Análisis de Riesgo Inicial [Nombre del Sistema] [Código del Documento] © Copyright Derechos Reservados. SDLC Business Solutions 2012. Prohibida su reproducción parcial o total. Área: Validación de Sistemas Computarizados Código de Formato: A1-PO-VSC-02/00 Título: ANÁLISIS DE RIESGO INICIAL [Nombre del Sistema] Fecha Elaboración: DDMMMAAAA Código: [Código del Documento] Versión: Página 00 2 de 8 Firmas de Revisión – Aprobación Elaboró: Nombre Fecha Firma Fecha Firma Fecha Firma [Nombre de quien elabora documento] [Responsabilidad] [Nombre de la Empresa] Revisó: Nombre [Nombre de quien revisa documento] [Responsabilidad] [Nombre de la Empresa] [Nombre de quien revisa documento] [Responsabilidad] [Nombre de la Empresa] Autorizó: Nombre [Nombre de quien autoriza documento] [Responsabilidad] [Nombre de la Empresa] [Nombre de quien autoriza documento] [Responsabilidad] [Nombre de la Empresa] © Copyright Derechos Reservados. SDLC Business Solutions 2012. Prohibida su reproducción parcial o total. Área: Validación de Sistemas Computarizados Código de Formato: A1-PO-VSC-02/00 Título: ANÁLISIS DE RIESGO INICIAL [Nombre del Sistema] Fecha Elaboración: DDMMMAAAA Código: [Código del Documento] Versión: Página 00 3 de 8 Histórico del Documento Versión Resumen de Cambio Autor (es) Fecha [Quien elabora documento] DDMMMAAA © Copyright Derechos Reservados. SDLC Business Solutions 2012. Prohibida su reproducción parcial o total. Área: Validación de Sistemas Computarizados Código de Formato: A1-PO-VSC-02/00 Título: ANÁLISIS DE RIESGO INICIAL [Nombre del Sistema] Fecha Elaboración: DDMMMAAAA Código: Versión: [Código del Documento] Página 00 4 de 8 Tabla de contenido Firmas de Revisión – Aprobación .......................................................................................................... 2 Histórico del Documento ........................................................................................................................ 3 1. Descripción .................................................................................................................................... 5 2. Registros y Firmas Electrónicas ..................................................................................................... 6 3. Evaluación (Uso exclusivo del área de validación de sistemas de cómputo) .................................. 7 4. Resumen de la Evaluación ............................................................................................................. 8 © Copyright Derechos Reservados. SDLC Business Solutions 2012. Prohibida su reproducción parcial o total. Área: Validación de Sistemas Computarizados Código de Formato: A1-PO-VSC-02/00 Título: ANÁLISIS DE RIESGO INICIAL [Nombre del Sistema] Fecha Elaboración: Código: DDMMMAAAA Versión: [Código del Documento] Página 00 5 de 8 1. Descripción Nombre del Sistema: Clave de Inventario: Ubicación/Área: Dueño Responsable: o Firma y Fecha: Función principal del sistema / Procesos que resuelve: <Dar una breve descripción de la situación actual del sistema y el proceso al cual está incorporado o se incorporará e identificar los beneficios que se esperan obtener de la validación del sistema computarizado.> Interfaces con Otros Sistemas: < Describir si el sistema computarizado tiene interface con otros sistemas que impacte directamente la seguridad del usuario, calidad, integridad de datos o al negocio.> Regulaciones o Políticas Aplicables: <Registrar los documentos regulatorios utilizados para la elaboración del documento y que dependen del tipo de sistema y sector económico al que pertenece.> © Copyright Derechos Reservados. SDLC Business Solutions 2012. Prohibida su reproducción parcial o total. Área: Validación de Sistemas Computarizados Código de Formato: A1-PO-VSC-02/00 Título: ANÁLISIS DE RIESGO INICIAL [Nombre del Sistema] Fecha Elaboración: DDMMMAAAA Código: Versión: [Código del Documento] Página 00 6 de 8 2. Registros y Firmas Electrónicas Registros electrónicos que guardará el sistema: <Esta sección debe contener información relacionada a la extensión de la validación del sistema en el uso de registros electrónicos. Describir donde se tiene considerado el uso de registros electrónicos en el proceso e identificar si serán utilizados para la toma de decisiones.> Administración de los Registros (Electrónicos vs Papel): < Describir si los registros electrónicos generados por el sistema serán impresos en papel y si serán firmados manualmente para certificar su contenido o el registro electrónico será solo de consulta.> Procesos en los que se tiene considerado el uso de firmas electrónicas: <Esta sección debe contener información relacionada a la extensión de la validación del sistema en el uso de firmas electrónicas. Describir donde se tiene considerado el uso de firmas electrónicas en el proceso.> © Copyright Derechos Reservados. SDLC Business Solutions 2012. Prohibida su reproducción parcial o total. Área: Validación de Sistemas Computarizados Código de Formato: A1-PO-VSC-02/00 Título: ANÁLISIS DE RIESGO INICIAL [Nombre del Sistema] Fecha Elaboración: DDMMMAAAA Código: Versión: [Código del Documento] Página 00 7 de 8 3. Evaluación (Uso exclusivo del área de Validación de Sistemas Computarizados) 3.1 Impacto Regulatorio ¿El sistema computarizado será utilizado como parte de algún proceso operativo donde apliquen requerimientos regulatorios? ¿El sistema de cómputo será utilizado como parte de algún proceso financiero o de negocio donde apliquen requerimientos regulatorios? En caso de que ambas respuestas sean negativas “NO”, pase al punto 3.3 y cancele el punto 3.2. 1. ¿El sistema tiene un impacto directo con la calidad, la seguridad, la pureza y/o eficacia de los productos o servicios a sistemas para cumplimiento regulatorio? 2. ¿El sistema tiene un impacto indirecto en la calidad, la seguridad, la pureza y/o eficacia de los productos o servicios a sistemas relacionados con cumplimiento 3.2 Riesgo Regulatorio regulatorio? o de Negocio 3. ¿El sistema respalda a los sistemas que ayudan a mantener la calidad, la seguridad, la pureza y/o eficacia de los productos o servicios y respaldan a sistemas relacionados con el cumplimiento regulatorio? ¿El sistema tiene un impacto directo con alguna toma de decisión que impacte al negocio? Categoría 1 – Software de Infraestructura 3.3 Categoría del Sistema Categoría 3 – Productos no configurables Categoría 4 – Productos configurables Categoría 5 – Sistemas a la Medida Esta sección aplica si el sistema creará, modificará, almacenará, mantendrá, archivará, recuperará o transmitirá registros y/o firmas a medios electrónicos durables que sean solicitados por algún requerimiento regulatorio. A. ¿Serán impresos en papel los registros electrónicos? B. ¿Serán utilizadas firmas manuscritas en los registros en papel para certificar los datos contenidos en los registros electrónicos? 3.4 Registros y Firmas Electrónicas C. ¿Serán utilizadas firmas electrónicas en los registros electrónicos? D. ¿Serán utilizadas firmas biométricas en los registros electrónicos? E. ¿Serán utilizados dispositivos electrónicos para autenticarse en el sistema? F. ¿El sistema se encuentra en un ambiente donde el acceso es controlado (sistema cerrado / sistema abierto)? 3.5 Interface del Sistema El sistema enviará y/o recibirá datos a un sistema computarizado que tiene impacto regulatorio o de negocio. Una respuesta afirmativa indica que se debe validar la interface, y una evaluación del sistema debe realizarse para determinar el impacto de los datos y si el sistema debe cumplir con parte 11. © Copyright Derechos Reservados. SDLC Business Solutions 2012. Prohibida su reproducción parcial o total. Área: Validación de Sistemas Computarizados Código de Formato: A1-PO-VSC-02/00 Título: ANÁLISIS DE RIESGO INICIAL [Nombre del Sistema] Fecha Elaboración: DDMMMAAAA Código: Versión: [Código del Documento] Página 00 8 de 8 4. Resumen de la Evaluación Impacto regulatorio y Documentación del Sistema Riesgo Regulatorio Una Respuesta afirmativa en el punto 3.1 de la sección de evaluación indica que el sistema tiene impacto regulatorio y debe ser validado. Una respuesta negativa en el punto 3.1 de la sección de evaluación indica que el sistema no tiene impacto regulatorio y se documenta de acuerdo a la política del cliente. De acuerdo al punto 3.2 de la evaluación el sistema se define el riesgo regulatorio de acuerdo a lo siguiente; Impacto: Regulatorio Negocio Categoría del Sistema Si la respuesta 3.2 (1) es “SI” = Alta prioridad Si la respuesta 3.2 (2) es “SI” = Media prioridad Si la respuesta 3.2 (3) es “SI” = Baja prioridad Si la respuesta 3.2 (4) es “SI” = Alta prioridad al negocio Prioridad: Tipo de Interface del Sistema De acuerdo al punto 3.5 de la evaluación indicar el tipo de interface Transmisión Recepción Bidireccional Registros y Firmas Electrónicas <Describir los requerimientos de cada una de las preguntas de la sección 3.4 en caso de que la respuesta sea SI.> © Copyright Derechos Reservados. SDLC Business Solutions 2012. Prohibida su reproducción parcial o total. Área: Validación de Sistemas Computarizados Código de Formato: A1-PO-VSC-02/00