avance auditoria 1
TRANSCRIPT
AUDITORIA DE SISTEMAS DE INFORMACION AL INSTITUTO SUPERIOR
TECNOLOGICO “TEC”
I. INTRODUCCION
La auditoría de sistemas de información, se define como
una auditoría que abarca la revisión y evaluación de
todos los aspectos de los sistemas automáticos de
procesamiento de la información, incluidos los
procedimientos no automáticos; también podemos decir
que es el examen y evaluación de los procesos y de la
utilización de los recursos que en ellos intervienen,
para llegar a establecer el grado de eficiencia,
efectividad y economía de los sistemas computarizados
en una organización y presentar conclusiones y
recomendaciones encaminadas a corregir las deficiencias
existentes y mejorarlas.
Los Sistemas de Información en las organizaciones, son
desarrollados con propósitos diferentes dependiendo de
las necesidades de cada una de ellas, donde se evalúan
y verifican las políticas, controles, procedimientos y
la seguridad en general, correspondiente al uso de los
recursos de informática por el personal de la empresa
(usuarios, informática, alta dirección), a fin de que
se logre una utilización más eficiente y segura de la
información que servirá para una adecuada toma de
decisiones.
II. ANTECEDENTES DE LA EMPRESA
En el año 1,994, mediante Resolución Ministerial Nº
0853-94-ED se reconoce y autoriza el funcionamiento del
Instituto Superior Tecnológico Privado “TEC”, que abre
sus puertas a todos los jóvenes para prepararse en las
carreras de computación e Informática y Mecánica
Automotriz.
En el presente, somos testigos que mediante Resolución
Directoral Nº 00554 – 2006, se autoriza el cambio
domiciliario al Campus Tecnológico “TEC” ubicado en la
Av. Aeropuerto Mz. D Lt. 7 de la Urbanización Villa
Corpac, distrito de Yarinacocha Provincia de Coronel
Portillo, Región Ucayali y en el mismo año logra su
revalidación con Resolución Directoral Nº 0478-2006-ED;
con Resolución Directoral N°0386-2009-ED el Ministerio
de Educación autoriza el funcionamiento de las carreras
profesionales de Administración de Negocios
Internacionales y Administración de Empresas Turísticas
y Hoteleras.
II.1. Misión
Somos una organización educativa cristiana
orientada a la formación integral de profesionales
con sólidos valores; crítico, creativo, innovador,
solidario y disciplinado; donde predomina el amor
a Dios, la ciencia y la tecnología.
II.2. Visión
Ser una organización educativa líder en América
Latina, en formar profesionales con alta
especialización para ser colaboradores y
protagonistas en el desarrollo y crecimiento de
las organizaciones.
III. PLAN DE AUDITORIA DE SISTEMAS DE INFORMACION AL
INSTITUTO SUPERIOR PRIVADO “TEC”
III.1.Alcance
La presente auditoria se realizará enfocándose en
el funcionamiento de los sistemas y tecnologías de
información, conectados a la red interna del
instituto superior tecnológico “TEC”.
III.2.Personal encargado de Auditoria
Personal encargado Especialidad
Aguilar Polo Yoslar Asistente
Orihuela Izquierdo Eloy
Angel
Auditor
especialista
Mermao Romero Claudia Ibeth Ing. de sistemas
Oliva Valle Zósimo Asistente
Normas personales:
El auditor o auditores deberán poseer
preparación técnica y capacidad profesional
adecuada.
Deberán observar y desarrollar
profesionalmente con diligencia la ejecución
del trabajo y la elaboración del informe.
Deberán adoptar una actitud independiente.
III.3.Objetivos
III.3.1. Objetivo general
Evaluar la existencia, el funcionamiento y la
seguridad de los sistemas informáticos del
instituto superior tecnológico TEC, así como
realizar un estudio de las operaciones de la
misma que permita generar un respaldo en la
emisión del informe a la auditoría practicada
el cual servirá para una adecuada toma de
decisiones.
III.3.2. Objetivos específicos
1. Evaluar el diseño y prueba de los sistemas
de cada área
2. Determinar la veracidad de la información
de cada área
3. Verificar si la selección de equipos y
Sistemas de computación son las adecuadas.
4. Evaluar el control que se tiene sobre el
mantenimiento y las fallas de las PCs.
5. Verificar las disposiciones y reglamentos
que coadyuven al mantenimiento del orden
dentro de las áreas involucradas.
III.4.Metodología a aplicar
La metodología que vamos a utilizar par auditar el
instituto superior tecnológico TEC es la
“METODOLOGÍA PARA LA AUDITORA INTEGRAL DE LA GESTIÓN DE
LAS TECNOLOGÍAS DE LA INFORMACIÓN (MAIGTI)”.
III.5.Enfoque a utilizar
La siguiente auditoria elaborada al instituto
superior tecnológico TEC, esta orientada en un
enfoque basado en la verificación, el cual tiene
como finalidad obtener datos sobre los sistemas,
políticas y procedimientos establecidos en digna
institución.
III.6.Pruebas a realizar
Dentro de las pruebas a elaborar durante la
audición a la institución lo detallamos a
continuación:
Tomar maquinas al azar y evaluar la dificultad
de acceso a las mismas.
Verificar el rendimiento de los servidores de
red.
Intentar sacar datos con un dispositivo
externo.
Facilidad para desarmar una PC.
Facilidad de accesos a información de
confidencialidad (usuarios y claves).
Verificación de contratos.
Verificación de licencias adquiridas.
Verificación del sistema de red.
Software de utilización.
III.7.Redacción del informe, resumen y conclusiones
Entrega del informe a los directivos de la empresa
Después de la auditoria aplicada en el instituto
superior tecnológico TEC obtuvimos los siguientes
resultados, los cuales listamos a continuación:
1. Auditora de la Planificación Estratégica.
2. Auditoria de los planes operativos
3. Auditoria de estimación de riesgos
4. Auditoria de la planificación estratégica de
las tecnologías de la información.
5. Auditoria de los planes de proyectos de
desarrollo de sistemas de información.
6. Auditoria de los planes de proyecto de compra
de sistemas de información.
7. Auditoria del plan de contingencias de
informática
Objetivo
Analizar y evaluar el proceso de elaboración y
ejecución del Plan de Contingencias de
Informática en el instituto superior
tecnológico TEC, con el fin de identificar la
probable pérdida de valor debido a fallas en
los diversos procesos involucrados relacionados
con el plan de contingencias.
INFORME DE AUDITORIA
a. Observaciones:
El instituto superior tecnológico TEC no
cuenta con un plan de contingencia de
informática.
b. Recomendaciones:
Se recomienda al instituto superior
tecnológico TEC contar con un plan de
contingencia de informática que esté
orientado a establecer, junto con otros
trabajos de seguridad, un
adecuado sistema de seguridad física y lógic
a en previsión de desastres. Se define a la
Seguridad de Datos como un conjunto de
medidas destinadas a salvaguardar la
información contra los daños producidos por
hechos naturales o por el hombre. Se ha
considerado que para el instituto superior
tecnológico TEC, la seguridad es un elemento
básico para garantizar su supervivencia y
entregar el mejor Servicio a
sus estudiantes, y por lo tanto, considera a
la Información como uno de los activos más
importantes de la Organización, lo cual hace
que la protección de esta sea el fundamento
más importante de este Plan de Contingencia.
8. Auditoria del plan de continuidad de negocio
OBJETIVO
Analizar y evaluar el proceso de elaboración y
ejecución del Plan de continuidad de Negocio
del instituto superior tecnológico TEC, con la
finalidad de identificar la probable perdida de
valor debido a fallas en los diversos procesos
relacionados con el plan de continuidad del
negocio.
INFORME DE AUDITORIA
Observaciones:
El instituto superior tecnológico TEC no cuenta
con un plan de continuidad de negocio.
Recomendaciones:
Se recomienda al instituto superior tecnológico
TEC contar con un plan de continuidad de
negocio el cual va a permitir desarrollar
planes y procedimientos dentro de la
organización con el propósito de responder
ante un desastre o interrupción significativa
del negocio, de forma tal que las operaciones
críticas del negocio puedan continuar sus
operaciones dentro de un límite aceptable de
tiempo, de acuerdo a lo establecido por la
gerencia general.
9. Procedimiento para la auditoria del plan de
seguridad de información.
Objetivo
Analizar y evaluar el proceso de elaboración y
ejecución del Plan de Seguridad de la
información del instituto superior tecnológico
TEC, con el fin de identificar la probable
pérdida de valor debido a fallas en los
diversos procesos involucrados.
INFORME DE AUDITORIA
Observaciones: El instituto superior
tecnológico TEC no cuenta con un plan de
seguridad de la información.
Recomendaciones: Se le recomienda al instituto
superior tecnológico TEC, contar con un plan de
seguridad de la información, ya que este plan
va a permitir el procesamiento de datos a un
servicio en beneficio de toda la institución,
va a apoyar no sólo a los sistemas de
información administrativa sino también a las
operaciones funcionales.
Las medidas de seguridad están basadas en la
definición de controles físicos, funciones,
procedimientos y programas que conlleven no
sólo a la protección de la integridad de los
datos, sino también a la seguridad física de
los equipos y de los ambientes en que éstos se
encuentren.
En relación a la seguridad misma de la
información, estas medidas han de tenerse en
cuenta para evitar la pérdida o modificación de
los datos, información o software de la
institución inclusive, por personas no
autorizadas, para lo cual se deben tomar en
cuenta una serie de medidas, entre las cuales
figurarán el asignar números de identificación
y contraseñas a los usuarios entre otros.
10. Procedimiento para la auditoria del plan de
licenciamiento del software
11. Procedimiento para la auditoria del plan de
capacitación
12. Procedimiento para la auditoria del plan de
mantenimiento preventivo de hardware de
computadoras, redes y equipos relacionados
OBJETIVO
Analizar y evaluar el proceso de elaboración y
ejecución del Plan de Mantenimiento preventivo
de Hardware de Computadoras, Redes y Equipos
Relacionados en la organización (PMPHCRER), con
el fin de identificar la probable pérdida de
valor debido a fallas en los diversos procesos
involucrados.
ALCANCE
El alcance del procedimiento incluye:
A. Verificación de la asignación de
presupuesto, cronogramas y responsabilidades
para la ejecución del PMPHCRER.
B. Verificación del proceso de elaboración del
Plan de Mantenimiento Preventivo del
Hardware de Computadoras, Redes y Equipos
Relacionados.
C. Revisión del alineamiento del PMPHCRER al
Plan Estratégico de Informáticas.
D. Revisión del documento del PMPHCRER.
E. Revisión del análisis de generación de valor
del PMPHCRER.
El alcance del procedimiento no incluye:
Evaluación del cronograma de actividades para
el mantenimiento correctivo de computadoras,
redes y equipos relacionados. Evaluación del
Plan de Mantenimiento Correctivo de Hardware
de Computadoras, Redes y Equipos Relacionados.
ENTRADAS
Las entradas relacionadas que necesitamos que
provea la organización las siguientes
A. Inventario del hardware de computadoras,
redes y equipos relacionados.
B. Listado del hardware de computadoras,
redes y equipos relacionados, que
requieran mantenimiento preventivo,
clasificado de acuerdo a quien le debe
realizar dicho mantenimiento (personal de
la organización o un proveedor).
C. Fechas e informes de los últimos
mantenimientos preventivos o correctivos
que se haya realizado sobre los equipos.
D. Diagramas de Gantt para la ejecución de
las actividades del PMPHCRER, con su
respectiva asignación de
responsabilidades.
E. Presupuesto detallado para la ejecución
de las actividades del PMPHCRER.
PROCESO
Las actividades a realizar para esta auditoría son las
siguientes:
A. Se reviso la información indicada en la
sección anterior.
B. Verificar que la lista de equipos para
el mantenimiento preventivo estén
incluidos en el inventario de equipos
total. En la lista de equipos debe
estar detallado:
Equipos que forman parte de la
computadora o están directamente
conectados a ella: monitores, cases,
teclados, mouses, impresoras,
scanners, cámaras de computadora,
computadoras portátiles, etc.
Equipos de red: routers, firewalls,
switches, hubs, cableado, etc.
Equipos relacionados a la energía
eléctrica: cajas de control de
suministro de energía (caja de
cuchillas), pozo de tierra, línea de
voltaje, tomacorrientes,
estabilizadores de voltaje, supresor
de picos, UPS, etc.
Equipos relacionados a las
condiciones ambientales:
ventiladores de los centros de
cómputo, medidores de temperatura,
medidores de humedad, etc.
Equipos relacionados a la protección
contra incendios: extinguidores de
incendios, detectores de humo,
alarma de incendios, etc.
Equipos relacionados a la seguridad:
puertas de acceso con llave, puertas
de acceso con clave de seguridad,
etc.
C. Verificar la inclusión de todos los
equipos que comúnmente requieren
mantenimiento preventivo en la lista
entregada.
D. Revisar el proceso de elaboración del
PMPHCRER. Verificar que se haya
realizado lo siguiente:
Determinación clara de los
criterios para la evaluación y
priorización de las necesidades de
mantenimiento preventivo.
Evaluación de las necesidades de
mantenimiento preventivo para el
período del plan.
Priorización de las necesidades de
mantenimiento preventivo para el
período del plan.
Determinación de qué
mantenimientos preventivos serán
realizados por personal de la
organización o por proveedores.
Identificación de varios
proveedores alternativos para la
ejecución de los mantenimientos
preventivos.
Elaboración del documento del
PMPHCRER.
Asignación de presupuesto,
cronogramas y responsabilidades
para la ejecución de las acciones
del PMPHCRER.
E. Revisar el documento del PMPHCRER.
Verificar que contenga por lo menos lo
siguiente:
Listado de equipos que necesitan
mantenimiento preventivo.
Criterios para evaluar y priorizar
las necesidades de mantenimiento
preventivo.
Evaluación y priorización de las
necesidades de mantenimiento
preventivo.
Presupuesto, Cronograma y
Asignación de Responsabilidades.
F. Revisar el alineamiento del PMPHCRER
al PEI. El PMPHCRER debe estar
enmarcado en los lineamientos del PEI,
teniendo en cuenta no sólo la
tecnología actual, sino aquellas que
serán de mayor beneficio para la
organización en el futuro.
G. Revisar el análisis de generación de
valor del PMPHCRER. Verificar que el
PMPHCRER realmente genere valor para la
organización; es decir, que como
resultado de la ejecución del plan, se
pueda acelerar la ejecución de procesos
críticos con resultados de mejoras en
ingresos netos ó evitando que se pierda
dinero por riesgos o gastos
innecesarios.
H. Verificar la asignación de presupuesto,
cronogramas y responsabilidades para la
ejecución del PMPHCRER. Revisar la
asignación planificada y la asignación
real.
SALIDAS
Al desarrollar esta auditoría es común
encontrar las siguientes observaciones:
A. La organización no tiene un
PMPHCRER. Comúnmente lo que hacen es
entregar un detalle de los
mantenimientos realizados en el
período en evaluación; sin embargo,
estos mantenimientos no estuvieron
enmarcados dentro de un plan.
B. La organización no solicita informes
de los mantenimientos preventivos
realizados a los proveedores a pesar
de que existe un software de
mantenimiento preventivo como se
muestra en el ANEXO 1:
C. La organización no elabora informes
de los mantenimientos preventivos
realizados por personal que ha
contratado directamente.
D. La organización omite realizar
mantenimiento preventivo de algunos
equipos críticos.
E. No existe un control exhaustivo de
los ordenadores para el
mantenimiento preventivo, a pesar de
que existe un software para
monitoreo de los equipos en red como
se ve en ANEXO 2:
13. Procedimiento para la auditoria del plan de
mantenimiento correctivo de hardware de
computadoras, redes y equipos relacionados
14. Procedimiento para la auditoria de la
planificación de labores de rutina relacionadas
con las tecnologías de la información
15. Procedimiento para la auditoria del plan de
calidad
16. Procedimiento para la auditoria del plan de
compras de tecnologías de información
Objetivo
Analizar y evaluar el proceso de elaboración
del plan de compras de tecnologías de
información en el instituto superior
tecnológico TEC.
Observaciones: El instituto superior
tecnológico TEC no cuenta con un plan de
compras de tecnologías de información.
Recomendaciones: Se le recomienda al instituto
superior tecnológico TEC, contar con un plan de
compras de tecnologías de información, ya que
este plan va a permitir el procesamiento de
datos a un servicio en beneficio de toda la
institución, va a apoyar no sólo a los sistemas
de información administrativa sino también a
las operaciones funcionales.
17. Procedimiento para la auditoria del
Reglamento de organización y funciones (ROF)
Objetivo
Analizar y evaluar el proceso de elaboración y
ejecución de lo expuesto en el reglamento de
organización y funciones del área de Tecnología
de información del instituto superior
tecnológico TEC.
Observaciones: El instituto superior
tecnológico TEC no cuenta con un reglamento de
organizaciones y funciones.
Recomendaciones: Se le recomienda al Instituto
Superior Tecnológico TEC, contar con un
Reglamento de Organizaciones y Funciones. Cabe
señalar que El ROF es el Reglamento de
Organización y Funciones de la institución, que
se constituye en un documento técnico normativo
de gestión institucional que establece:
a) La estructura orgánica de la institución.
b) Las funciones generales y específicas de la
institución y de cada uno de sus órganos y
unidades orgánicas.
c) Las relaciones de coordinación y control
entre áreas, unidades orgánicas e
institucionales, cuando corresponda.
Este instrumento de gestión formaliza las
competencias de cada área dentro de la
organización y en función a ello se puede
determinar las responsabilidades que le
corresponde en el logro de los objetivos
institucionales.
18. Procedimiento para la auditoria del Manual
de Organización y Funciones (MOF)
OBJETIVO
Analizar y evaluar el proceso de elaboración y
ejecución de lo expuesto en el Manual de
Organización y Funciones del área de Tecnología de
Información de la organización, con el fin de
identificar la probable pérdida de valor debido a
fallas en los diversos procesos involucrados.
ALCANCE
El alcance del procedimiento incluye:
A. Revisión detallada del documento del Manual de
Organización y Funciones del área de
Tecnología de Información.
B. Revisión del currículum vitae del personal del
área de Tecnología de Información.
C. Revisión de las funciones reales de cada
puesto del área de Tecnología de Información.
D. Revisión del análisis de generación de valor
del Manual de Organización y Funciones del
área de Tecnología de Información.
El alcance del procedimiento no incluye:
A. Revisión de los manuales de procedimientos.
ENTRADAS
Para realizar esta auditoría, se requiere que el
instituto superior tecnológico provea con respecto
al período anterior al período en evaluación, el
período en evaluación y los períodos próximos, la
siguiente información:
A. Plan Estratégico de Tecnologías de información
(PETI).
B. Currículum vitae detallado de todo el personal
que labora en el área de Tecnología de la
información: Incluye: gerentes, sub-gerentes,
jefes de proyecto, analistas funcionales,
analistas programadores, programadores, etc.
C. Reglamento de Organización y Funciones del
área de Tecnología de la Información.
D. Manual de Organización y Funciones.
PROCESO
Las actividades a realizar para esta auditoría son
las siguientes:
A. Revisar la información indicada en la sección
anterior.
B. Revisar el documento del Manual de
Organización y Funciones del área de
Tecnología de la Información. Verificar que
contenga por lo menos lo siguiente:
Antecedentes. Contiene una explicación
genérica de la anterior organización y los
cambios en las necesidades o la evidencia
del requerimiento de mejoras para los
cambios en el manual actual.
Marco Jurídico. Indica la base legal para
la elaboración del Manual de Organización
y Funciones. Incluye: constitución
política, leyes, decretos legislativos,
resoluciones, oficios, circulares, etc.
Objetivos. Relación de objetivos a cumplir
con el manual, que contribuyen a los
objetivos estratégicos de la organización.
Organización. Aquí se detalla tanto el
organigrama general como el organigrama
detallado de cada una de las áreas.
Funciones. Aquí se detalla por cada área
qué funciones generales y específicas
realiza cada puesto. Por cada puesto se
deberá indicar también a qué gerencia
pertenece y a qué puesto reporta
directamente.
C. Revisar detalladamente los currículum vitae
del personal del área de Tecnología de
Información, tanto del personal directamente
contratado por la organización como del
personal contratado a través de un proveedor.
D. Revisar las funciones reales de cada puesto
del área de Tecnología de Información.
Verificar que lo que realmente hacen coincida
con lo expuesto en el manual de organización y
funciones.
E. Revisar el análisis de generación de valor del
Manual de Organización y Funciones y su
cumplimiento. Verificar que el Manual de
Organización y Funciones realmente genere
valor para la organización; es decir, que como
resultado de su puesta en práctica, se pueda
acelerar la ejecución de procesos críticos con
resultados de mejoras en ingresos netos ó
evitando que se pierda dinero por riesgos o
gastos innecesarios.
SALIDAS
Al desarrollar esta auditoría se encontraron las
siguientes observaciones:
A. La organización tiene un Manual de Organización
y Funciones.
B. La organización no tiene el currículum vitae
actualizados del personal contratado. Ni tampoco
tienen actualizados el currículum vitae del
personal recientemente contratado.
C. El personal no cubre los requerimientos para el
puesto al momento de ingresar a la organización
porque han sido contratados de manera temporal o
como practicantes, pero al llevar un buen tiempo
de servicio en dicha institución comúnmente se
quedan con el puesto de trabajo.
D. El personal realiza funciones que no le
competen.
E. El personal realiza funciones para las cuales no
está capacitado.
Recomendaciones: Se recomienda al Instituto
Superior Tecnológico TEC, incluir dentro de sus
órganos de apoyo el área de Soporte Técnico ya que
es indispensable para dar mantenimiento a las TI.
19. Procedimiento para la evaluación del
curriculum Vitae del personal de tecnología de
la información
OBJETIVO
Analizar y evaluar el curriculum vitae del
personal del área de tecnología de la
información del Instituto Superior Tecnológico
TEC, con el fin de identificar la probable
perdida de valor debido a fallas en los
procesos de selección de personal.
ALCANCE
El alcance del procedimiento incluye:
A. Revisión detallada del curricular vitae del
personal del área de tecnología de la
información.
B. Verificación del alineamiento del currículum
vitae al reglamento de organización y
funciones y en su defecto, a las necesidades
de la organización para el período en
evaluación.
El alcance del procedimiento no incluye:
A. Evaluación de desempeño del personal.
ENTRADAS
Para realizar esta auditoría, se requiere que
el Instituto Superior Tecnológico TEC provea
con respecto al período anterior al período en
evaluación, el período en evaluación y los
períodos próximos, la siguiente información:
A. Currículum vitae detallado de todo el
personal que labora en el área de Tecnología
de la información; esto incluye: gerentes,
sub-gerentes, jefes de proyecto, analistas
funcionales, analistas programadores,
programadores, etc.
B. Manual de Organización y Funciones del área
de Tecnología de Información.
PROCESOS
Las actividades a realizar para esta auditoría
son las siguientes:
A. Revisar la información indicada en la
ENTRADA.
B. Revisar detalladamente el currículum vitae
del personal del área de Tecnología de la
Información. Verificar que cada currículum
vitae contenga lo siguiente:
Datos personales: nombre completo,
dirección, teléfonos de contacto (casa,
celular, etc.), estado civil, fecha de
nacimiento, etc.
Experiencia Laboral. Listado de lugares
y nombres de puestos donde ha laborado
el trabajador. Se debe incluir la lista
de funciones que realizaba en sus
centros de trabajo, así como las
herramientas de tecnologías de
información que utilizaban o han
desarrollado. De ser personal joven,
considerar también las prácticas pre-
profesionales.
Educación. Considerar la formación técnica
o universitaria (pregrado y postgrado) del
personal evaluado, así como sus
capacitaciones, cursos, talleres, charlas
y conferencias a las cuales ha asistido.
C. Verificar el alineamiento del currículum vitae
al Reglamento de Organización y Funciones y en
su defecto, a las necesidades de la organización
para el período en evaluación.
SALIDAS
Al desarrollar esta auditoría es común encontrar
las siguientes observaciones:
A. La organización no tiene los currículum vitae
actualizados del personal contratado a través de
un proveedor. A veces ni siquiera tiene
actualizados los currículum vitae del personal
recientemente contratado.
B. El personal no cubría o no cubre los
requerimientos para el puesto al momento de
ingresar a la organización, y tampoco los cubre
a la fecha.
Observaciones:
A. Plan Estratégico de Informática.
B. No cuenta con los Currículum vitae detallados
de todo el personal que labora en el área de
Tecnología de la información.
C. Reglamento de Organización y Funciones del
área de Tecnología de Información.
D. No cuenta con un Manual de Organización y
Funciones del área de Tecnología de
Información detallados.
20. Procedimiento para la auditoria del
inventario de hardware de tecnología de
información
21. Procedimiento para la auditoria del
inventario de software de base.
22. Procedimiento para la auditoria del
inventario de Sistemas de Información
23. Procedimiento para la auditoria de
solicitudes y evaluaciones de cotizaciones para
la compra del hardware de computadoras, redes y
equipos relacionados.
24. Procedimiento para la auditoria de las
solicitudes y evaluaciones de cotizaciones para
la compra de software de base
25. Procedimientos para la auditoria de
solicitudes y evaluaciones de cotizaciones para
la compra de sistemas de información
26. Procedimiento para la auditoria de los
contratos de compra de bienes y servicios,
hardware de computadoras, redes y equipos
relacionados
27. Procedimiento para la auditoria de los
contratos para la compra de software de base
28. Procedimiento para la auditoria de los
contratos para las compras de sistemas de
información
Objetivo
Analizar y evaluar los contratos para las
compras de bienes o servicios de sistemas de
información en el instituto superior
tecnológico.
Observaciones
El Instituto Superior Tecnológico TEC no cuenta
con modelos y procedimientos de contratos para
las compras de sistemas de información.
Recomendaciones
Se le recomienda al instituto superior
tecnológico TEC, contar con modelos de
contratos para las compras de sistemas de
información.
29. Procedimiento para la auditoria de la
metodología de desarrollo de sistemas de
información
Objetivo
Analizar y evaluar la metodología de desarrollo
de sistemas de información del instituto
superior tecnológico TEC. Con la finalidad de
identificar la probable perdida de valor
debido a fallas en los diversos profesos
involucrados.
Observaciones
El Instituto Superior Tecnológico TEC no cuenta
con una metodología de desarrollo de sistemas
de información.
Recomendaciones
Se le recomienda al instituto superior
tecnológico TEC, contar con una metodología de
desarrollo de sistemas de información porque
hay una serie de circunstancias que hacen
especialmente importante al área de desarrollo
de sistemas, y por tanto también de auditoría,
frente a otras funciones o áreas dentro del
departamento de informática:
A. Los avances en tecnologías de las
computadoras han hecho que actualmente el
desafío más importante y el principal reto
sea la calidad del software.
B. El gasto destinado a software es cada vez
superior al que se dedica al hardware
C. El software como producto es muy difícil de
validar. Un mayor control en el proceso de
desarrollo incrementa la calidad del mismo y
disminuye los costos de mantenimiento.
D. El índice de fracasos en proyectos de
desarrollo es demasiado alto, lo cual
denota la inexistencia o mal funcionamiento
de los controles en este proceso.
E. Las aplicaciones informáticas, que son el
producto principal obtenido al final del
desarrollo, pasan a ser la herramienta de
trabajo principal de las áreas
informatizadas, convirtiéndose en un factor
esencial para la gestión y la toma de
decisiones
30. Procedimiento para la auditoria para la
atención de requerimientos de soporte técnico
Objetivo
31. Procedimiento para la auditoria de la
metodología para la atención de requerimientos
de desarrollo de sistemas de información
32. Procedimiento para la auditoria de los
documentos de los manuales técnicos de los
sistemas de información
33. Procedimiento para la auditoria de la
documentos de los manuales de usuario de los
sistemas de información
34. Procedimiento para la auditoria de la
arquitectura de la ed de tecnologías de
información
35. Procedimiento para la auditoria de La
seguridad de acceso a los sistemas de
información
36. Procedimiento para la auditoria de la
seguridad a las carpetas de los servidores
37. Procedimiento para la auditoria de los
manuales de soporte técnico
38. Procedimiento para la auditoria de los
manuales de procedimientos de desarrollo de los
sistemas de información
39. Procedimiento para la revisión de los
formularios de control de los entregables de
proyectos y requerimientos de desarrollo de
sistemas de información
40. Procedimiento para el seguimiento de informe
de auditoria interna
41. Procedimiento para el seguimiento de informe
de auditoria externa
42. Procedimiento para la auditoria de la
certificación de calidad de la tecnología de
los sistemas de información
43. Procedimiento para la auditoria de la
evaluación de desempeño de la área de
tecnología de información
44. Procedimiento para la auditoria de la
evaluación de desempeño de personal de
tecnología de información
45. Procedimiento para la revisión de los
formularios de control de cambio en proyectos
de compra o desarrollo de sistemas de
información
46. Procedimiento para la revisión de los
formularios de control de riesgos en proyectos
de compra o desarrollo de sistemas de
información
47. Procedimiento para la revisión de los
formularios de seguimiento de avances en
proyectos de compra o desarrollo de sistemas de
información
48. Procedimiento para la auditoria del control
de calidad de los requerimientos de compra o
desarrollo de sistemas de información
49. Procedimiento para la auditoria del control
de calidad de los requerimientos de soporte
técnico
50. Procedimiento para entrevistar a los
usuarios de tecnología de información
51. Procedimiento para la auditoria de las
instalaciones eléctrica de los equipos de
computo y redes
52. Procedimiento para la auditoria de la
seguridad al centro de computo principal
53. Procedimiento para la auditoria de las
instalaciones del centro de computo principal
54. Procedimiento para la auditoria de la
seguridad al centro de computo principal
55. Procedimiento para la auditoria de las
instalaciones del centro de computo alterno
56. Procedimiento para la auditoria del cableado
de redes de datos
57. Procedimiento para la auditoria del calculo
de la generación de los valores de proyectos
58. Procedimiento para la elaboración del
informe preliminar
59. Procedimiento para el envió, sustentación y
corrección del informe final
60. Procedimiento para la elaboración del plan
de trabajo para la auditoria