7.

AUDITORA DE ADMINISTRACIN INFORMACIN

LA DE

ORGANIZACIN SISTEMAS

Y DE

7.1. ESTRATEGIAS DE SI 7.1.1. Planificacin Estratgica 7.1.2. Comit de Direccin de SI 7.2. POLTICAS Y PROCEDIMIENTOS 7.2.1. Polticas 7.2.2. Procedimientos 7.2.3. Polticas/procedimientos de personal 7.2.3.1. Contratacin 7.2.3.2. Manual del empleado 7.2.3.3. Ascensos 7.2.3.4. Formacin 7.2.3.5. Asignacin de tareas y resmenes de tiempo 7.2.3.6. Rotacin de tareas 7.2.3.7. Vacaciones obligatorias 7.2.3.8. Rescisin del contrato de trabajo 7.2.4. Prcticas de externalizacin de servicios 7.3. PRCTICAS DE GESTIN DE SI 7.3.1. Principios de gestin 7.3.2. Mtodos para evaluar la eficacia y eficiencia de las operaciones 7.3.2.1. Presupuestos 7.3.2.2. Planificacin de la capacidad y crecimiento 7.3.2.3. Satisfaccin de los usuarios 7.3.2.4. Estndares de la industria/benchmarking 7.3.2.5. Practicas de Administracin financiera 7.3.2.6. Cumplimiento de objetivos 7.3.3. Gestin de la calidad 7.3.4. Optimizacin del rendimiento 7.4. ESTRUCTURA ORGANIZATIVA 7.4.1. Estructura gerencial 7.4.1.1. Gerencia de lnea 7.4.1.2. Gerencia de proyecto 7.4.2. Puestos de trabajo y responsabilidades en entornos de SI 7.4.2.1. Operaciones 7.4.2.2. Entrada de datos 7.4.2.3. Grupo de Control de Datos 7.4.2.4. Bibliotecario 7.4.2.5. Administracin de la seguridad 7.4.2.6. Aseguramiento de la calidad 7.4.2.7. Administracin de bases de datos 7.4.2.8. Anlisis de sistemas 7.4.2.9. Programacin de aplicaciones 7.4.2.10. Programacin de sistemas

99

7.4.2.11. Administracin de redes 7.4.2.12. Soporte a usuarios 7.4.3. Segregacin de funciones dentro de SI 7.4.4. Segregacin de funciones entre SI y otras funciones de la organizacin 7.4.4.1. Autorizacin de transacciones 7.4.4.2. Conciliacin 7.4.4.3. Custodia de los activos 7.4.4.4. Acceso a los datos 7.4.4.5. Formularios de autorizacin 7.4.4.6. Tablas de Autorizacin de usuarios 7.4.4.7. Informes de excepciones 7.4.4.8. Rastros de auditora 7.4.4.9. Registros de transacciones 7.5. TCNICAS DE AUDITORA Y EVALUACIN 7.5.1. Revisin de documentacin 7.5.2. Observacin del personal realizando sus tareas 7.5.3. Examen de las obligaciones contractuales El objetivo de este tema es conocer, en relacin con el departamento de SI: qu es la planificacin estratgica y algunos de sus aspectos qu son las polticas y procedimientos algunas polticas y procedimientos algunas principios de gestin y prcticas operativa las estructuras organizativas y puestos de trabajo tpicas tcnicas de auditora para evaluar la adecuacin de lo anterior

7.1 ESTRATEGIA DE SSSI 7.1.1 Planificacin Estratgica

La planificacin estratgica pone en movimiento a una organizacin para alcanzar los objetivos de la empresa. Una planificacin exhaustiva ayuda a garantizar una organizacin eficaz y eficiente. La planificacin estratgica est orientada al tiempo y a los proyectos y ayuda a definir prioridades y alcanzar los objetivos empresariales. El Departamento de SI debe tener planes a largo plazo (a ms de un ao, tpicamente entre 3 y 5 aos) y a corto plazo(a un ao) para contribuir a que se alcancen con xito los objetivos globales de la empresa. Tales planes deben ser coherentes con los planes globales de la organizacin para alcanzar sus objetivos de negocio.
Por ejemplo, si una organizacin tiene el objetivo de negocio de que sus procesos de negocio estn soportados por la tecnologa (un ejemplo podra ser el comercio electrnico), deber tener un departamento de SI con fuerte capacidad de innovacin. Sin embargo, si una empresa tiene la vocacin de dar un servicio de bajo costo, necesitar un departamento de SI menos innovativo.

7.1.2 Comit de Direccin de SI

Los Comits de Direccin de SI aseguran que las actividades del departamento de SI estn alineadas con la misin y objetivos de la empresa. Aunque no es una prctica comn, en este comit debe haber un miembro del Comit de Direccin de la empresa, que est al tanto los riesgos y problemas respecto a la tecnologa informtica,

100

as como de la ventaja estratgica que la utilizacin eficiente de la TI conlleva. El resto del comit, debe estar constituido por gerentes de alto nivel, incluyendo al de SI, de las diferentes reas de la empresa representando a todas las reas del negocio de la organizacin. Su objetivo es revisar y actuar ante las solicitudes de nuevos sistemas, de acuerdo con los objetivos de la empresa. Por ello, la responsabilidad del comit es asegurar la utilizacin eficiente de los recursos de procesamiento de datos y fijar prioridades, examinar los costos y respaldar a los diversos proyectos.

7.2

POLTICAS Y PROCEDIMIENTOS

Las polticas y procedimientos son guas y directrices para desarrollar los controles sobre los SI y los recursos relacionados

7.2.1 Polticas
Las polticas son documentos de alto nivel. En ellas se plasma la filosofa de la organizacin y la estrategia de la alta direccin. Para que sean eficaces deben estar escritas de forma clara y concisa. La direccin, en sus diferentes niveles, debe crear un entorno de control positivo asumiendo la responsabilidad de formular, desarrollar, documentar y divulgar polticas que cubran los objetivos generales. Tambin debe asegurar que los empleados afectados por una poltica concreta reciben una explicacin detallada de la poltica y de que entienden su intencin.

7.2.2 Procedimientos
Los procedimientos son documentos de detalle. Cada uno de ellos debe derivarse de una poltica y debe implementar la intencin de la poltica. Al igual que las polticas deben escribirse de forma clara y concisa para que se puedan entender y aplicar. Los procedimientos documentan los procesos de negocio y los controles involucrados en ellos. Generalmente, los procedimientos son ms dinmicos que la poltica de la que emanan. Deben reflejar los cambios habidos por lo que es necesario que se revisen y actualicen frecuentemente. Para un auditor constituir un tema de preocupacin el encontrarse con que una organizacin no realiza el proceso de revisin de los procedimientos. Los auditores revisan los procedimientos para identificar/evaluar y, posteriormente, probar los controles sobre los procesos de negocio. Cuando encuentran que las prcticas operacionales no siguen los procedimientos o cuando no existen los documentos de los procedimientos, ser difcil poder identificar los controles y asegurar que estn operativos.

7.2.3 Polticas/procedimientos de personal

Las polticas de personal incluyen las de contratacin, promocin y finalizacin del contrato. La eficacia que se tenga en estas actividades impacta en la calidad y rendimiento del personal de SI. 7.2.3.1 Contratacin Las prcticas de contratacin de personal de una organizacin son importantes a fin de garantizar que se elige el personal ms eficaz y eficiente y que la empresa cumple la normativa legal vigente. Algunos de los controles ms comunes son: Control de los antecedentes,

101

Acuerdos sobre confidencialidad, Acuerdos sobre conflicto de intereses Disposiciones para la firma de los acuerdos de no competencia con la empresa. Algunos riesgos de control son: Contratar personal sin el nivel de cualificacin requerido para el puesto No se piden referencias No explicitar a los empleados la confidencialidad requerida de la informacin puede comprometer la seguridad de la informacin.

7.2.3.2 Manual del empleado Debe distribuirse a cada empleado cuando entra en la empresa un Manual del empleado que detalle claramente temas tales como: Expectativas de la empresa Beneficios a los empleados Poltica de vacaciones Normas sobre horas extras o trabajos especiales Poltica sobre empleos fuera de la empresa Formas de evaluar el rendimiento del empleado Procedimientos a seguir en caso de emergencia Acciones disciplinarias sobre Brechas de confidencialidad y/o seguridad Ausencias excesivas 7.2.3.3 Ascensos Las polticas de ascensos deben ser justas y ser comprendidas por los empleados. La poltica debe estar basada en criterios objetivos y considerar el nivel de capacitacin, experiencia y nivel de responsabilidad necesario para cada puesto de trabajo. 7.2.3.4 Formacin Se debe proveer formacin de forma regular a todos los empleados en las reas donde cada empleado tenga lagunas. Esto es especialmente importante en los profesionales de SI dados los continuos cambios que hay en la tecnologa y los productos. La formacin no solo asegura una utilizacin mas eficaz y eficiente de los recursos de SI , sino que tambin motiva a los empleados. Se debe dar formacin cuando se instale nuevo hardware o software. La formacin debe incluir la capacitacin gerencial pertinente, direccin de proyectos y entrenamiento tcnico. La formacin cruzada se produce cuando se forma a ms de un empleado para realizar una tarea. Esta practica tiene la ventaja que disminuye la dependencia en un empleado y puede convertirse en el sucesor en la realizacin de la tarea. Tambin brinda una alternativa de respaldo en el caso de una ausencia por cualquier razn y por tanto permite la continuidad de las operaciones.

7.2.3.5 Asignacin de tareas y resmenes de tiempo

La correcta asignacin de tareas ayuda a una operacin y utilizacin ms eficiente de los recursos de SI. Los informes de resmenes de tiempos de ejecucin de las tareas permiten que la gerencia realice el seguimiento del proceso de asignacin de tareas. De esta forma la

102

gerencia puede determinar si la distribucin de personal es adecuada y si las operaciones se realizan en forma eficiente. 7.2.3.6 Rotacin de tareas La rotacin de tareas provee un control (para reducir el riesgo de actos fraudulentos o maliciosos) dado que impone que una misma persona no realice las mismas tareas todo el tiempo. Brinda una oportunidad de que una persona distinta de la que est asignada habitualmente realice las tareas y descubra posibles irregularidades. 7.2.3.7 Vacaciones obligatorias Las vacaciones obligatorias garantizan que una vez por ao, como mnimo, una persona distinta del empleado regular realice las tareas de la funcin. Ello reduce la oportunidad de comportamientos ilcitos. Durante ese lapso puede llegar a descubrirse una actividad fraudulenta en tanto no haya colaboracin entre empleados para encubrir las posibles discrepancias.

7.2.3.8 Poltica de rescisin del contrato de trabajo

Se deben establecer polticas de rescisin del contrato de trabajo para definir los pasos a seguir para la salida de la empresa de un empleado. Es importante que la poltica est estructuradas para proveer una adecuada proteccin de los bienes y los datos. Las prcticas al respecto deben tratar aspectos de rescisiones voluntarias e involuntarias. Para ciertas situaciones, tales como un despido inmediato, una organizacin debe tener definidos y documentados procedimientos de acompaamiento del empleado hasta fuera del edificio de la empresa. No obstante, en todas las situaciones se deben aplicar los siguientes procedimientos de control:
Devolucin de todas las llaves de acceso y tarjetas de identificacin para evitar un acceso fsico fcil Borrado de la cuenta de usuario para prohibir el acceso al sistema. Notificacin a los miembros del rea a fin de divulgar la nueva situacin de ex empleado Ejecucin de las rutinas de liquidacin final de sueldos para dar de baja al empleado de los archivos de nminas Realizacin de una entrevista de terminacin del contrato de trabajo a fin de recoger la percepcin que el ex-empleado tenga de la gerencia Devolucin de los elementos de propiedad de la empresa

7.3 PRCTICAS DE GESTIN DE SI

En la mayora de las organizaciones, el departamento de SI es un departamento de servicios. El papel tradicional de un departamento de servicios es el de ayudar a los departamentos de produccin a realizar sus operaciones de una forma ms eficaz. Sin embargo hoy en da, SI se ha constituido como parte integral de las operaciones de una organizacin. Su importancia contina creciendo ao tras ao, y todo hace prever que esta tendencia no cambie. Por tanto, los auditores de SI tienen que entender y apreciar que un departamento de SI bien gestionado es crucial para la salud de una organizacin

7.3.1 Principios de gestin

Los principios estndar de buena gestin aplican a la gestin de SI, no obstante las prcticas de gestin reales diferirn dependiendo de la naturaleza del departamento de SI. Por ejemplo, una compaa con un gran ordenador central puede tener un gran nmero de mtodos diferentes que una compaa que tiene una amplia red de oficinas

103

dispersas, cada una con una RAL (red de rea local) de PCs y un alto grado de autonoma. Algunas reas clave donde el foco y el nfasis es diferente en el departamento de SI son las siguientes: Gestin del personal El personal en un departamento tpico de SI est altamente cualificado. Estos profesionales de TI suelen cambiar de trabajo frecuentemente y las subidas de salario normales y los cambios a puestos de gestin no son una motivacin para ellos. Los departamentos de TI muchas veces son organizaciones planas con pocos niveles de jerarqua. Personal con poca experiencia tiene importantes responsabilidades y toma decisiones cruciales. Por tanto, la formacin de los empleados y un plan de carrera profesional son de gran ayuda. Gestin del cambio No solo el personal cambia frecuentemente, sino que tambin el departamento est en un estado de cambio manejando demandas de nuevas aplicaciones y nuevas tecnologas. Es importante para el departamento estar al tanto de la tecnologa y adoptar proactivamente el cambio cuando sea necesario. Foco en buenos procesos Debido a la tasa de cambio, es importante implementar y promover buenos procesos. Debe haber procedimientos documentados de todos los aspectos del departamento ya sean estndares de programacin, pruebas o respaldo de los datos. El control y el aseguramiento de la calidad son otros ejemplos de elementos importantes de un departamento bien gestionado. Los procesos y los procedimientos no deben ser estticos, tienen que estar al corriente de la actualidad de la organizacin. Seguridad La preocupacin por la seguridad es ms importante y penetrante dentro de un departamento de SI que en muchos otros departamentos. Internet ha hecha mayor esta preocupacin. Como recurso crucial que es, el departamento de SI debe estar igualmente preocupado por la continuidad de las operaciones del negocio y de la recuperacin de desastres. Gestin de terceras partes Dado que los departamentos de SI utilizan productos, hardware, software y redes de alta tecnologa, tienen muchos suministradores que deben trabajar juntos para entregar los resultados deseados.

7.3.2 Mtodos para valorar la eficacia y eficiencia de las operaciones

Los mtodos de valoracin dan un mecanismo, mediante el cual se puede determinar si y cuando las actividades de una organizacin se han desviado de los niveles planificados o esperados. Entre los mtodos ms comunes estn los siguientes: 7.3.2.1 Presupuestos Los presupuestos permiten realizar pronsticos, monitorizacin y anlisis de informacin financiera. Permiten la adecuada asignacin de fondos, especialmente entornos como los de SI donde los gastos tienen un alto costo. 7.3.2.2 Planificacin de la capacidad y crecimiento Dado la importancia estratgica procesamiento de datos en las organizaciones, la planificacin de la capacidad y el crecimiento es esencial. Las necesidades de un procesamiento deben ser re-evaluadas continuamente para garantizar que la operacin se efecta tan eficiente y eficazmente como sea posible y que se tiene en vista sus necesidades futuras derivadas de los planes estratgicos a largo y costo plazo.

104

7.3.2.3 Satisfaccin de los usuarios Una de las medidas para garantizar una operacin de procesamiento de informacin eficaz es satisfacer los requerimientos de informacin de los usuarios. Los usuarios y SI deben acordar un nivel de servicio (p.e. disponibilidad del sistema, tiempo de respuesta). Se debe auditar peridicamente el cumplimiento del nivel de servicio acordado. Esto se puede hacer por medio de entrevistas y encuestas de opinin de los usuarios. 7.3.2.4 Estndares de la industria/benchmarking Los estndares industriales/benchmarking, ofrecen un medio para determinar el nivel tpico de rendimiento previsto para entornos de SI. Estos estndares o estadsticas benchmarking pueden obtenerse de grupos de usuarios de un mismo proveedor, publicaciones de una rama industrial especfica y asociaciones profesionales. 7.3.2.5 Practicas de administracin financiera La administracin financiera es un elemento crtico de todas las funciones de una empresa. En un entorno informatizado con altos costos, es imperativo que rijan prcticas de administracin financieras sensatas. Una de ellas es la imputacin de los costos de SI a los departamentos usuarios. Los costos de SI, incluyendo personal y tiempo de proceso, as como otros costos relevantes se cargan a los usuarios, basndose en criterios acordados entre SI y los departamentos usuarios. Esta prctica brinda a SI y a los usuarios una herramienta para medir la eficacia y la eficiencia del servicio que proporciona SI a los usuarios. 7.3.2.6 Cumplimiento de objetivos En tanto que la eficiencia de los sistemas se relaciona a cmo puede mejorarse un sistema ya existente, la eficacia compara el rendimiento alcanzado con los objetivos previamente definidos. Tales objetivos pueden definirse en trminos operativos, tcnicos econmicos. SI debe implantar sistemas de registro de las diversas actividades. Estos sistemas pueden ser manuales o automatizados. Estos registros permiten a los responsables hacer un seguimiento de las actividades comparando la realidad en un momento concreto con las medias usuales. Tambin pueden servir de alarmas ante errores graves. Ejemplos de estos registros son los siguientes: Cada lote de trabajo, con los errores y el tiempo incurrido por el personal de entrada de datos Todos los lotes completados por los operadores del ordenador Respaldos y almacenamiento en sede remota Todo problema en la infraestructura de hardware o software Errores en las aplicaciones Sistemas de seguridad, incluyendo intentos de violacin de la seguridad (quin, qu, cuando)

7.3.3 Gestin de la calidad

La gestin de la calidad es el medio el que los procesos del departamento de SI se controlan, miden y mejoran. En este contexto, los procesos se definen como un conjunto de tareas que cuando se realizan apropiadamente producen los resultados deseados. Las reas de la gestin de la calidad pueden incluir las siguientes: Desarrollo, implementacin y mantenimiento del software
105

Adquisicin de hardware y software Operaciones del da a da Seguridad Gestin del personal Procesos administrativos

El desarrollo y mantenimiento de procesos definidos y documentados es una evidencia de una gestin eficaz de los recursos de la informacin. La insistencia en el seguimiento de los procesos y de sus tcnicas de gestin es clave para la eficacia y eficiencia de la organizacin de SI. Hay varios estndares de calidad para ayudar a la organizacin de SI a conseguir un entorno operacional que sea predecible, medible, repetible y certificado para sus recursos de TI. La certificacin ms prestigiosa mundialmente es la ISO 9001:2000 Gestin de Calidad de Sistemas, de la International Organization for Standardization (ISO), que puede aplicarse a todo tipo de sistemas, informticos o no. Un tema de preocupacin para un auditor de SI es si existe documentacin actualizada para gestionar loas siguientes funciones dentro de una organizacin de SI: Operaciones de los ordenadores Software de sistemas Adquisicin y mantenimiento de hardware y software Software de aplicaciones Informes de gestin Seguridad fsica y lgica Planificacin a corto y largo plazo Reportes de tiempo Gestin de personal

7.3.4 Optimizacin del rendimiento

La medida del rendimiento de la TI es un proceso dinmico. Este proceso es importante dado que los entornos actuales son complejos y cambiantes. La optimizacin del rendimiento es un proceso dirigido por indicadores del rendimiento. Estos indicadores se definen basndose en la complejidad de las operaciones y los procesos de negocio de una organizacin, su estrategia de TI. La optimizacin se refiere al proceso de mejorar la productividad de SI al nivel posible sin inversin adicional innecesaria en la infraestructura de TI. Las mayores fases de la medicin del rendimiento son: 1. Establecimiento y actualizacin de las medidas del rendimiento 2. Establecimiento de cmo recoger la informacin de estas medidas 3. Recogida y anlisis de la informacin 4. Reporte y utilizacin de la informacin del rendimiento

7.4

ESTRUCTURA ORGANIZATIVA Y RESPONSABILIDADES

La estructura gerencial y organizativa del departamento de SI pueden variar segn sea el tamao de la organizacin. Los controles organizativos y de gestin incluyen aquellos que ayudan a la proteccin del entorno fsico, as como a la asignacin eficiente de personal y a la

106

operacin del centro de proceso de datos (CPD). Los controles organizativos y de gestin aseguran una operacin eficaz y eficiente a cargo de personal cualificado y de confianza. Se deben definir claramente los niveles adecuados de responsabilidades y propiciar una adecuada segregacin de funciones. Los controles organizativos y de gestin que rodean al departamento de SI incluyen los siguientes: Polticas de personal y prcticas de gestin razonables Segregacin de funciones entre SI y otros entornos o funciones organizativas Segregacin de funciones dentro del entorno de SI Mtodos para evaluar operaciones eficaces y eficientes. Las descripciones de puestos de trabajo y los organigramas son temas importantes para todos los empleados, ya que les proporcionan una clara definicin de sus responsabilidades y de la autoridad. Dada la naturaleza dinmica de la tecnologa de la informacin, las descripciones de los puestos de trabajo y las estructuras organizacionales pueden cambiar frecuentemente. Para un auditor de SI es importante obtener esta informacin y evaluar la relacin entre las funciones, responsabilidades y nivel de autoridad de los puestos de trabajo para una adecuada segregacin de funciones. La segregacin de funciones es un medio importante para prevenir y descubrir actos maliciosos y fraudulentos. El auditor debe emplear un tiempo en el rea de los auditados para observar y determinar que las descripciones de los puestos y las estructuras son adecuadas.

7.4.1 Estructura gerencial

Hay que mencionar dos tipos de gerencias: gerencia de lnea y gerencia de proyectos. La gerencia de lnea de una organizacin se dedica a decisiones rutinarias del da a da externas a los proyectos. Un proyecto, por lo general, es un esfuerzo por una nica vez, con un objetivo o productos especficos, con fecha de comienzo y final y que se divide en fases explcitas. Los gerentes de proyectos y el personal para los proyectos se escogen de entre los recursos humanos bajo el control de la Gerencia de Lnea. 7.4.1.1 Gerencia de lnea Un departamento de SI debe ser liderado por un Director de SI (o nombre similar, como Director de TTII). Un departamento de SI, como el que se muestra en la figura 7.1, generalmente tiene funciones relativas a la seguridad, desarrollo y mantenimiento de sistemas, soporte tcnico de redes y sistemas y operaciones. Entre las funciones de SI, se incluyen las siguientes posiciones: Grupo de control, miembros del rea de operaciones cuya responsabilidad es la recogida, registro y envo para su procesamiento de los datos de los diferentes departamentos usuarios. Gerente de Desarrollo de Sistemas, responsable de los programadores y los analistas que implementan los nuevos sistemas y mantienen los existentes. Soporte de Usuarios Finales, responsable del enlace entre el Departamento de SI y los usuarios finales. Administracin de datos, responsable de la arquitectura de datos en grandes entornos de TTII cuya actividad es la administracin de los datos como un activo corporativo.

107

Administrador de la Base de Datos, responsable del mantenimiento e integridad de los sistemas de base de datos de la organizacin. Gerente de Soporte Tcnico, responsable de los programadores que mantienen el software de sistemas. Administrador de Seguridad, responsable de implantar la poltica de seguridad y de proveer una adecuada seguridad fsica y lgica para los programas, los datos y los equipos. Administrador de sistemas, responsable de mantener los mayores sistemas multiusuario, incluyendo redes de rea local. Sus responsabilidades, tpicas incluyen: Aadir y configurar nuevas estaciones de trabajo Activar nuevas cuentas de usuario Instalar software de sistemas Ejecutar procedimientos para prevenir la difusin de virus Asignar espacio de almacenamiento masivo Las pequeas instalaciones suelen tener un solo administrador de sistemas, sin embargo las muy grandes suelen tener un equipo de administradores de sistemas. Gerente de redes, responsable de planificar, implementar y mantener la infraestructura de telecomunicaciones. Tambin de la redes de voz. Gerente de Operaciones, responsable del personal de Operaciones, incluyendo operadores del ordenador, encargados de bibliotecas de respaldo, personal de control de produccin (scheduler), y personal de control de datos. Todo este personal se encarga de que el ordenador se mantenga operativo. Gerente de aseguramiento de la calidad, responsable de negociar y facilitar las actividades sobre calidad en todas las reas de TTII.

Dependiendo del tamao de la organizacin, un empleado podra tener que desarrollar varias funciones. Los nombres de los puestos de trabajo y las estructuras organizativas varan de una organizacin a otra, dependiendo del tamao y naturaleza del negocio. Sin embargo desde el punto de vista de auditora y control es importante que las funciones de programacin y operaciones estn segregadas. En pequeas organizaciones, puede que no se consiga la adecuada segregacin de funciones entre operaciones y programacin. En estas situaciones, es importante que existan controles compensatorios, tales como una fuerte seguridad e informes de control de actividades de usuarios finales.

108

Director de SI

Seguridad y Calidad

Aplicaciones

Datos

Soporte Tcnico

Operaciones

Administrador Seguridad Aseguramiento Calidad

Director Desarrollo y Soporte Aplicaciones

Responsable datos Administrador Base datos

Director Soporte Tcnico

Director Operaciones

Programador (Aplicaciones) Analistas Sistemas (Aplicaciones)

Administrador Redes LAN/WAN) Administrador Sistemas (Sistema Operativo)

Programadores Sistemas (Sistema Operativo) Analistas de Sistemas (Sistema Operativos)

Bibliotecario Medios Magnticos Operador Ordenador Operador Entrada datos

Figura 7.1 Organizacin clsica de SI 7.4.1.2 Gerencia de proyecto Los proyectos de SI se pueden iniciar en cualquier punto de la organizacin, incluyendo el mismo Departamento de SI. Es muy recomendable que las solicitudes de grandes proyectos se presentan al Comit de Sistemas que ser el responsable de asignar las prioridades de ejecucin. El gerente del proyecto, que no tiene porqu pertenecer a SI, debe tener un control operacional total sobre el proyecto y se le deben asignar los recursos, tanto de SI como del resto de la organizacin, que considere necesarios para lograr el cumplimiento satisfactorio del proyecto. Es conveniente incluir en el equipo de proyecto a un Auditor de SI a fin de que recomiende los controles adecuado durante todo el transcurso del proyecto. Tambin puede realizar una revisin independiente y objetiva del proyecto para asegurar el nivel de involucracin (compromiso) de las partes apropiadas. En la figura 7.2 se muestra un ejemplo de una estructura organizativa de un proyecto

109

Alta Direccin Promotor Proyecto Comit Proyecto Representantes Usuarios

Aseguramiento Calidad

Director Proyecto

Equipo Desarrollo Sistemas

Equipo Usuarios

Equipo Infraestructura Tcnica

Administrador Seguridad

Analistas Sistemas/ Aplicaciones

Programadores

Usuarios Clave

Soporte Software

Soporte Hardware

Soporte Redes

Figura 7.3 Ejemplo de una estructura organizativa de un proyecto

7.4.2 Puestos de trabajo y responsabilidades en entornos de SI

La estructura de un departamento de SI vara en funcin de la carga de trabajo, pero normalmente est dividido en dos grandes reas: procesamiento de la informacin (PI) y desarrollo de sistemas. A PI le concierne primariamente los aspectos operacionales del entorno de SI y, normalmente incluye: operaciones, programacin de sistemas, telecomunicaciones y funciones de bibliotecario. A Desarrollo de sistemas le concierne el desarrollo, adquisicin y mantenimiento de las aplicaciones. Sus mayores tareas son anlisis y programacin de sistemas de aplicaciones. A continuacin se presentan reas funcionales que se encuentran frecuentemente en entornos de SI. 7.4.2.1 Operaciones Incluye todo el personal que se requiere para operar eficiente y eficazmente el ordenador. El rea de operaciones, incluyendo los ordenadores, perifricos, medios magnticos y los datos y programas almacenados en los medios, constituyen un activo crtico e impacta en la habilidad de la organizacin para funcionar eficazmente. La sala del ordenador central debe estar resguardada y slo debe tener acceso a la misma el personal autorizado. Nadie, excepto el personal de operaciones debe tener acceso al rea de operaciones. Dentro de operaciones, los controles de gestin se pueden subdividir en tres categoras: 1. Seguridad fsica. Define la diversas medidas o controles que protegen a una organizacin de la prdida de las capacidades de procesamiento causadas por un acceso fsico no autorizado que pueden llevar a una destruccin intencionada o no, amenazas ambientales tales como incendios, inundaciones, terremotos y fallos

110

mecnicos de suministro elctrico. Estos controles se ven con cierto detalle en el tema 8. 2. Seguridad de datos. Incluyen los estndares y procedimientos diseados para proteger a los datos de una lectura, modificacin o destruccin intencionada o no. Una parte crtica del control que debe ejercitar PI es la de proveer un nivel adecuado de seguridad de datos. La seguridad de datos incluye muchos aspectos de seguridad y se debe modificar continuamente para cubrir los avances tecnolgicos de SI. Los programas de seguridad de datos deben integrar: Seguridades fsicas tales como salvaguarda del hardware y los soportes magnticos en los que estn almacenados los datos Formacin a los empleados para el entendimiento de la necesidad de la seguridad y la privacidad de los datos. Tambin deben conocer las acciones disciplinarias que se tomarn contra quin viole la seguridad de los datos. Seguridad lgica, tal como software de control de acceso para prevenir y detectar el acceso no autorizado a los datos. En el tema 8 se dan ms detalles de estos controles. 3. Controles de procesamiento. Incluye aquellos elementos necesarios para asegurar que la organizacin tiene un procesamiento de la informacin oportuno, completo, exacto y seguro. Estos controles son particularmente pertinentes para el trabajo realizado por los siguientes grupos de operaciones: 7.4.2.2 Entrada de datos En los inicios de los sistemas de informacin los datos se recopilaban en los diversos departamentos usuarios y se introducan por lotes de transacciones en la seccin entrada de datos de SI. El personal de esta seccin se dedicada por entero a la entrada de datos. En los entornos en lnea actuales, las tareas de entrada de datos las realizan los propios usuarios de las aplicaciones. La entrada de datos por lotes, en los departamentos de SII clsicos, normalmente es responsabilidad del rea de Control de Datos. Este rea tiene las siguientes tareas: Recibe los documentos fuentes de los departamentos usuarios y garantiza la adecuada salvaguarda de los mismos hasta que finalice su procesamiento y se devuelvan junto a las salida originada. Prepara lotes de documentos fuentes con totales de control en cada lote Asigna y fija las tareas para procesar la entrada Verifica, registra y distribuye la salida al departamento apropiado poniendo especial cuidado cuando la salida contienen informacin confidencial. El Departamento de Control de Datos debe tener personal autorizado para procesar el trabajo en forma oportuna. Se debe asignar un supervisor para garantizar que el trabajo est adecuadamente preparado y presentado para su procesamiento. Esta persona debe asegurarse de que se informa de todas las excepciones y los rechazos al departamento que las origin y que sean presentadas nuevamente en forma oportuna. Hoy en da, los usuarios finales realizan su propia entrada de datos utilizando terminales en lnea u ordenadores personales. La entrada en lnea puede ayudar al usuario a ser ms eficaz porque permite una amplia variedad de pruebas en lnea para realizar verificaciones bsicas de los datos de entrada. No obstante, le corresponde al

111

gerente de cada departamento usuario asegurar que los datos estn autorizados, sean exactos y completos cuando se introduzcan en el sistema informtico. 7.4.2.3 Grupos de Control de Datos y Control de Produccin El Grupo de Control de Datos es responsable de la recopilacin, introduccin y control de los datos de entrada y el balance y distribucin de la salida generada a los usuarios. Este grupo debe estar en un rea separada a la que slo accede personal autorizado. El grupo de Control de Produccin normalmente es responsable de la planificacin de tareas del ordenador, la entrega de trabajos y la administracin de los medios magnticos necesarios para que cada tarea. Una asignacin de tareas eficaz es esencial para utilizar los recursos del ordenador con el mximo de eficiencia. 7.4.2.4 Bibliotecario El bibliotecario registra, entrega, recibe, y resguarda todos los ficheros de programas y datos que se almacenen en soportes magnticos. Dependiendo del tamao de la instalacin, el bibliotecario puede ser una persona a tiempo total o ser realizada por un miembro del grupo de Control de Datos. Esta posicin es crucial, por lo que muchas organizaciones utilizan un software de Administracin de soportes magnticos para ayudar a llevar el inventario y registrar los movimientos de los soportes magnticos de almacenamiento. 7.4.2.5 Administracin de la seguridad La administracin de la seguridad debe comenzar con el compromiso de la gerencia por esta tarea. La gerencia debe comprender y evaluar los riesgos de seguridad y desarrollar e imponer una poltica por escrito que fije en forma clara las normas y procedimientos que se han de llevar a cabo. Las tareas del Administrador de Seguridad deben estar definidas en esa poltica. Esa persona debe ser un empleado con dedicacin a tiempo total, que reporte directamente al director de SI. Sin embargo, en una pequea instalacin tal vez no sea prctico tener una persona dedicada exclusivamente a esas tareas. El sentido comn debiera prevalecer al respecto. Quien realice esa funcin debe garantizar que los diversos usuarios cumplan la poltica de seguridad de la empresa, y que los controles sean los adecuados para evitar el acceso no autorizado a los bienes de la empresa, incluyendo datos, programas y equipamiento. Las funciones de Administrador de Seguridad normalmente requieren que ste: Mantenga las reglas de acceso a archivos y recursos, Mantenga la seguridad y confidencialidad respecto de la emisin y el correcto mantenimiento de los identificadores y contraseas de los usuarios autorizados, Realice un seguimiento de las violaciones a la seguridad y emprenda la accin correctiva para garantizar que se brinda la seguridad adecuada, Pruebe, revise y evale en forma peridica la poltica de seguridad y sugiera a la gerencia cualquier cambio necesario. 7.4.2.6 Aseguramiento y Control de la Calidad Este grupo normalmente realiza dos tareas distintas: Aseguramiento de la calidad (AC) ayuda al departamento de SI a asegurar que el personal sigue los procesos de calidad prescritos. Por ejemplo, que los programas y la documentacin siga los estndares establecidos.
112

Control de la calidad, realizando pruebas o revisiones para verificar y asegurar que el software est libre de defectos y cumple los requerimientos de los usuarios. Esto se puede hacer en las diversas fases del desarrollo de una aplicacin, pero obligatoriamente se tiene que hacer antes que los programas pasen del entorno de pruebas al de .produccin

El grupo de calidad tambin puede contribuir a garantizar la calidad de los datos realizando controles peridicos de la exactitud y autenticidad de la entrada, procesamiento y salida de las diversas aplicaciones. Para que el grupo sea eficaz, el grupo debe ser independiente. En algunas organizaciones puede ser parte del grupo de control pero nunca debe ser realizada por personal de programacin. 7.4.2.7 Administracin de bases de datos La funcin de Administracin de Bases de Datos (DBA Data Base Administration) reporta directamente al Director de SI. El Administrador de Base de Datos es responsable del diseo, definicin y mantenimiento efectivos de las bases de datos de la empresa. La gestin eficaz de la base de datos requiere de alguien que conozca la organizacin y las estructuras de datos requeridas por los usuarios. Los objetivos principales de la funcin del Administrador de Base de Datos son: Especificar la definicin fsica de datos Preparar programas para crear datos Cambiar la definicin fsica de datos para mejorar el rendimiento Determinar herramientas de optimizacin de bases de datos Probar y evaluar herramientas de programacin y optimizacin Elucidar y responder a consultas de los programadores y capacitarlos en las estructuras de las bases de datos Implementar en el sistema de Base de Datos controles de definicin, de acceso, de actualizacin, de concurrencia, etc. Monitorizar la utilizacin, recopilacin de estadsticas de rendimiento y ajustar la base de datos Definir e iniciar procedimientos de recuperacin y de respaldo. 7.4.2.8 Anlisis de sistemas Los analistas de sistemas son especialistas que disean sistemas en funcin de las necesidades del usuario. Normalmente estn involucrados en la fase inicial del Ciclo de Vida del Desarrollo de Sistemas. Las funciones de un analista de sistemas son similares a las de un lder de proyecto. Es quien se responsabiliza de interpretar las necesidades del usuario y de determinar los programas y los programadores necesarios para crear las aplicaciones. 7.4.2.9 Programacin de aplicaciones Los programadores de aplicaciones son los responsables de la creacin de las nuevas aplicaciones y el mantenimiento de los sistemas en produccin. Deben trabajar solamente en un entorno de prueba y no deben pasar las versiones del entorno de pruebas al entorno de produccin. No deben tener acceso a las bibliotecas de programas del sistema.

113

7.4.2.10 Programacin de sistemas Los programadores de sistemas son los responsables del mantenimiento del hardware y software de sistemas, incluyendo el sistema operativo. Esta funcin necesita un acceso sin restricciones a todo el sistema. En consecuencia, los programadores de sistemas deben ser de una gran confianza y su labor debe ser supervisada cuidadosamente. Se deben llevar registros histricos de sus tareas y tener acceso solamente a las bibliotecas de sistemas cuyo software mantienen 7.4.2.11 Administracin de redes En las instalaciones de hoy en da la capacidad de procesamiento suele estar ampliamente distribuida. Se suele tener una sede central, pero se hace un uso intensivo de: RALs Redes de rea local en diferentes localizaciones RAEs Redes de rea extendida, en las que las RALs se pueden interconectar para facilitar el acceso desde distintas localizaciones. Con el fenmeno de Internet , esta tendencia se ha intensificado, apareciendo nuevos activos tales como servidores web, cortafuegos, servidores proxy, encaminadotes (routers), switches y una amplia variedad de software. Todo esto hace que la gestin de red se haya convertido en un componente crucial para la gestin de SI. Debido a la dispersin geogrfica, cada RAL necesita un administrador de red. Dependiendo de la poltica de la compaa estos administradores pueden reportar al director de procesamiento de datos o, en un entorno de operaciones descentralizadas, al gerente de usuarios finales. Este puesto de trabajo es responsable del control tcnico y administrativote la RAL. Ello incluye asegurarse de que los enlaces funcionan correctamente, se generan copias de respaldo del sistema, y que las compras de hardware y software estn autorizadas e instaladas correctamente. En las instalaciones menos extensas el puesto incluye estar a cargo de la administracin de la seguridad de la red. El administrador de la red no debe tener ninguna funcin de programacin de aplicaciones, pero puede tener las responsabilidades de un usuario final. 7.4.2.12 Soporte a usuarios En los entornos de SI de hoy en da, cada vez ms compaas dan importancia a tener una funcin de soporte de usuarios. Es una unidad que responde a cuestiones tcnicas de los usuarios. Las preguntas y sus respuestas se pueden realizar por telfono, fax o correo electrnico. Existe software en el mercado para ayudar al personal de esta unidad a responder rpidamente a las preguntas ms usuales.

7.4.3 Segregacin de Funciones dentro de SI

La segregacin de funciones es un mtodo probado para garantizar que se autorizan y registran adecuadamente las transacciones y que se salvaguardan los activos de la empresa. Cuando las funciones estn segregadas, se puede restringir el acceso al ordenador, a la biblioteca de datos y programas de produccin, a los programas en produccin, a la documentacin de programacin, al sistema operativo y a las utilidades relacionadas. Por tanto, se reducen los daos potenciales que puedan provenir de las acciones de una sola persona. El departamento de SI y los de los usuarios deben estar organizados para poder conseguir una adecuada segregacin de funciones. En la figura 7.3 se muestra una gua con las funciones que no deben ser combinadas.

114

En entornos de negocios ms pequeos, donde el departamento de SI puede solo consistir en 4 5 personas, deben existir controles compensatorios para mitigar el riesgo que supone que una persona realice funciones que deberan ser realizadas por personas distintas.
Grupo Analista Progrma Jefe Usuario Entrada Operado Admn. Admn. Admn.. Admn.. Bibliotec Progrma Asegur. Ordenad BD Sistemas Segurida M.Magn Sistemas Calidad Control Sistemas Aplicacio Soporte Final Datos Redes Grupo Control Analista Sistema Progrma Aplicacio Jefe Soporte Usuario Final Entrada Datos Operado Ordenad Admn. BD Admn. Redes Admn.. Sistemas Admn.. Segurida Bibliotec M.Magn Progrma Sistemas Asegur. Calidad

x x x x x x x x x x x x x x x x x x x

x x x x x x x x x x x x x x

x x x x x x x x x x x x x x x x

x x x x x x x x

x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x

x x

x x x x x x x x x x x x x x

x x x x x

x x x x x x

x x x

x x x

x x

x Funciones que no se deben combinar

Figura 7.3 Matriz de separacin de tareas

7.4.4 Segregacin de funciones entre SI y otras funciones de la organizacin

La segregacin de funciones entre SI y otras funciones de la organizacin es tan importante como la segregacin dentro de SI. La siguiente seccin esboza algunas de las reas de la segregacin de funciones. 7.4.4.1 Autorizacin de transacciones La responsabilidad de la autorizacin de las transacciones de las diversas aplicaciones corresponde a los departamentos usuarios. La autorizacin se puede delegar. Cuando se delegue la autorizacin, se debe hacer un seguimiento del adecuado uso de la delegacin. La gerencia y auditora deben realizar controles peridicos a fin de evitar la introduccin de transacciones sin autorizacin 7.4.4.2 Conciliacin La conciliacin de las transacciones es tambin responsabilidad de los departamentos usuarios. En algunas organizaciones la conciliacin limitada de algunas aplicaciones puede ser hecha por el grupo de Control de Datos por medio de totales de control y hojas de balance. Este tipo de verificacin independiente aumenta el nivel de confianza de que las aplicaciones se ejecutan con xito y de que los datos estn balanceados. 7.4.4.3 Custodia de los activos

115

La custodia de los bienes que constituyen el activo de la empresa debe estar definida y asignada en forma adecuada. Uno de los activos ms importantes de una empresa son los datos. Generalmente se asigna a un determinado departamento usuario ser el propietario de los datos que genera. Sus obligaciones deben estar especificadas y documentadas. El propietario de los datos tiene la responsabilidad de determinar los niveles de autorizacin de acceso a los datos que se necesitan para garantizar una seguridad adecuada, en tanto que el grupo de Administracin de Seguridad de Datos es generalmente el responsable de implementar y hacer cumplir el sistema de seguridad. 7.4.4.4 Acceso a los datos Los controles del acceso a los datos se consiguen con una combinacin de una seguridad fsica, de sistema y de aplicacin tanto en el rea usuaria como en el CPD. El entorno fsico debe estar resguardado para evitar el acceso del personal no autorizado a los dispositivos conectados a la equipo central de procesamiento y, por tanto, el acceso a los datos. La seguridad del sistema y de las aplicaciones son niveles adicionales de seguridad que pueden evitar que personas no autorizadas accedan a los datos de la empresa. El acceso a los datos desde conexiones externas deben constituir una preocupacin permanente. 7.4.4.5 Formularios de autorizacin Los responsables de los departamentos usuarios deben enviar a SI formularios de autorizacin, en forma impresa o electrnica, definiendo los derechos de acceso de sus empleados. En otras palabras, los responsables deben definir quin debe tener acceso a qu. Los formularios de autorizacin deben estar evidenciados en forma correcta con aprobacin al nivel gerencial apropiado. En general, los usuarios deben estar autorizados para el acceso a sistemas especficos por medio de una solicitud por escrito de sus gerentes. En las grandes empresas o en aquellas con sedes remotas interconectadas, deben llevarse registros de firmas de autorizacin para comparar las solicitudes escritas con el registro de firmas para garantizar que las solicitudes son apropiadas. Asimismo, debe existir un procedimiento para garantizar que la gerencia revisa peridicamente los privilegios de acceso para garantizar que son vigentes y adecuados para las funciones que en ese momento realicen los usuarios. 7.4.4.6 Tablas de autorizacin de usuarios El departamento de SI debe utilizar los datos de los formularios de autorizaciones para construir y mantener las tablas de autorizacin de usuarios. Estas tablas definen quin est autorizado para actualizar, modificar, borrar y/o consultar datos o programas. Se pueden conceder esos privilegios a nivel de sistema, transaccin o campo. Estas tablas se conocen como listas de control de acceso. Las tablas de autorizacin de usuarios deben estar protegidas de accesos no autorizados, con una proteccin adicional de contrasea o encriptacin de datos. Toda la actividad de los usuarios se debe registrar en un registro histrico de control, que debe ser revisado por el gerente apropiado. Deben investigarse todas las excepciones. 7.4.4.7 Informes de excepciones

116

La generacin de informes de excepciones debe estar en manos del nivel supervisor y exige evidencia, tales como sus iniciales puestas en el informe, de que la excepcin ha sido gestionada correctamente. La gerencia debe garantizar que las excepciones estn siendo resueltas de manera oportuna. 7.4.4.8 Rastros de auditora Los rastros de auditora son un componente esencial de los sistemas bien diseados. Ayudan tanto a SI como al auditor dndoles un mapa para recorrer el flujo de procesamiento seguido por una transaccin. Permiten recrear el flujo real de la transaccin desde el punto donde se origin hasta su almacenamiento en el archivo histrico de transacciones. Los buenos rastros de auditora son controles compensatorios aceptables en caso de ausencia de una segregacin de funciones adecuada debida a limitaciones de personal. El Auditor debe estar en condiciones de determinar quin inicia la transaccin, la hora y fecha de entrada, el tipo de entrada, qu campos de informacin contena y qu archivos actualiz. 7.4.4.9 Registros de transacciones Un registro de transacciones puede ser manual o automatizado. Un ejemplo de un registro manual es un registro de transacciones, agrupadas por lotes, antes de que sean enviadas para su procesamiento. Un registro automatizado de transacciones brinda un registro de todas las transacciones procesadas en un entorno de produccin por lotes.

7.5 TCNICAS DE AUDITORA Y EVALUACIN

Si bien existen innumerables condiciones de incumbencia para el Auditor de SI, algunos de los indicadores ms significativos de problemas potenciales son: Actitudes desfavorables de los usuarios finales Costos excesivos Desvos del presupuesto Alta rotacin de personal Personal inexperto Frecuentes errores de los ordenadores Atraso excesivo de solicitudes de usuarios no satisfechas Bajo tiempo de respuesta del ordenador Numerosos proyectos de desarrollo abortados o suspendidos Compras de hardware/software sin respaldo o autorizacin Cambios frecuentes a versiones superiores de hardware/software Informes con muchas excepciones Informes con excepciones no controladas Pobre motivacin Falta de planes de sucesin Confianza en una o dos personas claves.

7.5.1 Revisin de documentacin

Se deben revisar los siguientes documentos:
117

Estrategias, Planes y Presupuestos de TTII. Estos documentos dan evidencia de la planificacin y el control gerencial de los entornos de SI. Poltica de seguridad La documentacin de la poltica de seguridad da un estndar de su cumplimiento. Debe definir la posicin de la organizacin en cuanto a cualquiera y todos los riesgos de seguridad. Debe identificar quin es el responsable de la salvaguardia de los bienes de la empresa, incluyendo programas y datos. Asimismo, debe expresar las medidas preventivas que han de realizarse para dar una proteccin adecuada y las acciones que han de emprenderse contra quienes las violen. Organigramas de funciones Los organigramas de funciones muestran al Auditor de SI una clara comprensin de las lneas de dependencia jerrquicas de un departamento u organizacin como un todo. Muestran una divisin de funciones y dan una indicacin del grado de segregacin de funciones dentro de la organizacin. Perfiles de puestos Los perfiles de puestos definen las funciones y responsabilidades de los diversos puestos de trabajo de una organizacin. Asimismo, los perfiles de puestos dan indicacin del grado de segregacin de funciones dentro de la organizacin y puede contribuir a identificar funciones incompatibles. Por ltimo, los perfiles de puestos deben identificar el puesto al que estos empleados reportan. El auditor debe verificar que el nivel de relaciones de dependencia funcional se basa en principios gerenciales apropiados y no pone en peligro la segregacin de funciones. Informes del Comit de Informtica Los informes del comit de sistemas ofrecen informacin documentada acerca de los nuevos proyectos de sistemas. Esos informes son revisados por la gerencia de nivel superior y distribuidos entre las diversas unidades funcionales de la empresa. Desarrollos de sistemas y procedimientos de cambios a programas Esta documentacin muestra el marco conceptual dentro del cual se realizan los desarrollos de sistemas o cambios a programas. Procedimientos de operaciones Esta documentacin muestra como el personal de operaciones tiene que realizar su trabajo. Manuales de polticas de personal Los manuales de polticas de personal dan las reglas y reglamentaciones determinadas por la organizacin sobre cmo se espera que se comporten los empleados. Los diversos documentos que se revisen deben tambin ser evaluados para determinar s: se crearon tal como fueron autorizados y fue la intencin de la gerencia

118

son actuales y actualizados.

7.5.2 Entrevistas y Observacin del personal realizando sus tareas

La observacin del personal durante la realizacin de su trabajo ayuda al auditor de SI a identificar: Funciones reales. La observacin es el mejor mtodo para garantizar que la persona que est asignada y autorizada a realizar determinada funcin es la persona que en realidad est cumpliendo la tarea. Permite que el Auditor de SI tenga oportunidad de ser testigo de cmo se entienden y aplican las polticas y procedimientos. Percepcin de la seguridad. La percepcin de la seguridad debe ser observada para comprobar la comprensin y prctica de buenas medidas de seguridad preventiva y de deteccin por parte de la persona observada a fin de salvaguardar los bienes y datos de la empresa. Relaciones de comunicacin jerrquica. Deben observarse las relaciones de quin reporta a quin a fin de asegurarse de que se ponen en prctica las responsabilidades asignadas y una adecuada segregacin de funciones.

7.5.3 Examen de las obligaciones contractuales

Los realizacin de los contratos de hardware, software y servicios de SI tienen varias etapas. Entre ellas se distinguen: Desarrollo de las necesidades contractuales Proceso de concurso de precios Proceso de seleccin del contratista Mantenimiento del contrato Cumplimiento del contrato.

Cada una de estas fases debe estar soportada por documentos legales, con la debida autorizacin gerencial. El auditor de SI debe verificar la participacin de la gerencia en el proceso de contratacin, y asegurarse de un grado adecuado de revisin oportuna del cumplimiento contractual.

119