Avance Auditoria

AUDITORIA DE SISTEMAS DE INFORMACION
Instituto Superior Tecnolgico TEC

INFORME FINAL EQUIPO DE AUDITORIA Aguilar Polo, Yoslar Mermao Romero, Claudia Orihuela Izquierdo Eloy Angel Oliva Valle, Sosimo
Pucallpa - Per
20/12/2012
TABLA DE CONTENIDO
TABLA DE CONTENIDO...............................................................................................2 I.INTRODUCCION..........................................................................................................1 II.ANTECEDENTES DE LA EMPRESA........................................................................1 II.1.Misin.....................................................................................................................2 II.2.Visin......................................................................................................................2 III.PLAN DE AUDITORIA DE SISTEMAS DE INFORMACION AL INSTITUTO SUPERIOR TECNOLOGICO TEC..............................................................................2 III.1.Alcance..................................................................................................................2 III.2.Personal encargado de Auditoria...........................................................................3 III.3.Objetivos................................................................................................................3 III.4.Metodologa a aplicar............................................................................................4 III.5.Enfoque a utilizar...................................................................................................4 III.6.Pruebas a realizar...................................................................................................5 IV.PROCEDIMIENTOS DE AUDITORIA......................................................................5 IV.1.Entrega del informe a los directivos de la empresa...................................................5 Despus de la auditoria aplicada en el instituto superior tecnolgico TEC obtuvimos los siguientes resultados, los cuales listamos a continuacin:................................................5 V.CONCLUSIONES.....................................................................................................107 VI.ANEXOS......................................................................................................................1
I.
INTRODUCCION
La auditora de sistemas de informacin, se define como una auditora que abarca la revisin y evaluacin de todos los aspectos de los sistemas automticos de procesamiento de la informacin, incluidos los procedimientos no automticos; tambin podemos decir que es el examen y evaluacin de los procesos y de la utilizacin de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economa de los sistemas computarizados en una organizacin y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas. Los Sistemas de Informacin en las organizaciones, son desarrollados con propsitos diferentes dependiendo de las necesidades de cada una de ellas, donde se evalan y verifican las polticas, controles, procedimientos y la seguridad en general, correspondiente al uso de los recursos de informtica por el personal de la empresa (usuarios, informtica, alta direccin), a fin de que se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones. 2
II.
ANTECEDENTES DE LA EMPRESA
En el ao 1,994, mediante Resolucin Ministerial N 0853-94-ED se reconoce y autoriza el funcionamiento del Instituto Superior Tecnolgico Privado TEC, que abre sus puertas a todos los jvenes para prepararse en las carreras de computacin e Informtica y Mecnica Automotriz. En el presente, somos testigos que mediante Resolucin Directoral N 00554 2006, se autoriza el cambio domiciliario al Campus Tecnolgico TEC ubicado en la Av. Aeropuerto Mz. D Lt. 7 de la Urbanizacin Villa Corpac, distrito de Yarinacocha Provincia de Coronel Portillo, Regin
Ucayali y en el mismo ao logra su revalidacin con Resolucin Directoral N 0478-2006-ED; de con Resolucin de Directoral Negocios N0386-2009-ED Internacionales el y Ministerio de Educacin autoriza el funcionamiento de las carreras profesionales Administracin Administracin de Empresas Tursticas y Hoteleras.
II.1. Misin
Somos una organizacin educativa cristiana orientada a la formacin integral de profesionales con slidos valores; crtico, creativo, innovador, solidario y disciplinado; donde predomina el amor a Dios, la ciencia y la tecnologa. 2
II.2. Visin
Ser una organizacin educativa lder en Amrica Latina, en formar profesionales con alta especializacin para ser colaboradores y protagonistas en el desarrollo y crecimiento de las organizaciones.
III.
PLAN DE AUDITORIA DE SISTEMAS DE INFORMACION AL INSTITUTO SUPERIOR TECNOLOGICO TEC

III.1. Alcance
La presente auditoria se realizar enfocndose en el
funcionamiento de los sistemas y tecnologas de informacin, conectados a la red interna del instituto superior tecnolgico TEC.
III.2. Personal encargado de Auditoria

Personal encargado Aguilar Polo Yoslar Orihuela Izquierdo Eloy Angel Mermao Romero Claudia Ibeth Oliva Valle Zsimo Normas personales: El auditor o auditores debern poseer preparacin tcnica y capacidad profesional adecuada. Debern observar y desarrollar profesionalmente con diligencia la ejecucin del trabajo y la elaboracin del informe. Debern adoptar una actitud independiente. 2 Especialidad Asistente Auditor especialista Ing. de sistemas Asistente
III.3. Objetivos
III.3.1. Objetivo general Evaluar la existencia, el funcionamiento y la seguridad de los sistemas informticos del instituto superior tecnolgico TEC, as como realizar un estudio de las operaciones de la misma que permita generar un respaldo en la emisin del informe a la auditora practicada el cual servir para una adecuada toma de decisiones. III.3.2. Objetivos especficos 1. Evaluar el diseo y prueba de los sistemas de cada rea 2. Determinar la veracidad de la informacin de cada rea 3. Verificar si la seleccin de equipos y Sistemas de computacin son las adecuadas. 4. Evaluar el control que se tiene sobre el mantenimiento y las fallas de las PCs.
5. Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro de las reas involucradas.
III.4. Metodologa a aplicar

La metodologa que vamos a utilizar par auditar el instituto superior tecnolgico TEC es la METODOLOGA PARA LA AUDITORA INTEGRAL DE LA GESTIN DE LAS TECNOLOGAS DE LA INFORMACIN (MAIGTI). 2
III.5. Enfoque a utilizar

La siguiente auditoria elaborada al instituto superior tecnolgico TEC, esta orientada en un enfoque basado en la verificacin, el
cual tiene como finalidad obtener datos sobre los sistemas, polticas y procedimientos establecidos en digna institucin.
III.6. Pruebas a realizar

Dentro de las pruebas a elaborar durante la audicin a la institucin lo detallamos a continuacin: Tomar maquinas al azar y evaluar la dificultad de acceso a las mismas. Verificar el rendimiento de los servidores de archivo y base de datos. Verificar el rendimiento de los servidores de red. Intentar sacar datos con un dispositivo externo. Facilidad para desarmar una PC. Facilidad de accesos a informacin de confidencialidad (usuarios y claves). Verificacin de contratos. Verificacin de licencias adquiridas. Verificacin del sistema de red. Software de utilizacin. 2
IV.
PROCEDIMIENTOS DE AUDITORIA
IV.1. Entrega del informe a los directivos de la empresa
Despus de la auditoria aplicada en el instituto superior tecnolgico TEC obtuvimos los siguientes resultados, los cuales listamos a continuacin: P01: Auditora de la Planificacin Estratgica.
Objetivo: Analizar y evaluar el proceso de Planificacin Estratgica de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.
Alcance: El alcance del procedimiento incluye: A. Revisin del proceso de conformacin del equipo de la Planificacin Estratgica. B. Revisin del proceso de seleccin de la metodologa para la Planificacin Estratgica. C. Revisin del aprendizaje de la metodologa para la Planificacin Estratgica. D. Revisin del proyecto de elaboracin del Plan Estratgico. E. Revisin del proceso de planificacin del proyecto de elaboracin del Plan Estratgico. F. Anlisis y evaluacin de la ejecucin del proyecto de Elaboracin del Plan Estratgico. G. Revisin de la ejecucin del Plan Estratgico. H. Revisin del proceso de evaluacin del Plan Estratgico. El alcance del procedimiento no incluye: A. Evaluacin de los planes operativos de la organizacin. Entradas: Para realizar esta auditora se requiere que la organizacin provea, con respecto al periodo en evaluacin, al anterior y a los prximos, la siguiente informacin: A. Lista de personas que participan o han participado en el proceso de Planificacin Estratgica. B. Presupuesto de ingresos y egresos. C. Metodologa para la Planificacin Estratgica. D. Plan Estratgico de la Organizacin. E. Plan Estratgico de cada una de las reas Proceso: Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar el proceso de Conformacin del Equipo de la Planificacin Estratgica. Verificar que el equipo est conformado por personal de todas las gerencias, tanto los gerentes de lnea como los gerentes intermedios, as como personal sin rango gerencial directamente involucrado en procesos con el cliente o en procesos con los proveedores.
C. Revisar el proceso de Seleccin de la Metodologa para la Planificacin Estratgica. Verificar lo siguiente: a) La metodologa a utilizar debe ajustarse a las necesidades de la organizacin. Por ejemplo, usar metodologas que en realidad son modelos matemticos que son aplicables a realidades diferentes a la nuestra, no sera una eleccin adecuada. La metodologa a emplear debe permitir que la organizacin identifique sus problemas, proponga los cambios a futuro y administre cmo hacerlos en la prctica. La metodologa a utilizar debe incluir la participacin de personal operativo de diversas reas, adems de los gerentes.
b)
c)
D. Revisar el Aprendizaje de la Metodologa para la Planificacin Estratgica elegida. Verificar lo siguiente: a) El equipo de Planificacin Estratgica de la organizacin, debe tener aprendida la metodologa de Planificacin Estratgica seleccionada antes de comenzar con el proyecto de Elaboracin del Plan Estratgico. Si el equipo de Planificacin Estratgica est conformado tambin por personal de una empresa proveedora, debe tener las competencias necesarias para dirigir o colaborar con la organizacin en dicho proceso. Para ello se deber hacer la evaluacin respectiva.
b)
E. Revisar el proyecto de Elaboracin del Plan Estratgico. F. Revisar el proceso de planificacin del Proyecto de Elaboracin del Plan Estratgico. Verificar lo siguiente: a) b) c) Que los horarios para el desarrollo de las actividades del proyecto permitan que est el mayor nmero de personas. Que el diagrama de Gantt inicial del proyecto incluya todas y cada una de las etapas formales de la metodologa elegida. Que el diagrama de Gantt inicial del proyecto incluya la elaboracin de los planes para cada una de las reas funcionales de la organizacin resultante al final del proceso de planificacin estratgica.
G. Analizar y evaluar la ejecucin del Proyecto de Elaboracin del Plan Estratgico. Verificar lo siguiente: a) b) c) Las actas de reuniones del proyecto. Resultado de cada reunin para la elaboracin del Plan Estratgico. Diagramas de Gantt con todos los cambios.
d) e) f)
g) a)
Elaboracin de Planes Estratgicos para cada una de las reas. Determinacin de indicadores de gestin para la organizacin en su conjunto. Determinacin de indicadores de gestin para cada una de las reas, de manera alineada con los indicadores de la organizacin en su conjunto. Elaboracin de procesos para la evaluacin de la estrategia. Revisar la ejecucin del Plan Estratgico. Verificar que las actividades desarrolladas por la organizacin se ajusten a los procesos estratgicos delineados por el Plan Estratgico. Revisar el proceso de evaluacin del Plan Estratgico. Verificar que se est ejecutando el proceso de evaluacin y las actas en que conste las decisiones que se haya tomado para corregir las desviaciones de lo planificado, o en su defecto, las evidencias que demuestran que s se tomaron acciones correctivas.
b)
SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin tiene un Plan Estratgico. B. El instituto sigue una metodologa denominada, la escalera al xito precisa para el proceso de elaboracin del plan estratgico. C. El instituto cuenta con la lista de personas que han participado en el proceso de planificacin. D. En el plan estratgico no abarca presupuestos de ingresos y egresos. E. El plan estratgico es elaborado por el consejo directivo en representacin de sus asociados. F. En el proceso de elaboracin del plan estratgico, el instituto TEC hace partcipe de todos los jefes de cada rea. G. El plan estratgico cuenta con un cronograma de trabajo. RECOMENDACIONES Al instituto TEC se le recomienda lo siguiente. A. El plan estratgico debe de abarcar cada rea del instituto en su totalidad. B. A este plan debe de agregar la parte de presupuestos (ingresos y egresos).
P02: Auditoria de los planes operativos

OBJETIVO Analizar y evaluar el proceso de elaboracin de los planes operativos de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados. El instituto TEC NO TIENE plan de operaciones. RECOMENDACIONES Se le recomienda al Instituto TEC que debe elaborar su plan de operacional institucional. Teniendo en cuenta lo siguiente: A. Lista de personas que participan o han participado en el proceso de elaboracin de planes operativos con sus respectivos telfonos, anexos y correos para contactarlos. B. Presupuesto de Ingresos y Egresos. C. Estados Financieros. D. Plan Estratgico de cada una de las reas. E. Metodologa para la Planificacin Operativa. F. Plan Operativo. G. Elegir una metodologa para poder elaborar su plan operativo.
P03: Auditoria de estimacin de riesgos

OBJETIVO Analizar y evaluar el proceso de evaluacin de riesgos del instituto, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados. ALCANCE El alcance del procedimiento incluye: A. Revisin del proceso de conformacin de los equipos para la evaluacin de riesgos. B. Revisin de la metodologa para la evaluacin de riesgos. C. Revisin de los documentos resultado de la evaluacin de riesgos.
D. Revisin de las respuestas de las gerencias para evitar o minimizar los riesgos identificados. E. Verificacin de cronogramas y asignacin de recursos y responsabilidades en las diversas gerencias, para evitar o minimizar los riesgos, de acuerdo al punto anterior. El alcance del procedimiento no incluye: A. Evaluacin de errores pasados que no tengan consecuencias futuras. ENTRADAS Para realizar esta auditora, necesitamos que el instituto superior tecnolgico TEC provea con respecto al perodo anterior al perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Lista de personas que participan o han participado en el proceso de evaluacin de riesgos con sus respectivos telfonos, anexos y correos para contactarlos. B. Plan Estratgico de la Organizacin. C. Plan Estratgico de cada una de las reas. D. Plan Operativo de cada una de las reas. E. Metodologa para la Evaluacin de Riesgos. F. Documento de Evaluacin de Riesgos. G. Respuestas de las gerencias ante la evaluacin de riesgos. H. Cronogramas y asignacin de recursos y responsabilidades. PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar el proceso de conformacin de los equipos para la evaluacin de riesgos. Se deber tener tanto un equipo correspondiente a la Unidad de Riesgos, un equipo correspondiente al proveedor y un equipo o persona correspondiente a cada una de las gerencias de la organizacin. C. Verificar que los equipos incluyan a personal clave de cada gerencia, tanto los gerentes principales como los gerentes intermedios. D. Verificar que se haya cumplido la metodologa establecida por la organizacin para la evaluacin de riesgos.
E. Verificar que el resultado de la evaluacin de riesgos, incluya los riesgos que se ha podido identificar en el rea de Auditora Interna, adems de los riesgos siguientes: a) Riesgos legales. b) Riesgos de liquidez. c) Riesgos de operacin. d) Riesgos de reputacin o imagen. e) Riesgo estratgico, etc. Por cada riesgo identificado vamos a especificar por lo menos cualitativamente los siguientes puntos: a. Probabilidades numricamente). b. Impacto (Costos de no protegernos contra ese riesgo). c. Costos de protegernos contra ese riesgo. F. Verificar que se haya elaborado presupuestos y cronogramas claros para cada uno de los proyectos y procesos que se van a ejecutar, luego de la evaluacin de riesgos. Debe incluirse tanto presupuestos de ingresos como presupuesto de egresos adems de cronogramas de ejecucin de las actividades de los proyectos que se van a desarrollar con su respectiva asignacin de responsabilidades. En el caso de los procesos se debe detallar la organizacin del trabajo y los horarios en los cuales se van a desarrollar las actividades con su respectiva asignacin de responsabilidades. SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin cuenta con un plan de evaluaciones de riesgos. B. El plan de control de riesgos abarca todas las reas del instituto TEC. de ocurrencia (alta, media, baja
C. El plan de riesgos abarca casi todos los problemas que se pueden ocurrir en la institucin. D. Las evaluaciones de riesgos se realizan de manera estricta en cada rea. E. El plan de riesgos no tiene un cronograma donde mencione que das se aplican estas en la institucin. F. El plan de riesgos del instituto, sigue una metodologa el cual puede ser aplicado en cualquier otra institucin. G. La gerencia esta de la mano del plan de riesgos. H. El plan de riesgos cumple con todos los requerimientos de la institucin. I. El plan de riesgos es utilizada por personal capacitado y para cada tipo de rea.
P04: Auditoria de la planificacin estratgica de las tecnologas de la informacin. Objetivo

Analizar y evaluar el proceso de elaboracin del Plan Estratgico de Tecnologas de informacin1 del Instituto Superior Tecnolgico TEC, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados. Observaciones El Instituto Superior Tecnolgico TEC no cuenta con Planificacin Estratgica de las tecnologas de la Informacin: A. No cuenta con una lista de personas que participan o han participado en el Comit de Tecnologas de informacin con sus respectivos telfonos, anexos y correos para contactarlos. B. No cuenta con actas de reuniones del Comit de Tecnologa de informacin. C. No cuenta con presupuesto del PETI. D. No cuenta con una valorizacin de activos fijos e intangibles relacionados con las tecnologas de informacin. E. No cuenta un Plan Estratgico de cada una de las reas. F. No cuenta con el PETI.
Recomendaciones Se recomienda al Instituto Superior Tecnolgico TEC desarrollar una Planificacin Estratgica de las Tecnologas de la Informacin. La planificacin estratgica de las tecnologas de informacin ayuda a asegurar que las metas de desarrollo de las tecnologas de informacin estn alineadas con las necesidades de la organizacin.
P05: Auditoria de los planes de proyectos de desarrollo de sistemas de informacin. Objetivos

Analizar y evaluar el proceso de elaboracin de planes de proyecto de desarrollo de sistemas de informacin en la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.
Observaciones
El Instituto Superior Tecnologico TEC no cuenta con: A. Lista de personas que participan o han participado en la planificacin del proyecto de desarrollo del sistema de informacin con sus respectivos telfonos, anexos y correos para contactarlos. B. Plan Estratgico de Tecnologas de informacin. C. Anlisis de Generacin de Valor del Proyecto. D. Especificaciones Funcionales y Tcnicas del Proyecto. E. Planes del Proyecto: Plan de Gestin de la Integracin, Plan de Gestin del Alcance, Plan de Gestin del Tiempo, Plan de Gestin de los Costos, Plan de Gestin de la Calidad, Plan de Gestin de Recursos Humanos, Plan de Gestin de las Comunicaciones, Plan de Gestin de Riesgos, y Plan de Gestin de las Adquisiciones. Recomendaciones Se recomienda al Instituto Superior Tecnolgico TEC contar con Planes de Proyectos de desarrollo de sistemas de informacin.
Los Planes de Proyectos de desarrollo de sistemas de informacin permiten identificar y establecer prioridades acerca de las tecnologas y las aplicaciones susceptibles de reportar un mximo beneficio a la organizacin, en otras palabras indica la direccin correcta en el desarrollo de los sistemas de informacin, el modo de proceder, los criterios de seleccin, los mecanismos de evaluacin, etc.
P06: Auditoria de los planes de proyecto de compra de sistemas de informacin. Objetivo

Analizar y evaluar el proceso de elaboracin de planes de proyecto de compra de sistemas de informacin en el Instituto Superior Tecnolgico TEC, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados. Observaciones El Instituto Superior Tecnolgico TEC no cuenta con: A. Una lista de personas que participan o han participado en la planificacin del proyecto de compra del sistema de informacin con sus respectivos telfonos, anexos y correos para contactarlos. B. Plan Estratgico de Tecnologas de informacin. C. Anlisis de Generacin de Valor del Proyecto. D. Planes del Proyecto: Plan de Gestin de la Integracin, Plan de Gestin del Alcance, Plan de Gestin del Tiempo, Plan de Gestin de los Costos, Plan de Gestin de la Calidad, Plan de Gestin de Recursos Humanos, Plan de Gestin de las Comunicaciones, Plan de Gestin de Riesgos, y Plan de Gestin de las Adquisiciones. E. Formatos de Control de Cambios del Proyecto. F. Formatos de Control de Entregables del Proyecto. G. Formatos de Control de Riesgos del Proyecto. H. Indicadores de Gestin del Proyecto.
P07: Auditoria del plan de contingencias de informtica Objetivo Analizar y evaluar el proceso de elaboracin y ejecucin del Plan de Contingencias de Informtica en el instituto superior tecnolgico TEC, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados relacionados con el plan de 2 contingencias. INFORME DE AUDITORIA a. Observaciones: El instituto superior tecnolgico TEC no cuenta con un plan de contingencia de informtica. b. Recomendaciones: Se recomienda al instituto superior tecnolgico TEC contar con un plan de contingencia de informtica que est orientado a establecer, junto con otros trabajos de seguridad, un adecuado sistema de seguridad fsica y lgica en previsin de desastres. Se define a la Seguridad de Datos como un conjunto de medidas destinadas a salvaguardar la informacin contra los daos producidos por hechos naturales o por el hombre. Se ha considerado que para el instituto superior tecnolgico TEC, la seguridad es un elemento bsico para garantizar su supervivencia y entregar el mejor Servicio a sus estudiantes, y por lo tanto, considera a la Informacin como uno de los activos ms importantes de la Organizacin, lo cual hace que la proteccin de esta sea el fundamento ms importante de este Plan de Contingencia.
P08: Auditoria del plan de continuidad de negocio OBJETIVO Analizar y evaluar el proceso de elaboracin y ejecucin del Plan de continuidad de Negocio del instituto superior tecnolgico TEC, con la finalidad de identificar la probable perdida de valor debido a fallas en los diversos procesos relacionados con el plan de continuidad del negocio. INFORME DE AUDITORIA Observaciones: El Instituto Superior Tecnolgico TEC no cuenta con un plan de continuidad de negocio. Recomendaciones: Se recomienda al instituto superior tecnolgico TEC contar con un plan de continuidad de negocio el cual va a permitir desarrollar planes y procedimientos dentro de la organizacin con el propsito de responder ante un desastre o interrupcin significativa del negocio, de forma tal que las operaciones crticas del negocio puedan continuar sus operaciones dentro de un lmite aceptable de tiempo, de acuerdo a lo establecido por la gerencia general. P09: Procedimiento para la auditoria del plan de seguridad de informacin. Objetivo Analizar y evaluar el proceso de elaboracin y ejecucin del Plan de Seguridad de la informacin del instituto superior tecnolgico TEC, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados. 2
INFORME DE AUDITORIA Observaciones El instituto superior tecnolgico TEC no cuenta con un plan de seguridad de la informacin. Recomendaciones Se le recomienda al instituto superior tecnolgico TEC, contar con un plan de seguridad de la informacin, ya que este plan va a permitir el procesamiento de datos a un servicio en beneficio de toda la institucin, va a apoyar no slo a los sistemas de informacin administrativa sino tambin a las operaciones funcionales. Las medidas de seguridad estn basadas en la definicin de controles fsicos, funciones, procedimientos y programas que conlleven no slo a la proteccin de la integridad de los datos, sino tambin a la seguridad fsica de los equipos y de los ambientes en que stos se encuentren. En relacin a la seguridad misma de la informacin, estas medidas han de tenerse en cuenta para evitar la prdida o modificacin de los datos, informacin o software de la institucin inclusive, por personas no autorizadas, para lo cual se deben tomar en cuenta una serie de medidas, entre las cuales figurarn el asignar nmeros de identificacin y contraseas a los usuarios entre otros. P010: Procedimiento para la auditoria del plan de licenciamiento del software Objetivo
Analizar y evaluar el proceso de elaboracin y ejecucin del Plan de Licenciamiento de Software del Instituto Superior Tecnolgico TEC, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.
ALCANCE El alcance del procedimiento incluye: A. Verificacin del Inventario de Licencias de Software de la organizacin. B. Revisin del Plan de Licenciamiento de Software. C. Revisin del anlisis de generacin de valor del Plan de Licenciamiento de Software. D. Verificacin de la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del Plan de Licenciamiento de Software. El alcance del procedimiento no incluye: A. Evaluacin de lo adecuado de la compra del software con licencia. Por ejemplo, si en lugar de comprar licencias era mejor usar software libre (por razones de costos y rendimiento), no es parte del alcance de la actividad, a no ser que el Plan Estratgico de Informtica lo especifique explcitamente. ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Inventario de Licencias de Software. Incluye software de base y sistemas de informacin. B. Plan Estratgico de Informtica. C. Plan de Licenciamiento de Software. D. Anlisis de Generacin de Valor del Plan de Licenciamiento de Software. 2
E. Diagramas de Gantt para la ejecucin de las actividades del Plan de Licenciamiento de Software, con su respectiva asignacin de responsabilidades. F. Presupuesto detallado para la ejecucin de las actividades del Plan de Licenciamiento de Software. PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar detalladamente el Inventario de Licencias de Software. Realizar lo siguiente: a) Verificar que todos y cada uno de los software que se usan en la organizacin estn en la relacin. Esto incluye: Sistemas operativos en servidores. Sistemas operativos en clientes. Servidor proxy. Servidores de bases de datos. Servidores Web. Servidores de Correo. Clientes de Correo. Software para realizacin de copias de respaldo. Software de Oficina. Sistemas de Informacin. Software antispam. Software especializado que administra equipos electrnicos, etc. b) Verificar que se haya indicado la cantidad de usuarios que cubre la licencia y la cantidad de usuarios que actualmente usa el software. Si es un software libre, software freeware o software shareware, se debe indicar ello en la relacin. 2
c) Consultar el detalle de uso (relacin de usuarios y reas) de las licencias de software ms costosas, aquellas licencias de software que se usen en mayor cantidad, y aquellas licencias de software que en mayor proporcin y valor no tengamos licenciadas. La cantidad no es estndar; por lo tanto, usar el razonamiento y la intuicin para determinar las cantidades de software a revisar. C. Revisar detalladamente el Plan de Licenciamiento. Verificar lo siguiente: a) La alineacin del Plan de Licenciamiento de Software con el Plan Estratgico de Informtica. Las compras de licencias de software deben tener concordancia con la estrategia de informtica de la organizacin. Por ejemplo, si la estrategia de informtica indica la instalacin de software libre para uso de oficina como Open Office para ahorrar gastos innecesarios en licencias de este tipo, se entiende que no se debera comprar licencias de MS Office, Lotus Smart Suite u otro software propietario de oficina. b) En el caso de las compras vlidas de licencias de software, considerar que el nmero de licencias a comprar debe considerar el nmero de licencias que faltan mas un nmero de licencias prudencial para proyectar un crecimiento de usuarios de por lo menos un ao. De esa manera se podra lograr un precio mejor por la licencia y evitar comprarla de manera individual despus (el costo sera mucho mayor). D. Revisin del anlisis de generacin de valor del Plan de Licenciamiento de Software. Verificar que el Plan de Licenciamiento realmente genere valor para la organizacin, E. Verificar la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del Plan de Licenciamiento de Software. Revisar la asignacin planificada y la asignacin real. SALIDAS
Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. No cuenta con un cronograma establecido para la adquisicin de licencias. B. La organizacin no tiene un Plan de Licenciamiento de Software. C. La organizacin no tiene un inventario actualizado del software que utiliza. D. El Plan de Licenciamiento de Software est incompleto. E. No se tiene licencias de la mayora del software que se usa en la organizacin. F. El Plan de Licenciamiento no est enfocado en la compra de software que actualmente se usa, sin considerar otras alternativas que costaran menos o no costaran ms que la capacitacin al personal o quizs unas cuantas horas de bsqueda y lectura de informacin en Internet (como el uso de software libre). P011: PROCEDIMIENTO PARA LA AUDITORIA DEL PLAN DE CAPACITACIN OBJETIVO Analizar y evaluar el proceso de elaboracin y ejecucin del Plan de Capacitacin para el rea de Tecnologa de la Informacin del Instituto Superior Tecnolgico TEC, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados. ALCANCE El alcance del procedimiento incluye: A. Verificacin del proceso de elaboracin del Plan de Capacitacin del rea de Tecnologa de la Informacin. B. Revisin del alineamiento del Plan de Capacitacin al Plan Estratgico de Tecnologas de informacin. 2
C. Revisin del currculum vitae del personal del rea de Tecnologa de la Informacin. D. Revisin del documento del Plan de Capacitacin del rea de Tecnologa de la Informacin. E. Revisin del anlisis de generacin de valor del Plan de Capacitacin del rea de Tecnologa de la Informacin. F. Verificacin de la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del Plan de Capacitacin. El alcance del procedimiento no incluye: A. Evaluacin de lo adecuado de la tecnologa o proceso de gestin sobre lo cual se est capacitando. ENTRADAS Para realizar esta auditora, se requiere que el Instituto Superior Tecnolgico TEC provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Inventario de competencias del personal contratado directamente por la organizacin, o por personal contratado a travs de un proveedor. B. Currculum vitae detallado de todo el personal que labora en el rea de Tecnologa de la informacin: Incluye: gerentes, sub-gerentes, jefes de proyecto, analistas funcionales, analistas programadores, programadores y practicantes. C. Plan de Capacitacin del rea de Tecnologa de la Informacin D. Diagramas de Gantt para la ejecucin de las actividades del Plan de Capacitacin, con su respectiva asignacin de responsabilidades. E. Presupuesto detallado para la ejecucin de las actividades del Plan de Capacitacin. PROCESO Las actividades a realizar para esta auditora son las siguientes: 2
A. Revisar la informacin indicada en la seccin anterior. B. Revisar el proceso de elaboracin del Plan de Capacitacin del rea de Tecnologa de la Informacin. Verificar que se haya realizado lo siguiente: a) Solicitud a cada jefe de rea de las necesidades de capacitacin para el perodo del plan. b) Inclusin del personal clave en la capacitacin. c) Relacin de temas en los cuales se necesita capacitar al personal. d) Una bsqueda adecuada de organizaciones en las cuales se ofrecen cursos sobre los temas a capacitar. Deben existir varias opciones por cada tema. e) Elaboracin del documento del Plan de Capacitacin. C. Revisar los currculum vitae del personal del rea de Tecnologa de la Informacin, tanto del personal directamente contratado por la organizacin como del personal contratado a travs de un proveedor. D. Revisar el documento del Plan de Capacitacin del rea de Tecnologa de la Informacin. Verificar que contenga por lo menos lo siguiente: a) Un inventario de las competencias6 del personal, de manera previa a la fecha de vigencia del Plan de Capacitacin. De no existir, verificar a travs de la entrevista, que por lo menos se haya realizado una consulta de conocimientos o revisin de currculum vitae del personal. b) Una relacin de competencias ideales del personal para el final del perodo de tiempo que tendr vigencia el Plan de Capacitacin. c) Una relacin de cursos, talleres o conferencias, necesarias para lograr las competencias esperadas, considerando el presupuesto, el tiempo y el personal que se requiera. d) Presupuesto del Plan de Capacitacin. e) Cronograma y Asignacin de Responsabilidades. E. Revisar el alineamiento del Plan de Capacitacin al Plan Estratgico de Informtica. El Plan de Capacitacin debe estar enmarcado en los 2
lineamientos del Plan Estratgico de Informtica tanto en lo referente a la tecnologa de informacin (tanto hardware como software) que regir en el futuro (teniendo en cuenta tambin la tecnologa actual), como aquellas metodologas de gestin de proyectos y gestin de procesos de desarrollo de tecnologas de informacin. F. Revisar el anlisis de generacin de valor del Plan de Capacitacin. Verificar que el Plan de Capacitacin realmente genere valor para la organizacin; es decir, que como resultado de la capacitacin, se pueda acelerar la ejecucin de procesos crticos con resultados de mejoras en ingresos netos evitando que se pierda dinero por riesgos o gastos innecesarios. G. Verificar la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del Plan de Capacitacin. Revisar la asignacin planificada y la asignacin real. SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene un Plan de Capacitacin para el rea de Tecnologa de la Informacin. Comnmente lo que hacen es entregar un detalle de las capacitaciones que han recibido en el perodo en evaluacin; sin embargo, estas capacitaciones no estuvieron enmarcadas dentro de un plan. B. La organizacin si tiene el currculum vitae actualizados del personal contratado a travs de un proveedor. C. El Plan de Capacitacin est enfocado principalmente en capacitar sobre el software que van a usar y no sobre temas de gestin o temas referentes al proceso sobre el cual se va a desarrollar los sistemas de informacin, lo cual es necesario para los cargos de analistas funcionales, jefes de proyecto, analistas programadores y programadores. 2
P012: PROCEDIMIENTO PARA LA AUDITORIA DEL PLAN DE MANTENIMIENTO PREVENTIVO DE HARDWARE DE COMPUTADORAS, REDES Y EQUIPOS RELACIONADOS OBJETIVO Analizar y evaluar el proceso de elaboracin y ejecucin del Plan de Mantenimiento preventivo de Hardware de Computadoras, Redes y Equipos Relacionados en la organizacin (PMPHCRER), con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados. ALCANCE El alcance del procedimiento incluye: A. Verificacin de la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del PMPHCRER. B. Verificacin del proceso de elaboracin del Plan de Mantenimiento Preventivo del Hardware de Computadoras, Redes y Equipos Relacionados. C. Revisin del alineamiento del PMPHCRER al Plan Estratgico de Informticas. D. Revisin del documento del PMPHCRER. E. Revisin del anlisis de generacin de valor del PMPHCRER. El alcance del procedimiento no incluye: Evaluacin del cronograma de actividades para el mantenimiento correctivo de computadoras, redes y equipos relacionados. Evaluacin del Plan de Mantenimiento Correctivo de Hardware de Computadoras, Redes y Equipos Relacionados. 2
ENTRADAS Las entradas relacionadas que necesitamos que provea la organizacin las siguientes A. Inventario del hardware de computadoras, redes y equipos relacionados. B. Listado del hardware de computadoras, redes y equipos 2 relacionados, que requieran mantenimiento preventivo, clasificado de acuerdo a quien le debe realizar dicho mantenimiento (personal de la organizacin o un proveedor). C. Fechas e informes de los ltimos mantenimientos preventivos o correctivos que se haya realizado sobre los equipos. D. Diagramas de Gantt para la ejecucin de las actividades del PMPHCRER, con su respectiva asignacin de responsabilidades. E. Presupuesto detallado para la ejecucin de las actividades del PMPHCRER. PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Se reviso la informacin indicada en la seccin anterior. B. Verificar que la lista de equipos para el mantenimiento preventivo estn incluidos en el inventario de equipos total. En la lista de equipos debe estar detallado: a) Equipos que forman parte de la computadora o estn directamente conectados a ella: monitores, cases, teclados, mouses, impresoras, scanners, cmaras de computadora, computadoras porttiles, etc. b) Equipos de red: routers, firewalls, switches, hubs, cableado, etc. c) Equipos relacionados a la energa elctrica: cajas de control de suministro de energa (caja de cuchillas), pozo de tierra,
lnea de voltaje, tomacorrientes, estabilizadores de voltaje, supresor de picos, UPS, etc. d) Equipos relacionados a las condiciones ambientales: ventiladores de los centros de cmputo, medidores de temperatura, medidores de humedad, etc. e) Equipos relacionados a la proteccin contra incendios: extinguidores de incendios, detectores de humo, alarma de incendios, etc. f) Equipos relacionados a la seguridad: puertas de acceso con llave, puertas de acceso con clave de seguridad, etc. C. Verificar la inclusin de todos los equipos que comnmente requieren mantenimiento preventivo en la lista entregada. D. Revisar el proceso de elaboracin del PMPHCRER. Verificar que se haya realizado lo siguiente: a) Determinacin clara de los criterios para la evaluacin y priorizacin de las necesidades de mantenimiento preventivo. b) Evaluacin de las necesidades de mantenimiento preventivo para el perodo del plan. c) Priorizacin de las necesidades de mantenimiento preventivo para el perodo del plan. d) Determinacin de qu mantenimientos preventivos sern realizados por personal de la organizacin o por proveedores. e) Identificacin de varios proveedores alternativos para la ejecucin de los mantenimientos preventivos. f) Elaboracin del documento del PMPHCRER. g) Asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin de las acciones del PMPHCRER. E. Revisar el documento del PMPHCRER. Verificar que contenga por lo menos lo siguiente: a) Listado de equipos que necesitan mantenimiento preventivo. 2
b) Criterios para evaluar y priorizar las necesidades de mantenimiento preventivo. c) Evaluacin d) Presupuesto, y priorizacin Cronograma de y las necesidades Asignacin de de mantenimiento preventivo. Responsabilidades. F. Revisar el alineamiento del PMPHCRER al PEI. El PMPHCRER debe estar enmarcado en los lineamientos del PEI, teniendo en cuenta no slo la tecnologa actual, sino aquellas que sern de mayor beneficio para la organizacin en el futuro. G. Revisar el anlisis de generacin de valor del PMPHCRER. Verificar que el PMPHCRER realmente genere valor para la organizacin; es decir, que como resultado de la ejecucin del plan, se pueda acelerar la ejecucin de procesos crticos con resultados de mejoras en ingresos netos evitando que se pierda dinero por riesgos o gastos innecesarios. H. Verificar la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del PMPHCRER. Revisar la asignacin planificada y la asignacin real. SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene un PMPHCRER. Comnmente lo que hacen es entregar un detalle de los mantenimientos realizados en el perodo en evaluacin; sin embargo, estos mantenimientos no estuvieron enmarcados dentro de un plan. B. La organizacin no solicita informes de los mantenimientos preventivos.
C. La organizacin no elabora informes de los mantenimientos preventivos realizados por personal que ha contratado directamente. D. La organizacin omite realizar mantenimiento preventivo de algunos equipos crticos. E. No existe un control exhaustivo de los ordenadores para el mantenimiento preventivo. F. No cuenta con un cronograma de mantenimientos preventivos. Recomendaciones Elaborar un cronograma de actividades donde estn mencionados los das que se harn mantenimientos preventivos de los equipos informticos. Brindar los informes de cada vez que se desarrolle un mantenimiento preventivo. P013: PROCEDIMIENTO PARA LA AUDITORIA DEL PLAN DE MANTENIMIENTO CORRECTIVO DE HARDWARE DE COMPUTADORAS, REDES Y EQUIPOS RELACIONADOS. Objetivo Analizar y evaluar el proceso de elaboracin y ejecucin de Plan de Mantenimiento Correctivo de Hardware de Computadoras, Redes y Equipos Relacionados en el Instituto Superior Tecnolgico TEC. ALCANCE El alcance del procedimiento incluye: A. Verificacin del proceso de elaboracin del Plan de Mantenimiento Correctivo el Hardware de Computadoras, Redes y Equipos Relacionados. B. Revisin del alineamiento del PMCHCRER al PEI. C. Revisin del documento del PMCHCRER. D. Revisin del anlisis de generacin de valor del PMCHCRER. 2
E. Verificacin de la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del PMCHCRER. El alcance del procedimiento no incluye: A. Evaluacin del Plan de Mantenimiento Preventivo de Hardware de Computadoras, Redes y Equipos Relacionados. ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Inventario del hardware de computadoras, redes y equipos relacionados. B. Listado del hardware de computadoras, redes y equipos relacionados, que requieran mantenimiento correctivo, clasificado de acuerdo a quin le debe realizar dicho mantenimiento (personal de la organizacin o un proveedor). C. Fechas e informes de los ltimos mantenimientos preventivos o correctivos que se haya realizado sobre los equipos. D. Diagramas de Gantt para la ejecucin de las actividades del PMCHCRER, con su respectiva asignacin de responsabilidades. E. Presupuesto detallado para la ejecucin de las actividades del PMCHCRER. PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Verificar que la lista de equipos para el mantenimiento correctivo estn incluidos en el inventario de equipos total. En la lista de equipos debe estar detallado: 2
Equipos mouses,
que
forman
parte
de
la
computadora de
estn
directamente conectados a ella: monitores, cases, teclados, impresoras, scanners, cmaras computadora, computadoras porttiles, etc. Equipos de red: routers, firewalls, switches, hubs, cableado, etc. Equipos relacionados a la energa elctrica: cajas de control de suministro de energa (caja de cuchillas), pozo de tierra, lnea de voltaje, tomacorrientes, estabilizadores de voltaje, supresor de picos, UPS, etc. Equipos relacionados a las condiciones ambientales: ventiladores de los centros de cmputo, medidores de temperatura, medidores de humedad, etc. Equipos relacionados a la proteccin contra incendios: extinguidores de incendios, detectores de humo, alarma de incendios, etc. Equipos relacionados a la seguridad: puertas de acceso con llave, puertas de acceso con clave de seguridad, etc. C. Revisar el proceso de elaboracin del PMCHCRER. Verificar que se haya realizado lo siguiente: a) Determinacin clara de los criterios para la priorizacin de las necesidades de mantenimiento correctivo. b) Priorizacin de las necesidades de mantenimiento correctivo para el perodo del plan. c) Determinacin de qu mantenimientos correctivos sern realizados por personal de la organizacin o por proveedores. d) Identificacin de varios proveedores alternativos para la ejecucin de los mantenimientos correctivos. e) Elaboracin del documento del PMCHCRER. f) Asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin de las acciones del PMCHCRER. 2
D. Revisar el documento del PMCHCRER. Verificar que contenga por lo menos lo siguiente: a) Listado de equipos que necesitan mantenimiento correctivo. b) Criterios para la priorizacin de las necesidades de mantenimiento preventivo. c) Priorizacin de las necesidades de mantenimiento correctivo. d) Presupuesto, Cronograma y Asignacin de Responsabilidades. E. Revisar el alineamiento del PMCHCRER al PETI. El PMCHCRER debe estar enmarcado en los lineamientos del PEI, teniendo en cuenta no slo la tecnologa actual, sino aquellas que sern de mayor beneficio para la organizacin en el futuro. F. Revisar el anlisis de generacin de valor del PMCHCRER. Verificar que el PMCHCRER realmente genere valor para la organizacin; es decir, que como resultado de la ejecucin del plan, se pueda acelerar la ejecucin de procesos crticos con resultados de mejoras en ingresos netos evitando que se pierda dinero por riesgos o gastos innecesarios. G. Verificar la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin del PMCHCRER. Revisar la asignacin planificada y la asignacin real. SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene un PMCHCRER. Comnmente lo que hacen es entregar un detalle de los mantenimientos realizados en el perodo en evaluacin. B. La organizacin no solicita informes de los mantenimientos correctivos realizados a los proveedores. C. La organizacin no elabora informes de los mantenimientos correctivos realizados por personal que ha contratado directamente. 2
D. La organizacin omite realizar mantenimiento correctivo de algunos equipos crticos, los cuales terminan malogrndose por esta negligencia. E. El instituto no tiene un cronograma donde estn mencionados los das hbiles que se harn mantenimientos correctivos. Recomendaciones Elaborar un cronograma de actividades donde estn mencionados los das que se harn mantenimientos correctivos de los equipos informticos. Brindar los informes de cada vez que se desarrolle un mantenimiento correctivo. P014: PROCEDIMIENTO PARA LA AUDITORIA DE LA 2
PLANIFICACIN DE LABORES DE RUTINA RELACIONADAS CON LAS TECNOLOGAS DE LA INFORMACIN. Objetivo Analizar y evaluar el proceso de elaboracin y ejecucin de la Planificacin de Labores de Rutina relacionadas con las Tecnologas de Informacin10 en el Instituto Superior Tecnolgico TEC, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados. Observaciones El Instituto Superior Tecnolgico TEC no cuenta con una Planificacin de Labores de Rutina relacionadas con las Tecnologas de Informacin. Recomendaciones Se le recomienda al Instituto Superior Tecnolgico TEC contar con una Planificacin de Labores de Rutina relacionadas con las Tecnologas de Informacin.
P015: PROCEDIMIENTO PARA LA AUDITORIA DEL PLAN DE CALIDAD. Objetivo Analizar y evaluar el proceso de elaboracin y ejecucin del Plan de Calidad para el rea de Tecnologa de la Informacin del Instituto Superior Tecnolgico TEC, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados. Observaciones El Instituto Superior Tecnolgico TEC no cuenta con un Plan de Calidad para el rea de Tecnologa de la Informacin de la Organizacin Recomendaciones Se le recomienda al Instituto Superior Tecnolgico TEC que debe contar con un Plan de Calidad para el rea de Tecnologa de la Informacin de la Organizacin ya que esta es indispensable dentro de la organizaciones. P016: PROCEDIMIENTO PARA LA AUDITORIA DEL PLAN DE COMPRAS DE TECNOLOGAS DE INFORMACIN Objetivo Analizar y evaluar el proceso de elaboracin del plan de compras de tecnologas de informacin en el instituto superior tecnolgico TEC. Observaciones El instituto superior tecnolgico TEC no cuenta con un plan de compras de tecnologas de informacin. 2
Recomendaciones Se le recomienda al instituto superior tecnolgico TEC, contar con un plan de compras de tecnologas de informacin, ya que este plan va a permitir el procesamiento de datos a un servicio en beneficio de toda la institucin, va a apoyar no slo a los sistemas de informacin administrativa sino tambin a las operaciones funcionales. P017: PROCEDIMIENTO PARA LA AUDITORIA DEL REGLAMENTO DE ORGANIZACIN Y FUNCIONES (ROF) Objetivo Analizar y evaluar el proceso de elaboracin y ejecucin de lo expuesto en el reglamento de organizacin y funciones del rea de Tecnologa de informacin del instituto superior tecnolgico TEC. Observaciones El instituto superior tecnolgico TEC no cuenta con un reglamento de organizaciones y funciones. Recomendaciones Se le recomienda al Instituto Superior Tecnolgico TEC, contar con un Reglamento de Organizaciones y Funciones. Cabe sealar que El ROF es el Reglamento de Organizacin y Funciones de la institucin, que se constituye en un documento tcnico normativo de gestin institucional que establece: a) La estructura orgnica de la institucin. b) Las funciones generales y especficas de la institucin y de cada uno de sus rganos y unidades orgnicas. c) Las relaciones de coordinacin y control entre reas, unidades orgnicas e institucionales, cuando corresponda. 2
Este instrumento de gestin formaliza las competencias de cada rea dentro de la organizacin y en funcin a ello se puede determinar las responsabilidades que le corresponde en el logro de los objetivos institucionales. P018: PROCEDIMIENTO PARA LA AUDITORIA DEL MANUAL DE ORGANIZACIN Y FUNCIONES (MOF) OBJETIVO Analizar y evaluar el proceso de elaboracin y ejecucin de lo expuesto en el Manual de Organizacin y Funciones del rea de Tecnologa de Informacin de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados. ALCANCE El alcance del procedimiento incluye: A. Revisin detallada del documento del Manual de Organizacin y Funciones del rea de Tecnologa de Informacin. B. Revisin del currculum vitae del personal del rea de Tecnologa de Informacin. C. Revisin de las funciones reales de cada puesto del rea de Tecnologa de Informacin. D. Revisin del anlisis de generacin de valor del Manual de Organizacin y Funciones del rea de Tecnologa de Informacin. El alcance del procedimiento no incluye: E. Revisin de los manuales de procedimientos. ENTRADAS Para realizar esta auditora, se requiere que el instituto superior tecnolgico provea con respecto al perodo anterior al perodo en 2
evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Plan Estratgico de Tecnologas de informacin (PETI). B. Currculum vitae detallado de todo el personal que labora en el rea de Tecnologa de la informacin: Incluye: gerentes, sub-gerentes, jefes de proyecto, analistas funcionales, analistas programadores, programadores, etc. C. Reglamento de Organizacin y Funciones del rea de Tecnologa de la Informacin. D. Manual de Organizacin y Funciones. PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar el documento del Manual de Organizacin y Funciones del rea de Tecnologa de la Informacin. Verificar que contenga por lo menos lo siguiente: a) Antecedentes. Contiene una explicacin genrica de la anterior organizacin y los cambios en las necesidades o la evidencia del requerimiento de mejoras para los cambios en el manual actual. b) Marco Jurdico. Indica la base legal para la elaboracin del Manual de Organizacin y Funciones. Incluye: constitucin poltica, leyes, decretos legislativos, resoluciones, oficios, circulares, etc. c) Objetivos. Relacin de objetivos a cumplir con el manual, que contribuyen a los objetivos estratgicos de la organizacin. d) Organizacin. Aqu se detalla tanto el organigrama general como el organigrama detallado de cada una de las reas. e) Funciones. Aqu se detalla por cada rea qu funciones generales y especficas realiza cada puesto. Por cada puesto 2
se deber indicar tambin a qu gerencia pertenece y a qu puesto reporta directamente. C. Revisar detalladamente los currculum vitae del personal del rea de Tecnologa de Informacin, tanto del personal directamente contratado por la organizacin como del personal contratado a travs de un proveedor. D. Revisar las funciones reales de cada puesto del rea de Tecnologa de Informacin. Verificar que lo que realmente hacen coincida con lo expuesto en el manual de organizacin y funciones. E. Revisar el anlisis de generacin de valor del Manual de Organizacin y Funciones y su cumplimiento. Verificar que el Manual de Organizacin y Funciones realmente genere valor para la organizacin; es decir, que como resultado de su puesta en prctica, se pueda acelerar la ejecucin de procesos crticos con resultados de mejoras en ingresos netos evitando que se pierda dinero por riesgos o gastos innecesarios. SALIDAS Al desarrollar esta auditora se encontraron las siguientes 2
observaciones: A. La organizacin tiene un Manual de Organizacin y Funciones. B. La organizacin no tiene el currculum vitae actualizados del personal contratado. Ni tampoco tienen actualizados el currculum vitae del personal recientemente contratado. C. El personal no cubre los requerimientos para el puesto al momento de ingresar a la organizacin porque han sido contratados de manera temporal o como practicantes, pero al llevar un buen tiempo de servicio en dicha institucin comnmente se quedan con el puesto de trabajo. D. El personal realiza funciones que no le competen. E. El personal realiza funciones para las cuales no est capacitado.
Recomendaciones Se recomienda al Instituto Superior Tecnolgico TEC, incluir dentro de sus rganos de apoyo el rea de Soporte Tcnico ya que es indispensable para dar mantenimiento a las TI. P019: PROCEDIMIENTO PARA LA EVALUACIN DEL CURRICULUM VITAE DEL PERSONAL DE TECNOLOGA DE LA INFORMACIN 2 OBJETIVO Analizar y evaluar el curriculum vitae del personal del rea de tecnologa de la informacin del Instituto Superior Tecnolgico TEC, con el fin de identificar la probable prdida de valor debido a fallas en los procesos de seleccin de personal. ALCANCE El alcance del procedimiento incluye: A. Revisin detallada del curricular vitae del personal del rea de tecnologa de la informacin. B. Verificacin del alineamiento del currculum vitae al reglamento de organizacin y funciones y en su defecto, a las necesidades de la organizacin para el perodo en evaluacin. El alcance del procedimiento no incluye: A. Evaluacin de desempeo del personal. ENTRADAS Para realizar esta auditora, se requiere que el Instituto Superior Tecnolgico TEC provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin:
A. Currculum vitae detallado de todo el personal que labora en el rea de Tecnologa de la informacin; esto incluye: gerentes, subgerentes, jefes de proyecto, analistas funcionales, analistas programadores, programadores, etc. B. Manual de Organizacin y Funciones del rea de Tecnologa de Informacin. PROCESOS Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la ENTRADA. B. Revisar detalladamente el currculum vitae del personal del rea de Tecnologa de la Informacin. Verificar que cada currculum vitae contenga lo siguiente: a) Datos personales: nombre completo, direccin, telfonos de contacto (casa, celular, etc.), estado civil, fecha de nacimiento, etc. b) Experiencia Laboral. Listado de lugares y nombres de puestos donde ha laborado el trabajador. Se debe incluir la lista de funciones que realizaba en sus centros de trabajo, as como las herramientas de tecnologas de informacin que utilizaban o han desarrollado. De ser personal joven, considerar tambin las prcticas pre-profesionales. c) Educacin. Considerar la formacin tcnica o universitaria (pregrado y postgrado) del personal evaluado, as como sus capacitaciones, cursos, talleres, charlas y conferencias a las cuales ha asistido. C. Verificar el alineamiento del currculum vitae al Reglamento de Organizacin y Funciones y en su defecto, a las necesidades de la organizacin para el perodo en evaluacin.
SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene el currculum vitae actualizados del personal contratado a travs de un proveedor. A veces ni siquiera tiene actualizados contratado. B. El personal no cubra o no cubre los requerimientos para el puesto al momento de ingresar a la organizacin, y tampoco los cubre a la fecha. OBSERVACIONES A. Plan Estratgico de Informtica. B. No cuenta con los Currculum vitae detallados de todo el personal que labora en el rea de Tecnologa de la informacin. C. Reglamento de Organizacin y Funciones del rea de Tecnologa de Informacin. D. No cuenta con un Manual de Organizacin y Funciones del rea de Tecnologa de Informacin detallados. RECOMENDACIONES Actualizar los currculum de los personales de la institucin de acuerdo al cargo que ocupa y al rea que pertenece. P020: PROCEDIMIENTO PARA LA AUDITORIA DEL INVENTARIO DE HARDWARE DE TECNOLOGA DE INFORMACIN OBJETIVO Analizar y evaluar el Inventario de Hardware de Tecnologa de la Informacin de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados. el currculum vitae del personal recientemente 2
ALCANCE El alcance del procedimiento incluye: A. Revisin detallada del documento del IHTI. B. Revisin de procedimientos relativos a altas, bajas y mejoras en el hardware de Tecnologa de la Informacin. C. Verificacin fsica de los documentos relativos a altas, bajas, cambios y transferencias en el hardware de Tecnologa de la Informacin. D. Verificacin fsica de una muestra del IHTI. E. Revisin y Evaluacin de la correcta contabilizacin del IHTI. F. Evaluacin de la probable prdida de valor por errores u omisiones. El alcance del procedimiento no incluye: A. Evaluacin del inventario de software. ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. IHTI en unidades de todas las oficinas a nivel nacional. B. IHTI en valores de todas las oficinas a nivel nacional. PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar detalladamente el documento del IHTI. Verificar que se encuentren los siguientes tipos de hardware: a) Equipos que forman parte de la computadora o estn directamente conectados a ella: monitores, cases, teclados, mouses, impresoras, scanners, cmaras de computadora, computadoras porttiles, etc. 2
b) Considerar adems las partes internas: mainboard, tarjeta de red, tarjeta de sonido, tarjeta fax-modem, tarjeta de video, discos duros, unidades de diskette, lectoras de CD, grabadoras de CD, grabadoras de DVD. C. Equipos de red: routers, firewalls, switches, hubs, cableado, etc. D. Equipos relacionados a la energa elctrica: estabilizadores de voltaje, supresor de picos, UPS, etc. E. Revisar los procedimientos relativos a altas, bajas, transferencias y cambios en el hardware de Tecnologa de Informacin. Considerar que estos procedimientos deben conducir a que se identifique nicamente a cada movimiento que implique una operacin contable, realizado sobre el hardware. F. Verificar fsicamente los documentos relativos a altas, bajas, cambios y transferencias en el hardware de Tecnologa de la Informacin. Revisar que los documentos tengan las respectivas autorizaciones y que se detalle los activos fijos sobre los cuales se est tratando. G. Verificar fsicamente una muestra del IHTI. Tomar una muestra aleatoria estratificada por tipo de equipo y valor y revisar que fsicamente se encuentren en las instalaciones de la organizacin o en aquellas a las cuales la organizacin haya dispuesto que estn, para beneficio directo o indirecto de esta. H. Revisar y evaluar la correcta contabilizacin del IHTI. Verificar que se haya realizado una correcta contabilizacin en los siguientes casos: a) Compras. b) Altas. c) Bajas. d) Transferencias. e) Depreciaciones. f) Revaluaciones. g) Ventas. h) Provisin para desvalorizacin. i) Registro en libro auxiliar de activos fijos. 2
I. Evaluar la probable prdida de valor por errores u omisiones. Calcular el monto en los equipos que no aparecen, el monto en los equipos que no han sido contabilizados correctamente, etc. SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: 2
La organizacin si tiene un IHTI detallado en unidades. La organizacin no tiene un IHTL detallado en valores. No se contabiliza adecuadamente el inventario. Comnmente se enva al gasto aquello que debe considerarse como activo fijo.
RECOMENDACIONES
Se recomienda contar con un inventario de equipos hardware detalladamente, como las caractersticas especficas y atributos de cada uno de ellos.
P021: PROCEDIMIENTO PARA LA AUDITORIA DEL INVENTARIO DE SOFTWARE DE BASE.

OBJETIVO Analizar y evaluar el Inventario de Software de Base de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados. ALCANCE El alcance del procedimiento incluye: A. Revisin detallada del documento del ISB. B. Revisin de procedimientos relativos a altas, bajas y mejoras en el software de base.
C. Verificacin fsica de los documentos relativos a altas, bajas, cambios y transferencias en el software de base. D. Verificacin fsica de una muestra del ISB. E. Revisin y Evaluacin de la correcta contabilizacin del ISB. F. Evaluacin de la probable prdida de valor por errores u omisiones. El alcance del procedimiento no incluye: A. Evaluacin del Inventario de Sistemas de Informacin. ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. ISB en unidades, de todas las oficinas a nivel nacional. B. ISB en valores, de todas las oficinas a nivel nacional. PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar detalladamente el documento del ISB. Verificar lo siguiente: a. Existencia de los siguientes tipos de software: Sistemas operativos. Administradores de bases de datos. Software de proteccin contra intrusos. Software de proteccin ante correos no deseados.
Servidores web. Servidores para realizar copias de respaldo. Software de oficina. Servidores de correo. Clientes de correo. Software de Administracin de centrales telefnicas. Software de Diseo Grfico. Lenguajes de Programacin. Herramientas de Anlisis de Sistemas. Herramientas de Diseo de Sistemas, etc.
b. El listado debe indicar claramente el nmero de licencias que se han comprado, junto al nmero de usuarios que realmente las usa, y el nmero de usuarios que realmente las necesita. Si el software es shareware, freeware o libre, tambin debe estar indicado en el listado. C. Revisar los procedimientos relativos a altas, bajas, transferencias y cambios en el software de base. Considerar que estos procedimientos deben conducir a que se identifique nicamente a cada movimiento que implique una operacin contable, realizado sobre el software de base. D. Verificar fsicamente los documentos relativos a altas, bajas, cambios y transferencias en el software de base. Revisar que los documentos tengan las respectivas autorizaciones y que se detalle los activos intangibles sobre los cuales se est tratando. E. Verificar fsicamente una muestra del ISB. Tomar una muestra aleatoria estratificada por tipo de software y valor y revisar que fsicamente se encuentren en las instalaciones de la organizacin o en aquellas
instalaciones en las cuales la organizacin haya dispuesto que estn, para beneficio directo o indirecto de esta. F. Revisar y evaluar la correcta contabilizacin del ISB. Verificar que se haya realizado una correcta contabilizacin en los siguientes casos: Compras. Altas. Bajas. Transferencias. Amortizaciones. Revaluaciones. Ventas. Provisin para desvalorizacin. Registro en libro auxiliar de activos intangibles.
G. Evaluar la probable prdida de valor por errores u omisiones. Calcular el monto en el software de base que no aparece, el monto en el software de base que no ha sido contabilizado correctamente, el monto en multas y dao a la imagen de la organizacin que se producira de ser intervenidos por tener software pirata, etc. SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin no tiene un ISB detallado ni en unidades ni en valores. B. La organizacin tiene un ISB incompleto. C. La organizacin cuenta con pocas licencias (sql2005, visual estudio server 2008, antivirus Eset Nod 32 4.0, NComputing, Sistema de Control de asistencia)
D. No se da de baja al software que ya no se usa. E. Se tiene software pirata en la organizacin. Adems no se tiene identificado cunto realmente costara licenciar todo, ni se ha visto cmo evitar su compra a travs del uso de software libre o freeware. F. No cuenta con software que proteja el ingreso de intrusos.
RECOMENDACIONES - Se recomienda elaborar un inventario de software utilizados y que estn clasificados segn reas de uso, temas y servicios que brinda a la institucin. - Elaborar un control de costos de los softwares usados en la institucin.
P022: PROCEDIMIENTO PARA LA AUDITORIA DEL INVENTARIO DE SISTEMAS DE INFORMACIN

El instituto TEC no cuenta con un inventario de sistemas de informacin; pero si cuenta con sistemas de informacin las cuales no cuentan con las documentaciones correspondientes. RECOMENDACIONES - Elaborar un inventario de sistemas de informacin, donde se menciones las documentaciones correspondientes de los sistemas de informacin que tiene el instituto. - Actualizar con la documentacin de los sistemas de informacin, para que la elaboracin del ISI.
P023: PROCEDIMIENTO PARA LA AUDITORIA DE SOLICITUDES Y EVALUACIONES DE COTIZACIONES PARA LA COMPRA DEL HARDWARE DE COMPUTADORAS, REDES Y EQUIPOS RELACIONADOS.
OBJETIVO Analizar y evaluar las cotizaciones para las compras de Hardware de Computadoras, Redes y Equipos Relacionados en la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados. ALCANCE El alcance del procedimiento incluye: A. Revisin de procedimientos relativos a la solicitud de cotizaciones para las compras de HCRER. B. Revisin de procedimientos relativos a la evaluacin de las cotizaciones para las compras de HCRER. C. Revisin fsica de las cotizaciones para las compras de HCRER. D. Revisin fsica de las evaluaciones de las cotizaciones para las compras de HCRER. El alcance del procedimiento no incluye: A. Revisin de contratos celebrados a partir de las cotizaciones.
ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Procedimientos para la solicitud de cotizaciones para la compra de HCRER. B. Procedimientos para la evaluacin de cotizaciones para la compra de HCRER. C. Cotizaciones finales para la compra de HCRER. D. Evaluaciones de las cotizaciones finales para la compra de HCRER. PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar los procedimientos relativos a la solicitud de cotizaciones para la compra de HCRER. Verificar que se solicite como mnimo lo siguiente: a) Especificaciones tcnicas de lo solicitado. b) Niveles de servicio. c) Entregables y fechas de entrega. d) Costo total y forma de pago. e) Garantas. C. Revisar los procedimientos relativos a la evaluacin de las cotizaciones para la compra de HCRER. Verificar que se incluya como mnimo lo siguiente:
a) Evaluacin de Propuesta Tcnica. Debe considerar ponderaciones para los principales aspectos de la propuesta tcnica: especificaciones tnicas, niveles de servicio, entregables y fechas de entrega. b) Evaluacin de Propuesta Econmica. Debe considerar ponderaciones para los principales aspectos de la propuesta econmica: costo total (inversiones y gastos) y forma de pago.
2
D. Revisar fsicamente las cotizaciones para la compra de HCRER. Las cotizaciones deben contener por lo menos lo indicado en el punto B. E. Revisar fsicamente las evaluaciones de las cotizaciones para la compra de HCRER. Las evaluaciones de las cotizaciones deben contener lo indicado en el punto C. Adems, debe someterse cada alternativa a un anlisis de generacin de valor. SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin evala varios proveedores al momento de realizar una compra. B. La organizacin hace partcipe de la administradora de la institucin para finalizar la compra. C. En el proceso de compra de HCRER opta por el proveedor que brinde mejores garantas y que se adecue a la economa de la institucin.
P024:
PROCEDIMIENTO
PARA
LA
AUDITORIA
DE
LAS
SOLICITUDES Y EVALUACIONES DE COTIZACIONES PARA LA COMPRA DE SOFTWARE DE BASE

El instituto TEC no cuenta con procedimientos para la compra de software.
RECOMENDACIONES Actualizar documentos de los softwares adquiridos. Tener la documentacin correspondiente de todo el software adquiridos entre los utilizados y los no utilizados.
P025: PROCEDIMIENTOS PARA LA AUDITORIA DE SOLICITUDES Y EVALUACIONES DE COTIZACIONES PARA LA COMPRA DE SISTEMAS DE INFORMACIN
El instituto TEC no cuenta con procedimientos para la compra de sistemas de informacin. El instituto TEC cuenta con un sistema de informacin, que ha sido elaborado en la misma institucin pero que no cuenta con la documentacin correspondiente. RECOMENDACIONES Actualizar documentos de los sistemas de informacin elaborados. Tener la documentacin correspondiente de todo los sistemas de informacin adquiridos entre los utilizados y los no utilizados.
P026:
PROCEDIMIENTO
PARA
LA
AUDITORIA
DE
LOS
CONTRATOS DE COMPRA DE BIENES Y SERVICIOS, HARDWARE DE COMPUTADORAS, REDES Y EQUIPOS RELACIONADOS

OBJETIVO Analizar y evaluar los contratos para las compras de bienes o servicios de Hardware de Computadoras, Redes y Equipos Relacionados en la
organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.
ALCANCE El alcance del procedimiento incluye: A. Revisin de procedimientos relativos a la generacin de contratos para las compras de bienes o servicios de HCRER. B. Revisin fsica de las cotizaciones y evaluaciones previas a los contratos para las compras de bienes o servicios de HCRER. C. Revisin fsica de los contratos para las compras de bienes o servicios de HCRER. D. Anlisis de la generacin de valor de los contratos. El alcance del procedimiento no incluye: A. Anlisis y Evaluacin de propuestas no contempladas como parte del anlisis para la generacin del contrato. ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Procedimientos para la generacin de contratos para la compra de HCRER. B. Cotizaciones finales para la compra de HCRER. C. Evaluaciones de las cotizaciones finales para la compra de HCRER. D. Contratos y adendas de contratos para las compras de HCRER. PROCESO Las actividades a realizar para esta auditora son las siguientes:
A. Revisar la informacin indicada en la seccin anterior. B. Revisar los procedimientos relativos a la generacin de contratos para la compra de HCRER. De no existir procedimientos formales, indagar cul es el procedimiento o los procedimientos reales para la compra de HCRER. C. Revisar las cotizaciones y evaluaciones para la compra de HCRER. D. Revisar los contratos para la compra de HCRER. Verificar que se solicite como mnimo lo siguiente: a) Datos bsicos iniciales del contrato:
Ttulo del Contrato. En la parte superior de la primera hoja del contrato. Datos del Contratante: nombre completo o razn social, RUC, direccin y alias. Datos del Representante Legal del contratante: nombre completo, DNI y datos de la inscripcin en registros pblicos. De ser un contrato con una organizacin con representante legal de otro pas, indicar tambin la nacionalidad o carnet de extranjera. Datos del Contratado: nombre completo o razn social, RUC, direccin y alias. Datos del Representante Legal del contratado: nombre completo, DNI y datos de la inscripcin en registros pblicos. De ser un contrato con una organizacin con representante legal de otro pas, indicar tambin la nacionalidad o carnet de extranjera. b) Generalidades. c) Objeto del Contrato. d) Especificaciones tcnicas de lo solicitado. e) Metodologa.
f)
Plan de Trabajo.
g) Entregables y fechas de entrega. h) Niveles de servicio. i) j) Condiciones para el adecuado funcionamiento de los equipos. Vigencia del contrato.
k) Costo total y forma de pago. l) Confidencialidad.
m) Garantas. n) Limitaciones. o) Penalidades. p) Jurisdiccin en caso de desacuerdos. q) Clusulas de proteccin contra riesgos (riesgos de operacin, riesgos financieros, etc.). r) Firmas y sellos de los representantes legales en todas las hojas. E. Analizar la generacin de valor del contrato. SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. El instituto hace una evaluacin de todas las proformas que le hacen sus proveedores al momento de hacer alguna compra B. En los contratos firmados se especifican detalladamente las
caractersticas de lo pedido. C. El instituto si hace contratos de compra de hardware. D. El instituto no compra de proveedores que no hayan pasado por la seleccin pertinente.
E. El instituto tiene un equipo que se dedica a la seleccin de los proveedores.
P027:
PROCEDIMIENTO
PARA
LA
AUDITORIA
DE
LOS
CONTRATOS PARA LA COMPRA DE SOFTWARE DE BASE

El instituto TEC no cuenta con contratos de compra de software de base. RECOMENDACIONES Tener la documentacin correspondiente de todo los software base que se utilizan en el sistema. Actualizar y elaborar la documentacin correspondiente del software base que se utiliza en la institucin (sistema de control de asistencia de trabajadores en el TEC).
P028:
PROCEDIMIENTO PARA
PARA
LA
AUDITORIA DE
DE
LOS DE
CONTRATOS INFORMACIN Objetivo
LAS
COMPRAS
SISTEMAS
Analizar y evaluar los contratos para las compras de bienes o servicios de sistemas de informacin en el instituto superior tecnolgico. Observaciones El Instituto Superior Tecnolgico TEC no cuenta con modelos y procedimientos de contratos para las compras de sistemas de informacin. Recomendaciones Se le recomienda al instituto superior tecnolgico TEC, contar con modelos de contratos para las compras de sistemas de informacin.
P029:
PROCEDIMIENTO DE
PARA
LA
AUDITORIA DE
DE
LA DE
METODOLOGA INFORMACIN Objetivo
DESARROLLO
SISTEMAS
Analizar y evaluar la metodologa de desarrollo de sistemas de informacin del instituto superior tecnolgico TEC. Con la finalidad de identificar la probable perdida de valor debido a fallas en los diversos profesos involucrados. Observaciones El Instituto Superior Tecnolgico TEC no cuenta con una metodologa de desarrollo de sistemas de informacin. Recomendaciones Se le recomienda al instituto superior tecnolgico TEC, contar con una metodologa de desarrollo de sistemas de informacin porque hay una serie de circunstancias que hacen especialmente importante al rea de desarrollo de sistemas, y por tanto tambin de auditora, frente a otras funciones o reas dentro del departamento de informtica: A. Los avances en tecnologas de las computadoras han hecho que actualmente el desafo ms importante y el principal reto sea la calidad del software. B. El gasto destinado a software es cada vez superior al que se dedica al hardware C. El software como producto es muy difcil de validar. Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costos de mantenimiento. D. El ndice de fracasos en proyectos de desarrollo es demasiado alto, lo cual denota la inexistencia o mal funcionamiento de los controles en este proceso. 2
E. Las aplicaciones informticas, obtenido al final del desarrollo,
que son el producto principal pasan a ser la herramienta de
trabajo principal de las reas informatizadas, convirtindose en un factor esencial para la gestin y la toma de decisiones. P030: PROCEDIMIENTO PARA LA AUDITORIA PARA LA ATENCIN DE REQUERIMIENTOS DE SOPORTE TCNICO Objetivo Analizar y evaluar la metodologa para la atencin de requerimientos de soporte tcnico en el Instituto Superior Tecnolgico TEC. Observaciones: El Instituto Superior Tecnolgico TEC, no cuenta con una metodologa de atencin de requerimientos de soporte tcnico. Recomendaciones Se le recomienda al Instituto Superior Tecnolgico TEC, contar con una metodologa de atencin de requerimientos de soporte tcnico, Para as poder verificar los requerimientos reconocidos como adecuados dentro del instituto; pero, que nunca son atendidos.; adems de los criterios claramente definidos para priorizar la atencin de los requerimientos de soporte tcnico. P031: PROCEDIMIENTO PARA LA AUDITORIA DE LA 2
METODOLOGA
PARA LA ATENCIN DE REQUERIMIENTOS DE
DESARROLLO DE SISTEMAS DE INFORMACIN. Objetivos Analizar y evaluar la metodologa para la atencin de requerimientos de desarrollo de sistemas de informacin en el Instituto Superior Tecnolgico TEC.
Observaciones El Instituto Superior Tecnolgico TEC, no cuenta con una Metodologa para la Atencin de Requerimientos de Desarrollo de Sistemas de Informacin. Recomendaciones
A. Elaborar una metodologa de requerimientos de sistemas de informacin, el cual tiene que cumplir todos los requisitos indispensables. B. Los requerimientos se tienen que elaborar de acuerdo a las necesidades que se dan en el proceso de elaboracin de sistemas de informacin.
P032:
PROCEDIMIENTO
PARA
LA
AUDITORIA
DE
LOS
DOCUMENTOS DE LOS MANUALES TCNICOS DE LOS SISTEMAS DE INFORMACIN

El instituto TEC no cuenta con manuales tcnicos, porque no cuenta con sistemas de informacin.
RECOMENDACIONES
A. Elaborar los manuales tcnicos correspondientes del sistema de
informacin que actualmente tiene el instituto. B. Este manual tcnico tiene que ser elaborada y enviado a cada rea del instituto para su correcta usabilidad.
P033:
PROCEDIMIENTO
PARA
LA
AUDITORIA
DE
LA
DOCUMENTOS DE LOS MANUALES DE USUARIO DE LOS SISTEMAS DE INFORMACIN

El Instituto TEC no cuenta con manuales de usuario, porque no cuenta con sistemas de informacin.
RECOMENDACIONES
A. Elabora el manual de usuario correspondiente del sistema de informacin que actualmente tiene el instituto.
B. Este manual de usuario tiene que ser elaborada y enviado a cada rea del instituto para su correcta usabilidad.
P034:
PROCEDIMIENTO
PARA
LA
AUDITORIA
DE
LA
ARQUITECTURA DE LA TECNOLOGAS DE INFORMACIN OBJETIVO

Analizar y evaluar la Arquitectura de la Red de Tecnologas de Informacin de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.
ALCANCE
El alcance del procedimiento incluye: C. Revisin detallada del documento de la ARTI. D. Verificacin fsica de la ARTI. E. Evaluacin de la probable prdida de valor por errores en la ARTI. El alcance del procedimiento no incluye: A. Evaluacin de los sistemas de informacin que operan sobre la ARTI. ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Plan Estratgico de Informtica. B. Documento de la ARTI. PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar detalladamente el documento de la ARTI.
a) Revisar los siguientes tipos de hardware en los diversos locales en cada edificio, pISO/IEC y oficina (no necesariamente deben estar todos): Equipos de red: routers, firewalls, switches, hubs, cableado, etc. Ej: verificar que el cableado est colocado ordenadamente en estantes (racks) y en pisos tcnicos (falsos pisos). Puntos de la Red de Datos. Ej: verificar cercana a motores y puntos conectores a la red de energa elctrica. Velocidad de los enlaces de las redes internas. Ej: 10 Mbps, 100 Mbps o 1000 Mbps. Equipos y velocidad de conexin a servicios Internet como lnea dedicada o lnea RDSI. Ej: 128 Kbps, 256 Kbps, 2 Mbps, etc. Equipos Servidores. Equipos Clientes.
b) Revisar los siguientes tipos de software de base en los diversos locales en cada edificio, piso, servidor y oficina (no necesariamente deben estar todos): Sistemas Operativos. Servidores Proxy. Servidores Web. Servidores de Correo. Sistemas Administradores de Bases de Datos. Servidores de Aplicaciones. Servidores de Archivos.
Servidores Backup. Servidores de Centrales Telefnicas.
c) Verificar fsicamente la ARTI. Verificar fsicamente que se encuentren todos los componentes descritos en el documento de la ARTI. Comprobar adems las velocidades de transmisin indicadas tanto en la red interna como en Internet u otro servicio de red dado por un proveedor. d) Evaluar la probable prdida de valor por errores en la ARTI. Calcular el monto en los equipos que no aparecen, software de base que se compr y nunca se us, servidores que fueron alquilados y no fueron reemplazados cuando pas la necesidad del alquiler, velocidades de transmisin que no permiten trabajar adecuadamente a los usuarios, etc. SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. El plan estratgico de la institucin no est elaborado por cada rea. B. No existe un plan estratgico del rea de informtica. C. La organizacin no tiene un documento formal sobre la ARTI. D. La organizacin tiene un documento incompleto o desactualizado sobre la ARTI. E. La ARTI tiene tecnologas muy diversas que necesitan la creacin y mantenimiento de una serie de interfaces que implican mayor costo y tiempo de procesamiento y desarrollo. F. No cuenta con un cronograma de mantenimiento de la ARTI. RECOMENDACIONES A. Crear un cronograma de mantenimiento de la ARTI, donde se menciones los tiempos en que se hagan las actualizaciones correspondientes. B. Mejorar el plan estratgico, o crear un plan estratgico del rea de informtica. C. Elaborar por una ARTI en especial.
P035: PROCEDIMIENTO PARA LA AUDITORIA DE LA SEGURIDAD DE ACCESO A LOS SISTEMAS DE INFORMACIN El instituto TEC no cuenta con seguridad de informacin. Por no contar con sistemas de informacin. RECOMENDACIONES.
2
A. Tener un sistema de informacin que cuente con la seguridad de acceso (usuarios, contraseas, software, etc). P036: PROCEDIMIENTO PARA LA AUDITORIA DE LA SEGURIDAD A LAS CARPETAS DE LOS SERVIDORES OBJETIVO Analizar y evaluar la seguridad de acceso a las carpetas en los servidores de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados. ALCANCE El alcance del procedimiento incluye: A. Revisin de los accesos del personal sobre las carpetas en los servidores. B. Revisin del procedimiento para otorgar accesos al personal. C. Verificacin aleatoria sobre el permISO/IEC nico y exclusivo del personal a las carpetas de los servidores, a las cuales se les ha otorgado acceso. D. Anlisis de la prdida de valor que se podra originar en caso se violase la seguridad de acceso o se otorgara un acceso indebido. El alcance del procedimiento no incluye:
A. Verificacin de la seguridad de acceso a los sistemas de informacin. ENTRADAS Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin:
2
A. Listado de todos los accesos de todos los usuarios sobre las carpetas de los servidores. En el listado debe indicarse claramente la ruta de red por cada carpeta. B. Procedimiento para otorgar accesos a los usuarios sobre las carpetas de los servidores. PROCESO Las actividades a realizar para esta auditora son las siguientes: C. Revisar la informacin indicada en la seccin anterior. D. Revisar detalladamente los accesos del personal sobre las carpetas de los servidores. Por cada rea y usuario, revisar la lista de carpetas a las cuales puede acceder. Verificar si el personal realmente necesita ingresar a una carpeta. E. Revisar el procedimiento para otorgar accesos sobre las carpetas de los servidores. Verificar que incluya por lo menos lo siguiente: a) Autorizacin del gerente o jefe de rea del usuario. b) Verificacin de la Unidad de Riesgos, si existe. Es necesario sentarse con el operador que asigna los accesos y ver con detalle cmo realiza la asignacin de accesos de las carpetas, a
travs de ejemplos reales de acuerdo a los requerimientos que tiene pendientes. Observar cualquier tema irregular. F. Verificar de manera aleatoria el acceso nico y exclusivo del personal a las carpetas a las cuales se les ha otorgado permiso. Para ello es necesario tomar una muestra estadstica estratificada del personal que tiene acceso a carpetas y luego realizar lo siguiente: Para cada usuario de la muestra, realizar lo siguiente: a) Ingresar al explorador de archivos en la computadora del usuario. b) Elegir 3 carpetas al azar, a las cuales el usuario no tenga acceso. c) Elegir 3 carpetas al azar, a las cuales el usuario tenga acceso. d) Para cada carpeta elegida en las lneas anteriores, realizar lo siguiente: e) Ingresar la ruta en la cual se encuentra la carpeta. Pulsar Enter. f) Verificar que el usuario pueda ver el contenido de la carpeta slo si tiene el acceso. g) Verificar si el usuario tiene permISO/IEC de lectura o escritura, segn sea el acceso. G. Analizar la prdida de valor que se podra originar en caso se violase la seguridad de acceso a las carpetas o se otorgara un acceso indebido. Calcular cunto dinero podra perder la organizacin si alguien tuviera acceso a una carpeta que no debe e hiciera dao mnimo o un dao total sobre los archivos de la carpeta, ya sea por error, omisin o malicia, as como la probabilidad de que esto ocurra. SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones:
A. El personal usuario no puede ingresar a carpetas a las cuales no debera tener acceso. B. Diversas personas del rea de Tecnologa de Informacin, no pueden acceder a carpetas a las cuales no deberan tener acceso. C. Si cuenta con ningn tipo de seguridad D. En la prctica, varias personas tienen acceso a asignar carpetas, adems de la persona responsable. E. Como seguridad hacen uso del NComputing.
P037: PROCEDIMIENTO PARA LA AUDITORIA DE LOS MANUALES DE SOPORTE TCNICO El instituto TEC no cuenta con manuales de soporte tcnico. RECOMENDACIONES. Solicitar o elaborar el manual tcnico del NComputing. P038: PROCEDIMIENTO PARA LA AUDITORIA DE LOS MANUALES DE PROCEDIMIENTOS DE DESARROLLO DE LOS SISTEMAS DE INFORMACIN El instituto TEC no cuenta con manuales de desarrollo de sistemas de informacin. RECOMENDACIONES. A. Elaborar los manuales de los procedimientos de desarrollo de los sistemas de informacin. B. Elaborar el manual del sistema de informacin creado por el TEC el cual no cuenta con manual tcnico.
P039:
PROCEDIMIENTO DE Y
PARA DE
LA
REVISIN DE
DE
LOS DE DE
FORMULARIOS PROYECTOS
CONTROL
LOS
ENTREGABLES DESARROLLO
REQUERIMIENTOS
SISTEMAS DE INFORMACIN El instituto TEC no cuenta con entregables de desarrollos de sistemas de informacin. RECOMENDACIONES. A. Entregar los hitos de cada sistema de informacin desarrollada. B. Entregar los hitos en cada instante de presentacin de los avances que se entrega cada cierto periodo. P040: PROCEDIMIENTO PARA REALIZAR SEGUIMIENTO DE 2
INFORMES DE AUDITORIA INTERNA OBJETIVO Dar las pautas para realizar seguimiento a los informes anteriores de auditora interna, lo cual se realiza como parte de la labor rutinaria del rea de Auditora Interna. ENTRADAS No existe OBSERVACIONES Las observaciones encontradas son las siguientes: A. No se encontr informes de auditora interna anteriores. B. No cuenta con ningn informe de auditora externa (auditores externos u organismos reguladores) anterior en el seguimiento. RECOMENDACIONES De lo observado se recomienda lo siguiente:
A. Designar interna. P041:
un
equipo
calificado
para
disear
construir
procedimientos para realizar seguimientos de informes de auditoria
PROCEDIMIENTO
PARA
REALIZAR
SEGUIMIENTO
DE
INFORMES DE AUDITORIA EXTERNA OBJETIVO 2 Establecer las pautas para realizar seguimiento de informes anteriores de auditora externa, lo cual se realiza como parte de la labor de auditora interna. ENTRADAS No existe OBSERVACIONES Las observaciones encontradas son las siguientes: A. No se encontr informes de auditora externa anteriores. B. No cuenta con ningn modelo de informe de auditora externa (auditores externos u organismos reguladores) anterior en el seguimiento. RECOMENDACIONES
De lo observado se recomienda lo siguiente:
A. Organizar externa.
un
equipo
calificado
para
disear
construir
procedimientos para realizar seguimientos de informes de auditoria
P042: PROCEDIMIENTO PARA LA AUDITORIA DE LA CERTIFICACIONES DE CALIDAD DE LA TECNOLOGA DE INFORMACIN OBJETIVO Analizar y evaluar las certificaciones de calidad de la organizacin, relativas a las tecnologas de informacin, con el fin de identificar la probable prdida de valor en los diversos procesos involucrados. ENTRADAS No existe lo siguiente:
A. Requerimientos de cada una de las certificaciones de calidad relativas a las TI. B. Manuales de Calidad relativos a las TI. C. Metodologas claras y definidas relativas a las TI.
OBSERVACIONES Las observaciones encontradas son las siguientes: A. No cuenta con los requerimientos suficientes para la obtencin de certificaciones de calidad de la tecnologa de la informacin B. No cuenta con manuales de calidad relativos a las TI. RECOMENDACIONES De lo observado se recomienda lo siguiente: A. Segn el ISO/IEC 12207, ISO/IEC 17799, se recomienda identificar y analizar y ejecutar los requisitos o requerimientos que exige cada una de las certificaciones de calidad relativas a las TI
P043: PROCEDIMIENTO PARA LA AUDITORIA DE LA EVALUACIN DE DESEMPEO DEL REA DE TECNOLOGA DE INFORMACIN OBJETIVO Analizar y evaluar las certificaciones de calidad de la organizacin, relativas a las tecnologas de informacin, con el fin de identificar la probable prdida de valor en los diversos procesos involucrados. ENTRADAS No existe OBSERVACIONES Las observaciones encontradas son las siguientes: A. No existen informes de evaluacin de desempeo realizadas al rea de Tecnologa de la informacin. B. No existen informes de auditora realizadas al rea de Tecnologa de Informacin. RECOMENDACIONES De lo observado se recomienda lo siguiente: A. Revisar las evaluaciones de desempeo del rea de Tecnologa de Informacin. B. Verificar que las evaluaciones de desempeo tengan un fuerte componente de la evaluacin por parte de los usuarios de los servicios del rea de Tecnologa de Informacin de acuerdo a lo que establece el Plan Estratgico de la organizacin.
P044: PROCEDIMIENTO PARA LA AUDITORIA DE LA EVALUACIN DE DESEMPEO DE PERSONAL DE TECNOLOGA DE INFORMACIN OBJETIVO Analizar y evaluar el resultado de la evaluacin de desempeo del personal del rea de Tecnologa de la Informacin, con el fin de identificar la probable prdida de valor en los diversos procesos involucrados. ENTRADAS No existe OBSERVACIONES Las observaciones encontradas son las siguientes: A. No existen informes de evaluacin de desempeo realizadas al personal del rea de Tecnologa de Informacin. B. No existen Informes de auditora al rea de Tecnologa de Informacin. RECOMENDACIONES De lo observado se recomienda lo siguiente: A. Realizar las evaluaciones de desempeo del personal del rea de Tecnologa de Informacin, verificando que las evaluaciones de desempeo tengan un fuerte componente de la evaluacin por parte de los usuarios de los servicios del rea de Tecnologa de Informacin de acuerdo a lo que establece el Plan Estratgico de la organizacin. P045: PROCEDIMIENTO PARA LA REVISIN DE LOS FORMULARIOS DE CONTROL DE CAMBIOS EN PROYECTOS DE COMPRA O DESARROLLO DE SISTEMAS DE INFORMACIN OBJETIVO Analizar y evaluar los formularios de control de cambios de proyectos de compra o desarrollo de sistemas de informacin de la organizacin, con el fin
de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados. ENTRADAS No existe OBSERVACIONES Las observaciones encontradas son las siguientes: A. No existen una metodologa de atencin de requerimientos de desarrollo o mantenimiento cuando la realiza personal interno. B. No existen formularios de control de cambios funcionales en proyectos. C. No cuenta con formularios de control de cambios tcnicos en proyectos. RECOMENDACIONES De lo observado se recomienda lo siguiente: A. Revisar de los formularios de control de cambios funcionales en proyectos. B. Verificar que contenga como mnimo la siguiente informacin:
a) Datos Generales del Cambio Solicitado b) Descripcin funcional detallada del cambio solicitado
P46: PROCEDIMIENTO PARA LA REVISIN DE LOS FORMULARIOS DE CONTROL DE RIESGOS EN PROYECTOS DE COMPRA O DESARROLLO DE SISTEMAS DE INFORMACIN OBJETIVO Analizar y evaluar los formularios de control de riesgos en proyectos de compra o desarrollo de sistemas de informacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados. ENTRADAS No existe OBSERVACIONES
Las observaciones encontradas son las siguientes: A. No existe una metodologa de atencin de requerimientos de desarrollo o mantenimiento cuando la realiza personal interno. B. No cuenta con una metodologa de atencin de requerimientos de desarrollo o mantenimiento cuando la realiza un proveedor. C. No existen formularios de control de riesgos de proyectos. RECOMENDACIONES De lo observado se recomienda lo siguiente: Revisar los formularios de control de riesgos de proyectos, verificando que contengan como mnimo la siguiente informacin: A. Riesgo Identificado. B. Fecha y hora de identificacin. C. Causas. D. Efectos Probables. E. Acciones a realizar para minimizar el riesgo. F. Rango de fechas en las cuales se ejecutarn las acciones. G. Recursos necesarios para ejecutar las acciones para minimizar el riesgo. H. Responsable de la ejecucin de las acciones para minimizar el riesgo. I. Nombre y Firma del Jefe de Proyecto del rea de Tecnologa de la Informacin y el proveedor (en caso exista un proveedor). J. Nombre y Firma del Lder de Usuarios. P047: PROCEDIMIENTO PARA LA REVISIN DE LOS FORMULARIOS DE SEGUIMIENTO DE AVANCES EN PROYECTOS DE COMPRA O DESARROLLO DE SISTEMAS DE INFORMACIN OBJETIVO Analizar y evaluar los formularios de seguimiento de avances en proyectos de compra o desarrollo de sistemas de informacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados. ENTRADAS
No existe OBSERVACIONES Las observaciones encontradas son las siguientes: A. No cuenta con una metodologa de desarrollo de sistemas de informacin de la organizacin. B. No existen metodologas de compra de sistemas de informacin de la organizacin. C. Se desconoce de formularios de seguimiento de avances de proyectos de compra o desarrollo de sistemas de informacin. RECOMENDACIONES De lo observado se recomienda lo siguiente: A. Elaborar metodologas de compra o desarrollo de sistemas de informacin de la organizacin, verificando que incluyan la elaboracin de formularios de seguimiento de avances de proyectos. B. Revisar los formularios de seguimiento de avances de proyectos, verificando que cada formato contenga lo mnimo requerido de informacin P048: PROCEDIMIENTO PARA LA AUDITORIA DEL CONTROL DE CALIDAD DE LA ATENCIN DE REQUERIMIENTOS DE COMPRA O DESARROLLO DE SISTEMAS DE INFORMACIN OBJETIVO Analizar y evaluar el control de calidad en la atencin de requerimientos de compra o desarrollo de sistemas de informacin, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados. ENTRADAS No existe OBSERVACIONES
Las observaciones encontradas son las siguientes: A. No existe una metodologa de atencin de requerimientos de desarrollo o mantenimiento cuando la realiza personal interno. B. No existe una metodologa de atencin de requerimientos de desarrollo o mantenimiento cuando la realiza un proveedor. C. Se desconoce de documentacin del proceso de control de calidad de la atencin de requerimientos de desarrollo de sistemas de informacin.
2
RECOMENDACIONES De lo observado se recomienda lo siguiente: A. Elaborar una metodologa de atencin de requerimientos de desarrollo o mantenimiento de los sistemas de informacin de la organizacin, tanto los desarrollados por la organizacin como los comprados a proveedores, verificando que se incluya procesos de control de calidad dentro de la metodologa. B. Analizar y revisar detalladamente el proceso de control de calidad inmerso en la metodologa de desarrollo de sistemas de informacin de la organizacin, verificando que el proceso de control de calidad incluya como mnimo las siguientes pruebas:
a) Verificacin de las especificaciones funcionales y tcnicas. b) Pruebas de Interface Grfica de Usuario. c) Pruebas de Caja Negra.
P049: PROCEDIMIENTO PARA LA AUDITORA DEL CONTROL DE CALIDAD DE LA ATENCIN DE REQUERIMIENTOS DE SOPORTE TCNICO. OBJETIVO Analizar y evaluar el control de calidad de la atencin de requerimientos de soporte tcnico, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.
ALCANCE El alcance del procedimiento incluye: A. Revisin de la metodologa de atencin de requerimientos de soporte tcnico, tanto los realizados por el Instituto como los realizados por proveedores. B. Revisin detallada del proceso de control de calidad inmerso en la metodologa de atencin de requerimientos de soporte tcnico. C. Anlisis de la generacin de valor del control de calidad de la atencin de requerimientos de soporte tcnico. El alcance del procedimiento no incluye: A. Evaluacin del control de calidad de la atencin de requerimientos de desarrollo de sistemas de informacin. ENTRADAS Para realizar esta auditora, se requiere que el Instituto provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Metodologa de atencin de requerimientos de soporte tcnico cuando la realiza personal interno. B. Metodologa de atencin de requerimientos de soporte tcnico cuando la realiza un proveedor. C. Documentacin del proceso de control de calidad de la atencin de requerimientos de soporte tcnico. PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en las ENTRADAS. B. Revisar la metodologa de atencin de requerimientos de soporte tcnico, tanto los realizados por el Instituto como los realizados por proveedores. Verificar que tenga inmerso un proceso de control de calidad.
C. Revisar detalladamente el proceso de control de calidad inmerso en la metodologa de atencin de requerimientos de soporte tcnico. Verificar que el control de calidad contenga como mnimo lo siguiente: a) Cumplimiento de los requerimientos de correcciones o mejoras estipuladas inicialmente, tanto en funcionalidad, documentacin y tiempo de entrega. b) Condiciones de finalizacin segn cada tipo de requerimiento. Ejemplo: correcto funcionamiento del software instalado, correcto funcionamiento del hardware instalado, valores apropiados en mediciones elctricas, restriccin real del acceso a determinados dispositivos o servicios tanto dentro como fuera de los locales de la Institucin, etc. c) Analizar la prdida de valor que se podra originar por un inadecuado control de calidad de la atencin de requerimientos de soporte tcnico. Valorizar los costos de los errores cometidos por un inadecuado control de calidad. SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. El Instituto Superior Tecnolgico TEC, realiza control de calidad en la atencin de requerimientos de soporte tcnico. B. El Instituto Superior Tecnolgico realiza un adecuado control de calidad en la atencin de requerimientos de soporte tcnico. El control de calidad sigue una metodologa donde se toma en cuenta puntos realmente importantes a evaluar. INFORME DE AUDITORA OBSERVACIONES A. El Instituto Superior Tecnolgico TEC no utiliza algunos parmetros de estndar internacional para agilizar y mejorar el control de calidad del soporte tcnico. B. El Instituto Superior Tecnolgico TEC no hace uso de aplicaciones que automatice el proceso de atencin de requerimientos de soporte tcnico.
RECOMENDACIONES A. Incluir en la documentacin del proceso de control de calidad en soporte tcnico los estndares ISO/IEC 17799 y ISO/IEC 20000 (ITIL) para que respalde aspectos organizativos de seguridad de la informacin, la entrega de servicios de seguridad lgica, y la entrega de servicios de seguridad fsica; y en la gestin de requerimiento de servicios informticos (soporte tcnico). B. Hacer uso de una aplicacin que automatice el proceso de atencin de requerimientos de soporte tcnico. P050: PROCEDIMIENTO PARA ENTREVISTAR A LOS USUARIOS DE TECNOLOGAS DE INFORMACIN. OBJETIVO Dar las pautas para la correcta ejecucin de entrevistas a los usuarios de las tecnologas de informacin, las cuales se realizan como parte de la labor de auditora. ALCANCE El alcance del procedimiento incluye: A. Coordinacin de citas para las entrevistas. B. Desarrollo de las entrevistas. El alcance del procedimiento no incluye: A. Evaluacin en la computadora del software que utiliza el entrevistado. ENTRADAS Para realizar esta actividad se requiere que la Institucin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Organigrama. B. Lista de telfonos y anexos de cada uno de los usuarios de las diversas reas de la Institucin.
C. Procesos de cada una de las reas: los que son soportados con sistemas de informacin, los que son soportados con software de oficina y los que son realizados de manera manual. PROCESO A continuacin se detalla las actividades a realizar para las entrevistas con los usuarios durante el desarrollo de la auditora de la gestin de tecnologas de informacin. A. Sacar citas con usuarios de cada una de las gerencias en la Oficina. B. Durante el desarrollo de cada cita: a) Tener a la mano el formato de resumen de entrevista. b) Llenar los datos de la cabecera relativos a la entrevista: persona entrevistada, rea, cargo, auditor que realiza la entrevista, fecha y hora. c) Reflexionar que debemos mantener en todo instante una actitud totalmente objetiva y no parcializarnos ni a favor ni en contra del rea de tecnologa de informacin. d) Llenar la seccin Temas Tratados del formato de resumen de entrevista teniendo en cuenta las respuestas del usuario por lo siguiente: Velocidad y Calidad del Servicio de Soporte Tcnico. Consultar sobre: o o Las atenciones de requerimientos pendientes. Los requerimientos atendidos en el perodo en
evaluacin y perodos anteriores. o El servicio de la plataforma tecnolgica actual: correo, Intranet, velocidad de Internet, velocidad de uso de los sistemas de informacin, etc. Velocidad y Calidad del Servicio de Desarrollo de Sistemas de Informacin. Consultar sobre: o Las atenciones de requerimientos pendientes.
Los requerimientos atendidos en el perodo en evaluacin y perodos anteriores.
El servicio de los sistemas de informacin actuales.
Cantidad de trabajo manual que realizan fuera del sistema. Considerar: o o o o Verificaciones de listados a mano. Clculos a mano. Clculos en hojas de clculo. Elaboracin de documentos en procesadores de texto.
De notar que el entrevistado no conoce el tema, pedir de manera corts el contacto con aquellos subordinados del entrevistado que sepan sobre el tema. Con los subordinados, repetir este mismo procedimiento (Punto C). e) Llenar la seccin Acuerdos sobre la base de: Informacin que el entrevistado ha quedado pendiente de enviar o encargar el envo. Indagaciones adicionales que ha sugerido el usuario al auditor, para que sean revisadas con mayor detenimiento. Reuniones futuras pactadas con el mismo entrevistado o con sus subordinados. Otros acuerdos relacionados con la auditora a los cuales se haya llegado. En caso de no existir acuerdos, colocar la palabra ninguno. SALIDAS Al desarrollar esta actividad es comn escuchar o darnos cuenta de lo siguiente:
A. Los usuarios gerentes comnmente no estn involucrados con los problemas relativos a las tecnologas de informacin. B. Los usuarios se quejan de la mala calidad del trato de Soporte Tcnico o rea de Infraestructura de Tecnologa de Informacin, o porque no les aclaran las dudas correctamente. C. Los usuarios se quejan de tener requerimientos pendientes de desarrollo desde hace varios aos. D. Los usuarios se quejan que los sistemas de informacin no cubren sus necesidades para el soporte de las transacciones diarias. E. Los usuarios se quejan del trato inadecuado ante la solicitud de nuevos requerimientos de opciones de sistemas de informacin. F. Los usuarios se quejan que los sistemas de informacin presentan muchas fallas. G. Los usuarios se quejan que las correcciones a las fallas demoran mucho en realizarse. H. Comnmente cada rea maneja entre 15 a 25 reportes en hojas de clculo, fuera del sistema, lo cual evidencia que los sistemas no estn diseados pensando en el mediano y largo plazo en cuanto a requerimientos futuros de reportes o necesidades de clculo. INFORME DE AUDITORA OBSERVACIONES A. No cuenta con oficinas en provincias. RECOMENDACIONES A. Falta basarse en la encuesta que hizo claudia P051: PROCEDIMIENTO PARA LA AUDITORA DE LAS INSTALACIONES ELCTRICAS DE LOS EQUIPOS DE CMPUTO Y REDES. OBJETIVO Analizar y evaluar las instalaciones elctricas de los equipos de cmputo y redes del Instituto, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.
ALCANCE El alcance del procedimiento incluye: A. Revisin de medidas y condiciones del pozo de tierra. B. Revisin de medidas y condiciones de cajas de control de la corriente elctrica. C. Revisin de medidas y condiciones de tomacorrientes de equipos de cmputo. D. Revisin de medidas y condiciones de equipos de suministro de energa elctrica: UPS y generador. E. Revisin de la frecuencia de los mantenimientos a las instalaciones de puesta a tierra. F. Anlisis de la prdida de valor que se podra originar por probables daos en las instalaciones elctricas. El alcance del procedimiento no incluye: A. Revisin tcnica detallada de las instalaciones elctricas ENTRADAS Para realizar esta auditora, se requiere que el Instituto provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Listado de personas que tienen relacin con el mantenimiento de instalaciones elctricas o con los proveedores que las realizan, con sus respectivos anexos, telfonos o correos electrnicos. B. Normas vigentes para los sistemas de conexin a Tierra. En el caso peruano, se tiene las siguientes normas (PROCOBRE, 2005): a) NTP 370.052:1999 SEGURIDAD ELCTRICA. Materiales que constituyen el pozo de puesta a tierra. Eleccin de los materiales elctricos en las instalaciones interiores para la puesta a tierra. b) NTP 370.053:1999 SEGURIDAD ELCTRICA. Enchufes y tomacorrientes con proteccin a tierra para uso domstico y uso general similar.
c) NTP 370.054:1999 SEGURIDAD ELCTRICA. Sistema de Puesta a Tierra, Glosario de Trminos. d) NTP 370.055:1999 SEGURIDAD ELCTRICA. Electrodos de cobre para puesta a tierra. C. Plano de instalaciones elctricas de equipos de cmputo. Considerar: pozo de tierra, caja de control de la corriente elctrica, tomacorrientes de equipos de cmputo y equipos de suministro de energa elctrica (UPS y generador). D. Informes tcnicos de mantenimientos preventivos y correctivos anteriores. PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin solicitada en las ENTRADAS. B. Revisar medidas y condiciones del pozo de tierra de acuerdo a las normas vigentes. a) Verificar el clculo o la medicin de lo siguiente:
Resistencia (RE). Debe ser menor a 5 ohms. Ver procedimiento

P063.
Voltaje (UST). Ej: 0.9 V Frecuencia (FM). Ej: 111 Hz. Resistencia de la Estaca de Voltaje (RS). Ej: 0.100 K ohms. Resistencia de la Estaca de Corriente (RH). Ej: 0.100 K ohms.
Seal de Medicin. Ej: 48 VAC. Tamao del Pozo de tierra. Ej: 2.5 m. alto y 1.0 m. de dimetro. b) Verificar las condiciones: El terreno o material usado para relleno no debe tener un ndice (pH) de acidez, que cause corrosin al electrodo. El pH debe estar entre 6 (cido) y 10 (alcalino). Si se usa materiales qumicos de relleno, verificar que no est en contra de las leyes de proteccin al ambiente. No debera usarse como relleno los
siguientes materiales: arena, polvo de coque, ceniza, arcilla dura (no es adecuada ya que si es fuertemente compactada puede llegar a ser impermeable al agua y podra permanecer seca) y otros materiales cidos o corrosivos. Si el terreno tiene poca conductividad elctrica, verificar que se haya usado como relleno (slo o combinado) los siguientes materiales: bentonita (montmorillonita sdica, pH 10.5), yeso (sulfato de calcio, pH entre 6.2 y 6.9), sales (gel), etc. Todas las uniones o conexiones bajo tierra deben estar construidas de modo que no se presente corrosin en la unin o conexin. Las conexiones entre los diversos componentes deben ser mecnicamente robustas, tener buena resistencia a la corrosin y baja resistividad elctrica. Uniones o conexiones innecesarias. Existencia de corrosin en el recorrido del electrodo enterrado. C. Revisar medidas y condiciones de cajas de control de la corriente elctrica. Verificar: a) El Tablero General de Electricidad debe tener llaves electromagnticas. b) Sealizacin del Tablero General de Electricidad. D. Revisar medidas y condiciones de tomacorrientes de equipos de cmputo. a) Los tomacorrientes de los equipos de cmputo deben tener lnea a tierra. b) Los tomacorrientes deben encontrarse sin deterioros fsicos. E. Revisar medidas y condiciones de equipos de suministro de energa elctrica. Verificar: a) Estado del UPS. b) Estado del generador de corriente elctrica. c) Cableado no daado.
d) Cableado aislado de manera que no se afecte con las condiciones del entorno. Debe estar empotrado con canaletas. F. Revisar la frecuencia de los mantenimientos a las instalaciones de puesta a tierra. G. Si la oficina se encuentra en lugares donde se dan rayos y truenos, como la Sierra por ejemplo, verificar la correcta instalacin de pararrayos. H. Analizar la prdida de valor que se podra originar por probables daos en las instalaciones elctricas. Recopilar adems, informacin sobre los daos ocasionados a los equipos por problemas en las instalaciones elctricas. De esa manera se tendra tambin una historia de los gastos en los cuales se ha incurrido. SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. El Instituto tiene un pozo de tierra. B. El Instituto no realiza un mantenimiento adecuado al pozo de tierra. C. La corriente elctrica para el laboratorio de cmputo no est estabilizada. D. No se han implantado medidas de prevencin contra cortes de energa elctrica. E. Los tomacorrientes no aparente deterioro fsico. F. El cableado de red est empotrado con canaletas. G. El Tablero General de Electricidad tiene llaves trmicas. Estas llaves trabajan en funcin del consumo de corriente, el lmite de la misma es el que figura en el rtulo o la especificacin de la llave. INFORME DE AUDITORA OBSERVACIONES A. No existe instalacin elctrica independiente y de uso exclusivo para el laboratorio de cmputo. B. Las instalaciones elctricas no son peridicamente verificada por personal calificado. C. Uso inadecuado de la NTP 370.052:1999, NTP 370.053:1999, NTP 370.054:1999, NTP 370.055:1999.
RECOMENDACIONES A. Realizar instalacin elctrica independiente y de uso exclusivo para el laboratorio de cmputo. B. Toda instalacin debe ser peridicamente verificada por personal calificado. C. Seguir los lineamientos de la NTP: 370.052:1999, NTP 370.053:1999, NTP 370.054:1999, NTP 370.055:1999. P052: PROCEDIMIENTO PARA LA AUDITORA DE LA SEGURIDAD DE ACCESO AL CENTRO DE CMPUTO PRINCIPAL. OBJETIVO Analizar y evaluar la seguridad de acceso al laboratorio de cmputo del Instituto, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados. ALCANCE El alcance del procedimiento incluye: A. Revisin del acceso por la puerta principal del Instituto donde se encuentra el laboratorio de cmputo. B. Revisin del procedimiento en recepcin para otorgar tickets de visitante y permitir el acceso a las instalaciones del Instituto. C. Revisin del acceso al pISO/IEC donde se encuentra el laboratorio de cmputo. D. Revisin del acceso por la entrada al laboratorio de cmputo. E. Anlisis de la prdida de valor que se podra originar en caso se violase la seguridad de acceso. El alcance del procedimiento no incluye: A. Revisin tcnica de los equipos que sirven de apoyo para la seguridad de acceso.
ENTRADAS Para realizar esta auditora, se requiere que el Instituto provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Listado de personas que tienen relacin con el permISO/IEC de acceso a la instalacin del laboratorio de cmputo, desde los vigilantes que estn en la entrada, hasta el acceso a la puerta del laboratorio de cmputo. B. Capacitacin otorgada al personal de seguridad en la puerta principal del Instituto, referente a los criterios para decidir si se permite o no el ingreso de una persona a recepcin. C. Procedimientos para el personal, relacionados al acceso a las instalaciones, a personas ajenas al Instituto. D. Informes sobre incidentes relativos a la seguridad de acceso. PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en las ENTRADAS. B. Revisar el acceso por la puerta principal del edificio donde se encuentra el laboratorio de cmputo. Verificar lo siguiente: a) Criterios impartidos al personal de vigilancia para permitir el acceso de una persona al Instituto. b) Revisin de bolsas, maletas u otro tipo de objetos en los cuales se pueda transportar armas. c) Deteccin de armas u objetos que pudieran servir para tal fin, sobre el cuerpo de las personas. C. Revisar el procedimiento en recepcin para otorgar tickets de visitante y permitir el acceso a las instalaciones del laboratorio de cmputo. Verificar lo siguiente: a) Criterios impartidos al personal de recepcin para permitir el acceso de una persona al Instituto. b) Capacitacin sobre reconocimiento de documentos de identidad falsos. c) Solicitud y custodia de identificacin de las personas que van a acceder a las instalaciones del Instituto.
D. Revisar el acceso al pISO/IEC donde se encuentra el laboratorio de cmputo. Verificar lo siguiente: a) Existencia de personal encargado de recepcin en el piso. b) Criterios impartidos al personal de recepcin del pISO/IEC para permitir el acceso a las instalaciones. c) Existencia de dispositivo para colocar clave de seguridad para el ingreso. d) Estado de la puerta que permite el acceso al pISO/IEC (abierta o cerrada). Verificar esto en varias oportunidades para confirmar si fue una casualidad o es un descuido comn el hecho de encontrar la puerta abierta. E. Revisar el acceso por la entrada al laboratorio de cmputo. a) Existencia de personal encargado de controlar el acceso. b) Criterios impartidos al personal encargado de controlar el acceso para decidir si permite a una persona dicho acceso. c) Existencia de dispositivo para colocar clave de seguridad para el ingreso. d) Estado de la puerta que permite el acceso al laboratorio de cmputo (abierta o cerrada). Verificar esto en varias oportunidades para confirmar si fue una casualidad o es un descuido comn, si la encontramos abierta. e) Registro de ingreso y salida de personal ajeno al rea de Tecnologa de Informacin. F. Analizar la prdida de valor que se podra originar en caso se violase la seguridad de acceso. Calcular cunto dinero podra perder el Instituto si algn extrao que logre entrar al laboratorio de cmputo, hiciera un dao mnimo o un dao total sobre sus instalaciones, as como la probabilidad de que esto ocurra. SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. No existe restriccin de ingreso al laboratorio de cmputo a personas ajenas a las labores del Instituto.
B. El personal de recepcin no entrega ticket de visitante y slo pregunta a quin va a visitar. Generalmente slo pregunta por el nombre de la persona. C. La puerta principal de ingreso al Instituto no tienen dispositivos para colocar claves de seguridad para el ingreso. D. La puerta de acceso al laboratorio de cmputo no tiene dispositivo para colocar clave de seguridad. E. No se lleva un registro de quines ingresan o salen del laboratorio de cmputo, as como la hora en que produjo la entrada o la salida. INFORME DE AUDITORA OBSERVACIONES A. El acceso al laboratorio de cmputo no existe adecuado control de ingreso por parte del personal encargado. B. La puerta de ingreso al laboratorio de cmputo no tiene clave de seguridad, ya que utiliza chapa perforada. C. No existe un registro de ingreso y salida del laboratorio de cmputo, as como la hora de ingreso y salida de los estudiantes y docentes. RECOMENDACIONES A. Contar con una aplicacin automatizada para el registro de ingreso y salida del laboratorio de cmputo. B. El acceso al laboratorio de cmputo debe ser con clave de seguridad para evitar el ingreso de personas ajenas al Instituto. C. Contar con un sistema de alarma y de vigilancia, para evitar y prevenir robos en el laboratorio de cmputo; respaldada por la ISO/IEC 17799 y la NTP 370.053:1999. P053: PROCEDIMIENTO PARA LA AUDITORA DE LAS INSTALACIONES DEL CENTRO DE CMPUTO PRINCIPAL. OBJETIVO Analizar y evaluar el estado de las instalaciones del laboratorio de cmputo del Instituto, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.
ALCANCE El alcance del procedimiento incluye: A. Verificacin de la existencia de los equipos de acuerdo al inventario actualizado. B. Verificacin del funcionamiento de los equipos de cada tipo. C. Verificacin del funcionamiento de las tecnologas de informacin en los servidores. D. Verificacin del cumplimiento de las medidas de seguridad del laboratorio de cmputo. E. Anlisis de la prdida de valor que se podra originar por los errores u omisiones encontradas. El alcance del procedimiento no incluye: A. Revisin tcnica de los equipos del laboratorio de cmputo. ENTRADAS Para realizar esta auditora, se requiere que el Instituto provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Inventario actualizado de los equipos del laboratorio de cmputo. Debe pedirse que se diferencie los equipos alquilados, prestados o propios. B. Inventario de tecnologas de informacin que existen en los servidores del laboratorio de cmputo. C. Reportes de mantenimientos realizados sobre los equipos. PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en las ENTRADAS. B. Verificar la existencia de los equipos del laboratorio de cmputo, de acuerdo al inventario actualizado. Revisar tanto los equipos alquilados, prestados o propios que se tenga en el laboratorio de cmputo.
C. Verificar el funcionamiento de las tecnologas de informacin en los servidores. D. Verificar el funcionamiento de los equipos de cada tipo: routers, switches, hubs, cableado, racks, computadoras servidores, equipo de aire acondicionado, alarma contra incendios, equipos de aire acondicionado, UPS, estabilizadores, supresores de picos, etc. E. Verificar el cumplimiento de las medidas de seguridad del laboratorio de cmputo. Seguir el procedimiento relativo a la seguridad fsica y la seguridad lgica que se detalla en el documento P010: Procedimiento para la Auditora del Plan de Seguridad de la Informacin. F. Analizar la prdida de valor que se podra originar por los errores u omisiones encontradas. Calcular cunto dinero podra perder el Instituto por daos mnimos o mximos sobre el laboratorio de cmputo, ya sea por error, omisin o malicia, as como la probabilidad de que esto ocurra. SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. La organizacin tiene equipos que no usa en el centro de cmputo. Ejemplo: computadoras servidores o computadoras de usuarios. Algunas veces usan el centro de cmputo para guardar lo que no sirve, incluyendo material inflamable como maderas, cuadernos, etc. B. La organizacin alquila servidores pudiendo ser reemplazados por computadoras fuera de uso. C. Existen problemas de seguridad de la informacin diversos. Ver seccin Salidas, en el documento P010: Procedimiento para la Auditora del Plan de Seguridad de la Informacin. P054: PROCEDIMIENTO PARA LA AUDITORA DE LA SEGURIDAD DE ACCESO AL CENTRO DE CMPUTO ALTERNO. OBJETIVO Analizar y evaluar la seguridad de acceso al centro de cmputo alterno del Instituto, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.
INFORME DE AUDITORA OBSERVACIONES El Instituto Superior Tecnolgico TEC no cuenta con seguridad de acceso del laboratorio de cmputo alterno. RECOMENDACIONES Se recomienda al Instituto Superior Tecnologico TEC, contar con Seguridad de Acceso al Laboratorio de Computo. P055: PROCEDIMIENTO PARA LA AUDITORA DE LAS INSTALACIONES DEL CENTRO DE CMPUTO ALTERNO. OBJETIVO Analizar y evaluar el estado de las instalaciones del centro de cmputo alterno del Instituto, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados. INFORME DE AUDITORA OBSERVACIONES El Instituto Superior Tecnolgico TEC no cuenta con instalacin de un laboratorio de cmputo alterno. RECOMENDACIONES Se recomienda al Instituto Superior Tecnologico TEC, contar con unas instalaciones de laboratorio de cmputo alterno.
P056: PROCEDIMIENTO PARA LA AUDITORA DEL CABLEADO DE REDES DE DATOS. OBJETIVO Analizar y evaluar el cableado de redes de datos del Instituto, con el fin de identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados. ALCANCE El alcance del procedimiento incluye: A. Revisin de la ubicacin y condiciones del cableado de redes de datos. B. Revisin de la velocidad de la transmisin por el cableado de redes de datos. C. Anlisis de la prdida de valor que se podra originar por ubicacin o condiciones inapropiadas en el cableado de redes de datos. El alcance del procedimiento no incluye: A. Revisin tcnica de los equipos a los cuales se conectan los cables de redes de datos. ENTRADAS Para realizar esta auditora, se requiere que el Instituto provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Plano del cableado de redes de datos del Instituto. B. Informes tcnicos de mantenimientos preventivos y correctivos anteriores. PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin solicitada en las ENTRADAS. B. Revisar la ubicacin y condiciones del cableado de redes de datos. Verificar:
a) Ubicacin del Cableado. El cableado no puede estar expuesto a altas temperaturas. Evitar que est expuesto al sol. El cableado no puede estar cerca de motores ni cables de corriente elctrica. b) Condiciones del Cableado: El cableado no debe estar daado. El cableado debe estar colocado ordenadamente en canaletas. El cableado debe conectarse ordenadamente a los racks.
C. Revisar la velocidad de la transmisin por el cableado de redes de datos. Verificar que la velocidad sea la esperada: 10 Mbps, 100 Mbps, etc.; visualizando la velocidad de la transmisin en las computadoras de los usuarios de diversas subredes. D. Analizar la prdida de valor que se podra originar por ubicacin, velocidad o condiciones inapropiadas en el cableado de redes de datos. Calcular el monto perdido sobre la base de las interrupciones del trabajo del personal debido a la velocidad, las malas condiciones o ubicacin del cableado de redes de datos, as como los montos de pago a proveedores por reparaciones de fallas que provocaron problemas mayores por no haber sido detectadas a tiempo. SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones: A. El cableado del centro de cmputo se encuentra etiquetado y empotrados con canaletas. B. Se hace uso adecuado los racks. C. El cableado de redes de datos se coloca de manera muy cercana a los cables de corriente elctrica. D. El cableado de redes de datos se encuentra ubicado apropiadamente dentro de canaletas para evitar perturbaciones o ruido en la seal. E. El cableado no est expuesto al sol.
F. La velocidad de la transmisin por el cableado de redes de datos es de acurdo a lo esperado. INFORME DE AUDITORA OBSERVACIONES No est especficamente ligado a alguna norma o estndar sobre el cableado de red. RECOMENDACIONES Regirse a los estndares ANSI/TIA/EIA-568-B: Cableado de
Telecomunicaciones en Edificios Comerciales. A. TIA/EIA 568-B1: Requerimientos generales B. TIA/EIA 568-B2: Componentes de cableado mediante par trenzado balanceado C. TIA/EIA 568-B3: Componentes de cableado de Fibra ptica. P057: PROCEDIMIENTO PARA LA AUDITORA DEL CLCULO DE LA GENERACIN DE VALOR DE LOS PROYECTOS. OBJETIVO Analizar y evaluar la forma en que se realiza el anlisis de la generacin de valor de los proyectos del Instituto. INFORME DE AUDITORA OBSERVACIONES No se obtuvo informacin, por ser informacin relevante para la Institucin. P058: PROCEDIMIENTO PARA LA ELABORACIN DEL INFORME
PRELIMINAR. OBJETIVO Dar las pautas para realizar el proceso de elaboracin del informe preliminar de una auditora.
ALCANCE El alcance del procedimiento incluye: A. Revisin de la normatividad relativa a los informes de auditora. B. Revisin del detalle de las actividades comprendidas en la elaboracin del informe preliminar. C. Anlisis de generacin de valor del informe de auditora. El alcance del procedimiento no incluye: A. Revisin de la planificacin de las actividades para la elaboracin del informe preliminar. ENTRADAS Para realizar esta auditora, se requiere que el Instituto provea con respecto al perodo en evaluacin, la siguiente informacin: A. Normas externas para la presentacin de informes de auditora. B. Normas internas para la presentacin de informes de auditora. C. Estructura para los informes de auditora que indica la norma. PROCESO Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en las ENTRADAS. B. Revisar detalladamente las normas relativas a los informes de auditora, tanto internas como externas. C. Revisar detalladamente la informacin solicitada. D. Realizar la evaluacin de la actividad objetivo asignado para la auditora. E. Elaborar cada una de las secciones del informe preliminar. Debe incluirse: a) Avance del informe con los siguientes puntos: i. ii. iii. Introduccin. Objetivo y Alcance de la Actividad. Procedimientos y Tcnicas de Auditora.
iv.
Evaluacin de la Actividad. Para cada gerencia auditada y para cada hallazgo indicar: enunciado del hallazgo, descripcin, causa, efecto, riesgo, y recomendaciones.
v.
Opinin En caso que el informe se deba realizar para una entidad del Estado Peruano, se debe tener la siguiente estructura lgica para la redaccin de cada hallazgo (observacin):
i. ii. iii. iv. v. vi. vii. viii.
Enunciado. Descripcin. Norma que se est violando. Causa. Efecto. Riesgo. Responsables. Recomendaciones.
a) Revisar y corregir el avance del informe con el Gerente de Auditora Interna, o Supervisor de la Auditora. F. Analizar la generacin de valor del informe de auditora. Debe analizarse cunto dinero se est generando para la empresa, ya sea por ingresos netos adicionales o por ahorros por errores en procesos o multas que ya no se pagaran, gracias a que el informe evidenci esos problemas a tiempo. El dinero que se perdera debe estar colocado como observacin.
SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones:
A. Las
secciones
de
tcnicas
procedimientos
no
se
redactan
adecuadamente. Carecen de informacin suficiente para que el auditor que desee realizar esa auditora en el futuro, pueda realizar las mismas actividades o proponer mejoras. B. Los informes demoran mucho en realizarse. C. Los informes estn enfocados en cosas puntuales y no se evala el tema como un todo para luego hacer recomendaciones conjuntas. P059: PROCEDIMIENTO PARA EL ENVO, SUSTENTACIN Y
CORRECCIN DEL INFORME FINAL DE AUDITORIA. OBJETIVO Dar las pautas para realizar el envo, la sustentacin y la correccin del informe final de una auditora. ALCANCE El alcance del procedimiento incluye: A. Envo del informe preliminar. B. Sustentacin del informe preliminar ante la gerencia auditada y la Gerencia General. C. Correccin del informe final. D. Envo al Comit de Auditora y al Directorio de la organizacin. El alcance del procedimiento no incluye: A. Revisin de la planificacin de las actividades para la elaboracin del informe preliminar. B. Revisin de las actividades para la elaboracin del informe preliminar. ENTRADAS Para realizar este proceso, se requiere que la organizacin provea para el perodo en evaluacin, la siguiente informacin: Informes Preliminares de auditora de la gestin de tecnologas de informacin. PROCESO
Las actividades a realizar para esta auditora son las siguientes: A. Revisar la informacin indicada en la seccin anterior. B. Revisar detalladamente el informe preliminar y hacer las ltimas correcciones necesarias. C. Enviar a la gerencia auditada, va correo electrnico y en hojas impresas, el informe preliminar. D. Solicitar reunin con la gerencia auditada para tratar las observaciones del informe. E. En la reunin, recibir los comentarios de la gerencia sobre las observaciones realizadas. F. Retirar o corregir las observaciones que la gerencia auditada haya demostrado que no son correctas. G. Solicitar y/o Recibir los comentarios de la o las Gerencias Auditadas, o que resulten responsables de las observaciones encontradas. H. Enviar el informe preliminar corregido (con los comentarios de la Gerencia Auditada) a la Gerencia General con copia a la gerencia auditada. I. Solicitar reunin con la Gerencia General y la gerencia auditada. General. K. Retirar o corregir las observaciones que la gerencia auditada y la Gerencia General demuestren que no son correctas. L. Enviar el informe final (informe preliminar corregido) al Comit de Auditora con copia a la gerencia auditada y la Gerencia General, tanto por correo electrnico como en hojas impresas. M. Solicitar que se coloque en agenda del Comit de Auditora, la discusin del informe entregado. N. Discutir en el Comit de Auditora y/o el Directorio, el informe final. Enviar a los organismos supervisores, en caso lo indique la legislacin vigente que regula a la entidad supervisada. J. En la reunin, recibir los comentarios de la gerencia auditada y la Gerencia
SALIDAS
Al desarrollar este procedimiento es comn encontrar las siguientes observaciones: A. No se indica cunto dinero ha perdido la organizacin, debido a los errores u omisiones ocurridos. B. No se indica cunto dinero perdera la organizacin debido a los errores u omisiones ocurridos. P060: PROCEDIMIENTO PARA LA ELABORACIN DEL PLAN DE TRABAJO DE LA AUDITORA. OBJETIVO Dar las pautas para la correcta elaboracin del plan de trabajo para la realizacin de una auditora en el Instituto. ALCANCE El alcance del procedimiento incluye: A. Solicitud de informacin. B. Preparacin de cronograma de trabajo. C. Identificacin de hallazgos comunes. El alcance del procedimiento no incluye: Procedimientos detallados para el uso de herramientas de planificacin. ENTRADAS Para realizar esta actividad, se requiere que la organizacin provea la siguiente informacin: A. Documentos fsicos que las reas auditadas deben entregar. B. Documentos electrnicos que las reas auditadas deben entregar o que el rea de Tecnologa de Informacin debe entregar. C. Acceso a tecnologas de informacin. D. Informes de auditoras internas y externas anteriores. PROCESO
A continuacin se detalla las actividades a realizar la preparacin del plan de trabajo: A. Solicitar informacin para la auditora. Responsable: auditor. Tiempo de Ejecucin: por lo menos 15 das tiles antes de comenzar el trabajo de auditora. B. Elaborar el cronograma de trabajo. Aqu se debe detallar claramente las actividades a realizar, junto a la duracin en horas, la fecha y hora de inicio y fin de cada actividad y quin ser responsable de ejecutarlas. C. El Cronograma de Trabajo detallado debe entregarse de manera trimestral. Para elaborarlo deber tomar una plantilla de cronograma en la herramienta Microsoft Project. Las actividades a colocar en el Plan de Trabajo deben adecuarse a cada auditora; sin embargo, de manera genrica debera incluir en el orden indicado, lo siguiente: a) Solicitud de informacin para la auditora. Ver punto A. b) Avance de las siguientes secciones del informe: i. ii. iii. Introduccin. Objetivo y Alcance de la Actividad. Procedimientos y Tcnicas de Auditora. Responsable: Auditor. Duracin Mxima: 1 da til. c) Revisin de avance del informe con el Gerente de Auditora Interna, o el Jefe de Comisin de Auditora. Responsables: Gerente de Auditora Interna y Auditor. Duracin Mxima: 1 da til. d) Revisin de la informacin solicitada por el auditor. Aqu se debe detallar paso a paso cuando se va a revisar cada tipo o bloque de informacin solicitada. Responsable: Auditor.
Duracin Mxima: 10 das tiles. Eventualmente, bajo aprobacin del Gerente de Auditora Interna o el Jefe de Comisin de Auditora, el tiempo podra extenderse. e) Elaboracin del Informe Preliminar. Responsable: Auditor. Duracin Mxima: 5 das tiles. Eventualmente, bajo aprobacin del Gerente de Auditora Interna o el Jefe de Comisin de Auditora, el tiempo podra extenderse. f) Verificacin de las observaciones encontradas en el Informe Preliminar (sin entrega del informe) con personal del rea auditada. Responsable: Auditor. Duracin Mxima: 1 da til. g) Revisin del Informe Preliminar con Gerente de Auditora Interna o el Jefe de Comisin de Auditora. Responsable: Auditor. Duracin Mxima: 2 das tiles. h) Envo por correo electrnico del Informe Preliminar al gerente del rea auditada. Responsable: Secretaria y/o Auditor. Duracin Mxima: 1 da til. i) Reunin con gerente del rea auditada para realizar las
verificaciones finales del Informe Preliminar. Responsables: Gerente de Auditora Interna (o Jefe de Comisin de Auditora) y Auditor. Duracin Mxima: 1 da til. j) Elaboracin del Informe Final. Realizar las correcciones que sean necesarias en el informe preliminar, de acuerdo a la reunin con el gerente del rea auditada.
Responsables: Gerente de Auditora Interna (o Jefe de Comisin de Auditora) y Auditor. Duracin Mxima: 1 da til. k) Entrega del Informe Final. Se entregar al gerente del rea auditada y al Gerente General. Responsable: Secretaria. Duracin Mxima: 1 da til. l) Revisin del Informe Final. Se revisar el informe con el gerente del rea auditada y el Gerente General. Responsables: Gerente de Auditora Interna (o Jefe de Comisin de Auditora) y auditor. Duracin Mxima: 1 da til. m) Correcciones al Informe Final (de ser necesarias). Responsables: Gerente de Auditora Interna (o Jefe de Comisin de Auditora) y auditor. Duracin Mxima: 1 da til. D. Identificar hallazgos comunes. Aqu se debe especificar qu hallazgos comnmente se encuentra en el desarrollo de la auditora. Esto se debe desarrollar de manera previa a la auditora, colocando lo aprendido a travs de la experiencia de informes de auditoras internas y externas anteriores, experiencia del auditor y experiencia del Gerente de Auditora Interna (o Jefe de Comisin de Auditora). SALIDAS Al desarrollar esta actividad es comn darnos cuenta de lo siguiente: A. Se realiza un plan de trabajo poco detallado. B. No se incluyen todas las actividades necesarias para el desarrollo de cada auditora. C. No se cumplen los plazos previstos para la auditora.
P061: PROCEDIMIENTO PARA LA MEDICIN DE LA RESISTENCIA DE LA PUESTA A TIERRA. OBJETIVO Dar las pautas para la correcta medicin de la resistencia de la puesta a tierra en una instalacin elctrica relativa a los equipos de cmputo y redes de datos. ALCANCE El alcance del procedimiento incluye: A. Pasos detallados para la medicin de la resistencia de la puesta a tierra. El alcance del procedimiento no incluye: A. Revisin de la construccin de la puesta a tierra. ENTRADAS Para realizar este procedimiento, se requiere que la organizacin provea con respecto al perodo anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente informacin: A. Informes elaborados en los mantenimientos de los tableros de control de la energa elctrica y los mantenimientos del pozo de tierra. Considerar tanto mantenimientos preventivos como correctivos. B. Plano de instalaciones elctricas de equipos de cmputo. Considerar: pozo de tierra, caja de control de la corriente elctrica, tomacorrientes de equipos de cmputo y equipos de suministro de energa elctrica (UPS y generador). PROCESO Las actividades a realizar son las siguientes: A. Revisar la informacin solicitada en la seccin anterior. B. Desenergizar la instalacin. C. Desconectar el electrodo a tierra del sistema elctrico.
D. De no ser posible desenergizar la instalacin y desconectar de manera completa el electrodo de tierra, seguir los siguientes pasos: a) Asignar a un responsable de las actividades de medicin. b) Proveer un medio de comunicacin constante (radio o telfono porttil) a todos los que participan en la prueba. c) Proveer guantes y calzado adecuado al personal y verificar que los usen. d) Usar doble interruptor con aislamiento apropiado para conectar los cables al instrumento de medicin. e) Usar placa metlica para asegurar una equipotencial en la posicin de trabajo. La placa debe ser lo suficientemente grande para incluir al instrumento, al interruptor y al operador durante la prueba. Se debe tener un terminal instalado de modo que la placa pueda conectarse al electrodo. f) Suspender la prueba durante una tormenta elctrica u otras condiciones severas de clima. E. Realizar la medicin. SALIDAS Al desarrollar este procedimiento, es comn encontrar las siguientes fuentes de error: A. Colocar la estaca de corriente demasiado cerca del electrodo bajo prueba. B. Colocar la estaca de voltaje demasiado cerca del electrodo de prueba28. C. No considerar metales enterrados que se ubican paralelos a la direccin de la prueba. D. Usar cable con aislamiento daado.
Cronograma de actividades
V.
CONCLUSIONES
PROCEDIMIENTO 0 NIVEL DE MADUREZ 1 2 3 4 X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X 5
P001 P002 P003 P004 P005 P006 P007 P008 P009 P010 P011 P012 P013 P014 P015 P016 P017 P018 P019 P020 P021 P022 P023 P024 P025 P026 P027 P028 P029 P030 P031 P032 P033 P034 P035 P036 P037 P038 P039 P040 P041 P042 P043
P044 P045 P046 P047 P048 P049 P050 P051 P052 P053 P054 P055 P056 P057 P058 P059 P060 P061 TOTAL
X X X X X X X X X X X X X X X X X 37 X 7 9 6 2 0 2
GRAFICO DE NIVEL DE MADUREZ DEL INSTITUTO TEC
El nivel de madurez del instituto TEC esta en nivel 1
VI.
ANEXOS
Figura: Inventario de Maquinas del laboratorio.
Ilustracin 1: Plan Estrategico Institucional
Ilustracin 2: Manual de Organizacion y Funciones
Ilustracin 3: Plan de riesgos laborales
Ilustracin 4: Plan Operativo Institucional

Avance Auditoria

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Avance Auditoria

Enviado por

Direitos autorais:

Formatos disponíveis

AUDITORIA DE SISTEMAS DE INFORMACION

Instituto Superior Tecnolgico TEC

PLAN DE AUDITORIA DE SISTEMAS DE INFORMACION AL INSTITUTO SUPERIOR TECNOLOGICO TEC

III.2. Personal encargado de Auditoria

III.4. Metodologa a aplicar

III.5. Enfoque a utilizar

III.6. Pruebas a realizar

P02: Auditoria de los planes operativos

P03: Auditoria de estimacin de riesgos

P04: Auditoria de la planificacin estratgica de las tecnologas de la informacin. Objetivo

P05: Auditoria de los planes de proyectos de desarrollo de sistemas de informacin. Objetivos

P06: Auditoria de los planes de proyecto de compra de sistemas de informacin. Objetivo

P021: PROCEDIMIENTO PARA LA AUDITORIA DEL INVENTARIO DE SOFTWARE DE BASE.

P022: PROCEDIMIENTO PARA LA AUDITORIA DEL INVENTARIO DE SISTEMAS DE INFORMACIN

SOLICITUDES Y EVALUACIONES DE COTIZACIONES PARA LA COMPRA DE SOFTWARE DE BASE

CONTRATOS DE COMPRA DE BIENES Y SERVICIOS, HARDWARE DE COMPUTADORAS, REDES Y EQUIPOS RELACIONADOS

k) Costo total y forma de pago. l) Confidencialidad.

E. El instituto tiene un equipo que se dedica a la seleccin de los proveedores.

CONTRATOS PARA LA COMPRA DE SOFTWARE DE BASE

CONTRATOS INFORMACIN Objetivo

METODOLOGA INFORMACIN Objetivo

E. Las aplicaciones informticas, obtenido al final del desarrollo,

que son el producto principal pasan a ser la herramienta de

PARA LA ATENCIN DE REQUERIMIENTOS DE

DOCUMENTOS DE LOS MANUALES TCNICOS DE LOS SISTEMAS DE INFORMACIN

DOCUMENTOS DE LOS MANUALES DE USUARIO DE LOS SISTEMAS DE INFORMACIN

ARQUITECTURA DE LA TECNOLOGAS DE INFORMACIN OBJETIVO

Servidores Backup. Servidores de Centrales Telefnicas.

A. Designar interna. P041:

procedimientos para realizar seguimientos de informes de auditoria

procedimientos para realizar seguimientos de informes de auditoria

Los requerimientos atendidos en el perodo en evaluacin y perodos anteriores.

El servicio de los sistemas de informacin actuales.

Resistencia (RE). Debe ser menor a 5 ohms. Ver procedimiento

i. ii. iii. iv. v. vi. vii. viii.

SALIDAS Al desarrollar esta auditora es comn encontrar las siguientes observaciones:

GRAFICO DE NIVEL DE MADUREZ DEL INSTITUTO TEC

El nivel de madurez del instituto TEC esta en nivel 1

Figura: Inventario de Maquinas del laboratorio.

Ilustracin 1: Plan Estrategico Institucional

Ilustracin 2: Manual de Organizacion y Funciones

Ilustracin 3: Plan de riesgos laborales

Ilustracin 4: Plan Operativo Institucional

Você também pode gostar