UNIVERSIDAD TECNOLOGICA DE IZUCAR DE MATAMOROS. TEMA: Cuestionario de Auditoria Informática. MATERIA: Auditoria de la Función Informática GRUPO: 3E

Transcripción

1 UNIVERSIDAD TECNOLOGICA DE IZUCAR DE MATAMOROS TEMA: Cuestionario de Auditoria Informática MATERIA: Auditoria de la Función Informática GRUPO: 3E NOMBRE DEL PROFESOR: Miguel Ángel Benítez Laurel NOMBRE DEL ALUMNO: Rodrigo Eduardo Herrera Hernández 1

2 CUESTIONARIO DE UNA AUDITORIA INFORMATICA El lugar donde se ubica el centro de cómputo está seguro de inundaciones, robo o cualquier otra situación que pueda poner en peligro los equipos? Si No 2. El centro de cómputo da hacia el exterior? Si No 3. El material con que está construido el centro de cómputo es confiable? Si No 4. Dentro del centro de cómputo existen materiales que puedan ser inflamables o causar algún daño a los equipos? Si Cuál? No 5. Existe lugar suficiente para los equipos? Si No 6. Aparte del centro de cómputo se cuenta con algún lugar para almacenar otros equipos de cómputo, muebles, suministros, etc.? Si Dónde? No 7. Se cuenta con una salida de emergencia? Si No 8. Existen señalamientos que las hagan visibles? Si Dónde? No 9. Es adecuada la iluminación del centro de cómputo? Si No Por qué? 10. El color de las paredes es adecuado para el centro de cómputo? Si No Por qué? 11. Existen lámparas dentro del centro de cómputo? Si Cuántas? No 12. Qué tipo de lámparas utilizan? 13. Cómo se encuentran distribuidas las lámparas dentro del centro de cómputo? 14. Es suficiente la iluminación del centro de cómputo? Si No Por qué? 15 La temperatura a la que trabajan los equipos es la adecuada de acuerdo a las normas bajo las cuales se rige? Si No 16. Están limpios los ductos del aire acondicionado? Si No 17. La ubicación de los aires acondicionado es adecuada? Si No 18. Existe algún otro medio de ventilación aparte del aire acondicionado? Si Cuál? No 2

3 19. El aire acondicionado emite algún tipo de ruido? Si No 20. Se cuenta con tierra física? Si No 21. La tierra física cumple con los requisitos establecidos en las normas bajo las cuales se rige? Si No 22. El cableado se encuentra correctamente instalado? Si No 23. Podemos identificar cuáles son cables positivos, negativos o de tierra física? Si No 24. Los contactos de los equipos de cómputo están debidamente identificadas? Si No 25 Se cuenta con los planos de instalación eléctrica? Si No 26. La instalación eléctrica del equipo de cómputo es independiente de otras instalaciones? Si No 27. Los equipos cuentan con un regulador? Si No 28 Se verifica la regulación de las cargas máximas y mínimas? Si No 29. Se cuenta con equipo interrumpible? Si No 30. Se tiene switch de apagado en caso de emergencia en algún lugar visible? Si No 31. Los cables están dentro de paneles y canales eléctricos? Si No 32. Los interruptores de energía están debidamente protegidos y sin obstáculos para alcanzarlos? Si No 33. Con que periodo se les da mantenimiento a las instalaciones y suministros de energía? 34. Se cuenta con alarma contra incendios? Si No 35. Dónde se encuentran ubicadas? 36. Se cuenta con alarmas contra inundaciones? Si No 37. Dónde se encuentran ubicadas? 38. Es perfectamente audible? Si No 39. Existen extintores? Si Cuántos? No Tipo de extintores: Manual Automático No existen 40. Cuentan con algún tipo de control de entradas y salidas de usuario? Si No 41. El usuario respeta ese control? Si No 3

4 42. Con que tipo de programas cuentan en los equipos de computo? 43. Cuentan con manuales para cada programa que se maneja? Si No 44. El personal sabe del contenido de estos manuales? Si No 45. Se cuenta con reglamento para el usuario, maestro y personal? Si No 46. Usuarios y maestros respetan los reglamentos y políticas estipuladas dentro del centro de cómputo? Si No 47. El reglamento está a la vista del usuario? Si No 48. Qué tipo de mantenimiento realizan? a. Preventivo b. Correctivo 49. Por qué razón? 50. Qué materiales utilizan para realizar el mantenimiento del hardware? 51. Tienen un lugar específico para guardar el material de mantenimiento de hardware? Si No 52. Qué materiales utilizan para realizar el mantenimiento de software? 53. Tienen un lugar específico para guardar el material de mantenimiento de software? Si No 54. Los usuarios tienen la suficiente confianza como para presentar su queja sobre fallas en los equipos? Si No 55. Cuál es la disponibilidad de refacciones necesarias para dar el mantenimiento a las máquinas? a. Excelente b. Muy buena c. Buena d. Regular e. Mala f. Muy mala Por qué? 56. Se registra el acceso al departamento de cómputo de personas ajenas a la dirección de informática? Si No 57. Se cuenta con copias de los archivos en lugar distinto al de la computadora? Si No 58. Se tienen establecidos procedimientos de actualización a estas copias? Si No 59. Se ha establecido que información puede ser acezada y por qué persona? Si No 60. Se han instalado equipos que protejan la información y los dispositivos en caso de variación de voltaje como: reguladores de voltaje, supresores pico, U PS, generadores de energía? Si No 4

5 61. Se mantiene programas y procedimientos de detección e inmunización de virus en copias no autorizadas o datos procesados en otros equipos? Si No : 1. Sabe que hacer el personal en caso de una emergencia? Si No 2. Se ha adiestrado al personal sobre el uso de extintores? Si No 3. Existe una persona responsable de la seguridad de autorización de acceso? Si No 4. Se supervisa que esta persona realice sus actividades? Si Quién? No 5. El personal que trabaja actualmente es adecuado para cumplir con las funciones encomendadas? Si No Por qué? 6. Se da algún tipo de inducción al personal para que este informado de las funciones que realizará? Si No 7. Cuál es la forma de darles a conocer sus funciones? 8. Cuál es la causa de que no estén por escrito? 9. Se establece algún tipo de objetivo para el área de cómputo? Si No 10. Estos objetivos están por escrito? Si No 11. En caso de ser si, en que tipo de documentos se encuentra? 12. En caso de ser no, por que no están definidos por escrito? 13. Cumple el personal o encargado del centro de cómputo con dichos objetivos?si No Por qué? 14. Los niveles jerárquicos establecidos son necesarios para el desarrollo de las actividades del área? Si No 15. Permiten los niveles actuales que se tenga una ágil toma de decisiones y comunicación ascendente y descendente? School Work Homework 1) Los formatos de las herramientas necesarias para el ejercicio de una auditoria en una Organización. 5

6 Cuestionario Se ajusta la estructura orgánica actual a las disposiciones jurídicas vigentes? Si ( ) No ( ) No, Por qué razón? Cuáles son los ordenamientos legales en que se sustenta la dirección? OBJETIVO DE LA ESTRUCTURA La estructura actual está encaminada a ala consecuencia de los objetivos del área? Permite la estructura actual que se lleven a cabo con eficiencia: Las atribuciones encomendadas? Si ( ) No ( ) Las funciones establecidas? Si ( ) No ( ) Las distribuciones de trabajo? Si ( ) No ( ) El control interno? Si ( ) No ( ) SI alguna respuesta es negativa, explica cual es la razón NIVELES JERARQUICOS Es conveniente conocer los niveles jerárquicos para poder evaluar si son los necesarios y si están bien definidos. Los niveles jerárquicos establecidos actualmente son necesarios y suficientes para el desarrollo de las actividades del área? Si ( ) No ( ) Cuáles y por qué son sus recomendaciones? Permiten los niveles jerárquicos actuales que se desarrolle adecuadamente la: Operación? Si ( ) No ( ) Supervisión? Si ( ) No ( ) Control? Si ( ) No ( ) Permiten los niveles actuales que se tenga una ágil: Comunicación ascendente? Si ( ) No ( ) Comunicación descendente? Si ( ) No ( ) Toma de decisiones? Si ( ) No ( ) Considera que algunas aéreas deberían tener: Mayor jerarquía? Si ( ) No ( ) Menor jerarquía? Si ( ) No ( ) Por qué razón? Avances del programa de auditoria informática Organismo: Núm. Hoja: de Periodo que reporta: Contrato de Auditoría en Informática Contrato de servicios profesionales de auditoría en informática que celebran por parte, representado por en su carácter de y en lo sucesivo se denomirá el cliente, por otra parte, representada por a quien se denomirá el auditor, de conformidad con las declaraciones y cláusulas siguientes: 6

7 DECLARACIONES I) El cliente declara: a) Que es un(a) b) Que está representado para este acto por y que tiene como domicilio c) Que requiere obtener servicios de auditoría en informática, por lo que ha decidido contraer los servicios del auditor. II) Declara el auditor: a) Que es una sociedad anónima, constituida y existente de acuerdo con las leyes y que dentro de sus objetivos primordiales está el de prestar auditoría en informática b) Que está constituida legalmente según escritura número de fecha ante el notario público núm. del Lic. c) Que señala como su domicilio III) Declaran ambas partes: a) Que habiendo llegado a un acuerdo sobre lo antes mencionado, lo formalizan entregando el presente contrato que se contiene en las siguientes clausulas: CLAUSULAS: Primera. Objeto El auditor se obliga a prestar al cliente los servicios de auditoría en informática para llevar a cabo la evaluación de la dirección de informática del cliente, que se detallan en la propuesta de servicios anexa que, firmada por las partes, forma parte integrante del contrato. Segunda. Alcance del trabajo El alcance de los trabajos que llevara a cabo el auditor interno dentro de este contrato son: a) Evaluaciones de la dirección de informática en lo que corresponde a: su organización. Funciones. Estructura. Cumplimiento de los objetivos. Recursos humanos. Normas y políticas. Capacitación. Planes de trabajo. Controles. Estándares. Condiciones de trabajo. Situación presupuestal y financiera. b) Evaluación de los sistemas: Evaluación de los diferentes sistemas en operación (flujo, procedimientos, documentación, organización de archivos, estándares de programación, controles, utilización de sistemas). Opiniones de los usuarios. Evaluación de avances de los sistemas en desarrollo y congruencia con el diseño general, control de proyectos, modularidad de los sistemas. Evaluación de prioridades y recursos asignados (humanos y equipos de cómputo). Seguridad lógica de los sistemas, confidencialidad y respaldos. Derechos de autor y secretos industriales, de los sistemas propios y los utilizados por la organización. Evaluación de las bases de datos. c) Evaluación de los equipos: Adquisición, estudios de viabilidad y costo-beneficio. Capacidades. Utilización. Estandarización. 7

8 Controles. Nuevos proyectos de adquisición. Almacenamiento. Comunicación. Redes. Equipos adicionales. Respaldo de equipos. Contratos de compra, renta o renta con opción a compra. Planes y proyecciones de adquisición de nuevos equipos. Mantenimientos. d) evaluación de la seguridad: seguridad lógica y confidencialidad. Seguridad en el personal. Seguridad física. Seguridad contra virus. Seguros. Seguridad en la utilización de los equipos. Seguridad en la restauración de los equipos y de los sistemas. Plan de contingencia y procedimientos en caso de desastre. e) Elaboración de informes que contengan conclusiones y recomendaciones por cada uno de los trabajos señalados en los incisos a, b, c, de esta clausula. Tercera. programa del trabajo El cliente y el auditor convienen en desarrollar en forma conjunta un programa en el que se determinen con precisión las actividades a realizar por cada una de las partes, los responsables de llevarlas a cabo y las fechas de realización. Cuarta. Supervisión El cliente o quien de signe tendrá derecho a supervisar los trabajos que se le han encomendado al auditor dentro de este contrato y a dar por escrito las instrucciones que estime convenientes. Quinta. Coordinación de los trabajos El cliente designara por parte de la organización a un coordinador del proyecto, quien será el responsable de coordinar la recopilación de la información que solicite el auditor, y de que las reuniones y entrevistas establecidas en el programa de trabajo se lleven a cabo en las fechas establecidas. Sexta. Horario de trabajo El personal del auditor dedicara el tiempo necesario para cumplir satisfactoriamente con los trabajos materia de la celebración de este contrato, de acuerdo al programa de trabajo convenido por ambas partes, y gozara de libertad fuera del tiempo destinado al cumplimiento de las actividades, por lo que no estará sujeto a horarios y a jornadas determinadas. Séptima. Personal asignado El auditor designara para el desarrollo de los trabajos objeto de este contrato a socios del despacho, quienes, cuando consideren necesario, incorporaran personal técnico capacitado de que dispone la firma, en el número que se requieran y de acuerdo a los trabajos a realizar. Octava. Relación laboral El personal del auditor no tendrá ninguna relación laboral con el cliente y queda expresamente estipulado que este contrato se en atención en que el auditor en ningún momento se considera intermediario del cliente respecto al personal que ocupe para dar cumplimiento a las obligaciones que se deriven de las relaciones entre él y su personal, y que exime al cliente de cualquier responsabilidad que a este respeto existiera. Novena. Plazo de trabajo El auditor se obliga a terminar los trabajos señalados en la clausula segunda de este contrato en días hábiles 8

9 después de la fecha en que se firme el contrato y sea cobrado el anticipo correspondiente. El tiempo estimado para la terminación de los trabajos esta con relación a la oportunidad con que el cliente entregue los documentos requeridos por el auditor y al cumplimiento de las fechas estipuladas en el programa de trabajo aprobado por las partes, por lo que cualquier retraso ocasionada por parte del personal del cliente o de usuarios de los sistemas repercutirá en el plazo estipulado, el cual deberá incrementarse de acuerdo a las nuevas fechas establecida en el programa de trabajo, sin perjuicio alguno para el auditor. Decima. Honorarios El cliente pagara al auditor por los trabajos objeto del presente contrato, honorarios por la cantidad de $, mas el impuesto al valor agregado correspondiente. La forma de pago será la siguiente: a) % a la firma del contrato. b) % a los días hábiles después de iniciados los trabajos. c) % a la terminación de los trabajos y presentación del informe final. Undécima. Alcance de los honorarios El importe señalado en la clausula decima compensara al auditor por sueldos, honorarios, organización y dirección técnica propia de los servicios de auditoría, prestaciones sociales y laborales de su personal. Duodécima. Incremento de los honorarios En caso de que se tenga un retraso debido a la falta de entrega de información, demora o cancelación de las reuniones, o cualquier otra causa imputable al cliente, este contrato se incrementara en forma proporcional al retraso y se señalara el incremento de común acuerdo. Decimotercera. Trabajos adicionales De ser necesario alguna adición a los alcances o productos del presente contrato, las partes celebraran por separado un convenio que formara parte integrante de este instrumento y en forma conjunta se acordara al nuevo costo. Decimocuarta. Viáticos y pasajes El importe de los viáticos y pasajes en que incurra el auditor en el traslado, hospedaje y alimentación que requieran durante su permanencia en la ciudad de, como consecuencia de los trabajos objeto de este contrato, será por cuenta del cliente. Decimoquinta. Gastos generales Los gastos de fotocopiado y dibujo que se produzcan con motivo de este contrato correrán por cuenta del cliente. Decimosexta. Causas de recisión Serán causa de recisión del presente contrato la violación o incumplimiento de cualquiera de las clausulas de este contrato. Decimoséptima. Jurisdicción Todo lo no previsto en este contrato se regirá por las disposiciones relativas, contenidas en el Código Civil del y, en caso de controversia para su interpretación y cumplimiento, las partes se someten a la jurisdicción de los tribunales federales, renunciando al fuero que les pueda corresponder en razón de su domicilio presente o futuro. Enteradas las partes del contenido y alcance legal de este contrato, lo rubrican y firman de conformidad, en original y 3 copias, en ciudad de,el día. Firma del Firma del Cliente Auditador 2) El Formato de planeación de cada actividad para la aplicación de la 9

10 auditoria informática. Planeación de Auditoría en Informática Organismo: Núm. Hoja: de Fecha de Formulacion: Face Descripción Actividad Núm. del personal Periodo estimado Días Hab. Est. inicio Termino 3) Qué tipo de auditoría informática hay? Explique Bueno hay varios pero los más importantes que hay y que ocuparemos con más frecuencias son dos los cuales son Auditoria Informática Interna y Auditoria Informática Externa. Auditoria Informática Interna: Es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier momento y cuantas veces diga la empresa. Auditoria Informática Externa: Es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditoría Interna, debido al mayor distanciamiento entre auditores y auditados. 4) Cómo determinamos la aplicación de un tipo de auditoría Informática especifica? Por las etapas las cuales son las siguientes: Etapa 1: Conocimiento general del área de sistemas: Debemos tener el conocimiento general del área de sistemas lo cual incluyen el organigrama de quienes son las personas que elaborar en la organización desde el más importante hasta el menor importante, la estructura en la que se encuentra el departamento, las relaciones funcionales con las cuales trabajan, los equipos con los que cuanta la organización o empresa, los proyectos que tienen en desarrollo o los que ya tienen en producción y fijamente trabajando esto es precisamente es el conocimiento del cual tenemos que saber para la primera etapa de áreas de sistemas. 10

11 Etapa 2: Planificación: Se lleva a cabo la concentración de los objetivos que encontramos también tomado en cuenta la definición de cada uno de ellos y los alcances que podrían tener si lo llevaremos a cabo, es por eso que se toma en cuenta todo hasta las personas que se involucran en el proceso de la auditoria para que el plan de trabajo que se realice vaya bien estructurado y se pueda emplear mejor con los siguientes aspectos tareas que hay que realizar, calendario de fechas de trabajo, resultados parciales que obtiene cada uno de las personas y el presupuesto de todo. Etapa 3: Desarrollo de la auditoría: Teniendo en cuenta la planeación lo primero es hacer las entrevistas necesarias o los cuestionarios necesarios para saber las situaciones deficientes de cada uno o bien las observaciones de los procedimientos que se quieren emplear. Etapa 4: Fase de diagnóstico (Revisión de resultados) Se diagnostica todo los resultados de como los vamos a emplear, se tratan los puntos más fuertes y los más débiles tomando en cuentas también los riesgos y empleando las soluciones y mejoras que puedan emplearse. Etapa 5: Presentación de conclusiones En esta etapa se entregara un reporte documental de todos los resultados que se tuvieron, las observaciones las conclusiones. Más específicamente se entrega un informe final. Etapa 6: Formación del plan de mejoras En esta etapa ya se emplean los planes de las mejoras, los resúmenes de las deficiencias encontradas tomando en cuenta las recomendaciones encaminadas a paliar las deficiencias detectadas, con sus aspectos de las medidas a corto y a largo plazo con su respectivo seguimiento y cumplimiento de las recomendaciones. Con estas etapas determinamos la aplicación de un tipo de auditoría informática y debe recordarse que deben de ser capacitados. Referencias: