ASIGANTURA:

Auditoria III

TEMA

“CONCEPTO DE AUDITORÍA EN INFORMÁTICA Y DIVERSOS TIPOS DE

AUDITORÍA”

INTEGRANTES DE GRUPO:
Martínez Palma Mariano Manuel
Mite Garcés Gabriela Giannina
Sánchez Manzaba Gilson Francisco
Tigrero Tómala Jessica Verónica
TUTORA:
CPA. Verónica Rojas Vera
CURSO: CPA-D7 7.1
PERIODO LECTIVO: 2018- 2019 C I
TALLER # 2
AUDITORIA III
TUTOR CPA VERÓNICA ROJAS
SUMARIO 1
CONCEPTO DE AUDITORÍA EN INFORMÁTICA Y DIVERSOS TIPOS DE AUDITORÍA
OBJETIVOS:
3. Comprenderá los objetivos generales de auditoria de sistemas
Los objetivos deben comenzar con el verbo en infinitivo. Deben ser concisos y claros.

1. CON LA SIGUIENTE INFORMACIÓN DETERMINE CUÁL SERÍA EL OBJETIVO

GENERAL (OG), LOS OBJETIVOS ESPECÍFICOS (OE) Y LOS SINTOMAS (S) DE UNA
AUDITORIA INFORMÁTICA

S Aumento considerable e injustificado del presupuesto del PAD (Departamento de

Procesamiento de Datos)
OE Optimizar las aplicaciones existentes
OE Brindar acceso a Internet
S Desconocimiento en el nivel directivo de la situación informática de la empresa
OE Verificar la seguridad de personal, datos, hardware, software e instalaciones
S Descubrimiento de fraudes efectuados con el computador

Revisar y Evaluar los controles, sistemas, procedimientos de informática; de los equipos de

OG cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el
procesamiento de la información
Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los
S
resultados
OE Verificar la seguridad de personal, datos, hardware, software e instalaciones
S Falta de una planificación informática
2. CON LO ANTERIOR REDACTE UN INFORME EN EL CONSTEN LAS SIGUIENTES PARTES:
OBJETIVO GENERAL, OBJETIVOS ESPECÍFICOS, JUSTIFICATIVOS PARA REALIZAR UNA
AUDITORIA INFORMÁTICA Y PROGRAMA DE TRABAJO GENERAL CON EL QUE SE
LLEVARÁ A CABO LA AUDITORIA INFORMÁTICA, DEBERÁ USAR LOS FORMATOS QUE
SE INDICAN Y ADJUNTAN

INFORME

Sr.
Gerente Compañía CPA 7.1
De nuestras consideraciones:

En respuesta a su solicitud, le propiciamos los siguientes detalles de nuestros servicios de auditoría

informática.

Objetivo General

Revisar y Evaluar los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su
utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información

Objetivos Específicos

a) Optimizar las aplicaciones existentes

b) Brindar acceso a Internet
c) Verificar la seguridad de personal, datos, hardware, software e instalaciones
d) Verificar la seguridad de personal, datos, hardware, software e instalaciones

Síntomas

a) Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos)
b) Desconocimiento en el nivel directivo de la situación informática de la empresa
c) Descubrimiento de fraudes efectuados con el computador
d) Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados
e) Falta de una planificación informática
3. ELABORE PROGRAMA PARA REALIZAR LA AUDITORIA INFORMÁTICA

PROGRAMA DE AUDITORIA
EMPRESA: CPA 7.1 FECHA: HOJA N°
FASE ACTIVIDAD HORAS ENCARGADOS
ESTIMAD
AS

VISITA PRELIMINAR
 Solicitud de manuales y documentaciones
 Elaboración de los cuestionarios
I  Recopilación de la información organizacional: 8 horas Gilson Sánchez
Estructura orgánica, Recursos humanos, presupuesto

DESARROLLO DE LA AUDITORIA

 Aplicación del cuestionario al personal, entrevista a

líderes y usuarios más relevantes de la dirección.

 Análisis de las claves de exceso, control seguridad,

confiabilidad, respaldo.

 Evaluación de la estructura orgánica departamento,

II puesto, funciones autoridad y responsabilidades. 32 horas Jessica Tigrero

 Evaluación de los recursos humanos y de la situación

presupuestal y financiera: Desempeño, capacitación,
condiciones de trabajo, recursos materiales financieros,
mobiliario y equipo.

 Evaluación de los sistemas: Relevamiento del hardware

y software evolución del diseño lógico y del desarrollo
del sistema.

 Evaluación del proceso de datos de los equipos de

REVISION Y PRE INFORME
cómputo, revisión de las seguridades
 Revisión de los papeles de trabajo 16 horas Gabriela Mite
 Determinación del diagnóstico e implicaciones
III  Elaboración de la carta de gerencia con un borrador de
informe.

INFORME

IV Elaboración y presentación del informe final. 4 horas Mariano Martínez

4. CON EL SIGUIENTE CUESTIONARIO DE CONTROL INTERNO HAGA LO SIGUIENTE:
A. DETERMINE CRITERIOS PARA LA ELABORACIÓN DE LAS PREGUNTAS
B. SEGREGUE LAS PREGUNTAS SEGÚN LOS CRITERIOS ESTABLECIDOS
C. DETERMINE PORCENTUALMENTE EL SI Y EL NO PARA CADA CRITERIO
AUDITORIA FISICA
1. Alcance de la Auditoria

Seguridad física y lógica (La seguridad física se refiere a la protección del hardware y de los soportes de
datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios,
sabotajes, robos, catástrofes naturales, etc. La seguridad lógica se refiere a la seguridad de uso del software,
a la protección de los datos, procesos y programas, así como al ordenado y autorizado acceso de los usuarios
a la información)

2. Objetivos
- Revisión de las políticas y normas sobre seguridad física.
- Organización y cualificación del personal de seguridad
- Verificar la seguridad de, hardware e instalaciones, personal, datos, y software
- Seguridad, confianza, privacidad y disponibilidad en el ambiente informático

PREGUNTAS SI NO N/A
1. ¿Se han adoptado medidas de seguridad en el departamento de
sistemas de información? X
2. ¿Existe una persona responsable de la seguridad? X
3. ¿Se ha dividido la responsabilidad para tener un mejor control de la
seguridad? X
4. ¿Existe personal de vigilancia en la institución? X
5. ¿Existe una clara definición de funciones entre los puestos clave? X
6. ¿Se investiga a los vigilantes cuando son contratados directamente? X
7. ¿Se controla el trabajo fuera de horario? X
8. ¿Se registran las acciones de los operadores para evitar que realicen
algunas pruebas que puedan dañar los sistemas? X
9. ¿Existe vigilancia en el departamento de cómputo las 24 horas? X
10. ¿Se permite el acceso a los archivos y programas a los
programadores, analistas y operadores? X
11. ¿Se ha instruido a estas personas sobre que medidas tomar en caso
de que alguien pretenda entrar sin autorización? X
12. ¿El centro de cómputo tiene salida al exterior? X
13. ¿Son controladas las visitas y demostraciones en el centro de
cómputo? X
14. ¿Se registra el acceso al departamento de cómputo de personas
ajenas a la dirección de informática? X
15. ¿Se vigilan la moral y comportamiento del personal de la dirección de
informática con el fin de mantener una buena imagen y evitar un
posible fraude? X
16. ¿Se ha adiestrado el personal en el manejo de los extintores? X
17. ¿Se revisa de acuerdo con el proveedor el funcionamiento de los
extintores? X
18. ¿Si es que existen extintores automáticos son activador por detectores
automáticos de fuego? X
19. ¿Los interruptores de energía están debidamente protegidos,
etiquetados y sin obstáculos para alcanzarlos? X
20. ¿Saben que hacer los operadores del departamento de cómputo, en
caso de que ocurra una emergencia ocasionado por fuego? X
21. ¿El personal ajeno a operación sabe que hacer en el caso de una
emergencia (incendio)? X
22. ¿Existe salida de emergencia? X
23. ¿Se revisa frecuentemente que no esté abierta o descompuesta la
cerradura de esta puerta y de las ventanas, si es que existen? X
24. ¿Se ha adiestrado a todo el personal en la forma en que se deben
desalojar las instalaciones en caso de emergencia? X
25. ¿Se ha prohibido a los operadores el consumo de alimentos y bebidas
en el interior del departamento de cómputo para evitar daños al
equipo? X
26. ¿Se limpia con frecuencia el polvo acumulado debajo del piso falso si
existe? X
27. ¿Se cuenta con copias de los archivos en lugar distinto al de la
computadora? X
28. ¿Se tienen establecidos procedimientos de actualización a estas
copias? X
29. ¿Existe departamento de auditoria interna en la institución? X
30. ¿Este departamento de auditoria interna conoce todos los aspectos de
los sistemas? X
31. ¿Se cumplen? X
32. ¿Se auditan los sistemas en operación? X
33. Una vez efectuadas las modificaciones, ¿se presentan las pruebas a
los interesados? X
34. ¿Existe control estricto en las modificaciones? X
35. ¿Se revisa que tengan la fecha de las modificaciones cuando se
hayan efectuado? X
36. ¿Si se tienen terminales conectadas, ¿se ha establecido
procedimientos de operación? X
37. ¿Se ha establecido que información puede ser acezada y por qué
persona? X
 PREGUNTAS SI/NO CRITERIO
¿Existe una clara definición de funciones entre los puestos clave? NO
¿Se ha dividido la responsabilidad para tener un mejor control de la seguridad? NO funciones del
¿Existe una persona responsable de la seguridad? NO personal de
¿Existe personal de vigilancia en la institución? SI seguridad y
¿Se investiga a los vigilantes cuando son contratados directamente? NO vigilancia
¿Existe vigilancia en el departamento de cómputo las 24 horas? NO
¿Se han adoptado medidas de seguridad en el departamento de sistemas de NO medidas de
información? seguridad
¿Se ha adiestrado al personal en el manejo de los extintores? NO
¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? NO sobre el
¿Si es que existen extintores automáticos son activador por detectores automáticos
NO manejo de
de fuego? extintores
¿Los interruptores de energía están debidamente protegidos, etiquetados y sin
NO
obstáculos para alcanzarlos?
¿Saben que hacer los operadores del departamento de cómputo, en caso de que
SI
ocurra una emergencia ocasionado por fuego?
¿El personal ajeno a operación sabe que hacer en el caso de una emergencia
NO
(incendio)?
¿Existe salida de emergencia? NO
¿El centro de cómputo tiene salida al exterior? NO emergencias
¿Se revisa frecuentemente que no esté abierta o descompuesta la cerradura de esta
SI
puerta y de las ventanas, si es que existen?
¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar las
SI
instalaciones en caso de emergencia?
¿Si se tienen terminales conectadas, ¿se ha establecido procedimientos de
NO
operación?
¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior
SI
del departamento de cómputo para evitar daños al equipo? limpieza
¿Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe? SI
¿Existe departamento de auditoria interna en la institución? SI
¿Este departamento de auditoria interna conoce todos los aspectos de los sistemas? NO auditoria
¿Se cumplen? NO interna
¿Se auditan los sistemas en operación? NO
¿Existe control estricto en las modificaciones? SI
¿Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado? SI modificaciones
Una vez efectuadas las modificaciones, ¿se presentan las pruebas a los interesados? SI
¿Se cuenta con copias de los archivos en lugar distinto al de la computadora? NO copias de
¿Se tienen establecidos procedimientos de actualización a estas copias? NO seguridad
¿Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien
NO
pretenda entrar sin autorización?
¿Se registra el acceso al departamento de cómputo de personas ajenas a la
SI
dirección de informática?
¿Se controla el trabajo fuera de horario? NO
¿Se registran las acciones de los operadores para evitar que realicen algunas pruebas accesos
SI
que puedan dañar los sistemas?
¿Se permite el acceso a los archivos y programas a los programadores, analistas y
NO
operadores?
¿Son controladas las visitas y demostraciones en el centro de cómputo? SI
¿Se ha establecido que información puede ser accesada y por qué persona? NO
¿Se vigilan la moral y comportamiento del personal de la dirección de informática con Moral y
el fin de mantener una buena imagen y evitar un posible fraude? NO Cumplimiento

REVISIÓN DE LAS POLÍTICAS Y NORMAS SOBRE SEGURIDAD FÍSICA

100% 80% 60% 40% 20%

Excelente Bueno Regular Mínimo No cumple

MEDIDAS DE SEGURIDAD 
FÍSICA

DEPARTAMENTO DE
AUDITORIA INTERNA 
EXISTENCIA

DEPARTAMENTO DE
AUDITORIA INTERNA 
FUNCIONAMIENTO

ORGANIZACIÓN Y CUALIFICACIÓN DEL PERSONAL DE SEGURIDAD

100% 80% 60% 40% 20%

Excelente Bueno Regular Mínimo No cumple

FUNCIONES DEL
PERSONAL DE SEGURIDAD 
Y VIGILANCIA (DEFINICIÓN
Y DIVISIÓN

FUNCIONES DEL
PERSONAL DE 
SEGURIDAD Y
VIGILANCIA
(EXISTENCIA)

FUNCIONES DEL
DE FUNCIONES)
PERSONAL DE 
SEGURIDAD Y
VIGILANCIA
(PERMANENCIA)
VERIFICAR LA SEGURIDAD DE, HARDWARE E INSTALACIONES, PERSONAL, DATOS, Y
SOFTWARE

100% 80% 60% 40% 20%

Excelente Bueno Regular Mínimo No cumple
EXTINTORES (EXISTENCIA)


EXTINTORES
(MANEJO) 

SALIDAS DE
EMERGENCIA 

MEDIDAS EN CASO 
DE EMERGENCIAS

ORDEN Y LIMPIEZA


SEGURIDAD, CONFIANZA, PRIVACIDAD Y DISPONIBILIDAD EN EL AMBIENTE

INFORMÁTICO

100% 80% 60% 40% 20%

Excelente Bueno Regular Mínimo No cumple
MODIFICACIONES


COPIAS DE
SEGURIDAD 

ACCESOS

MORAL Y
COMPORTAMIENTO 
5. CON EL SIGUIENTE CUESTIONARIO DE CONTROL INTERNO HAGA LO SIGUIENTE:

A. DETERMINE CRITERIOS PARA LA ELABORACIÓN DE LAS PREGUNTAS

B. SEGREGUE LAS PREGUNTAS SEGÚN LOS CRITERIOS ESTABLECIDOS
C. DETERMINE PORCENTUALMENTE EL SI Y EL NO PARA CADA CRITERIO

AUDITORIA DEL MANTENIMIENTO

1. Alcance de la Auditoria. -
Planes y procedimientos de Mantenimiento
Normativa

2. Objetivos de la Auditoria. -
Realizar un informe de Auditoria con el objeto de evaluar el mantenimiento correctivo y preventivo del
software.

3. Objetivos Específicos de la Auditoria. -

 Revisar en los contratos que las cláusulas estén perfectamente definidas y verificar su alcance en
cuanto a reparaciones, tiempo de respuesta y cumplimiento.
 Diagnóstico y verificación de la efectividad del mantenimiento actual.
 Previsiones que se realizan.
 Verificar la optimización de los planes de mantenimiento del software
 1 Existe un contrato de mantenimiento. si
¿Existe un programa de mantenimiento preventivo para cada dispositivo del sistema de
2
cómputo? no

3 Si lo hay ¿Considera que es efectivo?

no
¿Existen tiempos de respuesta en cuanto a las reparaciones y manteniento estipuladas
3
en los contratos? si
Si los tiempos de reparación son superiores a los estipulados en el contrato, ¿Qué
4
acciones correctivas se toman para ajustarlos a lo convenido? no
5 ¿Existe plan de mantenimiento preventivo. ? no
¿Este plan es proporcionado por el proveedor? ¿Se notifican las fallas? ¿Se les da
6
seguimiento? no
7 ¿Tiene un plan logístico para dar soporte al producto software? si

¿Las variaciones en el diseño son supervisadas durante el desarrollo para establecer su

8
impacto sobre el mantenimiento?
si
9 ¿Se realizan varios tipos de verificaciones para poder estimar la calidad del software? no
10 ¿Se tiene en cuenta el mantenimiento antes de empezar a desarrollar? no
¿Existe un Plan de Mantenimiento que establece prácticas específicas, así como recursos y
11
secuencias para las actividades?
no

¿Durante el análisis de requerimientos, los siguientes aspectos que afectan al

mantenimiento, son tomados en cuenta? A. Identificación y definición de funciones,
12 especialmente las opcionales. B. Exactitud y organización lógica de los datos. C. Los
Interfaces (de máquina y de usuario). D. Requerimientos de rendimiento. E. Requerimientos
impuestos por el entorno (presupuesto).
si
¿La transición del software consiste en una secuencia controlada y coordinada de
13 acciones para trasladar un producto software desde la organización que inicialmente ha
realizado el desarrollo a la encargada del mantenimiento? si

¿La responsabilidad del mantenimiento se transfiere a una organización distinta, se elabora un

Plan de Transición? ¿que es lo que incluye este plan? A. La transferencia de hardware,
14 software, datos y experiencia desde el desarrollador al mantenedor. B. Las tareas
necesarias para que el mantenedor pueda implementar una estrategia de mantenimiento del
software.
no
¿El proveedor de mantenimiento a menudo se encuentra con un producto software con
15 no
documentación?
¿Si no hay documentación, el proveedor de mantenimiento deberá crearla? ¿Realiza lo
siguiente? a. Comprender el dominio del problema y operar con el producto software. b.
16
Aprender la estructura y organización del producto software. c. Determinar qué hace el
producto software. Revisar las especificaciones (si las hubiera)
no
¿Documentos como especificaciones, manuales de mantenimiento para
17 programadores, manuales de usuario o guías de instalación pueden ser modificados o
creados, si fuese necesario? no
¿El Plan de Mantenimiento es preparado por un proveedor de mantenimiento durante el
18
desarrollo del software? si

19 ¿Los elementos software reflejan la documentación de diseño?

no

20 ¿Los productos software fueron suficientemente probados y sus especificaciones cumplidas?

no

¿Los informes de pruebas son correctos y las discrepancias entre resultados

21
actuales y esperados han sido resueltas?
no

22 ¿La documentación de usuario cumple los estándares especificados?

si
23 ¿Los costes y calendarios se ajustan a los planes establecidos? si
 PREGUNTAS SI/NO CRITERIO
Existe un contrato de mantenimiento si
¿Existe plan de mantenimiento preventivo? no
¿Existe un programa de mantenimiento preventivo para cada dispositivo del
no
sistema de cómputo?
Si lo hay ¿Considera que es efectivo? no Existencias y uso
¿Existe un Plan de Mantenimiento que establece prácticas específicas, así de normas
no
como recursos y secuencias para las actividades?
¿Documentos como especificaciones, manuales de mantenimiento para
programadores, manuales de usuario o guías de instalación pueden ser no
modificados o creados, si fuese necesario?
¿Existen tiempos de respuestas en cuanto a las reparaciones y mantenimiento
si
estipuladas en los contratos? TIEMPOS DE
Si los tiempos de reparación son superiores a los estipulados en el contrato, RESPUESTAS
no
¿Qué acciones correctivas se toman para ajustarlos a lo convenido?
¿Este plan es proporcionado por el proveedor? ¿Se notifican las fallas? ¿Se les
no Confiabilidad y
da seguimiento?
seguridad en el
¿Tiene un plan logístico para dar soporte al producto software? si
uso de la
¿Las variaciones en el diseño son supervisadas durante el desarrollo para información
si
establecer su impacto sobre el mantenimiento?
¿Se realizan varios tipos de verificaciones para poder estimar la calidad del
no
software?
¿Se tiene en cuenta el mantenimiento antes de empezar a desarrollar? no
¿Durante el análisis de requerimientos, los siguientes aspectos que afectan TRANSPARECIA
al mantenimiento, son tomados en cuenta? A. Identificación y definición de DEL TRABAJO
funciones, especialmente las opcionales. B. Exactitud y organización lógica de si
los datos. C. Los Interfaces (de máquina y de usuario). D. Requerimientos de
rendimiento. E. Requerimientos impuestos por el entorno (presupuesto).
¿La transición del software consiste en una secuencia controlada y coordinada
de acciones para trasladar un producto software desde la organización que si
inicialmente ha realizado el desarrollo a la encargada del mantenimiento?
¿La responsabilidad del mantenimiento se transfiere a una organización
distinta, se elabora un Plan de Transición? ¿Qué es lo que incluye este plan?
A. La transferencia de hardware, software, datos y experiencia desde el no
desarrollador al mantenedor. B. Las tareas necesarias para que el mantenedor
pueda implementar una estrategia de mantenimiento del software. componentes del
software
¿El proveedor de mantenimiento a menudo se encuentra con un producto
no
software con documentación?
¿Si no hay documentación, el proveedor de mantenimiento deberá crearla?
¿Realiza lo siguiente? a. Comprender el dominio del problema y operar con el
producto software. b. Aprender la estructura y organización del producto no
software. c. Determinar qué hace el producto software. Revisar las
especificaciones (si las hubiera)
¿El Plan de Mantenimiento es preparado por un proveedor de mantenimiento
si
durante el desarrollo del software?
¿Los elementos software reflejan la documentación de diseño? no MODIFICACIONES
¿Los productos software fueron suficientemente probados y sus
no
especificaciones cumplidas?
¿Los informes de pruebas son correctos y las discrepancias entre resultados
no
actuales y esperados han sido resueltas? SEGURIDAD DE
¿La documentación de usuario cumple los estándares especificados? si MANTENIMIENTO
¿Los costes y calendarios se ajustan a los planes establecidos? si

REVISAR EN LOS CONTRATOS QUE LAS CLÁUSULAS ESTÉN PERFECTAMENTE DEFINIDAS

Y VERIFICAR SU ALCANCE EN CUANTO A REPARACIONES, TIEMPO DE RESPUESTA Y
CUMPLIMIENTO.

100% 80% 60% 40% 20%

Excelente Bueno Regular Mínimo No cumple

Existencias de normas 

Uso de normas 

Transparencia del trabajo 

DIAGNÓSTICO Y VERIFICACIÓN DE LA EFECTIVIDAD DEL MANTENIMIENTO ACTUAL.

100% 80% 60% 40% 20%

Excelente Bueno Regular Mínimo No cumple

Seguridad de mantenimiento 

Confiabilidad y seguridad en el 
uso de la información

Tiempos de respuestas 
PREVISIONES QUE SE REALIZAN.

100% 80% 60% 40% 20%

Excelente Bueno Regular Mínimo No cumple

Modificaciones 

Especificaciones cumplidas 

Confiabilidad y seguridad en el 
uso de la información
Transparencia del trabajo 

VERIFICAR LA OPTIMIZACIÓN DE LOS PLANES DE MANTENIMIENTO DEL SOFTWARE

100% 80% 60% 40% 20%

Excelente Bueno Regular Mínimo No cumple

Componentes del software 

Existencias y uso de normas 

Responsabilidad del 
mantenimiento