Auditoría
En muchas organizaciones, el énfasis del auditor
ha cambiado desde la evaluación y testeo del procesamiento
al diagnostico y testeo de riesgos.
Muchos de estos controles son incorporados dentro de programas o
ejercitados dentro de las divisiones tecnológicas de
la compañía.Estas avances orientados al control
usualmente requieren estas ligados a la tecnología usada en el área o en
la
organización.El auditor de sistemas
(IT auditor) evalúa y testea los más complejos
controles tecnológicos y de procedimientos y desarrolla y aplica técnicas de auditoria computarizadas,
incluyendo el uso de software de
auditoria. En muchos casos, no es posible la
verificación manual de
procedimientos computarizados usados para sumarizar,
calcular o categorizar la información. Como un resultado de ello,
se debe utilizar el software de auditoria y otras
técnicas orientadas a la computación.La principal tarea del auditor interno es la de
asistir al management de la empresa
para juntar sus esfuerzos en la responsabilidad de asegurar:a) Protección de los activos de
la Empresab) Obtención de información financiera
veraz, confiable y oportunac) Promoción de la eficiencia en
la operación del negocio.d) Lograr que en la ejecución de las operaciones
se cumplan las políticas establecidas por los
administradores de la Empresa.- Objetivo del
Auditor Evaluar la eficiencia y eficacia con que se está operando
para que por medio de cursos alternativos de acción se tomen decisiones que
permitan corregir los errores en caso de que existan, o
bien mejorar la forma de actuación.La Auditoría debe ser más
amplia que la simple detección de errores, debe
evaluar para mejorar lo existente, corregir errores y
proponer alternativas de solución.El examen que conforma una auditoría informática abarca
una serie de controles, verificaciones, y juicios, etc.
que concluyen en un conjunto de recomendaciones y un
plan
de acción. Es la elaboración de este plan
de acción lo que diferencia a la auditoría
informática de lo que sería
una auditoría tradicional.Por ejemplo, cuando un auditor efectúa un
recuento de fondos, no esta poniendo en tela de juicio la
honorabilidad del cajero. Esta cumpliendo con una
exigencia profesional que impone el recuento de los
bienes
tangibles.Aplicado a la auditoria de sistemas, no se trata
de ingresar al centro de cómputos para realizar
una labor de espionaje por cuanto se duda de sus
integrantes, sino de llevar a cabo una tarea profesional
tendiente a la obtención de elementos de juicio
que permitan emitir una dictamen sobre la razonabilidad
de los estados contables.- Necesidad de
Adherencia a Normas
Estándares
- Objetivo del
En el ámbito directivo existe la necesidad que
el área de sistemas se integre a as modalidades de
conducción y objetivos de
la alta dirección. Los motivos de dicha
necesidad, se pueden agrupar en:
- Control de Calidad: mediante una
definición de la forma en que se deben llevar a cabo y
documentar su actividad los analistas y programadores, pueden
establecerse pautas de calidad y
practicarse los controles correspondientes. - Uniformidad del producto
terminado: es conveniente que la producción sea información para
lograr la intercambialidad de los seres humanos. - Claridad (comprensibilidad) de las tareas:
para un adecuado control de la supervisión, intercambio de
información y entrenamiento
del personal
ingresante o traslado a nuevas tareas, es altamente
beneficioso que el producido sea fácilmente
comprensible lo cual requiere una metodología y calidad
uniformes. - Reducción de costos: el continuo
incremento de los costos de
mantenimiento de los sistemas y sus programas,
toma imperativo el desarrollo
de políticas y planes tendientes a su
reducción. Eso puede lograrse con un producto
uniforme, comprensible y bien documentado. - Intercambio de
información - Evaluación de las
actuaciones - Comunicación: una metodología
uniforme posibilita obtener mejores herramientas y técnicas de comunicación tomándola mas
fácil y fluida. Adicionalmente, los estándares
pueden resultar útiles para el control de los costos y
del cargo de la asignación de ellos a los usuarios por
los servicios
prestados.
Constituyen uno de los elementos vitales dentro del
desarrollo de los sistemas. Los objetivos básicos que
deben permitir alcanzar la documentación en un entorno
electrónico, son:
- Comunicación: la información verbal
puede no ser clara y no es permanente y no abarca la variedad
de datos a ser
transmitidos entre y dentro de las diversas funciones
existentes en un centro de cómputos. - Referencia Histórica
- Control de Calidad: la calidad de un sistema es
una función de la metodología
empleada en su desarrollo. - Entrenamiento del personal
- Eliminación de la dependencia del
analista/programador.
Son aquellos concebidos durante la etapa de análisis y concentrados en los programas
de aplicación correspondientes. De la cantidad, claridad
y etapa del procesamiento que cubran, dependerá la
exactitud e integridad de la información.
a) Controles para validar la información de
entrada.
Esta clase de
errores esta destinada a detectar los errores contenidos por la
información que se ingresa en un sistema.
Esta validación debería realizarse en el
momento más próximo a la entrada de la
información.
- Verificación de campos
Consistencia: establecer la relación que debe
existir entre dos o más campos de un mismo registro.
Rango
Limites
Códigos.
- Verificación de caracteres: blancos,
numéricos, signos. - Dígitos de control
- Verificación de lotes
b) Controles sobre el procesamiento.
- Verificaciones cruzadas: es la suma o
sustracción de dos o más campos y el balanceo del
resultado a cero contra el resultado original. - Balanceo de los archivos
procesados parcialmente (control de saldos) - Control sobre el redondeo.
- Seguridad de los
Sistemas de Computación Se merece un análisis integral del tema a
los efectos de determinar los riesgos más comunes,
posibilidades de implantar medidas de prevención y
sus costos y el estudio de los medios
de backup y recuperación.Los sistemas de computación deben ser
protegidos de tres tipos de peligros: desastres
naturales, errores y omisiones humanas y actos
intencionales.Seguridad
Seguridad de la información:
protección contra destrucción accidental o
intencional, revelación a terceros o
modificación.Seguridad del procesamiento de datos:
comprende medidas preventivas de caracteres
tecnológico y las políticas gerenciales
aplicables al hardware,
software e información para obtener la salvaguarda
de los activos de la entidad y la privacidad
individual.Privacidad
Dada la gran capacidad de almacenamiento de los medios
magnéticos y de los computadores empleado es
factible la creación de bases de
datos de miles de individuos.Confidencialidad
Información que deba mantenerse en
secreto.Integridad
Cuando la información no difiere de la
contenida en los documentos originales.Evitar: Análisis de actividades que
deberán interrumpirse por cuantas los riesgos
son muy grandes.Disuadir: Contar con medidas de
protección que inspiren respeto. Como para mover a alguien a
desistir de sus propósitos.Prevenir: Ligada a los aspectos
físicos.Detectar: Muchas medidas preventivas no
resultaran efectivas de no incorporarse la posibilidad
de la detección del riesgo en el sistema de seguridad.Recuperar y corregir: Resultado vital, dada la
vulnerabilidad de una operación electrónica contar con las
medidas y los medios que posibiliten su
recuperación ante cualquier falla de hardware,
software, errores de operación o
información errónea.- Funciones de la seguridad
- Estrategias de Seguridad
Cada riesgo debería ser atacado de tres
formas:
- Minimizar la posibilidad de ocurrencia
- Reducir al mínimo el perjuicio sufrido, si
no ha podido evitarse que ocurriera. - Diseño de métodos para una rápida
recuperación de los daños
experimentados. - Corrección de las medidas de seguridad en
función de la experiencia recogida (retroalimentación del proceso).
Muchas de las decisiones gerenciales están
basadas en la premisa de la existencia de ciertos riesgos que
en el caso de concretarse implicaran que los cursos de
acción previstos podrían verse
alterados.
En una operatoria electrónica de los riesgos
son muchos y de variada naturaleza.
Para la toma de
decisiones basadas en elementos de juicio que posibiliten
la eliminación de la incertidumbre resultara necesario
un análisis de los riesgos que permitan su conocimiento, probabilidad de
ocurrencia y cuantificación (matriz de
riesgo).
Dos elementos claves en el análisis de riesgo
son:
- Determinación del impacto que originara un
acontecimiento - Fijación de la probabilidad de ocurrencia de
un hecho, dentro de un lapso especificado.
Existen 4 posibilidades:
- Eliminar el riesgo con medidas
adecuadas - Soportarlo o tolerarlo con la debida conciencia, tratándose de casos en los
que el perjuicio ocasionara efectos menores. - Reducirlo, adoptando contramedidas
- Transferirlo, mediante seguros o
convenios especiales.
El problema gerencial consisten en hallar una
combinación entre las variantes anteriores, en forma tal
de reducir los riesgos a un nivel aceptable y con costos
mínimos.
- Seguridad
Física Comprende todas las disposiciones convenientes en
materia
de control físico de acceso a las instalaciones,
registraciones sobre ingreso y egreso de personas,
vigilancia, circuitos cerrados de televisión, etc. Integran la
seguridad general de cualquier entorno.Nos dedicaremos a los riesgos más
importantes que corren en un centro de
cómputos.Resultaría necesario estudiar las medidas
de adopción más convenientes para
salvar una circunstancia de tipo accidental o intencional
que impida la continuidad de la operatoria, como
consecuencia de algún inconveniente de cualquier
tipo.En este tema confluyen los aspectos de tipo
operativo con los requerimientos del sistema de control
interno electrónico.- Resguardo y
Recuperación. - Seguridad Lógica.
Se refiere a los controles de software o controles
interno de hardware existentes en el sistema para prevenir o
detectar el ingreso d la información no autorizada al
sistema o accesos no autorizados a la información de la
empresa.
Concepto de Auditoria
InformáticaAuditoria informática es la revisión y
evaluación de los controles, sistemas, procedimientos
de informática, de los equipos de cómputos, su
utilización, eficiencia y seguridad, de la organización que participa en el
procesamiento de la información, a fin de que por
medio del señalamiento de cursos alternativos se logre
una utilización más eficiente y segura de la
información que sirve para la toma de
decisiones.Su campo de acción será:
a) Evaluación administrativa del área
de informática.1. Los objetivos del área
2. Metas, planes, políticas y procedimientos
de procesos
electrónicos estándar.3. Organización del área y su estructura
orgánica.4. Funciones, niveles de autoridad
y responsabilidad del área de sistemas.5. Integración de los recursos
materiales
y técnicos6. Costos y controles presupuestales
7. Controles administrativos del
áreab) Evaluación de los sistemas,
procedimientos, y de la eficiencia que se tiene en el uso de
la información.1. Análisis de los sistemas y sus diferentes
etapas.2. Evaluación del diseño lógico del
sistema.3. Evaluación del desarrollo físico
del sistema4. Control de proyectos
5. Control de sistemas y
programación6. Instructivos y documentación
7. Formas de implantación
8. Seguridad lógica y física de los
sistemas y sus datos.9. Confidencialidad de los sistemas
10. Controles de mantenimiento y forma de respaldo
de los sistemas.11. Utilización de los sistemas.
c) Evaluación del proceso de datos y de los
equipos de procesamiento.1. Controles de los datos fuentes y
manejo de cifras de control2. Control de operación
3. Control de salida
4. Control de asignación de
trabajos5. Control de asignación de medios de
almacenamiento masivos6. Control de otros elementos de
cómputo7. Orden en el Centro de Procesamiento.
8. Seguridad física y
lógica.9. Respaldos.
La definición de los objetivos perseguidos en
la auditoria informática debe preceder a la
elección de los medios y de las acciones,
si se pretende evitar el predominio de estos
últimos.Para lograr un buena planeación es conveniente primero
obtener información general sobre la
organización y sobre la función
informática a evaluar. Para ello es preciso una
investigación preliminar y algunas
entrevistas previas, para establecer un
programa de
trabajo en
el que se incluirá el tiempo,
costo,
personal necesario y documentos auxiliares a solicitar o
formular durante el desarrollo de la AI.Planeación de la Auditoria
Informática
Se debe recopilar información para obtener una
visión general del área a auditar por medio de
observaciones, entrevistas preliminares y solicitudes de
documentos. La finalidad es definir el objetivo y
alcance del estudio, así como el programa detallado de
la investigación.
La planeación de la auditoría debe
señalar en forma detallada el alcance y dirección
esperados y debe comprender un plan de trabajo para que, en
caso de que existan cambios o condiciones inesperadas que
ocasionen modificaciones al plan general, sean justificadas por
escrito.
Se debe hacer una investigación preliminar
solicitando y revisando la información de cada una de
las áreas de la organización.
Para poder
analizar y dimensionar la estructura por auditar se debe
solicitar:
1- A nivel Organización Total:
- Objetivos a corto y largo plazo
- Manual de la Organización
- Antecedentes o historia del
Organismo - Políticas generales
2- A nivel Área informática:
- Objetivos a corto y largo plazo
- Manual de organización del área que
incluya puestos, niveles jerárquicos y tramos de
mando. - Manual de políticas, reglamentos internos y
lineamientos generales. - Número de personas y puestos en el
área - Procedimientos administrativos en el
área. - Presupuestos y costos del área.
3- Recursos materiales y técnicos
- Solicitar documentos sobre los equipos,
número (de los equipos por instalados, por instalar y
programados), localización y
características. - Fechas de instalación de los equipos y
planes de instalación. - Contratos vigentes de compra, renta y servicio
de mantenimiento. - Contrato de seguros
- Convenios que se mantienen con otras
instalaciones - Configuración de los equipos, capacidades
actuales y máximas. - Planes de expansión
- Ubicación general de los equipos
- Políticas de operación
- Políticas de uso o de equipos
4- Sistemas
- Manual de formularios.
- Manual de procedimientos de los
sistemas - Descripción genérica
- Diagrama de entrada, archivo y
salida. - Salidas impresas
- Fecha de instalación de los
sistemas - Proyectos de instalación de nuevos
sistemas.
COMENTARIOS:
En el momento de planear la AI – auditoria
informática – (o bien cuando se está efectuando)
debemos evaluar que pueden presentarse las siguientes
situaciones:
a) Se solicita información y se ve
que:
No se tiene y SE necesita
No se tiene y NO se necesita
b) Se tiene la información pero:
No se usa
Es incompleta
No está actualizada
No es la adecuada
c) Se usa, esta actualizada, es la adecuada y
está completa
a1) En el caso de que no se disponga de la
información y se considere que no se necesita para la
AI, se debe evaluar la causa por la que no es necesaria. (este
parámetro nos servirá para la planeación
de la auditoria)
a2) En el caso de que no se tenga la
información pero que la misma sea necesaria para la AI,
se debe recomendar que se elabore de acuerdo a las necesidades
y al uso que se le va a dar.
b) en el caso de que se tenga la información
pero no se use, se debe analizar porque no se usa: es
incompleta, no esta actualizada, no sea la adecuada,
etc.
Como resultado de los trabajos preliminares se debe
explicitar:
- objetivo
- alcance
- limitaciones y colaboración
necesarias - grado de responsabilidad
- Informes que se entregaran
- TOMA DE CONTACTO
- PLANIFICACION DE LA OPERACION
- DESARROLLO DE LA AUDITORIA
- FASE DE DIAGNOSTICO
- PRESENTACION DE LAS CONCLUSIONES
- FORMULACION DEL PLAN DE MEJORAS
Esta fase tendrá mucho mas sentido si el
equipo auditor es externo a la organización, ya que
en ella se recaba toda la información preliminar.
Estudio preliminar y determinación de
alcances.Es en definitiva una larga lista de elementos que
permiten al auditor conocer la organización donde se
ubicará para efectuar su trabajo.- Toma de
ContactoEn esta etapa se deberán
establecer:– Definitivamente el objetivo de la AI
– Las áreas a cubrir
– Personas de la Organización que
habrán de colaborar y en que momentos de la
auditoria– Plan de trabajo:
– tareas
– calendario
– resultados parciales
– presupuesto
– equipo auditor necesario
- Planificación de la
Operación - Desarrollo de la
Auditoria Informática
Es el momento de ejecutar las tareas que se enunciaron
en la fase anterior. Es esta una fase de observación, de recolección de
datos, situaciones, deficiencias, en resumen un período
en el que:
- se efectuarán las entrevistas previstas en la
fase de planificación. - se completarán todos los cuestionarios que
presente el auditor - se observarán las situaciones deficientes, no
solo las aparentes, sino las que hasta ahora no hayan sido
detectadas, para lo que se podrá llegar a simular
situaciones límites. - se observarán los procedimientos, tanto los
informáticos como los de usuarios. - se ejecutarán por lo tanto, todas las
previsiones efectuadas en la etapa anterior con el objeto de
llegar a la siguiente etapa en condiciones de diagnosticar la
situación encontrada.
- Fase de
Diagnóstico Cuando ya se hayan efectuado todas los estudios y
revisiones, se debe elaborar el diagnóstico. Como resultados de esta
etapa han de quedar claramente definidos los puntos
débiles, y por contrapunto los fuertes, los riesgos
eventuales, y en primera instancia los posibles tipos de
solución o mejoras de los problemas planteados.Estas conclusiones se discutirán con las
personas afectadas por lo que serán suficientemente
argumentadas y probadas.Es un momento delicado en el trato con las
áreas, los auditores deben presentar estas
conclusiones como un plan de mejoras en beneficio de todos,
en lugar de una reprobación de los afectados, salvo
en el caso de que esto sea estrictamente
necesario.- Presentación de las
Conclusiones - Formulación
del Plan de Mejoras
Llegados a este último punto, la
dirección conoce ya las deficiencias que el equipo
auditor ha observado en su departamento informático,
éstas han sido discutidas. Mas no basta con quedarse
ahí, ahora es cuando los auditores han de demostrar su
experiencia en situaciones anteriores lo suficientemente
contrastadas y exitosas y ser capaces de adjuntar, al informe de
auditoría, el plan de mejoras que permitirá
solventar las deficiencias encontradas.
El plan de mejoras abarcará todas las
recomendaciones derivadas de
las deficiencias detectadas en la realización de la
auditoria. Para ello se tendrán en cuenta los recursos
disponibles, o al menos potencialmente disponibles, por parte
de la Empresa objeto de la Auditoria.
Entre las primeras se incluirán aquellas
mejoras puntuales y de fácil realización como son
las mejoras en plazo, calidad, planificación o
formación. Las medidas de mediano plazo necesitaran de
uno a dos años para poderse concretar. Aquí pues
caben mejoras más profundas y con mayor necesidad de
recursos, como la optimización de programas, o de la
documentación, e incluso de algunos aspectos de
diseño de los sistemas.
Para finalizar, las consideraciones a largo plazo,
pueden llevar cambios sustanciales en las políticas,
medios o incluso estructuras
del servicio de informática. Estas mejoras pueden pasar
por la reconsideración de los sistemas en uso o de los
medios, humanos y materiales, conque se cuenta, llegando si es
preciso a una seria reconsideración del plan
informático.
ALGUNAS RECOMENDACIONES A TENER EN
CUENTA:
1- No hacer juicios sin la suficiente
fundamentación
2- Cuidar los aspectos de imagen,
presentación y protocolo
3- No adelantar resultados parciales que pueden
distorsionar el resultado final
4- Las entrevistas iniciales son un aspecto muy a
cuidar. Hay que prepararlas muy bien para que surtan el
efecto que de ellas se espera.
5- En todo momento, por cordiales que resulten las
relaciones con los auditados, no perder de vista el papel de
consultores experimentados que han de tener los auditores
informáticos.
6- Exponer la idea que los resultados de la
auditoria no harán más que intentar mejorar, a
todos los efectos, el servicio de informática con el
beneficio que ello supondría para todos los implicados
en el área.
7- Exponer la idea que al final de la auditoria no
se trata de castigar a nadie. El objetivo fundamental es el
de encontrar deficiencias y corregirlas.
8- Estudiar hechos y no opiniones. (no se toman en
cuenta rumores ni información sin
fundamento)
9- Investigar las causas, no los efectos.
10- Atender razones, no excusas.
11- Criticar objetivamente y a fondo todos los
informes y
los datos recabados.
PLANIFICACIÓN: Donde se pasa revista a
las distintas fases de la planificación.ORGANIZACIÓN Y ADMINISTRACIÓN: en este
punto se examinaran aspectos como las relaciones con los
usuarios, con los proveedores, asignación de recursos,
procedimientos, etc.DESARROLLO DE SISTEMAS: área importante donde
la auditoría deberá velar por la
adecuación de la informática a las necesidades
reales de la Empresa.EXPLOTACIÓN: aquí se analizarán
los procedimientos de operación y explotación
en el centro de proceso de datos.ENTORNO DE HARDWARE: donde se vigilará entre
otras cosas los locales, el software de acceso, alarmas,
sistemas anti-incendios,
protección de los sistemas, fiabilidad del Hardware,
etc.ENTORNO DEL SOFTWARE: en esta área la
Auditoria Informática analizará los sistemas de
prevención y detección de fraudes, los
exámenes a aplicaciones concretas, los controles a
establecer, en definitiva, todo lo relacionado con la
fiabilidad, integridad y seguridad del software.Clasificación por Áreas de
Aplicación de la Auditoria
Informática
- Determinar que planes del proceso de datos
están coordinados con los planes generales de la
organización. - Revisar planes de informática y determinar
su idoneidad. - Contrastar el plan con su
realización - Determinar el grado de participación y
responsabilidad de directivos y usuarios en la
planificación. - Participar incluso en el proceso de la
planificación - Revisar los planes de desarrollo de software de
aplicaciones.
El auditor informático centrará
especialmente su atención en:
- El sistema de información
- La planificación del desarrollo
- La planificación de proyectos
- La definición y distribución de la cartera de
aplicaciones.
- Riesgos de una planificación
inadecuada
- Información redundante
- Difícil coordinación de equipos de
trabajo - Desarrollo de aplicaciones inconexas.
- Organización y
Administración Establece una serie de revisiones y comparaciones
tendientes a emitir un juicio sobre la
administración y organización del
departamento de procesamiento.- Objetivos
- Revisión del organigrama y dependencias
funcionales - Verificar estándares de
documentación - Revisar la política de personal.
- Evaluar distribución de
funciones - Análisis de la departamentalización
utilizada
La información nos servirá para
determinar:
- Si las responsabilidades de la organización
definidas adecuadamente - Si la estructura
organizacional esta adecuada a las
necesidades - Control organizacional adecuado
- Existencia de objetivos y políticas
adecuadas - Documentación de las actividades
- Análisis y descripción de puestos
- Si los planes de trabajo concuerdan con los
objetivos de la empresa.
Un caso particular de la Auditoria de la
organización y administración es la auditoria de los
Procedimientos.
Esta orientada a asegurar que existe suficiente
protección: control interno, separación de
funciones, seguridad y fiabilidad del sistema, continuidad
y seguridad en los procedimientos en las distintas
áreas:- Área de control o
Producción
- Área de control o
- Auditoria de los procedimientos
- Comprobar la calidad de los trabajos
entregados. - Establecer separación de
funciones - Mantener registro de la recolección de datos de
control - Mantener verificación total e independiente
de las actividades mecanizadas, comprobar la exactitud del
proceso. - Existencia de manuales
actualizados que especifican los procedimientos de
control.
- Área de ingreso de datos (ingreso de
información Online)
- Registro adecuado de trabajos, fallos, problemas y
acciones que se adopten frente a los errores. - Control eficaz de los procedimientos y
manutención de la integridad de los
trabajos. - Procedimientos de verificación
independientes de la preparación inicial de los
datos.
- Cintoteca
- Adecuado lugar de almacenamiento
- Existencia de medidas de protección de
archivos a largo plazo. - Registro actualizado, completo y oportuno de los
movimientos de archivos. - Cumplimiento de normas y procedimientos
- Procedimientos para una manipulación
adecuada, almacenamiento seguro y uso
automatizado de soportes magnéticos.
- Implementaciones
- Registro de streams (jobs)
- Existencia de jobs para reprocesos y
recuperación de sistemas. - Existencia de estándares, instrucciones y
manuales adecuados que gobiernen la preparación de los
jobs.
- Mantenimiento de programas
- Existencia de una metodología de control de
cambios. Incluye los métodos para solicitar y
autorizar modificaciones. - Existencia de registro de las
modificaciones.
- Seguridad de los programas y bibliotecas de programas.
- Que el contenido de las bibliotecas de programas
esté respaldado por eficientes normas de
seguridad. - Documentación adecuada.
- Programas en desarrollo separado de los
productivos.
- Carga de maquina
- Existencia de estándares, procedimientos,
instrucciones y manuales adecuados que cubran todas las
posibilidades de procesos que se puedan suscitar. - Observar procedimientos
- Mantener registros
adecuados - Trabajos debidamente autorizados.
- Planificación
- Análisis de la planificación de las
tareas - Existencia de estándares, procedimientos e
instrucciones relativas a la planificación del los
trabajos.
- Operadores del computador
- Existencia de estándares operativos
adecuados (generales y específicos) de cada sistema de
aplicación. Deberán establecerse procedimientos
y métodos de operación seguros. - Estándares documentados y a
disposición del operador - Cubrir las medidas de operación, los casos
de contingencia - Observar si la jefatura realiza inspecciones
periódicas controlando procedimientos de
autorización, trabajos realizados vs planificados,
cumplimiento de normas, etc. - Verificar que el operador no pueda modificar datos
de entrada.
- Dirección de proyectos.
- Verificar si el líder de proyecto
controla eficazmente las normas de desarrollo, diseño,
programación, documentación,
pruebas e
implantación de los sistemas. - Verificar si se ha establecido un grupo de
gestión a nivel de
diseño. - Verificar si el personal de desarrollo no tiene
acceso a datos operativos. - Documentación adecuada de todos los
trabajos.
- Programador
- Existencia de supervisión eficaz, con
control sobre la calidad de los trabajos (cumplimiento de
normas de programación) - Prueba de los sistemas, documentadas y sin datos
reales. - Existencia de programas en librerías de
desarrollo y su envío a producción cuenta con
la autorización necesaria. - Trabajos de mantenimiento controlados y debidamente
documentados y autorizados.
- Sección de despacho
- Existencia de estándares y procedimientos
adecuados para el despacho de trabajos y su
prioridad. - Existencia de procedimientos para manejar
información confidencial. - Existencia de registro de errores y
problemas - Existencia de impresos controlados en manos de
personas no autorizadas o manipuladas
incorrectamente. - Existencia de métodos de destrucción
de impresos caducados y asegurarse de que no se corren
riesgos innecesarios.
- Biblioteca de documentación (sí
existiera)
- Responsabilidad de las personas para que las
modificaciones de software o sistemas sean depositadas (sus
copias) en la biblioteca. - Existencia de encargados de mantener registro,
seguridad de documentos, actualización de copias y
autorización la salida de documentos.
- Equipo de backup
- Determinar los distintos niveles de fallos del
sistema y equipos asociados. Deberán establecerse las
necesidades mínimas del usuario para cada nivel y
duración de la avería. - Existencia de un análisis de riesgos,
posibles perdidas o efectos, disponiendo de la cobertura de
seguros.
- Seguridad de archivos y datos.
- Existencia de estándares y procedimientos
para el almacenamiento y protección de los
datos. - Existencia de condiciones y tiempos de
retención de documentos y archivos de las
aplicaciones.
- Control de teleproceso
- Examinar el registro de control de
teleproceso - Probar la seguridad del sistema y procesos de
teleproceso. - Inspeccionar algunos procesos de entrada y analizar
la eficacia del control.
Página anterior | Volver al principio del trabajo | Página siguiente |