Auditoria Informatica DGAE

7-6-2017 Auditoria
Informática
DGAE
Universidad Veracruzana
LSCA
1
UNIVERSIDAD VERACRUZANA
FACULTAD DE CONTADURÍA Y ADMINISTRACIÓN
Integrantes del equipo

Acosta Colocía Lino Alejandro
Cabrera Ibáñez Irvin Oswaldo
García Gabriel Perla Rubi
García Hernández Andrea Evelyn
Morales Rodríguez José Pedro
Experiencia educativa
Auditoria Informática
Nombre del maestro

Dr. Marín Lozano Erasto Alfonso
2
Contenido
Contenido
Introducción ............................................................................................................................................ 5
Empresa DGAE ........................................................................................................................................ 6
Marco Teórico ......................................................................................................................................... 8
GENERALIDADES SOBRE AUDITORÍA ...................................................................................................... 8
OBJETIVOS DE LA AUDITORÍA ................................................................................................................. 9
CLASIFICACIÓN DE AUDITORIA ............................................................................................................. 10
PROCESO DE AUDITORÍA ...................................................................................................................... 12
GENERALIDADES SOBRE CONSULTORÍA ............................................................................................... 13
OBJETIVOS DE AUDITORIA INFORMATICA ............................................................................................ 18
ALCANCE DE LA AUDITORÍA INFORMÁTICA .......................................................................................... 18
CARACTERÍSTICAS DE LA AUDITORÍA INFORMÁTICA............................................................................ 19
AUDITORÍA INFORMÁTICA DE DESARROLLO DE APLICACIONES Y PROYECTOS ............................... 20
AUDITORÍA INFORMÁTICA DE SISTEMAS.............................................................................................. 21
AUDITORÍA INFORMÁTICA COMUNICACIÓN Y REDES .......................................................................... 22
CUESTIONARIOS .................................................................................................................................... 22
ENTREVISTAS ......................................................................................................................................... 23
CHECKLIST ............................................................................................................................................. 23
TRAZAS Y/O HUELLAS............................................................................................................................ 23
PERITAJE INFORMÁTICO ....................................................................................................................... 23
OTRAS HERRAMIENTAS INFORMÁTICAS MÁS COMUNES .................................................................... 24
Cuestionarios Preliminares ................................................................................................................... 25
Cuestionarios Aplicados ........................................................................................................................ 69
Cuestionario #1 Centro de Computo .................................................................................................... 69
Cuestionario #2 Base de Datos ............................................................................................................. 74
Cuestionario #3 Redes y Telecomunicaciones ...................................................................................... 79
3
Cuestionario #4 Seguridad.................................................................................................................... 80
Cuestionario#5 Capacitación ................................................................................................................ 83
Cuestionario#6 Supervisión .................................................................................................................. 84
Cuestionario#8 Ambiente ..................................................................................................................... 87
Cuestionarios Contestados ................................................................................................................... 89
Centro De Computo .............................................................................................................................. 89
Base de Datos........................................................................................................................................ 94
Dictamen general ................................................................................................................................ 111
Recomendaciones ............................................................................................................................... 113
Conclusión ........................................................................................................................................... 115
Agradecimientos ................................................................................................................................. 116
Bibliografía .......................................................................................................................................... 117
Anexos................................................................................................................................................. 119
4
Introducción
Este trabajo tiene la finalidad de auditar una empresa donde las tecnologías
de la comunicación sean algo de gran presencia y utilidad ya que esta va
orientada al área de la informática, es un hecho real que la tecnología hoy
en día es algo que con un uso correcto nos ayuda en las tareas de la vida
diaria, y eso propicia al mal uso de ella. Como auditores informáticos nuestra
función es ver que los procesos internos se estén haciendo conforme a los
protocolos establecidos e identificar las vulnerabilidades y posibles fallas que
se estén teniendo. Para una vez analizada la empresa en cada criterio de
evaluación poder dar un dictamen donde se encuentre los problemas y fallas
detectados.
La organización auditada fue la Dirección General de Administración Escolar

donde se observaron y analizaron sus diferentes áreas utilizando distintas
técnicas y herramientas para recolectar la información necesaria para así
realizar un adecuado dictamen para cada una de las áreas que abarca la
auditoria informática.
Los apartados auditados incluyen seguridad, centro de cómputo, ambiente,

supervisión y capacitación, base de datos, redes, equipo y sistemas. A cada
uno se le analizo de manera individual y específica para recabar la
información necesaria para obtener los dictámenes correspondientes y a
través de ellos proporcionar un dictamen general.
5
Empresa DGAE
La D.G.A.E. tiene a su cargo la planeación, dirección y supervisión de todas

las actividades relacionadas con el ingreso, permanencia y egreso de los
alumnos de la Universidad Veracruzana; con base en la Legislación vigente y
las disposiciones establecidas por la Comisión Técnico-Académica de Ingreso
y Escolaridad; y contará para el ejercicio de sus funciones con:
 La Dirección de Servicios Escolares (Departamento de Supervisión y

Desarrollo Escolar, Departamento de Control Escolar).
 La Oficialía Mayor (Departamento de Servicio Social y Titulación,

Departamento de Legalización y Certificación de Documentos).
Política de la calidad
El compromiso del personal que integra la DGAE es realizar con transparencia,

oportunidad y confiabilidad, el proceso de Ingreso Escolar por Examen a nivel
Licenciatura y Técnico Superior Universitario, el control escolar y los servicios de
la Oficialía Mayor, con apego a la Legislación Universitaria vigente, a través
de un Sistema de Gestión de la Calidad que promueve la mejora continua.
Id. AE-GE-OT-01
6
Organigrama
7
Marco Teórico
GENERALIDADES SOBRE AUDITORÍA
DEFINICIÓN
La auditoría generalmente es proporcionada por la profesión contable pero

también puede ser realizada para muchos propósitos diferentes.
En el medio empresarial, y popularmente, la palabra Auditoría es relacionada

a aquella actividad encaminada a revisar cuentas, a detectar fraudes, o a
profundizar en ellos, a determinar los procedimientos bajo los cuales se
efectuaron robos. Esta percepción generalizada, no está lejos del verdadero
significado de la palabra “Auditoría” y de la función del Auditor como tal, sea
este Auditor Externo o Auditor gubernamental.
El Auditor es la persona o funcionario que revisa cuentas, que investiga y

detecta fraudes, que avala operaciones, entre otras funciones que tienen
como fin último dar validez o seguridad de ciertas actividades o
acontecimientos de tipo económico.
El Diccionario de la Lengua Española define Auditoría como “tribunal o

despacho del Auditor. Refiriéndose a auditar como “Asesorar, revisar,
intervenir cuentas contables” (Diccionario de la lengua Española, Editorial
Océano, Edición 1986, Pág. S/N)
El concepto podría variar de acuerdo al área donde la Auditoría es aplicada.

Por ejemplo existe en la actualidad Auditoría en Informática.
Podríamos concluir que Auditoría es el proceso de revisión, análisis y

evaluación de la información generada de eventos económicos,
8
Administrativos y de otra índole, a efecto de determinar el grado de
cumplimiento de las disposiciones que rigen tales eventos e idoneidad de los
mismos, con el objeto de comunicar los resultados a las partes interesadas y
proponer medidas de prevención y corrección posibles.
OBJETIVOS DE LA AUDITORÍA
Uno de los principales objetivos de la auditoría es la emisión de un diagnóstico

sobre un sistema de información empresarial, que permita tomar decisiones
sobre el mismo. Estas decisiones pueden ser de diferentes tipos respecto al
área examinada y al usuario del dictamen o diagnóstico.
Anteriormente los objetivos de la auditoría eran tres:
 Descubrir fraudes
 Descubrir errores de principio
 Descubrir errores técnicos
Pero el avance tecnológico experimentado en los últimos tiempos en los que

se ha denominado la "Revolución Informática", así como el progreso
experimentado por la administración de las empresas actuales y la aplicación
a las mismas de la Teoría General de Sistemas, ha llevado a Porter y Burton
[Porter,1983] a adicionar tres nuevos objetivos:
 Determinar si existe un sistema que proporcione datos pertinentes y

fiables para la planeación y el control.
 Determinar si este sistema produce resultados, es decir, planes,

presupuestos, pronósticos, estados financieros, informes de control
dignos de confianza, adecuados y suficientemente inteligibles por el
usuario.
9
 Efectuar sugerencias que permitan mejorar el control interno de la
entidad.
CLASIFICACIÓN DE AUDITORIA
Por el tipo de auditores y la responsabilidad que tiene en la entidad a quien le

prestan sus servicios, esta puede ser Interna o Externa.
Auditoria interna
Auditoría Interna es aquella realizada dentro de la organización, con el fin de

revisar, analizar y evaluar información de tipo económico, a luz de los
procedimientos internos de control establecidos y de las regulaciones legales
aplicables, y comunicar los resultados a las partes interesadas proponiendo a
la vez alternativas de solución.
La Auditoría Interna es “una función independiente de control, establecida

como un servicio dentro de una organización para examinar y evaluar sus
actividades. El objetivo de la Auditoría Interna es ayudar a los miembros de la
organización en el cumplimiento efectivo de sus actividades. A este fin les
proporciona análisis, valoraciones, recomendaciones, consejos e información,
relativos a las actividades revisadas” (Normas para el Ejercicio Profesional de
la Auditoría Interna. Instituto de Auditores Internos capítulo El Salvador, Pág. 7)
Auditoria externa
“Auditoría practicada por una persona que no pertenece al personal de la

Empresa. También llamada Auditoría Independiente” (Erick L. Kolher,
Diccionario para Contadores, Editorial Limusa, México, 1996, Pág. 46)
10
TIPOS DE AUDITORIA
A. Auditorías de Seguridad e Higiene: “Tiene como objetivo evaluar los

daños y riesgos que todo proceso empresarial puede plantear a sus
trabajadores, comprobar la situación de salud e higiene del personal y
verificar el cumplimiento de la legislación de seguridad e higiene en el
trabajo” (Ibid. Pág. 31)
B. Auditorías Ambientales: Llamadas también Ecoauditoría, “Tienen como

objetivo el análisis del grado de cumplimiento de la legalidad vigente por el
conjunto de operaciones, actividades o instalaciones de una entidad;
identificación de áreas de riesgo medio ambiental, es decir, delimitación de
las actividades, instalaciones, proyectos o actuaciones que puedan llegar a
ser peligrosas para el medio ambiente, y por lo tanto, puedan ocasionar un
rechazo gubernamental o social; y por último es el estudio y evaluación del
funcionamiento de los sistemas de gestión medioambiental de una
organización” (Idem.)
C. Auditoría Financiera: “Es un examen sistemático de los Estados

Financieros, los registros y las operaciones correspondientes para determinar
la observancia de los Principios de Contabilidad Generalmente Aceptados,
de las políticas de la administración y de los requisitos fijados” (Donald H. Taylor
y William Glezer, Auditoría, Conceptos y Procedimientos, Editorial Orientación,
México 1998, Pág. 72)
D. Auditorías de Informática: “También llamada Auditoría de Sistemas, es

aquella que tiene por objetivo evaluar los procesos informáticos
implementados a través de sistemas computacionales, la cual puede ser
efectuada tanto por los Auditores Internos como Auditores Independientes“
(AUDISAL, Boletín Pistas de Auditoría, correspondiente a Septiembre y
Octubre/1993, Pág. S/N)
11
E. Auditoría Fiscal: No existe una definición teórica precisa en lo que
respecta a Auditoría Fiscal; no obstante, no es difícil concluir de una manera
genérica, que es un tipo de auditoría que tiene como finalidad principal
evaluar el cumplimiento de códigos, leyes y reglamentos de carácter
tributario, emitidos por el fisco para la regulación y captación de impuestos, e
informar a las instituciones correspondientes sobre los resultados de esas
auditorías.
PROCESO DE AUDITORÍA
La mayor parte del trabajo del auditor para poder emitir un informe de
auditoría, sea esta interna o externa, consiste en obtener y evaluar la
evidencia acerca de las declaraciones de la gerencia contenidas en la
información financiera. Para tal propósito, el auditor debe establecer
objetivos específicos de auditoría relacionados con esa información y luego
diseñar y aplicar pruebas para poder determinar si se han logrado los
objetivos. A lo largo de toda auditoría, el auditor tiene que ir decidiendo si la
evidencia es suficiente y competente, tanto cualitativa como
cuantitativamente, a efecto de obtener una seguridad necesaria para poder
emitir su informe.
El proceso se resume en las siguientes etapas:
a) Fase de Planificación
En esta etapa el auditor obtiene o actualiza la información a cerca del tipo

de examen a efectuar: Documentos legales, manuales de procedimientos
sobre la estructura de control interno, el ambiente en el cual se desarrollan las
operaciones; obtiene información a cerca de los procedimientos y políticas
contables importantes, sobre el sistema de contabilidad, cuestiones de
logística, tales como: Las fechas de juntas importantes, fechas de corte de
12
inventarios, fechas de pago de proveedores, horas de cortes de caja.
b) Fase de Ejecución
En esta etapa el auditor obtiene y evalúa la evidencia para corroborar si las

declaraciones de la información sujeta a revisión son razonables, de acuerdo
a principios contables y en concordancia con políticas y procedimientos de
la empresa. Con ello el auditor determina si los objetivos de auditoría
determinados en la fase de planificación se han logrado. El auditor aplica
tanto pruebas de cumplimiento como procedimientos de sustancia.
c) Fase de Control
En esta etapa el auditor hace una comparación de los resultados obtenidos y

los esperados o planificados, a efecto de realizar los ajustes correspondientes
y tomar las acciones correctivas necesarias, utilizando procedimientos
previamente establecidos.
GENERALIDADES SOBRE CONSULTORÍA

CONCEPTO
La consultoría de empresas es un servicio de asesoramiento profesional

independiente que ayuda a los gerentes y a las organizaciones a alcanzar los
objetivos y fines de la organización mediante:
La solución de problemas gerenciales y empresariales, el descubrimiento y la

evaluación de nuevas oportunidades, el mejoramiento del aprendizaje, y la
puesta en práctica de cambios” (La consultoría de empresas – Milan Kubr. p9)
También se entiende por consultoría a “Proporcionar ayuda sobre el

contenido, proceso o estructura de una tarea o de un conjunto de tareas, en
que el consultor no es efectivamente responsable de la ejecución de la tarea
misma, sino que ayuda a los que lo son” ((Fritz Steele) )
13
OBJETIVOS
(La consultoría de empresas – Milan Kubr. p10)
PROCESO DE CONSULTORÍA
(La consultoría de empresas – Milan Kubr. p25)
14
Iniciación
 Primeros contactos con el cliente
 Diagnóstico preliminar
 Planificación de la acción
 Propuestas al cliente
 Contrato de consultoría
 Objetivos
 Conocimientos especializados que aporta el consultor
 Definición y secuencia de actividades
 Participación del cliente
 Recursos
 Calendario
 Precio
Diagnóstico
 Análisis del objetivo
 Análisis del problema
 Descubrimiento de los hechos
 Análisis y síntesis de los hechos
 Información de resultados al cliente
Planificación de medidas
 Elaboración de soluciones
15
 Evaluación de opciones
 Propuesta al cliente
 Planificación de la aplicación de medidas
Aplicación
 Contribuir a la aplicación
 Propuestas de ajustes
 Capacitación
Terminación
 Evaluación
 Informe final
 Establecimiento de compromisos
 Planes de seguimiento
 Retirada
AUDITORIA INFORMATICA
La Auditoría Informática es de reciente desarrollo y su aparición se debe a la

creciente automatización de la información en todos los niveles de las
organizaciones.
La Auditoría Informática ha sido erróneamente denominada Auditoría de

Sistemas, por el hecho que se considera la palabra "sistemas" como sinónimo
de "computador".
Pero a lo largo de lo desarrollado hasta el momento, ha quedado claro que
16
toda Auditoría es de sistemas, pues su objeto son los sistemas de información.
José Antonio Echenique conceptualiza así la Auditoría en Informática:

Auditoría en Informática es la revisión y evaluación de los controles, sistemas,
procedimientos de informática, de los equipos de cómputo, su utilización,
eficiencia y seguridad, de la organización que participan en el procesamiento
de la información, a fin de que por medio del señalamiento de cursos
alternativos se logre una utilización más eficiente y segura de la información
que servirá para la adecuada toma de decisiones. Es el examen crítico y
sistemático que hace un Contador Público para evaluar el sistema de
procesamiento electrónico de datos y sus resultados, el cual, le ofrece al
auditor las oportunidades de llevar a cabo un trabajo más selectivo y de
mayor penetración sobre las actividades, procedimientos que involucran un
gran número de transacciones. [Echenique,1990]
La evaluación de un sistema informático, estriba primero en la revisión del

mismo para obtener un conocimiento de cómo se dice que funciona, y
ponerlo a prueba para acumular evidencias que demuestran como es el
funcionamiento en la realidad. Al evaluar la información automática, el
auditor debe revisar varios documentos, como diagramas de flujo y
documentos de programación, para lograr un mejor entendimiento del
sistema y los controles que se diseñaron en él. En el sistema de procesamiento
electrónico de datos, el auditor probablemente, encuentre nuevos controles,
algunos de ellos necesarios para la automatización del proceso, y algunos
que sustituyen aquellos que en los métodos manuales se basan en juicios
humanos y la división de labores. Muchos de los controles en ambientes
informáticos, pueden combinarse en los programas de computadoras con en
el proceso manual.
Para ayudar en la revisión de los sistemas de procesamiento de datos y los

controles internos, en ocasiones de suma utilidad los cuestionarios para
17
obtener información respecto al sistema. Una vez obtenida la información, el
auditor debe proceder a obtener evidencias de la existencia y efectividad de
los procedimientos para él.
 Una parte significativa del sistema de control interno está comprendida

en el programa de la computadora.
 Existen baches en la ruta de auditoría, haciendo difícil y poco práctico

obtener resultados o verificar cálculos. Esta situación es posible tanto en
aplicaciones sencillas, como en sistemas integrados complejos.
 El volumen de registros que quizás sea más económico y efectivo usar

métodos de datos de prueba, en vez de métodos de prueba manual.
OBJETIVOS DE AUDITORIA INFORMATICA
 El control de la función informática
 El análisis de la eficiencia de los Sistemas Informáticos
 La verificación del cumplimiento de la Normativa en este ámbito, la

revisión de la eficaz gestión de los recursos informáticos.
ALCANCE DE LA AUDITORÍA INFORMÁTICA
El alcance ha de definir con precisión el entorno y los límites en que va a

desarrollarse la auditoría informática, se complementa con los objetivos de
ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que
quede perfectamente determinado no solamente hasta que puntos se ha
llegado, sino cuales materias fronterizas han sido omitidas.
18
CARACTERÍSTICAS DE LA AUDITORÍA INFORMÁTICA
La información de la empresa y para la empresa, siempre importante, se ha

convertido en un Activo Real de la misma, como sus Stocks o materias primas
si las hay. Por ende, han de realizarse inversiones informáticas, materia de la
que se ocupa la Auditoría de Inversión Informática. Del mismo modo, los
Sistemas Informáticos han de protegerse de modo global y particular: a ello
se debe la existencia de la Auditoría de Seguridad Informática en general, o
a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser
Desarrollo o Técnica de Sistemas. Cuando se producen cambios estructurales
en la Informática, se reorganiza de alguna forma su función: se está en el
campo de la Auditoría de Organización Informática.
Estos tres tipos de auditorías engloban a las actividades auditoras que se

realizan en una auditoría parcial. De otra manera: cuando se realiza una
auditoría del área de Desarrollo de Proyectos de la Informática de una
empresa, es porque en ese Desarrollo existen, además de ineficiencias,
debilidades de organización, o de inversiones, o de seguridad, o alguna
mezcla de ellas.
AUDITORÍA INFORMÁTICA DE EXPLOTACIÓN
La Explotación Informática se ocupa de producir resultados informáticos de

todo tipo: listados impresos, ficheros soportados magnéticamente para otros
informáticos, ordenes automatizadas para lanzar o modificar procesos
industriales, etc.
La explotación informática se puede considerar como una fábrica con ciertas

peculiaridades que la distinguen de las reales. Para realizar la Explotación
Informática se dispone de una materia prima, los Datos, que es necesario
19
transformar, y que se someten previamente a controles de integridad y
calidad.
AUDITORÍA INFORMÁTICA DE DESARROLLO DE

APLICACIONES Y PROYECTOS
Revisión del proceso completo de desarrollo de proyectos por parte de la

empresa auditada. El análisis se basa en cuatro aspectos fundamentales:
Revisión de las metodologías utilizadas: se analizarán éstas, de modo que se

asegure el modularidad de las posibles futuras ampliaciones de la Aplicación
y el fácil mantenimiento de las mismas.
Control Interno de las Aplicaciones: Se deberán revisar las mismas fases que
presuntamente han debido seguir el área correspondiente de Desarrollo:
 Estudio de Viabilidad de la Aplicación
 Definición Lógica de la Aplicación.
 Desarrollo Técnico de la Aplicación.
 Diseño de Programas.
 Métodos de Pruebas.
 Documentación.
 Equipo de Programación
Satisfacción de usuarios: Una Aplicación técnicamente eficiente y bien

desarrollada, deberá considerarse fracasada si no sirve a los intereses del
usuario que la solicitó. La aquiescencia del usuario proporciona grandes
ventajas posteriores, ya que evitará reprogramaciones y disminuirá el
mantenimiento de la Aplicación.
20
Control de Procesos y Ejecuciones de Programas Críticos: Se ha de comprobar
la correspondencia biunívoca y exclusiva entre el programa codificado y su
compilación. Si los programas fuente y los programa módulo no coincidieran
podría provocar graves y altos costos de mantenimiento, hasta fraudes,
pasando por acciones de sabotaje, espionaje industrial informativo, etc.
AUDITORÍA INFORMÁTICA DE SISTEMAS
Se ocupa de analizar la actividad que se conoce como Técnica de Sistemas

en todas sus facetas.
Sistemas Operativos: Engloba los Subsistemas de Teleproceso, Entrada/Salida,

etc. Debe verificarse en primer lugar que los Sistemas están actualizados con
las últimas versiones del fabricante, indagando las causas de las omisiones si
las hubiera.
Software Básico: Es fundamental para el auditor conocer los productos de

software básico que han sido facturados aparte de la propia computadora.
En cuanto al Software desarrollado por el personal informático de la empresa,
el auditor debe verificar que éste no agreda ni condiciona al Sistema.
Software de Teleproceso (Tiempo Real) No se incluye en Software Básico por
su especialidad e importancia.
Tunning: Es el conjunto de técnicas de observación y de medidas

encaminadas a la evaluación del comportamiento de los Subsistemas y del
Sistema en su conjunto.
Administración de Base de Datos: El diseño de las Bases de Datos, sean

relaciones o jerárquicas, se ha convertido en una actividad muy compleja y
sofisticada. La administración tendría que estar a cargo de Explotación. El
auditor de Base de Datos debe asegurarse que Explotación conoce
suficientemente las que son accedidas por los Procedimientos que ella
21
ejecuta. Analizará los Sistemas de salvaguarda existentes, que compete
igualmente a Explotación. Revisará finalmente la integridad y consistencia de
los datos, así como la ausencia de redundancias entre ellos.
AUDITORÍA INFORMÁTICA COMUNICACIÓN Y REDES
Revisión de la topología de Red y determinación de posibles mejoras, análisis

de caudales y grados de utilización.
TÉCNICAS Y HERRAMIENTAS DE RECOLECCIÓN DE INFORMACIÓN
Las auditorías informáticas se materializan recabando información y

documentación de todo tipo. Los informes finales de los auditores dependen
de sus capacidades para analizar las situaciones de debilidad o fortaleza de
los diferentes entornos.
El trabajo del auditor consiste en lograr toda la información necesaria para la

emisión de un juicio global objetivo, siempre amparado en hechos
demostrables, llamados también evidencias. Se suele solicitar la completación
de cuestionarios que se envían a las personas concretas que el auditor cree
adecuadas.
CUESTIONARIOS
Se solicita la completación de cuestionarios que se envían al área

correspondiente para su llenado. Estos cuestionarios deben ser específicos
para cada situación, y muy cuidados en su fondo y su forma. Cabe aclarar,
que esta primera fase puede omitirse cuando los auditores hayan adquirido
por otro medios la información que aquellos preimpresos hubieran
proporcionado.
22
ENTREVISTAS
El auditor comienza a continuación las relaciones personales con el auditado.

La entrevista es una de las actividades personales más importante del auditor;
recoge más información, y mejor matizada, que la proporcionada por medios
propios puramente técnicos o por las respuestas escritas a cuestionarios.
CHECKLIST
Tener claro lo que se necesita saber, y por qué. Sus cuestionarios son vitales
para el trabajo de análisis, cruzamiento y síntesis posterior.
TRAZAS Y/O HUELLAS
Con frecuencia, el auditor debe verificar que los programas, tanto de los
Sistemas como de usuario, realizan exactamente las funciones previstas, y no
otras. Para ello se apoya en productos Software muy potentes y modulares
que, entre otras funciones, rastrean los caminos que siguen los datos a través
del programa.
PERITAJE INFORMÁTICO
Se conoce como peritaje informático a los estudios e investigaciones

orientados a la obtención de una prueba informática de aplicación en un
asunto judicial para que sirva a un juez para decidir sobre la culpabilidad o
inocencia de una de las partes. La pericia, por ser un medio probatorio, tiene
sus normas, previstas en los códigos procesales, respecto a la designación,
tiempos y forma de presentación.
23
OTRAS HERRAMIENTAS INFORMÁTICAS MÁS COMUNES
 Backup y copias espejos de discos duros y medios removibles.
 Software de búsqueda de archivos.
 Google Desktop.
 Software de Recuperación de archivos borrados.
 Análisis de la memoria Ram.
 Análisis de la red.
 Actividad del equipo.
 Borrado definitivo
 Búsqueda de mails, historial de internet, chats.
 Otros: Encase Forensic, CondorLinux, Maltego, impresiones.
24
Universidad Veracruzana Auditoria Informática
Cuestionarios Preliminares
En este apartado se muestran los cuestionarios previamente vistos para ser

aplicados, pero tras un análisis de los puestos de la DGAE se decidió solo
tomar parte de estos y sumarle otros que podían aplicar de forma correcta
para realizar la auditoria.
PROGRAMA DE AUDITORIA EN INFORMATICA
ORGANISMO: ……………………………………...…HOJA NUM:………….DE……
FASE DESCRIPCION ACTIVIDAD NUM. DEL PERIODO PERIODO DIAS DIAS

PERSONAL ESTIMADO ESTIMADO HAB. HOM.
PARTICIPANTE INICIO TERMINO EST. EST.
25
FECHA DE FORMULACION: ……………………
26
AVANCE DEL CUMPLIMIENTO DEL PROGRAMA DE AUDITORIA EN

INFORMATICA
ORGANISMO:…………………………NUM………HOJA NUM:………….DE……..
FASE SITUACIO DE LA AUDITO- PERIODO REAL DIAS GRAD DIAS E

N RIA DE LA AUDITO- REALES O HO X
RIA UTILIZA- DE M P
DOS AVAN BRE LI
EN TERMINA- INICIADA TERMIN CE EST. C
NO PROCE- DA A-DA A
INICIADA SO C
I
O
N
27
PERIODO QUE REPORTA:………………………
28
CONTRATO DE AUDITORIA EN INFORMATICA
CONTRATO DE PRESTACION DE SERVICIOS PROFESIONALES DE AUDITORIA EN

INFORMATICA QUE CELEBRAN POR UNA
PART___________________________________________, REPRESENTADO POR
________________________________EN SU CARÁCTER DE_______________ Y QUE
EN LO SUCESIVO SE DENOMIRA” EL CLIENTE”, POR OTRA PARTE
29
Estructura orgánica y las bases jurídicas
¿Se ajusta la estructura orgánica actual a las disposiciones jurídicas

vigentes?
SI / NO
No, ¿Por qué razón?
¿Cuáles son los ordenamientos legales en que se sustenta la dirección?
Objetivo de la estructura
¿La estructura actual está encaminada a la consecución de los objetivos

del área? Explique en qué forma.
¿Permite la estructura actual que se lleven a cabo con eficiencia:
 Las atribuciones encomendadas? SÍ / NO
 Las funciones establecidas? SÍ / NO
 La distribución del trabajo? SÍ / NO
 El control interno? SÍ / NO
Si alguna de las respuestas es negativa, explique cuál es la razón.
Niveles jerárquicos
30
Es conveniente conocer los niveles jerárquicos para poder evaluar si son los
necesarios y si están bien definidos.
¿Los niveles jerárquicos establecidos actualmente son necesarios y

suficientes para el desarrollo de las actividades?
SÍ / NO
¿Cuáles y por qué son sus recomendaciones?
¿Permiten los niveles jerárquicos actuales que se desarrolle adecuadamente

la:
 Operación? SÍ / NO
 Supervisión? SÍ / NO
 Control? SÍ / NO
¿Permiten los niveles actuales que se tenga una ágil?
 Comunicación ascendente? SÍ / No
 Comunicación descendente? SÍ / No
 Toma de decisiones? SÍ / No
Si alguna respuesta es negativa, explique cuál es la razón.
¿Considera que algunas áreas deberían tener:
 Mayor jerarquía? SÍ / NO
31
 Menor jerarquía? SÍ / NO
¿Por qué razón?
Departamentalización
¿Se consideran adecuados los departamentos, áreas y oficinas en que está

dividida actualmente la estructura de la dirección?
SÍ / NO
No, ¿Por qué razón?
¿El área y sus subáreas tienen delimitadas con claridad sus

responsabilidades?
Sí / NO
No, ¿qué efectos provoca esta situación?
Puestos
Se debe tener cuidado que estén bien definidas las funciones de cada
puesto, ya que desafortunadamente existe mucha confusión en los nombres
que se dan a los puestos dentro del medio de la informática.
¿Los puestos actuales son adecuados a las necesidades que tiene el área
para llevar a cabo sus funciones?
SÍ / No
No, ¿por qué razón?
32
¿El número de empleados que trabaja actualmente es adecuado para

cumplir con las funciones encomendadas?
Solicite el manual de descripción de puestos de:
 Análisis
 Programación
 Técnicos
 Operación
 Captura
 Administrador de base de datos
 Comunicación de redes
 Dirección
 Administrativos
 Otros
Pida la platilla del personal, se debe especificar el número de personas que

reportan a las personas que a su vez reportan a cada puesto, ya sea:
 Director
33
 Subdirector
 Jefes de departamento
 Jefes de sección
 Jefes de área
¿El número de personas es el adecuado en cada uno de los puestos?
SÍ / NO
¿SÍ? ¿Por qué?
No, ¿Cuál es el número de personal que se consideraría adecuado? Señale

el puesto o los puestos.
Expectativas
Dentro de las expectativas se pueden detectar, en algunas ocasiones,

deficiencias y frustraciones de las personas.
¿Considera que debe revisarse la estructura actual, a fin de hacerla más

eficiente?
SÍ / NO
¿Sí? ¿Por qué razón?
¿Cuál es la estructura que propondría?
Dre realizar una modificación a la estructura ¿cuándo considera que

debería hacerse?
34
Autoridad
¿Se encuentra definida adecuadamente la línea de autoridad?
SÍ / NO
¿No, por qué razón?
¿Su autoridad va de acuerdo a su responsabilidad?
SÍ / NO
¿No, por qué razón?
¿En su área se han presentado conflictos por el ejercicio de la autoridad?
SÍ / NO
Sí, explique en qué casos.
¿Existe en el área algún sistema de sugerencias y quejas por parte del

personal?
SÍ / NO
Existencia
¿Se han establecido funciones del área?
SÍ / NO
35
¿Por qué no?
¿Las funciones están de acuerdo con las atribuciones legales?
SÍ / NO
¿Por qué no están de acuerdo?
¿Están por escrito en algún documento las funciones del área?
SÍ / NO
¿Cuál es la causa de que no estén por escrito?
¿Cuál es la forma de darlas a conocer?
¿Quién elaboró las funciones?
¿Participó el área en su formulación?
¿Por qué causas no participó?
¿Quién las autorizó o aprobó?
36
Coincidencia
Se debe tener cuidado en que se conozcan las funciones del área.
¿Las funciones están encaminadas a la consecución de los objetivos

institucionales e internos?
SÍ / NO
No, ¿Por qué?
¿Las funciones de área están acordes al reglamento interior?
SÍ / NO
No, ¿en que considera que difieren?
¿a qué nivel se conocen las funciones del área?
¿Conocen otras áreas las funciones del área?
SÍ / NO
No, ¿Por qué?
¿Considera que se deben conocer?
37
SÍ / NO
No, ¿por qué?
Adecuadas
Debemos tener cuidado, ya que en esta área podemos detectar malestares

del personal, debido a que si las funciones no son adecuadas a las
necesidades, pueden existir problemas de definición de funciones o bien de
cargas de trabajo.
¿Son adecuadas a la realidad las funciones?
SÍ / NO
En caso negativo, ¿Por qué no son adecuadas?
¿Son adecuadas a las necesidades actuales?
SÍ / NO
En caso negativo, ¿por qué no?
¿Cuáles son sus principales limitaciones?
¿Son adecuadas a las cargas de trabajo?
SÍ / NO
¿Existen conflictos por las cargas de trabajo desequilibradas?
38
SÍ / NO
¿De qué tipo?
¿Se tiene contemplado la desconcentración?
SÍ / NO
No, ¿por qué?
¿Cómo afecta la desconcentración a las funciones?
¿Qué funciones se van a desconcentrar?
¿Participó la dirección de informática en su elaboración?
SÍ / NO
No, ¿por qué?
Cumplimiento
Está sección nos sirve para evaluar el grado de cumplimiento de las

funciones del personal
39
¿Están delimitadas las funciones?
SÍ / NO
¿A nivel de departamento?
SÍ / NO
¿A nivel de puesto?
SÍ / NO
No, ¿por qué?
¿Las actividades que realiza el personal son acordes a las funciones que
tiene asignadas?
SÍ / NO
No, ¿qué tipo de actividades realiza que no están acordes a las funciones
asignadas?
¿Cuál es la causa?
¿Quién las ordena?
¿Las actividades que realiza actualmente cumplen en su totalidad con las

funciones conferidas?
SÍ / NO
40
No, ¿Cuál es su grado de cumplimiento?
La falta de cumplimiento de sus funciones es por:
 Falta de personal SÍ / NO
 Personal no capacitado SÍ / NO
 Cargas de trabajo excesivas SÍ / NO
 Porque realiza otras actividades SÍ / NO
 La forma en que las ordena SÍ / NO
¿Cuáles funciones realiza en forma:
 Periód1ca?
 Eventual?
 Sistemática?
 Otras?
¿Tienen programas y tareas encomendadas?
SÍ / NO
No, ¿por qué?
¿Permiten cumplir con los programas y tareas encomendadas (necesidades

de operación)?
SÍ / NO
41
No, ¿por qué causas?
¿Quién es el responsable de ordenar que se ejecuten las actividades?
En caso de realizar otras actividades. ¿quién las ordena y autoriza?
En caso de no encontrarse el jefe inmediato, ¿quién lo puede realizar?
Apoyos
¿Para cumplir con sus funciones requiere de apoyos de otras áreas?
SÍ / NO
¿De qué tipo?
¿Cuál es el área que proporciona el apoyo?
¿Se lo proporcionan con oportunidad?
SÍ / NO
No. ¿qué le ocasiona?
No. ¿cómo resuelve esa falta de apoyo?
¿Con qué frecuencia lo solicita?
42
Para cumplir con sus funciones, ¿proporciona apoyos a otras áreas?
SÍ / NO
Sí ¿qué tipo de apoyo proporciona?
¿A cuántas áreas?
¿Cuáles son?
Duplicidad
¿Existe duplicidad de funciones en la misma área?
Sí / NO
Sí, ¿qué conflictos ocasiona y cuáles funciones?
¿Existe duplicidad de funciones en otras áreas?
SÍ / NO
Si, ¿cuáles y dónde?
¿Qué conflictos ocasiona?
43
¿La duplicidad de funciones se debe a que el área no puede realizarlas?
SÍ / NO
Si, ¿cuál es la razón?
No, ¿cuál es su opinión al respecto?
¿Se pueden eliminar funciones?
SÍ / NO
Si, ¿cuáles?
¿Se pueden transferir funciones?
SÍ / NO
Si, ¿cuáles y adónde?
¿Permite la duplicidad que se dé el control interno?
SÍ / NO
No, ¿por qué?
Existencia
¿Se han establecido objetivos para et área?
44
SÍ / NO
¿Quién los estableció?
¿Cuál fue el método para el establecimiento de los objetivos?
¿Participó el área en su establecimiento?
SÍ / NO
¿Cuáles fueron las principales razones de la selección de los objetivos?
¿Los objetivos establecidos son congruentes con:
 Los de la dirección? SÍ / NO
 Los de la subdirección? SÍ / NO
 Los del departamento/oficina? SÍ / NO
 Los de otros departamentos/oficinas? SÍ / NO
¿Por qué no se han establecido objetivos para el área?
Nadie le exige establecerlos
SÍ / NO
Considera importante que se establezcan.
SÍ / NO
45
Es responsabilidad de otra área establecer los objetivos
SÍ / NO
¿Cuál?
¿De qué manera planea el trabajo del área?
¿Cómo afecta la operación del área el no tener establecidos los objetivos?
Formales
¿Se han definido por escrito los objetivos del área?
SÍ / NO
¿En qué documentos? (Recabarlos.)
¿Por qué no están definidos por escrito?
¿Qué problemas se han derivado de esta situación?
Conocimiento
¿Se han dado a conocer los objetivos?
SÍ / NO
46
¿A quién se han dado a conocer?
¿Quién más debería conocerlos?
¿Qué método se ha utilizado para dar a conocer los objetivos?
¿Por qué no se han dado a conocer los objetivos?
¿Considera importante que los conozca el personal?
SÍ / NO
¿Cómo afecta a la operación del área el hecho de que los objetivos no se

hayan dado a conocer o que su conocimiento sea parcial?
Adecuados
¿Abarcan los objetivos toda la operación del área?
SÍ / NO
¿Qué aspectos no se cubren?
¿Los objetivos son claros y precisos?
SÍ / NO
¿Son realistas?
47
SÍ / NO
¿Se pueden alcanzar?
SÍ / NO
¿Por qué?
¿Están de acuerdo con las funciones del área?
SÍ / NO
¿Señalan cuáles son las realizaciones esperadas?
SÍ / NO
¿Son congruentes con los objetivos Institucionales?
SÍ / NO
¿Sirven de guía al personal?
SÍ / NO
¿Sirven para motivar al personal?
SÍ / NO
¿Se han establecido para el corto, mediano y largo plazo?
SÍ / NO
¿Qué adecuaciones puede sugerir para los objetivos actuales?
Cumplimiento
¿En qué grado se cumplen los objetivos?
48
¿Existen mecanismos para conocer el grado de cumplimiento de los

objetivos?
SÍ / NO
Si, ¿cuáles?
No, ¿de qué manera se establece el grado de cumplimiento?
¿Se elabora algún reporte sobre el grado de avance en el cumplimiento de

los objetivos?
SÍ / NO
¿Para quién y con qué frecuencia? (Recabar datos.)
¿Quién elabora este reporte?
¿Qué se hace en caso de desviación en el cumplimiento de los objetivos?
¿Qué sugerencia puede hacer para lograr el cumplimiento total de los

objetivos?
Actualización
¿Se revisan los objetivos?
SÍ / NO
49
¿Por sistema?
¿Quién revisa los objetivos?
¿De qué manera se lleva a cabo la revisión?
¿Participa el área en la actualización de los objetivos?
SÍ / NO
¿Cuándo se hizo la última revisión de los objetivos?
¿De qué manera se incorporan las modificaciones derivadas de las

revisiones?
¿Por qué no se revisan los objetivos?
¿Qué sugerencias tiene para que la actualización de los objetivos sea más
eficaz?
Desempeño y cumplimiento
¿Es suficiente el número de personal para el desarrollo de las funciones del

área?
50
SÍ / NO
¿Se deja de realizar alguna actividad por falta de personal?
SÍ / NO
¿Está capacitado el personal para realizar con eficacia sus funciones?
SÍ / NO
No, ¿por qué?
¿Es eficaz en el cumplimiento de sus funciones?
SÍ / NO
No, ¿por qué?
¿Es adecuada la calidad del trabajo del personal?
SÍ / NO
No, ¿por qué?
¿Es frecuente la repetición de los trabajos encomendados?
SÍ / NO
¿El personal es discreto en el manejo de información confidencial?
SÍ / NO
51
No, anote repercusiones.
En general, ¿acata el personal las políticas, sistemas y procedimientos

establecidos?
SÍ / NO
No, ¿por qué?
¿Alguna de las situaciones anteriores provoca un desequilibrio de las cargas

de trabajo?
SÍ / NO
Sí, ¿qué se hace al respecto?
¿Respeta el personal la autoridad establecida?
SÍ / NO
No, ¿por qué?
¿Existe cooperación por parte del personal para la realización del trabajo?
SÍ / NO
No, ¿por qué?
52
¿El personal tiene afán de superación?
SÍ / NO
¿Presenta el personal sugerencias para mejorar el desempeño actual?
SÍ / NO
¿Cómo considera las sugerencias?
¿Qué tratamiento se les da?
¿Se toman en cuenta las sugerencias de los empleados?
SÍ / NO
¿En qué forma?
¿Cómo se les da respuesta a las sugerencias?
Capacitación
Uno de los puntos que se deben evaluar con más detalle dentro del área de
informática es la capitación; esto se debe al proceso cambiante y al
desarrollo de nuevas tecnologías en el área.
53
Los programas de capacitación Incluyen al personal de:
 Dirección. ( )
 Análisis. ( )
 Programación ( )
 Operación. ( )
 Administración. ( )
 Administrador de bases de datos. ( )
 Comunlcac1onos redes. ( )
 Captura. ( )
 Otros (especifique). ( )
¿Se han identificado las necesidades actuales y futuras de capacitación del

personal del área?
SÍ / NO
No, ¿por qué?
¿Se desarrollan programas de capacitación para el personal del área?
SÍ / NO
No, ¿por qué?
¿Apoya la superioridad la realización de estos programas?
SÍ / NO
54
¿Se evalúan los resultados de los programas de capacitación?
SÍ / NO
No, ¿por qué?
Solicite el plan de capacitación para el presente año.
Supervisión
¿Cómo se lleva a cabo la supervisión del personal?
En caso de no realizarse, ¿por qué no se realiza?
¿Cómo se controlan el ausentismo y los retardos del personal?
¿Por qué no se llevan controles?
¿Cómo se evalúa el desempeño del personal?
¿Por qué no se evalúa?
¿Cuál es la finalidad de la evaluación del personal?
55
Limitantes
¿Cuáles son los principales factores internos que limitan el desempeño?
¿Cuáles son los principales factores externos que limitan el desempeño del
personal del área?
¿Cuál es el índice de rotación de personal en:
 Análisis? ( )
 Operación? ( )
 administración? ( )
 Captura? ( )
 Programación? ( )
 Dirección? ( )
 Administración de bases de datos? ( )
 Comunicaciones redes? ( )
 Técnicos? ( )
 Otros? (especifique) ( )
En términos generales, ¿se adapta el personal al mejoramiento
56
administrativo (resistencia al cambio)?
SÍ / NO
¿Cuál es el grado de disciplina del personal?
¿Cuál es el grado de asistencia y puntualidad del personal?
¿Existe una política uniforme y consistente para sancionar la indisciplina del

personal?
SÍ / NO
¿Se lleva a efecto esta política?
SÍ / NO
¿Puede el personal presentar quejas y/o problemas?
SÍ / NO
Sí ¿cómo se solucionan?
¿Otras áreas externas presentan quejas sobre la capacidad y/o atención

del personal del área?
SÍ / NO
Sí, ¿qué tratamiento se les da?
57
¿Cómo se otorgan los ascensos, promociones y aumentos salariales?
¿Cómo se controlan las faltas y ausentismos?
¿Cuáles son las principales causas de faltas y ausentismo?
Condiciones de trabajo
Para poder trabajar se requiere que se tenga una adecuada área de

trabajo, con mayor razón en un área en la que se debe hacer un trabajo de
investigación e intelectual.
¿Conoce el reglamento interior de trabajo el personal del área?
SÍ / NO
¿Se apoyan en él para solucionar los conflictos laborales?
SÍ / NO
No, ¿por qué?
¿Cómo son las relaciones laborales del área con el sindicato?
¿Se presentan problemas con frecuencia?
SÍ / NO
58
Sí, ¿en qué aspectos?
¿Cómo se resuelven?
Remuneraciones
Normalmente las personas están inconformes con su remuneración. Es

importante evaluar que tan cierta es esta inconformidad o si está dada por
otros malestares aunque sean señalados como inconformidad en las
remuneraciones, o bien puede deberse a que se desconoce cómo se
evalúa a la persona para poder darle una mejor remuneración.
¿Está el personal adecuadamente remunerado con respecto a:
 Trabajo desempeñado? SÍ / NO
 Puestos similares en otras organizaciones? SÍ / NO
 Puestos similares en otras áreas? SÍ / NO
SI. ¿cómo repercute?
No, ¿cómo repercute?
Conseguir información sobre los sueldos de los mismos niveles en otras

organzaciones.
59
Ambiente
El ambiente en el área de informática, principalmente en programación, es

muy importante para lograr un adecuado desarrollo.
¿El personal esté Integrado como grupo de trabajo?
SÍ / NO
No, ¿por qué?
¿Cuál es el grado de convivencia del personal?
¿Cómo se aprovecha esto para mejorar el ambiente de trabajo?
¿Son adecuadas las condiciones ambientales con respecto a:
 ¿Espacio del área? SÍ / NO
 ¿Iluminación? SÍ / NO
 ¿Ventilación? SÍ / NO
 ¿Equipo de oficina? SÍ / NO
 ¿Mobiliario? SÍ / NO
 ¿Ruido? SÍ / NO
 Limpieza y/o aseo? SÍ / NO
 ¿Instalaciones sanitarias? SÍ / NO
60
 ¿Instalaciones de comunicación? SÍ / NO
Organización del trabajo
¿Participa en la selección del personal?
SÍ / NO
No, ¿por qué?
¿Qué repercusiones tiene?
¿Se prevén las necesidades de personal con anterioridad:
 En cantidad? SÍ / NO
 En calidad? SÍ / NO
No, ¿por qué?
¿Está prevista la sustitución del personal clave?
SÍ / NO
No, ¿por qué?
Desarrollo y motivación
¿Cómo se lleva a cabo la introducción y el desarrollo del personal del área?
61
En caso de no realizarse, ¿por qué no se realiza?
¿Cómo se realiza la motivación del personal del área?
¿Cómo se estimula y se recompensa al personal del área?
¿Existe oportunidad de ascensos y promociones?
SÍ / NO
¿Qué política hay al respecto?
Presupuestos
1. ¿Cuál es el gasto total anual del área de informática incluyendo renta del
equipo y administración del centro de cómputo (gastos directos o
indirectos)?
2. ¿Existe un sistema de contabilidad de costos por:
 Usuario? ( )
 Por aplicación? ( )
3. ¿Conocen los usuarios los costos de sus aplicaciones?
SÍ / NO
4. ¿Los reportes de costo permiten la comparación de lo gastado en la

dirección de informática contra lo presupuestado?
SÍ / NO
62
5. Cite a los principales proveedores de su dirección en materia de:
Proveedor Volumen anual
Mobiliario en general
Consumibles
Equipo
Software
Mantenimiento
Equipo auxiliar
Papelería
Cintas, discos, etcétera
6. ¿Cuáles cargos adicionales se manejan por separado fuera del contrato?
Ponga una X en ellos.
Utilización del equipo. ()
Servicio de mantenimiento. ()
Capacitación del personal. ()
Asesoría en sistemas de cómputo. ()
Gastos de instalación del equipo. ()
Impuestos federales, estatales, municipales y especiales. ()
Seguros de transporte y compra de equipo. ()
Otros (especifíquelos).
63
7 ¿Cuál es la situación jurídica del equipo (especificar por equipo)?
Compra del equipo. ( )
Renta del equipo. ( )
Renta con opción a compra. ( )
Renta de tiempo máquina. ( )
Maquila. ( )
Otro, ¿cuál?
8. ¿Cuál es la situación jurídica del software (especificar por software)?
Compra. ( )
Renta. ( )
Elaborado internamente. ( )
Maquila. ( )
Otro, ¿cuál?
Pueden existir diferentes situaciones jurídicas de los equipos y del software;

en este caso se debe especificar la situación de cada uno.
Formulación
¿Quién interviene en la formulación del presupuesto del área?
64
¿Se respetan los planteamientos presupuestales del área?
SÍ / NO
No, ¿en qué partidas no se ha respetado y en qué monto?
Adecuación
¿Los recursos financieros con que cuenta el área, son suficientes para
alcanzar los objetivos y metas establecidos?
SÍ / NO
No, ¿qué efectos se han tenido en el área al no contar con suficientes

recursos financieros?
Programación
¿Existe un programa sobre los requerimientos del área?
SÍ / NO
¿Qué personas del área intervienen en su elaboración?
¿Se respetan los planteamientos del área?
SÍ / NO
No, ¿en qué aspectos no se respetan?
65
Adecuación
¿Los recursos materiales que se le proporcionan al área, son suficientes para

cumplir con las funciones encomendadas?
SÍ / NO
No, ¿en qué no son suficientes?
¿Los recursos materiales se proporcionan oportunamente?
SÍ / NO
¿Cuáles son las principales limitaciones que tiene el área en cuanto a los
recursos materiales?
¿Qué sugerencias harían para superar las limitaciones actuales?
Servicios generales
¿Existe un programa sobre los servicios generales que requiere el área?
SÍ / NO
¿Considera los servicios generales que se proporcionan al área:
 Adecuados? SÍ / NO
 Suficientes? SÍ / NO
66
 Oportunos? SÍ / NO
En caso de que alguna de las respuestas sea negativa especifique cuál es

la deficiencia.
¿Qué sugerencia haría para superar las limitaciones actuales?
Mobiliario y equipo
¿Se cuenta con el equipo y mobiliario adecuados y en la cantidad suficiente

para desarrollar su trabajo?
SÍ / NO
¿Por qué?
¿Están adecuadamente distribuidos en el área de trabajo?
¿Actualmente se están dejando de realizar actividades por falta de material

y equipo?
SÍ / NO
¿Qué se hace para solucionar este problema?
67
¿Conoce esta situación el jefe de la unidad?
¿Qué medidas se han tomado?
¿Existe el servicio de mantenimiento del equipo?
¿Existen medidas de seguridad?
SÍ / NO
¿Cuáles?
No, ¿por qué?
¿Qué se hace con el equipo en desuso?
¿Sobre quién recae la responsabilidad del equipo?
¿Con que frecuencia se renueva el equipo y mobiliario?
¿Se recogen opiniones y sugerencias que nos permita establecer las

medidas correctivas con las cuales lograr un mejor funcionamiento de estos
recursos?
68
Cuestionarios Aplicados
Ahora se presentan los cuestionarios que fueron aplicados en la DGAE los
cuales abarcan las distintas áreas activas de la dependencia, fueron
cuidadosamente buscados de fuentes confiables, son lo más simple y
adaptables para que sean respondidos con toda la calma y confianza que
se requiere para realizar una auditoria satisfactoria.
Cuestionario #1 Centro de Computo
¿El lugar donde se ubica el centro de cómputo está seguro de

inundaciones, robo o cualquier otra situación que pueda poner en peligro
los equipos?
Si ______No ______
2. ¿El centro de cómputo da hacia el exterior?
Si ______No ______
3. ¿El material con que está construido el centro de cómputo es confiable?
Si ______No ______
4. ¿Dentro del centro de cómputo existen materiales que puedan ser

inflamables o causar algún daño a los equipos?
Si _____ ¿Cuál? _________________________________________
No______
69
5. ¿Existe lugar suficiente para los equipos?
Si ______No ______
6. ¿Aparte del centro de cómputo se cuenta con algún lugar para

almacenar otros equipos de cómputo, muebles, suministros, etc.?
Si _____ ¿Dónde? _________________________________________
No ____
7. ¿Se cuenta con una salida de emergencia?
Si ______No ______
8.Existen señalamientos que las hagan visibles?
Si _____ ¿Dónde? __________________________________________
No ______
9. ¿Es adecuada la iluminación del centro de cómputo?
Si ______No ______
¿Por qué? __________________________________________
10. ¿El color de las paredes es adecuado para el centro de cómputo?
Si ______ No ______ ¿Porqué? __________________________________________
11. ¿Existen lámparas dentro del centro de cómputo?
Si ______ ¿Cuántas? ________
No ______
12. ¿Qué tipo de lámparas utilizan?
70
R=
13. ¿Cómo se encuentran distribuidas las lámparas dentro del centro de

cómputo?
R=
14. ¿Es suficiente la iluminación del centro de cómputo?
Si ______No ______
¿Porqué? _____________________________________
15. ¿La temperatura a la que trabajan los equipos es la adecuada de

acuerdo a las normas bajo las cuales se rige?
Si ______No ______
16. ¿Están limpios los ductos del aire acondicionado?
Si ______No ______
17. ¿La ubicación de los aires acondicionado es adecuada?
Si ______No ______
18. ¿Existe algún otro medio de ventilación aparte del aire acondicionado?
Si ______ ¿Cuál? ________________________________________
No ______
19. ¿El aire acondicionado emite algún tipo de ruido?
Si ______No _____
20. ¿Se cuenta con tierra física?
Si ______No ______
71
21. ¿La tierra física cumple con los requisitos establecidos en las normas bajo
las cuales se rige?
Si ______No ______
22. ¿El cableado se encuentra correctamente instalado?
Si ______No ______
23. ¿Podemos identificar cuáles son cables positivos, negativos o de tierra

física?
Si ______No ______
24. ¿Los contactos de los equipos de cómputo están debidamente

identificadas?
Si ______No ______
25. ¿Se cuenta con los planos de instalación eléctrica?
Si ______No ______
26. ¿La instalación eléctrica del equipo de cómputo es independiente de

otras instalaciones?
Si ______No ______
27. ¿Los equipos cuentan con un regulador?
Si ______No ______
28. ¿Se verifica la regulación de las cargas máximas y mínimas?
Si ______No ______
29. Se cuenta con equipo interrumpible?
72
Si ______No ______
30. ¿Se tiene switch de apagado en caso de emergencia en algún lugar

visible?
Si ______No ______
31. ¿Los cables están dentro de paneles y canales eléctricos?
Si ______No ______
32. ¿Los interruptores de energía están debidamente protegidos y sin

obstáculos para alcanzarlos?
Si ______No ______
33. ¿Con que periodo se les da mantenimiento a las instalaciones y

suministros de energía?
R=
34. ¿Se cuenta con alarma contra incendios?
Si ______No ______
35. ¿Dónde se encuentran ubicadas?
R=
36. ¿Se cuenta con alarmas contra inundaciones?
Si ______No ______
37. ¿Dónde se encuentran ubicadas?
R=
38. ¿Es perfectamente audible?
73
Si ______No ______
39. ¿Existen extintores?
Si _______
¿Cuántos? _____________________________________
No ______
Cuestionario #2 Base de Datos
1. Existe algún archivo de tipo Log donde guarde información referida a las
operaciones que realiza la Base de datos?
Si ______No ______
2. ¿Se realiza copias de seguridad (diariamente, semanalmente,

mensualmente, etc.)?
Si ______No ______
3. Existe algún usuario que no sea el Administrador de la Base de Datos pero

que tenga asignado el rol del servidor?
Si ______No ______
4. Se encuentra un administrador de sistemas en la empresa que lleve un

control del usuario?
Si ______No ______
5. Son gestionados los perfiles de estos usuarios por el administrador?
Si ______No ______
74
6. Son gestionados los accesos a las instancias de la Base de Datos?
Si ______No ______
7. Existen accesos restringidos?
Si ______No ______
8. Se renuevan las claves de los usuarios de la Base de Datos?
Si ______No ______
9. Se obliga el cambio de la contraseña de forma automática?
Si ______No ______
10. Se encuentran listados de todos aquellos intentos de accesos no

satisfactorios o denegados a estructuras, tablas físicas y lógicas del
repositorio?
Si ______No ______
11. Posee la base de datos un diseño físico y lógico?
Si ______No ______
12. Posee el diccionario de datos un diseño físico y lógico?
Si ______No ______
13. Existe una instancia con copia del Repositorio para el entorno de
desarrollo?
Si ______No ______
14. Está restringido el acceso al entorno de desarrollo?
Si ______No ______
75
15. ¿Los datos utilizados en el entorno de desarrollo, son reales?
Si ______No ______
16. Se llevan a cabo copias de seguridad del repositorio?
Si ______No ______
17. Las copias de seguridad se efectúan diariamente?
Si ______No ______
18. Las copias de seguridad son encriptadas?
Si ______No ______
19. ¿Se ha probado restaurar alguna vez una copia de seguridad, para
probar que las mismas se encuentren bien hechas?
Si ______No ______
20. Los dispositivos que tienen las copias de seguridad, son almacenados
fuera del edificio de la empresa?
Si ______No ______
21. ¿En caso de que el equipo principal sufra una avería, existen equipos
auxiliares?
Si ______No ______
22. ¿Cuándo se necesita restablecer la base de datos, se le comunica al

administrador?
Si ______No ______
23. La comunicación se establece de forma escrita?
Si ______No ______
76
24. Una vez efectuada la restauración, se le comunica al interesado?
Si ______No ______
25. ¿Se lleva a cabo una comprobación, para verificar que los cambios
efectuados son los solicitados por el interesado?
Si ______No ______
26. Se documentan los cambios efectuados?
Si ______No ______
27. Hay algún procedimiento para dar de alta a un usuario?
Si ______No ______
28. Hay algún procedimiento para dar de baja a un usuario?
Si ______No ______
29. Es eliminada la cuenta del usuario en dicho procedimiento?
Si ______No ______
30. El motor de Base de Datos soporta herramientas de auditoria?
Si ______No ______
31. Existe algún tipo de documentación referida a la estructura y contenidos

de la Base de Datos?
Si ______No ______
32. Se cuenta con niveles de seguridad para el acceso a la Base de Datos?
Si ______No ______
33. Se encuentra la Base de Datos actualizada con el último Set de Parches

de Seguridad?
77
Si ______No ______
34. Existe algún plan de contingencia ante alguna situación no deseada en

la Base de Datos?
Si ______No ______
35. Existen logs que permitan tener pistas sobre las acciones realizadas sobre
los objetos de la base de datos?
Si ______No ______
36. Las instalaciones del centro de cómputo son resistentes a potenciales

daños causados por agua?
Si ______No ______
37. Las instalaciones del centro de cómputo son resistentes a potenciales

daños causados por el fuego?
Si ______No ______
38. La ubicación del centro de cómputo es acorde con las mínimas

condiciones de seguridad?
Si ______No ______
39. ¿Existe y es conocido un plan de actuación para el personal del centro

de cómputo, en caso de incidentes naturales u otros que involucren
gravemente la instalación?
Si ______No ______
40. Existe un control de las entradas y las salidas de la base de datos (A nivel
datos)?
Si ______No ______
78
41. La información que poseen en la base de datos es real?
Si ______No ______
42. Existe un contrato de confidencialidad con las terceras partes?
Si ______No ______
43. Se notifican las acciones realizadas a nivel de mantenimiento de

hardware?
Si ______No ______
Cuestionario #3 Redes y Telecomunicaciones
Gestión administrativa de la red
1. Los objetivos de la red de cómputo.
Excelente___ Bueno___ Regular___ No Cumple___
2. Las características de la red de cómputo.
3. Los componentes físicos de la red de cómputo.
4. La conectividad y las comunicaciones de la red de cómputo.
5. Los servicios que proporciona la red de cómputo.
79
6. Los sistemas operativos, lenguajes, programas, paqueterías, utilerías y

bibliotecas de la red de cómputo.
7. Las configuraciones, topologías, tipos y cobertura de las redes de

cómputo.
8. Los protocolos de comunicación interna de la red.
9. La administración de la red de cómputo.
10. La seguridad de las redes de cómputo.
Cuestionario #4 Seguridad
1. ¿Existen medidas, controles, procedimientos, normas y estándares de

seguridad?
Si__ No__ N/A__
2. ¿Existe un documento donde este especificado la relación de las

funciones y obligaciones del personal?
80
Si__ No__ N/A__
3. ¿Existen procedimientos de notificación y gestión de incidencias?
Si__ No__ N/A__
4. ¿Existen procedimientos de realización de copias de seguridad y de

recuperación de datos?
Si__ No__ N/A__
5. ¿Existe una relación del personal autorizado a conceder, alterar o anular

el acceso sobre datos y recursos?
Si__ No__ N/A__
6. ¿Existe una relación de controles periódicos a realizar para verificar el

cumplimiento del documento?
Si__ No__ N/A__
7. ¿Existen medidas a adoptar cuando un soporte vaya a ser desechado o

reutilizado?
Si__ No__ N/A__
8. ¿Existe una relación del personal autorizado a acceder a los locales donde
se encuentren ubicados los sistemas que tratan datos personales?
Si__ No__ N/A__
9. ¿Existe una relación de personal autorizado a acceder a los soportes de

datos?
Si__ No__ N/A__
10. ¿Existe un período máximo de vida de las contraseñas?
81
Si__ No__ N/A__
11. ¿Existe una relación de usuarios autorizados a acceder a los sistemas y que
incluye los tipos de acceso permitidos?
Si__ No__ N/A__
12. ¿Los derechos de acceso concedidos a los usuarios son los necesarios y
suficientes para el ejercicio de las funciones que tienen encomendadas,
las cuales a su vez se encuentran o deben estar- documentadas en el
Documento de Seguridad?
Si__ No__ N/A__
13. ¿Hay dadas de alta en el sistema cuentas de usuario genéricas, es decir,

utilizadas por más de una persona, no permitiendo por tanto la
identificación de la persona física que las ha utilizado?
Si__ No__ N/A__
14. ¿En la práctica las personas que tienen atribuciones y privilegios dentro del
sistema para conceder derechos de acceso son las autorizadas e incluidas
en el Documento de Seguridad?
Si__ No__ N/A__
15. ¿El sistema de autenticación de usuarios guarda las contraseñas

encriptadas?
Si__ No__ N/A__
16. ¿En el sistema están habilitadas para todas las cuentas de usuario las
opciones que permiten establecer:
· Un número máximo de intentos de conexión.
· Un período máximo de vigencia para la contraseña,
82
coincidente con el establecido en el Documento de Seguridad.
Si__ No__ N/A__
17. ¿Existen procedimientos de asignación y distribución de contraseñas?
Si__ No__ N/A__
Cuestionario#5 Capacitación
Uno de los puntos que se deben evaluar con más detalle dentro del área de
informática es la capitación; esto se debe al proceso cambiante y al
desarrollo de nuevas tecnologías en el área.
Los programas de capacitación Incluyen al personal de:
 Dirección. ( )
 Análisis. ( )
 Programación ( )
 Operación. ( )
 Administración. ( )
 Administrador de bases de datos. ( )
 Comunlcac1onos redes. ( )
 Captura. ( )
 Otros (especifique). ( )
1. ¿Se han identificado las necesidades actuales y futuras de capacitación
83
del personal del área?
SÍ__NO__ ¿por qué? _____________________________
2. ¿Se desarrollan programas de capacitación para el personal del área?
SÍ___NO___ ¿por qué? ____________________________
3. ¿Apoya la superioridad la realización de estos programas?
SÍ___NO___
4. ¿Se evalúan los resultados de los programas de capacitación?
SÍ___NO___
5. Solicite el plan de capacitación para el presente año.
SÍ___NO___
Cuestionario#6 Supervisión
1. ¿Cómo se lleva a cabo la supervisión del personal?
R=
2. En caso de no realizarse, ¿por qué no se realiza?
R=
3. ¿Cómo se controlan el ausentismo y los retardos del personal?
R=
84
4. ¿Se llevan controles históricos de ausentismo y retardos?
R=
5. ¿Cómo se evalúa el desempeño del personal?
R=
6. ¿Cuál es la finalidad de la evaluación del personal?
R=
Cuestionario#7 Presupuestos
1. ¿Cuál es el gasto total anual del área de informática incluyendo renta del
equipo y administración del centro de cómputo (gastos directos o
indirectos)?
R=
2. ¿Existe un sistema de contabilidad de costos por:
 ¿Usuario? ( )
 ¿Por aplicación? ( )
3. ¿Conocen los usuarios los costos de sus aplicaciones?
SI___NO___
4. ¿Los reportes de costo permiten la comparación de lo gastado en la

dirección de informática contra lo presupuestado?
85
SI___NO___
5. ¿Cuáles cargos adicionales se manejan por separado fuera del contrato?
Ponga una X en ellos.
Utilización del equipo. ()
Servicio de mantenimiento. ()
Capacitación del personal. ()
Asesoría en sistemas de cómputo. ()
Gastos de instalación del equipo. ()
Impuestos federales, estatales, municipales y especiales. (

)
Seguros de transporte y compra de equipo. (

)
Otros (especifíquelos).
7 ¿Cuál es la situación jurídica del equipo (especificar por equipo)?
Compra del equipo. ( )
Renta del equipo. ( )
Renta con opción a compra. ( )
Renta de tiempo máquina. ( )
Maquila. ( )
Otro, ¿cuál?
86
8. ¿Cuál es la situación jurídica del software (especificar por software)?
Compra. ( )
Renta. ( )
Elaborado internamente. ( )
Maquila. ( )
Otro, ¿cuál?
R=
Cuestionario#8 Ambiente
El ambiente en el área de informática, principalmente en programación, es

muy importante para lograr un adecuado desarrollo.
¿El personal esté Integrado como grupo de trabajo?
SÍ__ NO ___ ¿por qué?
¿Cuál es el grado de convivencia del personal?
R=
¿Cómo se aprovecha esto para mejorar el ambiente de trabajo?
R=
¿Son adecuadas las condiciones ambientales con respecto a:
 ¿Espacio del área? SI___NO___
87
 ¿Iluminación? SI___NO___
 ¿Ventilación? SI___NO___
 ¿Equipo de oficina? SI___NO___
 ¿Mobiliario? SI___NO___
 ¿Ruido? SI___NO___
 Limpieza y/o aseo? SI___NO___
 ¿Instalaciones sanitarias? SI___NO___
 ¿Instalaciones de comunicación? SI___NO___
88
Cuestionarios Contestados
Centro De Computo
89
90
91
92
Tras un exhaustivo análisis podemos notar que los puntos buenos son:
 Una correcta ventilación para los equipos de cómputo y servidores

por medio del sistema de aire acondicionado.
 Su correcta instalación cuenta con una instalación de tierra física que

prevé el daño a los equipos por alguna descarga en la red eléctrica.
 La empresa tiene una gestión de cables adecuada que permiten

identificar la función de cada uno lo cual facilita su ubicación y
remplazo en caso de alguna falla.
 Cuenta con un switch maestro que permite cortar la red eléctrica del
centro de cómputo.
 La empresa cuenta con equipos de cómputo actualizados y

adecuados para las actividades que se realizan y cuenta con el
licenciamiento para el software utilizado.
Dictamen
En el centro de cómputo de la empresa podemos notar que, aunque existen

señalamiento de seguridad estos son pequeños lo cual provoca que sean
poco visibles. Por otro lado, el espacio de trabajo y la distancia entre los
equipos de cómputo es mínima lo cual entorpece las actividades de trabajo
y conlleva a la distracción de los colaboradores. Por otra parte, pudimos
notar que la altura del techo no es la adecuada no va conforme a las
estipulaciones que rige el protocolo.
93
Base de Datos
94
95
96
97
 Cuentan con copias de seguridad encriptadas y son diarias de forma

local y remota
 El servidor cuenta con un administrador que gestiona los permisos y

accesos de los usuarios
 Se cuenta con una bitácora de accesos no permitidos o denegados
 Cuentan con un servidor dedicado
 Cuentan con un diseño físico y lógico
 Posee un diccionario de datos del diseño físico y lógico
 Cuenta con un servidor alterno en caso de algún problema o falla
Dictamen
El sistema gestor de base de datos del “DGAE” encontramos que, una de

sus principales fallas es que cambian diariamente las contraseñas de acceso
para los usuarios, esto entorpece las actividades diarias. El sistema permite
el acceso no restringido a administradores de la base de datos.
Redes y Telecomunicaciones
98
99
 Que su topología de red es la más acertada ya que está distribuida

de una manera estratégica
 Cuentan con repetidores “Access Point” que permiten extender las
coberturas de red
 Tienen un sistema operativo de red, que gestiona los procesos,
problemas, utilería, paquetería y biblioteca de la red de computo
 Se basan bajo la norma ISO 9000
Dictamen
En la infraestructura de red los puntos malos a resaltar que depende de

una red principal de la red universitaria “RIUV” y esta a su vez presenta
fallas por el número excesivo de dispositivos conectados a ella lo cual
entorpece o alenta el servicio de internet.
100
Seguridad
101
102
 Tienen normas de seguridad
 Existen procedimientos de realización de copias de seguridad y de

recuperación de datos
 Se cuenta con personal de seguridad que regulan la entrada de las

personas
 Las contraseñas expiran en un determinado tiempo
 El sistema cuenta con un límite de intentos fallidos de acceso
Dictamen
La seguridad del “DGAE” deja mucho que desear, principalmente no se

lleva un control de las personas que ingresan al área, por otra parte, el
personal de vigilancia no está 24/7 vigilando;
No se cuenta con un repositorio de respaldo de archivos, documentos,

programas eliminados,
No cuenta con un circuito cerrado de vigilancia.
103
Presupuestos
104
Dictamen
La empresa no hace sus presupuestos en la misma dependía se realizan en

otra que se encarga de ver todos esos procesos y se realizan anualmente o
en cada cambio de administración
105
Capacitación
106
Supervisión
107
Por medio del análisis exhaustivo notamos los siguientes puntos buenos:
Se cuenta con una supervisión del personal realizadas por juntas de consejo
que expone los puntos buenos y malos que conlleva a la toma de
decisiones.
Se lleva un control de los retardos de los trabajadores en bitácoras la cual

describe la razón el nombre del trabajador y el tiempo de retardo.
El personal periódicamente se somete a cursos de capacitación.
Dictamen
La empresa cuenta con una supervisión envidiable pero un punto negativo

a resaltar con un área de recursos humanos para la capacitación,
reclutamiento del personal nuevo y existente. Por otra pare su organigrama
no describe todos los roles que tiene la empresa como lo es el área de
informática.
108
Ambiente
109
Tras un exhaustivo análisis pudimos notar los siguientes puntos buenos:
 Los colores elegidos se adaptan a los estándares establecidos para

un centro de cómputo lo cual crea un ambiente armónico de
trabajo.
 El ambiente del lugar cuenta con la iluminación idóneamente

distribuida para evitar los reflejos exceso de luz y un gasto excesivo de
la red eléctrica además cuenta con una adecuada distribución de
las ventas que permiten aprovechar al máximo la luz solar.
 Las computadoras cuentan con un sistema de ventilación silencioso.
 Las ventas esta distribuidas de tal forma que no capten ruido del
exterior.
 La empresa cuenta con un personal de limpieza.
Dictamen
El ambiente de las oficinas de la DGEA se presta para una correcta situación

laboral, el ruido no es un factor relevante ya que no entorpece las
actividades del día a día y la limpieza y el mantenimiento permiten tener un
área de trabajo confortable. Como único punto negativo pudimos observar
que el tamaño de la oficina es pequeño en general lo cual al recibir
visitantes puede resultar incómodo.
110
Dictamen general
Tras un exhaustivo análisis de las áreas informáticas que conforman la DGEA
encontramos distintos factores que impiden el cumplimiento del 100% de sus
objetivos, por mencionar alguno su mala distribución de los equipos de
cómputo y su dependencia de una red que excede repentinamente su
número de accesos en tiempo real, referente a su seguridad podemos
destacar que no se cuenta con un control de accesos de las personas a la
dependencia esto demuestra una vulnerabilidad por otra parte en su
sistema gestor de base de datos el hecho de cambiar las contraseñas de
acceso diariamente entorpece al usuario o al trabajador ya que cada día
debe ingresar con una contraseña distinta, cabe resaltar que su centro de
cómputo a pesar de su buena infraestructura no se encuentra distribuido de
una manera eficiente ya que no está adaptado para recibir visitas, por
ultimo con respecto al centro de cómputo el techo no cumple los
lineamientos y condiciones del protocolo de un centro de cómputo.
La supervisión y capacitación tiene un problema muy importante que es la

ausencia de un área de recursos humanos que controle la capacitación,
motivación de los trabajadores actuales y futuros, por otra parte, los
presupuestos del DGAE no se realizan dentro de ella a que dependen de
otra instancia para dicho proceso.
Las redes y telecomunicaciones específicamente en la topología de red no

están correctamente distribuida ya que se limita a los equipos que existen y
no está preparado para nuevos que se quieran instalar ya su switch no
permite conectar más y su servidor DHCP no otorga más direcciones IP.
Referente a su control de almacenamiento su servidor a pesar de ser

dedicado tiende a sufrir fallas por el número excesivo de peticiones hacia
111
él, los equipos de cómputo no están preparados para un apagón general
por fallas de contingencia
112
Recomendaciones
Recomendamos a la empresa que en su área de centro de cómputo sea
re-distribuida para poder aprovechar el espacio que se tiene de una
manera óptima.
Cambiar los señalamientos por unos más visibles, además de agregar los que
instruyen el que hacer en caso de una contingencia sísmica, por incendios,
terremotos, asaltos o terrorismo, otro punto importante es preparar las
topologías de red para que estas puedan ser adaptables a nuevos equipos
de cómputo que se deseen agregar. La red inalámbrica debe ser
gestionada de tal forma que no dependa de la red intra.uv ya que esto
recurrentemente presenta fallas y caídas de la red, por su parte también es
necesario capacitar al personal de cómo puede mejorar su situación laboral
al igual de cómo está distribuida la red de computo.
El administrador de la base de datos debe ser una persona capacitada para

poder brindar el servicio que requieren los trabajadores, evitando cambiar
las contraseñas diariamente, al igual que adquirir un servidor que pueda
cumplir con los requerimientos del área que este realice copias de seguridad
automática sin tener la necesidad que el usuario la haga teniendo una
bitácora de esas acciones, los controles de acceso a la base de datos
deben ser controlados y limitados evitando que cualquier persona pueda
entrar a la base de datos dando perfiles específicos de acceso a cada uno.
Es necesario tener un control de las personas que entran al DGAE ya que

esto permite la toma de decisiones en caso de algún problema, también es
necesario contar con un sistema de seguridad de circuito cerrado, para
tener un control visual de todo lo que se hace.
Por último, se destaca que la dependencia no tiene problemas que impidan
113
realizar sus actividades diarias, pero es necesario tomar en cuenta y aplicar

estas recomendaciones ya que harán de los procesos diarios algo mejor.
114
Conclusión
Este trabajo nos llevó a concretar todos los conocimientos obtenidos a lo
largo del semestre, la teoría se volvió practica y los conocimientos se
volvieron una herramienta para poder llevar a cabo una auditoria exitosa.
En una empresa como es DGEA la cual nos abrió sus puertas para poder
realizar el trabajo brindándonos el tiempo y atención necesario que requiere
un trabajo de esta magnitud.
Así mismo el trabajo en equipo una vez más demuestra que es una
herramienta clave y fundamental para lograr los objetivos planteados.
Cabe mencionar que los objetivos y metas fueron cumplidos en tiempo y

forma.
115
Agradecimientos
Agradecemos a la empresa DGAE, así mismo a su jefe de la dependencia

por su cooperación y disposición para atendernos para la elaboración de
esta auditoria informática, de igual manera agradecemos al Dr. Erasto
Alfonso Marín Lozano por la enseñanza durante este periodo semestral en la
experiencia educativa Auditoria Informática
116
Bibliografía
Diccionario de la lengua Española, Editorial Océano, Edición 1986, Pág. S/N
Normas para el Ejercicio Profesional de la Auditoría Interna. Instituto de

Auditores Internos capítulo El Salvador, Pág. 7
Erick L. Kolher, Diccionario para Contadores, Editorial Limusa, México, 1996,

Pág. 46
Ibid. Pág. 31
Donald H. Taylor y William Glezer, Auditoría, Conceptos y Procedimientos,

Editorial Orientación, Mexico 1998, Pág. 72
AUDISAL, Boletín Pistas de Auditoría, correspondiente a Septiembre y

Octubre/1993, Pág. S/N
Echenique G. J.A. (2001). Auditoría en Informática. 2da. Ed. Mc Graw- Hill

Piattinni, G. M & Peso del E. Auditoría Informática. Un enfoque práctico.
Alfaomega Defliese, Jeanicke, Sullivan, Gnospeluis, Auditorìa Montgomery,
Editorial Limusa, 2ª Edición, México 1991
Normas para el Ejercicio Profesional de la Auditoria Interna. Instituto de

Auditores Internos capítulo El Salvador
Erick L. Kolher, Diccionario para Contadores, Editorial Limusa, México, 1996
117
Trabajo Realizado
Auditoria Informática
Licenciatura
Lic. En Sistemas Computacionales Administrativos
Sección
601
Periodo Escolar
ENERO 2017 - JULIO 2017
118
Anexos
119
120

Auditoria Informatica DGAE

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Auditoria Informatica DGAE

Enviado por

Direitos autorais:

Formatos disponíveis

7-6-2017 Auditoria

FACULTAD DE CONTADURÍA Y ADMINISTRACIÓN

Integrantes del equipo

Nombre del maestro

La organización auditada fue la Dirección General de Administración Escolar

Los apartados auditados incluyen seguridad, centro de cómputo, ambiente,

La D.G.A.E. tiene a su cargo la planeación, dirección y supervisión de todas

 La Dirección de Servicios Escolares (Departamento de Supervisión y

 La Oficialía Mayor (Departamento de Servicio Social y Titulación,

El compromiso del personal que integra la DGAE es realizar con transparencia,

GENERALIDADES SOBRE AUDITORÍA

La auditoría generalmente es proporcionada por la profesión contable pero

En el medio empresarial, y popularmente, la palabra Auditoría es relacionada

El Auditor es la persona o funcionario que revisa cuentas, que investiga y

El Diccionario de la Lengua Española define Auditoría como “tribunal o

El concepto podría variar de acuerdo al área donde la Auditoría es aplicada.

Podríamos concluir que Auditoría es el proceso de revisión, análisis y

Uno de los principales objetivos de la auditoría es la emisión de un diagnóstico

Anteriormente los objetivos de la auditoría eran tres:

 Descubrir errores de principio

 Descubrir errores técnicos

Pero el avance tecnológico experimentado en los últimos tiempos en los que

 Determinar si existe un sistema que proporcione datos pertinentes y

 Determinar si este sistema produce resultados, es decir, planes,

Por el tipo de auditores y la responsabilidad que tiene en la entidad a quien le

Auditoría Interna es aquella realizada dentro de la organización, con el fin de

La Auditoría Interna es “una función independiente de control, establecida

“Auditoría practicada por una persona que no pertenece al personal de la

A. Auditorías de Seguridad e Higiene: “Tiene como objetivo evaluar los

B. Auditorías Ambientales: Llamadas también Ecoauditoría, “Tienen como

C. Auditoría Financiera: “Es un examen sistemático de los Estados

D. Auditorías de Informática: “También llamada Auditoría de Sistemas, es

El proceso se resume en las siguientes etapas:

En esta etapa el auditor obtiene o actualiza la información a cerca del tipo

En esta etapa el auditor obtiene y evalúa la evidencia para corroborar si las

En esta etapa el auditor hace una comparación de los resultados obtenidos y

GENERALIDADES SOBRE CONSULTORÍA

La consultoría de empresas es un servicio de asesoramiento profesional

La solución de problemas gerenciales y empresariales, el descubrimiento y la

También se entiende por consultoría a “Proporcionar ayuda sobre el

(La consultoría de empresas – Milan Kubr. p10)

(La consultoría de empresas – Milan Kubr. p25)

 Primeros contactos con el cliente

 Conocimientos especializados que aporta el consultor

 Definición y secuencia de actividades

 Participación del cliente

 Análisis del objetivo

 Análisis del problema

 Descubrimiento de los hechos

 Análisis y síntesis de los hechos

 Información de resultados al cliente

 Planificación de la aplicación de medidas

La Auditoría Informática es de reciente desarrollo y su aparición se debe a la

La Auditoría Informática ha sido erróneamente denominada Auditoría de

Pero a lo largo de lo desarrollado hasta el momento, ha quedado claro que

José Antonio Echenique conceptualiza así la Auditoría en Informática:

La evaluación de un sistema informático, estriba primero en la revisión del

Para ayudar en la revisión de los sistemas de procesamiento de datos y los

 Una parte significativa del sistema de control interno está comprendida

 Existen baches en la ruta de auditoría, haciendo difícil y poco práctico

 El volumen de registros que quizás sea más económico y efectivo usar

OBJETIVOS DE AUDITORIA INFORMATICA

 El control de la función informática

 El análisis de la eficiencia de los Sistemas Informáticos