Explotación
1. Objetivos
Evaluar la eficiencia y eficacia de operación del área de producción. Comprende la evaluación de los equipos de computación, procedimientos de entradas de datos, controles, archivos, seguridad y obtención de la información.
El campo de acción de este tipo de auditoría sería:
a. Evaluación administrativa del área de producción
• Metas, políticas, planes y procedimientos de procesos electrónicos estándares.
• Organización del área y estructura orgánica.
• Integración de los recursos materiales y técnicos
• Controles administrativos del área.
b. Evaluación de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de los equipos.
c. Evaluación del proceso de datos y de los equipos de procesamiento.
• Se deben verificar los siguientes puntos:
• Estructura del servicio
• Control de operaciones
• Documentación de los procedimientos
• Modificación de programas
• Control de almacenamiento de soportes.
• Plan de mantenimiento preventivo
• Personal de producción
• Control de la utilización del ordenador
Entorno del Hardware
1. Objetivo
• Determinación de la performance del hardware
• Revisar la utilización del hardware
• Examinar los estudios de adquisición del hardware
• Comprobar condiciones ambientales y de seguridad del hardware
• Verificar los controles de acceso y seguridad física
• Revisar inventario del hardware
• Verificar los procedimientos de la seguridad física
• Comprobar los procedimientos de prevención, detección y/o corrección ante desastres.
• Revisar plan de contingencias.
• Examinar las seguridades y debilidades de los componentes físicos del equipo, de las comunicaciones, etc. y de las instalaciones donde se ubica el centro de cómputos.
2. Seguridad física del local
• Riesgos naturales (inundaciones, descargas eléctricas, etc.)
• Riesgos de vecindad derivadas de construcciones cerca del centro de cómputos (incendios, vibraciones, etc.)
• Riesgos del propio edificio (almacenamiento de material combustible, polvo, etc.)
• Suministro de energía (generador de energía, UPS, etc.)
• Acondicionador de aire
• Armarios ignífugos.
3. Control de acceso y seguridad física
Controlar el acceso a los recursos para protegerlos de cualquier uso no autorizado, daño, perdida o modificaciones.
4. Planes de desastre.
En caso de interrupciones inesperadas deben existir planes adecuados para el respaldo de recursos críticos del centro de cómputos y para el reestablecimiento de los servicios de sistemas de información.
a. Tipos de desastres
• Destrucción total
• Destrucción parcial de los recursos centralizados de procesamiento de datos.
• Destrucción o mal funcionamiento de los recursos ambientales destinados al procesamiento (energía, etc.)
• Destrucción total o parcial de los recursos descentralizados de procesamiento de datos.
• Destrucción total o parcial de los procedimientos manuales del usuario.
• Perdida del personal clave para el procesamiento.
• Huelga (interrupción)
• Acciones malintencionadas
• Perdida total o parcial de la información, manuales o documentación.
b. Alcance de la planeación contra desastres.
La planeación debe abarcar tanto las aplicaciones en proceso de desarrollo como las operativas. Los recursos que deben estar disponibles para la recuperación son:
• Documentación de los sistemas, la programación y los procedimientos operativos.
• Recursos operativos: equipos, datos, archivos, programas, etc.
c. Aplicaciones en proceso de desarrollo
Un desastre puede ocurrir en alguna fase avanzada del desarrollo de una aplicación vital y será necesario tomar medidas para garantizar que no se retrase o pierda la inversión.
d. Aplicaciones terminadas
1. Sistemas y programación
Mantener copias actualizadas de programas, documentación, jobs, procedimientos operativos.
2. Operaciones de procesamiento
Comprender el sistema completo. La planeación debe incluir las actividades y los procedimientos del usuario, los recursos de transmisión y redes, el procesamiento centralizado y la redistribución de los resultados.
e. Procedimientos en casos de desastres
Existencia de procedimientos formales (por escrito), en donde se haga referencia detalladamente los diversos tipos de desastres. Se debe especificar:
• Responsabilidades en caso de desastres
• Acción inmediata a seguir
Estos planes deben ser los más detallados posibles. Todo el personal requiere adiestramiento regular en el plan contra desastres. El plan de emergencia, una vez aprobado, se distribuye entre el personal responsable de su operación (información confidencial o de acceso restringido).
El plan en caso de desastre debe incluir:
• Políticas de la dirección
• Objetivos
• Responsabilidades
• Equipo humano
• Inventario de hardware y software de la instalación
• Estrategias de contingencias
• Metodología a utilizar (prioridades)
• Matriz de riesgos/ acciones preventivas /acciones alternativas
• Mantenimientos y pruebas del plan
• Normas de divulgación y distribución del plan.
El auditor deberá verificar que:
• Existe una fase de prevención de emergencias separadas de las fases de respaldo y restauración.
• Figura responsable de la supervisión de la emergencia.
• Existencia de conjunto de normas de emergencias.
• Procedimientos sistemáticos de clasificación de emergencias.
Una vez que todos los riesgos han sido clasificados se está en condiciones de fijar los procedimientos que aseguraran la continuidad del funcionamiento del negocio.
f. Seguros contra desastres.
A pesar que existan medidas para reducir el riesgo de interrupciones de las actividades y un plan de emergencia adecuado, en caso de ocurrir un siniestro, los gastos resultarán muy oneroso.
El seguro es una forma de transferir el riesgo de que se produzca un acontecimiento muy costoso.
Tipos de seguros:
• Todo riesgo
• Daños determinados
• Seguro contra averías
• Seguro de fidelidad
• Seguro contra interrupción del negocio; cubre las perdidas que sufrirían la empresa en el caso que las actividades informáticas se interrumpiesen.
a. Plan de desastre, respaldo y recuperación.
Lineamientos de control que cubren los elementos de respaldo y recuperación.
1. Plan de recuperación en caso de siniestro: debe existir un plan documentación de respaldo para el procesamiento de trabajos críticos.
2. Procedimientos de urgencia y capacitación del personal: deben garantizar la seguridad del personal.
3. Aplicaciones criticas: el plan de respaldo debe contener una prioridad preestablecida para el procesamiento de las aplicaciones.
4. Recursos críticos: deben estar identificados en el plan de respaldo la producción critica, el sistema operativos y los archivos necesarios para la recuperación
5. Servicios de comunicación
6. Equipo de comunicación
7. Equipo de respaldo
8. Programación de operaciones de respaldo
9. Procedimientos de respaldo de archivos
10.Suministro de respaldo: considerar una fuente de abastecimiento para la recuperación de materiales especiales.
11.Pruebas de plan de respaldo
12.Reconstrucción del centro de sistemas de información
13.Procedimientos manuales de respaldo.
miércoles, 3 de junio de 2009
miércoles, 27 de mayo de 2009
Auditoria en el Desarrollo de Sistemas
Desarrollo de Sistemas
El auditor deberá conocer en detalle las distintas etapas en la formulación de los sistemas y las metodologías más usuales en la construcción de los mismos.
Se debe hacer auditoria cada vez que se realice una aplicación nueva o una modificación importante.
El objetivo es que la calidad de las estructuras y procedimientos del sistema sea tan buena como sea posible.
Objetivos y puntos a verificar
o Examinar metodología de construcción en uso.
o Revisar la definición de los objetivos del sistema, analizar si cumple con las necesidades de los usuarios.
o Revisar el control y planificación del proyecto.
o Verificar que el control de datos sea adecuado.
o Verificar el control de formularios.
o Controlar si los manuales son suficientes (en cantidad de información).
o Existencia de una adecuada separación de funciones entre las áreas administrativas y las mecanizadas.
o Asegurar la fiabilidad y continuidad del sistema
o Verificar los medios dispuestos para el desarrollo del sistema
o Analizar los medios de seguridad con que se va a dotar al sistema.
o Analizar las insuficiencias detectadas y su impacto en los procedimientos futuros.
Se deberá asegurar en el desarrollo del sistema: seguridad, precisión y eficacia.
Momento para efectuar la auditoria de desarrollo.
a. Cuando está realizándose el desarrollo: las modificaciones sugeridas pueden incorporarse al sistema en forma oportuna y económica.
b. Antes del desarrollo: las recomendaciones del auditor se resumen a pautas teóricas y los esquemas de diseño iníciales pueden variar durante el desarrollo, con lo cual realizar una auditoría en este momento, sería una pérdida de tiempo.
c. Después de implementar, su único objetivo sería poder medir la efectividad del sistema.
Distintos tipos de Auditoria Durante el Desarrollo
Auditoria del comienzo del desarrollo del sistema
En esta etapa se deberá tomar contacto con las propuestas nuevas, analizar los elementos de gestión y de control, tomar contacto con los estándares de procedimientos, control de proyecto y de documentación.
Auditoria de la propuesta de mecanización
La propuesta de mecanización define las pautas del nuevo sistema y una vez aceptada se emprendería el trabajo de diseño y programación. La auditoria debería asegurarse de que son adecuados los principios básicos de diseño, en todo lo relacionado a control y verificación interna.
Auditoria de la propuesta detallada.
Aquí se brinda detalle sobre las variaciones y particularidades del esquema general de actividad y contempla los procedimientos mecanizados y los administrativos (diagramas, diseños, registros, etc.). Se verifica las propuestas de implementación y la calidad de las comprobaciones internas, la separación de las funciones y fiabilidad del control.
Ahora deben solucionarse los puntos débiles o tenerse en cuenta para planificar futuras auditorias. Las especificaciones planteadas tratarán sobre la entrada, procesos, salida de archivos y su control, y las instrucciones operativas. La auditoria verificará los procedimientos para asegurar:
o Evidencia que deja el sistema es suficiente para rastrear errores y corregirlos.
o Procedimientos de salida llevan incorporados sistemas correctos de validación y detección de errores.
o El diseño de datos de salida puede adaptarse a las modificaciones que vayan surgiendo.
o Documentación de todos los archivos magnéticos obedece a los estándares adecuados.
o Si todos los archivos están sometidos a controles.
o Si la ejecución de los procesos contiene una validación suficiente.
o Proteger al sistema contra usos no autorizados.
o Si se ha planificado adecuadamente todas las etapas de desarrollo, con tiempo, recursos y costos, previendo los puntos de control.
o Previsión de una capacitación adecuada.
o Prever emergencias e interrupciones del proceso al igual que la rutina normal de trabajo.
Auditoria de los programas y pruebas.
Se realizan comprobaciones en el trabajo real de programación:
o Procedimientos de gestión adecuados para controlar programas y pruebas.
o Controlar y verificar las pruebas de programas
o Registración adecuada de modificaciones
o Que los programas en desarrollo se mantengan separados de los operativos.
Auditoria del aprovisionamiento del sistema y planificación de la implantación.
Es importante asignar suficiente tiempo a la adquisición de equipos y material para el nuevo sistema y a especificarlo minuciosamente. El equipo de auditoria deberá asegurarse de que se preparen unas especificaciones adecuadas indicando la calidad, nivel, capacidad, posibilidades y plazo de entrega.
Los analistas deberán trazar un plan de desarrollo e implantación del sistema, dividiendo en etapas, indicando los tiempos y recursos necesarios.
La auditoria verificará que este plan sirva para gestionar y gobernar las tareas y tendrá en cuenta los tiempos para adaptar su auditoria al ritmo del proyecto.
Auditoria de la documentación y manuales de usuario y operación del sistema.
Cuando el sistema quede operativo deberá preparar una documentación completa de todos sus aspectos. El auditor asegurará que están todos los documentos que corresponden, completos y actualizados.
La auditoria deberá verificar si los manuales describen procedimientos de emergencia y respaldo, así como la rutina normal de trabajo. También deberá existir un buen sistema de actualización de manuales.
Auditoria de la conversión de archivos.
Cuando se desarrollan sistemas nuevos suele hacer falta preparar archivos magnéticos y convertir todos los datos que se tengan al formato del nuevo medio.
La auditoria se preocupará que la conversión de los archivos permita que el sistema arranque con datos exactos y verificará que:
o La conversión de archivos se ha planificado totalmente
o Programas utilizados para la conversión de archivos han sido probados suficientemente.
o Utiliza un sistema de información adecuado que identifique claramente los errores.
Auditoria de las pruebas del sistema.
Cuando los programadores enlazan sus programas para formar una secuencia, ésta ha de probarse en su conjunto para garantizar que cumplen su cometido. La auditoria deberá verificar, si la preparación de los datos de prueba deberá llevar consigo:
o Recopilación de un conjunto de datos que refleje todas las variantes de los valores y errores que puedan surgir.
o Preparación de una planificación de los resultados que ha de producir el sistema cuando ejecute los datos de prueba.
Una vez verificada la preparación de los datos de prueba, el auditor se preocupará de la calidad de la verificación de los resultados, la oportunidad de las pruebas y que las mismas no han provocado corrupciones en las rutinas y/o archivos.
Auditoria de la implantación.
Se puede tener un sistema paralelo, en donde esta fase es una ampliación de las pruebas del sistema. Si se hace directamente, el sistema arranca inmediatamente.
Se estudiará el sistema de control para corroborar que los empleados lo utilizan bien desde el principio y evaluar la calidad de dicho sistema.
Auditoria de la continuidad del sistema
Los sistemas importantes deben ser capaces de funcionar en todo momento. Las averías de los equipos, errores en archivos, falta de energía y otros recursos no deberían interrumpir las actividades esenciales.
La auditoria debería asegurarse que:
o Se mantienen copias de seguridad de datos, archivos e instrucciones a un nivel de permita su recuperación dentro de un plazo preestablecido.
o Existencia de medidas alternativas para utilizar equipos auxiliar (durante las caídas)
o Que el retorno al trabajo normal se haga con facilidad y que los controles enlacen al sistema sin problemas para verificar si la reactivación ha sido correcta.
El auditor deberá conocer en detalle las distintas etapas en la formulación de los sistemas y las metodologías más usuales en la construcción de los mismos.
Se debe hacer auditoria cada vez que se realice una aplicación nueva o una modificación importante.
El objetivo es que la calidad de las estructuras y procedimientos del sistema sea tan buena como sea posible.
Objetivos y puntos a verificar
o Examinar metodología de construcción en uso.
o Revisar la definición de los objetivos del sistema, analizar si cumple con las necesidades de los usuarios.
o Revisar el control y planificación del proyecto.
o Verificar que el control de datos sea adecuado.
o Verificar el control de formularios.
o Controlar si los manuales son suficientes (en cantidad de información).
o Existencia de una adecuada separación de funciones entre las áreas administrativas y las mecanizadas.
o Asegurar la fiabilidad y continuidad del sistema
o Verificar los medios dispuestos para el desarrollo del sistema
o Analizar los medios de seguridad con que se va a dotar al sistema.
o Analizar las insuficiencias detectadas y su impacto en los procedimientos futuros.
Se deberá asegurar en el desarrollo del sistema: seguridad, precisión y eficacia.
Momento para efectuar la auditoria de desarrollo.
a. Cuando está realizándose el desarrollo: las modificaciones sugeridas pueden incorporarse al sistema en forma oportuna y económica.
b. Antes del desarrollo: las recomendaciones del auditor se resumen a pautas teóricas y los esquemas de diseño iníciales pueden variar durante el desarrollo, con lo cual realizar una auditoría en este momento, sería una pérdida de tiempo.
c. Después de implementar, su único objetivo sería poder medir la efectividad del sistema.
Distintos tipos de Auditoria Durante el Desarrollo
Auditoria del comienzo del desarrollo del sistema
En esta etapa se deberá tomar contacto con las propuestas nuevas, analizar los elementos de gestión y de control, tomar contacto con los estándares de procedimientos, control de proyecto y de documentación.
Auditoria de la propuesta de mecanización
La propuesta de mecanización define las pautas del nuevo sistema y una vez aceptada se emprendería el trabajo de diseño y programación. La auditoria debería asegurarse de que son adecuados los principios básicos de diseño, en todo lo relacionado a control y verificación interna.
Auditoria de la propuesta detallada.
Aquí se brinda detalle sobre las variaciones y particularidades del esquema general de actividad y contempla los procedimientos mecanizados y los administrativos (diagramas, diseños, registros, etc.). Se verifica las propuestas de implementación y la calidad de las comprobaciones internas, la separación de las funciones y fiabilidad del control.
Ahora deben solucionarse los puntos débiles o tenerse en cuenta para planificar futuras auditorias. Las especificaciones planteadas tratarán sobre la entrada, procesos, salida de archivos y su control, y las instrucciones operativas. La auditoria verificará los procedimientos para asegurar:
o Evidencia que deja el sistema es suficiente para rastrear errores y corregirlos.
o Procedimientos de salida llevan incorporados sistemas correctos de validación y detección de errores.
o El diseño de datos de salida puede adaptarse a las modificaciones que vayan surgiendo.
o Documentación de todos los archivos magnéticos obedece a los estándares adecuados.
o Si todos los archivos están sometidos a controles.
o Si la ejecución de los procesos contiene una validación suficiente.
o Proteger al sistema contra usos no autorizados.
o Si se ha planificado adecuadamente todas las etapas de desarrollo, con tiempo, recursos y costos, previendo los puntos de control.
o Previsión de una capacitación adecuada.
o Prever emergencias e interrupciones del proceso al igual que la rutina normal de trabajo.
Auditoria de los programas y pruebas.
Se realizan comprobaciones en el trabajo real de programación:
o Procedimientos de gestión adecuados para controlar programas y pruebas.
o Controlar y verificar las pruebas de programas
o Registración adecuada de modificaciones
o Que los programas en desarrollo se mantengan separados de los operativos.
Auditoria del aprovisionamiento del sistema y planificación de la implantación.
Es importante asignar suficiente tiempo a la adquisición de equipos y material para el nuevo sistema y a especificarlo minuciosamente. El equipo de auditoria deberá asegurarse de que se preparen unas especificaciones adecuadas indicando la calidad, nivel, capacidad, posibilidades y plazo de entrega.
Los analistas deberán trazar un plan de desarrollo e implantación del sistema, dividiendo en etapas, indicando los tiempos y recursos necesarios.
La auditoria verificará que este plan sirva para gestionar y gobernar las tareas y tendrá en cuenta los tiempos para adaptar su auditoria al ritmo del proyecto.
Auditoria de la documentación y manuales de usuario y operación del sistema.
Cuando el sistema quede operativo deberá preparar una documentación completa de todos sus aspectos. El auditor asegurará que están todos los documentos que corresponden, completos y actualizados.
La auditoria deberá verificar si los manuales describen procedimientos de emergencia y respaldo, así como la rutina normal de trabajo. También deberá existir un buen sistema de actualización de manuales.
Auditoria de la conversión de archivos.
Cuando se desarrollan sistemas nuevos suele hacer falta preparar archivos magnéticos y convertir todos los datos que se tengan al formato del nuevo medio.
La auditoria se preocupará que la conversión de los archivos permita que el sistema arranque con datos exactos y verificará que:
o La conversión de archivos se ha planificado totalmente
o Programas utilizados para la conversión de archivos han sido probados suficientemente.
o Utiliza un sistema de información adecuado que identifique claramente los errores.
Auditoria de las pruebas del sistema.
Cuando los programadores enlazan sus programas para formar una secuencia, ésta ha de probarse en su conjunto para garantizar que cumplen su cometido. La auditoria deberá verificar, si la preparación de los datos de prueba deberá llevar consigo:
o Recopilación de un conjunto de datos que refleje todas las variantes de los valores y errores que puedan surgir.
o Preparación de una planificación de los resultados que ha de producir el sistema cuando ejecute los datos de prueba.
Una vez verificada la preparación de los datos de prueba, el auditor se preocupará de la calidad de la verificación de los resultados, la oportunidad de las pruebas y que las mismas no han provocado corrupciones en las rutinas y/o archivos.
Auditoria de la implantación.
Se puede tener un sistema paralelo, en donde esta fase es una ampliación de las pruebas del sistema. Si se hace directamente, el sistema arranca inmediatamente.
Se estudiará el sistema de control para corroborar que los empleados lo utilizan bien desde el principio y evaluar la calidad de dicho sistema.
Auditoria de la continuidad del sistema
Los sistemas importantes deben ser capaces de funcionar en todo momento. Las averías de los equipos, errores en archivos, falta de energía y otros recursos no deberían interrumpir las actividades esenciales.
La auditoria debería asegurarse que:
o Se mantienen copias de seguridad de datos, archivos e instrucciones a un nivel de permita su recuperación dentro de un plazo preestablecido.
o Existencia de medidas alternativas para utilizar equipos auxiliar (durante las caídas)
o Que el retorno al trabajo normal se haga con facilidad y que los controles enlacen al sistema sin problemas para verificar si la reactivación ha sido correcta.
Suscribirse a:
Entradas (Atom)