Documente Academic
Documente Profesional
Documente Cultură
Actividades / Tareas
Acceso a datos
(Puntos de foco sugeridos - documentar lo que aplique al cliente e instalacin
especficos)
Administracin de actividades de seguridad
Administracin de la seguridad
Seguridad de datos
Seguridad de red
Seguridad fsica
Desarrollo de programas
(Puntos de foco sugeridos - documentar lo que aplique al cliente e
instalacin especficos)
Actividades de implementacin y admistracin de desarrollos
Construccin/seleccin de paquetes
Conversin de datos
Implementacin
Cambios a aplicaciones
(Puntos de foco sugeridos - documentar lo que aplique al cliente e
instalacin especficos)
Actividades de mantenimiento
Construccin
Implementacin
Documentacin y capacitacin
Segregacin de funciones en cambios a aplicaciones:
Codificacin de cambios o proyectos
Acceso de Escritura Ambiente de Desarrollo
Transferencia Archivos de Pruebas
Ejecucin de Pruebas
Autorizacin de Pruebas
Acceso de Escritura Ambiente de Pruebas
Transferencia Archivos de Produccin
Acceso Escritura Ambiente de Produccin
Operaciones de cmputo
(Puntos de foco sugeridos - documentar lo que aplique al cliente e
instalacin especficos)
Recuperacin de desastres)
Narrativa
Descripcin a detalle de la actividad que la compaa realiza. (Qu, Cmo, Quin, Dnde, Cundo.
Evidencia. Supervisin y autorizacin. SoD )
Narrativa - Descripcin de la actividad de control especfica (Qu, Cmo, Quin, Dnde, Cundo, Evidencia, Supervisin y
autorizacin, S o D)
El objetivo principal de esta etapa es obtener un detalle acabado de la actividad de control que revisaremos, es decir, se pide, que el
auditor comprenda el entorno en que se desarrolla el control, sus responsables, situaciones que puedan por algn motivo afectar el
control, casos que a nuestro entender necesitan una explicasin del cliente de los motivos por los cuales no habra que incluirlos para
ser testeados, dnde se efecta el control, con que periocidad, existe algun otro control en caso que ste falle?.
Se deben considerar stas recomendaciones y otras que el criterio del auditor considere incluir que permita asegurar que se tiene la
debida comprensin del control y el entorno en que se desarrolla.
Controles clave
Evaluar la capacidad del control para cubrir el objetivo para el cul fue diseado. Seleccionar
como clave el menor conjunto de controles que satisfagan los objetivos de control - comenzar
con aquel control sin el cual no se podra vivir). Incluir en esta columna el ttulo del control.
Crear un EGA por cada control clave identificado en esta columna
Controles clave
1) La aprobacin del responsable del proyecto es requerida antes del inicio de la fase de construccin.
1) Existen ambientes separados de desarrollo, pruebas y produccin para las aplicaciones y su acceso ha
sido restringido adecuadamente.
1) Se llevaron a cabo las pruebas suficientes y adecuadas de acuerdo a la relevancia de cada cambio. El
usuario final es involucrado en las pruebas de cambios a los sistemas y se requiere la autorizacin del
rea administrativa del usuario para la aceptacin del proyecto y se mantiene documentacin formal de
las pruebas realizadas que incluyen:
- Programas de prueba (scripts).
- Descripcin de los escenarios de la prueba.
- Datos de entrada.
- Resultados esperados.
- Resultados obtenidos.
- Aislamiento de problemas y procedimientos de resolucin.
1) Existen procedimientos de prueba desarrollados por el usuario para asegurar la totalidad, exactitud y
validez de la conversin (ejemplo: Reportes clave, comparacin de informacin, etc).
1) Los proyectos son autorizados por la administracin del negocio y por el jefe de proyecto antes de su
implementacin en el ambiente de produccin.
1) Existen ambientes separados de pruebas y produccin para las aplicaciones y su acceso ha sido
restringido adecuadamente.
2) Las responsabilidades requeridas en el proceso de desarrollo e implantacin de sistemas han sido
adecuadamente segregadas.
1) Todos los requerimientos de cambios a programas y/o configuracin del aplicativo (RFC) son
registrados en una bitcora y la gestin de la bitcora es llevada por personal independiente a los
desarrolladores.
2) Todos los requerimientos de cambios a programas y/o configuracin del aplicativo (RFC) son
autorizados por los dueos del proceso.
3) La implementacin de los cambios a programas y/o configuracin del aplicativo es llevada a cabo a
travs de un proceso formal de implementacin. En el caso de los cambios con mayor impacto en la
Totalidad, Exactitud y Validez de la informacin, se espera que dicho proceso considere:
- Anlisis de impactos
- Determinacin de reas y personas involucradas
- Que exista un plan "de retorno"
- Que prevean procedimientos y responsables de seguimiento.
- Que exista un procedimiento de actualizacin e la documentacin de configuracin.
1) Para aquellos cambios a programas y/o configuracin del aplicativo que tengan impacto en la
Totalidad, Exactitud o Validez de la informacin, existen planes formales de prueba que incluyen:
- Programas de prueba
- Descripcin de los escenarios de la prueba.
- Datos de entrada.
- Resultados esperados.
- Resultados obtenidos.
- Aislamiento de problemas y procedimientos de resolucin.
2) Se involucra a los usuarios en las pruebas de cambios y se requiere la autorizacin del rea
administrativa del usuario para la aceptacin del cambio a programas y/o configuracin del aplicativo.
- Existen evidencia de las pruebas de aceptacin por parte del usuario final
1) Todos los cambios a programas y/o configuracin del aplicativo son autorizados por la administracin
antes de su implementacin en el ambiente de produccin.
1) Existen controles para asegurar que los procedimientos batch relevantes para el proceso y control de
informacin financiera son ejecutados en su totalidad, en el orden definido y en horarios especficos (de
ser aplicable).
1) Existe un procedimiento para la resolucin de problemas operacionales (de usuarios), las fallas son
registradas y se monitorea su resolucin.
2) Existe un procedimiento de resolucin de problemas con impacto en el reporte financiero definido y
documentado y las fallas que pueden afectar la totalidad, exactitud o validez de la informacin son
registradas y se monitorea su resolucin.
1) Se ha desarrollado un Disaster Recovery Plan formal basado en un anlisis de impacto al negocio
(BIA) el cual es probado al menos una vez al ao y se encuentra adecuadamente difundido (aplica en el
caso de entidades financieras)
2) Existen controles para la recuperacin de sistemas crticos en una localidad alterna en caso de algn
evento o desastre, en cuanto a la integridad de datos y transacciones.
Evaluacin de diseo
para cada control y
conclusin