UNIVERSIDAD TECNOLOGICA DE IZUCAR DE MATAMOROS TEMA

CUESTIONARIO DE UNA AUDITORIA INFORMATICA ... Los formatos de las herramientas necesarias para el ejercicio de una auditoria en una Organización. 6...

195 downloads 665 Views 306KB Size
UNIVERSIDAD TECNOLOGICA DE IZUCAR DE MATAMOROS

TEMA: Cuestionario de Auditoria Informática

MATERIA: Auditoria de la Función Informática

GRUPO: 3E

NOMBRE DEL PROFESOR: Miguel Ángel Benítez Laurel

NOMBRE DEL ALUMNO: Rodrigo Eduardo Herrera Hernández

1

CUESTIONARIO DE UNA AUDITORIA INFORMATICA ¿El lugar donde se ubica el centro de cómputo está seguro de inundaciones, robo o cualquier otra situación que pueda poner en peligro los equipos? Si ______ No ______ 2. ¿El centro de cómputo da hacia el exterior? Si ______ No ______ 3. ¿El material con que está construido el centro de cómputo es confiable? Si ______ No ______ 4. ¿Dentro del centro de cómputo existen materiales que puedan ser inflamables o causar algún daño a los equipos? Si _____ ¿Cuál?_________________________________________ No______ 5. ¿Existe lugar suficiente para los equipos? Si ______ No ______ 6 .¿Aparte del centro de cómputo se cuenta con algún lugar para almacenar otros equipos de cómputo, muebles, suministros, etc.? Si _____ ¿Dónde? _________________________________________ No ____ 7. ¿ Se cuenta con una salida de emergencia? Si ______ No ______ 8. Existen señalamientos que las hagan visibles? Si _____ ¿Dónde? __________________________________________ No ______ 9. ¿Es adecuada la iluminación del centro de cómputo? Si ______ No ______ ¿Por qué? __________________________________________ 10. ¿El color de las paredes es adecuado para el centro de cómputo? Si ______ No ______ ¿Por qué?__________________________________________ 11. ¿Existen lámparas dentro del centro de cómputo? Si ______ ¿Cuántas?________ No ______ 12. ¿Qué tipo de lámparas utilizan? 13. ¿Cómo se encuentran distribuidas las lámparas dentro del centro de cómputo? 14. ¿Es suficiente la iluminación del centro de cómputo? Si ______ No ______ ¿Por qué?__________________________________________ 15 ¿La temperatura a la que trabajan los equipos es la adecuada de acuerdo a las normas bajo las cuales se rige? Si ______ No ______ 16. ¿Están limpios los ductos del aire acondicionado? Si ______ No ______ 17. ¿La ubicación de los aires acondicionado es adecuada? Si ______ No ______ 18. ¿Existe algún otro medio de ventilación aparte del aire acondicionado? ____ Si ______ ¿Cuál? ________________________________________ No ______

2

19. ¿El aire acondicionado emite algún tipo de ruido? Si ______ No ______ 20. ¿Se cuenta con tierra física? Si ______ No ______ 21. ¿La tierra física cumple con los requisitos establecidos en las normas bajo las cuales se rige? Si ______ No ______ 22. ¿El cableado se encuentra correctamente instalado? Si ______ No ______ 23. ¿Podemos identificar cuáles son cables positivos, negativos o de tierra física? Si ______ No ______ 24. ¿Los contactos de los equipos de cómputo están debidamente identificadas? Si ______ No ______ 25 ¿Se cuenta con los planos de instalación eléctrica? Si ______ No ______ 26. ¿La instalación eléctrica del equipo de cómputo es independiente de otras instalaciones? Si ______ No ______ 27. ¿Los equipos cuentan con un regulador? Si ______ No ______ 28 ¿Se verifica la regulación de las cargas máximas y mínimas? Si ______ No ______ 29. Se cuenta con equipo interrumpible? Si ______ No ______ 30. ¿Se tiene switch de apagado en caso de emergencia en algún lugar visible? Si ______ No ______ 31. ¿Los cables están dentro de paneles y canales eléctricos? Si ______ No ______ 32. ¿Los interruptores de energía están debidamente protegidos y sin obstáculos para alcanzarlos? Si ______ No ______ 33. ¿Con que periodo se les da mantenimiento a las instalaciones y suministros de energía? 34. ¿Se cuenta con alarma contra incendios? Si ______ No ______ 35. ¿Dónde se encuentran ubicadas? 36. ¿Se cuenta con alarmas contra inundaciones? Si ______ No ______ 37. ¿Dónde se encuentran ubicadas? 38. ¿Es perfectamente audible? Si ______ No ______ 39. ¿Existen extintores? Si _______ ¿Cuántos? _____________________________________ No ______ Tipo de extintores: Manual ____ Automático ____ No existen ___ 40. ¿Cuentan con algún tipo de control de entradas y salidas de usuario? Si________ No______ 41. ¿El usuario respeta ese control? Si________ No______

3

42. ¿Con que tipo de programas cuentan en los equipos de computo? ____________________________ ____________________________ _________________________ ___ ____________________________ ____________________________ ____________________________ _ ___________________________ ____________________________ 43. ¿Cuentan con manuales para cada programa que se maneja? Si___ No___ 44. ¿El personal sabe del contenido de estos manuales? Si___ No___ 45. ¿Se cuenta con reglamento para el usuario, maestro y personal? Si___ No___ 46. ¿Usuarios y maestros respetan los reglamentos y políticas estipuladas dentro del centro de cómputo? Si___ No___ 47. ¿El reglamento está a la vista del usuario? Si___ No___ 48. ¿Qué tipo de mantenimiento realizan? a. Preventivo b. Correctivo 49. ¿Por qué razón? 50. ¿Qué materiales utilizan para realizar el mantenimiento del hardware? 51. ¿Tienen un lugar específico para guardar el material de mantenimiento de hardware? Si___ No___ 52. ¿Qué materiales utilizan para realizar el mantenimiento de software? 53. ¿Tienen un lugar específico para guardar el material de mantenimiento de software? Si___ No___ 54. ¿Los usuarios tienen la suficiente confianza como para presentar su queja sobre fallas en los equipos? Si___ No___ 55. ¿Cuál es la disponibilidad de refacciones necesarias para dar el mantenimiento a las máquinas? a. Excelente b. Muy buena c. Buena d. Regular e. Mala f. Muy mala ¿Por qué?_________________________________________________ 56. ¿Se registra el acceso al departamento de cómputo de personas ajenas a la dirección de informática? Si___ No___ 57. ¿Se cuenta con copias de los archivos en lugar distinto al de la computadora? Si___ No___ 58. ¿Se tienen establecidos procedimientos de actualización a estas copias? Si___ No___ 59. ¿Se ha establecido que información puede ser acezada y por qué persona? Si___ No___ 60. ¿Se han instalado equipos que protejan la información y los dispositivos en caso de variación de voltaje como: reguladores de voltaje, supresores pico, U PS, generadores de energía? Si___ No___

4

61. ¿Se mantiene programas y procedimientos de detección e inmunización de virus en copias no autorizadas o datos procesados en otros equipos? Si___ No___ : 1. ¿Sabe que hacer el personal en caso de una emergencia? Si ______ No ______ 2. ¿Se ha adiestrado al personal sobre el uso de extintores? Si ______ No ______ 3. ¿Existe una persona responsable de la seguridad de autorización de acceso? Si ______ No ______ 4. ¿Se supervisa que esta persona realice sus actividades? Si _______ ¿Quién? _______________________________________ No ______ 5. ¿El personal que trabaja actualmente es adecuado para cumplir con las funciones encomendadas? Si___ No___ ¿Por qué?_______________________________ 6. ¿Se da algún tipo de inducción al personal para que este informado de las funciones que realizará? Si____ No____ 7. ¿Cuál es la forma de darles a conocer sus funciones? __________________________________________________________________________________ _____________________ _____________________________________________________________________ __________________________________ 8. ¿Cuál es la causa de que no estén por escrito? _____________________________________________________________________________________ __________________ ________________________________________________________________________ _______________________________ 9. ¿Se establece algún tipo de objetivo para el área de cómputo? Si___ No___ 10. ¿Estos objetivos están por escrito? Si___ No____ 11. ¿En caso de ser si, en que tipo de documentos se encuentra? __________________________________________________________________________________ ____________ ______________________________________________________________________________ ________________ 12. ¿En caso de ser no, por que no están definidos por escrito? _____________________________________________________________________________________ _________ _________________________________________________________________________________ _____________ 13. ¿Cumple el personal o encargado del centro de cómputo con dichos objetivos ?Si___ No____ ¿Por qué?_______________________________ 14. ¿Los niveles jerárquicos establecidos son necesarios para el desarrollo de las actividades del área? Si____ No___ 15. ¿Permiten los niveles actuales que se tenga una ágil toma de decisiones y comunicación ascendente y descendente?

www.scribd.com › School Work › Homework

1) Los formatos de las herramientas necesarias para el ejercicio de una auditoria en una Organización. 5

Cuestionario ¿Se ajusta la estructura orgánica actual a las disposiciones jurídicas vigentes? Si ( ) No ( ) No, ¿Por qué razón? ___________________________________________

¿Cuáles son los ordenamientos legales en que se sustenta la dirección? __________________________________________

OBJETIVO DE LA ESTRUCTURA ¿La estructura actual está encaminada a ala consecuencia de los objetivos del área? __________________________________________

¿Permite la estructura actual que se lleven a cabo con eficiencia: Las atribuciones encomendadas? Si ( ) No ( ) Las funciones establecidas? Si ( ) No ( ) Las distribuciones de trabajo? Si ( ) No ( ) El control interno? Si ( ) No ( ) SI alguna respuesta es negativa , explica cual es la razón ________________________________________

NIVELES JERARQUICOS Es conveniente conocer los niveles jerárquicos para poder evaluar si son los necesarios y si están bien definidos.

¿Los niveles jerárquicos establecidos actualmente son necesarios y suficientes para el desarrollo de las actividades del área? Si ( ) No ( )

¿Cuáles y por qué son sus recomendaciones? ________________________________________

¿Permiten los niveles jerárquicos actuales que se desarrolle adecuadamente la: Operación? Si ( ) No ( ) Supervisión? Si ( ) No ( ) Control? Si ( ) No ( )

¿Permiten los niveles actuales que se tenga una ágil: Comunicación ascendente? Si ( ) No ( ) Comunicación descendente? Si ( ) No ( ) Toma de decisiones? Si ( ) No ( )

¿Considera que algunas aéreas deberían tener: Mayor jerarquía? Si ( ) No ( ) Menor jerarquía? Si ( ) No ( )

¿Por qué razón? ______________________________________

Avances del programa de auditoria informática Organismo: _________________ Núm. Hoja: _________de_____________ Periodo que reporta: ______________________ Contrato de Auditoría en Informática Contrato de servicios profesionales de auditoría en informática que celebran por parte____________________________, representado por________________ en su carácter de______________________ y en lo sucesivo se denomirá “el cliente”, por otra parte _____________________, representada por____________________ a quien se denomirá “ el auditor”, de conformidad con las declaraciones y cláusulas siguientes:

6

DECLARACIONES I) El cliente declara: a) Que es un(a) ________________________________________________________________ b) Que está representado para este acto por_______________________________________________ y que tiene como domicilio______________________________________________________________ c) Que requiere obtener servicios de auditoría en informática, por lo que ha decidido contraer los servicios del auditor. II) Declara el auditor: a) Que es una sociedad anónima, constituida y existente de acuerdo con las leyes y que dentro de sus objetivos primordiales está el de prestar auditoría en informática_____________________________________________________________________________ b) Que está constituida legalmente según escritura número__________ de fecha______________________________ ante el notario público núm._____________________ del______________________________________________________ Lic.__________________________________________________________________ c) Que señala como su domicilio_______________________________________________________________________________ III) Declaran ambas partes: a) Que habiendo llegado a un acuerdo sobre lo antes mencionado, lo formalizan entregando el presente contrato que se contiene en las siguientes clausulas:

CLAUSULAS: Primera. Objeto El auditor se obliga a prestar al cliente los servicios de auditoría en informática para llevar a cabo la evaluación de la dirección de informática del cliente, que se detallan en la propuesta de servicios anexa que, firmada por las partes, forma parte integrante del contrato. Segunda. Alcance del trabajo El alcance de los trabajos que llevara a cabo el auditor interno dentro de este contrato son: a) Evaluaciones de la dirección de informática en lo que corresponde a: su organización. Funciones. Estructura. Cumplimiento de los objetivos. Recursos humanos. Normas y políticas. Capacitación. Planes de trabajo. Controles. Estándares. Condiciones de trabajo. Situación presupuestal y financiera. b) Evaluación de los sistemas: Evaluación de los diferentes sistemas en operación (flujo, procedimientos, documentación, organización de archivos, estándares de programación, controles, utilización de sistemas). Opiniones de los usuarios. Evaluación de avances de los sistemas en desarrollo y congruencia con el diseño general, control de proyectos, modularidad de los sistemas. Evaluación de prioridades y recursos asignados (humanos y equipos de cómputo). Seguridad lógica de los sistemas, confidencialidad y respaldos. Derechos de autor y secretos industriales, de los sistemas propios y los utilizados por la organización. Evaluación de las bases de datos. c) Evaluación de los equipos: Adquisición, estudios de viabilidad y costo-beneficio. Capacidades. Utilización. Estandarización.

7

Controles. Nuevos proyectos de adquisición. Almacenamiento. Comunicación. Redes. Equipos adicionales. Respaldo de equipos. Contratos de compra, renta o renta con opción a compra. Planes y proyecciones de adquisición de nuevos equipos. Mantenimientos. d) evaluación de la seguridad: seguridad lógica y confidencialidad. Seguridad en el personal. Seguridad física. Seguridad contra virus. Seguros. Seguridad en la utilización de los equipos. Seguridad en la restauración de los equipos y de los sistemas. Plan de contingencia y procedimientos en caso de desastre. e) Elaboración de informes que contengan conclusiones y recomendaciones por cada uno de los trabajos señalados en los incisos a, b, c, de esta clausula. Tercera. programa del trabajo El cliente y el auditor convienen en desarrollar en forma conjunta un programa en el que se determinen con precisión las actividades a realizar por cada una de las partes, los responsables de llevarlas a cabo y las fechas de realización. Cuarta. Supervisión El cliente o quien de signe tendrá derecho a supervisar los trabajos que se le han encomendado al auditor dentro de este contrato y a dar por escrito las instrucciones que estime convenientes. Quinta. Coordinación de los trabajos El cliente designara por parte de la organización a un coordinador del proyecto, quien será el responsable de coordinar la recopilación de la información que solicite el auditor, y de que las reuniones y entrevistas establecidas en el programa de trabajo se lleven a cabo en las fechas establecidas. Sexta. Horario de trabajo El personal del auditor dedicara el tiempo necesario para cumplir satisfactoriamente con los trabajos materia de la celebración de este contrato, de acuerdo al programa de trabajo convenido por ambas partes, y gozara de libertad fuera del tiempo destinado al cumplimiento de las actividades, por lo que no estará sujeto a horarios y a jornadas determinadas. Séptima. Personal asignado El auditor designara para el desarrollo de los trabajos objeto de este contrato a socios del despacho, quienes, cuando consideren necesario, incorporaran personal técnico capacitado de que dispone la firma, en el número que se requieran y de acuerdo a los trabajos a realizar. Octava. Relación laboral El personal del auditor no tendrá ninguna relación laboral con el cliente y queda expresamente estipulado que este contrato se en atención en que el auditor en ningún momento se considera intermediario del cliente respecto al personal que ocupe para dar cumplimiento a las obligaciones que se deriven de las relaciones entre él y su personal, y que exime al cliente de cualquier responsabilidad que a este respeto existiera. Novena. Plazo de trabajo El auditor se obliga a terminar los trabajos señalados en la clausula segunda de este contrato en___________ días hábiles

8

después de la fecha en que se firme el contrato y sea cobrado el anticipo correspondiente. El tiempo estimado para la terminación de los trabajos esta con relación a la oportunidad con que el cliente entregue los documentos requeridos por el auditor y al cumplimiento de las fechas estipuladas en el programa de trabajo aprobado por las partes, por lo que cualquier retraso ocasionada por parte del personal del cliente o de usuarios de los sistemas repercutirá en el plazo estipulado, el cual deberá incrementarse de acuerdo a las nuevas fechas establecida en el programa de trabajo, sin perjuicio alguno para el auditor. Decima. Honorarios El cliente pagara al auditor por los trabajos objeto del presente contrato, honorarios por la cantidad de $____________________, __________________________________ mas el impuesto al valor agregado correspondiente. La forma de pago será la siguiente: a) ____________% a la firma del contrato. b) ____________% a los _____ días hábiles después de iniciados los trabajos. c) ___________% a la terminación de los trabajos y presentación del informe final. Undécima. Alcance de los honorarios El importe señalado en la clausula decima compensara al auditor por sueldos, honorarios, organización y dirección técnica propia de los servicios de auditoría, prestaciones sociales y laborales de su personal. Duodécima. Incremento de los honorarios En caso de que se tenga un retraso debido a la falta de entrega de información, demora o cancelación de las reuniones, o cualquier otra causa imputable al cliente, este contrato se incrementara en forma proporcional al retraso y se señalara el incremento de común acuerdo. Decimotercera. Trabajos adicionales De ser necesario alguna adición a los alcances o productos del presente contrato, las partes celebraran por separado un convenio que formara parte integrante de este instrumento y en forma conjunta se acordara al nuevo costo. Decimocuarta. Viáticos y pasajes El importe de los viáticos y pasajes en que incurra el auditor en el traslado, hospedaje y alimentación que requieran durante su permanencia en la ciudad de_____________________________________________________________, como consecuencia de los trabajos objeto de este contrato, será por cuenta del cliente. Decimoquinta. Gastos generales Los gastos de fotocopiado y dibujo que se produzcan con motivo de este contrato correrán por cuenta del cliente. Decimosexta. Causas de recisión Serán causa de recisión del presente contrato la violación o incumplimiento de cualquiera de las clausulas de este contrato. Decimoséptima. Jurisdicción Todo lo no previsto en este contrato se regirá por las disposiciones relativas, contenidas en el Código Civil del__________________ y, en caso de controversia para su interpretación y cumplimiento, las partes se someten a la jurisdicción de los tribunales federales, renunciando al fuero que les pueda corresponder en razón de su domicilio presente o futuro. Enteradas las partes del contenido y alcance legal de este contrato, lo rubrican y firman de conformidad, en original y 3 copias, en ciudad de _________________________________,el día _____________________________________. _______________ _________________ ___________________________________ Firma del Firma del Cliente Auditador

2) El Formato de planeación de cada actividad para la aplicación de la 9

auditoria informática. Planeación de Auditoría en Informática Organismo: _________________ Núm. Hoja: _________de_____________ Fecha de Formulacion: ______________________ Face Descripción Actividad Núm. del personal Periodo estimado Días Hab. Est. inicio Termino

3) ¿Qué tipo de auditoría informática hay? Explique Bueno hay varios pero los más importantes que hay y que ocuparemos con más frecuencias son dos los cuales son Auditoria Informática Interna y Auditoria Informática Externa. Auditoria Informática Interna: Es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier momento y cuantas veces diga la empresa. Auditoria Informática Externa: Es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditoría Interna, debido al mayor distanciamiento entre auditores y auditados.

4) ¿Cómo determinamos la aplicación de un tipo de auditoría Informática especifica? Por las etapas las cuales son las siguientes: Etapa 1: Conocimiento general del área de sistemas: Debemos tener el conocimiento general del área de sistemas lo cual incluyen el organigrama de quienes son las personas que elaborar en la organización desde el más importante hasta el menor importante, la estructura en la que se encuentra el departamento, las relaciones funcionales con las cuales trabajan, los equipos con los que cuanta la organización o empresa, los proyectos que tienen en desarrollo o los que ya tienen en producción y fijamente trabajando esto es precisamente es el conocimiento del cual tenemos que saber para la primera etapa de áreas de sistemas. 10

Etapa 2: Planificación: Se lleva a cabo la concentración de los objetivos que encontramos también tomado en cuenta la definición de cada uno de ellos y los alcances que podrían tener si lo llevaremos a cabo, es por eso que se toma en cuenta todo hasta las personas que se involucran en el proceso de la auditoria para que el plan de trabajo que se realice vaya bien estructurado y se pueda emplear mejor con los siguientes aspectos tareas que hay que realizar, calendario de fechas de trabajo, resultados parciales que obtiene cada uno de las personas y el presupuesto de todo. Etapa 3: Desarrollo de la auditoría: Teniendo en cuenta la planeación lo primero es hacer las entrevistas necesarias o los cuestionarios necesarios para saber las situaciones deficientes de cada uno o bien las observaciones de los procedimientos que se quieren emplear. Etapa 4: Fase de diagnóstico (Revisión de resultados) Se diagnostica todo los resultados de como los vamos a emplear, se tratan los puntos más fuertes y los más débiles tomando en cuentas también los riesgos y empleando las soluciones y mejoras que puedan emplearse. Etapa 5: Presentación de conclusiones En esta etapa se entregara un reporte documental de todos los resultados que se tuvieron, las observaciones las conclusiones. Más específicamente se entrega un informe final. Etapa 6: Formación del plan de mejoras En esta etapa ya se emplean los planes de las mejoras, los resúmenes de las deficiencias encontradas tomando en cuenta las recomendaciones encaminadas a paliar las deficiencias detectadas, con sus aspectos de las medidas a corto y a largo plazo con su respectivo seguimiento y cumplimiento de las recomendaciones. Con estas etapas determinamos la aplicación de un tipo de auditoría informática y debe recordarse que deben de ser capacitados.

Referencias: http://es.scribd.com/doc/19505290/Auditoria-Informatica http://www.s21sec.com/servicios.aspx?sec

11