Monografias.com > Sin categoría
Descargar Imprimir Comentar Ver trabajos relacionados

Guía sobre Auditoría de Sistemas (página 2)




Enviado por Gabriel Pineda

Partes: 1, 2, 3

  1. Auditoría

  2. En muchas organizaciones, el énfasis del auditor
    ha cambiado desde la evaluación y testeo del procesamiento
    al diagnostico y testeo de riesgos.
    Muchos de estos controles son incorporados dentro de programas o
    ejercitados dentro de las divisiones tecnológicas de
    la compañía.

    Estas avances orientados al control
    usualmente requieren estas ligados a la tecnología usada en el área o en
    la
    organización.

    El auditor de sistemas
    (IT auditor) evalúa y testea los más complejos
    controles tecnológicos y de procedimientos y desarrolla y aplica técnicas de auditoria computarizadas,
    incluyendo el uso de software de
    auditoria. En muchos casos, no es posible la
    verificación manual de
    procedimientos computarizados usados para sumarizar,
    calcular o categorizar la información. Como un resultado de ello,
    se debe utilizar el software de auditoria y otras
    técnicas orientadas a la computación.

    La principal tarea del auditor interno es la de
    asistir al management de la empresa
    para juntar sus esfuerzos en la responsabilidad de asegurar:

    a) Protección de los activos de
    la Empresa

    b) Obtención de información financiera
    veraz, confiable y oportuna

    c) Promoción de la eficiencia en
    la operación del negocio.

    d) Lograr que en la ejecución de las operaciones
    se cumplan las políticas establecidas por los
    administradores de la Empresa.

    1. Objetivo del
      Auditor

    2. Evaluar la eficiencia y eficacia con que se está operando
      para que por medio de cursos alternativos de acción se tomen decisiones que
      permitan corregir los errores en caso de que existan, o
      bien mejorar la forma de actuación.

      La Auditoría debe ser más
      amplia que la simple detección de errores, debe
      evaluar para mejorar lo existente, corregir errores y
      proponer alternativas de solución.

      El examen que conforma una auditoría informática abarca
      una serie de controles, verificaciones, y juicios, etc.
      que concluyen en un conjunto de recomendaciones y un
      plan
      de acción. Es la elaboración de este plan
      de acción lo que diferencia a la auditoría
      informática de lo que sería
      una auditoría tradicional.

      Por ejemplo, cuando un auditor efectúa un
      recuento de fondos, no esta poniendo en tela de juicio la
      honorabilidad del cajero. Esta cumpliendo con una
      exigencia profesional que impone el recuento de los
      bienes
      tangibles.

      Aplicado a la auditoria de sistemas, no se trata
      de ingresar al centro de cómputos para realizar
      una labor de espionaje por cuanto se duda de sus
      integrantes, sino de llevar a cabo una tarea profesional
      tendiente a la obtención de elementos de juicio
      que permitan emitir una dictamen sobre la razonabilidad
      de los estados contables.

    3. Necesidad de
      Adherencia a Normas
      Estándares

En el ámbito directivo existe la necesidad que
el área de sistemas se integre a as modalidades de
conducción y objetivos de
la alta dirección. Los motivos de dicha
necesidad, se pueden agrupar en:

  2. Control de Calidad: mediante una
    definición de la forma en que se deben llevar a cabo y
    documentar su actividad los analistas y programadores, pueden
    establecerse pautas de calidad y
    practicarse los controles correspondientes.
  3. Uniformidad del producto
    terminado    : es conveniente que la producción sea información para
    lograr la intercambialidad de los seres humanos.
  4. Claridad (comprensibilidad) de las tareas:
    para un adecuado control de la supervisión, intercambio de
    información y entrenamiento
    del personal
    ingresante o traslado a nuevas tareas, es altamente
    beneficioso que el producido sea fácilmente
    comprensible lo cual requiere una metodología y calidad
    uniformes.
  5. Reducción de costos: el continuo
    incremento de los costos de
    mantenimiento de los sistemas y sus programas,
    toma imperativo el desarrollo
    de políticas y planes tendientes a su
    reducción. Eso puede lograrse con un producto
    uniforme, comprensible y bien documentado.
  6. Intercambio de
    información
  7. Evaluación de las
    actuaciones
  8. Comunicación: una metodología
    uniforme posibilita obtener mejores herramientas y técnicas de comunicación tomándola mas
    fácil y fluida. Adicionalmente, los estándares
    pueden resultar útiles para el control de los costos y
    del cargo de la asignación de ellos a los usuarios por
    los servicios
    prestados.
  1. Documentación de los
    Sistemas

Constituyen uno de los elementos vitales dentro del
desarrollo de los sistemas. Los objetivos básicos que
deben permitir alcanzar la documentación en un entorno
electrónico, son:

  1. Comunicación: la información verbal
    puede no ser clara y no es permanente y no abarca la variedad
    de datos a ser
    transmitidos entre y dentro de las diversas funciones
    existentes en un centro de cómputos.
  2. Referencia Histórica
  3. Control de Calidad: la calidad de un sistema es
    una función de la metodología
    empleada en su desarrollo.
  4. Entrenamiento del personal
  5. Eliminación de la dependencia del
    analista/programador.
  1. Controles
    programados

Son aquellos concebidos durante la etapa de análisis y concentrados en los programas
de aplicación correspondientes. De la cantidad, claridad
y etapa del procesamiento que cubran, dependerá la
exactitud e integridad de la información.

a) Controles para validar la información de
entrada.

Esta clase de
errores esta destinada a detectar los errores contenidos por la
información que se ingresa en un sistema.

Esta validación debería realizarse en el
momento más próximo a la entrada de la
información.

  • Verificación de campos

Consistencia: establecer la relación que debe
existir entre dos o más campos de un mismo registro.

Rango

Limites

Códigos.

  • Verificación de caracteres: blancos,
    numéricos, signos.
  • Dígitos de control
  • Verificación de lotes

b) Controles sobre el procesamiento.

  • Verificaciones cruzadas: es la suma o
    sustracción de dos o más campos y el balanceo del
    resultado a cero contra el resultado original.
  • Balanceo de los archivos
    procesados parcialmente     (control de saldos)
  • Control sobre el redondeo.
  1. Seguridad de los
    Sistemas de Computación

  2. Se merece un análisis integral del tema a
    los efectos de determinar los riesgos más comunes,
    posibilidades de implantar medidas de prevención y
    sus costos y el estudio de los medios
    de backup y recuperación.

    Los sistemas de computación deben ser
    protegidos de tres tipos de peligros: desastres
    naturales, errores y omisiones humanas y actos
    intencionales.

    Seguridad

    Seguridad de la información:
    protección contra destrucción accidental o
    intencional, revelación a terceros o
    modificación.

    Seguridad del procesamiento de datos:
    comprende medidas preventivas de caracteres
    tecnológico y las políticas gerenciales
    aplicables al hardware,
    software e información para obtener la salvaguarda
    de los activos de la entidad y la privacidad
    individual.

    Privacidad

    Dada la gran capacidad de almacenamiento de los medios
    magnéticos y de los computadores empleado es
    factible la creación de bases de
    datos de miles de individuos.

    Confidencialidad

    Información que deba mantenerse en
    secreto.

    Integridad

    Cuando la información no difiere de la
    contenida en los documentos originales.

    1. Evitar: Análisis de actividades que
      deberán interrumpirse por cuantas los riesgos
      son muy grandes.

      Disuadir: Contar con medidas de
      protección que inspiren respeto. Como para mover a alguien a
      desistir de sus propósitos.

      Prevenir: Ligada a los aspectos
      físicos.

      Detectar: Muchas medidas preventivas no
      resultaran efectivas de no incorporarse la posibilidad
      de la detección del riesgo en el sistema de seguridad.

      Recuperar y corregir: Resultado vital, dada la
      vulnerabilidad de una operación electrónica contar con las
      medidas y los medios que posibiliten su
      recuperación ante cualquier falla de hardware,
      software, errores de operación o
      información errónea.

    2. Funciones de la seguridad
    3. Estrategias de Seguridad

Cada riesgo debería ser atacado de tres
formas:

  1. Minimizar la posibilidad de ocurrencia
  2. Reducir al mínimo el perjuicio sufrido, si
    no ha podido evitarse que ocurriera.
  3. Diseño de métodos para una rápida
    recuperación de los daños
    experimentados.
  4. Corrección de las medidas de seguridad en
    función de la experiencia recogida (retroalimentación del proceso).
  1. Análisis de
    Riesgos

Muchas de las decisiones gerenciales están
basadas en la premisa de la existencia de ciertos riesgos que
en el caso de concretarse implicaran que los cursos de
acción previstos podrían verse
alterados.

En una operatoria electrónica de los riesgos
son muchos y de variada naturaleza.
Para la toma de
decisiones basadas en elementos de juicio que posibiliten
la eliminación de la incertidumbre resultara necesario
un análisis de los riesgos que permitan su conocimiento, probabilidad de
ocurrencia y cuantificación (matriz de
riesgo).

Dos elementos claves en el análisis de riesgo
son:

  • Determinación del impacto que originara un
    acontecimiento
  • Fijación de la probabilidad de ocurrencia de
    un hecho, dentro de un lapso especificado.

Existen 4 posibilidades:

  1. Eliminar el riesgo con medidas
    adecuadas
  2. Soportarlo o tolerarlo con la debida conciencia, tratándose de casos en los
    que el perjuicio ocasionara efectos menores.
  3. Reducirlo, adoptando contramedidas
  4. Transferirlo, mediante seguros o
    convenios especiales.

El problema gerencial consisten en hallar una
combinación entre las variantes anteriores, en forma tal
de reducir los riesgos a un nivel aceptable y con costos
mínimos.

  1. Seguridad
    Física

  2. Comprende todas las disposiciones convenientes en
    materia
    de control físico de acceso a las instalaciones,
    registraciones sobre ingreso y egreso de personas,
    vigilancia, circuitos cerrados de televisión, etc. Integran la
    seguridad general de cualquier entorno.

    Nos dedicaremos a los riesgos más
    importantes que corren en un centro de
    cómputos.

    Resultaría necesario estudiar las medidas
    de adopción más convenientes para
    salvar una circunstancia de tipo accidental o intencional
    que impida la continuidad de la operatoria, como
    consecuencia de algún inconveniente de cualquier
    tipo.

    En este tema confluyen los aspectos de tipo
    operativo con los requerimientos del sistema de control
    interno electrónico.

  3. Resguardo y
    Recuperación.
  4. Seguridad Lógica.

Se refiere a los controles de software o controles
interno de hardware existentes en el sistema para prevenir o
detectar el ingreso d la información no autorizada al
sistema o accesos no autorizados a la información de la
empresa.

  1. Concepto de Auditoria
    Informática

  2. Auditoria informática es la revisión y
    evaluación de los controles, sistemas, procedimientos
    de informática, de los equipos de cómputos, su
    utilización, eficiencia y seguridad, de la organización que participa en el
    procesamiento de la información, a fin de que por
    medio del señalamiento de cursos alternativos se logre
    una utilización más eficiente y segura de la
    información que sirve para la toma de
    decisiones.

    Su campo de acción será:

    a) Evaluación administrativa del área
    de informática.

    1. Los objetivos del área

    2. Metas, planes, políticas y procedimientos
    de procesos
    electrónicos estándar.

    3. Organización del área y su estructura
    orgánica.

    4. Funciones, niveles de autoridad
    y responsabilidad del área de sistemas.

    5. Integración de los recursos
    materiales
    y técnicos

    6. Costos y controles presupuestales

    7. Controles administrativos del
    área

    b) Evaluación de los sistemas,
    procedimientos, y de la eficiencia que se tiene en el uso de
    la información.

    1. Análisis de los sistemas y sus diferentes
    etapas.

    2. Evaluación del diseño lógico del
    sistema.

    3. Evaluación del desarrollo físico
    del sistema

    4. Control de proyectos

    5. Control de sistemas y
    programación

    6. Instructivos y documentación

    7. Formas de implantación

    8. Seguridad lógica y física de los
    sistemas y sus datos.

    9. Confidencialidad de los sistemas

    10. Controles de mantenimiento y forma de respaldo
    de los sistemas.

    11. Utilización de los sistemas.

    c) Evaluación del proceso de datos y de los
    equipos de procesamiento.

    1. Controles de los datos fuentes y
    manejo de cifras de control

    2. Control de operación

    3. Control de salida

    4. Control de asignación de
    trabajos

    5. Control de asignación de medios de
    almacenamiento masivos

    6. Control de otros elementos de
    cómputo

    7. Orden en el Centro de Procesamiento.

    8. Seguridad física y
    lógica.

    9. Respaldos.

    La definición de los objetivos perseguidos en
    la auditoria informática debe preceder a la
    elección de los medios y de las acciones,
    si se pretende evitar el predominio de estos
    últimos.

    Para lograr un buena planeación es conveniente primero
    obtener información general sobre la
    organización y sobre la función
    informática a evaluar. Para ello es preciso una
    investigación preliminar y algunas
    entrevistas previas, para establecer un
    programa de
    trabajo en
    el que se incluirá el tiempo,
    costo,
    personal necesario y documentos auxiliares a solicitar o
    formular durante el desarrollo de la AI.

    1. Investigación
      Preliminar

  3. Planeación de la Auditoria
    Informática

Se debe recopilar información para obtener una
visión general del área a auditar por medio de
observaciones, entrevistas preliminares y solicitudes de
documentos. La finalidad es definir el objetivo y
alcance del estudio, así como el programa detallado de
la investigación.

La planeación de la auditoría debe
señalar en forma detallada el alcance y dirección
esperados y debe comprender un plan de trabajo para que, en
caso de que existan cambios o condiciones inesperadas que
ocasionen modificaciones al plan general, sean justificadas por
escrito.

Se debe hacer una investigación preliminar
solicitando y revisando la información de cada una de
las áreas de la organización.

Para poder
analizar y dimensionar la estructura por auditar se debe
solicitar:

1- A nivel Organización Total:

  1. Objetivos a corto y largo plazo
  2. Manual de la Organización
  3. Antecedentes o historia del
    Organismo
  4. Políticas generales

2- A nivel Área informática:

  1. Objetivos a corto y largo plazo
  2. Manual de organización del área que
    incluya puestos, niveles jerárquicos y tramos de
    mando.
  3. Manual de políticas, reglamentos internos y
    lineamientos generales.
  4. Número de personas y puestos en el
    área
  5. Procedimientos administrativos en el
    área.
  6. Presupuestos y costos del área.

3- Recursos materiales y técnicos

  1. Solicitar documentos sobre los equipos,
    número (de los equipos por instalados, por instalar y
    programados), localización y
    características.
  2. Fechas de instalación de los equipos y
    planes de instalación.
  3. Contratos vigentes de compra, renta y servicio
    de mantenimiento.
  4. Contrato de seguros
  5. Convenios que se mantienen con otras
    instalaciones
  6. Configuración de los equipos, capacidades
    actuales y máximas.
  7. Planes de expansión
  8. Ubicación general de los equipos
  9. Políticas de operación
  10. Políticas de uso o de equipos

4- Sistemas

  1. Manual de formularios.
  2. Manual de procedimientos de los
    sistemas
  3. Descripción genérica
  4. Diagrama de entrada, archivo y
    salida.
  5. Salidas impresas
  6. Fecha de instalación de los
    sistemas
  7. Proyectos de instalación de nuevos
    sistemas.

COMENTARIOS:

En el momento de planear la AI – auditoria
informática – (o bien cuando se está efectuando)
debemos evaluar que pueden presentarse las siguientes
situaciones:

a) Se solicita información y se ve
que:

No se tiene y SE necesita

No se tiene y NO se necesita

b) Se tiene la información pero:

No se usa

Es incompleta

No está actualizada

No es la adecuada

c) Se usa, esta actualizada, es la adecuada y
está completa

a1) En el caso de que no se disponga de la
información y se considere que no se necesita para la
AI, se debe evaluar la causa por la que no es necesaria. (este
parámetro nos servirá para la planeación
de la auditoria)

a2) En el caso de que no se tenga la
información pero que la misma sea necesaria para la AI,
se debe recomendar que se elabore de acuerdo a las necesidades
y al uso que se le va a dar.

b) en el caso de que se tenga la información
pero no se use, se debe analizar porque no se usa: es
incompleta, no esta actualizada, no sea la adecuada,
etc.

Como resultado de los trabajos preliminares se debe
explicitar:

  • objetivo
  • alcance
  • limitaciones y colaboración
    necesarias
  • grado de responsabilidad
  • Informes que se entregaran

  1. Fases de la Auditoría
    Informática

  1. TOMA DE CONTACTO
  2. PLANIFICACION DE LA OPERACION
  3. DESARROLLO DE LA AUDITORIA
  4. FASE DE DIAGNOSTICO
  5. PRESENTACION DE LAS CONCLUSIONES
  6. FORMULACION DEL PLAN DE MEJORAS

  1. Esta fase tendrá mucho mas sentido si el
    equipo auditor es externo a la organización, ya que
    en ella se recaba toda la información preliminar.
    Estudio preliminar y determinación de
    alcances.

    Es en definitiva una larga lista de elementos que
    permiten al auditor conocer la organización donde se
    ubicará para efectuar su trabajo.

  2. Toma de
    Contacto

    En esta etapa se deberán
    establecer:

    – Definitivamente el objetivo de la AI

    – Las áreas a cubrir

    – Personas de la Organización que
    habrán de colaborar y en que momentos de la
    auditoria

    – Plan de trabajo:

    – tareas

    – calendario

    – resultados parciales

    – presupuesto

    – equipo auditor necesario

  3. Planificación de la
    Operación
  4. Desarrollo de la
    Auditoria Informática

Es el momento de ejecutar las tareas que se enunciaron
en la fase anterior. Es esta una fase de observación, de recolección de
datos, situaciones, deficiencias, en resumen un período
en el que:

  • se efectuarán las entrevistas previstas en la
    fase de planificación.
  • se completarán todos los cuestionarios que
    presente el auditor
  • se observarán las situaciones deficientes, no
    solo las aparentes, sino las que hasta ahora no hayan sido
    detectadas, para lo que se podrá llegar a simular
    situaciones límites.
  • se observarán los procedimientos, tanto los
    informáticos como los de usuarios.
  • se ejecutarán por lo tanto, todas las
    previsiones efectuadas en la etapa anterior con el objeto de
    llegar a la siguiente etapa en condiciones de diagnosticar la
    situación encontrada.
  1. Fase de
    Diagnóstico

  2. Cuando ya se hayan efectuado todas los estudios y
    revisiones, se debe elaborar el diagnóstico. Como resultados de esta
    etapa han de quedar claramente definidos los puntos
    débiles, y por contrapunto los fuertes, los riesgos
    eventuales, y en primera instancia los posibles tipos de
    solución o mejoras de los problemas planteados.

    Estas conclusiones se discutirán con las
    personas afectadas por lo que serán suficientemente
    argumentadas y probadas.

    Es un momento delicado en el trato con las
    áreas, los auditores deben presentar estas
    conclusiones como un plan de mejoras en beneficio de todos,
    en lugar de una reprobación de los afectados, salvo
    en el caso de que esto sea estrictamente
    necesario.

  3. Presentación de las
    Conclusiones
  4. Formulación
    del Plan de Mejoras

Llegados a este último punto, la
dirección conoce ya las deficiencias que el equipo
auditor ha observado en su departamento informático,
éstas han sido discutidas. Mas no basta con quedarse
ahí, ahora es cuando los auditores han de demostrar su
experiencia en situaciones anteriores lo suficientemente
contrastadas y exitosas y ser capaces de adjuntar, al informe de
auditoría, el plan de mejoras que permitirá
solventar las deficiencias encontradas.

El plan de mejoras abarcará todas las
recomendaciones derivadas de
las deficiencias detectadas en la realización de la
auditoria. Para ello se tendrán en cuenta los recursos
disponibles, o al menos potencialmente disponibles, por parte
de la Empresa objeto de la Auditoria.

Entre las primeras se incluirán aquellas
mejoras puntuales y de fácil realización como son
las mejoras en plazo, calidad, planificación o
formación. Las medidas de mediano plazo necesitaran de
uno a dos años para poderse concretar. Aquí pues
caben mejoras más profundas y con mayor necesidad de
recursos, como la optimización de programas, o de la
documentación, e incluso de algunos aspectos de
diseño de los sistemas.

Para finalizar, las consideraciones a largo plazo,
pueden llevar cambios sustanciales en las políticas,
medios o incluso estructuras
del servicio de informática. Estas mejoras pueden pasar
por la reconsideración de los sistemas en uso o de los
medios, humanos y materiales, conque se cuenta, llegando si es
preciso a una seria reconsideración del plan
informático.

ALGUNAS RECOMENDACIONES A TENER EN
CUENTA:

1- No hacer juicios sin la suficiente
fundamentación

2- Cuidar los aspectos de imagen,
presentación y protocolo

3- No adelantar resultados parciales que pueden
distorsionar el resultado final

4- Las entrevistas iniciales son un aspecto muy a
cuidar. Hay que prepararlas muy bien para que surtan el
efecto que de ellas se espera.

5- En todo momento, por cordiales que resulten las
relaciones con los auditados, no perder de vista el papel de
consultores experimentados que han de tener los auditores
informáticos.

6- Exponer la idea que los resultados de la
auditoria no harán más que intentar mejorar, a
todos los efectos, el servicio de informática con el
beneficio que ello supondría para todos los implicados
en el área.

7- Exponer la idea que al final de la auditoria no
se trata de castigar a nadie. El objetivo fundamental es el
de encontrar deficiencias y corregirlas.

8- Estudiar hechos y no opiniones. (no se toman en
cuenta rumores ni información sin
fundamento)

9- Investigar las causas, no los efectos.

10- Atender razones, no excusas.

11- Criticar objetivamente y a fondo todos los
informes y
los datos recabados.

  1. PLANIFICACIÓN: Donde se pasa revista a
    las distintas fases de la planificación.

    ORGANIZACIÓN Y ADMINISTRACIÓN: en este
    punto se examinaran aspectos como las relaciones con los
    usuarios, con los proveedores, asignación de recursos,
    procedimientos, etc.

    DESARROLLO DE SISTEMAS: área importante donde
    la auditoría deberá velar por la
    adecuación de la informática a las necesidades
    reales de la Empresa.

    EXPLOTACIÓN: aquí se analizarán
    los procedimientos de operación y explotación
    en el centro de proceso de datos.

    ENTORNO DE HARDWARE: donde se vigilará entre
    otras cosas los locales, el software de acceso, alarmas,
    sistemas anti-incendios,
    protección de los sistemas, fiabilidad del Hardware,
    etc.

    ENTORNO DEL SOFTWARE: en esta área la
    Auditoria Informática analizará los sistemas de
    prevención y detección de fraudes, los
    exámenes a aplicaciones concretas, los controles a
    establecer, en definitiva, todo lo relacionado con la
    fiabilidad, integridad y seguridad del software.

    1. Planificación
      1. Objetivos

  2. Clasificación por Áreas de
    Aplicación de la Auditoria
    Informática

  • Determinar que planes del proceso de datos
    están coordinados con los planes generales de la
    organización.
  • Revisar planes de informática y determinar
    su idoneidad.
  • Contrastar el plan con su
    realización
  • Determinar el grado de participación y
    responsabilidad de directivos y usuarios en la
    planificación.
  • Participar incluso en el proceso de la
    planificación
  • Revisar los planes de desarrollo de software de
    aplicaciones.

El auditor informático centrará
especialmente su atención en:

  1. El sistema de información
  2. La planificación del desarrollo
  3. La planificación de proyectos
  4. La definición y distribución de la cartera de
    aplicaciones.
  1. Riesgos de una planificación
    inadecuada
  • Información redundante
  • Difícil coordinación de equipos de
    trabajo
  • Desarrollo de aplicaciones inconexas.
  1. Organización y
    Administración

  2. Establece una serie de revisiones y comparaciones
    tendientes a emitir un juicio sobre la
    administración y organización del
    departamento de procesamiento.

    1. Objetivos
  • Revisión del organigrama y dependencias
    funcionales
  • Verificar estándares de
    documentación
  • Revisar la política de personal.
  • Evaluar distribución de
    funciones
  • Análisis de la departamentalización
    utilizada

La información nos servirá para
determinar:

  • Si las responsabilidades de la organización
    definidas adecuadamente
  • Si la estructura
    organizacional esta adecuada a las
    necesidades
  • Control organizacional adecuado
  • Existencia de objetivos y políticas
    adecuadas
  • Documentación de las actividades
  • Análisis y descripción de puestos
  • Si los planes de trabajo concuerdan con los
    objetivos de la empresa.

Un caso particular de la Auditoria de la
organización y administración es la auditoria de los
Procedimientos.

  1. Esta orientada a asegurar que existe suficiente
    protección: control interno, separación de
    funciones, seguridad y fiabilidad del sistema, continuidad
    y seguridad en los procedimientos en las distintas
    áreas:

    1. Área de control o
      Producción
  2. Auditoria de los procedimientos
  • Comprobar la calidad de los trabajos
    entregados.
  • Establecer separación de
    funciones
  • Mantener registro de la recolección de datos de
    control
  • Mantener verificación total e independiente
    de las actividades mecanizadas, comprobar la exactitud del
    proceso.
  • Existencia de manuales
    actualizados que especifican los procedimientos de
    control.
  1. Área de ingreso de datos (ingreso de
    información Online)
  • Registro adecuado de trabajos, fallos, problemas y
    acciones que se adopten frente a los errores.
  • Control eficaz de los procedimientos y
    manutención de la integridad de los
    trabajos.
  • Procedimientos de verificación
    independientes de la preparación inicial de los
    datos.
  1. Cintoteca
  • Adecuado lugar de almacenamiento
  • Existencia de medidas de protección de
    archivos a largo plazo.
  • Registro actualizado, completo y oportuno de los
    movimientos de archivos.
  • Cumplimiento de normas y procedimientos
  • Procedimientos para una manipulación
    adecuada, almacenamiento seguro y uso
    automatizado de soportes magnéticos.
  1. Implementaciones
  • Registro de streams (jobs)
  • Existencia de jobs para reprocesos y
    recuperación de sistemas.
  • Existencia de estándares, instrucciones y
    manuales adecuados que gobiernen la preparación de los
    jobs.
  1. Mantenimiento de programas
  • Existencia de una metodología de control de
    cambios. Incluye los métodos para solicitar y
    autorizar modificaciones.
  • Existencia de registro de las
    modificaciones.
  1. Seguridad de los programas y bibliotecas de programas.
  • Que el contenido de las bibliotecas de programas
    esté respaldado por eficientes normas de
    seguridad.
  • Documentación adecuada.
  • Programas en desarrollo separado de los
    productivos.
  1. Carga de maquina
  • Existencia de estándares, procedimientos,
    instrucciones y manuales adecuados que cubran todas las
    posibilidades de procesos que se puedan suscitar.
  • Observar procedimientos
  • Mantener registros
    adecuados
  • Trabajos debidamente autorizados.
  1. Planificación
  • Análisis de la planificación de las
    tareas
  • Existencia de estándares, procedimientos e
    instrucciones relativas a la planificación del los
    trabajos.
  1. Operadores del computador
  • Existencia de estándares operativos
    adecuados (generales y específicos) de cada sistema de
    aplicación. Deberán establecerse procedimientos
    y métodos de operación seguros.
  • Estándares documentados y a
    disposición del operador
  • Cubrir las medidas de operación, los casos
    de contingencia
  • Observar si la jefatura realiza inspecciones
    periódicas controlando procedimientos de
    autorización, trabajos realizados vs planificados,
    cumplimiento de normas, etc.
  • Verificar que el operador no pueda modificar datos
    de entrada.
  1. Dirección de proyectos.
  • Verificar si el líder de proyecto
    controla eficazmente las normas de desarrollo, diseño,
    programación, documentación,
    pruebas e
    implantación de los sistemas.
  • Verificar si se ha establecido un grupo de
    gestión a nivel de
    diseño.
  • Verificar si el personal de desarrollo no tiene
    acceso a datos operativos.
  • Documentación adecuada de todos los
    trabajos.
  1. Programador
  • Existencia de supervisión eficaz, con
    control sobre la calidad de los trabajos (cumplimiento de
    normas de programación)
  • Prueba de los sistemas, documentadas y sin datos
    reales.
  • Existencia de programas en librerías de
    desarrollo y su envío a producción cuenta con
    la autorización necesaria.
  • Trabajos de mantenimiento controlados y debidamente
    documentados y autorizados.
  1. Sección de despacho
  • Existencia de estándares y procedimientos
    adecuados para el despacho de trabajos y su
    prioridad.
  • Existencia de procedimientos para manejar
    información confidencial.
  • Existencia de registro de errores y
    problemas
  • Existencia de impresos controlados en manos de
    personas no autorizadas o manipuladas
    incorrectamente.
  • Existencia de métodos de destrucción
    de impresos caducados y asegurarse de que no se corren
    riesgos innecesarios.
  1. Biblioteca de documentación (sí
    existiera)
  • Responsabilidad de las personas para que las
    modificaciones de software o sistemas sean depositadas (sus
    copias) en la biblioteca.
  • Existencia de encargados de mantener registro,
    seguridad de documentos, actualización de copias y
    autorización la salida de documentos.
  1. Equipo de backup
  • Determinar los distintos niveles de fallos del
    sistema y equipos asociados. Deberán establecerse las
    necesidades mínimas del usuario para cada nivel y
    duración de la avería.
  • Existencia de un análisis de riesgos,
    posibles perdidas o efectos, disponiendo de la cobertura de
    seguros.
  1. Seguridad de archivos y datos.
  • Existencia de estándares y procedimientos
    para el almacenamiento y protección de los
    datos.
  • Existencia de condiciones y tiempos de
    retención de documentos y archivos de las
    aplicaciones.
  1. Control de teleproceso
  • Examinar el registro de control de
    teleproceso
  • Probar la seguridad del sistema y procesos de
    teleproceso.
  • Inspeccionar algunos procesos de entrada y analizar
    la eficacia del control.

Partes: 1, 2, 3
 Página anterior Volver al principio del trabajoPágina siguiente 

Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

Categorias
Newsletter