Consiste en revisar las políticas y procedimientos de adquisición y mantenimiento de software de sistemas operativos. Para lo cual el auditor revisa lo siguiente:
Los procedimientos relacionados con la identificación y la selección del software del sistema. Mediante entrevistas a la gerencia, para identificar:
- Los requerimientos de software.
- Las fuentes potenciales de software.
Análisis de costo/beneficio del software del sistema, consiste en revisar la documentación del análisis costo/beneficio y las alternativas que proponen y determinan si cada alternativa potencial fue evaluada adecuadamente. Esta documentación debe tener por lo menos:
- Costo directo financiado para la compra de software.
- Costo de la modificación necesaria para adaptar el software al ambiente de sistemas de información de la organización (si fuera necesario).
- Los requisitos de equipo para ese software.
- Los requisitos de capacitación asociados con la utilización de ese software.
- Los requisitos de apoyo técnico asociado a ese software.
- Análisis de las facilidades del software para cumplir con los requisitos de procesamiento de información.
- Análisis de la capacidad del software para cumplir con los requisitos de seguridad.
- Análisis de la capacidad del software para cumplir con los requisitos técnicos de la organización.
Instalación del software del sistema, Consiste en revisar el plan o procedimiento para la prueba del sistema, determinar si las pruebas se realizaron de acuerdo a ese plan y en forma exitosa, de no ser así investigar si todos los problemas se evaluaron y resolvieron antes de la instalación del software.
Mantenimiento del software del sistema, consiste en revisar la documentación relacionada con el mantenimiento o upgrade del software y determinar lo siguiente:
- Si los estándares de instalación están de acuerdo con la documentación del mantenimiento del software.
- Si los cambios en el software del sistema están debidamente explicados en cuanto a su motivo y aprobación.
- Si existen pruebas de que el cambio realmente se hizo.
- Si el personal responsable del cambio del software del sistema no pertenece al grupo de programadores.
- Si se proporciona a los usuarios del sistema documentación sobre los cambios que se realizarán.
- Si existe un registro o una bitácora de los cambios realizados al sistema.
- Si existen los controles suficientes para asegurarse que los operadores no podrán hacer cambio al sistema sin asesoría del grupo responsable de la instalación de estos cambios.
Seguridad del software del sistema, consiste en revisar los procedimientos para el acceso al software del sistema y a su documentación, para esto entrevistarse con la gerencia de o personal de adecuado para identificar los procedimientos de seguridad para restringir el acceso al software del sistema así como el personal que tiene acceso al software del sistema y a su documentación.