cuestionario control de sistemas.doc
TRANSCRIPT
TEST DE AUDITORIA DE SISTEMAS
AUDITORA DE SISTEMAS
CUESTIONARIO DE CONTROL INTERNO
Fecha (dd-mmm-aa) _________ Auditor ____________________ Revis ________________Sett
CAPTULO DE MANEJO DE EFECTIVO
CAPTULO 1:OBJETIVO DE LA AUDITORA
Ver papeles de trabajo Dr. Carlos Hurtado
Programa de auditora
1. Obtenga la Circular Reglamentaria 34 de 1998 (27 de octubre de 1998)
2. Se cumple en la prctica la Circular Reglamentaria ?
3. Cmo se obtiene el cuadre diario en el Banco Andino ?
4. Cmo se entrega esta informacin a Sett ?
5. De qu manera se contabilizan los ingresos ?
6. Deben examinarse los controles implementados en los aplicativos para asegurar una adecuada calidad de la informacin capturada.
CAPTULO 2:NORMAS Y PROCEDIMIENTOS
Ver papeles de trabajo Dr. Carlos Hurtado
Programa de auditora
1. Obtenga la Circular Reglamentaria 34 de 1998 (27 de octubre de 1998)
2. Documntese sobre las normas y los procedimientos establecidos para Sett.
CAPTULO 3:DESCRIPCIN DEL PROCEDIMIENTO OPERATIVO
Ver papeles de trabajo Dr. Carlos Hurtado
Programa de auditora
1. Salidas del sistema
2. Recibos de caja (3 4 partes)
3. Relacin de consignaciones efectuadas por el cliente en el Banco Andino
4. Relacin de derechos para Sett, Secretara de Trnsito y Transporte y Ministerio de Transporte
5. Reporte de Retencin en la Fuente por venta de vehculos.
CAPTULO 4:RIESGOS PREVISTOS
Ver papeles de trabajo Dr. Carlos Hurtado
Programa de auditora
1. La Entidad dispone de controles para las claves de acceso ?
2. Registro de pistas de auditora ?
3. La Entidad dispone de controles efectivos para la identificacin de recibos de caja falsos ?
4. La Entidad dispone de controles para impedir que puedan anularse recibos de caja una vez generados por el sistema ?
5. Se realiza en forma diaria una conciliacin del efectivo recibido por Sett en el rea financiera ?
6. La Entidad dispone de controles para los menores valores recibidos ?
7. Se realizan en forma oportuna las consignaciones recaudadas por el Banco del Estado ?
8. Posee la aplicacin de caja interface con la contabilidad ?
9. Se encuentran en lnea las aplicaciones de caja y registro de trmites ?
10. El sistema dispone de controles para impedir el recibo de cheques por parte de clientes no autorizados (sin convenio para Sett) ?
11. Los cheques recibidos son siempre girados a nombre de FONDATT ?
12. Se discrimina dentro del reporte diario de cuadre de caja los valores recibidos en cheque y efectivo ?
13. Es efectivo el control implementado para el manejo de los cheques devueltos ?
CAPTULO DE REA DE SISTEMASOBJETIVOS:
1.Evaluar la funcionalidad del rea de Sistemas, el tipo de relacin con las dems reas y el aporte que brinda a la Organizacin en general.
Programa de auditora
100ORGANIZACIN ADMINISTRATIVA
OBJETIVO:Evaluar la estructura administrativa y organizacional del rea de Sistemas.
No
CUESTIONARIO
S/N
Ref. P/T
CONTROLES GENERALES
Organigrama
1. Se encuentra incluida el rea de Sistemas en el organigrama de la entidad ?
2. Se cumple el organigrama en su totalidad dentro del rea ?
3. Los cambios o modificaciones al organigrama de Sistemas son debidamente aprobados por los niveles competentes ?
4. Se reportan los nuevos cambios del organigrama a los usuarios pertinentes ?
5. Es este organigrama funcional ?
6. Es el rea de Sistemas independiente de los dems ?
Polticas del Departamento
7. Se cuenta con un Manual de Polticas para el Departamento ?
8. Se encuentra aprobado dicho Manual por el Director del rea ?
9. Se cumplen cabalmente las funciones descritas en el manual ?
Manual de funciones y procedimientos
10. Dispone la Entidad de un manual de funciones para el rea sistemas ?
11. Incluye este manual las funciones de cada seccin dentro del rea ?
12. Se encuentra actualizado el manual ?
13. Se encuentran aprobadas las funciones por el Director del rea ?
14. De acuerdo con el manual, se distribuyen adecuadamente las funciones del rea ?
15. Se cumplen cabalmente las funciones descritas en el manual ?
16. Est justificado y documentado el nmero de cargos por funcin para el Departamento ?
17. Es ptima la cantidad de cargos establecida para el Departamento ?
18. Existen manuales procedimientos que regulen la actividad del rea ?
19. Se cumplen esos procedimientos realmente ?
Control del personal
20. Cuenta la Entidad con un plan para el manejo de personal y en particular para el rea de Sistemas que incluya:
Procedimientos para seleccin
Procedimientos para contratacin
Procedimientos para entrenamiento tcnico
Procedimientos para ascensos y
Procedimientos para retiros
21. Se lleva a cabo dicho plan en la actualidad ?
22. Se llevan a cabo de manera rigurosa los diferentes procesos para el manejo del personal vinculado (contratacin, entrenamiento, ascensos y retiros) ?
23. El personal asignado al rea se encuentra suficiente y adecuadamente capacitado para el desempeo de sus labores ?
24. Se examina el perfil y la calidad del personal durante el proceso de seleccin y contratacin ?
Personal temporal
25. Se encuentra personal temporal vinculado al rea de Sistemas ?
26. Maneja este personal algn tipo de responsabilidad especial o ejecucin de procesos vitales de la Entidad ?
27. Los contratos con personal temporal incluyen clusulas de penalizacin y dems responsabilidades que frente a la Entidad ?
Comunicacin interna
28. Existen canales de comunicacin claramente definidos dentro del rea ?
Planeacin del trabajo
29. Cuenta el rea de Sistemas con un documento de planeacin estratgica ?
30. Se encuentra alineado dicho plan con la planeacin estratgica corporativa ?
31. Es coherente la planeacin estratgica trazada ?
32. Se viene llevando a la prctica ?
33. Se cuenta con los recursos suficientes para asegurar su cumplimiento ?
34. Se realiza seguimiento a su ejecucin de manera peridica ?
35. Dispone el rea de Sistemas de un plan para la ejecucin de las principales actividades asignadas a las diferentes secciones ?
36. Se realiza seguimiento a su ejecucin de manera peridica ?
37. Se toman medidas oportunas y adecuadas para corregir desviaciones y asegurar el cumplimiento del mismo ?
Organizacin del trabajo Definicin de estndares y metodologas
38. Se dispone de estndares documentados para la realizacin de los trabajos ?
39. Se encuentran actualizados ?
40. Son suficientes para asegurar la homogeneizacin de tareas ?
41. Se asegura la aplicacin de estndares permanentemente ?
42. Se dispone de metodologas de trabajo documentadas
43. Se encuentran actualizadas ?
44. Son suficientes para asegurar la calidad de las tareas realizadas ?
45. Se asegura la aplicacin de dichas metodologas permanentemente ?
Direccin del trabajo
46. Las diferentes tareas de las secciones son dirigidas en forma permanente ?
47. El proceso de direccin de tareas se realiza de manera adecuada ?
48. Es competente el personal dedicado a la direccin de tareas ?
49. Se asegura que los encargados de la direccin de tareas no realicen labores operativas ?
Supervisin y control del trabajo
50. Se cuenta con una adecuada supervisin del trabajo en cada una de las secciones del rea ?
51. Es adecuada la supervisin ejercida sobre los diferentes trabajos ?
52. Se cumplen en forma oportuna las tareas, metas y objetivos asignados al Departamento ?
53. Se cumplen con exactitud los horarios de entrada y salida del personal ?
54. Se tienen polticas claras para administrar la sobrecarga de trabajo en ciertas secciones ?
55. Es frecuente la sobrecarga de trabajo en el rea ?
56. Existen cronogramas que permitan regular la entrega de trabajos internamente para permitir su trmite de revisin y entrega ?
57. Se cumplen con puntualidad dichos cronogramas ?
58. Cmo se administran las colas de trabajo en el rea ?
59. Se supervisa peridicamente el cumplimiento de tareas y se llevan a cabo los ajustes y correctivos que garanticen el aseguramiento de las metas del rea ?
60. Se dispone de controles efectivos para el acceso a la documentacin de la Entidad ?
61. Se tienen en cuenta criterios adecuados para la asignacin de trabajos y prioridad de los mismos ?
62. Se utilizan tcnicas de control administrativo para verificar el cumplimiento de los trabajos ?
63. Existe una adecuada rotacin de trabajo dentro de cada rea del rea ?
64. Existen polticas de costos para procesamiento y desarrollo de Sistemas ?
65. Son adecuadas estas polticas ?
66. Se cumplen en la realidad ?
67. Se evala la razonabilidad de dichos costos ?
68. Las polticas de la Entidad incluyen vacaciones obligatorias para el personal del rea de Sistemas ?
69. Se cumplen estas polticas ?
70. Se pagan ocasionalmente las vacaciones en dinero ?
71. Se prepara una planeacin de vacaciones para el personal del rea?
72. Incluyen las polticas de la entidad controles para mantener la seguridad de los sistemas cuando se retira un empleado del rea ?
73. Se cumplen dichas polticas ?
74. Son adecuadas las polticas ?
75. Se reciben los cargos mediante acta de entrega del estado de los trabajos, as como de los diferentes elementos que se requieren para su desarrollo ?
POLITICAS DEL REA DE SISTEMAS
No
CUESTIONARIO
S/N
Ref. P/T
1. La Entidad dispone de polticas para el mantenimiento de los equipos de cmputo ?
2. Se cumplen estas polticas ?
3. Se encuentran debidamente aprobadas las polticas ?
4. Estas polticas contemplan metodologas para llevar a cabo el mantenimiento tanto de hardware como de software ?
5. Existen contratos de mantenimiento con compaas especializadas?
6. Se encuentran vigentes ?
7. Quin administra el cumplimiento de tales contratos ?
8. Se hacen exigibles la plizas de los contratos a los contratistas que no cumplen ?
9. Se ha adquirido legalmente todo el Software instalado en los equipos de la Entidad ?
10. Se sigue alguna metodologa de adquisicin del Software?
11. Se ha adquirido legalmente todas las partes del equipo?
12. Se sigue alguna metodologa de adquisicin de equipos?
13. Se controla que solo se encuentren instalados aquellos programas de uso constante, adems de no permitirse la duplicidad de instalaciones o de archivos ?
14. Se encuentra debidamente licenciada la totalidad del software que usa la Entidad ?
15. Contemplan las polticas de la Entidad controles administrativos que aseguren la confiabilidad en la captura de los datos ?
16. Se cuenta con controles por parte del personal que maneja la aplicacin para detectar errores u omisiones en el momento de la captura?
17. Cuentan los sistemas con rutinas de verificacin de la informacin que se est capturando ?
18. Son efectivas tales rutinas ?
19. Rechaza definitivamente la aplicacin aquellas transacciones invalidas?
20. Existen y son efectivos los controles administrativos que permitan la confiabilidad en el procesamiento de los datos?
21. Existen y son efectivos los controles proporcionados por la aplicacin para prevenir errores en el procesamiento de la informacin?
22. Se cuenta con controles por parte del personal que maneja la aplicacin para detectar errores u omisiones en el momento del procesamiento?
23. Cuenta la aplicacin con rutinas de verificacin de la informacin que se est procesando?
24. Son efectivos los procedimientos usados para corregir los datos procesados erradamente ?
25. Existen y son efectivos los controles administrativos que permitan la confiabilidad en la salida de los datos?
26. Se cuenta con controles por parte del personal que maneja la aplicacin para detectar errores u omisiones en la salida de informacin?
27. Cuenta la aplicacin con rutinas de verificacin de la informacin que sale del sistema?
ORGANIZACIN DEL CENTRO DE COMPUTO (Principal y alterno)
Seguridades
1. Se encuentra ubicado el Centro de Cmputo en un sitio seguro dentro de la Entidad ?
2. Es estructuralmente seguro el Centro de Cmputo (paredes, pisos, techo y ventanas ?
3. Se cuenta con medidas efectivas para el control de acceso al centro de cmputo ?
4. Se registra en una bitcora las entradas y salidas de personal al Centro de Cmputo ?
5. Se controlan los accesos del personal al Centro de cmputo durante los das y horas no laborables ?
6. Se garantiza la seguridad del Centro de Cmputo frente a retiros del personal que labor internamente ?
7. Son efectivos los controles a la seguridad del Centro de Cmputo durante el perodo de vacaciones del personal interno ?
8. Se identifica previa y adecuadamente el personal que ingresa al Centro de Cmputo y en particular los tcnicos que realizan el mantenimiento de los equipos ?
9. Se dispone de un plan de evacuacin del personal frente a posibles contingencias ?
10. Se ha probado la efectividad de dicho plan ?
11. Conoce cada persona del Centro de Cmputo su funcin frente a un caso de contingencia ?
12. Se encuentra preparado (entrenado) el personal para actuar adecuadamente frente a un caso de contingencia ?
13. Se llevan a cabo simulacros de evacuacin y proteccin de la informacin residente en los equipos del Centro de Cmputo as como de los diferentes medios de almacenamiento y listados ?
14. Se cuenta con extintores de Haln dentro del Centro de Cmputo ubicados estratgicamente ?
15. Su carga se encuentra vigente ?
16. Conoce el personal del Centro de Cmputo la forma de operarlos en caso de emergencia ?
17. Se han realizado simulacros que aseguren que el personal puede operarlos adecuadamente ?
18. Se dispone de alarmas que se activen automticamente frente a un eventual incendio ?
19. Se dispone de alarmas para deteccin de humos ?
20. Se dispone de alarmas para deteccin de humedad ?
21. Se encuentra regulada la corriente elctrica de los computadores que forman parte del Centro de Cmputo ?
22. Se dispone de planta elctrica para los casos de corte de fluido elctrico ?
23. Es suficiente la carga elctrica generada por la planta considerando los equipos de cmputo de la Entidad ?
24. Se dispone de UPS para garntizar la continuidad del fluido elctrico a los diferentes equipos de la Entidad y en particular los del Centro de Cmputo ?
25. Es suficiente el tiempo de reposicin de corriente proporcionado por la UPS para asegurar que puedan apagarse adecuadamente los equipos ?
26. Recibe mantenimiento peridico la planta elctrica y la UPS ?
27. Se prueba peridicamente la planta elctrica y la UPS ?
Planeacin
28. Se planean adecuadamente las operaciones que se realizan en el Centro de Cmputo ?
29. Se cumple la planeacin establecida ?
30. Se dispone de planes de contingencia para los casos en que no es posible contar con el sistema durante un tiempo prolongado ?
Organizacin
31. Dispone el Centro de Cmputo con aire acondicionado ?
32. Dispone el Centro de Cmputo con piso falso ?
33. Dispone la Entidad con polticas para asegurar el mantenimiento preventivo, detectivo y correctivo de los equipos del Centro de Cmputo ?
34. Cuenta la Entidad con polticas para llevar a cabo copias de respaldo dentro del Centro de Cmputo ?
35. Se dispone de equipos de respaldo que puedan utilizarse en caso de contingencia ?
36. Se evala la competencia de las empresas que llevan a cabo el mantenimiento de los equipos en el Centro de Cmputo ?
37. Se entrena peridicamente al personal del Centro de Cmputo tanto en el uso adecuado
Supervisin
38. Se controlan los horarios de entrada y salida del personal del Centro de Cmputo ?
39. Se supervisa el tipo de trabajo realizado por los tcnicos sobre los equipos de cmputo durante el perodo de mantenimiento ?
40. Se lleva a cabo un control escrito de los cambios de partes efectuados sobre los equipos ?
Direccin
41. Se tienen establecidos procedimientos documentados que cubran las operaciones del Centro de Cmputo ?
Control
Operacin
42. Se tienen establecidos procedimientos documentados que cubran las operaciones del Centro de Cmputo ?
43. Se encuentran actualizados ?
44. Se cumplen en la realidad ?
45. Se encuentran aprobados por la jefatura del Departamento ?
46. Existe una divisin de funciones entre operaciones del Centro de Cmputo y las dems secciones ?
47. Se capacita al personal de operacin y supervisin para el adecuado manejo del equipo ?
48. Hay una supervisin efectiva en el manejo del equipo ?
49. Se mantienen logs diarios operativos del equipo ?
50. Deja evidencia el log de la fecha, hora y tipo de accin tomada ?
51. Los logs diarios son revisados por el jefe del Centro de Cmputo ?
52. La totalidad de los procesos que realiza el operador en el sistema se registran en el log ?
53. Se dejan observaciones en el log de la consola para mostrar las acciones correctivas cuando se presentan interrupciones de programa, no planeadas ?
54. Existe una persona determinada para imprimir el listado del log en circunstancias especficas ?
55. Existe un funcionario autorizado que examine los listados de la consola para detectar problemas del operador o intervenciones no autorizadas ?
56. Para el inicio de un proceso es indispensable una orden de proceso autorizada ?
57. Hay algn tipo de operacin que indique todas las corridas realizadas por el operador ?
58. Hay restricciones de manejo de computador por cuenta de los operadores para corrida de programas externos ?
59. Los operadores envan los listados al rea de la mesa de control ?
60. Tienen los operadores acceso restringido a datos e informacin de los programas ?
140ORGANIZACIN EN LA CINTOTECANo CUESTIONARIO S/N Ref. P/T
61. Existe un operador nico que maneje la cintoteca ?
62. Las personas a las cuales se les entregue archivos estn debidamente autorizados para manejarlos ?
63. Se mantienen registro de inventarios permanentes de los discos y las cintas ?
64. Se mantiene registro del estado de las cintas y los discos ?
65. Todas las cintas y/o discos poseen rtulos internos o externos que expliquen:
* Nombre del archivo
* Nmero de serie de volumen
* Fecha de creacin
* Fecha de expiracin
* Nmero de revisin
66. La construccin de la cintoteca permite soportar incendios por un tiempo prolongado ?
67. En oportunidades el cintotecario realiza simultneamente la labor de operacin del equipo ?
150SEGURIDADES FISICAS EN EL CENTRO DE COMPUTO
No CUESTIONARIO S/N Ref. P/T
68. Es adecuada y segura la ubicacin del Centro de Cmputo ?
69. Existe vigilancia especial para el Centro de Cmputo ?
70. Es restringido el acceso al Centro de Cmputo ?
71. Es restringido el acceso a la Cintoteca ?
72. Se lleva un historial de acceso al Centro de Cmputo ?
73. Se exige a los visitantes una autorizacin del Director del rea de Sistemas ?
74. Porta el personal del Centro de Cmputo un carn de identificacin?
75. El almacenamiento de papelera se hace en un cuarto aislado del Centro de Cmputo ?
76. Es apropiada la distribucin del rea del Centro de Cmputo ?
77. Cuenta el Centro de Cmputo con salidas de emergencia ?
78. Las puertas, pisos, techos y separadores son de material no combustible ?
79. Tienen las ventanas vidrios de seguridad ?
80. Existe alarma contra incendios ?
81. Se prueban las alarmas peridicamente ?
82. Existe una alarma contra humos ?
83. Se dispone de un dispositivo de control de humedad y temperatura?
84. Posee el Centro de cmputo aire acondicionado ?
85. Existen extintores de Haln y su carga est vigente ?
86. Se colocan en lugar visible y accesible los extintores ?
87. Existe y funciona un equipo de extincin automtica de incendios ?
88. Existe un Plan de accin a seguir en caso de contingencias, debidamente actualizado y documentado ?
89. Se ha evaluado la funcionalidad de dicho plan mediante pruebas de simulacin ?
90. Se dispone de una planta generadora de electricidad ?
91. Se encuentra la planta elctrica conectada al sistema de restauracin de electricidad ?
92. Se cuenta con una U.P.S. que garantice el normal flujo de electricidad al equipo de cmputo existente?
93. Se encuentran los cables de electricidad dentro de tubos a prueba de fuego ?
94. Existen reguladores de voltaje ?
95. Se encuentran los reguladores de voltaje dentro del Centro de Cmputo ?
96. Se cuenta con contratos de mantenimiento preventivo y correctivo para todo el equipo de cmputo, con empresas especializadas ?
97. Se han logrado convenios con estas empresas para la reposicin oportuna de partes del equipo de cmputo, en caso de presentarse fallas en stos ?
98. Se encuentra asegurado el equipo de cmputo, la C.P.U. y la informacin de la empresa ?
99. Se prohibe comer, beber y fumar en el Centro de Cmputo ?
100. Se almacenan los backups de la empresa en cajas de seguridad ?
101. Se mantienen duplicados de los archivos (programas fuentes, objetos y datos) fuera del edificio ?
102. Existen instalaciones fuera del rea del computador para almacenar copias de todos los archivos, libreras y documentacin en general?
103. Se contemplan medidas de seguridad en el caso de terminacin de contratos de trabajo ?
104. Existen cerraduras especiales y personal de seguridad para restringir el acceso a la computadora y a las terminales?
105. Se han establecido procedimientos adecuados para prevenir los accesos no autorizados?
106. Existen tcnicas para prevenir daos accidentales causados por un usuario, una falla elctrica o cualquiera manifestacin de la naturaleza?
107. Existen tcnicas para prevenir errores accidentales causados por un usuario, un programa o la maquina?
108. Se protege adecuadamente la informacin contenida en cintas y/o flexibles adecuadamente?
109. Se mantienen bajo llave las reas de informacin y de equipos?
110. Existen controles del medio ambiente contra exceso de humedad, temperatura u otras condiciones atmosfricas?
111. Existe un sistema de proteccin de los computadores contra el fuego?
112. Se ubican en un lugar seguro los disquetes y/o cartuchos de cinta?
113. Se usan reas de almacenamiento de archivos fuera de la instalacin?
114. Se encuentran los componentes del PCs y los equipos en uso en un lugar seguro y bajo llave?
115. Se cierran con seguro las reas donde estn instalados los PCs una vez finalizan sus labores?
116. Se mantienen los PCs bajo llave, al igual que sus equipos accesorios?
117. Existe un sitio alterno para el proceso normal en caso de fallas del equipo?
118. Existe la posibilidad del remplazo de los componentes de un equipo en caso de falla?
119. Se han clasificado los procesos crticos en orden de prioridad y se poseen instructivos de respaldo para cada uno de estos?
120. Existen manuales y/o instructivos para continuar con las operaciones en caso de fallas en los equipos?
121. Los archivos de datos y/o programas almacenados en el sitio alterno se pueden recuperar en un tiempo tal que no interrumpa las operaciones normales de la empresa?
122. Se ha documentado el manejo de cintas y/o de disquetes de respaldo para la recuperacin de informacin?
123. Se encuentran asegurados los equipos y sus componentes y la pliza es vigente?
124. Los componentes de los equipos se encuentran identificados con una placa o algn otro medio visible para el propsito del control de inventarios?
125. Se han hecho arreglos con el proveedor para una fcil recuperacin de suministros en caso de contingencias?
126. Se previene o se toman medidas para que los usuarios de los equipos mantengan el computador limpio, libre de comidas, ceniza, clips, etc.
127. Se protegen los equipos con cubiertas plsticas o de otro material que no permitan el paso de polvo, agua, humedad y rayos solares?
128. Se limpian peridicamente las cabezas de lectura de los disquetes?
129. Con frecuencia se aspiran y limpian las impresoras?
130. El monitor se limpia peridicamente con productos especiales, desconectndolo antes de hacerlo?
131. Se limpia y aspira peridicamente el teclado?
132. Existen y son adecuados los contratos de mantenimiento (tanto preventivos como correctivos) de equipos y aire acondicionado?
160SEGURIDADES LOGICASNo CUESTIONARIO S/N Ref. P/T
Cuenta el sistema con un efectivo control de acceso a los programas y datos del sistemas?
Existe conciencia dentro de la empresa sobre la seguridad que debe poseer la informacin del sistema ?
Se ha definido una poltica de seguridad en el manejo de la informacin por parte del rea de Sistemas ?
Se cumplen las acciones definidas por esta poltica ?
Las claves de acceso (passwords) al sistema son nicas para cada usuario ?
Permite el sistema individualizar las operaciones que realiza una opcin del sistema y asignar estas operaciones a usuarios especficos ?
Se restringe el acceso a usuarios no autorizados en la realizacin de procesos o acciones especficas dentro del sistema ?
Cuando las aplicaciones se encuentran en produccin, se restringe el acceso a los funcionarios de Sistemas sobre los archivos de datos?
Se cambian peridicamente las claves de acceso al sistema ?
Se controlan las claves asignadas a usuarios retirados de la empresa?
Cuenta el sistema con un slo administrador, con permisos de excepcin sobre las operaciones ?
Participa el personal de sistemas en labores de digitacin ?
Cuenta el sistema con un archivo de pistas de auditora que registre las acciones efectuadas por los usuarios dentro del sistema ?
Se activa la opcin de cargar informacin dentro de este archivo?
Se realiza backup del log. anterior ?
Existe slo una clave de acceso a funciones de mantenimiento del sistema, la cual est impedida de llevar a cabo otras acciones dentro del sistema ?
Incluye el archivo de pistas de auditora como mnimo la siguiente informacin:
* Nombre y/o cdigo del usuario.
* Nombre y/o cdigo de la aplicacin ejecutada.
* Nombre y/o cdigo de la opcin del sistema ejecutada.
* Nombre del archivo accedido.
* Tipo de operacin realizada (adicin, modificacin, borrado, etc.)
Permite la aplicacin conocer por medio de las pistas de auditora cul(es) cambios se realizaron sobre un registro especfico ?
Es confiable la seguridad que brinda el sistema ?
Permite el sistema de seguridad conocer al administrador del sistema las claves de acceso de los dems usuarios ?
Existe slo un funcionario con privilegios especiales (administrador del sistema) ?
Permite el sistema a cada usuario cambiar de clave, cuando ste lo desee ?
Se mantiene un registro de la ejecucin de programas por los usuarios?
Se restringe el uso del disco duro a los usuarios autorizados nicamente?
Se definen subdirectorios para cada usuario de tal manera que se mantenga la integridad de sus archivos?
Se encuentran instalados solamente programas o utilidades de uso constantes, cuales?
Se previene la duplicidad de instalacin de aplicaciones o de archivos?
Se limita el uso del equipo a los usuarios autorizados nicamente?
Se capacita a los usuarios en el manejo de los equipos?
Se cuenta con manuales o instructivos de manejo de los equipos?
Se limita el acceso a los programas y archivos mediante el uso de contraseas y terminales restringidas para el uso de programas especficos?
Existe un sistema de respaldo de los archivos de los usuarios contenidos en el disco duro (backup)?
Existe un sistema de respaldo de los programas de los usuarios contenidos en el disco duro (backup)?
Se realizan cambios de los atributos de los archivos de datos y a programas que permitan se salvaguarda frente a intentos de hurto o remisin no autorizada?
Existen procedimientos que impidan accesos no autorizados al disco duro?
Existen procedimientos para autorizar nuevos usuarios?
Se protege la informacin contenida en el disco duro a travs de claves de acceso?
Se cuenta con programas de Software para la deteccin de intrusos en el sistema?
Se han adquirido programas utilitarios que permitan la recuperacin de datos/ programas en caso de fallas en los disquetes/discos duros?
170TRANSCRIPCION DE DATOSNo CUESTIONARIO S/N Ref. P/T
Existen manuales de transcripcin para todas las operaciones ?
Los grabadores marcan con el sello de grabacin los documentos procesados en la transcripcin ?
Todos los errores cometidos por grabacin se corrigen en la mesa de control y se deja evidencia de ello ?
Existe el respaldo de backups por medio de disquetes ?
Se realizan los backups diariamente ?
El diseo de los documentos frente a los sistemas de codificacin realizados facilitan la transcripcin de los datos ?
Todas las correcciones de errores son revisadas y aprobadas por personas diferentes a los grabadores ?
Se lleva un registro de los documentos utilizados en cada grabacin, y de los errores cometidos en este proceso ?
La verificacin de datos es efectuada por personas diferentes a los que graban y operan el computador ?
Se prohibe a los grabadores efectuar las funciones asignadas a los operadores ?
Existen formatos estandarizados para la elaboracin de JOBS ?
Existen manuales de instruccin para la creacin de JOBS ?
Estn determinados privilegios de acceso a los archivos y programas para los operadores y grabadores ?
Se cumple con las funciones establecidas en el manual para el desempeo del cargo de grabadores y procesadores ?
Existe un Manual de Procedimientos para los operadores ?
180MESA DE CONTROLNo CUESTIONARIO S/N Ref. P/T
Existen manuales actualizados de procedimientos para preparacin, revisin y aprobacin ?
Se aceptan solamente documentos que corresponden a formatos preestablecidos, debidamente diligenciados ?
Existen controles para evitar que los documentos revisados no hayan sido procesados anteriormente ?
Se rechazan aquellos documentos fuente que presenten enmendaduras, borrones, repisados y espacios en blanco ?
Se verifica que los documentos vengan en el orden de secuencia respectivo ?
Al momento de recibir documentacin para proceso, se firma la remisoria entregada por el usuario y se devuelve la copia ?
Se deja evidencia escrita de las inconsistencias encontradas ?
Existen y se cumplen horarios y calendarios para recibir los documentos y entregar los resultados ?
Se cuenta con un registro de firmas y sellos de autorizacin de las reas remitentes internas ?
Se verifica el registro mencionado contra las firmas y sellos de los documentos recibidos ?
Se tienen asignadas funciones y responsabilidades por escrito, de cada funcionario ?
Existen controles para asegurar la integridad de la informacin que se enva para la transcripcin ?
El control sobre las funciones de codificacin, grabacin y verificacin se realiza por una nica persona ?
OBJETIVO:Evaluar los controles de seguridad a los archivos del sistema.
200EVALUACIN DE SEGURIDAD A LOS ARCHIVOS
No CUESTIONARIO S/N Ref. P/T
Existe un Manual de Procedimientos que describa el contenido y manejo de los archivos ?
Dejan todos los procesos evidencias de:
* Fecha
* Nombre y/o nmero de trabajo
* Nombre y/o nmero del programa
* Hora de iniciacin - terminacin
* Archivos utilizados
Los reas que originan las transacciones, controlan en forma independiente los datos que se presentan para ser procesados:
* Documento Circular
* Recuento de Registros
* Totales de control predeterminados
Permite el sistema a los operadores y/o usuarios en general, manipular los archivos tipo reporte ?
Se encuentran debidamente rotulados e identificados cronolgicamente los archivos que se encuentran en medio magntico removible ?
Existe dentro de la empresa una persona responsable de la elaboracin de backups ?
Se sigue una poltica de backups dentro de la empresa ?
Es adecuada esta poltica para garantizar una oportuna y completa recuperacin de la informacin de respaldo ?
Existe un registro escrito de la biblioteca de programas del sistema?
Se cuenta con un adecuado sistema de microfilmacin de documentos ?
Se tienen procedimientos de manejo y almacenamiento de los archivos por microfilmacin.
Se supervisa peridicamente el log generado por el sistema?
Se tienen cdigos de seguridad a los archivos con el objeto de restringir el acceso ?
Se utiliza algn tipo de tcnica criptogrfica para almacenar los datos ?
Se ha entrenado al personal que maneja los archivos ?
Existe un cronograma de actividades por operario donde se identifique quin y qu aplicaciones ejecut diariamente.
Se toman medidas de control que impidan el acceso fsico y lgico de los archivos ?
OBJETIVO:Evaluar los controles sobre los cambios a los programas
300DESARROLLO DE SISTEMAS (CAMBIOS A PROGRAMAS):
No CUESTIONARIO S/N Ref. P/T
Se mantiene un funcionamiento apropiado que abarque la deteccin integral y confiable de errores incluyendo la preparacin de informes que les revelen?
Existe una poltica uniforme de desarrollo de sistemas?
Existe una poltica uniforme para todos los cambios a los programas existentes?
Existe participacin activa de los usuarios en las fases importantes de desarrollo, o de cambio, incluyendo una aprobacin final?
Se encuentra documentado el manejo de cada uno de los sistemas?
Se encuentra documentado el manejo de la operacin del equipo?
Se encuentra documentado el manejo de las aplicaciones por parte de los usuarios?
Existen los estndares del PED una documentacin uniforme para los formatos de registros e informes?
Se encuentran documentados los programas fuente?
Existe personal autorizado para modificar programas ?
Existe un registro en el que quede evidencia de las entradas y salidas realizadas a los archivos por parte de los usuarios en general ?
En el desarrollo de aplicaciones, se sigue algn estndar de programacin ?
Se encuentran dichos estndares debidamente documentados, y son plenamente conocido por los programadores ?
Se encuentran documentadas todas las aplicaciones que forman parte del sistema ?
Son debidamente autorizadas las modificaciones puntuales y estructurales que deben realizarse a los programas ?
Se lleva un registro de las aplicaciones a cargo de cada programador ?
Se actualiza oportunamente la documentacin de los programas modificados ?
Se almacenan los medios de respaldo de la informacin en sitios seguros y protegidos contra el fuego, la humedad y otras condiciones ambientales nocivas ?
Se cuenta con un archivo de estos medios en un sitio externo al edificio de la empresa ?
Se restringe el acceso de estos elementos, a las personas no autorizadas ?
Se cuenta con formularios preimpresos con el fin de registrar las modificaciones a los archivos maestros ?
Se diligencian estos formularios con cada modificacin al archivo maestro ?
Existen procedimientos escritos para el diligenciamiento y aprobacin de estos formularios ?
Se realizan pruebas de control al archivo maestro una vez ha sufrido modificaciones generadas por las novedades ?
Durante el desarrollo, se documentan internamente los programas fuente cumpliendo un estndar definido previamente ?
OBJETIVO:Evaluar los mecanismos de control del sistema tales como listados, empleados como herramienta de deteccin de errores.
400INFORMES DEL SISTEMA SOBRE LOS ERRORES DE CAPTURA
No CUESTIONARIO S/N Ref. P/T
Genera el sistema un listado de errores con la suficiente informacin para poderlos detectar ?
Existe un log o informe de errores para cada aplicacin durante la etapa de captura de datos ?
Se lleva algn registro adecuado y actualizado de transacciones rechazadas por el sistema ?
Se cuenta con manuales de descripcin de los errores arrojados por las aplicaciones ?
En el proceso de captura, se utilizan totales de control para rastrear posibles errores ?
Incluyen los programas del computador los siguientes tipos de prueba de validez para la captura de datos:
* Cdigo
* Caracter
* Campo
* Transaccin
* Relacin de Campos
* Datos Faltantes
* Dgitos de Chequeo
* Secuencia
* Prueba de lmite de razonabilidad
* Signo
* Totales en referencia cruzada de datos
Existe dentro del programa un programa que genere la aplicacin de los mensajes errados, indicando el tipo de error ?
Generan las aplicaciones cifras de control tales como:
* Conteo de Registros Capturados
* Totales de Control
* Totales de Control de paquetes de documentos
Quedan en algn archivo de errores los datos errados, despus de que stos se envan a los usuarios para su correccin ?
Contempla el listado de validacin, errores por duplicacin de registros ?
Existe algn control lgico que impida modificar los archivos maestros a personal no autorizado ?
Se registran en un formato destinado para ello, los ajustes a los acumuladores del archivo maestro ?
Se archivan en lugar seguro los listados de validacin ?
510DISTRIBUCION DE INFORMES Y PRIVACIDAD DE LA INFORMACINNo CUESTIONARIO S/N Ref. P/T
Los informes se distribuyen acompaados de una hoja remisoria ?
Los reportes de salida son entregados a personas debidamente autorizadas por las reas del usuario ?
Se prohibe a los funcionarios de la mesa de control entregar informes a usuarios no autorizados ?
Se cumple efectivamente con esta prohibicin ?
Se mantiene un registro de los informes y documentos que deben ser producidos por el sistema para su distribucin ?
Existe un manual de control para la distribucin de informes a los usuarios ?
Se restringe el acceso a las opciones del sistema que genera los informes ?
Existe una nica persona encargada de la distribucin de informes?
Se ha establecido algn tipo de control para casos de prdida de reportes ?
Se realiza en forma oportuna la generacin y entrega de listados a los usuarios pertinentes ?
Se controla la fuga de informacin hacia el exterior de la empresa por parte de los usuarios respectivos ?
Se asegura convenientemente la informacin microfilmada ?
Existe un formato estndar en los listados generados por el sistema?
CUESTIONARIO DE CONTROL INTERNO
AL PROCESAMIENTO ELECTRNICO DE DATOS. Pg 1