Image via Wikipedia
Los pasos anteriores y los siguientes son base para determinar la naturaleza y extensión de las pruebas de auditoría que deban efectuarse. Las pruebas de auditoría, como se sabe, son de dos tipos: De cumplimiento y sustantivas. Buscan obtener evidencia que los controles establecidos existen en realidad y se utilizan y ejecutan correctamente. Al conjunto de pruebas resultante se denomina Programa de auditoría. El modo en que se verificó cada respuesta de los cuestionarios, debe ser incluida en los checklist.
A finalesdel siglo XX, los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los Sistemas de Información de la empresa.
La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa. Cabe aclarar que la Informáticano gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoría Informática.
Seguimos con el tema expuesto en los dos anteriores artículos.
Una entrevista no estructurada casi seguro que significa que los artículos estarán perdidos, olvidados o ignorados como "no ser importante" o relevante.
La entrevista estructurada con el personal clave, casi seguro que los responsables de la Departamental, la escuela o la administración de la facultad en el primer caso, dará a todo el ejercicio una forma y también le conducirá a otras fuentes importantes de información dentro de la misma zona. Esto debe tenerse en cuenta en el plan del proyecto, y si se lo usa con cuidado, no es una mala manera de proceder. También permite que un solo departamento / facultad / escuela sean tratados en una sola pasada y el proceso de auditoría pude pasar a otras partes de la institución.
Por otra parte la auditoría es una oportunidad única que no se puede repetir con mucha rapidez, por lo que debe ser lo más completa posible. La manera más económica para hacer frente a esto es configurarla como una tabla en una base de datos. Esto permitiría que algunos de los análisis preliminares puedan hacerse con las propiedades de la base de datos. He aquí una plantilla de la forma en que esto puede hacerse y un ejemplo. Sin embargo, la plantilla que se ofrece no pretende ser exhaustiva. Hay cuestiones que cada institución desea añadir como parte de su auditoría.
Es igualmente importante echar un vistazo a todos los equipos, tenga en cuenta cómo y si están conectados en red, los paquetes utilizados y las reglas de juego existentes para el e-mail y el uso de Internet. Algunas instituciones que ya van a hacer este tipo de auditoría como parte de su función de TI y la información estará disponible. En muchos casos, estos serán incluidos en el registro de activos de gestión central que debe ser de fácil acceso. Esto, entre otras cosas, le dice cuando el equipo fue comprado y por lo tanto ¿qué edad tiene y donde se sienta en un ciclo de sustitución probable?.
En cualquier caso, la estrecha colaboración y el apoyo de los colegas de TI será de vital importancia.
El segundo paso es la elaboración de un Programa de Retención para todo tipo de registros encontrados. Es de esperar que en las grandes instituciones de las diferentes prácticas y normas prevalecerán en diferentes partes de la organización. Es de vital importancia desde el punto de vista tanto de la Libertad de la Información y Protección de Datos, que estos estén estandarizados en toda la institución, estar de acuerdo y cumplir. Vea la sección de Registros horarios de retención (en el artículo cuarto sobre este tema).
Por último, es útil para sugerir cómo los discos de larga duración útiles podrían permanecer en un área de trabajo o archivo actual para los propósitos de negocio actuales y cuando se pudo mover con seguridad para el almacenamiento semi-actuales. El objetivo es mantener el área de trabajo actual y los sistemas tan ordenados como sea posible y se centre en el negocio de inmediato.
Los registros electrónicos deben tener las características siguientes:
Un registro que se crea como una versión electrónica o facsímil digitalizada de un registro creado en otro soporte (papel, película, voz) es un registro de copia. Esto sigue siendo cierto o no, el original todavía existe.
A modo de contraste de los documentos en papel que se mantienen a una temperatura de 16-19 grados centígrados y una humedad relativa entre 45-60% debe estar bin durante más de 100 años (British Standard 5454:2000).
En la práctica esto significa que muchos funcionarios ya están acostumbrados a la idea de trabajar en un espacio común donde los archivos tienen que ser etiquetados de tal manera que todos puedan encontrarlos fácilmente. Los niveles de acceso permitido se controlan por un administrador de sistema local, o en el espacio empresarial por la central de gestión de TI.
Esto le da la oportunidad para la gestión de los registros basados en normas, y un grado de control central. La clave del éxito es la capacitación del personal.
Las políticas tienen que cubrir
Artículos relacionados:
Gestión de los Registros (Records Management) (I)
Gestión de los Registros (Records Management) (II)
Los pasos anteriores y los siguientes son base para determinar la naturaleza y extensión de las pruebas de auditoría que deban efectuarse. Las pruebas de auditoría, como se sabe, son de dos tipos: De cumplimiento y sustantivas. Buscan obtener evidencia que los controles establecidos existen en realidad y se utilizan y ejecutan correctamente. Al conjunto de pruebas resultante se denomina Programa de auditoría. El modo en que se verificó cada respuesta de los cuestionarios, debe ser incluida en los checklist.
A finales
La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa. Cabe aclarar que la Informática
Seguimos con el tema expuesto en los dos anteriores artículos.
Una estrategia de comunicación
Durante el curso de la auditoría, que puede tomar muchos meses, es importante mantener todas las partes interesadas en su entorno, y estar feliz con el progreso. Una estrategia de comunicación bien desarrollada, utilizando todos los métodos disponibles, es vital.- Una declaración general a todos los miembros del personal que explique que la auditoría de la información se llevará a cabo y por qué es del interés de todos y que se debe hacer correctamente. Esto debe tener el pleno apoyo de la alta dirección y debe ser corta y concisa.
- La comunicación periódica de antemano con los que están actuando como el contacto local / campeones. Al principio esto puede implicar una sesión de entrenamiento / discusiones y llamadas telefónicas. Más tarde, un boletín informal o comentarios a este grupo de como la auditoría avanza o no están directamente involucrados en ese punto en el tiempo.
- La comunicación directa con el área, departamento, escuela o unidad antes de que la auditoría esté programada para tener lugar. Después de que se complete, hacerle comentarios con algunas sugerencias y conclusiones preliminares.
- Elaborar informes periódicos para la administración superior, incluso si esto no es un requisito formal, como parte de la tarea. Este es un elemento vital para garantizar el apoyo continuado y, en su caso, resolver los conflictos o dificultades.
- Regulares boletines generales a todos los miembros del personal que contenga información general, ha sufrido, o hechos fascinantes encontrados durante la auditoría son importantes para ganarse a los escépticos. Esto se puede hacer a través de boletines de noticias actuales que la mayoría de las instituciones tienen o temas a través de la Intranet. Corto y rápido es la regla general.
Cómo ir sobre cómo obtener información
Hay una serie de enfoques posibles a la tarea de obtener la información necesaria:- Un cuestionario formal
- Selectiva, pero no estructuradas, entrevistas con los miembros del personal
- Las entrevistas estructuradas con los miembros clave del personal
Una entrevista no estructurada casi seguro que significa que los artículos estarán perdidos, olvidados o ignorados como "no ser importante" o relevante.
La entrevista estructurada con el personal clave, casi seguro que los responsables de la Departamental, la escuela o la administración de la facultad en el primer caso, dará a todo el ejercicio una forma y también le conducirá a otras fuentes importantes de información dentro de la misma zona. Esto debe tenerse en cuenta en el plan del proyecto, y si se lo usa con cuidado, no es una mala manera de proceder. También permite que un solo departamento / facultad / escuela sean tratados en una sola pasada y el proceso de auditoría pude pasar a otras partes de la institución.
Las preguntas que se harán
Las preguntas deben formularse de tal manera que evocan un sí / no o simplemente respondan a los hechos. Es muy importante pensar cuidadosamente las cuestiones que necesitan ser contestadas. Tienen que estar relacionado con el propósito de la encuesta y la forma en que los resultados se utilizan. No existe un formato estándar para esto, y algunas preguntas que podrían ser muy relevantes para una auditoría podría ser igualmente sin importancia en otra.Por otra parte la auditoría es una oportunidad única que no se puede repetir con mucha rapidez, por lo que debe ser lo más completa posible. La manera más económica para hacer frente a esto es configurarla como una tabla en una base de datos. Esto permitiría que algunos de los análisis preliminares puedan hacerse con las propiedades de la base de datos. He aquí una plantilla de la forma en que esto puede hacerse y un ejemplo. Sin embargo, la plantilla que se ofrece no pretende ser exhaustiva. Hay cuestiones que cada institución desea añadir como parte de su auditoría.
El inventario físico
El inventario físico se inicia con la identificación de todos los lugares utilizados en un departamento para el almacenamiento y el equipo de marca y el modelo que se está utilizando. Esto incluirá la presentación de cajones, armarios, y lugares en los que el departamento considera que debería almacenar el material fuera del sitio. Usted debe registrar ésta como la fiscalización.Es igualmente importante echar un vistazo a todos los equipos, tenga en cuenta cómo y si están conectados en red, los paquetes utilizados y las reglas de juego existentes para el e-mail y el uso de Internet. Algunas instituciones que ya van a hacer este tipo de auditoría como parte de su función de TI y la información estará disponible. En muchos casos, estos serán incluidos en el registro de activos de gestión central que debe ser de fácil acceso. Esto, entre otras cosas, le dice cuando el equipo fue comprado y por lo tanto ¿qué edad tiene y donde se sienta en un ciclo de sustitución probable?.
En cualquier caso, la estrecha colaboración y el apoyo de los colegas de TI será de vital importancia.
Próximos pasos
Análisis de la rentabilidad de la etapa de recolección de información de forma rápida revelará:- Las áreas donde los procesos de negocio están siendo apoyados adecuadamente por el mantenimiento de registros.
- Áreas donde los cambios tendrán que hacerse por externos requisitos legales o reglamentarios que no se están cumpliendo.
- Áreas donde los procesos de gestión de los registros son al azar y en un sistema regular se deben introducir.
- Áreas donde los negocios se podrían mejorar mediante la simplificación de un procedimiento.
- Áreas en las que el registro, y por lo tanto la institución, están en riesgo.
El segundo paso es la elaboración de un Programa de Retención para todo tipo de registros encontrados. Es de esperar que en las grandes instituciones de las diferentes prácticas y normas prevalecerán en diferentes partes de la organización. Es de vital importancia desde el punto de vista tanto de la Libertad de la Información y Protección de Datos, que estos estén estandarizados en toda la institución, estar de acuerdo y cumplir. Vea la sección de Registros horarios de retención (en el artículo cuarto sobre este tema).
Por último, es útil para sugerir cómo los discos de larga duración útiles podrían permanecer en un área de trabajo o archivo actual para los propósitos de negocio actuales y cuando se pudo mover con seguridad para el almacenamiento semi-actuales. El objetivo es mantener el área de trabajo actual y los sistemas tan ordenados como sea posible y se centre en el negocio de inmediato.
Registros Electrónicos
¿Hay alguna diferencia?
Los registros electrónicos requieren todos el mismo cuidado que se debe aplicar a los registros en papel o en microfilm capturado, pero presentan algunos retos adicionales únicos y difíciles. La diferencia clave es que el índice de condiciones adecuadas, la búsqueda de datos y el período de retención (normalmente se conoce como metadatos), tienen que ser aplicados en el punto de creación, si ha de haber alguna posibilidad de encontrar el registro de nuevo como un registro en cualquier sistema de negocios racional.Los registros electrónicos deben tener las características siguientes:
- Fáciles de cambiar, copiar y modificar
- Los Complejos tienden a carecer de una estructura clara cuando se están creando
- Fluidos
- Transitorios y la necesidad de decisiones positivas para la selección y preservación en el comienzo mismo del ciclo de vida.
¿Copia o grabación original?
Un registro que se crea por vía electrónica como el único registro de una transacción, la decisión o actividad constituye un documento original. Vale la pena decir que la última palabra procesados de la versión de un documento en un sistema electrónico si es un minuto o una carta no es el original de la versión en papel.Un registro que se crea como una versión electrónica o facsímil digitalizada de un registro creado en otro soporte (papel, película, voz) es un registro de copia. Esto sigue siendo cierto o no, el original todavía existe.
Objetivos de la gestión de registros electrónicos
Hay tres objetivos fundamentales que deben aplicarse a todos y cada registro electrónico nuevo:- Autenticidad. Debe ser una versión precisa de la actividad, transacción o decisión que representa
- Integridad. El registro no debe ser alterado después de que haya sido creado o 'declarado'. Como principio general, si el contenido del expediente / de información es necesaria para el procesamiento posterior de este debe ser copiado y un nuevo registro creado.
- No repudiado. La propiedad original de los registros debe ser establecida y mantenida para evitar que el autor reniegue del registro.
Registros electrónicos de administración de directivas
Esto debe cubrir cinco áreas principales:- La captura de los registros electrónicos en un Registros Electrónico y Gestión de Documentos (EDRMS) cuando exista dentro de su institución. InfoRed CSAC tiene un Infokit donde se aplican otras sobre la aplicación de Registros Electrónicos y Sistemas de Gestión Documental.
- la búsqueda de indexación. Diseñar su caso, los términos y la información de referencia (normalmente se conoce como metadatos) para la aplicación como el registro es creado. Este es el paso más importante de todos porque sin la recuperación del registro de los sistemas será prácticamente imposible después de un período muy corto de tiempo. El " triángulo de las Bermudas" electrónica donde los datos se agregan a un sistema y luego es irrecuperable, es un fenómeno muy conocido.
- Mantener registros seguros y accesibles. Esto implica la identificación del Registro Civil, fuera de las instalaciones y la actualización de las copias de seguridad, asegurando que la transferencia de datos es un proceso totalmente certificado y documentado y asegurar que las copias de seguridad cumplen también los requisitos de la Libertad de la Información y la legislación de Protección de Datos.
- E-mail de gestión y uso
- La retención y conservación de registros electrónicos. Esta es quizás la parte más pequeña de entender de la política, porque es una zona en la que los especialistas de TI han tenido tradicionalmente un exceso de confianza en su capacidad para encontrar una solución técnica, cuando sea necesario. Puede que tengan razón, pero la prevención es más barato que curar. A modo de advertencia sobre la tasa de supervivencia de los registros electrónicos de los medios de almacenamiento de la Digital Preservation Coalition, ha elaborado la siguiente tabla de esperanza de vida de diversos medios electrónicos de almacenamiento bajo diferentes condiciones de temperatura y humedad relativa.
A modo de contraste de los documentos en papel que se mantienen a una temperatura de 16-19 grados centígrados y una humedad relativa entre 45-60% debe estar bin durante más de 100 años (British Standard 5454:2000).
Buen manejo y una mejor utilización de la inversión
Hay una serie de características de muchos registros existentes de creación de los sistemas electrónicos que ofrecen algunas ventajas de la gestión de los registros. La mayoría de los usuarios operar en dos o tres áreas distintas. Los equipos de trabajo están normalmente vinculados a un espacio de trabajo en grupo, que a su vez se superponen o estan vinculados a un espacio de trabajo corporativo.En la práctica esto significa que muchos funcionarios ya están acostumbrados a la idea de trabajar en un espacio común donde los archivos tienen que ser etiquetados de tal manera que todos puedan encontrarlos fácilmente. Los niveles de acceso permitido se controlan por un administrador de sistema local, o en el espacio empresarial por la central de gestión de TI.
Esto le da la oportunidad para la gestión de los registros basados en normas, y un grado de control central. La clave del éxito es la capacitación del personal.
Las políticas tienen que cubrir
- Un acuerdo del archivo Plan de Espacios de archivos compartidos. En un sistema de gestión de registros este ideal se basaría en la función; la creación de nuevas carpetas sería estrictamente controlado, y el archivo de las convenciones de nomenclatura que se acuerden.
- Documentos de MS Office.
- El cuadro de propiedades del documento se puede utilizar para mejorar los metadatos
- Los documentos pueden ser "declarados" como registros utilizando el 'sólo lectura' como etiquetas.
- Las plantillas estándar se pueden utilizar para mejorar el diseño de formularios
- De control de versiones de documentos.
Tiene un ejemplo de cómo un equipo de proyecto SIG aplicados a la gestión de documentos de su archivo de almacenamiento. - La selección de los nuevos registros, la creación de sistemas, por ejemplo, las finanzas o sistemas de gestión de contenido web, se deben incluir.
- funcionalidad para la conservación de los registros
- la especificación genérica para responder a la libertad de información, de Protección de Datos e Información Ambiental de consultas. El Departamento de Asuntos Constitucionales del Reino Unido ha incluido una especificación en la Directgov
E-Mails
El control y la gestión de correos electrónicos es un tema muy amplio y controvertido que no puede llevarse a cabo en este Artículo. Sin embargo, es importante recordar que es el contenido de la información del e-mail lo que es importante y puede ser necesario retener más que el hecho de que ha llegado en un e-mail.
Sin embargo, hay una serie de cuestiones clave, que deben ser incorporadas en cualquier política institucional de correo electrónico, tales como:
- ¿Quién es el dueño de los e-mails, la institución o el destinatario, o es propiedad compartida de acuerdo con el contenido?
- ¿Dónde reside la responsabilidad por la captura de mensajes de correo electrónico, el destinatario o la institución?
- ¿Deberían todos los mensajes de correo electrónico eliminarse de forma automática en las semanas x, a menos que hayan sido específicamente guardados en los archivos de acuerdo?
Hay una serie de opciones que tienen que hacerse cuando la construcción de una Política de e-mail:
Propiedad
- Todos los mensajes de correo electrónico pertenecen a la institución
- Sólo los mensajes comerciales son propiedad de la institución
- Los mensajes personales son propiedad conjunta de la institución y el destinatario o el escritor
- Los mensajes personales son confidenciales
- El E-mail puede ser utilizado sólo para el negocio de la institución
- Puede ser utilizado para fines personales incidentales
- Puede ser utilizado para todos los efectos, sin restricciones
- Todos los mensajes de carácter personal deberán ser etiquetados como tales
- Los mensajes deberán revelar los límites de la autoridad del empleado
- Los mensajes personales deben llevar una advertencia de especificado
- El E-mail puede ser monitoreado por cualquier propósito comercial sin previo aviso o consentimiento. (Esto es poco probable que sea permitido por la legislación de Derechos Humanos)
- Seguimiento permitido con una buena causa o una obligación legal
- Procedimientos acordados para la vigilancia
- Falta de control
- El contenido del mensaje puede ser revelado para cualquier propósito comercial sin el consentimiento
- Divulgación conforme a la ley
- Procedimientos acordados para la divulgación
- No divulgación
- El sistema no puede ser usado para fines ilegales o ilícitos
- El sistema no puede descargar software sin la aprobación técnica y de investigación de los antecedentes
- El sistema no puede ser usado para espionaje electrónico.
Artículos relacionados:
Gestión de los Registros (Records Management) (I)
Gestión de los Registros (Records Management) (II)
No hay comentarios :
Publicar un comentario
Puedes dejar tu comentario--muchas gracias--You can leave a comment-- Thank you very much--