

N/A

Ha verificado en
general los productos
adquiridos
recientemente?
(contratos de utilizacin,
cdigos fuente,...)
CONOCIMIENTO DEL
SISTEMA: PRUEBAS
Se van a someter los
elementos ms crticos a
unas pruebas
especiales?
Va a usar un Software
especial para ello?
Va a contratar los
servicios de un
especialista (auditor,
consultor, experto en
informtica...) externo a
la empresa para ello?
Va a utilizar un software
especial para el
desarrollo de sus
programas?
Ha sido validado dicho
software por auditores?
Los responsables de
realizar las pruebas
tienen la formacin
adecuada?
Si es necesario probar
datos confidenciales, se
asegura que sean
ficticios o no relevantes,
y si deben ser reales, se
asegura que sean
eliminados despus de la
prueba?
Si no es posible eliminar
datos confidenciales
usados en las pruebas,
se asegura que slo
algunos empleados
tienen autoridad y
acceso para hacer las
pruebas y que estn

debidamente registrados
todos los accesos que
realizan?
CONOCIMIENTO DEL
SISTEMA: PLANES DE
CONTINGENCIA
El personal de la
organizacin sabe que
tiene soporte si ocurren
problemas?
Existen planes de
contingencia y
continuidad que
garanticen el buen
funcionamiento del
Repositorio o Diccionario
de Datos?
En el plan se identifican
todos los riesgos y sus
posibles alternativas?
REPOSITORIO:
SEGURIDAD
Existe un administrador
de sistemas que controle
a los usuarios?
Gestiona los perfiles de
los usuarios dicho
administrador?
Existe un administrador
de bases de datos que
gestione las instancias
de las bases de datos?
Gestiona el
administrador de bases
de datos los accesos a
las distintas instancias
de las bases de datos?
Existe un acceso
restringido a las
instancias que contienen
el Repositorio?
Es autocambiable la
clave de acceso al
Repositorio?
Pueden los
administradores del
Repositorio cambiar la

contrasea?
Se obliga, cada cierto
tiempo, a cambiar la
contrasea
automticamente?
Se renueva
peridicamente la
contrasea?
Existen listados de
intentos de accesos no
satisfactorios o
denegados a estructuras,
tablas fsicas y lgicas
del repositorio?
Existe un diseo fsico
y lgico de las bases de
datos?
Dispone tambin el
Diccionario de datos de
un diseo fsico y lgico?
Existe una instancia
con copia del Repositorio
para el entorno de
desarrollo?
Est restringido el
acceso al entorno de
desarrollo?
Se utilizan datos reales
en el entorno de
desarrollo?
Existen copias de
seguridad del
Repositorio?
Se hacen copias de
seguridad diariamente?
Se almacenan las
copias de seguridad en
dispositivos externos?
Se ubican los
dispositivos externos en
locales diferentes al
edificio en el que se
encuentran las redes y
los servidores?
Existe un acceso

restringido a la sala de
servidores?
Existen mecanismos de
seguridad fsica en las
salas de servidores?
Se dispone de equipos
auxiliares en caso de
cada o avera del equipo
principal?
Se dispone de
generador de energa
auxiliar para asegurar la
corriente a los
servidores?
REPOSITORIO:
PROCESO DE CAMBIO
Existe un formulario de
peticin de cambio o
modificacin en el
Repositorio?
Es necesaria la
autorizacin del Manager
del Repositorio para
realizar el cambio?
Se realiza la
modificacin sobre una
copia del Repositorio?
Se establece un
bloqueo sobre la parte
del Repositorio a
modificar?
Se comunica a los
distintos
usuarios/desarrolladores
el bloqueo de parte del
Repositorio y por tanto
los fallos del
funcionamiento que se
pueden ocasionar?
Se establecen
prioridades en los
trabajos y modificaciones
del repositorio para los
bloqueos?
Existe algn fichero log
que almacene todos los

cambios realizados en el
Repositorio?
Se comunica al
solicitante del cambio
que se ha llevado a cabo
la modificacin?
Se realizan pruebas
sobre el cambio para
comprobar que la
aplicacin funciona
correctamente?
Se comprueba que el
cambio solicitado se
corresponde con lo
realizado?
Se realizan dichas
comprobaciones en la
copia de la instancia?
Existe una notificacin
por escrito del solicitante
certificando que el
cambio se realiz
satisfactoriamente?
Existe documentacin
escrita sobre el cambio
(formulario de peticin,
script del cambio
realizado, aprobacin del
solicitante)?
Se realiza un volcado
de la copia del
Repositorio el original al
final del dia?
Se realizan
actualizaciones
peridicamente del resto
de las instancias para
que tengan el Diccionario
de Datos actualizado?

Cuestionarios.
Cuestionario Lder RSP
1

Los puestos con los que cuenta la empresa son suficientes para cumplir todas las
funciones?
SI|NO

Explique por qu?

4
5

___________________________________________________________________
___________________________________________________________________
______________
Permiten los puestos actuales que se desarrolle adecuadamente la:
a. Operacin
SI|NO
b. Supervisin
SI|NO
c. Comunicacin ascendente
SI|NO
d. Comunicacin descendente
SI|NO
e. Toma de decisiones
SI|NO
El nmero de empleados que trabaja actualmente es suficiente para cumplir todas las
funciones?
SI|NO
Cuentan con rangos de autoridad definidos?
SI|NO
No, por qu?
______________________________________________________________________
Su autoridad va de acuerdo a su responsabilidad?
SI|NO
No, Por qu razn?
______________________________________________________________________
Cree que sus empleados cuentan con las herramientas necesarias para la correcta
realizacin de sus actividades?
SI|NO
Por qu?
______________________________________________________________________
Cmo calificara su liderazgo?
a Bueno b) Regular c) Malo
Segn su opinin cmo describira a su equipo de trabajo.
a Excelente
b Bueno
c Regular
d Malo
e Psimo
Explique por que
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________

Programador.
Este cuestionario tiene como objetivo evaluar la etapa de anlisis, diseo y desarrollo de
aplicaciones informticas, sondeando a grandes rasgos.
1 Quines intervienen al disear un sistema?
a

( ) Usuario.

( ) Analista.

( ) Programadores.

( ) Operadores.

( ) Gerente de departamento.

( ) Auditores internos.

( ) Asesores

2
3

Los analistas son tambin programadores? S ( ) NO ( )

Qu lenguaje o lenguajes conocen los analistas?

Cuntos analistas hay y qu experiencia tienen?

Qu lenguaje conocen los programadores?

Cmo se controla el trabajo de los analistas?

Cmo se controla el trabajo de los programadores?

Indique qu pasos siguen los programadores en el desarrollo de un programa:

Estudio de la definicin ( )

Discusin con el analista ( )

Diagrama de bloques ( )

Tabla de decisiones ( )

Prueba de escritorio ( )

Codificacin ( )

Es enviado a captura o los programadores capturan? ( )

10 Quin los captura?______________________

a

Compilacin ( )

Elaborar datos de prueba ( )

Solicitar datos al analista ( )

Correr programas con datos ( )

Revisin de resultados ( )

Correccin del programa ( )

Documentar el programa ( )

Someter resultados de prueba ( )

11 Entrega del programa ( )

12 Qu documentacin acompaa al programa cuando se entrega?

Analista
1

Se est ejecutando en forma correcta y eficiente el proceso de informacin?

Puede ser simplificado para mejorar su aprovechamiento?

Se debe tener una mayor interaccin con otros sistemas?

Se tiene propuesto un adecuado control y seguridad sobre el sistema?

Est en el anlisis la documentacin adecuada?

6
7

Los analistas son tambin programadores? S ( ) NO ( )

Qu lenguaje o lenguajes conocen los analistas?

Cuntos analistas hay y qu experiencia tienen?

Qu lenguaje conocen los programadores?

10 Cmo se controla el trabajo de los analistas?

11 Indique qu pasos siguen los programadores en el desarrollo de un programa:
g

Estudio de la definicin ( )

Discusin con el analista ( )

Diagrama de bloques ( )

Tabla de decisiones ( )

Prueba de escritorio ( )

Codificacin ( )

12 Es enviado a captura o los programadores capturan? ( )

13 Quin los captura?______________________
i

Compilacin ( )

Elaborar datos de prueba ( )

Solicitar datos al analista ( )

Correr programas con datos ( )

m Revisin de resultados ( )
n

Correccin del programa ( )

Documentar el programa ( )

Someter resultados de prueba ( )

14 Qu documentacin acompaa al programa cuando se entrega?

Diseador (presentacin de aplicacin de escritorio)

1

Cmo se determina la parte esttica de un software?

Qu informacin se requiere por parte del programador o analista en dicho caso?(sea

breve)

Maneja algn lenguaje de programacin? SI|NO Cul?

En caso de que no puedas cumplir con labor a quin se le delega?

De los siguientes criterios elije alguno que sea de mayor importancia para la creacin de la
presentacin de del software

Sea llamativo

Robusto (varios campos)

Minimalista

Uniforme

Qu documentacin se entrega al finalizar la capa de presentacin del software?

Con que software cuenta para la realizacin de la capa de presentacin?

Qu criterios de calidad utilizas para la realizacin de tu trabajo?

Existe comunicacin suficiente con el equipo cuando se presenta algn error en el

diseo? SI|NO

10 Cuentas con un respaldo de la informacin?

SI|NO

11 Quin tiene acceso a esta informacin?

Tester
1

Cules son sus criterios para la evaluacin del software?

Con que herramienta realiza esta funcin?

En caso de presentarse algn error a quin se le reporta?

Cuenta con acceso total al cdigo (Realizar modificaciones)?

Conoce algn lenguaje de programacin?

De la informacin que maneja Tiene acceso a informacin del cliente?

A quin responde en caso de incumplimiento de su labor?

Con que tipo de software cuenta para realizar su funcion?

El director general se encuentra presente a la hora de realiar el testeto del software?

10 Con que documentacin se finaliza o se hace llegar el reporte de errores en el software y

a quin?

Diseador de Base de Datos

A qu tipo de documentacin tiene acceso?

La informacin que recibe del analista es suficiente para trabajar?

Qu recurso emplea para la creacin de una BD?

Cuenta con el equipo necesario?

Qu lenguaje de programacin emplea para la creacin de la misma?

En qu tipo de riesgo puede incurrir al crear una base de datos?

Cuenta con algn tipo de encriptacin?

Cuenta con un servidor para alojar su base de datos o con una base de datos local?

En caso de no poder cumplir con la realizacin del trabajo A quin se le delega la

responsabilidad?

10 Si el proyecto se cancela Qu le ocurre a la informacin personal del cliente as como a

los mdulos creados para la base de datos?

11 Cmo se maneja la informacin del cliente?

12 Sabe los requisitos que se requieren para un levantamiento de requerimientos?