Guía sobre Auditoría de Sistemas (página 2)

1. Auditoría

2. En muchas organizaciones, el énfasis del auditor ha cambiado desde la evaluación y testeo del procesamiento al diagnostico y testeo de riesgos. Muchos de estos controles son incorporados dentro de programas o ejercitados dentro de las divisiones tecnológicas de la compañía.

   Estas avances orientados al control usualmente requieren estas ligados a la tecnología usada en el área o en la organización.

   El auditor de sistemas (IT auditor) evalúa y testea los más complejos controles tecnológicos y de procedimientos y desarrolla y aplica técnicas de auditoria computarizadas, incluyendo el uso de software de auditoria. En muchos casos, no es posible la verificación manual de procedimientos computarizados usados para sumarizar, calcular o categorizar la información. Como un resultado de ello, se debe utilizar el software de auditoria y otras técnicas orientadas a la computación.

   La principal tarea del auditor interno es la de asistir al management de la empresa para juntar sus esfuerzos en la responsabilidad de asegurar:

   a) Protección de los activos de la Empresa

   b) Obtención de información financiera veraz, confiable y oportuna

   c) Promoción de la eficiencia en la operación del negocio.

   d) Lograr que en la ejecución de las operaciones se cumplan las políticas establecidas por los administradores de la Empresa.

   1. Objetivo del Auditor

   2. Evaluar la eficiencia y eficacia con que se está operando para que por medio de cursos alternativos de acción se tomen decisiones que permitan corregir los errores en caso de que existan, o bien mejorar la forma de actuación.

      La Auditoría debe ser más amplia que la simple detección de errores, debe evaluar para mejorar lo existente, corregir errores y proponer alternativas de solución.

      El examen que conforma una auditoría informática abarca una serie de controles, verificaciones, y juicios, etc. que concluyen en un conjunto de recomendaciones y un plan de acción. Es la elaboración de este plan de acción lo que diferencia a la auditoría informática de lo que sería una auditoría tradicional.

      Por ejemplo, cuando un auditor efectúa un recuento de fondos, no esta poniendo en tela de juicio la honorabilidad del cajero. Esta cumpliendo con una exigencia profesional que impone el recuento de los bienes tangibles.

      Aplicado a la auditoria de sistemas, no se trata de ingresar al centro de cómputos para realizar una labor de espionaje por cuanto se duda de sus integrantes, sino de llevar a cabo una tarea profesional tendiente a la obtención de elementos de juicio que permitan emitir una dictamen sobre la razonabilidad de los estados contables.

   3. Necesidad de Adherencia a Normas Estándares

En el ámbito directivo existe la necesidad que el área de sistemas se integre a as modalidades de conducción y objetivos de la alta dirección. Los motivos de dicha necesidad, se pueden agrupar en:

2. Control de Calidad: mediante una definición de la forma en que se deben llevar a cabo y documentar su actividad los analistas y programadores, pueden establecerse pautas de calidad y practicarse los controles correspondientes.
3. Uniformidad del producto terminado: es conveniente que la producción sea información para lograr la intercambialidad de los seres humanos.
4. Claridad (comprensibilidad) de las tareas: para un adecuado control de la supervisión, intercambio de información y entrenamiento del personal ingresante o traslado a nuevas tareas, es altamente beneficioso que el producido sea fácilmente comprensible lo cual requiere una metodología y calidad uniformes.
5. Reducción de costos: el continuo incremento de los costos de mantenimiento de los sistemas y sus programas, toma imperativo el desarrollo de políticas y planes tendientes a su reducción. Eso puede lograrse con un producto uniforme, comprensible y bien documentado.
6. Intercambio de información
7. Evaluación de las actuaciones
8. Comunicación: una metodología uniforme posibilita obtener mejores herramientas y técnicas de comunicación tomándola mas fácil y fluida. Adicionalmente, los estándares pueden resultar útiles para el control de los costos y del cargo de la asignación de ellos a los usuarios por los servicios prestados.

1. Documentación de los Sistemas

Constituyen uno de los elementos vitales dentro del desarrollo de los sistemas. Los objetivos básicos que deben permitir alcanzar la documentación en un entorno electrónico, son:

1. Comunicación: la información verbal puede no ser clara y no es permanente y no abarca la variedad de datos a ser transmitidos entre y dentro de las diversas funciones existentes en un centro de cómputos.
2. Referencia Histórica
3. Control de Calidad: la calidad de un sistema es una función de la metodología empleada en su desarrollo.
4. Entrenamiento del personal
5. Eliminación de la dependencia del analista/programador.

1. Controles programados

Son aquellos concebidos durante la etapa de análisis y concentrados en los programas de aplicación correspondientes. De la cantidad, claridad y etapa del procesamiento que cubran, dependerá la exactitud e integridad de la información.

a) Controles para validar la información de entrada.

Esta clase de errores esta destinada a detectar los errores contenidos por la información que se ingresa en un sistema.

Esta validación debería realizarse en el momento más próximo a la entrada de la información.

• Verificación de campos

Consistencia: establecer la relación que debe existir entre dos o más campos de un mismo registro.

Rango

Limites

Códigos.

• Verificación de caracteres: blancos, numéricos, signos.
• Dígitos de control
• Verificación de lotes

b) Controles sobre el procesamiento.

• Verificaciones cruzadas: es la suma o sustracción de dos o más campos y el balanceo del resultado a cero contra el resultado original.
• Balanceo de los archivos procesados parcialmente (control de saldos)
• Control sobre el redondeo.

1. Seguridad de los Sistemas de Computación

2. Se merece un análisis integral del tema a los efectos de determinar los riesgos más comunes, posibilidades de implantar medidas de prevención y sus costos y el estudio de los medios de backup y recuperación.

   Los sistemas de computación deben ser protegidos de tres tipos de peligros: desastres naturales, errores y omisiones humanas y actos intencionales.

   Seguridad

   Seguridad de la información: protección contra destrucción accidental o intencional, revelación a terceros o modificación.

   Seguridad del procesamiento de datos: comprende medidas preventivas de caracteres tecnológico y las políticas gerenciales aplicables al hardware, software e información para obtener la salvaguarda de los activos de la entidad y la privacidad individual.

   Privacidad

   Dada la gran capacidad de almacenamiento de los medios magnéticos y de los computadores empleado es factible la creación de bases de datos de miles de individuos.

   Confidencialidad

   Información que deba mantenerse en secreto.

   Integridad

   Cuando la información no difiere de la contenida en los documentos originales.

   1. Evitar: Análisis de actividades que deberán interrumpirse por cuantas los riesgos son muy grandes.

      Disuadir: Contar con medidas de protección que inspiren respeto. Como para mover a alguien a desistir de sus propósitos.

      Prevenir: Ligada a los aspectos físicos.

      Detectar: Muchas medidas preventivas no resultaran efectivas de no incorporarse la posibilidad de la detección del riesgo en el sistema de seguridad.

      Recuperar y corregir: Resultado vital, dada la vulnerabilidad de una operación electrónica contar con las medidas y los medios que posibiliten su recuperación ante cualquier falla de hardware, software, errores de operación o información errónea.

   2. Funciones de la seguridad
   3. Estrategias de Seguridad

Cada riesgo debería ser atacado de tres formas:

1. Minimizar la posibilidad de ocurrencia
2. Reducir al mínimo el perjuicio sufrido, si no ha podido evitarse que ocurriera.
3. Diseño de métodos para una rápida recuperación de los daños experimentados.
4. Corrección de las medidas de seguridad en función de la experiencia recogida (retroalimentación del proceso).

1. Análisis de Riesgos

Muchas de las decisiones gerenciales están basadas en la premisa de la existencia de ciertos riesgos que en el caso de concretarse implicaran que los cursos de acción previstos podrían verse alterados.

En una operatoria electrónica de los riesgos son muchos y de variada naturaleza. Para la toma de decisiones basadas en elementos de juicio que posibiliten la eliminación de la incertidumbre resultara necesario un análisis de los riesgos que permitan su conocimiento, probabilidad de ocurrencia y cuantificación (matriz de riesgo).

Dos elementos claves en el análisis de riesgo son:

• Determinación del impacto que originara un acontecimiento
• Fijación de la probabilidad de ocurrencia de un hecho, dentro de un lapso especificado.

Existen 4 posibilidades:

1. Eliminar el riesgo con medidas adecuadas
2. Soportarlo o tolerarlo con la debida conciencia, tratándose de casos en los que el perjuicio ocasionara efectos menores.
3. Reducirlo, adoptando contramedidas
4. Transferirlo, mediante seguros o convenios especiales.

El problema gerencial consisten en hallar una combinación entre las variantes anteriores, en forma tal de reducir los riesgos a un nivel aceptable y con costos mínimos.

1. Seguridad Física

2. Comprende todas las disposiciones convenientes en materia de control físico de acceso a las instalaciones, registraciones sobre ingreso y egreso de personas, vigilancia, circuitos cerrados de televisión, etc. Integran la seguridad general de cualquier entorno.

   Nos dedicaremos a los riesgos más importantes que corren en un centro de cómputos.

   Resultaría necesario estudiar las medidas de adopción más convenientes para salvar una circunstancia de tipo accidental o intencional que impida la continuidad de la operatoria, como consecuencia de algún inconveniente de cualquier tipo.

   En este tema confluyen los aspectos de tipo operativo con los requerimientos del sistema de control interno electrónico.

3. Resguardo y Recuperación.
4. Seguridad Lógica.

Se refiere a los controles de software o controles interno de hardware existentes en el sistema para prevenir o detectar el ingreso d la información no autorizada al sistema o accesos no autorizados a la información de la empresa.

1. Concepto de Auditoria Informática

2. Auditoria informática es la revisión y evaluación de los controles, sistemas, procedimientos de informática, de los equipos de cómputos, su utilización, eficiencia y seguridad, de la organización que participa en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que sirve para la toma de decisiones.

   Su campo de acción será:

   a) Evaluación administrativa del área de informática.

   1. Los objetivos del área

   2. Metas, planes, políticas y procedimientos de procesos electrónicos estándar.

   3. Organización del área y su estructura orgánica.

   4. Funciones, niveles de autoridad y responsabilidad del área de sistemas.

   5. Integración de los recursos materiales y técnicos

   6. Costos y controles presupuestales

   7. Controles administrativos del área

   b) Evaluación de los sistemas, procedimientos, y de la eficiencia que se tiene en el uso de la información.

   1. Análisis de los sistemas y sus diferentes etapas.

   2. Evaluación del diseño lógico del sistema.

   3. Evaluación del desarrollo físico del sistema

   4. Control de proyectos

   5. Control de sistemas y programación

   6. Instructivos y documentación

   7. Formas de implantación

   8. Seguridad lógica y física de los sistemas y sus datos.

   9. Confidencialidad de los sistemas

   10. Controles de mantenimiento y forma de respaldo de los sistemas.

   11. Utilización de los sistemas.

   c) Evaluación del proceso de datos y de los equipos de procesamiento.

   1. Controles de los datos fuentes y manejo de cifras de control

   2. Control de operación

   3. Control de salida

   4. Control de asignación de trabajos

   5. Control de asignación de medios de almacenamiento masivos

   6. Control de otros elementos de cómputo

   7. Orden en el Centro de Procesamiento.

   8. Seguridad física y lógica.

   9. Respaldos.

   La definición de los objetivos perseguidos en la auditoria informática debe preceder a la elección de los medios y de las acciones, si se pretende evitar el predominio de estos últimos.

   Para lograr un buena planeación es conveniente primero obtener información general sobre la organización y sobre la función informática a evaluar. Para ello es preciso una investigación preliminar y algunas entrevistas previas, para establecer un programa de trabajo en el que se incluirá el tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la AI.

   1. Investigación Preliminar

3. Planeación de la Auditoria Informática

Se debe recopilar información para obtener una visión general del área a auditar por medio de observaciones, entrevistas preliminares y solicitudes de documentos. La finalidad es definir el objetivo y alcance del estudio, así como el programa detallado de la investigación.

La planeación de la auditoría debe señalar en forma detallada el alcance y dirección esperados y debe comprender un plan de trabajo para que, en caso de que existan cambios o condiciones inesperadas que ocasionen modificaciones al plan general, sean justificadas por escrito.

Se debe hacer una investigación preliminar solicitando y revisando la información de cada una de las áreas de la organización.

Para poder analizar y dimensionar la estructura por auditar se debe solicitar:

1- A nivel Organización Total:

1. Objetivos a corto y largo plazo
2. Manual de la Organización
3. Antecedentes o historia del Organismo
4. Políticas generales

2- A nivel Área informática:

1. Objetivos a corto y largo plazo
2. Manual de organización del área que incluya puestos, niveles jerárquicos y tramos de mando.
3. Manual de políticas, reglamentos internos y lineamientos generales.
4. Número de personas y puestos en el área
5. Procedimientos administrativos en el área.
6. Presupuestos y costos del área.

3- Recursos materiales y técnicos

1. Solicitar documentos sobre los equipos, número (de los equipos por instalados, por instalar y programados), localización y características.
2. Fechas de instalación de los equipos y planes de instalación.
3. Contratos vigentes de compra, renta y servicio de mantenimiento.
4. Contrato de seguros
5. Convenios que se mantienen con otras instalaciones
6. Configuración de los equipos, capacidades actuales y máximas.
7. Planes de expansión
8. Ubicación general de los equipos
9. Políticas de operación
10. Políticas de uso o de equipos

4- Sistemas

1. Manual de formularios.
2. Manual de procedimientos de los sistemas
3. Descripción genérica
4. Diagrama de entrada, archivo y salida.
5. Salidas impresas
6. Fecha de instalación de los sistemas
7. Proyectos de instalación de nuevos sistemas.

COMENTARIOS:

En el momento de planear la AI – auditoria informática – (o bien cuando se está efectuando) debemos evaluar que pueden presentarse las siguientes situaciones:

a) Se solicita información y se ve que:

No se tiene y SE necesita

No se tiene y NO se necesita

b) Se tiene la información pero:

No se usa

Es incompleta

No está actualizada

No es la adecuada

c) Se usa, esta actualizada, es la adecuada y está completa

a1) En el caso de que no se disponga de la información y se considere que no se necesita para la AI, se debe evaluar la causa por la que no es necesaria. (este parámetro nos servirá para la planeación de la auditoria)

a2) En el caso de que no se tenga la información pero que la misma sea necesaria para la AI, se debe recomendar que se elabore de acuerdo a las necesidades y al uso que se le va a dar.

b) en el caso de que se tenga la información pero no se use, se debe analizar porque no se usa: es incompleta, no esta actualizada, no sea la adecuada, etc.

Como resultado de los trabajos preliminares se debe explicitar:

• objetivo
• alcance
• limitaciones y colaboración necesarias
• grado de responsabilidad
• Informes que se entregaran

1. Fases de la Auditoría Informática

1. TOMA DE CONTACTO
2. PLANIFICACION DE LA OPERACION
3. DESARROLLO DE LA AUDITORIA
4. FASE DE DIAGNOSTICO
5. PRESENTACION DE LAS CONCLUSIONES
6. FORMULACION DEL PLAN DE MEJORAS

1. Esta fase tendrá mucho mas sentido si el equipo auditor es externo a la organización, ya que en ella se recaba toda la información preliminar. Estudio preliminar y determinación de alcances.

   Es en definitiva una larga lista de elementos que permiten al auditor conocer la organización donde se ubicará para efectuar su trabajo.

2. Toma de Contacto

   En esta etapa se deberán establecer:

   – Definitivamente el objetivo de la AI

   – Las áreas a cubrir

   – Personas de la Organización que habrán de colaborar y en que momentos de la auditoria

   – Plan de trabajo:

   – tareas

   – calendario

   – resultados parciales

   – presupuesto

   – equipo auditor necesario

3. Planificación de la Operación
4. Desarrollo de la Auditoria Informática

Es el momento de ejecutar las tareas que se enunciaron en la fase anterior. Es esta una fase de observación, de recolección de datos, situaciones, deficiencias, en resumen un período en el que:

• se efectuarán las entrevistas previstas en la fase de planificación.
• se completarán todos los cuestionarios que presente el auditor
• se observarán las situaciones deficientes, no solo las aparentes, sino las que hasta ahora no hayan sido detectadas, para lo que se podrá llegar a simular situaciones límites.
• se observarán los procedimientos, tanto los informáticos como los de usuarios.
• se ejecutarán por lo tanto, todas las previsiones efectuadas en la etapa anterior con el objeto de llegar a la siguiente etapa en condiciones de diagnosticar la situación encontrada.

1. Fase de Diagnóstico

2. Cuando ya se hayan efectuado todas los estudios y revisiones, se debe elaborar el diagnóstico. Como resultados de esta etapa han de quedar claramente definidos los puntos débiles, y por contrapunto los fuertes, los riesgos eventuales, y en primera instancia los posibles tipos de solución o mejoras de los problemas planteados.

   Estas conclusiones se discutirán con las personas afectadas por lo que serán suficientemente argumentadas y probadas.

   Es un momento delicado en el trato con las áreas, los auditores deben presentar estas conclusiones como un plan de mejoras en beneficio de todos, en lugar de una reprobación de los afectados, salvo en el caso de que esto sea estrictamente necesario.

3. Presentación de las Conclusiones
4. Formulación del Plan de Mejoras

Llegados a este último punto, la dirección conoce ya las deficiencias que el equipo auditor ha observado en su departamento informático, éstas han sido discutidas. Mas no basta con quedarse ahí, ahora es cuando los auditores han de demostrar su experiencia en situaciones anteriores lo suficientemente contrastadas y exitosas y ser capaces de adjuntar, al informe de auditoría, el plan de mejoras que permitirá solventar las deficiencias encontradas.

El plan de mejoras abarcará todas las recomendaciones derivadas de las deficiencias detectadas en la realización de la auditoria. Para ello se tendrán en cuenta los recursos disponibles, o al menos potencialmente disponibles, por parte de la Empresa objeto de la Auditoria.

Entre las primeras se incluirán aquellas mejoras puntuales y de fácil realización como son las mejoras en plazo, calidad, planificación o formación. Las medidas de mediano plazo necesitaran de uno a dos años para poderse concretar. Aquí pues caben mejoras más profundas y con mayor necesidad de recursos, como la optimización de programas, o de la documentación, e incluso de algunos aspectos de diseño de los sistemas.

Para finalizar, las consideraciones a largo plazo, pueden llevar cambios sustanciales en las políticas, medios o incluso estructuras del servicio de informática. Estas mejoras pueden pasar por la reconsideración de los sistemas en uso o de los medios, humanos y materiales, conque se cuenta, llegando si es preciso a una seria reconsideración del plan informático.

ALGUNAS RECOMENDACIONES A TENER EN CUENTA:

1- No hacer juicios sin la suficiente fundamentación

2- Cuidar los aspectos de imagen, presentación y protocolo

3- No adelantar resultados parciales que pueden distorsionar el resultado final

4- Las entrevistas iniciales son un aspecto muy a cuidar. Hay que prepararlas muy bien para que surtan el efecto que de ellas se espera.

5- En todo momento, por cordiales que resulten las relaciones con los auditados, no perder de vista el papel de consultores experimentados que han de tener los auditores informáticos.

6- Exponer la idea que los resultados de la auditoria no harán más que intentar mejorar, a todos los efectos, el servicio de informática con el beneficio que ello supondría para todos los implicados en el área.

7- Exponer la idea que al final de la auditoria no se trata de castigar a nadie. El objetivo fundamental es el de encontrar deficiencias y corregirlas.

8- Estudiar hechos y no opiniones. (no se toman en cuenta rumores ni información sin fundamento)

9- Investigar las causas, no los efectos.

10- Atender razones, no excusas.

11- Criticar objetivamente y a fondo todos los informes y los datos recabados.

1. PLANIFICACIÓN: Donde se pasa revista a las distintas fases de la planificación.

   ORGANIZACIÓN Y ADMINISTRACIÓN: en este punto se examinaran aspectos como las relaciones con los usuarios, con los proveedores, asignación de recursos, procedimientos, etc.

   DESARROLLO DE SISTEMAS: área importante donde la auditoría deberá velar por la adecuación de la informática a las necesidades reales de la Empresa.

   EXPLOTACIÓN: aquí se analizarán los procedimientos de operación y explotación en el centro de proceso de datos.

   ENTORNO DE HARDWARE: donde se vigilará entre otras cosas los locales, el software de acceso, alarmas, sistemas anti-incendios, protección de los sistemas, fiabilidad del Hardware, etc.

   ENTORNO DEL SOFTWARE: en esta área la Auditoria Informática analizará los sistemas de prevención y detección de fraudes, los exámenes a aplicaciones concretas, los controles a establecer, en definitiva, todo lo relacionado con la fiabilidad, integridad y seguridad del software.

   1. Planificación
   2. 1. Objetivos

2. Clasificación por Áreas de Aplicación de la Auditoria Informática

• Determinar que planes del proceso de datos están coordinados con los planes generales de la organización.
• Revisar planes de informática y determinar su idoneidad.
• Contrastar el plan con su realización
• Determinar el grado de participación y responsabilidad de directivos y usuarios en la planificación.
• Participar incluso en el proceso de la planificación
• Revisar los planes de desarrollo de software de aplicaciones.

El auditor informático centrará especialmente su atención en:

1. El sistema de información
2. La planificación del desarrollo
3. La planificación de proyectos
4. La definición y distribución de la cartera de aplicaciones.

1. Riesgos de una planificación inadecuada

• Información redundante
• Difícil coordinación de equipos de trabajo
• Desarrollo de aplicaciones inconexas.

1. Organización y Administración

2. Establece una serie de revisiones y comparaciones tendientes a emitir un juicio sobre la administración y organización del departamento de procesamiento.

   1. Objetivos

• Revisión del organigrama y dependencias funcionales
• Verificar estándares de documentación
• Revisar la política de personal.
• Evaluar distribución de funciones
• Análisis de la departamentalización utilizada

La información nos servirá para determinar:

• Si las responsabilidades de la organización definidas adecuadamente
• Si la estructura organizacional esta adecuada a las necesidades
• Control organizacional adecuado
• Existencia de objetivos y políticas adecuadas
• Documentación de las actividades
• Análisis y descripción de puestos
• Si los planes de trabajo concuerdan con los objetivos de la empresa.

Un caso particular de la Auditoria de la organización y administración es la auditoria de los Procedimientos.

1. Esta orientada a asegurar que existe suficiente protección: control interno, separación de funciones, seguridad y fiabilidad del sistema, continuidad y seguridad en los procedimientos en las distintas áreas:

   1. Área de control o Producción
2. Auditoria de los procedimientos

• Comprobar la calidad de los trabajos entregados.
• Establecer separación de funciones
• Mantener registro de la recolección de datos de control
• Mantener verificación total e independiente de las actividades mecanizadas, comprobar la exactitud del proceso.
• Existencia de manuales actualizados que especifican los procedimientos de control.

1. Área de ingreso de datos (ingreso de información Online)

• Registro adecuado de trabajos, fallos, problemas y acciones que se adopten frente a los errores.
• Control eficaz de los procedimientos y manutención de la integridad de los trabajos.
• Procedimientos de verificación independientes de la preparación inicial de los datos.

1. Cintoteca

• Adecuado lugar de almacenamiento
• Existencia de medidas de protección de archivos a largo plazo.
• Registro actualizado, completo y oportuno de los movimientos de archivos.
• Cumplimiento de normas y procedimientos
• Procedimientos para una manipulación adecuada, almacenamiento seguro y uso automatizado de soportes magnéticos.

1. Implementaciones

• Registro de streams (jobs)
• Existencia de jobs para reprocesos y recuperación de sistemas.
• Existencia de estándares, instrucciones y manuales adecuados que gobiernen la preparación de los jobs.

1. Mantenimiento de programas

• Existencia de una metodología de control de cambios. Incluye los métodos para solicitar y autorizar modificaciones.
• Existencia de registro de las modificaciones.

1. Seguridad de los programas y bibliotecas de programas.

• Que el contenido de las bibliotecas de programas esté respaldado por eficientes normas de seguridad.
• Documentación adecuada.
• Programas en desarrollo separado de los productivos.

1. Carga de maquina

• Existencia de estándares, procedimientos, instrucciones y manuales adecuados que cubran todas las posibilidades de procesos que se puedan suscitar.
• Observar procedimientos
• Mantener registros adecuados
• Trabajos debidamente autorizados.

1. Planificación

• Análisis de la planificación de las tareas
• Existencia de estándares, procedimientos e instrucciones relativas a la planificación del los trabajos.

1. Operadores del computador

• Existencia de estándares operativos adecuados (generales y específicos) de cada sistema de aplicación. Deberán establecerse procedimientos y métodos de operación seguros.
• Estándares documentados y a disposición del operador
• Cubrir las medidas de operación, los casos de contingencia
• Observar si la jefatura realiza inspecciones periódicas controlando procedimientos de autorización, trabajos realizados vs planificados, cumplimiento de normas, etc.
• Verificar que el operador no pueda modificar datos de entrada.

1. Dirección de proyectos.

• Verificar si el líder de proyecto controla eficazmente las normas de desarrollo, diseño, programación, documentación, pruebas e implantación de los sistemas.
• Verificar si se ha establecido un grupo de gestión a nivel de diseño.
• Verificar si el personal de desarrollo no tiene acceso a datos operativos.
• Documentación adecuada de todos los trabajos.

1. Programador

• Existencia de supervisión eficaz, con control sobre la calidad de los trabajos (cumplimiento de normas de programación)
• Prueba de los sistemas, documentadas y sin datos reales.
• Existencia de programas en librerías de desarrollo y su envío a producción cuenta con la autorización necesaria.
• Trabajos de mantenimiento controlados y debidamente documentados y autorizados.

1. Sección de despacho

• Existencia de estándares y procedimientos adecuados para el despacho de trabajos y su prioridad.
• Existencia de procedimientos para manejar información confidencial.
• Existencia de registro de errores y problemas
• Existencia de impresos controlados en manos de personas no autorizadas o manipuladas incorrectamente.
• Existencia de métodos de destrucción de impresos caducados y asegurarse de que no se corren riesgos innecesarios.

1. Biblioteca de documentación (sí existiera)

• Responsabilidad de las personas para que las modificaciones de software o sistemas sean depositadas (sus copias) en la biblioteca.
• Existencia de encargados de mantener registro, seguridad de documentos, actualización de copias y autorización la salida de documentos.

1. Equipo de backup

• Determinar los distintos niveles de fallos del sistema y equipos asociados. Deberán establecerse las necesidades mínimas del usuario para cada nivel y duración de la avería.
• Existencia de un análisis de riesgos, posibles perdidas o efectos, disponiendo de la cobertura de seguros.

1. Seguridad de archivos y datos.

• Existencia de estándares y procedimientos para el almacenamiento y protección de los datos.
• Existencia de condiciones y tiempos de retención de documentos y archivos de las aplicaciones.

1. Control de teleproceso

• Examinar el registro de control de teleproceso
• Probar la seguridad del sistema y procesos de teleproceso.
• Inspeccionar algunos procesos de entrada y analizar la eficacia del control.