CUESTIONARIO CONTROL INTERNO BASES DE DATOS

El formato que a continuación se presenta, tiene como propósito

determinar el control interno que lleva las empresas, correspondiente a sus
bases de datos. Está dividido en las siguientes fases: GENERALIDADES EN
ADQUISICION DE COMPUTADORES, CONTROL SOBRE LOS ARCHIVOS Y
LOS DATOS, CONTROL SOBRE ROBOS.
La entrevista se realizará teniendo en cuenta las preguntas abiertas, dando la
posibilidad que el representante o trabajador pueda expresar de manera
espontánea y detallada sus pensamientos y opiniones. Los entrevistados
permanecerán en reserva del investigador, solo se usará la información socavada
a través de la aplicación del instrumento.

NOMBRE DE LA EMPRESA:
AREA DE APLICACIÓN:
NOMBRE DEL ENTREVISTADO:

GENERALIDADES EN LA ADQUISION DE COMPUTADORES Y SOFTWARES

1.- Tiene la Gerencia políticas escritas y relacionadas con la adquisición de
microcomputadores?

2.- Las políticas para adquisición de microcomputadores tienen consideraciones

sobre:
a) Los equipos más convenientes si el propósito es utilizarlos de modo
independiente?

b) Los equipos que se adapten mejor cuando es necesario el acceso a datos en

otras instalaciones de cómputo y las aprobaciones que se requieren antes de que
el acceso sea permitido?

c) El tipo de aplicaciones adecuadas para cada uno de los dos métodos de operar
descritos anteriormente?
3. Se han elaborado formas especiales y otra documentación para facilitar la
requisición y aprobación de las adquisiciones de microcomputadores?

4. Las requisiciones para la compra de equipos se soportan en análisis costo-

beneficio?

5. Se ha reglamentado el uso de microcomputadores en la Entidad, tal que

contemple:

a) Responsabilidades por la seguridad de cada equipo instalado

b) ¿Procedimientos estándar para el manejo y administración de los equipos?

c) ¿Responsabilidades sobre el uso de periféricos?

d) ¿Manejo de archivos y programas residentes en el disco duro?

6. Tiene la gerencia lineamientos relacionados con el desarrollo o adquisición del

software aplicativo de microcomputadores?

7. Existe personal dedicado al desarrollo de software aplicativo de

microcomputadores y/o para evaluar el software ofrecido por los proveedores?

8. Participa el usuario en la decisión de adquirir o desarrollar software aplicativo?

9. Ha sido la totalidad del software adquirido legalmente?

10. Están los programas de aplicación protegidos contra copiado ilegal y/o
modificación sin autorización previa del proveedor?

11. ¿Si los microcomputadores accedan datos de otras instalaciones o del equipo
central, existen controles que regulen la velocidad de transferencia de tal manera
que no degraden la eficiencia de la red?
12. Se controla permanentemente el uso de microcomputadores con el fin de evitar
la instalación de programas no autorizados que pueden infectar de virus a los
equipos?

13. Están los microcomputadores asegurados contra robo y contra pérdida total o
parcial de datos críticos?

14.Se realiza mantenimiento preventivo y correctivo a los microcomputadores?

CONTROL DE LOS ARCHIVOS Y DATOS

15.- Se ha creado la función de biblioteca de medios magnéticos?

16.- Están documentados las prácticas y procedimientos relativos a la biblioteca de

medios magnéticos?

17.- El acceso a los archivos y a la información está restringido sólo al personal

autorizado?

18.- Los datos originales de entrada se copian para fines de respaldo?

SE CONTROLA Y PROTEGE EN FORMA REGULAR LA INTEGRIDAD Y

CONSISTENCIA DE LOS DATOS.

19.- Se obtienen copias de las bases de datos periódicamente?

20.- Se comprueban regularmente los datos duplicados (backup) para verificar su
consistencia?

21.- Se prueban periódicamente las relaciones de los datos?

22.- Existen controles para verificar que se usan las versiones correctas de los
archivos en el procesamiento?

23.- Los datos que se usan corrientemente son administrados únicamente por los
usuarios propietarios?

LOS ARCHIVOS Y DATOS ESTÁN PROTEGIDOS EN FORMA RAZONABLE

CONTRA ACCESOS NO AUTORIZADOS.

24.- Los archivos y datos se clasifican con fines de seguridad?

25.- Se cambian las claves de acceso periódicamente?

26.- Los archivos de claves de acceso son fácilmente accesibles ó legibles?

27.- Se han tomado medidas para que los operadores no puedan obtener las claves
de acceso del usuario?

28.- Existe una bitácora ó registro de las personas que tienen acceso a los archivos
y datos?

ESTÁN PROTEGIDOS CONTRA ROBO O USO NO AUTORIZADO LOS

ARCHIVOS QUE CONTIENEN LOS PROGRAMAS DE LA COMPAÑÍA.

29.- Se registran de alguna manera u otra todos los cambios introducidos en los
programas?
30.- El usuario aprueba estos cambios?

31.- Se elabora documentación a los cambios realizados?

32.- Se ejecutan las pruebas de los programas una vez modificados y antes de ser
colocados en producción?

33. Las copias de respaldo de los programas se corren periódicamente para verificar
que funcionen en forma correcta?

34.- El acceso a la documentación del programa está limitado a las personas que lo
necesitan para llevar a cabo sus tareas?

21. Existe un catálogo de todos los programas fuente?

35.- Los programas que están en etapa de desarrollo se mantienen separados de

los que están usando para producción?

LOS ARCHIVOS SE MANEJAN DE MANERA QUE LA INFORMACIÓN QUE

CONTIENEN ESTE PROTEGIDA Y SOLO A DISPOSICIÓN DE LAS PERSONAS
AUTORIZADAS.

36.- Se ha creado la función de Administración de Datos (DA) ó de Administrador

de Bases de Datos (DBA)?

37.- Esta función contempla el uso de un diccionario de datos y convenciones para

asignar nombres a los elementos de datos, programas y otros?

38.- Se necesita autorización para crear ó inicializar archivos de datos?

39.- Se destruyen los archivos temporales después que han sido usados?
40.- La función de Administrador de Datos ó Administrador de Base de Datos
considera la revisión periódica de los datos que contienen los archivos?

41.- Existe Documentación que describa el procedimiento para actualizar, mantener

y monitorear la integridad del diccionario de datos.