Guia de Auditoría de Sistemas

XXXXXXXXXX

ANEXO 1.
Indica el número de
hoja en donde se
GUÍAS DE AUDITORÍA Y PRUEBAS encuentra especificada
la prueba…..
Entidad:

No. PRUEBA FECHA REF. P/T AUDITOR OBSERVACIONES

1. ASPECTOS OPERATIVOS

1.1 Desarrollar la prueba PII-1

“Conteos físicos y verificación en
12-Nov-
el sistema”, para una muestra Jairo
2011
mínima de 60 minutos de tránsito. Ortega

1.2 Mediante la prueba PII-2

“Conciliación boletas de peajes”,
comprobar la concordancia en 12-Nov- Jairo
cuanto a cantidad, entre el físico 2011 Ortega
existente y los registros del
Concesionario.

1.3 Utilizando el inventario de los

equipos, realice una inspección a los
equipos de cómputo y compruebe:

- Mantenimiento
preventivo
- Mantenimiento
correctivo
12-Nov- Jairo
- Existencia según 2011 Ortega
inventarios
- Calidad de su
funcionamiento
- Seguridades

Compare los inventarios de la

estación con los inventarios de la
auditoria.

2. ASPECTOS TÉCNICOS
2.1 Con base en la lista de chequeo LII-2,
determine la seguridad de acceso
físico a los equipos de cómputo, tanto 12-Nov- Jairo
de la vías como del lugar donde se 2011 Ortega
encuentran los servidores de la
estación.

Página 1 de 18
Guia de Auditoría de Sistemas
XXXXXXXXXX

2.2 Utilizando la lista de chequeo PII-6,

determine el grado de confianza de
las seguridades lógicas de los
siguientes componentes:
12-Nov- Jairo
2011 Ortega
- Programa de las vías
- Programas de los
servidores
- Sistemas operativos

2.3 Verifique que tanto el sistema

operativo como el programa de
recaudo de peajes, tengan activos los
logs de auditoria. De la misma
12-Nov- Jairo
manera, compruebe que de alguna 2011 Ortega
forma se realiza administración a
estos archivos log. Compruebe que la
utilización del sistema está de
acuerdo con las funciones.

2.4 Mediante la prueba PII-4 “Logs de

auditoria”, compruebe que los
registros de actividades en el sistema
operativo formen parte de los archivos 12-Nov- Jairo
log. Igualmente realice esta prueba 2011 Ortega
para el programa de recaudo de
peajes y para el sistema operativo de
las vías.

2.5 Utilizando la lista de chequeo LII-4,

compruebe que las versiones de los
programas que se están ejecutando,
corresponden a las que el
concesionario tiene catalogadas como
12-Nov- Jairo
última versión. 2011 Ortega

Verifique el proceso que se está

utilizando para la modificación de los
programas tanto de los servidores
como de las vías.

2.6 Ejecute la prueba de encripción de los 12-Nov- Jairo

archivos de datos. PII-5. 2011 Ortega

Página 2 de 18
Guia de Auditoría de Sistemas
XXXXXXXXXX

2.7 Con la utilización de la prueba PII-3

“Seguridades lógicas”, determine si
12-Nov- Jairo
las políticas de respaldo de archivos, 2011 Ortega
programas y sistemas operativos se
están cumpliendo.

2.8 Mediante el inventario de equipos

inspeccione los componentes o
elementos de la calzada y de la vía
que corresponden al equipo 12-Nov- Jairo
electrónico de recaudo y determine si 2011 Ortega
las condiciones tanto de presentación
como de funcionamiento son
adecuadas.

2.9 Verifique el comportamiento del

sistema (Servidor y terminales), 12-Nov- Jairo
respecto al trabajo fuera de red (en 2011 Ortega
modo local).

2.10 Con base en la prueba PII-8,

compruebe el correcto funcionamiento
del servidor redundante, teniendo en 12-Nov- Jairo
cuenta los objetivos de contingencia 2011 Ortega
por los cuales se deben encontrar
instalados.

2.11 Compruebe la existencia de

documentación del sistema teniendo
en cuenta como mínimo:
12-Nov- Jairo
2011 Ortega
 Manual de operación
 Manual del sistema
 Manual de funciones

Página 3 de 18
Guia de Auditoría de Sistemas
XXXXXXXXXX

PRUEBAS Y LISTAS DE CHEQUEO

DISEÑO DE PRUEBAS
NOMBRE ENTIDAD

SISTEMA: Recaudo de peajes

PRUEBA NÚMERO PII-1

NOMBRE DE LA Conteos físicos y verificación en el sistema

PRUEB
A

ESCENARIO DE Información de entrada al sistema

RIESG
O

TIPO DE PRUEBA Sustantiva

TÉCNICA UTILIZADA Observación y verificación en el sistema

RECURSOS NECESARIOS Formato de relación de vehículos

PROCEDIMIENTO - Con la colaboración del supervisor de la estación,

disponga de las vías por mínimo 60 minutos para desarrollar la
prueba.

- Ordene que se produzca un nuevo corte en el

sistema y tenga pendiente la hora exacta, el número
consecutivo y el número de folio que se registran en las
pantallas de las vías.

- Mediante observación, cuente cada uno de los

vehículos y regístrelos en una planilla, teniendo en cuenta la
categoría a la que corresponde. Por los 60 minutos realice
este proceso.

- Una vez cumplidos los 60 minutos, ordene que se

realice un nuevo corte, tomando la hora del sistema y los
números finales del consecutivo y de folio.

- Compare los resultados finales y analice las

Página 4 de 18
Guia de Auditoría de Sistemas
XXXXXXXXXX

discrepancias con el propósito de determinar la confiabilidad

del sistema.

En caso de diferencias, analícelas y mediante la fórmula,

determine la confiabilidad de la estación por cada una de las
vías.

DISEÑO DE PRUEBAS
CALYMAYOR

SISTEMA: Recaudo de peajes

PRUEBA NÚMERO PII-2

NOMBRE DE LA Conciliación boletas de peajes

PRUEB
A

ESCENARIO DE Información de entrada al sistema

RIESG
O

TIPO DE PRUEBA Sustantiva

TÉCNICA UTILIZADA Conteo y verificación en el sistema y los registros manuales

RECURSOS NECESARIOS Planilla de relación de boletería

PROCEDIMIENTO - Con la colaboración del Operador del peaje de cada

estación, obtenga los libros en los que se relacionan las
boletas de peaje que se encuentran dispuestas para soportar
una posible contingencia.

- Compare estas cifras con las boletas que

físicamente se encuentran almacenadas en la estación.

- Relacione cada una de estas cifras en papeles de

trabajo, discriminando por categorías.

- Verifique que no existan mas boletas en ningún

lugar de la estación, diferentes o adicionales a las que se
encuentran relacionadas en el libro dispuesto para tal fin.

Página 5 de 18
Guia de Auditoría de Sistemas
XXXXXXXXXX

Página 6 de 18
Guia de Auditoría de Sistemas
XXXXXXXXXX

DISEÑO DE PRUEBAS
CALYMAYOR

SISTEMA: Recaudo de peajes

PRUEBA NÚMERO PII-3

NOMBRE DE LA Seguridades lógicas – Respaldo de Archivos

PRUEB
A

ESCENARIO DE Información de salida del sistema

RIESG
O

TIPO DE PRUEBA Cumplimiento

TÉCNICA UTILIZADA Verificación física y comprobación en el sistema.

RECURSOS NECESARIOS Instructivo sobre las políticas de respaldo de archivos

PROCEDIMIENTO - Solicite al Administrador de la estación, las copias

de seguridad, obtenidas en archivos magnéticos, tanto diarias
como semanales y mensuales. De acuerdo con la
identificación de los disquetes, verifique que la rotación de
archivos magnéticos de respaldo se está cumpliendo de
acuerdo con los instructivos dispuestos para tal fin.

- Tome todos los disquetes de respaldo diarios y

compruebe que la información del rótulo corresponde a la
información contenida o grabada en el dispositivo magnético.

- De igual manera, compruebe la existencia de las

copias de seguridad de los programas tanto de los servidores
como de las vías y de los sistemas operativos DOS, Windows
y Linux. Compruebe que los discos de reinicio (boot) funcionan
correctamente, encendiendo el equipo con este disquete
dentro de la unidad correspondiente y verificando que este
pueda iniciarse.

Página 7 de 18
Guia de Auditoría de Sistemas
XXXXXXXXXX

DISEÑO DE PRUEBAS
CALYMAYOR

SISTEMA: Recaudo de peajes

PRUEBA NÚMERO PII-4

NOMBRE DE LA Logs de auditoria

PRUEB
A

ESCENARIO DE Acceso a la información del sistema

RIESG
O

TIPO DE PRUEBA Sustantiva

TÉCNICA UTILIZADA Verificación y pruebas al sistema

RECURSOS NECESARIOS Conocimiento de funciones y utilitarios DOS y Windows

Conocimiento del log del sistema de peajes

PROCEDIMIENTO Log del Sistema Operativo

- Verifique que el sistema operativo cuente con el

archivo del log activo y compruebe que este sea administrado
en forma periódica de tal manera que se guarden históricos en
archivos magnéticos.

- Mediante comandos del sistema operativo, verifique

los ingresos al sistema de cada uno de los usuarios, en
especial del administrador y compruebe que los comandos
que apagan el sistema se encuentran debidamente soportados
en las bitácoras del mismo.

- Solicite al administrador del sistema que ejecute

funciones o utilitarios del sistema operativo y luego compruebe
que estas se registraron en el mismo archivo log.

Las inconsistencias, deficiencias y anomalías, regístrelas en los

Página 8 de 18
Guia de Auditoría de Sistemas
XXXXXXXXXX

papeles de trabajo.

Log del Sistema de recaudo

- Mediante autorización del administrador de la

estación de peaje, ingrese a la opción de auditoria del
programa de recaudo de peajes en el servidor central,
determine los accesos que han ocurrido al sistema y compare
los usuarios que han ingresado con los niveles de acceso
definidos para este sistema.

- Si se observan inconsistencias, indague con el

administrador y determine las razones por las cuales se han
vulnerado estos permisos lógicos.

- Tome una muestra representativa de cinco vehículos

que tengan condiciones especiales y compruebe que estos
han quedado registrados en el log del sistema.

Página 9 de 18
Guia de Auditoría de Sistemas
XXXXXXXXXX

DISEÑO DE PRUEBAS
CALYMAYOR

SISTEMA: Recaudo de peajes

PRUEBA NÚMERO PII-5

NOMBRE DE LA Encripción de datos

PRUEB
A

ESCENARIO DE Acceso a la información del sistema

RIESG
O

TIPO DE PRUEBA Cumplimiento

TÉCNICA UTILIZADA Monitoreo de red

RECURSOS NECESARIOS Conocimiento de funciones y utilitarios DOS, Windows y Linux

PROCEDIMIENTO  Verifique en las terminales, que existan los programas para

encripción y desencripción de información.

 Observe si en el servidor se encuentran los programas

utilizados para encripción y desencripción de información.

 Mediante algún editor, revise los archivos de datos y

compruebe que la información allí contenida no es posible
leerla o entenderla.

 Si es posible, revise los programas fuente y determine si las

lógicas de encripción cumplen con los requerimientos del
contrato y si actúan sobre los archivos de datos y archivos de
relevancia en el sistema.

Página 10 de 18
Guia de Auditoría de Sistemas
XXXXXXXXXX

DISEÑO DE PRUEBAS
VELNEC S.A.

SISTEMA: Recaudo de peajes

PRUEBA NÚMERO PII-6

NOMBRE DE LA Seguridades lógicas – Niveles de acceso

PRUEB
A

ESCENARIO DE Acceso a los programas

RIESG
O

TIPO DE PRUEBA Cumplimiento

TÉCNICA UTILIZADA Observación

RECURSOS NECESARIOS Manual de funciones

PROCEDIMIENTO - Solicite una lista del personal asignado por el concesionario

a las labores propias de la estación de peaje .

- Indague por las funciones de cada uno de ellos y determine

quienes deben tener acceso a los equipos de cómputo. Para
quienes accesan estos equipos, averigue el usuario asignado
y compruebe que solo se puede utilizar para la función
prevista.

- Compruebe que desde ninguna de las casetas de peaje, es

posible ingresar al sistema con el usuario administrador o
algunos de los usuarios Supervisores o Auditores.

- Seleccione una de las casetas de peaje y solicite que la

persona encargada ingrese con su usuario y clave. Trate de
ejecutar interrupciones en el sistema con el fin de comprobar
que no es posible ingresar al sistema operativo desde las
vías.

- Ubíquese en el servidor y compruebe que no es posible

Página 11 de 18
Guia de Auditoría de Sistemas
XXXXXXXXXX

desde allí emular una terminal de las vías.

- Compruebe que solo existe un usuario Administrador.

Verifique la existencia de otros usuarios que tengan
permisos y/o atributos de administrador.

- Mediante observación compruebe que el acceso al sistema

operativo tiene las restricciones adecuadas.

- Mediante el archivo de usuarios y claves, compruebe que la

fecha del último cambio de clave no es superior a treinta
días.

- Verifique que existan políticas de cambio de claves periódico

bien sea automático o manual.

 Revise los archivos que almacenan las claves y compruebe

que estas no son posible descifrarlas o leerlas. Igualmente
compruebe que al modificar una clave, este archivo se
modifique.

 Compruebe que mediante interrupciones o cargue del

sistema, este no permite ingresar y cambiar usuarios, claves,
permisos y en general utilitarios que puedan vulnerar el
sistema.

Página 12 de 18
Guia de Auditoría de Sistemas
XXXXXXXXXX

DISEÑO DE PRUEBAS
CALYMAYOR

SISTEMA: Recaudo de peajes

PRUEBA NÚMERO PII-8

NOMBRE DE LA Servidor de Respaldo

PRUEB
A

ESCENARIO DE Especificaciones técnicas de los equipos

RIESG
O

TIPO DE PRUEBA Cumplimiento

TÉCNICA UTILIZADA Ejecución de Pruebas

RECURSOS NECESARIOS Especificaciones técnicas del equipo

PROCEDIMIENTO  Compruebe que el servidor de comunicaciones y el servidor

principal cuente con un equipo de respaldo que sirva para
soportar los procesos en caso de fallas de los servidores
principales. En caso que existan, realice las siguientes
pruebas:

 Con el servidor central y el equipo de respaldo funcionando,

compare las cifras que resultan del tránsito ocurrido en cada
una de las vías.

 Inhabilite o baje los programas del servidor principal y tome

las cifras iniciales de cada una de las categorías por cada
una de las vías.

 Suba la aplicación y tome los datos finales, compárelos con

el servidor de respaldo y determine diferencias y problemas
técnicos que puedan haber sucedido.

 Realice la prueba anterior apagando completamente el

servidor principal.

Página 13 de 18
Guia de Auditoría de Sistemas
XXXXXXXXXX

 Verifique los datos del servidor y del equipo de respaldo, la

correspondencia acerca del paso de vehículos por las vías,
teniendo en cuenta su respectiva categoría.

 Cuando lo considere necesario, imprima listados de cada

una de las pruebas, tanto del servidor central como del
equipo de respaldo con el fin de determinar las posibles
diferencias en la información de salida.

 En el transcurso de la visita, realice las pruebas adicionales

que considere necesarias con el fin de evaluar el
funcionamiento del servidor de respaldo como plan de
contingencia del servidor principal. Entre estas pruebas se
pueden realizar consultas, impresión de listados y demás
utilidades del sistema principal.

Página 14 de 18
Guia de Auditoría de Sistemas
XXXXXXXXXX

LISTA DE CHEQUEO
CALYMAYOR
SISTEMA: Recaudo de peajes
LISTA CHEQUEO
NÚMERO LII-2
ESCENARIO DE Seguridades físicas Estaciones de Peaje
RIESGO Rio Bogotá y Corzo
CUESTIONARIO
No. PREGUNTA FECHA
SI NO
05-Mayo-
1. Los servidores centrales se encuentra en lugar diferente a las
2011
terminales de las casetas de las vías?
SI NO
05-Mayo-
2. Existen avisos de restricción en la entrada y en el lugar en que se
2011
encuentran los servidores?
SI NO
3. De acuerdo con la norma general de auditoria, el área debe ser
05-Mayo-
restringida a los funcionarios que deban realizar labores en el
2011
sistema . Se observa que el sitio lo frecuenta personal diferente o
no autorizado?
SI NO
4. En el lugar existen extintores y se encuentran debidamente 05-Mayo-
cargados y con la tarjeta de revisión vigente? 2011

SI NO
5. En los puestos de trabajo donde se encuentran los equipos de 05-Mayo-
cómputo, se observan comidas y/o objetos que pueden incidir en 2011
el buen funcionamiento de ellos?
SI NO
6. El centro de proceso está provisto de computador-servidor,
impresora, pantalla, teclado, mouse, rack de comunicaciones, 05-Mayo-
UPS y por lo menos un archivador en donde se guarde la 2011
papelería?

SI NO
7. Todos los componentes del sistema se encuentran en correcto 05-Mayo-
estado tanto en su parte física como en su funcionamiento. 2011

SI NO
8. La UPS está conectada tanto a los servidores como a las casetas
de recaudo de peajes?. La comprobación se puede realizar 05-Mayo-
interrumpiendo la energía y comprobando visualmente el correcto 2011
funcionamiento del servidor y las terminales.

SI NO
9. Todos los computadores de las casetas funcionan correctamente 05-Mayo-
y manejan reversibilidad? 2011

SI NO
10. Todo el personal del Concesionario, asignado a la estación, se 05-Mayo-
encuentra en sus puestos de trabajo? 2011

SI NO
11. En la oficina de sistemas existe suficiente papelería para el 05-Mayo-
cumplimiento de los trabajos de la estación? 2011

Página 15 de 18
Guia de Auditoría de Sistemas
XXXXXXXXXX

SI NO
12. El servidor redundante se encuentra conectado y funcionando
05-Mayo-
correctamente?
2011

SI NO
13. En las casetas de cobro existen los dispositivos para detectar los 05-Mayo-
vehículos especiales y de Ley ¿ 2011

OBSERVACIONES:_________________________________________________
__________________________________________________________________
__________________________________________________________________
________________________________________

ELABORADO POR:_________________________ REVISADO POR:________________________

Ingeniero Auditor

Página 16 de 18
Guia de Auditoría de Sistemas
XXXXXXXXXX

LISTA DE CHEQUEO
CALYMAYOR
SISTEMA: Recaudo de peajes
LISTA DE
CHEQU LII-4
EO
NÚMERO
ESCENARIO DE RIESGO Versiones del Sistema
CUESTIONARIO
No. PREGUNTA FECHA
Algunos Ninguno Todos
1. Teniendo en cuenta la información suministrada por el
Concesionario, la fecha y tamaño de los programas,
corresponde a los programas instalados en el servidor ?

En caso de la respuesta ser “Algunos”, a continuación

escriba las diferencias: 05-
Mayo-
Programa Fecha/Tamaño Fecha/Tamaño 2011
s/n Concesionario Prog.Instalado
1.
2.
3.
4.
5.

Algunos Ninguno Todos

2. Inspeccionando los disquetes correspondientes a las
copias de respaldo de programas y comparándolos con
la información suministrada; coinciden los programas en
cuanto a fecha y hora ?

En caso de la respuesta ser “Algunos”, a continuación

05-
escriba las diferencias: Mayo-
2011
Programa Fecha/Tamaño Fecha/Tamaño
s/n Concesionario Prog.Instalado
1.
2.
3.
4.
5.

3. Existen controles operativos para la instalación de Si No 05-

versiones tanto de los programas cliente como de los Mayo-
programas servidor? 2011

Si No 05-
4. En el servidor se encuentran programas fuente? Mayo-
2011

Página 17 de 18
Guia de Auditoría de Sistemas
XXXXXXXXXX

Página 18 de 18