avance auditoria 1

AUDITORIA DE SISTEMAS DE INFORMACION AL INSTITUTO SUPERIOR

TECNOLOGICO “TEC”

I. INTRODUCCION

La auditoría de sistemas de información, se define como

una auditoría que abarca la revisión y evaluación de

todos los aspectos de los sistemas automáticos de

procesamiento de la información, incluidos los

procedimientos no automáticos; también podemos decir

que es el examen y evaluación de los procesos y de la

utilización de los recursos que en ellos intervienen,

para llegar a establecer el grado de eficiencia,

efectividad y economía de los sistemas computarizados

en una organización y presentar conclusiones y

recomendaciones encaminadas a corregir las deficiencias

existentes y mejorarlas.

Los Sistemas de Información en las organizaciones, son

desarrollados con propósitos diferentes dependiendo de

las necesidades de cada una de ellas, donde se evalúan

y verifican las políticas, controles, procedimientos y

la seguridad en general, correspondiente al uso de los

recursos de informática por el personal de la empresa

(usuarios, informática, alta dirección), a fin de que

se logre una utilización más eficiente y segura de la

información que servirá para una adecuada toma de

decisiones.

II. ANTECEDENTES DE LA EMPRESA

En el año 1,994, mediante Resolución Ministerial Nº

0853-94-ED se reconoce y autoriza el funcionamiento del

Instituto Superior Tecnológico Privado “TEC”, que abre

sus puertas a todos los jóvenes para prepararse en las

carreras de computación e Informática y Mecánica

Automotriz.

En el presente, somos testigos que mediante Resolución

Directoral Nº 00554 – 2006, se autoriza el cambio

domiciliario al Campus Tecnológico “TEC” ubicado en la

Av. Aeropuerto Mz. D Lt. 7 de la Urbanización Villa

Corpac, distrito de Yarinacocha Provincia de Coronel

Portillo, Región Ucayali y en el mismo año logra su

revalidación con Resolución Directoral Nº 0478-2006-ED;

con Resolución Directoral N°0386-2009-ED el Ministerio

de Educación autoriza el funcionamiento de las carreras

profesionales de Administración de Negocios

Internacionales y Administración de Empresas Turísticas

y Hoteleras.

II.1. Misión

Somos una organización educativa cristiana

orientada a la formación integral de profesionales

con sólidos valores; crítico, creativo, innovador,

solidario y disciplinado; donde predomina el amor

a Dios, la ciencia y la tecnología.

II.2. Visión

Ser una organización educativa líder en América

Latina, en formar profesionales con alta

especialización para ser colaboradores y

protagonistas en el desarrollo y crecimiento de

las organizaciones.

III. PLAN DE AUDITORIA DE SISTEMAS DE INFORMACION AL

INSTITUTO SUPERIOR PRIVADO “TEC”

III.1.Alcance

La presente auditoria se realizará enfocándose en

el funcionamiento de los sistemas y tecnologías de

información, conectados a la red interna del

instituto superior tecnológico “TEC”.

III.2.Personal encargado de Auditoria

Personal encargado Especialidad

Aguilar Polo Yoslar Asistente

Orihuela Izquierdo Eloy

Angel

Auditor

especialista

Mermao Romero Claudia Ibeth Ing. de sistemas

Oliva Valle Zósimo Asistente

Normas personales:

El auditor o auditores deberán poseer

preparación técnica y capacidad profesional

adecuada.

Deberán observar y desarrollar

profesionalmente con diligencia la ejecución

del trabajo y la elaboración del informe.

Deberán adoptar una actitud independiente.

III.3.Objetivos

III.3.1. Objetivo general

Evaluar la existencia, el funcionamiento y la

seguridad de los sistemas informáticos del

instituto superior tecnológico TEC, así como

realizar un estudio de las operaciones de la

misma que permita generar un respaldo en la

emisión del informe a la auditoría practicada

el cual servirá para una adecuada toma de

decisiones.

III.3.2. Objetivos específicos

1. Evaluar el diseño y prueba de los sistemas

de cada área

2. Determinar la veracidad de la información

de cada área

3. Verificar si la selección de equipos y

Sistemas de computación son las adecuadas.

4. Evaluar el control que se tiene sobre el

mantenimiento y las fallas de las PCs.

5. Verificar las disposiciones y reglamentos

que coadyuven al mantenimiento del orden

dentro de las áreas involucradas.

III.4.Metodología a aplicar

La metodología que vamos a utilizar par auditar el

instituto superior tecnológico TEC es la

“METODOLOGÍA PARA LA AUDITORA INTEGRAL DE LA GESTIÓN DE

LAS TECNOLOGÍAS DE LA INFORMACIÓN (MAIGTI)”.

III.5.Enfoque a utilizar

La siguiente auditoria elaborada al instituto

superior tecnológico TEC, esta orientada en un

enfoque basado en la verificación, el cual tiene

como finalidad obtener datos sobre los sistemas,

políticas y procedimientos establecidos en digna

institución.

III.6.Pruebas a realizar

Dentro de las pruebas a elaborar durante la

audición a la institución lo detallamos a

continuación:

Tomar maquinas al azar y evaluar la dificultad

de acceso a las mismas.

Verificar el rendimiento de los servidores de

red.

Intentar sacar datos con un dispositivo

externo.

Facilidad para desarmar una PC.

Facilidad de accesos a información de

confidencialidad (usuarios y claves).

Verificación de contratos.

Verificación de licencias adquiridas.

Verificación del sistema de red.

Software de utilización.

III.7.Redacción del informe, resumen y conclusiones

Entrega del informe a los directivos de la empresa

Después de la auditoria aplicada en el instituto

superior tecnológico TEC obtuvimos los siguientes

resultados, los cuales listamos a continuación:

1. Auditora de la Planificación Estratégica.

2. Auditoria de los planes operativos

3. Auditoria de estimación de riesgos

4. Auditoria de la planificación estratégica de

las tecnologías de la información.

5. Auditoria de los planes de proyectos de

desarrollo de sistemas de información.

6. Auditoria de los planes de proyecto de compra

de sistemas de información.

7. Auditoria del plan de contingencias de

informática

Objetivo

Analizar y evaluar el proceso de elaboración y

ejecución del Plan de Contingencias de

Informática en el instituto superior

tecnológico TEC, con el fin de identificar la

probable pérdida de valor debido a fallas en

los diversos procesos involucrados relacionados

con el plan de contingencias.

INFORME DE AUDITORIA

a. Observaciones:

El instituto superior tecnológico TEC no

cuenta con un plan de contingencia de

informática.

b. Recomendaciones:

Se recomienda al instituto superior

tecnológico TEC contar con un plan de

contingencia de informática que esté

orientado a establecer, junto con otros

trabajos de seguridad, un

adecuado sistema de seguridad física y lógic

a en previsión de desastres. Se define a la

http://www.monografias.com/trabajos/seguinfo/seguinfo.shtml

http://www.monografias.com/trabajos15/logica-metodologia/logica-metodologia.shtml

http://www.monografias.com/trabajos15/logica-metodologia/logica-metodologia.shtml

http://www.monografias.com/Fisica/index.shtml

http://www.monografias.com/trabajos11/teosis/teosis.shtml

Seguridad de Datos como un conjunto de

medidas destinadas a salvaguardar la

información contra los daños producidos por

hechos naturales o por el hombre. Se ha

considerado que para el instituto superior

tecnológico TEC, la seguridad es un elemento

básico para garantizar su supervivencia y

entregar el mejor Servicio a

sus estudiantes, y por lo tanto, considera a

la Información como uno de los activos más

importantes de la Organización, lo cual hace

que la protección de esta sea el fundamento

más importante de este Plan de Contingencia.

8. Auditoria del plan de continuidad de negocio

OBJETIVO


ejecución del Plan de continuidad de Negocio

del instituto superior tecnológico TEC, con la

finalidad de identificar la probable perdida de

valor debido a fallas en los diversos procesos

http://www.monografias.com/trabajos6/napro/napro.shtml

http://www.monografias.com/trabajos11/contabm/contabm.shtml

http://www.monografias.com/trabajos14/verific-servicios/verific-servicios.shtml

http://www.monografias.com/trabajos15/fundamento-ontologico/fundamento-ontologico.shtml

relacionados con el plan de continuidad del

negocio.


Observaciones:

El instituto superior tecnológico TEC no cuenta

con un plan de continuidad de negocio.

Recomendaciones:

Se recomienda al instituto superior tecnológico

TEC contar con un plan de continuidad de

negocio el cual va a permitir desarrollar

planes y procedimientos dentro de la

organización con el propósito de responder

ante un desastre o interrupción significativa

del negocio, de forma tal que las operaciones

críticas del negocio puedan continuar sus

operaciones dentro de un límite aceptable de

tiempo, de acuerdo a lo establecido por la

gerencia general.

9. Procedimiento para la auditoria del plan de

seguridad de información.

Objetivo


ejecución del Plan de Seguridad de la

información del instituto superior tecnológico

TEC, con el fin de identificar la probable

pérdida de valor debido a fallas en los

diversos procesos involucrados.


Observaciones: El instituto superior

tecnológico TEC no cuenta con un plan de

seguridad de la información.

Recomendaciones: Se le recomienda al instituto

superior tecnológico TEC, contar con un plan de

seguridad de la información, ya que este plan

va a permitir el procesamiento de datos a un

servicio en beneficio de toda la institución,

va a apoyar no sólo a los sistemas de

información administrativa sino también a las

operaciones funcionales.

Las medidas de seguridad están basadas en la

definición de controles físicos, funciones,

procedimientos y programas que conlleven no

sólo a la protección de la integridad de los

datos, sino también a la seguridad física de

los equipos y de los ambientes en que éstos se

encuentren.

En relación a la seguridad misma de la

información, estas medidas han de tenerse en

cuenta para evitar la pérdida o modificación de

los datos, información o software de la

institución inclusive, por personas no

autorizadas, para lo cual se deben tomar en

cuenta una serie de medidas, entre las cuales

figurarán el asignar números de identificación

y contraseñas a los usuarios entre otros.


licenciamiento del software


capacitación


mantenimiento preventivo de hardware de

computadoras, redes y equipos relacionados

OBJETIVO


ejecución del Plan de Mantenimiento preventivo

de Hardware de Computadoras, Redes y Equipos

Relacionados en la organización (PMPHCRER), con

el fin de identificar la probable pérdida de

valor debido a fallas en los diversos procesos

involucrados.

ALCANCE

El alcance del procedimiento incluye:

A. Verificación de la asignación de

presupuesto, cronogramas y responsabilidades

para la ejecución del PMPHCRER.

B. Verificación del proceso de elaboración del

Plan de Mantenimiento Preventivo del

Hardware de Computadoras, Redes y Equipos

Relacionados.

C. Revisión del alineamiento del PMPHCRER al

Plan Estratégico de Informáticas.

D. Revisión del documento del PMPHCRER.

E. Revisión del análisis de generación de valor

del PMPHCRER.

El alcance del procedimiento no incluye:

Evaluación del cronograma de actividades para

el mantenimiento correctivo de computadoras,

redes y equipos relacionados. Evaluación del

Plan de Mantenimiento Correctivo de Hardware

de Computadoras, Redes y Equipos Relacionados.

ENTRADAS

Las entradas relacionadas que necesitamos que

provea la organización las siguientes

A. Inventario del hardware de computadoras,

redes y equipos relacionados.

B. Listado del hardware de computadoras,

redes y equipos relacionados, que

requieran mantenimiento preventivo,

clasificado de acuerdo a quien le debe

realizar dicho mantenimiento (personal de

la organización o un proveedor).

C. Fechas e informes de los últimos

mantenimientos preventivos o correctivos

que se haya realizado sobre los equipos.

D. Diagramas de Gantt para la ejecución de

las actividades del PMPHCRER, con su

respectiva asignación de

responsabilidades.

E. Presupuesto detallado para la ejecución

de las actividades del PMPHCRER.

PROCESO

Las actividades a realizar para esta auditoría son las

siguientes:

A. Se reviso la información indicada en la

sección anterior.

B. Verificar que la lista de equipos para

el mantenimiento preventivo estén

incluidos en el inventario de equipos

total. En la lista de equipos debe

estar detallado:

Equipos que forman parte de la

computadora o están directamente

conectados a ella: monitores, cases,

teclados, mouses, impresoras,

scanners, cámaras de computadora,

computadoras portátiles, etc.

Equipos de red: routers, firewalls,

switches, hubs, cableado, etc.

Equipos relacionados a la energía

eléctrica: cajas de control de

suministro de energía (caja de

cuchillas), pozo de tierra, línea de

voltaje, tomacorrientes,

estabilizadores de voltaje, supresor

de picos, UPS, etc.

Equipos relacionados a las

condiciones ambientales:

ventiladores de los centros de

cómputo, medidores de temperatura,

medidores de humedad, etc.

Equipos relacionados a la protección

contra incendios: extinguidores de

incendios, detectores de humo,

alarma de incendios, etc.

Equipos relacionados a la seguridad:

puertas de acceso con llave, puertas

de acceso con clave de seguridad,

etc.

C. Verificar la inclusión de todos los

equipos que comúnmente requieren

mantenimiento preventivo en la lista

entregada.

D. Revisar el proceso de elaboración del

PMPHCRER. Verificar que se haya

realizado lo siguiente:

Determinación clara de los

criterios para la evaluación y

priorización de las necesidades de

mantenimiento preventivo.

Evaluación de las necesidades de

mantenimiento preventivo para el

período del plan.

Priorización de las necesidades de

mantenimiento preventivo para el

período del plan.

Determinación de qué

mantenimientos preventivos serán

realizados por personal de la

organización o por proveedores.

Identificación de varios

proveedores alternativos para la

ejecución de los mantenimientos

preventivos.

Elaboración del documento del

PMPHCRER.

Asignación de presupuesto,

cronogramas y responsabilidades

para la ejecución de las acciones

del PMPHCRER.

E. Revisar el documento del PMPHCRER.

Verificar que contenga por lo menos lo

siguiente:

Listado de equipos que necesitan

mantenimiento preventivo.

Criterios para evaluar y priorizar

las necesidades de mantenimiento

preventivo.

Evaluación y priorización de las

necesidades de mantenimiento

preventivo.

Presupuesto, Cronograma y

Asignación de Responsabilidades.

F. Revisar el alineamiento del PMPHCRER

al PEI. El PMPHCRER debe estar

enmarcado en los lineamientos del PEI,

teniendo en cuenta no sólo la

tecnología actual, sino aquellas que

serán de mayor beneficio para la

organización en el futuro.

G. Revisar el análisis de generación de

valor del PMPHCRER. Verificar que el

PMPHCRER realmente genere valor para la

organización; es decir, que como

resultado de la ejecución del plan, se

pueda acelerar la ejecución de procesos

críticos con resultados de mejoras en

ingresos netos ó evitando que se pierda

dinero por riesgos o gastos

innecesarios.

H. Verificar la asignación de presupuesto,

cronogramas y responsabilidades para la

ejecución del PMPHCRER. Revisar la

asignación planificada y la asignación

real.

SALIDAS

Al desarrollar esta auditoría es común

encontrar las siguientes observaciones:

A. La organización no tiene un

PMPHCRER. Comúnmente lo que hacen es

entregar un detalle de los

mantenimientos realizados en el

período en evaluación; sin embargo,

estos mantenimientos no estuvieron

enmarcados dentro de un plan.

B. La organización no solicita informes

de los mantenimientos preventivos

realizados a los proveedores a pesar

de que existe un software de

mantenimiento preventivo como se

muestra en el ANEXO 1:

C. La organización no elabora informes

de los mantenimientos preventivos

realizados por personal que ha

contratado directamente.

D. La organización omite realizar

mantenimiento preventivo de algunos

equipos críticos.

E. No existe un control exhaustivo de

los ordenadores para el

mantenimiento preventivo, a pesar de

que existe un software para

monitoreo de los equipos en red como

se ve en ANEXO 2:


mantenimiento correctivo de hardware de

computadoras, redes y equipos relacionados

14. Procedimiento para la auditoria de la

planificación de labores de rutina relacionadas

con las tecnologías de la información


calidad


compras de tecnologías de información

Objetivo

Analizar y evaluar el proceso de elaboración

del plan de compras de tecnologías de

información en el instituto superior

tecnológico TEC.


tecnológico TEC no cuenta con un plan de

compras de tecnologías de información.

Recomendaciones: Se le recomienda al instituto

superior tecnológico TEC, contar con un plan de

compras de tecnologías de información, ya que

este plan va a permitir el procesamiento de

datos a un servicio en beneficio de toda la

institución, va a apoyar no sólo a los sistemas

de información administrativa sino también a

las operaciones funcionales.

17. Procedimiento para la auditoria del

Reglamento de organización y funciones (ROF)

Objetivo


ejecución de lo expuesto en el reglamento de

organización y funciones del área de Tecnología

de información del instituto superior

tecnológico TEC.


tecnológico TEC no cuenta con un reglamento de

organizaciones y funciones.

Recomendaciones: Se le recomienda al Instituto

Superior Tecnológico TEC, contar con un

Reglamento de Organizaciones y Funciones. Cabe

señalar que El ROF es el Reglamento de

Organización y Funciones de la institución, que

se constituye en un documento técnico normativo

de gestión institucional que establece:

a) La estructura orgánica de la institución.

b) Las funciones generales y específicas de la

institución y de cada uno de sus órganos y

unidades orgánicas.

c) Las relaciones de coordinación y control

entre áreas, unidades orgánicas e

institucionales, cuando corresponda.

Este instrumento de gestión formaliza las

competencias de cada área dentro de la

organización y en función a ello se puede

determinar las responsabilidades que le

corresponde en el logro de los objetivos

institucionales.

18. Procedimiento para la auditoria del Manual

de Organización y Funciones (MOF)

OBJETIVO


ejecución de lo expuesto en el Manual de

Organización y Funciones del área de Tecnología de

Información de la organización, con el fin de

identificar la probable pérdida de valor debido a

fallas en los diversos procesos involucrados.

ALCANCE


A. Revisión detallada del documento del Manual de

Organización y Funciones del área de

Tecnología de Información.

B. Revisión del currículum vitae del personal del

área de Tecnología de Información.

C. Revisión de las funciones reales de cada

puesto del área de Tecnología de Información.

D. Revisión del análisis de generación de valor

del Manual de Organización y Funciones del



A. Revisión de los manuales de procedimientos.

ENTRADAS

Para realizar esta auditoría, se requiere que el

instituto superior tecnológico provea con respecto

al período anterior al período en evaluación, el

período en evaluación y los períodos próximos, la

siguiente información:

A. Plan Estratégico de Tecnologías de información

(PETI).

B. Currículum vitae detallado de todo el personal

que labora en el área de Tecnología de la

información: Incluye: gerentes, sub-gerentes,

jefes de proyecto, analistas funcionales,

analistas programadores, programadores, etc.

C. Reglamento de Organización y Funciones del

área de Tecnología de la Información.

D. Manual de Organización y Funciones.

PROCESO

Las actividades a realizar para esta auditoría son

las siguientes:

A. Revisar la información indicada en la sección

anterior.

B. Revisar el documento del Manual de

Organización y Funciones del área de

Tecnología de la Información. Verificar que

contenga por lo menos lo siguiente:

Antecedentes. Contiene una explicación

genérica de la anterior organización y los

cambios en las necesidades o la evidencia

del requerimiento de mejoras para los

cambios en el manual actual.

Marco Jurídico. Indica la base legal para

la elaboración del Manual de Organización

y Funciones. Incluye: constitución

política, leyes, decretos legislativos,

resoluciones, oficios, circulares, etc.

Objetivos. Relación de objetivos a cumplir

con el manual, que contribuyen a los

objetivos estratégicos de la organización.

Organización. Aquí se detalla tanto el

organigrama general como el organigrama

detallado de cada una de las áreas.

Funciones. Aquí se detalla por cada área

qué funciones generales y específicas

realiza cada puesto. Por cada puesto se

deberá indicar también a qué gerencia

pertenece y a qué puesto reporta

directamente.

C. Revisar detalladamente los currículum vitae

del personal del área de Tecnología de

Información, tanto del personal directamente

contratado por la organización como del

personal contratado a través de un proveedor.

D. Revisar las funciones reales de cada puesto

del área de Tecnología de Información.

Verificar que lo que realmente hacen coincida

con lo expuesto en el manual de organización y

funciones.

E. Revisar el análisis de generación de valor del

Manual de Organización y Funciones y su

cumplimiento. Verificar que el Manual de

Organización y Funciones realmente genere

valor para la organización; es decir, que como

resultado de su puesta en práctica, se pueda

acelerar la ejecución de procesos críticos con

resultados de mejoras en ingresos netos ó

evitando que se pierda dinero por riesgos o

gastos innecesarios.

SALIDAS

Al desarrollar esta auditoría se encontraron las

siguientes observaciones:

A. La organización tiene un Manual de Organización

y Funciones.

B. La organización no tiene el currículum vitae

actualizados del personal contratado. Ni tampoco

tienen actualizados el currículum vitae del

personal recientemente contratado.

C. El personal no cubre los requerimientos para el

puesto al momento de ingresar a la organización

porque han sido contratados de manera temporal o

como practicantes, pero al llevar un buen tiempo

de servicio en dicha institución comúnmente se

quedan con el puesto de trabajo.

D. El personal realiza funciones que no le

competen.

E. El personal realiza funciones para las cuales no

está capacitado.

Recomendaciones: Se recomienda al Instituto

Superior Tecnológico TEC, incluir dentro de sus

órganos de apoyo el área de Soporte Técnico ya que

es indispensable para dar mantenimiento a las TI.

19. Procedimiento para la evaluación del

curriculum Vitae del personal de tecnología de

la información

OBJETIVO

Analizar y evaluar el curriculum vitae del

personal del área de tecnología de la

información del Instituto Superior Tecnológico

TEC, con el fin de identificar la probable

perdida de valor debido a fallas en los

procesos de selección de personal.

ALCANCE


A. Revisión detallada del curricular vitae del

personal del área de tecnología de la

información.

B. Verificación del alineamiento del currículum

vitae al reglamento de organización y

funciones y en su defecto, a las necesidades

de la organización para el período en

evaluación.


A. Evaluación de desempeño del personal.

ENTRADAS

Para realizar esta auditoría, se requiere que

el Instituto Superior Tecnológico TEC provea

con respecto al período anterior al período en

evaluación, el período en evaluación y los

períodos próximos, la siguiente información:

A. Currículum vitae detallado de todo el

personal que labora en el área de Tecnología

de la información; esto incluye: gerentes,

sub-gerentes, jefes de proyecto, analistas

funcionales, analistas programadores,

programadores, etc.

B. Manual de Organización y Funciones del área

de Tecnología de Información.

PROCESOS

Las actividades a realizar para esta auditoría

son las siguientes:

A. Revisar la información indicada en la

ENTRADA.

B. Revisar detalladamente el currículum vitae

del personal del área de Tecnología de la

Información. Verificar que cada currículum

vitae contenga lo siguiente:

Datos personales: nombre completo,

dirección, teléfonos de contacto (casa,

celular, etc.), estado civil, fecha de

nacimiento, etc.

Experiencia Laboral. Listado de lugares

y nombres de puestos donde ha laborado

el trabajador. Se debe incluir la lista

de funciones que realizaba en sus

centros de trabajo, así como las

herramientas de tecnologías de

información que utilizaban o han

desarrollado. De ser personal joven,

considerar también las prácticas pre-

profesionales.

Educación. Considerar la formación técnica

o universitaria (pregrado y postgrado) del

personal evaluado, así como sus

capacitaciones, cursos, talleres, charlas

y conferencias a las cuales ha asistido.

C. Verificar el alineamiento del currículum vitae

al Reglamento de Organización y Funciones y en

su defecto, a las necesidades de la organización

para el período en evaluación.

SALIDAS

Al desarrollar esta auditoría es común encontrar

las siguientes observaciones:

A. La organización no tiene los currículum vitae

actualizados del personal contratado a través de

un proveedor. A veces ni siquiera tiene

actualizados los currículum vitae del personal

recientemente contratado.

B. El personal no cubría o no cubre los

requerimientos para el puesto al momento de

ingresar a la organización, y tampoco los cubre

a la fecha.

Observaciones:

A. Plan Estratégico de Informática.

B. No cuenta con los Currículum vitae detallados

de todo el personal que labora en el área de

Tecnología de la información.

C. Reglamento de Organización y Funciones del


D. No cuenta con un Manual de Organización y

Funciones del área de Tecnología de

Información detallados.


inventario de hardware de tecnología de

información


inventario de software de base.


inventario de Sistemas de Información

23. Procedimiento para la auditoria de

solicitudes y evaluaciones de cotizaciones para

la compra del hardware de computadoras, redes y

equipos relacionados.

24. Procedimiento para la auditoria de las


la compra de software de base

25. Procedimientos para la auditoria de


la compra de sistemas de información

26. Procedimiento para la auditoria de los

contratos de compra de bienes y servicios,

hardware de computadoras, redes y equipos

relacionados


contratos para la compra de software de base


contratos para las compras de sistemas de

información

Objetivo

Analizar y evaluar los contratos para las

compras de bienes o servicios de sistemas de

información en el instituto superior

tecnológico.

Observaciones

El Instituto Superior Tecnológico TEC no cuenta

con modelos y procedimientos de contratos para

las compras de sistemas de información.

Recomendaciones

Se le recomienda al instituto superior

tecnológico TEC, contar con modelos de

contratos para las compras de sistemas de

información.


metodología de desarrollo de sistemas de

información

Objetivo

Analizar y evaluar la metodología de desarrollo

de sistemas de información del instituto

superior tecnológico TEC. Con la finalidad de

identificar la probable perdida de valor

debido a fallas en los diversos profesos

involucrados.

Observaciones

El Instituto Superior Tecnológico TEC no cuenta

con una metodología de desarrollo de sistemas

de información.

Recomendaciones

Se le recomienda al instituto superior

tecnológico TEC, contar con una metodología de

desarrollo de sistemas de información porque

hay una serie de circunstancias que hacen

especialmente importante al área de desarrollo

de sistemas, y por tanto también de auditoría,

frente a otras funciones o áreas dentro del

departamento de informática:

A. Los avances en tecnologías de las

computadoras han hecho que actualmente el

desafío más importante y el principal reto

sea la calidad del software.

B. El gasto destinado a software es cada vez

superior al que se dedica al hardware

C. El software como producto es muy difícil de

validar. Un mayor control en el proceso de

desarrollo incrementa la calidad del mismo y

disminuye los costos de mantenimiento.

D. El índice de fracasos en proyectos de

desarrollo es demasiado alto, lo cual

denota la inexistencia o mal funcionamiento

de los controles en este proceso.

E. Las aplicaciones informáticas, que son el

producto principal obtenido al final del

desarrollo, pasan a ser la herramienta de

trabajo principal de las áreas

informatizadas, convirtiéndose en un factor

esencial para la gestión y la toma de

decisiones

30. Procedimiento para la auditoria para la

atención de requerimientos de soporte técnico

Objetivo


metodología para la atención de requerimientos

de desarrollo de sistemas de información


documentos de los manuales técnicos de los

sistemas de información


documentos de los manuales de usuario de los



arquitectura de la ed de tecnologías de

información

35. Procedimiento para la auditoria de La

seguridad de acceso a los sistemas de

información


seguridad a las carpetas de los servidores


manuales de soporte técnico


manuales de procedimientos de desarrollo de los


39. Procedimiento para la revisión de los

formularios de control de los entregables de

proyectos y requerimientos de desarrollo de


40. Procedimiento para el seguimiento de informe

de auditoria interna

41. Procedimiento para el seguimiento de informe

de auditoria externa


certificación de calidad de la tecnología de

los sistemas de información


evaluación de desempeño de la área de

tecnología de información


evaluación de desempeño de personal de

tecnología de información


formularios de control de cambio en proyectos

de compra o desarrollo de sistemas de

información


formularios de control de riesgos en proyectos

de compra o desarrollo de sistemas de

información


formularios de seguimiento de avances en

proyectos de compra o desarrollo de sistemas de

información

48. Procedimiento para la auditoria del control

de calidad de los requerimientos de compra o

desarrollo de sistemas de información

49. Procedimiento para la auditoria del control

de calidad de los requerimientos de soporte

técnico

50. Procedimiento para entrevistar a los

usuarios de tecnología de información


instalaciones eléctrica de los equipos de

computo y redes


seguridad al centro de computo principal


instalaciones del centro de computo principal


seguridad al centro de computo principal


instalaciones del centro de computo alterno

56. Procedimiento para la auditoria del cableado

de redes de datos

57. Procedimiento para la auditoria del calculo

de la generación de los valores de proyectos

58. Procedimiento para la elaboración del

informe preliminar

59. Procedimiento para el envió, sustentación y

corrección del informe final

60. Procedimiento para la elaboración del plan

de trabajo para la auditoria

61. Procedimiento para la medición de la

resistencia de la puesta a tierra.

Cronograma de actividades

III.8.Conclusiones y Sugerencia

IV. CONCLUSIONES

avance auditoria 1

Documents