• Author / Uploaded
• bettersnake

Citation preview

GUÍA PARA LA EVALUACIÓN DE CONTROL INTERNO A LA TECNOLOGÍA DE INFORMACIÓN GUÍA ESPECÍFICA NOMBRE DE LA GUÍA:

ADMINISTRACION DE PROYECTOS/CAMBIOS OBJETIVO GENERAL DE LA REVISIÓN DE CONTROL:

Analizar y evaluar el manejo efectivo de todos los cambios necesarios en la infraestructura y servicios de T.I garantizando el seguimiento de procedimientos estándar. OBJETIVOS ESPECÍFICOS DE LA REVISIÓN DECONTROL:

•

Reducir el número de incidentes y problemas potencialmente asociados a todo cambio.

•

Verificar el numero de back out necesarios.

•

Verificar el establecimiento de procedimientos, estándares y prioridades de operación.

•

Determinar procedimientos de cambio estandar que permitan la rápida actualización de los sistemas. PROCEDIMIENTOS Y TÉCNICAS PARA LA REVISIÓN DE CONTROL:

Análisis De Documentos: Clasificación y agrupación de los distintos elementos individuales que conforman el área de tecnología informática. Observación Directa: Es una técnica que consiste en observar atentamente el fenómeno, hecho o caso, tomar información y registrarla para su posterior análisis. Análisis de Documentos: operaciones en la recuperación de información automática es la asignación de textos escritos y documentos con identificadores apropiados, capaces de representar el contenido de la información para propósitos de búsqueda. Observación: Presencia física durante la operación de monitoreo de la actividad dentro de los sistemas en línea, con el objeto de cerciorarse de si existe una Terminal específica designada para monitorear dicha actividad, así como el cumplimiento de la normatividad, de las políticas y de los procedimientos. Encuesta: Una encuesta es un conjunto de preguntas normalizadas dirigidas a una muestra representativa de la población o instituciones, con el fin de conocer estados de opinión o hechos específicos. CONTENIDO DE LA GUÍA ESPECÍFICA DE TELECOMUNICACIONES:

I.

CUESTIONARIO DE CONTROL INTERNO.

II.

PROGRAMACIÓN DE LA REVISIÓN.

III.

ORGANIZACIÓN.

IV.

EJECUCIÓN/INTEGRIDAD.

Fortalecimiento de Control Interno / UCEGP / SCAGP / Página 1

de 11

GUIA ADMINISTRACION DE PROYECTOS

ADMINISTRACION DE PROYECTOS No.

I 1.

PREGUNTAS

N/A

SI

NO

COMENTARIOS

ADMINISTRACION DE PROYECTOS ¿El sistema aplicado para la administración y control de proyectos, incluye: • Reportes de avance del proyecto, que indiquen lo erogado contra lo presupuestado así como el progreso del trabajo y las fechas de terminación de actividades contra las programadas? • Reportes periódicos del estado del sistema, a la alta dirección? • Programa de trabajo? • Estándares contra los cuales pueda ser medida cada ejecución? • Bases para analizar las estimaciones? • Definiciones de la organización administrativa de un proyecto? • Material de referencia para esfuerzos futuros? • Sistema de control de tiempos? • Bases para la revisión periódica y oportuna con los usuarios?

2.

¿El plan para el desarrollo del sistema incluye componentes como: • Alcance definición del alcance del proyecto y sus objetivos? • Presupuesto personal, equipo de cómputo, software y todos los demás costos involucrados? • Organización definición de todas las funciones organizacionales y responsabilidades generales dentro del proyecto, para efectuar tareas, revisar y aprobar productos, etc. Como mínimo deben identificarse un PROMOTOR de cada área de negocios involucrada y un líder de proyecto? • Estándares una matriz o algún dispositivo equivalente con los estándares vigentes, de tal forma que facilite al líder del proyecto la definición de cuales y de que forma serán aplicados estos estándares? • Calendarización de tareas /plan de proyecto (Programa de trabajo) definición de las tareas, productos resultantes, dependencias, asignaciones específicas y calendarios?

3.

Plan de contingencia planes alternos ante la eventualidad de que el proyecto falle en el cumplimiento de sus objetivos dentro de rangos aceptables? ¿Existe un análisis de costo beneficio del proyecto o una justificación de negocios? Fortalecimiento de Control Interno / / Página 2 de 11

GUIA ADMINISTRACION DE PROYECTOS

ADMINISTRACION DE PROYECTOS No.

PREGUNTAS

4.

¿Se generan documentos específicos como: diagramas de entidad relación, diagrama conceptual del sistema, inventario de reportes, pantallas, etc.?

5.

¿Estos documentos se desarrollaron de acuerdo con los estándares adoptados para tal efecto y que están aprobados por los directivos (o los responsables designados) de las áreas participantes?

6.

¿Qué cambios puede anticipar en la administración del departamento y en el personal?

b) 7.

N/A

SI

NO

COMENTARIOS

Diseño y Afinación. ¿Se determinaron estándares de diseño para: • Estructura de Programas.- Estructuras de diseño para diversos niveles de complejidad, lineamientos para el uso de instrucciones de programación y acuerdos para el uso y encadenamiento de rutinas de uso común y módulos? • Tareas de proceso.- Estándares de proceso, incluyendo limitaciones dinámicas y virtuales de almacenamiento, inicialización de programas, actualizaciones lógicas, búsquedas lógicas en tablas, rutinas de error, uso de constantes y parámetros, y procedimientos de terminación de proceso (normal y anormal)? • Comunicación Programa / Operador.- si son permitidos, se definieron estándares de programación y proporcionar reglas específicas para su formato? • Reinicio / Restauración.- Estándares para la selección de los puntos de reinicio y restauración y puntos de control para la restauración de procesos?

8.

¿Los estándares de diagramación incluyen: el método a usar, forma de identificación, flujo lógico y conectores, símbolos, abreviaturas, etiquetas y referencias cruzadas? ¿Esta diagramación es utilizada como soporte en el diseño y documentación de programas?

Fortalecimiento de Control Interno / / Página 3 de 11

GUIA ADMINISTRACION DE PROYECTOS

ADMINISTRACION DE PROYECTOS No.

9.

PREGUNTAS

N/A

SI

NO

COMENTARIOS

¿Existen métodos estándar para la codificación de los programas fuente, estos métodos incluyen: • Formatos estándar? • Reglas para asignar los nombres de las formas, menús, reportes, tablas, catálogos, programas, datos, variables, etc.? • Identificadores de enunciados o instrucciones (ejemplo: nombres de módulos, sub.-rutinas etc.)? • Reglas para comentarios documentativos dentro de los programas fuente? • Restricciones de uso de las proporcionadas por los lenguajes?.

facilidades

• Técnicas de programación? 10.

¿Existen procedimientos y métodos estándar para la planeación y conducción de las pruebas de todos los elementos del sistema (función, subfunción o programa)?

11.

¿Existen métodos y procedimientos para planear, controlar y conducir la correcta implantación del sistema (por ej. Conversión y carga de datos históricos, interfaces con otros sistemas, pruebas integrales del sistema, capacitación de usuarios, etc.)? ¿Existe un plan de migración desde la etapa de prueba integral del sistema hasta la etapa de operación final?

12.

¿Existe un requerimiento formal de cambios, basados en un procedimiento autorizado? ¿Existen procedimientos de aprobación para que los programadores tengan acceso a la biblioteca de código fuente y de código en operación?

13.

¿Se han establecido y se aplican de indicadores, consistentes con los estándares de desarrollo, para alteraciones de: ♦ Diagramas? ♦ Pantallas, reportes y menús? ♦ Contenido de bases de datos, catálogos, archivos?

14.

¿Cuándo se realizan cambios se ajusten a los procedimientos definidos en el área responsable.

15.

¿El mantenimiento a los programas se prueba y se aprueba antes de su implantación y previo a su reemplazo en la biblioteca de operación y a la alteración de la documentación?

Fortalecimiento de Control Interno / / Página 4 de 11

GUIA ADMINISTRACION DE PROYECTOS

ADMINISTRACION DE PROYECTOS No.

PREGUNTAS

16.

¿Los resultados de las pruebas son cotejados con el de las pruebas del último mantenimiento anterior y en caso de haber diferencias, se determina el motivo de éstas?

17.

¿Los cambios hechos a los programas y/o procedimientos de la biblioteca de producción son registrados y reportados?

18.

¿Los cambios hechos por emergencias son oportunamente registrados, reportados y documentados, de la misma forma que los cambios normales y se usa el mismo procedimiento de administración de cambios?

19.

¿La documentación del sistema contiene: • Una clara enunciación de los objetivos del sistema? • Diagramas que muestren el flujo de información a través del sistema (por ejemplo: Diagramas entidad relación, etc.)? • La interrelación entre los pasos de procesamiento manual y los del sistema? • Las especificaciones que guiaron el diseño y desarrollo del sistema? • Los documentos y procedimientos de captura y de reporte de información? • Los formatos y descripción de los campos de las tablas y/o archivos y/o catálogos (Diccionario de datos)? • La descripción de las pistas de auditoria? • La descripción de los procedimientos de control y balanceo?

N/A

SI

NO

COMENTARIOS

¿Esta documentación se resguarda en una biblioteca a la cual sólo tenga acceso el personal autorizado? 20.

¿Los procesos o programas se documentan de acuerdo a estándares; que cuando menos incluyen: • • • • • • • • •

Identificación? Secuencia de proceso? La descripción clara y completa de las funciones que desempeñan y en base a que y como las deben realizar? Acceso y afectación de archivos y/o tablas? La forma en que se realizan los cálculos que contienen? Mensajes, parámetros, defaults, valores repetitivos, instrucciones de operación? Los diagramas que apoyaron su descripción y programación? Las instrucciones de entrada y salida de datos, incluyendo balanceo de entradas y salidas? Pruebas (datos de prueba y resultados)? Fortalecimiento de Control Interno / / Página 5 de 11

GUIA ADMINISTRACION DE PROYECTOS

ADMINISTRACION DE PROYECTOS No.

21.

PREGUNTAS

N/A

SI

NO

COMENTARIOS

Los procedimientos de reinicio de proceso y de recuperación de información? ¿Existe un manual de operación y entrenamiento que documente en forma clara y precisa los procedimientos e instrucciones necesarias para: • La correcta operación de cada uno de los procesos del sistema? • Facilitar la interpretación de los mensajes del sistema? • Revisar el balanceo de entradas y salidas de datos? • La emisión y distribución de información? • El respaldo y recuperación de información?

Persona entrevistada:_____________________ _______________________________________ Puesto:_________________________________ _______________________________________ Antigüedad en el puesto:___________________ Fecha de la entrevista:_____________________

ELABORADA POR:

REVISADA POR:

AUTORIZADA POR:

FECHA

FECHA

FECHA

Fortalecimiento de Control Interno / / Página 6 de 11

GUIA ADMINISTRACION DE PROYECTOS

ADMINISTRACION DE PROYECTOS No.

PREGUNTAS

N/A

SI

NO

COMENTARIOS

Fortalecimiento de Control Interno / / Página 7 de 11

GUIA ADMINISTRACION DE PROYECTOS GUÍA ADMNISTRACION DE PROYECTOS

PROGRAMA ESPECIFICO REFERENCIA

I

A C T I V I D A D E S

HECHO POR

REFERENCIA A P/T

COMENTARIOS

CUESTIONARIO DE CONTROL INTERNO Contestar el cuestionario de control interno.

1. II

PROGRAMACIÓN DE LA REVISIÓN.

II a)

Presentación e inicio de la revisión.

2.

Determinar si el desarrollo de las aplicaciones (sistemas), es controlado por un método formal de administración de proyectos.

3.

Verificar que durante CVDS se aplica una metodología, se cumple con el uso de estándares y se implementan los mecanismos de control necesarios para asegurar la confiabilidad de la información y el apego a la normatividad, así como que a través de las pruebas de aceptación se verifica la exactitud y confiabilidad del sistema.

4.

Verificar el adecuado cumplimiento de la fase de planeación.

5.

Verificar que exista un plan para el desarrollo del sistema que incluya al menos los siguientes componentes: • Alcance.- Definición del alcance del proyecto y sus objetivos. • Presupuesto.Personal, equipo de cómputo, software y todos los demás costos involucrados. • Organización.- Definición de todas las funciones organizacionales y responsabilidades generales dentro del proyecto, para efectuar tareas, revisar y aprobar productos, etc. Como mínimo deben identificarse un PROMOTOR de cada área de negocios involucrada y un líder de proyecto. • Estándares.- Una matriz o algún dispositivo equivalente con los estándares vigentes, de tal forma que facilite al líder del proyecto la definición de cuales y de que forma serán aplicados estos estándares. • Calendarización de tareas /plan de proyecto (Programa de trabajo).Definición de las tareas, productos resultantes, dependencias, asignaciones específicas y calendarios. • Plan de contingencia.- Planes alternos ante la eventualidad de que el proyecto Fortalecimiento de Control Interno / / Página 8 de 11

GUIA ADMINISTRACION DE PROYECTOS GUÍA ADMNISTRACION DE PROYECTOS

PROGRAMA ESPECIFICO REFERENCIA

HECHO POR

A C T I V I D A D E S

REFERENCIA A P/T

COMENTARIOS

falle en el cumplimiento de sus objetivos dentro de rangos aceptables. 6.

Verificar que exista un análisis de costo beneficio del proyecto o una justificación de negocios.

7.

Verificar el adecuado cumplimiento de la fase de diseño.

8.

Verificar que se cumpla con la generación de documentos especificados en esta etapa, de acuerdo con la metodología usada, por ejemplo: diagramas de entidad relación, diagrama conceptual del sistema, inventario de reportes, pantallas, etc. III

ORGANIZACIÓN.

9.

Verificar que el diseño detallado y la construcción del sistema se desarrollan de acuerdo con las especificaciones y que se implementan los mecanismos de control necesarios para asegurar la seguridad y confiabilidad de la información y el apego a la normatividad aplicable.

10.

Verificar que existan estándares de diagramación que incluyan al menos: el método a usar, forma de identificación, flujo lógico y conectores, símbolos, abreviaturas, etiquetas y referencias cruzadas. • Verificar que la diagramación es utilizada como soporte en el diseño y documentación de programas.

11.

Verificar que existan métodos estándar para la codificación de los programas fuente, incluyendo: • Formatos estándar. • Reglas para asignar los nombres de las formas, menús, reportes, tablas, catálogos, programas, datos, o variables. • Identificadores de enunciados instrucciones (ejemplo: nombres módulos, subrutinas, etc.).

o de

• Reglas para comentarios documentados dentro de los programas fuente. • Restricciones de uso de las facilidades proporcionadas por los lenguajes. Fortalecimiento de Control Interno / / Página 9 de 11

GUIA ADMINISTRACION DE PROYECTOS GUÍA ADMNISTRACION DE PROYECTOS

PROGRAMA ESPECIFICO REFERENCIA

A C T I V I D A D E S

HECHO POR

REFERENCIA A P/T

COMENTARIOS

• Técnicas de programación. 12.

Verificar que los cambios a la aplicación y a la operación del sistema se realizan en forma adecuada, a través de procedimientos aprobados y soportados documentalmente.

13.

Para efectos de autorización, llevar a acabo los siguientes puntos. • Verificar que exista un requerimiento formal de cambio, en la forma y con el procedimiento autorizados. -

14.

Verificar que existan procedimientos de aprobación para que los programadores tengan acceso a la biblioteca de código fuente y de código en operación.

Para efectos de mantenimiento, llevar a acabo los siguientes puntos. • Verificar la existencia y aplicación de estándares, consistentes con los estándares de desarrollo, para alteraciones de: ♦ Diagramas. ♦ Pantallas, reportes y menús. ♦ Contenido de bases de datos, catálogos, archivos. • Verificar que la realización de los cambios se ajusten a los procedimientos definidos en el área responsable. • Verificar que los mantenimientos a los programas hayan sido probados y aprobados antes de su implantación y previo a su reemplazo en la biblioteca de operación y a la alteración de la documentación. • Verificar que los resultados de las pruebas son cotejados con el resultado de las pruebas del último mantenimiento anterior y en caso de haber diferencias, verificar el motivo de estas. • Verificar que se documenten y certifiquen los resultados de las pruebas. • Verificar que todas los mantenimientos Fortalecimiento de Control Interno / / Página 10 de 11

GUIA ADMINISTRACION DE PROYECTOS GUÍA ADMNISTRACION DE PROYECTOS

PROGRAMA ESPECIFICO REFERENCIA

HECHO POR

A C T I V I D A D E S

REFERENCIA A P/T

COMENTARIOS

incluyan la fecha de la última revisión. 15.

Verificar que todos los cambios hechos a los programas y/o procedimientos de la biblioteca de producción son registrados y reportados.

ELABORADA POR:

REVISADA POR:

AUTORIZADA POR:

FECHA

FECHA

FECHA

Fortalecimiento de Control Interno / / Página 11 de 11