CUESTIONARIO DE CONTROL INTERNO SOBRE PROCESAMIENTO

ELECTRONICO DE DATOS
NOMBRE DE LA EMPRESA AUDITADA:
Nombre del Auditor:
Nombre del Funcionario entrevistado:
Puesto del Funcionario entrevistado:
Fecha de la entrevista:
Requerimiento de Auditoria
1. Existe y funciona adecuadamente un
Comit de trabajo que se encargue de
definir el rumbo de la empresa en materia
Informtica?
2. Existe y se plasma en documento formal,
un plan estratgico o plan maestro en
donde se defina claramente la visin a
largo plazo con respecto a la funcin
informtica?
3. El plan maestro cubre al menos un
perodo de tres aos?
4. Se cuenta con planes tcticos o planes
anuales
estrechamente
ligados
o
vinculados al plan estratgico, que
incluyan un alto nivel de detalle en
cuanto a actividades, duracin y los
costos estimados para la realizacin de
proyectos informticos en la empresa?
5. Se cuenta con planes de capacitacin
tanto para los usuarios como para el
personal del rea informtica, para
mantener un nivel de conocimiento
acorde con la tecnologa existente en el
mercado y con las exigencias del
negocio?
6. Se cuenta con adecuados planes de
adquisicin de Hardware y de Software,
con la calendarizacin precisa sobre el
momento necesario para la adquisicin de
cada componente?
7. Se cuenta con adecuados planes de
conversin en materia de cambio de
computadores?

SI

NO

Prueba de
Cumplimiento

x
x

La capacitacin es
individual

8. Se cuenta con adecuados planes de

conversin en materia de cambio de
versin de un Software propio del
computador?
9. Se cuenta con adecuados planes de
conversin en materia de cambios de
versiones de aplicaciones especficas?
10. Existen adecuados planes de continuidad
concebidas con una clara concepcin del
impacto que tendra para la empresa la
prdida del servicio que brinda cada
aplicacin especfica?
11. Se encuentran claramente definidas las
responsabilidades entre los funcionarios
de la empresa que debern asegurarse que
el plan de continuidad est siendo
peridicamente actualizado?
12. Se realizan pruebas peridicas tendientes x
a evaluar el accionar y pericia de los
funcionarios involucrados en el plan de
contingencias?
13. Se realizan evaluaciones peridicas para
determinar si el presupuesto asignado a la
creacin y mantenimiento de un plan de
contingencias est acorte con la
importancia que tiene la tecnologa
informtica en el accionar de la empresa?
14. Dentro del organigrama de la empresa, el
rea informtica se ubica en el nivel de
Staff, dependiendo directamente de la
Gerencia General Administrativa?
15. Existe un manual de puestos para el rea
informtica, en donde se definan
claramente las tareas y responsabilidades
de todos y cada uno de los funcionarios
del rea?
16. Existe normativa en que se definan los
procedimientos de operacin para indicar
el orden en el cual se deben de llevar a
cabo las diferentes tareas, las relaciones
que dan entre funcionarios de diversos
puestos y los puntos de control y
supervisin que requiere cada una de las
actividades?
17. Se han definido procedimientos de
operacin en cuanto a la ejecucin de
respaldos de datos o de lgicas de los
sistemas informticos?
18. Se han definido procedimientos de
operacin en cuanto a la instalacin de

x
x

nuevas versiones de programas en el

eventual ambiente de produccin?
19. Se han definido formalmente los
procedimientos de operacin en cuanto a
la ejecucin de tareas de recuperacin de
datos?
20. Se han definido los procedimientos de
operacin en cuanto al reporte y atencin
de fallas en los equipos, en el Software,
en las lneas de comunicacin o en los
dispositivos perifricos?
21. Existe un adecuado manual especfico en
donde se definan los procedimientos de
operacin en cuanto a la atencin de
solicitudes de cambios en los sistemas de
aplicacin?
22. Se
han
formulado
oficialmente
procedimientos de operacin para la
realizacin de cambios en las estructuras
de las bases de datos y su documentacin,
redes de comunicacin, encendido y
apagado de equipos centrales de
procesamiento y levanta de aplicaciones?
23. Se cuenta con un sistema de facturacin
de costos por tiempo de conexin, tiempo
de procesador, espacio en disco, servicios
de analistas para controlar el uso racional
de
los
recursos
computacionales
disponibles?
24. Para reconocer claramente cuales
acciones realiz un usuario en el sistema
y
asignar
adecuadamente
las
responsabilidades del caso, se utilizan
cdigos de usuario a nivel estrictamente
individual?
25. Existe restriccin en cuanto a la
simultaneidad de uso de los cdigos de
usuario?
26. Se ha instaurado el sistema de un solo
cdigo de usuario para cada usuario
individual, de manera que tenga
nicamente este cdigo para ingresar a
todas las aplicaciones?
27. El mecanismo de control de acceso
cuenta con rutinas que detecten si existen
cdigos de usuario que no han sido
utilizados en un tiempo determinado y
proceda,
automticamente,
a
desactivarlos?
28. Se ha asignado a cada usuario un nico

X
X

En bases de datos e
sistemas si

cdigo para ingresar a los distintos

mdulos de operacin de la empresa?
29. Se han establecido perodos de vigencia o
vencimientos automticos para las
palabras de paso, de tal forma que los
usuarios
se
vean
obligados
peridicamente a modificar su clave?
30. El sistema cuenta con un archivo
histrico de las ltimas palabras de paso
utilizadas por los usuarios e impide el uso
de las mismas claves en el futuro?
31. Se han establecido requerimientos
formales en cuanto a la composicin y
longitud de las palabras de paso?
32. El archivo de todas las palabras de paso
se encuentra debidamente sometido a un
procedimiento de encriptacin?
33. La rutina de encriptacin del archivo de
las palabras de paso es de acceso
restringido entre el personal de cmputo
con los conocimientos necesarios para
abrirlo de forma desautorizada?
34. La captura de la palabra de paso se realiza
de manera protegida, o sea tiene la
caracterstica de no desplegable?
35. Estn
los
usuarios
habilitados
formalmente para variar su palabra de
paso en el momento que ellos consideren
que ha perdido su confidencialidad?
36. Cuenta el sistema con una verificacin de
los intentos fallidos de acceso de tal
forma que se deniegue al usuario el
ingreso cuando se haya detectado un
nmero
determinado
de
pruebas
malogradas?
37. Brinda el sistema informacin sobre el
ltimo ingreso de la palabra de paso a las
aplicaciones?
38. Tiene el mecanismo de control de acceso
incorporada una rutina de monitoreo para
detectar si existen usuarios que,
transcurrido un tiempo determinado, no
han realizado ningn tipo de operacin
dentro
del
sistema
y
proceda,
automticamente a desactivarlos?
39. En caso de comunicacin remota, existe
restriccin para que no se despliegue
ningn tipo de identificacin de la
empresa al momento de solicitar el
ingreso del usuario?

X
X
X

Esto solo yo puedo

verlo

X
X

X
X

No se procede a la
desactivacin, pero
si se tiene el datos
de accesos diarios.

40. Si existen usuario que accedan las

aplicaciones desde localidades remotas,
se ha establecido el procedimiento de
llamar a un nmero previamente asignado
y de esa forma lograr la verificacin de la
autorizacin para el ingreso remoto?
41. La creacin de usuarios dentro de los
subsistemas, as como la modificacin de
los correspondientes perfiles, requieren
de la participacin de ms de una
persona?
42. Existe un documento formal (en donde se
especifique claramente a cuales procesos
tendr derecho a ingresar dicho usuario y
las responsabilidades que deber cumplir
en el uso de la aplicacin) que medie para
que pueda crearse un nuevo usuario
dentro de una aplicacin?
43. Alguno de los analistas del sistema tienen x
participacin en la administracin de la
seguridad del mismo?

44. Estn plasmados en documento formal

los diferentes perfiles de usuarios para
todos los mdulos de operacin de los
Sistemas de la empresa?

45. El sistema est en capacidad de emitir X

bitcoras que contengan por lo menos la
siguiente informacin: Fecha y hora de
ingreso y salida de los usuarios, procesos
utilizados por el usuario, transacciones de
actualizacin de las bases de datos,
intentos
fallidos
de
acceso
y
desactivacin de sesiones?
46. La incorporacin de bitcoras est X
acompaada de la creacin de un
conjunto de procesos que permitan el
anlisis peridico y documentado de toda
la informacin que contienen?
47. Se han establecido perodos oficiales de
vigencia de las bitcoras, de tal forma que
las mismas sean borradas peridicamente
con el fin de que no lleguen a alcanzar
tamaos desproporcionados, producto de
mantener almacenados datos sin ninguna

Esto lo ve una sola

persona
en
la
empresa

Si existen tales
restricciones pero
no el documento
formal, Se realiza el
tramite por medio
de correo en la
minora de los casos
El
analista
de
sistema,
es
el
administrador de las
base de datos, de
igual forma de los
aplicativos. Y de
todos los sistemas
Los perfiles existen
pero
no
estn
plasmados,
esto
sera
muy
importante tenerlo
de hecho.

relevancia?
48. Si la captura de datos se realiza por
medio de documentos, se han diseado
los formularios de tal forma que se utilice
siempre papel blanco y tinta negra?
49. Si la captura de datos se realiza por
medio de documentos, los formularios
sealan en forma clara su propsito,
ttulos y subttulos que lo identifiquen y
una codificacin que permita su control
dentro de la organizacin?
50. Si la captura de datos se realiza por
medio de documentos, los formularios
contienen especificaciones referentes al
uso de lneas para delimitar los campos,
sombreados para llamar la atencin en
reas especficas, uso de mrgenes
adecuados
para
el
archivo
de
documentos?
51. Si la captura de datos se realiza por
medio de documentos, los formularios
contienen claramente las instrucciones de
llenado?
52. Si la captura de datos se realiza por
medio de documentos, los formularios
incluyen el expediente de usar Cajitas
para delimitar las opciones de respuestas?
53. Si la captura de datos se realiza por
medio de documentos, los formularios
son preenumerados?
54. El formato de la pantalla donde se van x
digitar los datos obtenidos por medio de
formularios, guarda correspondencia con
el formato del documento?
55. Si la captura de datos se realiza de forma
directa, las pantallas contienen mensajes
de ayuda que permiten resolver
situaciones conflictivas que puedan
presentarse en la entrada de datos, sin que
se tenga que recurrir constantemente a los
analistas del sistema o a los manuales
respectivos?
56. Si la captura de datos se realiza en forma x
directa, las pantallas siguen un formato
estndar en donde los mensajes aparezcan
en una misma zona, se usen teclas de
funcin idntica para invocar los procesos
y aparezcan los mismos tipos de conos
representando una accin determinada?
57. Si la captura de datos se realiza en forma x

No es el proceso de
captura de datos

No es el proceso de
captura de datos

No es el proceso de
captura de datos

No es el proceso de
captura de datos

directa, las pantallas contienen mensajes

de error que ilustren la condicin que se
detect por medio de la validacin?
58. en el proceso de captura de datos en
forma directa, se han diseado controles
de validacin que eliminen la posibilidad
de que el usuario deje campos en blanco
o ceros durante la digitacin? (Concepto
tcnico de Valores Nulos).
59. En el proceso de captura de datos en
forma directa, se han diseado rutinas de
validacin incorporando el uso de
mascaras que delimiten el tipo de
valores que sea factible capturar, e
impidan que se registren datos de otro
tipo (datos numricos, datos alfabticos,
datos lgicos y otros)?
60. En el proceso de captura de datos en
forma directa, se ha delimitado la
longitud del campo dentro de la pantalla
en funcin del tamao que ste posea
dentro
de
la
base
de
datos
correspondiente a fin de evitar problemas
de overflow en el almacenamiento de
los datos?
61. Se utiliza la tcnica del dgito verificador
para la deteccin de errores en el proceso
de captura de datos.
Errores de
trascripcin, de doble transposicin, de
omisin de caracteres, de repeticin de
caracteres o errores de mala transmisin?
62. En el proceso de captura de datos, se
cuenta con validaciones de razonabilidad
dentro del sistema que permitan analizar
si en la aplicacin se verifica la
coherencia de los datos que son
ingresados?
63. En el proceso de entrada de datos, donde
sea aplicable, existen procesos de
confirmacin de las acciones sensitivas
los cuales incorporen una pausa necesaria
a la entrada de datos para que el usuario
pueda
aceptar
o
rechazar
las
transacciones digitadas?
64. En caso de entrada de datos por medios
magnticos, se utilizan cifras de control
para asegurar que la informacin que se
est leyendo est completa?
65. En caso de entrada de datos por medios
magnticos, y el archivo que se va a leer

proviene de otra localidad, se encripta la

informacin para asegurar la debida
confidencialidad?
66. En caso de entrada de datos por medios
magnticos, se lleva un control de la
versin que contenga una identificacin
consecutiva y la fecha y hora de
creacin?
67. Se
han
diseado
las
frmulas
matemticas del procesamiento de datos,
de tal forma que se respete el marco legal
vigente en Costa Rica?
68. En cuanto a controles internos en las
salidas de los subsistemas de la empresa
por medio de reportes tabulares, se
incluye en los mismos el nombre del
reporte y el propsito del listado?
69. Los reportes emitidos incluyen la fecha y
hora de generacin?
70. Los reportes emitidos incluyen el perodo
de cobertura del reporte?
71. Se ha incorporado en la emisin de
reportes tabulares, el control de
identificar el proceso que se emple para
la generacin del informe o nombre del
programa?
72. Se incluye en los reportes emitidos, la
identificacin de seguridad de la
informacin que contienen (confidencial,
privado, de uso restringido, libre uso,
estrictamente privado ) y el nivel de
confidencialidad con que deben tratarse
los datos?
73. Se ha establecido formalmente la
vigencia de los reportes emitidos o
perodos de retencin de los listados?
74. Se ha definido oficialmente el proceso de
destruccin que debe drsele al reporte
cuando este ha perdido su utilidad y
vigencia?
75. Todos los reportes, sin distincin incluyen
numeracin consecutiva de las pginas?
76. Todos los reportes incluyen una leyenda
significativa que seale el fin del reporte?
77. En caso de impresin de reportes
duplicados, se ha establecido el control de
incluir en el reporte reimpreso, una
leyenda visible, que indique la condicin
de copia del original?
78. Estn separados los procesos de

x
x

x
x

x
x
x

actualizacin de la base de datos de los

procesos de emisin de listados?
79. En el caso de impresin de reportes
voluminosos, se ha incluido la opcin que
permita reiniciar la impresin del listado
a partir de un punto especfico?
80. El uso del disco para la generacin de los
reportes tiene como objetivo lograr mayor
eficiencia en el uso del computador, sin
embargo, incorpora una serie de riesgos
al disponer de un archivo en un medio
magntico con una imagen del reporte
que podra ser modificada.
Se han
establecido controles para asegurar que el
contenido de un archivo en estas
condiciones no sea modificado, as como
eliminar la posibilidad de que se realicen
copias desautorizadas de los reportes?
81. Se han establecido procedimientos para
controlar la circulacin fsica de los
reportes que contengan informacin
sensitiva, as como el archivo de estos
reportes en muebles de acceso fsico
restringido?
82. En cuanto a los formularios en blanco no
utilizados an, se han establecido
mecanismos de control referentes a que
los mismos sean custodiados en bvedas
de seguridad de acceso fsico restringido?
83. En cuanto al diseo de estos formularios,
se han incorporado controles tales como
hologramas, sellos de agua, sellos blancos
con el logo de la empresa, tintas
fluorescentes, microimpresin de textos
especiales u otra tcnica que dificulte la
falsificacin de estos documentos?
84. Se cuenta en la empresa con un
procedimiento escrito en donde se detalle
la forma de preparar los respaldos?
85. Se ha instaurado la prctica peridica de
limpiar las cabezas de lectura-grabacin
de las unidades que se utilizan para
respaldar los datos y sistemas?
86. Los respaldos se archivan en lugares de x
acceso fsico restringido y controlado
87. Se mantienen copias de las aplicaciones, x
datos y sistema (debidamente protegidas
por un sistema estricto de seguridad) de
respaldo en lugar alterno diferente a las
instalaciones fsicas de la empresa?

x
x

Si se realizan no
est documentado

88. Tiene la empresa las Licencias

correspondientes para el uso del Software
utilizado?
89. Existe, se aplica y se evala un programa
de control contra virus computacional, en
donde se investigue la aparicin de
nuevos virus y vacunas computacionales?
90. Se realizan revisiones peridicas sobre
bases selectivas de equipos a fin de
determinar
si
las
vacunas
computacionales instaladas se encuentran
debidamente actualizadas y permanecen
activas en las memorias de los equipos?
91. Se han establecido controles tendientes a
impedir que las versiones originales del
Software propiedad de la empresa, sean
copiadas de forma desautorizada?
92. En cuanto a la compra de Hardware, se ha
establecido
un
procedimiento
de
evaluacin de los proveedores, de tal
manera que se garantice solidez, seriedad
y continuidad con el vendedor?
93. Se cuenta con Unidades de Flujo elctrico
ininterrumpido para garantizar que no se
perder informacin en caso de corte de
la corriente elctrica?
94. En el rea de cmputo se cuenta con
alarmas y detectores de humo y calor?
95. Se ha restringido oficialmente el acceso
de personal no autorizado al rea de
cmputo?
96. Se ha diseado una rutina formal
tendiente a desactivar oportunamente del
sistema a aquellos funcionarios que dejan
de laborar para la empresa?
97. Se cuenta con plizas de seguros
adecuadas cuantitativa y cualitativamente,
para la proteccin de los equipos fsicos y
muebles del rea informtica?
98. Se ha establecido por escrito la
prohibicin formal de ingerir alimentos
y/o bebidas dentro del rea de cmputo?
99. Se cuenta con seguros formales de
fidelidad que incluyan al personal
sensible del rea informtica, en caso de
delitos por fuga de informacin?
100.
Se ha establecido la prctica de
confeccionar peridicamente matrices de
riesgo-control para evaluar el control
interno de toda la operacin del rea

x
X

X
X
X

Ni idea

X
Ni idea

informtica de la empresa?

Firma manuscrita del Auditor de Campo Responsable.

Firma manuscrita de funcionario de la empresa auditada.