IR DIRECTAMENTE A DESCARGA DE ARCHIVOS

Para ir a descarga de archivos, haga click aquí

miércoles, 16 de junio de 2010

Ejemplo 2 Auditoría de Sistemas

1.- OBJETIVO DE LA AUDITORIA

a. Evaluar el cumplimiento la gestión institucional para todos sus procesos.

b. Evaluar la eficacia de las disposiciones planificadas en la gestión institucional para todos sus procesos.

c. Hacer Seguimiento a los procedimientos implementados en el Primer semestre de 2010

2.- ALCANCE DE LA AUDITORIA

a. Decanatura NTIC’S

3.- EQUIPO AUDITOR

AREA/FUNCIONARIO LIDER ACOMPAÑANTES


4.- AUDITADO: ________________________________________

5.- LUGAR Y FECHA: ___Oficina de 20/05/2010___

6.- HALLAZGOS

1. El departamento de sistemas y tecnología no esta garantizando la entrega de información confiable, se encontró que el estudiante ERMENEGILDO ZAMUDIO – Código 6166123543 ya no se encuentra en la universidad. Incumpliendo el numeral 6 del procedimiento GREG-P01
2. Se tiene un calendario de sistemas que no cuenta con lo especificado por el formato GREGA-P01-F01 incumpliendo el procedimiento PGRO-P01 numeral 7.1.
3. No se evidencia la documentación que respalde la solicitud y posterior actualización de la base de datos del personal incumpliendo con el numeral 17.1 del procedimiento PRPR-P01.
4. No se diligencia el formato de evaluación de equipos PR-P01-F01 que tiene fecha de vigencia 22/07/2009. Incumpliendo el numeral 7.2 del procedimiento PR-P01.
5. No se ha llevado a cabo el diligenciamiento del formato PR-P01-F02 Tabulación Evaluación Personal incumpliendo el numeral 7.2 del procedimiento PR-P01
6. No se diligencia el formato de auto evaluación estudiante PR-P01-F05 con vigencia 22/07/2009 incumpliendo el procedimiento PR-P01 numeral 7.2
7. No se tiene registro de capacitaciones en el formato PR-P02-F01 incumpliendo el procedimiento PR-P02 numeral 7.1.
8. Se evidencio que el curso Habilidades Comunicativas orientado por la personal Ángela Patricia Mosquera con fecha de inicio 09/03/2010 no cuenta con las condiciones de certificación. Incumpliendo el numeral 7.2 del procedimiento PR-P02.
9. No se evidencian manual o instructivos que orienten a los funcionarios en el modo de uso del sistema KYARA para el ingreso de la carga académica de cada uno de los personal contratados numeral 7.1 procedimiento PR-P03.
10. No se diligencia el formato PR-P03-F01 Control por parte del departamento de sistemas y tecnología incumpliendo el numeral 7.1 del procedimiento PR-P03.
11. No se diligencia el formato PR-P03-F02 Novedad de control incumpliendo el numeral 7.2 del procedimiento PR-P03.
12. No se tiene registro de la política de inclusión y las estrategias educativas que se han consolidado a partir de la pedagogía social. Incumpliendo el numeral 4.2.1 del procedimiento PR-P04.
13. No se encontró evidencia de los paz y salvos expedidos en el semestre II de 2009 para los personal de tiempo completo, se inspeccionó la hoja de vida del personal Acevedo Losada Carlos Alberto. Incumpliendo el numeral 4.3.6 del procedimiento PR-P04.
14. No se diligencia el formato PR-P04-F02 Horario Carga Académica, que tiene fecha de vigencia 22/07/2009. incumpliendo el Numeral 7.1 el procedimiento PR-P04.



NUMERO DE NO CONFORMIDADES REALES
NUMERO DE NO CONFORMIDADES POTENCIALES

NUMERO DE OBSERVACIONES DE AUDITORIA

13 1 18






7.- OBSERVACIONES

1. El numeral 5 del procedimiento PR-P01 no define de manera clara la manera en que deben ser utilizado los elementos listados.
2. Se recomienda establecer manuales de funciones para los monitores de las salas de sistemas, que aseguren el cumplimiento del numeral 5 del procedimiento PR-P01.
3. Se recomienda establecer controles internos que garanticen la permanencia del A-Z que contiene las actas de reuniones y comités disponibles en todo momento.
4. Se recomienda establecer un software que permita una correcta interpretación de los resultados arrojados por KYARA de las evaluaciones de los personal, y poder dar cumplimiento al numeral 7.2 del procedimiento PR-P01.
5. Cuando por directivas nacionales la documentación del sistema de gestión de calidad llegue en fechas posteriores a la fecha de su vigencia, se recomienda enviar comunicación a las directivas nacionales de tal manera que se respalde la no aplicación de los documentos a partir de la fecha de vigencia.
6. Se recomienda tener a una copia del reglamento para la formación y capacitación del personal personal y administrativo de tal manera que cuando se lleve a cabo un proceso de formación y el personal diligencie el acta de compromiso PR-P02-F03 pueda dar fe de conocer dicho reglamento.
7. Se recomienda realizar evaluaciones a los proveedores de los servicios de capacitación apoyados en los resultados obtenidos a estos por parte de los asistentes a la capacitación.
8. Se recomienda la creación de un manual o instructivo de uso del software que se encarga del registro de asistencia personal para dar cumplimiento a los numerales 7.1 y 7.2 del procedimiento PR-P03.
9. Se recomienda establecer planes de contingencia para el evento en el que el equipo de cómputo que se encarga de hacer el registro de la asistencia personal se encuentre fuera de servicio.
10. Se recomienda establecer un plan de mantenimientos preventivos periódicos al equipo de cómputo que se encarga de realizar el registro de asistencia de personal.
11. Se recomienda anexar el nombre del personal al formato PR-P01-F01.
12. Se recomienda cambiar el titulo “vigencia” en los formatos del sistema de gestión por el de “Fecha de edición”. Vigencia = Periodo durante el cual surte efecto algo”, por tanto “Fecha de edición” permite identificar claramente a partir de que momento se encuentra vigente el documento.
13. Organizar el párrafo a justificación plena en el formato PR-P01-F05.
14. Organizar las viñetas del procedimiento PR-P04 numeral 3.
15. El cronograma de postulación no tiene convenciones.
16. EL procedimiento PR-P04 en el numeral 4.1.2 dice Familia Gran Colombiana.
17. Tener en cuenta que el numeral 4.3.5 del procedimiento PR-P04 es aplicable solo para la vigencia 2009 y debería de ser aplicable a todas las vigencias.
18. Los numerales 4.3.5 y 4.3.6 del procedimiento PR-P04 se encuentran mal numerados.

8.- CONCLUSIONES DE LA AUDITORÍA

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


FIRMA AUDITADO: _______________________________

FIRMA AUDITOR: _______________________________

Ejemplo informe de auditoría

INFORME DE AUDITORIA

1. Identificación del informe

Auditoria de la Ofimática

2. Identificación del Cliente

El área de Informática

3. Identificación de la Entidad Auditada

Municipalidad Provincial Mariscal Nieto

4. Objetivos

· Verificar si el hardware y software se adquieren siempre y cuando tengan la

seguridad de que los sistemas computarizados proporcionaran mayores beneficios

que cualquier otra alternativa.

· Verificar si la selección de equipos y sistemas de computación es adecuada

· Verificar la existencia de un plan de actividades previo a la instalación

· Verificar que los procesos de compra de Tecnología de Información, deben estar

sustentados en Políticas, Procedimientos, Reglamentos y Normatividad en

General, que aseguren que todo el proceso se realiza en un marco de legalidad y

cumpliendo con las verdaderas necesidades de la organización para hoy y el

futuro, sin caer en omisiones, excesos o incumplimientos.

· Verificar si existen garantías para proteger la integridad de los recursos

informáticos.

· Verificar la utilización adecuada de equipos acorde a planes y objetivos.

5. Hallazgos Potenciales

_ Falta de licencias de software.

_ Falta de software de aplicaciones actualizados

_ No existe un calendario de mantenimiento ofimatico.

_ Faltan material ofimática.

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI

34

AUDITORIA DE SISTEMAS

_ Carece de seguridad en Acceso restringido de los equipos ofimaticos

y software.

6. Alcance de la auditoria

Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado

especialmente al Departamento de centro de cómputo de acuerdo a las

normas y demás disposiciones aplicable al efecto.

El alcance ha de definir con precisión el entorno y los límites en que va a

desarrollarse la auditoria Ofimática, se complementa con los objetivos de

ésta.

7. Conclusiones:

· Como resultado de la Auditoria podemos manifestar que hemos

cumplido con evaluar cada uno de los objetivos contenidos en el

programa de auditoria.

· El Departamento de centro de cómputo presenta deficiencias sobre el

debido cumplimiento de Normas de seguridad.

· La escasez de personal debidamente capacitado.

· Cabe destacar que la sistema ofimatico pudiera servir de gran apoyo a

la organización, el cual no es explotado en su totalidad por falta de

personal capacitado.

8. Recomendaciones

· Se recomienda contar con sellos y firmas digitales

· Un de manual de funciones para cada puesto de trabajo dentro del área.

· Reactualizacion de datos.

· Implantación de equipos de ultima generación

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI

35

AUDITORIA DE SISTEMAS

· Elaborar un calendario de mantenimiento de rutina periódico .

· Capacitar al personal.

9. Fecha Del Informe

PLANEAMIENTO EJECUCION INFORME

FECHAS 01–10–04 al 15–10-04 16-10–04 al 20–11-04 23–11–04 al 28–11-04

10. Identificación Y Firma Del Auditor

APELLIDOS Y NOMBRES CARGO

QUIÑONEZ MAYTA CARMEN AUDITOR SUPERIOR

viernes, 11 de junio de 2010

PLANIFICACIÓN AUDITORÍA INFORMÁTICA

CERTIFICADORA COLOMBIANA S.A.

  1. Existen procedimientos que intervengan en el otorgamiento de la certificación que utilicen dispositivos de información digital?
  2. De que manera el organismo de certificación ofrece confianza en la integridad del manejo de los datos electrónicos?
  3. Qué medios de seguridad emplea el organismo para asegurar que la información digital es manejada sin la intervención de personas ajenas a los puestos de trabajo?
  4. Cual es el procedimiento que sigue el organismo de certificación que asegura que las aplicaciones informáticas relacionadas al área financiera son manipuladas por personal idóneo?
  5. Qué mecanismos de protección de información tiene el organismo para garantizar la imparcialidad de las evaluaciones de certificación?
  6. Las evaluaciones virtuales se encuentran procedimientadas?
  7. Puede por favor indicarme el procedimiento para asignar una evaluación de certificación?
  8. Que ocurre si se esta desarrollando una evaluación de certificación y se produce un fallo de energía eléctrica?
  9. Qué mecanismos de copias de seguridad emplea la organización para salvaguardar la información financiera?
  10. El software utilizado para registrar la información financiera es licenciado o arrendado?
  11. Si es licenciado podría por favor mostrarme la licencia.
  12. Si es arrendado podría por favor mostrarme el contrato con el proveedor?
  13. Si es arrendado cómo se asegura el organismo que el arrendatario, una vez finalizado el contrato no tiene acceso a la información confidencial?
  14. El organismo de certificación posee información publicada en internet? De ser así que tipo de servidores utilizan?
  15. Si los servidores son propios, que mecanismos de seguridad tienen implementados para evitar el ataque de intrusos desde la red?
  16. Tienen registro digital de las quejas y reclamos de la certificación?
  17. Quién lleva a cabo esta función? Podría mostrarme el manual de funciones?
  18. Puede mostrarme por favor la hoja de vida del personal encargado del mantenimiento de los equipos de procesamiento electrónico de datos?
  19. Tienen trazado planes de mantenimiento del parque informático?
  20. Podría enseñármelos por favor?
  21. Cuáles son los equipos en los que se lleva a cabo el registro del personal certificado?
  22. Que configuración tienen los equipos?
  23. En términos de registros cuál es el volumen de información manejada en los equipos?
  24. Tiene su red una arquitectura cliente – servidor?
  25. La documentación de uso privado y restringido tiene políticas de uso tales como protección con contraseña para consultas? Evidéncielo por favor
  26. Como asegura que los usuarios de la compañía no ingresan a información no autorizada.
  27. Muéstreme por favor los planos de la red.
  28. Seria tan amable de hacer un recorrido para conocer todo el cableado de la red.
  29. Qué mecanismos de protección tienen para los cables, tales como protección contra animales, humedad, etc.
  30. Tiene el software contable copias de seguridad?
  31. Cuáles son?
  32. Dónde se encuentran?
  33. Quién los elabora?
  34. Quién los consulta?
  35. Dónde se elaboran?
  36. Que procedimientos se utilizan para elaborarlos?
  37. Con qué periodicidad?
  38. Qué mecanismos establece el organismo para determinar la confiabilidad de sus sistemas informáticos?
  39. Cómo garantiza el organismo la validez de la información consignada en el software contable?
  40. Qué políticas de control de acceso a Internet tiene establecidas el organismo?
  41. Tienen protección contra virus informáticos?
  42. Es software licenciado?
  43. Cada cuanto se actualiza la base de datos del antivirus?
  44. Podría mostrarme la lista de las licencias con las que cuenta el organismo?
  45. Sería tan amable de indicarme que software tiene instalado el equipo de RH
  46. Cómo se asegura que los registros que se generan en todas las dependencias permaneces en el tiempo?
  47. Existe registro de tamaños y cantidades de archivos generados entre cada copia de seguridad, que permitan ser utilizados como controles internos para detectar anomalías en las copias de seguridad?
  48. Tienen sistemas de alerta en caso de fallos de energía eléctrica?
  49. En caso de fallo eléctrico, cuenta la empresa con UPS que permitan un correcto apagado de los equipo?
  50. Los equipos de computo cuentan con protecciones adicionales tales como supresores de picos y reguladores de voltaje?
  51. Qué personas tienen acceso al área de sistemas?
  52. Existen procedimientos establecidos para el ingreso de personal ajeno al departamento de sistemas?
  53. Podría mostrarme las instrucciones documentadas del uso que deben hacer las personas de sus PC’s?
  54. Existen programas de actualización de software?
  55. Quién define los niveles de acceso de los usuarios a la red?
  56. Tiene el organismo contemplados planes de verificación del funcionamiento óptimo de los sistemas operativos y aplicativos?
  57. Cuenta el organismo con mecanismos de energía regulada?
  58. Podría mostrarme la evaluación del proveedor que realizó la instalación?
  59. Hace cuanto tiempo se llevo a cabo la última revisión?
  60. Podría mostrarme los documentos de la última revisión?
  61. Cada cuanto tiempo se llevan a cabo las copias de seguridad?
  62. Si ocurriera un desastre tal como un terremoto, incendio e inundación, cómo se garantiza que la información de las copias de seguridad esta salvaguardada?
  63. Existe un procedimiento que lo documente?
  64. Existe un registro impreso o digital de todas las contraseñas de acceso a los sistemas informáticos?
  65. Quién las almacena?

Preguntas de Auditoría


PREGUNTAS AUDITORÍA

  1. Desde el punto de vista de la auditoria física quiénes son las personas que deben auditarse como responsables de la administración de la seguridad?
  2. Cuáles de los siguiente elementos corresponden a una auditoria del área física?
    1. Ubicación del edificio
    2. Licencias de software
    3. Elementos de Construcción
    4. Potencia eléctrica
    5. Inventario de equipos
  3. Cuáles de los siguiente elementos corresponden a una auditoria del área Ofimática?
    1. Ubicación del edificio
    2. Licencias de software
    3. Elementos de Construcción
    4. Potencia eléctrica
    5. Inventario de equipos
  4. Cuáles de los siguientes elementos deben inspeccionarse en las instalaciones del CPD:
    1. Sala de hosts
    2. Sala de Impresoras
    3. Oficinas
    4. Almacenes
    5. Sala de aparatos eléctricos
    6. Áreas de descanso
  5. Enuncie 4 fuentes básicas de la auditoria física
  6. Teniendo en cuenta la auditoria física que elementos debemos tener en cuenta en cuanto a la seguridad del personal (enuncie al menos 2)
  7. Verdadero o Falso, En la auditoria física es responsabilidad del auditor efectuar el seguimiento de las recomendaciones?
  8. Para un correcto desarrollo de la auditoria física y la auditoria ofimática que técnicas y herramientas recomendaría (2 técnicas y 2 herramientas).
  9. De acuerdo a su criterio para que un auditor del área física debe solicitar las auditorias internas anteriores?
  10. Teniendo en cuenta la circular 5 de la dirección nacional de derechos de autor, si instalamos software pirata, violamos 2 derechos de autor, cuáles son?
  11. Cual de las siguientes actividades son nombradas en la circular 5 de la dirección nacional de derechos de autor?
    1. Copiar programas al interior de empresas sin estar autorizadas para ello
    2. Venta de equipos de hardware con software preinstalado
    3. Venta de copias ilícitas a particular en medios magnéticos.
  12. Si usted fuera el representante legal de la empresa X como aseguraría que su empresa Adecua los informes de gestión y los informes financieros a la Ley 603 de 2000?
  13. De acuerdo a la Ley 1273 de 5 de enero de 2009 la condena mínima por delitos cometidos violando la protección de la información y los datos en sistemas que utilicen tecnologías de información es de:
  14. Qué debe tenerse en cuenta al momento de realizar una auditoria ofimática?
  15. Si el auditor en este caso usted, evidencia que un producto de software de licencia free no tiene licencia, que informaría acerca del hallazgo y a que referencia bibliográfica se remitiría?
  16. Cuáles de los siguientes son controles que permitan determinar si los usuarios cuentan con suficiente formación y documentación de apoyo para desarrollar sus tareas:
    1. Determinar la existencia de una plan de formación
    2. Evaluar la existencia de mecanismos para resolver dudas
    3. Examinar la documentación existente en materia de seguridad

Presentación Auditoría de Sistemas 3 y 4

Para ver la presentación Número 3, por favor dar click aquí

viernes, 4 de junio de 2010

Sobre el proyecto de investigación

Buenos días: En el enlace del grupo de google, encontrarán el documento del ICFES sobre los elementos constitutivos del Proyecto de Investigación.
Espero sea de ayuda.

Atentamente,
LINA MARÍA SUÁREZ V

Serie Aprender a Investigar, Módulo IV

http://groups.google.com/group/auditoria-de-sistemas-remington?hl=en