Escolar Documentos
Profissional Documentos
Cultura Documentos
ADQUIRIR E IMPLEMENTAR
AI 1 Identificar Soluciones Automatizadas
Recursos de TI a considerar:
Objetivo General:
Objetivo General
Traducir los requerimientos funcionales y de control a un diseño efectivo y eficiente de
soluciones automatizadas enfocándose en la identificación de soluciones técnicamente
factibles y rentables.
Objetivo Tiempo
N° Objetivo de Control Conclusión
a aplicar Estim. - Real
Definición y Mantenimiento de los
1.
Requerimientos técnicos y funcionales del
1
negocio
2.
Reporte de análisis de Riesgos
2
3. Estudio de Factibilidad y Formulación de cursos
4 de Acción Alternativos
Requerimientos, Decisión de Factibilidad y
4.
Aprobación
1
EVALUACIÓN A LOS SISTEMAS DE INFORMACIÓN
CUESTIONARIO DE CONTROL INTERNO
RUBRO
ADQUIRIR E IMPLEMENTAR
AI 1 Identificar Soluciones Automatizadas
Ref
N° Descripción de la tarea Resultado
PT
AI1.1 Definición y Mantenimiento de los Requerimientos técnicos y funcionales del negocio
1
EVALUACIÓN A LOS SISTEMAS DE INFORMACIÓN
CUESTIONARIO DE CONTROL INTERNO
RUBRO
ADQUIRIR E IMPLEMENTAR
AI 1 Identificar Soluciones Automatizadas
Ref
N° Descripción de la tarea Resultado
PT
aptitudes y habilidades del personal, su estructura organizacional y la tecnología de apoyo.
• Revisar que se preste atención al modelo de datos de la
empresa mientras se identifica y analiza la factibilidad de
las soluciones.
• Verificar que se acuerde en el contrato con los
proveedores un plan de aceptación para tecnología
específica, y que dicho plan defina los procedimientos y
criterios de aceptación.
• Verificar que se acuerde en el contrato con el proveedor
un plan de aceptación de las instalaciones y que dicho
plan defina los procedimientos y criterios de aceptación.
Establecer procesos para garantizar y administrar la integridad, exactitud y la validez de los
requerimientos del negocio, como base para el control de la adquisición y el desarrollo
continuo de sistemas. Estos requerimientos deben ser propiedad del patrocinador del
negocio.
• Verificar que la compra de productos de software siga
las políticas de adquisición de la organización definiendo
el marco referencial para la creación de la solicitud de
propuesta, la selección del proveedor de software y la
negociación del contrato.
• Comprobar que los productos sean revisados y probados
antes de ser adquiridos y utilizados.
• Verificar que los productos finales de los servicios de
programación por contrato terminados sean revisados y
probados de acuerdo con los estándares establecidos por
el grupo de aseguramiento de la calidad de la función de
servicios de información y otras partes interesadas antes
de pagar por el trabajo realizado y aprobar el producto
final.
AI1.2 Reporte de análisis de riesgos
Identificar, documentar y analizar los riesgos asociados con los procesos del negocio como
parte de los procesos organizacionales para el desarrollo de los requerimientos. Los riesgos
incluyen las amenazas a la integridad, seguridad, disponibilidad y privacidad de los datos,
así como el cumplimiento de las leyes y reglamentos.
• Verificar que los costos y los beneficios de seguridad
sean examinados cuidadosamente para garantizar que los
costos de los controles no exceden los beneficios.
• Verificar que se lleve a cabo un análisis de riesgos en
línea con el marco referencial general de evaluación de
riesgos.
• Verificar que en cada proyecto de desarrollo,
implementación o modificación de sistemas propuesto,
se prepare y documente un análisis de las amenazas a la
seguridad, de las debilidades y los impactos potenciales
y las salvaguardas factibles de seguridad y control
interno para reducir o eliminar el riesgo identificado.
• Revisar que se requieran controles y pistas de auditoría
1
EVALUACIÓN A LOS SISTEMAS DE INFORMACIÓN
CUESTIONARIO DE CONTROL INTERNO
RUBRO
ADQUIRIR E IMPLEMENTAR
AI 1 Identificar Soluciones Automatizadas
Ref
N° Descripción de la tarea Resultado
PT
apropiados para ser aplicados en todos los sistemas
modificados o nuevos propuestos durante la fase de
diseño del proyecto.
• Analizar que las pistas de auditoría y los controles dan la
posibilidad de proteger a los usuarios contra la
identificación o mal uso de su identidad por parte de
otros usuarios (ej., ofreciendo anonimato, pseudónimos,
ausencia de vínculos y confidencialidad)
• Verificar que existen los mecanismos para asignar o
mantener los atributos de seguridad para la exportación e
importación de datos, y para interpretarlos
correctamente.
AI1.3 Estudio de factibilidad y formulación de cursos de acción alternativos
Desarrollar un estudio de factibilidad que examine la posibilidad de implantar los
requerimientos.
• Verificar que en cada proyecto de desarrollo, modificación o
implementación de sistemas, se lleve a cabo un análisis de los
costos y los beneficios asociados con cada alternativa considerada
para satisfacer los requerimientos del usuario.
• Revisar que se obtenga una aprobación formal del estudio costo /
beneficio por parte de la administración.
Identificar los cursos alternativos de acción para el software, hardware, servicios y
habilidades que satisfagan los requerimientos establecidos, tanto funcionales como técnicos.
• Verificar que la administración haya desarrollado e
implementado un enfoque de adquisición central, que
describa un conjunto común de procedimientos y
estándares a ser seguidos en la adquisición de servicios
de hardware, software y servicios de tecnología de
información.
• Verificar que los contratos estipulen que el software, la
documentación y otros elementos entregables y
liberables sean sujetos a pruebas y revisiones antes de ser
aceptados.
• Verificar que para el software con licencia adquirido de
terceras partes, los proveedores cuenten con
procedimientos apropiados para validar, proteger y
mantener los derechos de integridad de los productos de
software.
• Verificar que la adquisición de servicios de programación
por contrato sea justificada a través de una requisición
por escrito de servicios por parte de un miembro
designado de la función de servicios de información.
Evaluar la factibilidad tecnológica y económica (costo potencial y análisis de beneficios) de
cada uno de los cursos de acción identificados en el contexto de inversión en TI.
• Verificar que el propietario / patrocinador enterado
prepare, analice y apruebe un estudio de factibilidad
técnica para cada alternativa con el fin de satisfacer los
1
EVALUACIÓN A LOS SISTEMAS DE INFORMACIÓN
CUESTIONARIO DE CONTROL INTERNO
RUBRO
ADQUIRIR E IMPLEMENTAR
AI 1 Identificar Soluciones Automatizadas
Ref
N° Descripción de la tarea Resultado
PT
requerimientos del usuario establecidos para el desarrollo
de un proyecto de sistemas nuevo o modificado.
• Verificar que el propietario / patrocinador enterado
prepare, analice y apruebe un estudio de factibilidad
económica antes de tomarla decisión respecto a
desarrollar o modificar un proyecto de sistemas nuevo o
modificado propuesto.
• Verificar que las pruebas de aceptación de tecnología
específica deberían incluir inspección, pruebas de
funcionalidad y de carga de trabajo.
• Verificar que las pruebas de aceptación de instalaciones
son llevadas a cabo para garantizar que éstas y el
ambiente, satisfacen los requerimientos especificados en
el contrato.
• Verificar que las pruebas incluidas en las
especificaciones del contrato consisten en pruebas de
sistema, pruebas de integración, pruebas de hardware y
componentes, pruebas de procedimientos, pruebas de
carga y estrés, pruebas de afinación y desempeño,
pruebas de regresión, pruebas de aceptación del usuario,
y finalmente, pruebas piloto del sistema total para evitar
cualquier falla inesperada del sistema.
Evaluar la factibilidad y los cursos alternativos de acción y realizar recomendaciones al
patrocinador del negocio.
• Realizar recomendaciones al patrocinador del negocio
durante el proceso de evaluación de factibilidad de los
cursos alternativos, resolviendo las dudas que se
presenten.
• Ofrecer al patrocinador del negocio información concisa,
breve y segura en el estudio de factibilidad económica y
en el estudio de factibilidad tecnológica.
1
EVALUACIÓN A LOS SISTEMAS DE INFORMACIÓN
CUESTIONARIO DE CONTROL INTERNO
RUBRO
ADQUIRIR E IMPLEMENTAR
AI 1 Identificar Soluciones Automatizadas
Ref
N° Descripción de la tarea Resultado
PT
• Escoger la solución más óptima que cumpla con todos
los requerimientos anteriormente mencionados. La
decisión final es tomada por el patrocinador del negocio.
Aplicado a:
Puesto:
FIRMA