AUDITORIA DE SISTEMAS CON ENFOQUE EN PROCESOS (SUSTANTIVOS Y DE APOYO) RIESGOS Y CONTROLES

Tamaño: px
Comenzar la demostración a partir de la página:

Download "AUDITORIA DE SISTEMAS CON ENFOQUE EN PROCESOS (SUSTANTIVOS Y DE APOYO) RIESGOS Y CONTROLES"

Transcripción

1 AUDITORIA DE SISTEMAS CON ENFOQUE EN PROCESOS (SUSTANTIVOS Y DE APOYO) RIESGOS Y CONTROLES Área V: Administración y Sistemas Área v.2: Sistemas de Información y Gestión Tema: 2. Auditoría y seguridad: auditoría en ambientes computarizados Congreso Nacional de Profesionales de Ciencias Económicas, Ciudad Autónoma de Buenos Aires, 16 al 18 de junio de 2010 Código de Identificación:

2 Índice Procesos. Riesgos y Controles...3 Introducción Conceptual...3 Los Procesos...3 Los Procesos y el Auditor de Sistemas...6 Desarrollo Conceptual...8 Relevamiento y Evaluación de Cumplimiento...12 Sistemas Aplicativos...16 Introducción Conceptual...16 Los Sistemas Aplicativos...16 Desarrollo Conceptual...17 Relevamiento y Evaluación de Cumplimiento...19 Relación Procesos y Sistemas de Aplicación...21 Transacciones...22 Introducción Conceptual...22 Las transacciones...22 Desarrollo Conceptual...24 Análisis de Riesgos según la modalidad en el ingreso y según el tipo de Transacciones y volumen...26 Relación Procesos, Sistemas de Aplicación y Transacciones...28 Pruebas sustantivas...29 Desarrollo Conceptual...29 Planificación de las pruebas sustantivas...31 Procedimientos de auditoría...32 Diseño de Pruebas Sustantivas...33 Pasos para diseñar Pruebas Sustantivas...35 Conclusiones

3 Procesos. Riesgos y Controles Introducción Conceptual Los Procesos La norma internacional ISO-9001 define al proceso como una actividad que utiliza recursos, y que se gestiona con el fin de permitir que los elementos de entrada se transformen en resultados 1. En ellos se observan numerosas actividades que en realidad están interrelacionadas según una secuencia predeterminada. Estas actividades se realizan de un modo determinado en cada organización, es decir con una determinada metodología. Esa forma de realizarse cada una de esas actividades es lo que se denomina procedimiento en sí. Se dice que cuando el mismo se formaliza en algún medio esta documentado. Este conjunto de procedimientos es la base de una organización para el logro de sus objetivos. Se destaca en esa definición el concepto de resultado esperado, y en base a éste es que se deberán evaluar todos los eventos que pudieran generar (con determinada probabilidad de ocurrencia) desvíos con relación a ese resultado, es decir el objetivo del proceso en sí. De este modo, se incorpora el concepto de riesgo subyacente en cada proceso. Se focaliza por lo tanto en esos resultados esperados y en base a ellos deberá estimarse y evaluarse el riesgo. Se ha definido el control como el proceso de ejercitar una influencia directiva o restrictiva sobre las actividades de un objeto, organismo o sistema 2. Cuando se refiere a directiva apunta al modo en que deben realizarse las actividades para que produzcan un resultado deseado, y al mencionar restrictiva refiere al impedimento que esas actividades produzcan resultados no deseados. Asociando los conceptos de procesos (y procedimientos) con riesgos y controles, nos encontramos con que algunas de las actividades que componen un proceso tienen funciones puntualmente de control para mitigar el nivel de 1 ISO (2000) Norma Internacional ISO Sistemas de gestión de la calidad Requisitos - Impreso en la Secretaría Central de ISO en Ginebra, Suiza. 2 Cushing, Barry E.: Accounting Information Systems and Business Organizations. 2 da edición. Addison Wesley Publishing Company, Pág. 1 3

4 riesgo que subyace en alguna parte del proceso y que impediría obtener los resultados esperados o disminuir los beneficios de los mismos (si ocurriera alguno de los eventos que origina dicho riesgo). Este conjunto de procedimientos de control son la base sobre la que descansa una organización para el cumplimiento de los objetivos del sistema de control interno 3, a saber: Eficiencia y Eficacia de las Operaciones Cumplimiento del Marco Normativo (Leyes, Decretos y Normas vigentes y aplicables) Confiabilidad de la Información producida por su sistema de información. Para finalizar esta introducción quisiéramos mencionar una clasificación de los procesos por considerar que clarifican el enfoque que intentamos dar a lo largo de todo el escrito. Los procesos se pueden agrupar del siguiente modo: Aquellos cuyas actividades se relacionan directamente con el core (núcleo) del negocio. Son los que se denominan primarios o sustantivos. El objetivo de estos procesos se vincula de modo directo con el producto (bien o servicio) que una organización provee. El producto del proceso está orientado al cliente externo. Aquellos cuyas actividades proveen apoyo para el cumplimiento de los objetivos de los procesos referidos anteriormente. Las actividades que componen estos procesos apuntan a lograr con mayor eficiencia y eficacia las actividades sustantivas que se realizan para brindar un producto. Son los procesos que suelen denominarse de apoyo o secundarios. Apuntan al cliente interno mayoritariamente. 3 Internal Control Integrated Framework. Committee of Sponsoring Organizations of the threadway Commission. 4

5 Aquellos que se realizan para dar orientación a la organización - como unidad - en plazos de tiempo prolongados. Definen los aspectos mas generales de una organización como la misión, objetivos estratégicos, planes y políticas. Son la base de los dos procesos mencionados anteriormente y les condicionan fuertemente. Son los denominados de gestión aunque preferimos denominarles procesos de orientación estratégica. Se incluyen en esta clase también aquellos que se vinculan directamente con el Área de Sistemas y TI que tienen fines de orientación estratégicamente obviamente. Ejemplo El Dr. Leopoldo Caller trabaja en el área de Recaudación Tributaria de un organismo. Es especialista en todo lo referido a Administración Tributaria. Necesita una PC para trabajar. Y con determinados programas instalados. Necesita un acceso a la red corporativa y a un servidor de archivos donde almacena toda la información de su gestión. A un servidor de aplicaciones donde están las aplicaciones que alguien desarrollo para que realice sus actividades. Y que alguien mantiene cuando Leopoldo requiere alguna modificación por alguna nueva ley o cambio en la normativa aplicable. Esta aplicación almacena información de la cual él es propietario y que no puede perder. También tiene que tener certeza que solo el puede acceder o en todo caso, a quien el designe. Necesita una impresora en su estación de trabajo para imprimir listados de cuentas corrientes de los contribuyentes o acceso a un servidor de impresión donde podrá localizar alguna de las impresoras a las cuales enviar su solicitud de impresión. Necesita una cuenta de correo electrónico. Leopoldo necesita poder realizar sus operaciones de modo eficiente y eficaz. Este proceso primario ( Recaudar tributos ) necesita del apoyo de otros tipos de procesos: pero son de incumbencia del área de Sistemas y TI. Algunos de éstos de apoyo pero no todos - procesos podrían ser 5

6 Administrar los Bienes Informáticos: le brinda la PC con todos los componentes, incluyendo lo intangible: licencias de software, Administrar antivirus: le asegura que ningún antivirus este desactualizado y por ende funcione eficazmente ante cualquier ataque malintencionado, Atender requerimientos de Hardware del usuario: le asegura que personal de soporte especializado pueda instalarle y configurarle de modo correcta una impresora, Administrar los usuarios: le asegura que tendrá una cuenta de usuario y serán protegidos todos los recursos del cual es propietario este usuario, Existirán mecanismos eficaces para autenticar a este usuario, y por ende asegurarle que no cualquiera puede acceder con su cuenta de usuario y realizar actividades no permitidas., Administrar los resguardos y la recuperación de la información crítica: le aseguraran que ante cualquier evento contingente su información podrá ser recuperada. En tiempo. Y en forma, Desarrollar y Mantener Aplicaciones. Existen procesos. Pero también existen servicios brindados por el área de Sistemas Informáticos. Nosotros adherimos al enfoque propuesto por las normas ISO (Requisitos) e ISO Códigos de Práctica 4 cuando promueven la adopción de un enfoque hacia procesos integrados y cuyo fin es prestar eficazmente servicios gestionados a fin de cumplir con los requerimientos de las empresas y de los clientes. Los Procesos y el Auditor de Sistemas El ciclo de Edward Deming Plan, Do, Check, Act aplica en su totalidad para reflejar las actividades que realiza el auditor de sistemas. Es decir: 1) Planificación de sus actividades basado en un enfoque de procesos con sus respectivos riesgos. El evento disparador será el acuerdo de 4 Information Technology Service Management Part 1: Specification. Part 2. Code of practice. ISO IEC

7 realización de actividades de auditoria en una fecha pautada para inicio de las actividades. El input para este proceso es el análisis que el auditor realice de los procesos sustantivos y de apoyo y los riesgos estimados. Además de por supuesto todo otro conocimiento que obtenga del ente (estructura, sector industrial, tamaño, marco normativo aplicable, etc.). En esta instancia se definen los objetivos y el alcance de la auditoria. Y también se explicitan los procedimientos que habrán de ser utilizados. El output es un documento donde se comunica a los máximos directivos de la organización auditada las actividades que han de ser llevadas a cabo en un plazo de tiempo determinado y acordado previamente. Se incluye el plan detallado de trabajo. 2) Ejecutar las actividades focalizando en los procesos mas críticos para la organización auditada, es decir aquellos vitales para el desempeño normal de la operatoria. Algunos de los procedimientos (como se explicará posteriormente) tienen fines de control mientras que otros serán operativos. En esta instancia, se realizan las actividades de relevamiento y evaluación de cumplimiento de esos procedimientos de control. El objetivo es emitir una opinión sobre cuan razonablemente mitigan los riesgos a los cuales está expuesto el proceso. La naturaleza, oportunidad y alcance de sus procedimientos dependerán del análisis de riesgos de los procesos sustantivos que hubiera realizado previamente, y más puntualmente en aquellas actividades críticas del proceso. El input es el plan de auditoria y los recursos necesarios para cumplir con los objetivos de la auditoria. El output es el conjunto de elementos de prueba válidos y suficientes que permiten respaldar la opinión del auditor de sistemas. El informe de auditoria de sistemas (con las observaciones y recomendaciones) es otro de los outputs y el que se constituye en el producto final principal de todo el proceso de auditoria visto integralmente. 3) Controlar lo planificado vs. Lo realizado. El output del primero de los procesos y el detalle de las actividades realizadas con sus resultados generarán el input para este proceso. El resultado será un informe de control de auditoría con la explicitación de los desvíos, constituyéndose en el output. 7

8 4) Mejora continúa de los propios procesos de auditoría y respectivas actividades (procedimientos). El input de este proceso lo constituye todo el análisis realizado en el proceso anterior y la transformación consiste en el propio rediseño de actividades que permitan incrementar la efectividad. El output lo constituye el rediseño de los propios procesos de auditoría. Sintetizando y desde una perspectiva integral, el auditor debe abordar el conocimiento y dominio de todos los procesos con las actividades de control incorporadas a los mismos; como así también las responsabilidades de quienes intervienen y roles, las acciones o eventos que disparan el inicio de cada proceso como los que lo finalizan, y todas las excepciones que se pudieran observar y debieran por ende considerar. Si puede de ese modo comprender la secuencia de actividades que componen cada proceso, con aquellas actividades que tienen funciones de control, le permitirá en primer lugar planificar sus actividades basadas en un enfoque de procesos y riesgos, ejecutar (hacer) de modo correcto sus actividades de auditoría a través de la prueba de los controles y realizar las observaciones y recomendaciones adecuadas y pertinentes. De este modo, se generará un proceso de mejora continua donde el auditor contribuye a través de sus observaciones y recomendaciones a todo el proceso integral, involucrando a varias áreas (tanto del área de Sistemas Informáticos como generales, como se explicará a continuación) de la organización auditada. E incluyendo sus propios procesos. Desarrollo Conceptual A modo de ejemplo de un modo sintetizado y bajo un enfoque tradicional 5, el auditor de sistemas realiza las siguientes actividades: 5 Se basa en el procedimiento del Auditor reglado en la Resolución Técnica Nro. 7 FACPCE (la Federación Argentina de Consejos Profesionales de Ciencias Económicas )y Internal Control Integrated Framework. Committee of Sponsoring Organizations of the threadway Commission. 8

9 I. Conocimiento del Ente (Estructura y Operaciones). Estimación de Riesgos. Planificación, definición de objetivos y alcance de la Auditoria de Sistemas. II. Relevamiento y Evaluación de todos los Controles Generales del Área de Sistemas y TI. III. Relevamiento y Evaluación de todos los sistemas Aplicativos implementados en las diversas áreas (agrupadas funcionalmente) de la organización auditada. Es decir, desde una perspectiva funcional vertical. IV. Evaluaciones Sustantivas de los Datos según criterios de criticidad y sensibilidad, significación económica. V. Control de lo ejecutado. Análisis de Evidencias. VI. Emisión de Opinión. Informes Preliminares y Especiales finales (incluyendo el descargo del auditado). El enfoque que deseamos dar se realiza desde una perspectiva transversal de las actividades y no ya desde una visión funcional de las actividades que se desarrollan en cada área de la organización auditada (la visión funcional vertical). Como se mencionó anteriormente, los procesos se clasifican en 1) Primarios o Sustantivos 2) De Apoyo o Secundarios 3) De Orientación Estratégica o de conducción El auditor inicia sus actividades solicitando y procediendo al análisis del mapa de procesos de la organización y del área de Sistemas y TI. Así también el análisis de la matriz de procesos y áreas (donde podrá visualizar rápidamente la participación de las áreas en cada uno de los procesos). Luego, debería estimar el riesgo inherente a cada uno de estos procesos y construir su matriz de riesgos. Una vez realizadas estas actividades, podrá proceder a la planificación de sus actividades de auditoria dado que ya tiene conocimiento de las áreas de riesgos mayores en las cuales reforzar sus pruebas. Entonces, retomando el enfoque de auditoría por procesos, el auditor de sistemas focalizará su conocimiento inicial del siguiente modo: 9

10 1) Procesos Primarios o Sustantivos. Es decir, la revisión objetiva de todos los procesos de negocios que atraviesan distintas áreas funcionales y por donde fluye información y/o bienes. Todo lo referido a éstos procesos del negocio (Por ejemplo el otorgamiento de un préstamo de consumo o de una tarjeta de crédito por parte de una organización) que pudieran ser soportados por las tecnologías de información y mas concretamente por sistemas de aplicación deben ser objeto de examen por el auditor de sistemas, dado que algunos de éstos procesos tienen áreas de riesgos mayores y por lo tanto deberán relevarse (localizarse) y evaluarse los niveles de riesgos y los controles implantados dentro los aplicativos que les soportan. En este caso especial el auditor de sistemas deberá tomar un conocimiento preliminar (como modo de relevamiento) de los procesos de negocios, de los flujos de información entre cada subproceso, quienes son sus propietarios, evaluar la criticidad de los mismos y focalizar su atención en aquellos con mayores niveles de riesgo. Toda esta información podrá obtenerse del inventario tecnológico de la organización auditada si lo tuviera y estuviere actualizado. A partir de este conocimiento del proceso de inicio a fin, continuará analizando cuales componentes del sistema deberán ser objeto de revisión. Merece la aclaración que aquellos procedimientos de control que no estuvieran automatizados o soportados por alguna aplicación pero que integran el sistema de información también están alcanzados por las revisiones. 2) Procesos de Apoyo o Secundarios. Nos encontramos con procesos compuestos por todas aquellas actividades que se realizan en el área de Sistema que poseen cortes de control y que insertos en dichos procesos también existen determinadas actividades que tienen funciones de control que han de ser relevadas y evaluadas por el auditor de sistemas. En este caso nos referimos a los procesos del área de Sistemas y TI. Muchos de estos objetivos de control están especificados por leyes, resoluciones, normas y decretos y son mandatarios en cuanto su existencia. Como sostiene el Reporte Coso, la existencia de los mismos tiene su razón de ser en el cumplimiento del marco normativo por parte de la organización auditada. 10

11 Estos procesos dan soporte a los procesos primarios y en consecuencia también deben ser verificados por el auditor en cuanto la efectividad de los controles insertos en cada parte del proceso integral. Siguiendo el enfoque de Cobit 4.0 6, los procesos de TI serían los siguientes: Planear y Organizar Adquirir e Implementar Entregar y Dar Soporte Monitorear y Evaluar Es importante volver a resaltar que el área de Sistemas y TI brindan servicios fundamentalmente a las áreas para que puedan realizar sus actividades sustantivas y para ello diseñan sus procesos de modo que sus operaciones se realicen de modo eficiente y eficaz. Y por supuesto aportando sus activos. La norma española MAGERIT 7 en Metodología de Análisis y Gestión de Riesgos en Sistemas de Información detalla cuales son los activos que componen un sistema información y que consideramos importante tener presente. A saber: 1) Datos (Información) 2) Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan para poder gestionar dichos datos. 3) Las aplicaciones informáticas (software) que permiten manejar los datos. 4) Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y servicios. 5) Los soportes de información que son dispositivos de almacenamiento de datos. 6) El equipamiento auxiliar que complementa el material informático. 7) Las redes de comunicaciones que permiten intercambiar datos. 8) Las instalaciones que acogen equipos informáticos y de comunicaciones. 6 Cobit 4.0 IT Governance Institute. ISBN MAGERIT Metodología de Análisis y Gestión de Riesgos de IT. Ministerio de Administraciones Públicas. 11

12 9) Las personas que explotan u operan todos los elementos anteriormente citados. 3) Procesos de Orientación Estratégica, de conducción o Gestión: Interesan a los fines de la auditoría de sistemas aquellas actividades referidas a la planificación de los procesos y actividades dentro del área de Sistemas y TI y la organización que se realiza para el cumplimiento de los objetivos definidos. En esta instancia, se relevarán los siguientes objetivos de control: Existencia de Plan Estratégico, con listado de proyectos con un horizonte de planeamiento de 4/5 años. El mismo debe estar en consonancia con el Plan Estratégico Organizacional. Debe estar actualizado. Debe contemplar el presupuesto. Existencia de un Plan Operativo Anual. El mismo debe estar en consonancia con el Plan Estratégico de Sistemas y TI. Debe contemplar proyectos, responsabilidades, plazos de cumplimiento y revisión, costos. Planificación y Organización de los servicios, procesos y procedimientos del área de Sistema y su estructuración (delimitación precisa de posiciones y funciones, separación de funciones por oposición de intereses, contemplar que no se sobre asignen funciones en un mismo puesto). Relevamiento y Evaluación de Cumplimiento El auditor de sistemas deberá por lo tanto relevar tanto los procesos de negocios de la organización auditada, es decir los procesos sustantivos, como así también todos los procesos existentes en el área de Sistemas y TI (apoyo y de orientación estratégica) y respecto los de apoyo focalizar sus esfuerzos en aquellos considerados críticos. Una vez tomado este conocimiento inicial continuará con el relevamiento de todos aquellos eventos que puedan afectar negativamente el cumplimiento del fin del proceso relevado y luego analizar y evaluar las actividades de control que existan y su nivel de efectividad en ese momento. Según sea el tratamiento observado realizará sus recomendaciones, 12

13 siempre teniendo en cuenta que deberá evaluar si el nivel de riesgo residual (en caso de existencia de controles implantados) es menor o igual que el que debiera haber sido aceptado como dispuesto a tolerar por los máximos niveles jerárquicos. Se deduce lógicamente que si fuese mayor, debiera el auditor emitir una recomendación para que se tomen las acciones preventivas o correctivas pertinentes. El auditor inicia sus actividades de relevamiento de información utilizando algunas técnicas que son pertinentes a los fines de esta primera parte de sus procedimientos de auditoria: Encuestas (con cuestionarios cerrados y abiertos). Entrevistas Análisis de Documentación de Procesos, incluyendo toda la documentación asociada a cada uno de los procedimientos involucrados Se incluye la lectura que da marco referencial y normativo a los procesos como por ejemplo, Planes, Políticas y Manuales de Normas y procedimientos, Manual de Misiones y Funciones, Leyes y Decretos aplicables. Uno de los elementos documentales fundamentales es el proceso propiamente dicho documentado, de donde se analizará entre otros aspectos los siguientes: o Narrativa de los procesos, con las actividades que se realizan en cada uno de ellos, focalizando en las actividades de control; como así también tomando un conocimiento de quienes son los responsables y los roles que intervienen en cada actividad. Análisis de las situaciones excepcionales. Esto inicialmente puede ser logrado entrevistando a los niveles gerenciales quienes darán una narrativa con un nivel de detalle general de cada proceso. Y luego bajar en el nivel de detalle. o Diagramas de Flujos de Procesos (cursogramas), donde gráficamente puede tener una noción sobre todos los procesos, las interrelaciones, los puntos de control, los 13

14 mecanismos de entrada y salida, medios de almacenamiento, operaciones manuales y automatizadas, etc. Observación Directa de las actividades. La primera parte de las actividades se centra en la recopilación de información sobre la documentación de los procesos y el grado de actualización de los elementos documentales. Si se encuentra debidamente aprobado por todos los responsables (incluyendo los máximos responsables de la organización en cuanto nivel jerárquico) y versionado. Si se encuentra correctamente comunicado. Se focaliza tanto en la forma como en el contenido del documento. El auditor podrá realizar las recomendaciones que considere pertinentes según las buenas prácticas pero debe tenerse en mente que la documentación puede no reflejar el estado real de las actividades de control, que en la realidad (que lo verificara en una instancia posterior) se estén realizando correctamente, sean efectivas pero no haya sido actualizada la documentación. Sintetizando entonces, desde lo general, se debe relevar la existencia de un mapa de todos los procesos y la relación de cada uno de los procesos con los sectores implicados. Desde lo particular, cada proceso documentado debe contemplar mínimamente los siguientes aspectos: Datos Generales Nombre del Proceso. Objetivos y Alcance del Proceso. Responsable Operativo. Roles en el proceso. Marco Normativo cuyo cumplimiento es mandatario; entre ellos las políticas a las cuales debe estar alineado o en consonancia. Eventos o Acciones Disparadoras (punto de inicio del proceso) Narrativa del Proceso: Áreas que intervienen con las actividades de control. Secuencia de Actividades e interfaz entre actividades. Acciones o Eventos Finales (punto de finalización del proceso) Documentos Relacionados. Por ejemplo la referencia a los procedimientos documentados que aplican en cada una de sus 14

15 actividades. Estos tendrán un mayor nivel de detalle en cuanto como se realiza cada operación, documentos y registros que se utilizan, etc. Sistemas de Aplicación Involucrados. Diagramas de Procesos (cursogramas) con las actividades que tienen finalidad de control. Tomado conocimiento de las actividades de control y recolectado los elementos de pruebas válidos, pertinentes y suficientes, el auditor continúa con la comprobación que la información recopilada con relación a los controles que intervienen en cada proceso funciona como lo define la documentación. Estamos entonces en una etapa de pruebas de cumplimiento. Las técnicas para evaluar cumplimiento que puede utilizar el auditor a su criterio son: Realizando una prueba integral de cada proceso, de inicio a fin. Es aconsejable que se obtenga la autorización correspondiente y tomar todas las medidas pertinentes para que la prueba del auditor no afecte la operatoria normal de la organización. El auditor verificará el funcionamiento de todos los controles (políticas y procedimientos). Observando como se ejecuta un proceso (inspección visual) y recopilando evidencias válidas, pertinentes y suficientes. El auditor también puede analizar como se ha ejecutado un proceso en el pasado y emitir un juicio sobre el funcionamiento de los controles o puede realizar visitas de modo sorpresivo (lo aconsejable) o con aviso previo en una fecha actual y observar como ejecuta cada actividad el responsable. Entrevistas con todos los responsables para obtener una explicación de cómo realizan sus actividades y obtener evidencias de formularios y documentos en general que se utilicen en cada actividad del proceso. Independientemente del modo en que evalúe la efectividad de los controles el auditor se debe asegurar que su intervención sea influenciada en el menor grado posible por los responsables o involucrados en el proceso. Es esperable 15

16 que una persona que sabe que esta siendo observada y evaluada realizará sus actividades como cada uno de los procedimientos especifica. A continuación analizaremos como es el tratamiento de los procesos para con aquellas actividades que son realizadas con ayuda de soluciones tecnológicas. Sistemas Aplicativos Introducción Conceptual Los Sistemas Aplicativos Las aplicaciones pueden ser: Sistemas Integrados (de todos los módulos) y desarrollados por la organización auditada. Las interfaces son entre módulos del mismo sistema. El mantenimiento puede ser realizado internamente o por proveedor externo. Sistemas Integrados (de todos los módulos) y desarrollados externamente (personal ajeno a la organización auditada). Las interfaces son también entre módulos del mismo sistema. El mantenimiento puede ser realizado internamente o por proveedor externo. Varios Sistemas desarrollados con fines determinados, con o sin interrelación entre sí. En el caso de que exista interrelación cobra relevancia la interfaz entre los mismos (por ejemplo el intercambio de datos a través de web services ). Pueden ser mantenidos internamente o por proveedor externo. Con seguridad administrada desde cada aplicación o integrada. Sistemas Enlatados o Paquetes, sin customización para la organización auditada. Puede ser considerado software de terceros por ser la propiedad de los fuentes de una organización distinta a la auditada. Aplicativos utilitarios o paquetes ofimáticas (para las funciones de sistemas como para los empleados para la realización de funciones cotidianas). Una aclaración y a modo de ejemplo, un procesador de texto lo consideramos un utilitario de éste último tipo y un aplicativo como el 16

17 toad (administración de bases de datos) un aplicativo utilizado en el área de Sistemas. Pueden ser incluidos también dentro de la categoría software de terceros. Aplicativos que no aportan valor tanto para los procesos primarios, secundarios o de orientación estratégica y que de hecho hasta pueden atentar contra políticas organizacionales. Por ejemplo, el kazaa o emule utilizados por lo general para descargar archivos ilegales (software propietario y no gratuito) desde internet. Los aplicativos constituyen uno de los aspectos principales que han de ser verificados de modo objetivo y crítico por el auditor de sistemas. Estos pueden soportar cualquiera de los tres tipos de procesos pero se priorizará el análisis de los sistemas que apoyen los procesos sustantivos, es decir los procesos del negocio. Desarrollo Conceptual Las aplicaciones con los controles existentes en cada uno de los sub módulos que se relatan a continuación tienen absoluta relevancia dentro de cada uno de los procesos primarios. Como sostiene el Reporte COSO el funcionamiento de los controles de aplicación es más eficaz cuando descansan o se ejecutan en un entorno de controles generales fuerte y donde los riesgos se encuentran tratados de modo razonable. En nuestro trabajo focalizaremos en la consideración de aquellos sistemas aplicativos involucrados en los procesos sustantivos. A los fines del análisis dentro estos sistemas aplicativos existirán distintos subsistemas con sus controles que han de ser relevados y evaluados por el auditor, a saber: Controles en la documentación de los sistemas Controles en el Ingreso de datos y para la salida de información del sistema 17

18 Controles en interfaces de módulos del mismo sistema o de distintos sistemas (se incluyen los denominados Web Services para el intercambio de datos y consultas). Controles implantados para la administración de la seguridad lógica a nivel aplicativo Controles para el procesamiento de los datos Los aplicativos interactúan con las bases de datos a la cual realizan peticiones de conexión con el fin de realizar determinadas operaciones con los datos almacenados como una lectura, modificaciones o eliminaciones. Sin embargo el auditor debe tener en cuenta a la hora de sus verificaciones que también hay lógica a nivel base de datos. Es muy frecuente que se invoquen determinados procedimientos (los denominados Stored procedures ) que ejecutan determinadas operaciones. En otros casos el sistema de administración de base de datos es quien realiza determinadas operaciones como por ejemplo el registro de actividades por parte de determinados usuarios cuando por medio de un disparador o triggers actualiza una o varias tablas ante la ocurrencia de algún evento (por ejemplo, la modificación de un dato sensible en una tabla o el alta de un nuevo registro genera el alta en otra tabla que tiene fines de control posterior). Es común que los denominados logs de auditoria se generen bajo esta modalidad última. Dada entonces esta situación los controles que han de ser verificados ya no son únicamente los que están implantados a modo de rutinas en el sistema aplicativo sino también en la base de datos a modo de procedimientos almacenados y/o de triggers (que también son procedimientos complejos). Por lo tanto, también deberán ser punto de atención por parte del auditor, y entre otros, los siguientes controles: Controles en Procedimientos Almacenados en Bases de datos Controles implementados a través de Disparadores para asegurar que cumplen correctamente con su cometido ante la ocurrencia del evento disparador. 18

19 Controles que aseguren la integridad de los datos (cuando ya no por parte de rutinas en el aplicativo sino por parte del Sistema de Administración de la base de datos) a nivel entidad, referencial, etc. Relevamiento y Evaluación de Cumplimiento Cuando el auditor de sistemas realizó inicialmente el relevamiento de los procesos recabó la información sobre el catalogo de aplicaciones que estaban involucradas en cada uno de los procesos. En esta segunda instancia de sus actividades inicia la recopilación de información mas detallada de las aplicaciones y los controles que interesa verificar en cuanto efectividad. Para ésta última actividad facilitaría su tarea si existieran en la organización auditada cursogramas de donde pueda identificar rápidamente donde se localizan éstas actividades de control. Si no existiera un diagrama de éste tipo, deberá recurrir a otros elementos documentales que citaremos posteriormente. El auditor de sistemas debiera solicitar mínimamente los siguientes documentos: Manuales del Sistema: Técnicos, de Administración, Funcionales y de Usuario. Permitirá verificar tanto la documentación en sí como tomar conocimiento de la aplicación a verificar en cuanto el diseño y funcionamiento de sus controles (ingreso de datos, procesamiento, salida de datos, almacenamiento, etc.) Todo elemento documentado en la etapa de Análisis, como requerimientos formales, casos de uso, etc.) y de Diseño (diagramas conceptuales, lógicos y físicos, diagramas de flujo de datos, etc.) que le permita inferir los controles que debieran haber sido diseñados e implementados. Todo registro de pruebas realizadas tanto por el área de Testing de Aplicaciones como del usuario final al momento de aceptación del desarrollo, mantenimiento o paquete. 19

20 Informes de Auditoria pasados cuyo alcance sean los aplicativos a revisar: ello permitirá tener una noción de controles que ya hubieran sido revisados y no hubieran sido satisfactorias las pruebas y debieran haber sido mejorados. Entrevistas con usuarios claves y finales. Documentación donde se reflejen las reglas de negocios. Reportes, reclamos, quejas y sugerencias realizadas y que consten en registros o en algún sistema de incidentes si existiera. Políticas de Seguridad Lógica y toda otra documentación que permita tomar conocimiento de los controles que deben existir en cuanto la implementación en la aplicación de los mecanismos de seguridad. Cualquier otra documentación que el sentido común del auditor le dicte como pertinente a los fines de recabar información. Una vez realizada la recopilación de los elementos documentales y el análisis de todos ellos, el auditor ya estará en condiciones de pasar a la siguiente instancia en su procedimiento: la realización de las pruebas de cumplimiento. Existen aplicaciones que permiten la automatización de las pruebas pero usualmente el auditor de sistemas realiza la confección de sus casos de prueba documentando todos los valores que ha de ingresar reflejando cual es el resultado esperado. En la experiencia de quienes escriben la prueba de aplicaciones desarrolladas en lenguajes estructurados (como cobol por ejemplo) tiene menos complejidad que las aplicaciones desarrolladas en lenguajes orientados a objetos (como Visual Basic 6 o Microsoft.Net). En todo caso el auditor podrá utilizar la técnica de lote de prueba entonces donde planifica cuidadosamente todos los controles que ha de validar en cuanto su funcionamiento esperado. Otra de las técnicas usualmente utilizadas es la denominada lagging que se complementa con la de tracing. El denominado tagging consiste en la marca según determinado criterio (por ejemplo una transacción con un monto superior a uno predefinido donde se desee validar si funcionan correctamente 20

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Auditoría de Protección de Datos (LOPD 15/99)

Auditoría de Protección de Datos (LOPD 15/99) Auditoría de Protección de Datos (LOPD 15/99) www.adhec.info Plan de actuaciones Metodología 3 Proceso de adaptación a la LOPD 5 Auditoría de adaptación a la LOPD 6 Auditoría UNE-ISO/IEC 17799:2002 y certificación

Más detalles

Preparándose para una Auditoría Integrada Auditoría de TI dentro de una Auditoría Financiera Externa

Preparándose para una Auditoría Integrada Auditoría de TI dentro de una Auditoría Financiera Externa Preparándose para una Auditoría Integrada Auditoría de TI dentro de una Auditoría Financiera Externa Ing. José Luis Mauro Vera, CISA Manager Advisory CIGR A S Página 2 de 41 Expectativas de la presentación

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

Normas de Auditoría de Tecnologías de la Información y la Comunicación

Normas de Auditoría de Tecnologías de la Información y la Comunicación Normas de Auditoría de Tecnologías de la Información y la Comunicación Resolución CGE/094/2012 27 de agosto de 2012 NE/CE-017 N O R M A D E C O N T R O L E X T E R N O NORMAS DE AUDITORÍA DE TECNOLOGÍAS

Más detalles

Implantación de Sistemas

Implantación de Sistemas Implantación de Sistemas Maria Ines Parnisari 17 de Diciembre de 2014 Índice Parte 1: Implantación... 2 Factores clave para una implantación exitosa... 2 Etapas de un proyecto de Sistemas... 2 Fases de

Más detalles

Estándar para la Elaboración del Proceso Administración de Elementos de Configuración

Estándar para la Elaboración del Proceso Administración de Elementos de Configuración Seguridad del documento La clasificación de seguridad de la información de este documento, se ha establecido como bajo. Se ha creado y organizado con la expectativa de que esté a disposición de las unidades

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

CURSO : AUDITORÍA GUBERNAMENTAL Y NORMAS DE CONTROL INTERNO. Sesión 1: Plan de Auditoría Gubernamental. PROFESOR: MBA CARLOS LOYOLA ESCAJADILLO

CURSO : AUDITORÍA GUBERNAMENTAL Y NORMAS DE CONTROL INTERNO. Sesión 1: Plan de Auditoría Gubernamental. PROFESOR: MBA CARLOS LOYOLA ESCAJADILLO CURSO : AUDITORÍA GUBERNAMENTAL Y NORMAS DE CONTROL INTERNO Sesión 1: Plan de Auditoría Gubernamental. PROFESOR: MBA CARLOS LOYOLA ESCAJADILLO Lima, Noviembre de 2014 CONSTITUCIÓN POLÍTICA DEL ESTADO Artículo

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

Implantación y Aceptación del Sistema

Implantación y Aceptación del Sistema y Aceptación del Sistema 1 y Aceptación del Sistema ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 2 ACTIVIDAD IAS 1: ESTABLECIMIENTO DEL PLAN DE IMPLANTACIÓN...5 Tarea IAS 1.1: De finición del Plan de... 5 Tarea IAS

Más detalles

Diseño del Sistema de Información

Diseño del Sistema de Información Diseño del Sistema de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS...2 ACTIVIDAD DSI 1: DEFINICIÓN DE LA ARQUITECTURA DEL SISTEMA...7 Tarea DSI 1.1: Definición de Niveles de Arquitectura...9 Tarea DSI 1.2:

Más detalles

C I R C U L A R N 1.878

C I R C U L A R N 1.878 Montevideo, 2 de octubre de 2003 C I R C U L A R N 1.878 Ref: INSTITUCIONES DE INTERMEDIACIÓN FINANCIERA - NORMAS SOBRE CONSERVACIÓN Y REPRODUCCIÓN DE DOCUMENTOS. (Expediente B.C.U. N 2003/3177) - Se pone

Más detalles

DEPARTAMENTO DEL META MUNICIPIO DE PUERTO LLERAS NIT 892.099.309-2 CONTROL INTERNO INFORME SEGUIMIENTO MAPA DE RIESGOS

DEPARTAMENTO DEL META MUNICIPIO DE PUERTO LLERAS NIT 892.099.309-2 CONTROL INTERNO INFORME SEGUIMIENTO MAPA DE RIESGOS PROCESO AREA AUDITADA: MAPA DE RIESGOS DIRECTIVO RESPONSABLE: Secretaria de Planeación Responsables de los Procesos FECHA DE ELABORACION: Marzo de 2014 DESTINATARIO: Alcaldesa Secretarios de Despacho ASPECTOS

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE AUDITORÍA INTERNA Versión 05 Diciembre 2008 INDICE Introducción...

Más detalles

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación.

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. TEMA ÍNDICE PÁGINA 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. 3 2 Referencias normativas. 3 3 Términos y definiciones.. 3 4 Sistema de gestión de la calidad. 4 4.1 Requisitos

Más detalles

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12 Código:DAP-PM-01 Versión: 1 Página 1 de 12 PLAN DE MEJORA REGULATORIA RACSA 2015 1 Código: DAP-PM-001 Versión: 1 Página 2 de 12 Contenido 1. INTRODUCCIÓN... 3 2. MARCO LEGAL... 3 3. MARCO DE REFERENCIA

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO

Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO CONTENIDO 1. ANTECEDENTES E INTRODUCCIÓN 2. OBJETIVOS 3. CARACTERISTICAS 4. ESTRUCTURA 5. ELEMENTOS DEL CONTROL INTERNO

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Manual de la Calidad MC-SGC

Manual de la Calidad MC-SGC MC-SGC Elaborado por: Revisado por: Aprobado por: Nombre Cargo Firma Fecha Encargado Alejandro Jara la 10-12-2008 calidad Claudia Ramírez Mariana Schkolnik Representante de la Dirección Directora 10-12-2008

Más detalles

IMPLEMENTACIÓN DE LOS SISTEMAS DE CONTROL INTERNO EN LA ADMINISTRACIÓN PÚBLICA MUNICIPAL

IMPLEMENTACIÓN DE LOS SISTEMAS DE CONTROL INTERNO EN LA ADMINISTRACIÓN PÚBLICA MUNICIPAL IMPLEMENTACIÓN DE LOS SISTEMAS DE CONTROL INTERNO EN LA ADMINISTRACIÓN PÚBLICA MUNICIPAL EXPOSITOR: C.P. JOSÉ LUIS MUNGUÍA HERNÁNDEZ MUNGUÍA RAMÍREZ Y ASOCIADOS, S. C. mura_sc@prodigy.net.mx teléfonos:

Más detalles

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los

Más detalles

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN Resolución de 23 de junio de 2003, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publica la Norma Técnica de Auditoría sobre la auditoría de cuentas en entornos informatizados (BOICAC

Más detalles

METODOLOGIAS DE AUDITORIA INFORMATICA

METODOLOGIAS DE AUDITORIA INFORMATICA METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para

Más detalles

Diseño del Sistema de Información

Diseño del Sistema de Información Diseño del Sistema de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 2 ACTIVIDAD DSI 1: DEFINICIÓN DE LA ARQUITECTURA DEL SISTEMA... 7 Tarea DSI 1.1: Definición de Niveles de Arquitectura... 9 Tarea DSI

Más detalles

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements.

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. 4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. Introducción. ISO 20000 es un estándar orientado al establecimiento de procesos y procedimientos

Más detalles

MANUAL DE GESTIÓN DE PROCESOS

MANUAL DE GESTIÓN DE PROCESOS MANUAL DE GESTIÓN DE PROCESOS SISTEMA DE GESTIÓN DE CALIDAD UPV Octubre 2011 Versión 1 Elaborado por: Aprobado el 31 de octubre por: Servicio de Evaluación, Planificación y Calidad Gerencia UPV INDICE

Más detalles

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI POWERED BY AUDISEC www.audisec.es Febrero de 2010 ÍNDICE 1. PRESENTACIÓN...

Más detalles

Aplicación de las Normas Internacionales de Auditoría (NIA) en Venezuela

Aplicación de las Normas Internacionales de Auditoría (NIA) en Venezuela www.pwc.com/ve Alerta Técnica N 7 Aplicación de las Normas Internacionales de Auditoría (NIA) en Venezuela Resolución del Directorio de la Federación de Colegios de Contadores Públicos de Venezuela (FCCPV)

Más detalles

Gestión de Proyectos A Guide to the Project Management Body of Knowledge (Pmbok Guide) Profesor Guillermo E. Badillo Astudillo

Gestión de Proyectos A Guide to the Project Management Body of Knowledge (Pmbok Guide) Profesor Guillermo E. Badillo Astudillo Gestión de Proyectos A Guide to the Project Management Body of Knowledge (Pmbok Guide) Profesor Guillermo E. Badillo Astudillo Todas las slides siguientes están tomadas de la guía de los fundamentos para

Más detalles

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité

Más detalles

Sinopsis de la gestión de programas de acuerdo con el estándar del Project Management Institute 1

Sinopsis de la gestión de programas de acuerdo con el estándar del Project Management Institute 1 Sinopsis de la gestión de s de acuerdo con el estándar del Project Management Institute Conceptos básicos Qué es un? Es un grupo de proyectos gestionados de modo coordinado para obtener beneficios y el

Más detalles

2. CRITERIOS DE REQUISITOS DE GESTIÓN NMX-EC IMNC-2006 / ISO 15189:2003

2. CRITERIOS DE REQUISITOS DE GESTIÓN NMX-EC IMNC-2006 / ISO 15189:2003 2. CRITERIOS DE REQUISITOS DE GESTIÓN NMX-EC EC-15189- IMNC-2006 / ISO 15189:2003 4. REQUISITOS DE GESTIÓN 4.1 Organización y gestión 4.2 Sistema de gestión de la calidad 4.3 Control de los documentos

Más detalles

Guatemala, marzo de 2006.

Guatemala, marzo de 2006. MODERNIZACIÓN DEL SISTEMA DE PAGOS NACIONAL Guatemala, marzo de 2006. MODERNIZACIÓN DEL SISTEMA DE PAGOS NACIONAL I. ASPECTOS CONCEPTUALES SOBRE SISTEMA DE PAGOS: 1. El sistema de pagos es el conjunto

Más detalles

1. Gestionar el ciclo de vida de las solicitudes de servicio que se reciben de los usuarios de los servicios de TIC.

1. Gestionar el ciclo de vida de las solicitudes de servicio que se reciben de los usuarios de los servicios de TIC. 5.9 OPERACIÓN DE SERVICIOS 5.9.1 Operación de la mesa de servicios 5.9.1.1 Objetivos del proceso General: Establecer y operar un punto único de contacto para que los usuarios de los servicios hagan llegar

Más detalles

C O M U N I C A C I Ó N N 2015/034

C O M U N I C A C I Ó N N 2015/034 Montevideo, 10 de Marzo de 2015 C O M U N I C A C I Ó N N 2015/034 Ref: Instituciones Emisoras de Dinero Electrónico - Registro y documentación a presentar en BCU A efectos de cumplir con los requisitos

Más detalles

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements.

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. 4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. Introducción. El estándar proporciona los requerimientos para establecer, controlar,

Más detalles

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Índice Pág. Metodología para la Autoevaluación del Sistema de Control Interno Institucional. 2 Elementos

Más detalles

Agrupamiento Familia Puesto Alcance del puesto Requisitos excluyentes

Agrupamiento Familia Puesto Alcance del puesto Requisitos excluyentes TIC-1-1 Analista de monitoreo de redes Monitorear y controlar las redes del GCABA con el fin de detectar incidentes y reportarlos. Analizar las métricas utilizadas para el monitoreo de la red, la configuración

Más detalles

Gobierno Riesgo y Cumplimiento DOCUMENTO DE FUNCIONALIDAD

Gobierno Riesgo y Cumplimiento DOCUMENTO DE FUNCIONALIDAD Gobierno Riesgo y Cumplimiento DOCUMENTO DE FUNCIONALIDAD Índice... 1 Indice... 2 Objetivo:... 3 Introducción:... 3 Componentes GRC... 3 Funcionalidad Risk Management... 4 Planeación del riesgo.... 5 Identificación

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE CAPACITACIÓN Versión 05 Diciembre 2008 INDICE Introducción... 3

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Sistemas de gestión de la calidad Requisitos

Sistemas de gestión de la calidad Requisitos Sistemas de gestión de la calidad Requisitos 1 Objeto y campo de aplicación 1.1 Generalidades Esta Norma Internacional especifica los requisitos para un sistema de gestión de la calidad, cuando una organización

Más detalles

EQUIPO CONSULTOR Y EQUIPO DE MEJORA CONTINUA PREPARADO POR: REVISADO POR: APROBADO POR: VERSIÓN Nº: FECHA DE EMISIÓN: 15/09/07

EQUIPO CONSULTOR Y EQUIPO DE MEJORA CONTINUA PREPARADO POR: REVISADO POR: APROBADO POR: VERSIÓN Nº: FECHA DE EMISIÓN: 15/09/07 SERVICIOS DE AUDITORÍA MINISTERIO DE SALUD DE COSTA RICA - NIVEL INTRAINSTITUCIONAL ÁREA DE GESTIÓN: SOPORTE LOGÍSTICO Y ADMINISTRATIVO PREPARADO POR: VALIDADO POR : EQUIPO CONSULTOR Y EQUIPO DE MEJORA

Más detalles

DOCUMENTO TÉCNICO N 71 Versión 0.1 ASEGURAMIENTO AL PROCESO DE GESTIÓN DE RIESGOS EN EL SECTOR PÚBLICO

DOCUMENTO TÉCNICO N 71 Versión 0.1 ASEGURAMIENTO AL PROCESO DE GESTIÓN DE RIESGOS EN EL SECTOR PÚBLICO DOCUMENTO TÉCNICO N 71 Versión 0.1 ASEGURAMIENTO AL PROCESO DE GESTIÓN DE RIESGOS EN EL SECTOR PÚBLICO Este documento está orientado a entregar directrices a los auditores internos para el aseguramiento

Más detalles

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 2008-11-14 SISTEMA DE GESTIÓN DE LA CALIDAD. REQUISITOS E: QUALITY MANAGEMENT SYSTEMS. REQUIREMENTS CORRESPONDENCIA: esta norma es idéntica (IDT) a la norma ISO 9001:2008

Más detalles

EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000

EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000 Examen de muestra EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000 Edición Noviembre 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced,

Más detalles

UNIDAD No. 6 Auditoria de Aplicaciones

UNIDAD No. 6 Auditoria de Aplicaciones Auditoria V UNIDAD No. 6 Auditoria de Aplicaciones Definiciones SOFTWARE/ PROGRAMA: Conjunto de instrucciones que dirigen al Hardware. Software/Programas del Sistema Llamados Programas Supervisorios, realizan

Más detalles

PLAN DE PRUEBAS SISTEMA DE GESTIÓN HOSPITALARIA. Plan de Pruebas. File: 20130211-QA-INF-V2-PLAN DE PRUEBAS.odt STD-INF-GENERAL Versión: 1.

PLAN DE PRUEBAS SISTEMA DE GESTIÓN HOSPITALARIA. Plan de Pruebas. File: 20130211-QA-INF-V2-PLAN DE PRUEBAS.odt STD-INF-GENERAL Versión: 1. Cliente: FCM-UNA Página 1 de 14 PLAN DE PRUEBAS SISTEMA DE GESTIÓN HOSPITALARIA Cliente: FCM-UNA Página 2 de 14 Tabla de contenido 1. INTRODUCCIÓN 1.1. PROPÓSITO 1.2. ALCANCE 1.3. DEFINICIONES, ACRÓNIMOS

Más detalles

Procedimiento de Sistemas de Información

Procedimiento de Sistemas de Información Procedimiento de Sistemas de Información DIRECCIÓN DE COORDINACIÓN TÉCNICA Y PLANEACIÓN VIEMBRE DE 2009 PR-DCTYP-08 Índice. 1. INTRODUCCIÓN.... 3 2. OBJETIVO.... 4 3. ALCANCE.... 4 4. MARCO LEGAL.... 4

Más detalles

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA A LAS ENTIDADES CAMBIARIAS: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA 2004 - Año de la Antártida Argentina COMUNICACIÓN A 4192 Ref.: Circular CONAU 1-670 Requisitos Operativos Mínimos de Tecnología y Sistemas

Más detalles

Enterprise Risk Management

Enterprise Risk Management Enterprise Risk Management E.R.M. ERM ERM describe un marco conceptual que establece: La definición de riesgos empresariales Los componentes del proceso de administración de riesgos empresariales Criterios

Más detalles

ISO/IEC 20000 Tecnologías de Información y la Alineación con la Gestión

ISO/IEC 20000 Tecnologías de Información y la Alineación con la Gestión ISO/IEC 20000 Tecnologías de Información y la Alineación con la Gestión Alfredo Zayas 0 Alfredo Zayas 1. ISO/IEC 20000 Consultant por ITSMf 2. Auditor interno de ISO 9001:2000 por INLAC 3. Certified Information

Más detalles

ACLARACIONES ADICIONALES PARA EL FORMULARIO 311

ACLARACIONES ADICIONALES PARA EL FORMULARIO 311 ACLARACIONES ADICIONALES PARA EL FORMULARIO 311 ANTECEDENTES Conforme DECRETO EJECUTIVO N 2126 Publicado en el R. O. No.436 de miércoles 6 de octubre de 2004 se publican las REFORMAS AL REGLAMENTO DE COMPROBANTES

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

cumple y hay evidencias objetivas

cumple y hay evidencias objetivas Lista de Verificación ISO :2008 LISTA DE VERIFICACIÓN ISO :2008 Sistemas de Gestión de la Calidad Pliego Objeto y campo de aplicación Esta lista de verificación tiene como objetivo conocer con mayor detalle

Más detalles

Criterios de clasificación

Criterios de clasificación Criterios de clasificación Usualmente clasificamos para agrupar elementos con características comunes, simplificando la realidad y analizando un conjunto de elementos desde distintos puntos de vista. Sobre

Más detalles

Ejemplo Manual de la Calidad

Ejemplo Manual de la Calidad Ejemplo Manual de la Calidad www.casproyectos.com ELABORADO POR: REPRESENTANTE DE LA DIRECCION APROBADO POR: GERENTE GENERAL 1. INTRODUCCIÓN Nuestra organización, nació en el año XXXXXXXXX, dedicada a

Más detalles

REGLAMENTO SOBRE SEGURIDAD INFORMATICA

REGLAMENTO SOBRE SEGURIDAD INFORMATICA REGLAMENTO SOBRE SEGURIDAD INFORMATICA TITULO I OBJETIVOS Y ALCANCE ARTICULO 1: El presente Reglamento tiene por objeto establecer los principios, criterios y requerimientos de Seguridad Informática que

Más detalles

Proceso: AI2 Adquirir y mantener software aplicativo

Proceso: AI2 Adquirir y mantener software aplicativo Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE EVALUACIÓN DE DESEMPEÑO Versión 05 Diciembre 2008 INDICE 1 Definición

Más detalles

SECCIÓN AU 402 CONSIDERACIONES DE AUDITORÍA RELACIONADAS CON UNA ENTIDAD QUE UTILIZA UNA ORGANIZACIÓN DE SERVICIOS CONTENIDO

SECCIÓN AU 402 CONSIDERACIONES DE AUDITORÍA RELACIONADAS CON UNA ENTIDAD QUE UTILIZA UNA ORGANIZACIÓN DE SERVICIOS CONTENIDO SECCIÓN AU 402 CONSIDERACIONES DE AUDITORÍA RELACIONADAS CON UNA ENTIDAD QUE UTILIZA UNA ORGANIZACIÓN DE SERVICIOS CONTENIDO Párrafos Introducción Alcance de esta Sección 1-5 Fecha de vigencia 6 Objetivos

Más detalles

Sin embargo el proceso de gestión de riesgos aplicado a cualquier actividad consta de las siguientes etapas:

Sin embargo el proceso de gestión de riesgos aplicado a cualquier actividad consta de las siguientes etapas: EL PROCESO DE GESTIÓN DE RIESGO La gestión de riesgo se puede definir como el proceso de toma de decisiones en un ambiente de incertidumbre sobre un acción que va a suceder y sobre las consecuencias que

Más detalles

Sistemas de gestión de la calidad Requisitos

Sistemas de gestión de la calidad Requisitos Sistemas de gestión de la calidad Requisitos 0 Introducción Generalidades La adopción de un sistema de gestión de la calidad debería ser una decisión estratégica de la organización. El diseño y la implementación

Más detalles

Programa de Formación de Auditores

Programa de Formación de Auditores Programa de Formación de Auditores Sistemas de Gestión de la Calidad Módulo 3 Formación de auditores Directrices para auditoría Objetivo del módulo Aprender y entender: El rol y responsabilidades del auditor

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

Medidas de Nivel Medio

Medidas de Nivel Medio Capítulo 6 Medidas de Nivel Medio Medidas de seguridad especiales Para los sistemas de información que traten, almacenen o transmitan datos de carácter personal clasificados dentro de los datos de nivel

Más detalles

Análisis de la Norma BCRA A 4609

Análisis de la Norma BCRA A 4609 Análisis de la Norma BCRA A 4609 Seguridad Informática y Continuidad de Procesamiento Módulo I: Fase Teórica Lic. Raúl Castellanos rcastellanos@cybsec.com 5 de Junio de 2007 Buenos Aires - ARGENTINA Agenda

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

TRANSFERENCIA ELECTRONICA DE INFORMACION Y FONDOS. 1.- Aplicación de las presentes normas.

TRANSFERENCIA ELECTRONICA DE INFORMACION Y FONDOS. 1.- Aplicación de las presentes normas. Hoja 1 CAPITULO 1-7 TRANSFERENCIA ELECTRONICA DE INFORMACION Y FONDOS 1.- Aplicación de las presentes normas. Las presentes normas se refieren a la prestación de servicios bancarios y la realización de

Más detalles

POLITICA DE SISTEMA DE CONTROL INTERNO

POLITICA DE SISTEMA DE CONTROL INTERNO POLITICA DE SISTEMA DE CONTROL INTERNO POLITICA DE SISTEMA DE CONTROL INTERNO Introducción y Objetivos El sistema de control interno de SURA Asset Management busca proveer seguridad razonable en el logro

Más detalles

CUALIFICACIÓN SISTEMAS DE GESTIÓN DE INFORMACIÓN PROFESIONAL. Nivel 3. Versión 5 Situación RD 1201/2007 Actualización

CUALIFICACIÓN SISTEMAS DE GESTIÓN DE INFORMACIÓN PROFESIONAL. Nivel 3. Versión 5 Situación RD 1201/2007 Actualización Página 1 de 16 CUALIFICACIÓN SISTEMAS DE GESTIÓN DE INFORMACIÓN PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC304_3 Versión 5 Situación RD 1201/2007 Actualización Competencia

Más detalles

LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS ELECTRÓNICOS

LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS ELECTRÓNICOS LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS Ministerio de Tecnologías de la Información y las Comunicaciones Programa de Gobierno

Más detalles

MANUAL SISTEMA GESTIÓN DE CALIDAD

MANUAL SISTEMA GESTIÓN DE CALIDAD MANUAL SISTEMA GESTIÓN DE CALIDAD ÍNDICE 1.- PRÓLOGO... 4 2.- DEL SISTEMA DE GESTIÓN DE CALIDAD... 6 3.- PUNTOS DE EXCLUSIÓN A LA NORMA ISO 9001 2000... 7 4.- REQUISITOS DEL SISTEMA GESTIÓN DE CALIDAD

Más detalles

La auditoría operativa cae dentro de la definición general de auditoría y se define:

La auditoría operativa cae dentro de la definición general de auditoría y se define: AUDITORIA DE SISTEMAS DE INFORMACIÓN Definición de auditoría: Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas los actos

Más detalles

INSTRUCTIVO PARA LLENAR EL MANUAL DE PROCESOS V 1.0

INSTRUCTIVO PARA LLENAR EL MANUAL DE PROCESOS V 1.0 INSTRUCTIVO PARA LLENAR EL MANUAL DE PROCESOS V 1.0 Página 1 de 12 FIRMAS DE REVISIÓN Y APROBACIÓN Nombre / Cargo Firma Fecha Elaborado por: Equipo de Proyectos 26/08/2013 Revisado por: Aprobado por: Dirección

Más detalles

SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010

SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. El Reto de las metodologías para la gestión de la seguridad Septiembre 2010 GOBIERNO DE ESPAÑA MINISTERIO DE LA PRESIDENCIA SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010 1 Índice

Más detalles

BPMN 2.0. Bizagi Suite. Copyright 2014 Bizagi

BPMN 2.0. Bizagi Suite. Copyright 2014 Bizagi BPMN 2.0 Bizagi Suite BPMN 2.0 1 Tabla de Contenido Scope... 2 BPMN 2.0... 2 Qué es BPMN?... 2 Por qué es importante modelar con BPMN?... 3 Conceptos clave... 3 Proceso De Solicitud De Crédito... 3 Proceso

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

MANUAL DE PROCEDIMIENTOS DOCUMENTADOS 2 FACULTAD DE INGENIERIA UCSG

MANUAL DE PROCEDIMIENTOS DOCUMENTADOS 2 FACULTAD DE INGENIERIA UCSG PÁGINA: Pág. 1 / 16 MANUAL DE PROCEDIMIENTOS DOCUMENTADOS 2 FACULTAD DE INGENIERIA UCSG PRESENTADO POR: DACI UCSG FECHA: 2012.02.07 REVISADO Y APROBADO POR: CONSEJO DIRECTIVO FECHA: 2011.02.09 PÁGINA:

Más detalles

MANUAL DEL SISTEMA DE GESTIÓN DE LA CALIDAD - Versión 23. Basado en la norma ISO 9001:2008. Abril, 2014. 1. Índice. _Sección Contenido_

MANUAL DEL SISTEMA DE GESTIÓN DE LA CALIDAD - Versión 23. Basado en la norma ISO 9001:2008. Abril, 2014. 1. Índice. _Sección Contenido_ MANUAL DEL SISTEMA DE GESTIÓN DE LA CALIDAD - Versión 23 Basado en la norma ISO 9001:2008 Abril, 2014 1. Índice _Sección_ _Contenido_ 0 Carátula General 1 Índice 2 Acerca del Manual del SGC de FACPCE 2.1

Más detalles

NIA 15: Auditoría en un Ambiente de Sistemas de Sec. 401 Información por Computadora

NIA 15: Auditoría en un Ambiente de Sistemas de Sec. 401 Información por Computadora Auditoría en un Ambiente de Sistemas de Información por Computadora NIA 15 Norma Internacional de Auditoría 15 Corporación Edi-Ábaco Cía. Ltda Instrucciones de Ubicación: NIA: En este acápite ubica la

Más detalles

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES

Más detalles

4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements.

4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements. 4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements. Introducción. Este estándar especifica los requerimientos para planear, establecer, implementar, operar, supervisar,

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos Páginas 1 de 7 1. OBJETIVO Brindar el marco normativo que fije las condiciones en que deben prestarse los Servicios de Tecnologías de Información a los procesos de la organización, estableciendo criterios

Más detalles

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010 INSTRUCTIVO SAFI N 02/2010 ASUNTO: NORMAS PARA EL FUNCIONAMIENTO DE LA ARQUITECTURA TECNOLÓGICA DE LOS SISTEMAS DE: ADMINISTRACIÓN FINANCIERA INTEGRADO (SAFI), INFORMACIÓN DE RECURSOS HUMANOS (SIRH) E

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA INTEGRAL DE ATENCIÓN A CLIENTE(A)S, USUARIO(A)S Y BENEFICIARIO(A)S

Más detalles

CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3

CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3 DE RIESGOS Página 1 de 21 CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3 3.1 Metodología de Análisis de Riesgos... 3 3.2 Valoración de Activos... 6 3.3

Más detalles

Sistema de Control Interno

Sistema de Control Interno Empresas Inarco Sistema de Control Interno Auditoría Interna 2014 Objetivo del Sistema El siguiente sistema tiene como propósito establecer la metodología de trabajo a seguir en cada proceso de revisión

Más detalles

BASES DE DATOS. 1.1 Funciones de un DBMS

BASES DE DATOS. 1.1 Funciones de un DBMS BASES DE DATOS Un DBMS, son programas denominados Sistemas Gestores de Base de Datos, abreviado SGBD, en inglés Data Base Management System (DBMS) que permiten almacenar y posteriormente acceder a los

Más detalles

POLITICA DE ADMINISTRACION DEL RIESGO

POLITICA DE ADMINISTRACION DEL RIESGO POLITICA DE ADMINISTRACION DEL RIESGO 2014 POLÍTICA DE ADMINISTRACIÓN DEL RIESGO DE LA COMISIÓN DE REGULACIÓN DE ENERGÍA Y GAS -CREG- La Comisión de Regulación de Energía y Gas, CREG, implementa como Política

Más detalles

PRECIOS PROMOCIONALES HASTA AGOTAR EXISTENCIAS

PRECIOS PROMOCIONALES HASTA AGOTAR EXISTENCIAS Señores SOFTWARE ADMIN Dpto. de Admón. Contable Colombia. Bogotá, Febrero 10 de 2015 DPO_OfficePeople_GAL_06_COT01 Estimados Señores: Por medio de la siguiente tenemos el agrado de presentarle cotización

Más detalles

Enterprise Risk Management Integrated Framework

Enterprise Risk Management Integrated Framework Enterprise Risk Management Integrated Framework Marco Integrado de Administración de Riesgos Corporativos* * * * * * Cra. Patricia Kirschenbaum Cra. Jennifer Manguian *connectedthinking Agenda Importancia

Más detalles