SlideShare una empresa de Scribd logo

Tema 6

Carmelo Branimir España Villegas
Carmelo Branimir España Villegas
1 de 76
Descargar para leer sin conexión
Auditoria del Desarrollo ¿Qué es el Desarrollo de Sistemas? Podemos definir el desarrollo de sistemas Informáticos como el proceso mediante el cual el conocimiento humano y el uso de las ideas son llevados a las computadoras, de manera que pueda realizar las tareas para la cual fue desarrollada. Para que esto sea utilizado deberán:  funcionar adecuadamente,  ser de fácil manejo,  adecuarse a la empresa para la que fue diseñada y  debe ayudar al personal a realizar su trabajo de forma eficiente.
Auditoria del Desarrollo Algunas consideraciones… Ya que cada organización puede descomponerse funcionalmente en departamentos, áreas, unidades, etc. es necesario que los mecanismos de control interno existan y se respeten en cada una de las divisiones funcionales para que éstas cumplan y hagan posible que la organización en su conjunto funcione de manera correcta.
Auditoria del Desarrollo Algunas consideraciones… Aplicando la división funcional al departamento de informática de cualquier entidad, una de las áreas que tradicionalmente aparece es la de desarrollo. Esta función abarca todas las fases que se deben de seguir desde que aparece la necesidad de disponer de un determinado sistema de información hasta que éste es construido e implantado. Para delimitar el ámbito de este tema, se entenderá que el desarrollo incluye todo el ciclo de vida del software excepto la explotación, el mantenimiento y el fuera de servicio de las aplicaciones cuando ésta tenga lugar.
Auditoria del Desarrollo Ciclo de vida típico de los Sistemas Informáticos Auditoría del Desarrollo
Auditoria del Desarrollo Evaluación del estudio de factibilidad de los Sistemas Informáticos La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual debe analizar si el sistema es factible de realizarse, cuál es su relación costo/beneficio y si es recomendable elaborarlo. Se deberá solicitar el estudio de factibilidad de los diferentes sistemas a desarrollar para evaluar si se considera la disponibilidad y características del equipo, los sistemas operativos y lenguajes disponibles, la necesidad de los usuarios, las formas de utilización de los sistemas, el costo y los beneficios que reportará el sistema, el efecto que producirá en quienes lo usarán y el efecto que éstos tendrán sobre el sistema y la congruencia de los diferentes sistemas.
Auditoria del Desarrollo Evaluación del estudio de factibilidad de los Sistemas Informáticos Para investigar el costo de un sistema se debe considerar, con una exactitud razonable, el costo de los programas, el uso de los equipos (compilaciones, programas, pruebas, paralelos), tiempo, personal y operación, cosa que en la práctica son costos directos, indirectos y de operación. Los beneficios que justifiquen el desarrollo de un sistema pueden ser el ahorro en los costos de operación, la reducción del tiempo de proceso de un sistema. Mayor exactitud, mejor servicio, una mejoría en los procedimientos de control, mayor confiabilidad y seguridad.
Auditoria del Desarrollo Qué es Auditoría del Desarrollo? Es la revisión y la evaluación de los: controles, sistemas, procedimientos de informática de los equipos de computo, su utilización, eficiencia, y Seguridad de la organización que participan en el procesamiento de la información, A fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.
Auditoria del Desarrollo Campo de acción de la Auditoría del Desarrollo Prerrequisitos del usuario y del entorno Análisis funcional Diseño Análisis orgánico (pre-programación y programación) Pruebas Entrega a explotación y alta para el proceso
Auditoria del Desarrollo Consideraciones de la Auditoría del Desarrollo 1. Revisión de las metodologías utilizadas. 2. Control interno de aplicaciones. 3. Satisfacción de usuarios 4. Control de procesos y ejecuciones de programas críticos
Auditoria del Desarrollo Rol del auditor en la Auditoría del Desarrollo Durante el desarrollo del proyecto el auditor debe participar en forma activa para: Evaluar el cumplimiento de cada una de las fases definidas en la metodología como verificar la existencia de la documentación resultante Identificar y evaluar los controles de aplicación Pruebas e implantación del nuevo sistema
Auditoria del Desarrollo Rol del auditor en la Auditoría del Desarrollo En esta fase el auditor debe evaluar: Los planes de prueba a ejecutar por el personal involucrado en el proyecto Alcance de las pruebas programadas incluyendo las interfaces con otros sistemas La documentación de las pruebas ejecutadas La aprobación del personal usuario El proceso de migración a la nueva aplicación, si este es el caso El procedimiento definido para el montaje de la aplicación El cumplimiento de los planes de capacitación técnica y de usuarios
Auditoria del Desarrollo Rol del auditor en la Auditoría del Desarrollo Adicionalmente, en esta fase el auditor deberá:  Efectuar pruebas de cumplimiento y/o sustantivas orientadas a comprobar lo adecuado de la implantación de los controles y funcionalidad del sistema  Conformar un programa de auditoria para su aplicación posterior
Auditoria del Desarrollo IMPORTANCIA DE LA AUDITORÍA DE DESARROLLO Aunque cualquier departamento o área de una organización es susceptible de ser auditado, hay una serie de circunstancias que hacen especialmente importante al área de desarrollo, y por tanto también de auditoría, frente a otras funciones o áreas dentro del departamento de informática: 1. Los avances en tecnologías de las computadoras han hecho que actualmente el desafío más importante y el principal reto sea la calidad del software 2. El gasto destinado a software es cada vez superior al que se dedica al hardware
Auditoria del Desarrollo IMPORTANCIA DE LA AUDITORÍA DE DESARROLLO 3. El software como producto es muy difícil de validar. Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costos de mantenimiento. 4. El índice de fracasos en proyectos de desarrollo es demasiado alto, lo cual denota la inexistencia o mal funcionamiento de los controles en este proceso. 5. Las aplicaciones informáticas, que son el producto principal obtenido al final del desarrollo, pasan a ser la herramienta de trabajo principal de las áreas informatizadas, convirtiéndose en un factor esencial para la gestión y la toma de decisiones.
Auditoria del Desarrollo IMPORTANCIA DE LA AUDITORÍA DE DESARROLLO La participación de la auditoria de desarrollo contribuye a evitar o minimizar los siguientes riesgos: Los requerimientos del usuario no se satisfagan Las pruebas de aceptación no sean adecuadas La terminación de los proyectos o actividades no estén dentro del tiempo y costo programado No se establezca una metodología estándar de desarrollo, adquisición o mantenimiento
Auditoria del Desarrollo IMPORTANCIA DE LA AUDITORÍA DE DESARROLLO No se incorporen controles de aplicación en los nuevos sistemas No se integren herramientas de auditoría para verificar los controles No se mantengan los controles administrativos para tener un proceso metódico y disciplinado de desarrollo/adquisición/mantenimiento El nuevo sistema de información no se integre adecuadamente a la plataforma tecnológica de la empresa.
Auditoria del Desarrollo ¿Cuál es la realidad de los proyectos TI?  En 2007 del total de lo proyectos de TI monitoreados, sólo el 29% lo logró a tiempo y en costo, los costos promedio se excedieron 56% y en promedio tomó 84% más de tiempo para completarse. Fuente: Over due and over budget, over and over again” The Economist
Auditoria del Desarrollo ¿Cuál es la realidad de los Proyectos? 15% de los proyectos fracasan y son cancelados totalmente 51% no cumplen sus objetivos 42% en promedio por encima del presupuesto 82% no cumplen el cronograma US $55.000 millones perdidos en proyectos sólo en USA US $17.000 millones en sobrecostos
Auditoria del Desarrollo ¿Por qué los Proyectos fallan? Falta de comprensión del problema, visión ligera del alcance Problemas tecnológicos y con proveedores Problemas de comunicación y trabajo en equipo Problemas de liderazgo Problemas metodológicos. Falta de un proceso de administración de proyectos.
Auditoria del Desarrollo PLANTEAMIENTO Y METODOLOGÍA. Para tratar la auditoría de desarrollo es necesario, en primer lugar, acotar las funciones o tareas que son responsabilidad del área. Teniendo en cuenta que puede haber variaciones de una organización a otra, las funciones que tradicionalmente se asignan al área son:  Planificación del área y participación en la elaboración del plan estratégico de informática  Desarrollo de nuevos sistemas  Estudio de nuevos lenguajes, técnicas, metodologías, estándares, herramientas, etc. y adopción de los mismos para mantener un nivel de vigencia adecuado al momento.  Establecimiento de un plan de formación para el personal adscrito al área  Establecimiento de normas y controles para todas las actividades que se realizan en el área y comprobación de su observancia.
Auditoria del Desarrollo Una metodología aplicable es la propuesta por la ISACA (Information Systems Audit and Control Association), que está basada en la evaluación de riesgos partiendo de los riesgos potenciales a los que está sometida una actividad (en este caso el desarrollo de un sistema de información), se determinan una serie de objetivos de control que minimicen esos riesgos. Para cada objetivo de control se especifican una o más técnicas de control, también denominadas simplemente controles, que contribuyan a lograr el cumplimiento de dicho objetivo. Además, se aportan una serie de pruebas de cumplimiento que permitan la comprobación de la existencia y correcta aplicación de dichos controles. PLANTEAMIENTO Y METODOLOGÍA.
Auditoria del Desarrollo El esquema de un objetivo de control es: Objetivo de Control X: TC-X-1: Técnica de Control 1 del objetivo de Control X Una vez definidos los objetivos de control, será función del auditor determinar el grado de cumplimiento de cada uno de ellos. Para cada objetivo se estudiarán todos los controles asociados al mismo, usando para ello las pruebas de cumplimiento propuestas. PLANTEAMIENTO Y METODOLOGÍA.
Auditoria del Desarrollo Con cada prueba de cumplimiento se obtendrá alguna evidencia, bien sea directa o indirecta, sobre la corrección de los planes. Si una simple comprobación no ofrece ninguna evidencia, será necesaria la realización de exámenes más profundos. En los controles en los que sea impracticable una revisión exhaustiva de los elementos de verificación, bien porque los recursos de auditoría sean limitados o porque el número de elementos a inspeccionar sea muy elevado, se examinará una muestra representativa que permita inferir el estado de todo el conjunto. PLANTEAMIENTO Y METODOLOGÍA.
Auditoria del Desarrollo El estudio global de todas las conclusiones, pruebas y evidencias obtenidas sobre cada control permitirán al auditor obtener el nivel de satisfacción de cada objetivo de control, así como cuáles son los puntos fuertes y débiles del mismo. Con esta información y teniendo en cuenta las particularidades de la organización en estudio, se determinará cuáles son los riesgos no cubiertos, en qué medida lo son y qué consecuencias se pueden derivar de esa situación. Estas conclusiones, junto con las recomendaciones acumuladas, serán las que se plasmen en el informe de auditoría. PLANTEAMIENTO Y METODOLOGÍA.
Auditoria del Desarrollo Aspectos a tener en cuenta en una metodología de desarrollo de sistemas 1. Documentación interna de los programas Los programas deben estar debidamente documentados, para que el mantenimiento de los mismos sea rápido y fácil sin tener que depender de la persona que lo elaboró. Los nombres de las variables, constantes, programas, tablas, funciones y procedimientos deben ser mnemónicos, es decir que reflejen la información que contienen. PLANTEAMIENTO Y METODOLOGÍA.
Auditoria del Desarrollo 1. Documentación interna de los programas (Cont.…) Las variables y constantes deben cumplir los siguientes estándares : ₱ La longitud máxima de una variable debe ser de 15 caracteres. ₱ Todas la variables deben iniciar con la letra “v” que significa variable y las constantes deben de iniciar con la letra “c” que significa constante. Por ejemplo: * v_suma = es una variable que va a contener el total de una suma. * c_iva = es una constante que va ha contener el porcentaje de iva actual. PLANTEAMIENTO Y METODOLOGÍA.
Auditoria del Desarrollo 1. Documentación interna de los programas (Cont.…) Los programas deben cumplir los siguientes estándares : ₱ Los nombres de los programas deben incluir las tres primeras letras del sistema al que corresponde, en la quinta posición debe colocarse una “p” que significa programa y además un nombre mnemónico con un máximo de seis caracteres, para completar diez caracteres para nombres de programas. Por ejemplo : nom_pdce1 = nómina, programa de la dirección de contabilidad del estado versión uno PLANTEAMIENTO Y METODOLOGÍA.
Auditoria del Desarrollo 1. Documentación interna de los programas (Cont.…) ₱ Dentro de los programas se deben colocar comentarios generales para describir cuales son las funciones que realiza, además de documentar las variables y constantes existentes al inicio de cada programa, con la finalidad de llevar a cabo modificaciones en forma rápida y sin problemas. PLANTEAMIENTO Y METODOLOGÍA.
Auditoria del Desarrollo 1. Documentación interna de los programas (Cont.…) ₱ Cada programa debe tener un encabezado que describa brevemente cual es la función que realiza, además de los siguientes requisitos : PLANTEAMIENTO Y METODOLOGÍA. Nombre del proyecto. Nombre de la institución . Objetivo. Lenguaje en que se realizó. Dispositivos de salida. Fecha de finalización. Fecha de cambio. Módulo al que pertenece.
Auditoria del Desarrollo 1. Documentación interna de los programas (Cont.…) Las tablas (Archivos) deben cumplir los siguientes estándares : ₱ Tener un nombre mnemónico. ₱ Tener un máximo de nueve caracteres. ₱ Crear procedimientos para efectuar modificaciones a las tablas tales como agregar, eliminar y cambios generales en los campos. PLANTEAMIENTO Y METODOLOGÍA.
Auditoria del Desarrollo 1. Documentación interna de los programas (Cont.…) Las tablas (Archivos) deben cumplir los siguientes estándares : ₱ Las tablas existentes deben ser documentadas debidamente con el propósito de tener una visión clara del contenido de cada uno de los componentes de dicha tabla. Ejemplo: Nombre de la tabla : Empleado: Esta tabla contiene la información de los empleados. Campos: No. empleado = En este campo se guarda el correlativo que diferencia a un empleado del otro; Salario = Contiene el salario de cada empleado PLANTEAMIENTO Y METODOLOGÍA.
Auditoria del Desarrollo 1. Documentación interna de los programas (Cont.…) Las funciones y procedimientos deben cumplir los siguientes estándares : ₱ Tener un nombre mnemónico. ₱ Incluir una breve descripción de las operaciones que realiza. ₱ Documentar las variables y constantes existentes. ₱ Todas las funciones y procedimientos deben estar estructurados. PLANTEAMIENTO Y METODOLOGÍA.
Auditoria del Desarrollo 1. Documentación interna de los programas (Cont.…) Los nombres de programas, reportes, gráficas, formas, consultas en sentencias SQL , deben tener 10 caracteres los cuales deben cumplir los siguientes parámetros: ₱ Deben de colocarse en las tres primeras letras el nombre de la aplicación, en la cuarta letra , colocar una de las siguientes opciones: P = programa • R = reporte • F = formas • G = gráficas • Q = query (consultas SQL) Las siguientes 6 letras describen la función que se realiza. PLANTEAMIENTO Y METODOLOGÍA.
Auditoria del Desarrollo 2. Documentación externa de los programas Diseñar manuales de usuario para cada sistema elaborado y por realizarse, los cuales deben cumplir los siguientes requerimientos : ₱ Diseño de pantallas. ₱ Guía de ayuda fácil de usar. ₱ Actual. ₱ Eminentemente práctica. Diseñar un catalogo de errores con las siguientes características : ₱ Códigos de error ₱ Mensajes de error ₱ Breve descripción de errores ₱ Posibles causas y soluciones Además todos los sistemas deben de poseer un flujograma para tener una visión general de cada sistema. PLANTEAMIENTO Y METODOLOGÍA.
Auditoria del Desarrollo 1. Especificación de los requerimientos del cliente 2. Análisis y plan de desarrollo 3. Diseño 4. Desarrollo5. Pruebas y validación 6. Reproducción, entrega e instalación 7. Mantenimiento de sistemas Fases de un ciclo de vida de desarrollo de sistemas
Auditoria del Desarrollo Aprobación, planificación y gestión del proyecto Análisis Diseño Construc ción Implanta ción Etapas del Desarrollo de un Sistema
Auditoria del Desarrollo Proyectos de desarrollo de sistemas de información 1. Aprobación, planificación y gestión del proyecto 2. Análisis  Análisis de requerimientos  Especificación funcional 3. Diseño  Diseño técnico o de detalle 4. Construcción  Desarrollo de componentes  Desarrollo de procedimientos 5. Implantación  Pruebas, implantación y aceptación
Auditoria del Desarrollo Objetivos de Control a Auditar OBJETIVO DE CONTROL: El área de desarrollo debe tener responsabilidades asignadas dentro del departamento y una organización que le permita el cumplimiento de las mismas. Deben establecerse de forma clara las funciones del área de desarrollo dentro del departamento de informática. Se debe comprobar que: Existe documento que contiene las funciones que son competencia del área de desarrollo, que está aprobado por la dirección informática y que se respeta.
Auditoria del Desarrollo Objetivos de Control a Auditar OBJETIVO DE CONTROL: El desarrollo de sistemas de información debe hacerse aplicando principios de ingeniería del software ampliamente aceptados. Debe tenerse implantada una metodología de desarrollo de sistemas de información. Se debe comprobar que: La metodología cubre todas las fases del desarrollo y es adaptable a distintos tipos de proyectos.
Auditoria del Desarrollo Como se puede observar en el esquema de agrupación de objetivos de control propuestos, dentro del desarrollo de sistemas de información se han propuesto cinco subdivisiones, entre las cuales se encuentran: análisis, diseño, construcción e implantación. Estas fases, ampliamente aceptadas en ingeniería de software para el desarrollo, son en concreto las que propone la metodología de desarrollo de sistemas de información.
Auditoria del Desarrollo Además de estas fases, se ha añadido una subdivisión que contiene los objetivos y técnicas de control concernientes a la aprobación, planificación y gestión del proyecto. La aprobación del proyecto es un hecho previo al comienzo del mismo, mientras que la gestión se aplica a lo largo de su desarrollo. La planificación se realiza antes de iniciarse, pero sufrirá cambios a medida que el proyecto avanza en el tiempo.
Auditoria del Desarrollo Las técnicas a utilizar y los elementos a inspeccionar, normalmente los productos y documentos generados en cada fase del desarrollo, serán los mismos en ambos casos. La única diferencia es que en el primer caso las conclusiones que vaya aportando el auditor pueden afectar el desarrollo del proyecto, aunque nunca participará en la toma de decisiones. Para controlar se pueden solicitar los entregables para marcar los hitos de entrega, el cumplimiento de los objetivos de control de cada fase del desarrollo.
Auditoria del Desarrollo Aprobación, planificación y gestión del proyecto. OBJETIVO DE CONTROL: El proyecto de desarrollo debe estar aprobado, definido y planificado formalmente. Debe existir una orden de aprobación del proyecto que defina claramente los objetivos, restricciones y las unidades afectadas. Se debe comprobar que: Existe una orden de aprobación del proyecto firmada por un órgano competente. En el documento de aprobación están definidos de forma clara y precisa los objetivos del mismo y las restricciones de todo tipo que deben tenerse en cuenta (temporales, recursos técnicos, recursos humanos, presupuesto, etc.).  Se han identificado las unidades de la organización a las que afecta.
Auditoria del Desarrollo Auditoría de la fase de análisis Análisis de requerimientos del Sistema En este módulo se identificarán los requerimientos del nuevo sistema. Se incluirán tanto los requerimientos funcionales como los no funcionales, distinguiendo para cada uno de ellos su importancia y prioridad. A partir del conocimiento del sistema actual y sus problemas asociados, junto con los requerimientos que se exigirán al nuevo sistema, se determinarán las posibles soluciones alternativas que satisfagan esos requerimientos y de entre ellas se elegirá la más adecuada.
Auditoria del Desarrollo Auditoría de la fase de análisis Análisis de requerimientos del Sistema OBJETIVO DE CONTROL: Los usuarios y responsables de las unidades a las que afecte el nuevo sistema establecerán de forma clara los requerimientos del mismo.
Auditoria del Desarrollo Auditoría de la fase de análisis Análisis de requerimientos del Sistema En el proyecto deben participar usuarios de todas las unidades a las que afecte el nuevo sistema. Esta participación, que se hará normalmente a través de entrevistas, tendrá especial importancia en la definición de requerimientos del sistema. Se debe comprobar que:  Existe un documento aprobado por el comité de dirección en el que se determina formalmente el grupo de usuarios que participará en el proyecto.  Los usuarios elegidos son suficientemente representativos de las distintas funciones que se llevan a cabo en las unidades afectadas por el nuevo sistema.  Se les ha comunicado a los usuarios su participación en el proyecto, informándoles del ámbito del mismo y de qué es lo que se espera de ellos, así como la dedicación estimada que les supondrá esta tarea.
Auditoria del Desarrollo Auditoría de la fase de análisis Especificación funcional del sistema Una vez conocido el sistema actual, los requerimientos del nuevo sistema y la alternativa de desarrollo más favorable, se elaborará una especificación funcional detallada del sistema que sea coherente con lo que se espera de el. La participación de los usuarios en este módulo y la realización de entrevistas siguen las pautas ya especificadas en el análisis de requerimientos del sistema, por lo que se pasa por alto la comprobación de estos aspectos.
Auditoria del Desarrollo Auditoría de la fase de análisis Especificación funcional del sistema El grupo de usuarios y los responsables de las unidades afectadas deben ser la principal fuente de información. Se considera un único objetivo de control, ilustrando como siempre, solo uno de ellos: OBJETIVO DE CONTROL: El nuevo sistema debe especificarse de forma completa desde el punto de vista funcional, contando esta especificación con la aprobación de los usuarios.
Auditoria del Desarrollo Auditoría de la fase de diseño En la fase de diseño se elaborará el conjunto de especificaciones físicas del nuevo sistema que servirán de base para la construcción del mismo. Hay un único módulo: Diseño técnico del sistema A partir de las especificaciones funcionales, y teniendo en cuenta el entorno tecnológico, se diseñará la arquitectura del sistema y el esquema externo de datos. OBJETIVO DE CONTROL: Se debe definir una arquitectura física para el sistema coherente con la especificación funcional que se tenga y con el entorno tecnológico elegido.
Auditoria del Desarrollo Auditoría de la fase de construcción En esta fase se programarán y probarán los distintos componentes y se pondrán en marcha todos los procedimientos necesarios para que los usuarios puedan trabajar con el nuevo sistema. Estará basado en las especificaciones físicas obtenidas en la fase de diseño. Hay dos módulos.
Auditoria del Desarrollo Auditoría de la fase de construcción Desarrollo de los componentes del Sistema En este módulo se realizarán los distintos componentes, se probarán tanto individualmente como de forma integrada, y se desarrollarán los procedimientos de operación. OBJETIVO DE CONTROL: Los componentes o módulos deben desarrollarse usando técnicas de programación correctas.
Auditoria del Desarrollo Desarrollo de los procedimientos de usuario En este módulo se definen los procedimientos y formación necesarios para que los usuarios puedan utilizar el nuevo sistema adecuadamente. Fundamentalmente se trata de la instalación, la conversión de datos y la operación/explotación. OBJETIVO DE CONTROL: Al término del proyecto, los futuros usuarios deben estar capacitados y disponer de todos los medios para hacer uso del sistema.
Auditoria del Desarrollo Auditoría de la fase de implantación En esta fase se realizará la aceptación del sistema por parte de los usuarios, además de las actividades necesarias para la puesta en marcha. Hay un único módulo: Pruebas, implantación y Aceptación del Sistema Se verificará en este módulo que el sistema cumple con los requerimientos establecidos en la fase de análisis. Una vez probado y aceptado se pondrá en explotación.
Auditoria del Desarrollo Auditoría de la fase de implantación OBJETIVO DE CONTROL: El sistema debe ser aceptado formalmente por los usuarios antes de ser puesto en explotación. Esta etapa se denomina Certificación usuaria.
Auditoria del Desarrollo Auditoría de la fase de implantación Se deben realizar las pruebas del sistema que se especificaron en el diseño del mismo. Se debe comprobar que: • Se prepara el entorno y los recursos necesarios para realizar las pruebas • Las pruebas se realizan y permiten verificar si el sistema cumple las especificaciones funcionales y si interactúa correctamente con el entorno, incluyendo interfaces con otros programas, recuperación ante fallas, copias de seguridad, tiempos de respuesta, etc. • Se han evaluado los resultados de las pruebas y se han tomado las acciones correctoras necesarias para solventar las incidencias encontradas.
Auditoria del Desarrollo La auditoria en el área de desarrollo se subdivide en: 1. Auditoria de la organización y gestión del área de desarrollo. 2. Auditoria de proyectos de desarrollo de Sistemas de Información.
Auditoria del Desarrollo Los objetivos de control se agrupan en varias series: 1. Organización y gestión del área de desarrollo ( Serie A) 2. Proyectos de desarrollo de Sistemas de Información (SI) • Aprobación, Planificación y Gestión del Desarrollo(Serie B) Análisis • Análisis de requisitos (Serie C) • Especificación Funcional (Serie D) Diseño • Diseño Técnico (Serie E) Construcción • Desarrollo de Componentes (Serie F) • Desarrollo de Procedimientos de usuario (Serie G) Implantación • Pruebas, implantación y aceptación (Serie H)
Auditoria del Desarrollo Auditoría de la Organización y Gestión del Área de Desarrollo. Cada proyecto de desarrollo tiene entidad y se gestiona con cierta autonomía, para poder llevarse a cabo necesita apoyarse en el personal del área y en los procedimientos establecidos. • Objetivo de Control A1: El área de desarrollo debe cumplir con procedimientos y una organización dentro del departamento. C-A1-1: Debe establecerse las funciones del área de desarrollo dentro del departamento de informática. Se debe comprobar que:  Existe el documento que contiene las funciones del área de desarrollo y está aprobado por la dirección de informática.
Auditoria del Desarrollo C-A1-2: Debe especificarse el organigrama con la relación de puestos del área y el puesto que ocupa cada persona. Se debe comprobar que:  Existe un organigrama con la estructura de organización del área.  Para cada puesto se debe describir las funciones a desempeñar y la dependencia jerárquica del mismo.  Están establecidos los procedimientos de promoción de personal a puestos superiores.
Auditoria del Desarrollo C-A1-3: El área debe tener y difundir su propio plan a corto, medio y largo plazo. Se debe comprobar que:  El plan existe, es claro y realista.  Se revisa y actualiza con periodicidad en función de las nuevas situaciones.  Se difunde a todos los empleados para que se sientan partícipes.
Auditoria del Desarrollo C-A1-4: El área de desarrollo llevará su propio control presupuestario. Se debe comprobar que:  El presupuesto se cumple.  El presupuesto está acorde con los objetivos a cumplir. • Objetivo de Control A2: El personal del área de desarrollo debe contar con la formación adecuada y estar motivado para la realización de su trabajo. C-A2-1: Debe existir procedimientos de contratación objetivos. Se debe comprobar que:  Las ofertas de puestos del área se difunden suficientemente fuera de la organización.  Las personas seleccionadas cumplen con requisitos del puesto al que acceden.
Auditoria del Desarrollo C-A2-2: Debe existir un protocolo de recepción/abandono para las personas que se incorporan o dejan el área. Se debe comprobar que: El protocolo existe y se respeta para cada incorporación/abandono. En la incorporación se incluye estándares definidos, manual de organización del área, definición de puestos, etc. En los abandonos de personal se garantiza la protección del área. C-A2-3: Debe existir una biblioteca y una hemeroteca accesibles al personal del área. Se debe comprobar que:  Están disponibles libros, publicaciones periódicas, monografías, etc. Y el personal tiene acceso a ellos.
Auditoria del Desarrollo C-A2-4: El personal debe estar motivado en la realización de su trabajo. Se debe comprobar que:  Exista un mecanismo que permita que los empleados hagan sugerencias sobre las mejoras en la organización del área.  No existe una gran rotación de personal y hay un buen ambiente de trabajo.
Auditoria del Desarrollo • Objetivo de Control A3: Si existe un plan de sistemas, los proyectos que se lleven a cabo, se basarán en dicho plan y lo mantendrán actualizado. C-A3-1: Los nuevos proyectos deben basarse en el plan de sistemas en cuanto a objetivos, marco general y horizonte temporal. Se debe comprobar que:  Las fechas de realización coinciden con las del plan de sistemas.  La documentación relativa a cada proyecto debe contener los objetivos, los requisitos generales y un plan inicial.
Auditoria del Desarrollo C-A3-2: El plan de sistemas debe actualizarse con la información que se genera a lo largo de un proceso de desarrollo. Se debe comprobar que:  Los cambios en los proyectos se comunican al responsable de mantenimiento del plan de sistemas por las implicaciones que pudiera tener.  Objetivo de Control A4: La propuesta y aprobación de nuevos proyectos deben realizarse en forma reglada. C-A4-1: Debe existir un procedimiento para la propuesta de realización de nuevos proyectos. Se debe comprobar que:  Existe un mecanismo para registrar las necesidades de desarrollo de nuevos sistemas con los siguientes datos: descripción, necesidad, departamento patrocinador, riesgos, coste de la no realización, ventajas que aporta, etc.
Auditoria del Desarrollo C-A4-2: Debe existir un procedimiento de aprobación de nuevos proyectos. Se debe comprobar que:  Exista áreas de la organización designadas para aprobar formalmente la realización y prioridad de nuevos proyectos. La decisión afirmativa o negativa se obtendrá en un tiempo razonable y se comunicará a los promotores.  Objetivo de Control A5: La asignación de recursos a los proyectos debe de hacerse de forma reglada. C-A5-1: Debe existir un procedimiento para asignar director y equipo de desarrollo a cada nuevo proyecto. Se debe comprobar que:  El procedimiento existe y se respeta.  Exista personas disponibles cuyo perfil sea adecuado para cada proyecto y que tenga disponibilidad.
Auditoria del Desarrollo C-A5-2: Debe existir un procedimiento para conseguir los recursos materiales necesarios para cada proyecto. Se debe comprobar que:  El procedimiento existe y se respeta.  Objetivo de Control A6: El desarrollo de SI debe hacerse aplicando principios de ingeniería del software. C-A6-1: Debe tenerse implantada una metodología de desarrollo de SI soportada por herramientas de ayuda (CASE). Se debe comprobar que:  La metodología cubre todas las fases del desarrollo y es adaptable a distintos tipos de proyecto.
Auditoria del Desarrollo C-A6-2: Debe existir un mecanismo de creación y actualización de estándares. Se debe comprobar que:  El mecanismo para creación de nuevos estándares está documentado y es conocido en área.  Los estándares son conocidos por las personas que deben usarlos y se respetan. Cuando se produce una modificación, se difunde dentro del área. C-A6-3: Los lenguajes, compiladores, herramientas CASE, software de control de versiones, etc. deben ser previamente homologados. Se debe comprobar que:  Existe un mecanismo para la adquisición y aprobación de nuevos productos de software usados en el desarrollo.
Auditoria del Desarrollo C-A6-4: Debe practicarse la reutilización del software. Se debe comprobar que:  Exista un catálogo de los productos de software que puedan ser reutilizados: librería de funciones, clases, componentes de software, etc. C-A6-5: Debe existir un registro de problemas que se producen en el área, incluyendo los fracasos de proyectos completos. Se debe comprobar que:  Existe un catálogo de problemas, incluyendo para cada uno de ellos la solución o soluciones, proyecto en el que sucedió, persona que lo resolvió, etc.
Auditoria del Desarrollo Objetivo de Control A7: Las relaciones con el exterior del departamento deben producirse de acuerdo a un procedimiento. C-A7-1: Debe mantenerse contactos con proveedores sobre productos que pueden ser de interés. Se debe comprobar que:  Se está en contacto con un número suficiente de proveedores para recibir una información objetiva y completa. C-A7-2: Debe existir un protocolo para contratación de servicios externos. Se debe comprobar que:  Exista el protocolo, esté aprobado y se usa.  El personal externo que interviene en los proyectos cumplirá con los mismos requisitos que se exigen a los empleados del área.
Auditoria del Desarrollo Objetivo de Control A8: La organización del área debe estar siempre adaptada a las necesidades de cada momento. C-A8-1: La organización debe revisarse de forma regular. Se debe comprobar que:  Cuando se produce modificaciones se documentan, incluyendo la fecha de actualización y se difunden dentro del área.
Auditoria del Desarrollo Auditoria de Proyectos de Desarrollo de Sistemas de Información. La auditoria de un proyecto de desarrollo se puede hacer en dos momentos distintos: a medida que avanza el proyecto, o una vez concluido el mismo. Aprobación, Planificación y Gestión del Proyecto. • Objetivo de Control B1: El proyecto de desarrollo debe estar aprobado, definido y planificado formalmente.
Auditoria del Desarrollo C-B1-1: Debe existir una orden de aprobación del proyecto que defina claramente a los objetivos, restricciones y las unidades afectadas. Se debe comprobar que:  Existe una orden de aprobación del proyecto refrendad por un órgano competente.  Los objetivos y restricciones deben estar definidos en forma clara y precisa.  Se han identificado las unidades de la organización a las que afecta.
Auditoria del Desarrollo C-B1-2: Debe asignarse un responsable o director del proyecto. Se debe comprobar que:  Se designa al responsable del proyecto según procedimientos establecidos.  Se ha comunicado al director de su nombramiento junto con la información del proyecto. C-B1-3: Se debe determinar el modelo de ciclo de vida que seguirá el proyecto. Se debe comprobar que:  Se ha elegido el ciclo de vida más adecuado al tipo de proyecto de que se trata.
Auditoria del Desarrollo C-B1-4: Elegir el equipo técnico que realizará el proyecto y determinar el plan del proyecto. Se debe comprobar que: Objetivo de Control B2: El proyecto se debe gestionar de forma que se consigan los mejores resultados tomando en cuenta las restricciones de tiempo y recursos. C-B2-1: Los responsables de las unidades o áreas afectadas por el proyecto deben participar en la gestión del proyecto. Se debe comprobar que:  La designación del director del proyecto y del equipo de desarrollo se ha llevado según procedimientos establecidos.
Auditoria del Desarrollo C-B2-5: Debe haber un seguimiento de los tiempos empleados de las tareas del proyecto. Se debe comprobar que:  Existe un procedimiento que permita registrar los tiempos que cada participante del proyecto dedica al mismo y qué tarea realiza en ese tiempo. C-B2-6: Se debe controlar que se siguen las etapas del ciclo de vida adoptado para el proyecto y que se generan los documentos de la metodología usada. Se debe comprobar que:  Antes de comenzar una nueva etapa se ha documentado la etapa previa y se ha revisado y aceptado, especialmente en las fases de análisis y diseño. C-B2-7: Al final cerrar la documentación, liberar los recursos empleados y hacer balance.

Recomendados

Modelo de requerimientos
Modelo de requerimientosModelo de requerimientos
Modelo de requerimientosWilfredo Mogollón
 
Modelo del negocio
Modelo del negocioModelo del negocio
Modelo del negocioJulio Pari
 
Gestion de Memoria
Gestion de MemoriaGestion de Memoria
Gestion de MemoriaJulio Cesar Mendez Cuevas
 
Arquitectura de software
Arquitectura de softwareArquitectura de software
Arquitectura de softwareMarcos Cerpa
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
2.4 ventajas y desventajas cobit
2.4 ventajas y desventajas cobit2.4 ventajas y desventajas cobit
2.4 ventajas y desventajas cobitNena Patraca
 
Diagrama de secuencia.
Diagrama de secuencia.Diagrama de secuencia.
Diagrama de secuencia.Rosmery Sanchez
 
Resumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfResumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfGeovanyHerrera3
 

Recomendados

Modelo de requerimientos
Modelo de requerimientosModelo de requerimientos
Modelo de requerimientosWilfredo Mogollón
 
Modelo del negocio
Modelo del negocioModelo del negocio
Modelo del negocioJulio Pari
 
Gestion de Memoria
Gestion de MemoriaGestion de Memoria
Gestion de MemoriaJulio Cesar Mendez Cuevas
 
Arquitectura de software
Arquitectura de softwareArquitectura de software
Arquitectura de softwareMarcos Cerpa
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
2.4 ventajas y desventajas cobit
2.4 ventajas y desventajas cobit2.4 ventajas y desventajas cobit
2.4 ventajas y desventajas cobitNena Patraca
 
Diagrama de secuencia.
Diagrama de secuencia.Diagrama de secuencia.
Diagrama de secuencia.Rosmery Sanchez
 
Resumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfResumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfGeovanyHerrera3
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria InformáticaLuis Eduardo Aponte
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoUniciencia
 
Informe itil
Informe itilInforme itil
Informe itilCOMET
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Administracion de la tecnologia de información
Administracion de la tecnologia de informaciónAdministracion de la tecnologia de información
Administracion de la tecnologia de informaciónheynan
 
Diseño de Sistemas
Diseño de SistemasDiseño de Sistemas
Diseño de SistemasJUANESTEFA
 
Metodologia orientada a objetos
Metodologia orientada a objetosMetodologia orientada a objetos
Metodologia orientada a objetosMariana Rodríguez
 
Acceso Directo a la Memoria - DMA
Acceso Directo a la Memoria - DMAAcceso Directo a la Memoria - DMA
Acceso Directo a la Memoria - DMAErika Rodríguez
 
Auditoria de sistema etapas
Auditoria de sistema etapasAuditoria de sistema etapas
Auditoria de sistema etapasarelyochoa
 
Modelos de gestion de la informacion
Modelos de gestion de la informacionModelos de gestion de la informacion
Modelos de gestion de la informacionLeonardo Moreno
 
AREAS AUDITABLES EN INFORMATICA
AREAS AUDITABLES EN INFORMATICAAREAS AUDITABLES EN INFORMATICA
AREAS AUDITABLES EN INFORMATICAWillian Yanza Chavez
 
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...Federico Gonzalez
 
diagrama de casos de uso del negocio y del sistema
diagrama de casos de uso del negocio y del sistemadiagrama de casos de uso del negocio y del sistema
diagrama de casos de uso del negocio y del sistemaUniversidad Tecnológica
 
Auditoria en un Centro de Computo
Auditoria en un Centro de ComputoAuditoria en un Centro de Computo
Auditoria en un Centro de Computo1416nb
 
Gestion De Red
Gestion De RedGestion De Red
Gestion De RedPaco Orozco
 
Resume Ejecutivo COBIT 2019
Resume Ejecutivo COBIT 2019Resume Ejecutivo COBIT 2019
Resume Ejecutivo COBIT 2019Ciro Bonilla
 
Seguridad en Base de Datos
Seguridad en Base de DatosSeguridad en Base de Datos
Seguridad en Base de Datosmyriam sarango
 
13 tipos de diagramas uml, la metodología de desarrollo ágil de software y la...
13 tipos de diagramas uml, la metodología de desarrollo ágil de software y la...13 tipos de diagramas uml, la metodología de desarrollo ágil de software y la...
13 tipos de diagramas uml, la metodología de desarrollo ágil de software y la...Uriel Herrera
 
Sistemas operativos 2
Sistemas operativos 2Sistemas operativos 2
Sistemas operativos 2Chulinneitor
 
12 reglas de codd
12 reglas de codd12 reglas de codd
12 reglas de coddenriquesyso
 
Desarrollo de Proyecto Informatico.ppt
Desarrollo de Proyecto Informatico.pptDesarrollo de Proyecto Informatico.ppt
Desarrollo de Proyecto Informatico.pptMarko Zapata
 
Sistemas de información
Sistemas de información Sistemas de información
Sistemas de información eduingonzalez2
 

Más contenido relacionado

La actualidad más candente

Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria InformáticaLuis Eduardo Aponte
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoUniciencia
 
Informe itil
Informe itilInforme itil
Informe itilCOMET
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Administracion de la tecnologia de información
Administracion de la tecnologia de informaciónAdministracion de la tecnologia de información
Administracion de la tecnologia de informaciónheynan
 
Diseño de Sistemas
Diseño de SistemasDiseño de Sistemas
Diseño de SistemasJUANESTEFA
 
Metodologia orientada a objetos
Metodologia orientada a objetosMetodologia orientada a objetos
Metodologia orientada a objetosMariana Rodríguez
 
Acceso Directo a la Memoria - DMA
Acceso Directo a la Memoria - DMAAcceso Directo a la Memoria - DMA
Acceso Directo a la Memoria - DMAErika Rodríguez
 
Auditoria de sistema etapas
Auditoria de sistema etapasAuditoria de sistema etapas
Auditoria de sistema etapasarelyochoa
 
Modelos de gestion de la informacion
Modelos de gestion de la informacionModelos de gestion de la informacion
Modelos de gestion de la informacionLeonardo Moreno
 
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...Federico Gonzalez
 
diagrama de casos de uso del negocio y del sistema
diagrama de casos de uso del negocio y del sistemadiagrama de casos de uso del negocio y del sistema
diagrama de casos de uso del negocio y del sistemaUniversidad Tecnológica
 
Auditoria en un Centro de Computo
Auditoria en un Centro de ComputoAuditoria en un Centro de Computo
Auditoria en un Centro de Computo1416nb
 
Resume Ejecutivo COBIT 2019
Resume Ejecutivo COBIT 2019Resume Ejecutivo COBIT 2019
Resume Ejecutivo COBIT 2019Ciro Bonilla
 
Seguridad en Base de Datos
Seguridad en Base de DatosSeguridad en Base de Datos
Seguridad en Base de Datosmyriam sarango
 
13 tipos de diagramas uml, la metodología de desarrollo ágil de software y la...
13 tipos de diagramas uml, la metodología de desarrollo ágil de software y la...13 tipos de diagramas uml, la metodología de desarrollo ágil de software y la...
13 tipos de diagramas uml, la metodología de desarrollo ágil de software y la...Uriel Herrera
 
Sistemas operativos 2
Sistemas operativos 2Sistemas operativos 2
Sistemas operativos 2Chulinneitor
 
12 reglas de codd
12 reglas de codd12 reglas de codd
12 reglas de coddenriquesyso
 

La actualidad más candente (20)

Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria Informática
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamiento
 
Informe itil
Informe itilInforme itil
Informe itil
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informático
 
Administracion de la tecnologia de información
Administracion de la tecnologia de informaciónAdministracion de la tecnologia de información
Administracion de la tecnologia de información
 
Diseño de Sistemas
Diseño de SistemasDiseño de Sistemas
Diseño de Sistemas
 
Metodologia orientada a objetos
Metodologia orientada a objetosMetodologia orientada a objetos
Metodologia orientada a objetos
 
Acceso Directo a la Memoria - DMA
Acceso Directo a la Memoria - DMAAcceso Directo a la Memoria - DMA
Acceso Directo a la Memoria - DMA
 
Auditoria de sistema etapas
Auditoria de sistema etapasAuditoria de sistema etapas
Auditoria de sistema etapas
 
Modelos de gestion de la informacion
Modelos de gestion de la informacionModelos de gestion de la informacion
Modelos de gestion de la informacion
 
AREAS AUDITABLES EN INFORMATICA
AREAS AUDITABLES EN INFORMATICAAREAS AUDITABLES EN INFORMATICA
AREAS AUDITABLES EN INFORMATICA
 
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...
 
diagrama de casos de uso del negocio y del sistema
diagrama de casos de uso del negocio y del sistemadiagrama de casos de uso del negocio y del sistema
diagrama de casos de uso del negocio y del sistema
 
Auditoria en un Centro de Computo
Auditoria en un Centro de ComputoAuditoria en un Centro de Computo
Auditoria en un Centro de Computo
 
Gestion De Red
Gestion De RedGestion De Red
Gestion De Red
 
Resume Ejecutivo COBIT 2019
Resume Ejecutivo COBIT 2019Resume Ejecutivo COBIT 2019
Resume Ejecutivo COBIT 2019
 
Seguridad en Base de Datos
Seguridad en Base de DatosSeguridad en Base de Datos
Seguridad en Base de Datos
 
13 tipos de diagramas uml, la metodología de desarrollo ágil de software y la...
13 tipos de diagramas uml, la metodología de desarrollo ágil de software y la...13 tipos de diagramas uml, la metodología de desarrollo ágil de software y la...
13 tipos de diagramas uml, la metodología de desarrollo ágil de software y la...
 
Sistemas operativos 2
Sistemas operativos 2Sistemas operativos 2
Sistemas operativos 2
 
12 reglas de codd
12 reglas de codd12 reglas de codd
12 reglas de codd
 

Similar a Tema 6

Desarrollo de Proyecto Informatico.ppt
Desarrollo de Proyecto Informatico.pptDesarrollo de Proyecto Informatico.ppt
Desarrollo de Proyecto Informatico.pptMarko Zapata
 
Sistemas de información
Sistemas de información Sistemas de información
Sistemas de información eduingonzalez2
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informaticaWil Vin
 
Metodologias de Diseño y Desarrollo de Sistemas de Informacion
Metodologias de Diseño y Desarrollo de Sistemas de InformacionMetodologias de Diseño y Desarrollo de Sistemas de Informacion
Metodologias de Diseño y Desarrollo de Sistemas de InformacionJonathanCarrillo46
 
Definición de ingeniería del software
Definición de ingeniería del softwareDefinición de ingeniería del software
Definición de ingeniería del softwarehdfkjshdkf
 
Taller 3 calidad_de_software_jcom
Taller 3 calidad_de_software_jcomTaller 3 calidad_de_software_jcom
Taller 3 calidad_de_software_jcomJuan Carlos Ospina
 
Opciones en la adquisición de sistemas de información
Opciones en la adquisición de sistemas de información Opciones en la adquisición de sistemas de información
Opciones en la adquisición de sistemas de información VALENTINAESPINOSAUPE
 
128-1-639-1-10-20171219.pdf
128-1-639-1-10-20171219.pdf128-1-639-1-10-20171219.pdf
128-1-639-1-10-20171219.pdfSdr12
 
Metodologías de diseño y desarrollo de sistemas de información
Metodologías de diseño y desarrollo de sistemas de informaciónMetodologías de diseño y desarrollo de sistemas de información
Metodologías de diseño y desarrollo de sistemas de informaciónJose Martinez
 
Mauricio rodriguez planificacion_y_organizacion[1]
Mauricio rodriguez planificacion_y_organizacion[1]Mauricio rodriguez planificacion_y_organizacion[1]
Mauricio rodriguez planificacion_y_organizacion[1]MAU030588
 
Actividad 3 prueba de software juan esteban uribe m
Actividad 3 prueba de software juan esteban uribe mActividad 3 prueba de software juan esteban uribe m
Actividad 3 prueba de software juan esteban uribe mjuanesellanza1
 
Ciclo de vida de un sistema de informacion
Ciclo de vida de un sistema de informacionCiclo de vida de un sistema de informacion
Ciclo de vida de un sistema de informacionkeilacortesacevedo
 

Similar a Tema 6 (20)

Desarrollo de Proyecto Informatico.ppt
Desarrollo de Proyecto Informatico.pptDesarrollo de Proyecto Informatico.ppt
Desarrollo de Proyecto Informatico.ppt
 
Sistemas de información
Sistemas de información Sistemas de información
Sistemas de información
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
 
Presentacion Omar
Presentacion OmarPresentacion Omar
Presentacion Omar
 
Metodologias de Diseño y Desarrollo de Sistemas de Informacion
Metodologias de Diseño y Desarrollo de Sistemas de InformacionMetodologias de Diseño y Desarrollo de Sistemas de Informacion
Metodologias de Diseño y Desarrollo de Sistemas de Informacion
 
Metodologias
MetodologiasMetodologias
Metodologias
 
Omar Acuña
Omar AcuñaOmar Acuña
Omar Acuña
 
Auditoria en redes
Auditoria en redesAuditoria en redes
Auditoria en redes
 
Definición de ingeniería del software
Definición de ingeniería del softwareDefinición de ingeniería del software
Definición de ingeniería del software
 
Taller 3 calidad_de_software_jcom
Taller 3 calidad_de_software_jcomTaller 3 calidad_de_software_jcom
Taller 3 calidad_de_software_jcom
 
Opciones en la adquisición de sistemas de información
Opciones en la adquisición de sistemas de información Opciones en la adquisición de sistemas de información
Opciones en la adquisición de sistemas de información
 
Capitulo 4
Capitulo 4Capitulo 4
Capitulo 4
 
sistema de informacion
sistema de informacion sistema de informacion
sistema de informacion
 
128-1-639-1-10-20171219.pdf
128-1-639-1-10-20171219.pdf128-1-639-1-10-20171219.pdf
128-1-639-1-10-20171219.pdf
 
Metodologías de diseño y desarrollo de sistemas de información
Metodologías de diseño y desarrollo de sistemas de informaciónMetodologías de diseño y desarrollo de sistemas de información
Metodologías de diseño y desarrollo de sistemas de información
 
Mauricio rodriguez planificacion_y_organizacion[1]
Mauricio rodriguez planificacion_y_organizacion[1]Mauricio rodriguez planificacion_y_organizacion[1]
Mauricio rodriguez planificacion_y_organizacion[1]
 
Actividad 3 prueba de software juan esteban uribe m
Actividad 3 prueba de software juan esteban uribe mActividad 3 prueba de software juan esteban uribe m
Actividad 3 prueba de software juan esteban uribe m
 
Auditoria Sistemas
Auditoria SistemasAuditoria Sistemas
Auditoria Sistemas
 
AMSI
AMSIAMSI
AMSI
 
Ciclo de vida de un sistema de informacion
Ciclo de vida de un sistema de informacionCiclo de vida de un sistema de informacion
Ciclo de vida de un sistema de informacion
 

Más de Carmelo Branimir España Villegas

Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drpMicrosoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drpCarmelo Branimir España Villegas
 

Más de Carmelo Branimir España Villegas (20)

La norma de calidad ISO 25000, aplíquela
La norma de calidad ISO 25000, aplíquelaLa norma de calidad ISO 25000, aplíquela
La norma de calidad ISO 25000, aplíquela
 
Nosotros los maduritos
Nosotros los maduritosNosotros los maduritos
Nosotros los maduritos
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivo
 
Tema 2
Tema 2Tema 2
Tema 2
 
Tema 7
Tema 7Tema 7
Tema 7
 
Tema 8
Tema 8Tema 8
Tema 8
 
Tema 9
Tema 9Tema 9
Tema 9
 
Tema 5
Tema 5Tema 5
Tema 5
 
Tema 3
Tema 3Tema 3
Tema 3
 
Tema 1
Tema 1Tema 1
Tema 1
 
Tema 4
Tema 4Tema 4
Tema 4
 
Introduccion ipv6 v11
Introduccion ipv6 v11Introduccion ipv6 v11
Introduccion ipv6 v11
 
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drpMicrosoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
 
Tema 1
Tema 1Tema 1
Tema 1
 
Tema 4
Tema 4Tema 4
Tema 4
 
Tema 1tarea
Tema 1tareaTema 1tarea
Tema 1tarea
 
Memorias de un ingeniero
Memorias de un ingenieroMemorias de un ingeniero
Memorias de un ingeniero
 
Edad media
Edad mediaEdad media
Edad media
 
Edad media
Edad mediaEdad media
Edad media
 
Explicacion crisis
Explicacion crisisExplicacion crisis
Explicacion crisis
 

Tema 6

  • 1. Auditoria del Desarrollo ¿Qué es el Desarrollo de Sistemas? Podemos definir el desarrollo de sistemas Informáticos como el proceso mediante el cual el conocimiento humano y el uso de las ideas son llevados a las computadoras, de manera que pueda realizar las tareas para la cual fue desarrollada. Para que esto sea utilizado deberán:  funcionar adecuadamente,  ser de fácil manejo,  adecuarse a la empresa para la que fue diseñada y  debe ayudar al personal a realizar su trabajo de forma eficiente.
  • 2. Auditoria del Desarrollo Algunas consideraciones… Ya que cada organización puede descomponerse funcionalmente en departamentos, áreas, unidades, etc. es necesario que los mecanismos de control interno existan y se respeten en cada una de las divisiones funcionales para que éstas cumplan y hagan posible que la organización en su conjunto funcione de manera correcta.
  • 3. Auditoria del Desarrollo Algunas consideraciones… Aplicando la división funcional al departamento de informática de cualquier entidad, una de las áreas que tradicionalmente aparece es la de desarrollo. Esta función abarca todas las fases que se deben de seguir desde que aparece la necesidad de disponer de un determinado sistema de información hasta que éste es construido e implantado. Para delimitar el ámbito de este tema, se entenderá que el desarrollo incluye todo el ciclo de vida del software excepto la explotación, el mantenimiento y el fuera de servicio de las aplicaciones cuando ésta tenga lugar.
  • 4. Auditoria del Desarrollo Ciclo de vida típico de los Sistemas Informáticos Auditoría del Desarrollo
  • 5. Auditoria del Desarrollo Evaluación del estudio de factibilidad de los Sistemas Informáticos La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual debe analizar si el sistema es factible de realizarse, cuál es su relación costo/beneficio y si es recomendable elaborarlo. Se deberá solicitar el estudio de factibilidad de los diferentes sistemas a desarrollar para evaluar si se considera la disponibilidad y características del equipo, los sistemas operativos y lenguajes disponibles, la necesidad de los usuarios, las formas de utilización de los sistemas, el costo y los beneficios que reportará el sistema, el efecto que producirá en quienes lo usarán y el efecto que éstos tendrán sobre el sistema y la congruencia de los diferentes sistemas.
  • 6. Auditoria del Desarrollo Evaluación del estudio de factibilidad de los Sistemas Informáticos Para investigar el costo de un sistema se debe considerar, con una exactitud razonable, el costo de los programas, el uso de los equipos (compilaciones, programas, pruebas, paralelos), tiempo, personal y operación, cosa que en la práctica son costos directos, indirectos y de operación. Los beneficios que justifiquen el desarrollo de un sistema pueden ser el ahorro en los costos de operación, la reducción del tiempo de proceso de un sistema. Mayor exactitud, mejor servicio, una mejoría en los procedimientos de control, mayor confiabilidad y seguridad.
  • 7. Auditoria del Desarrollo Qué es Auditoría del Desarrollo? Es la revisión y la evaluación de los: controles, sistemas, procedimientos de informática de los equipos de computo, su utilización, eficiencia, y Seguridad de la organización que participan en el procesamiento de la información, A fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.
  • 8. Auditoria del Desarrollo Campo de acción de la Auditoría del Desarrollo Prerrequisitos del usuario y del entorno Análisis funcional Diseño Análisis orgánico (pre-programación y programación) Pruebas Entrega a explotación y alta para el proceso
  • 9. Auditoria del Desarrollo Consideraciones de la Auditoría del Desarrollo 1. Revisión de las metodologías utilizadas. 2. Control interno de aplicaciones. 3. Satisfacción de usuarios 4. Control de procesos y ejecuciones de programas críticos
  • 10. Auditoria del Desarrollo Rol del auditor en la Auditoría del Desarrollo Durante el desarrollo del proyecto el auditor debe participar en forma activa para: Evaluar el cumplimiento de cada una de las fases definidas en la metodología como verificar la existencia de la documentación resultante Identificar y evaluar los controles de aplicación Pruebas e implantación del nuevo sistema
  • 11. Auditoria del Desarrollo Rol del auditor en la Auditoría del Desarrollo En esta fase el auditor debe evaluar: Los planes de prueba a ejecutar por el personal involucrado en el proyecto Alcance de las pruebas programadas incluyendo las interfaces con otros sistemas La documentación de las pruebas ejecutadas La aprobación del personal usuario El proceso de migración a la nueva aplicación, si este es el caso El procedimiento definido para el montaje de la aplicación El cumplimiento de los planes de capacitación técnica y de usuarios
  • 12. Auditoria del Desarrollo Rol del auditor en la Auditoría del Desarrollo Adicionalmente, en esta fase el auditor deberá:  Efectuar pruebas de cumplimiento y/o sustantivas orientadas a comprobar lo adecuado de la implantación de los controles y funcionalidad del sistema  Conformar un programa de auditoria para su aplicación posterior
  • 13. Auditoria del Desarrollo IMPORTANCIA DE LA AUDITORÍA DE DESARROLLO Aunque cualquier departamento o área de una organización es susceptible de ser auditado, hay una serie de circunstancias que hacen especialmente importante al área de desarrollo, y por tanto también de auditoría, frente a otras funciones o áreas dentro del departamento de informática: 1. Los avances en tecnologías de las computadoras han hecho que actualmente el desafío más importante y el principal reto sea la calidad del software 2. El gasto destinado a software es cada vez superior al que se dedica al hardware
  • 14. Auditoria del Desarrollo IMPORTANCIA DE LA AUDITORÍA DE DESARROLLO 3. El software como producto es muy difícil de validar. Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costos de mantenimiento. 4. El índice de fracasos en proyectos de desarrollo es demasiado alto, lo cual denota la inexistencia o mal funcionamiento de los controles en este proceso. 5. Las aplicaciones informáticas, que son el producto principal obtenido al final del desarrollo, pasan a ser la herramienta de trabajo principal de las áreas informatizadas, convirtiéndose en un factor esencial para la gestión y la toma de decisiones.
  • 15. Auditoria del Desarrollo IMPORTANCIA DE LA AUDITORÍA DE DESARROLLO La participación de la auditoria de desarrollo contribuye a evitar o minimizar los siguientes riesgos: Los requerimientos del usuario no se satisfagan Las pruebas de aceptación no sean adecuadas La terminación de los proyectos o actividades no estén dentro del tiempo y costo programado No se establezca una metodología estándar de desarrollo, adquisición o mantenimiento
  • 16. Auditoria del Desarrollo IMPORTANCIA DE LA AUDITORÍA DE DESARROLLO No se incorporen controles de aplicación en los nuevos sistemas No se integren herramientas de auditoría para verificar los controles No se mantengan los controles administrativos para tener un proceso metódico y disciplinado de desarrollo/adquisición/mantenimiento El nuevo sistema de información no se integre adecuadamente a la plataforma tecnológica de la empresa.
  • 17. Auditoria del Desarrollo ¿Cuál es la realidad de los proyectos TI?  En 2007 del total de lo proyectos de TI monitoreados, sólo el 29% lo logró a tiempo y en costo, los costos promedio se excedieron 56% y en promedio tomó 84% más de tiempo para completarse. Fuente: Over due and over budget, over and over again” The Economist
  • 18. Auditoria del Desarrollo ¿Cuál es la realidad de los Proyectos? 15% de los proyectos fracasan y son cancelados totalmente 51% no cumplen sus objetivos 42% en promedio por encima del presupuesto 82% no cumplen el cronograma US $55.000 millones perdidos en proyectos sólo en USA US $17.000 millones en sobrecostos
  • 19. Auditoria del Desarrollo ¿Por qué los Proyectos fallan? Falta de comprensión del problema, visión ligera del alcance Problemas tecnológicos y con proveedores Problemas de comunicación y trabajo en equipo Problemas de liderazgo Problemas metodológicos. Falta de un proceso de administración de proyectos.
  • 20. Auditoria del Desarrollo PLANTEAMIENTO Y METODOLOGÍA. Para tratar la auditoría de desarrollo es necesario, en primer lugar, acotar las funciones o tareas que son responsabilidad del área. Teniendo en cuenta que puede haber variaciones de una organización a otra, las funciones que tradicionalmente se asignan al área son:  Planificación del área y participación en la elaboración del plan estratégico de informática  Desarrollo de nuevos sistemas  Estudio de nuevos lenguajes, técnicas, metodologías, estándares, herramientas, etc. y adopción de los mismos para mantener un nivel de vigencia adecuado al momento.  Establecimiento de un plan de formación para el personal adscrito al área  Establecimiento de normas y controles para todas las actividades que se realizan en el área y comprobación de su observancia.
  • 21. Auditoria del Desarrollo Una metodología aplicable es la propuesta por la ISACA (Information Systems Audit and Control Association), que está basada en la evaluación de riesgos partiendo de los riesgos potenciales a los que está sometida una actividad (en este caso el desarrollo de un sistema de información), se determinan una serie de objetivos de control que minimicen esos riesgos. Para cada objetivo de control se especifican una o más técnicas de control, también denominadas simplemente controles, que contribuyan a lograr el cumplimiento de dicho objetivo. Además, se aportan una serie de pruebas de cumplimiento que permitan la comprobación de la existencia y correcta aplicación de dichos controles. PLANTEAMIENTO Y METODOLOGÍA.
  • 22. Auditoria del Desarrollo El esquema de un objetivo de control es: Objetivo de Control X: TC-X-1: Técnica de Control 1 del objetivo de Control X Una vez definidos los objetivos de control, será función del auditor determinar el grado de cumplimiento de cada uno de ellos. Para cada objetivo se estudiarán todos los controles asociados al mismo, usando para ello las pruebas de cumplimiento propuestas. PLANTEAMIENTO Y METODOLOGÍA.
  • 23. Auditoria del Desarrollo Con cada prueba de cumplimiento se obtendrá alguna evidencia, bien sea directa o indirecta, sobre la corrección de los planes. Si una simple comprobación no ofrece ninguna evidencia, será necesaria la realización de exámenes más profundos. En los controles en los que sea impracticable una revisión exhaustiva de los elementos de verificación, bien porque los recursos de auditoría sean limitados o porque el número de elementos a inspeccionar sea muy elevado, se examinará una muestra representativa que permita inferir el estado de todo el conjunto. PLANTEAMIENTO Y METODOLOGÍA.
  • 24. Auditoria del Desarrollo El estudio global de todas las conclusiones, pruebas y evidencias obtenidas sobre cada control permitirán al auditor obtener el nivel de satisfacción de cada objetivo de control, así como cuáles son los puntos fuertes y débiles del mismo. Con esta información y teniendo en cuenta las particularidades de la organización en estudio, se determinará cuáles son los riesgos no cubiertos, en qué medida lo son y qué consecuencias se pueden derivar de esa situación. Estas conclusiones, junto con las recomendaciones acumuladas, serán las que se plasmen en el informe de auditoría. PLANTEAMIENTO Y METODOLOGÍA.
  • 25. Auditoria del Desarrollo Aspectos a tener en cuenta en una metodología de desarrollo de sistemas 1. Documentación interna de los programas Los programas deben estar debidamente documentados, para que el mantenimiento de los mismos sea rápido y fácil sin tener que depender de la persona que lo elaboró. Los nombres de las variables, constantes, programas, tablas, funciones y procedimientos deben ser mnemónicos, es decir que reflejen la información que contienen. PLANTEAMIENTO Y METODOLOGÍA.
  • 26. Auditoria del Desarrollo 1. Documentación interna de los programas (Cont.…) Las variables y constantes deben cumplir los siguientes estándares : ₱ La longitud máxima de una variable debe ser de 15 caracteres. ₱ Todas la variables deben iniciar con la letra “v” que significa variable y las constantes deben de iniciar con la letra “c” que significa constante. Por ejemplo: * v_suma = es una variable que va a contener el total de una suma. * c_iva = es una constante que va ha contener el porcentaje de iva actual. PLANTEAMIENTO Y METODOLOGÍA.
  • 27. Auditoria del Desarrollo 1. Documentación interna de los programas (Cont.…) Los programas deben cumplir los siguientes estándares : ₱ Los nombres de los programas deben incluir las tres primeras letras del sistema al que corresponde, en la quinta posición debe colocarse una “p” que significa programa y además un nombre mnemónico con un máximo de seis caracteres, para completar diez caracteres para nombres de programas. Por ejemplo : nom_pdce1 = nómina, programa de la dirección de contabilidad del estado versión uno PLANTEAMIENTO Y METODOLOGÍA.
  • 28. Auditoria del Desarrollo 1. Documentación interna de los programas (Cont.…) ₱ Dentro de los programas se deben colocar comentarios generales para describir cuales son las funciones que realiza, además de documentar las variables y constantes existentes al inicio de cada programa, con la finalidad de llevar a cabo modificaciones en forma rápida y sin problemas. PLANTEAMIENTO Y METODOLOGÍA.
  • 29. Auditoria del Desarrollo 1. Documentación interna de los programas (Cont.…) ₱ Cada programa debe tener un encabezado que describa brevemente cual es la función que realiza, además de los siguientes requisitos : PLANTEAMIENTO Y METODOLOGÍA. Nombre del proyecto. Nombre de la institución . Objetivo. Lenguaje en que se realizó. Dispositivos de salida. Fecha de finalización. Fecha de cambio. Módulo al que pertenece.
  • 30. Auditoria del Desarrollo 1. Documentación interna de los programas (Cont.…) Las tablas (Archivos) deben cumplir los siguientes estándares : ₱ Tener un nombre mnemónico. ₱ Tener un máximo de nueve caracteres. ₱ Crear procedimientos para efectuar modificaciones a las tablas tales como agregar, eliminar y cambios generales en los campos. PLANTEAMIENTO Y METODOLOGÍA.
  • 31. Auditoria del Desarrollo 1. Documentación interna de los programas (Cont.…) Las tablas (Archivos) deben cumplir los siguientes estándares : ₱ Las tablas existentes deben ser documentadas debidamente con el propósito de tener una visión clara del contenido de cada uno de los componentes de dicha tabla. Ejemplo: Nombre de la tabla : Empleado: Esta tabla contiene la información de los empleados. Campos: No. empleado = En este campo se guarda el correlativo que diferencia a un empleado del otro; Salario = Contiene el salario de cada empleado PLANTEAMIENTO Y METODOLOGÍA.
  • 32. Auditoria del Desarrollo 1. Documentación interna de los programas (Cont.…) Las funciones y procedimientos deben cumplir los siguientes estándares : ₱ Tener un nombre mnemónico. ₱ Incluir una breve descripción de las operaciones que realiza. ₱ Documentar las variables y constantes existentes. ₱ Todas las funciones y procedimientos deben estar estructurados. PLANTEAMIENTO Y METODOLOGÍA.
  • 33. Auditoria del Desarrollo 1. Documentación interna de los programas (Cont.…) Los nombres de programas, reportes, gráficas, formas, consultas en sentencias SQL , deben tener 10 caracteres los cuales deben cumplir los siguientes parámetros: ₱ Deben de colocarse en las tres primeras letras el nombre de la aplicación, en la cuarta letra , colocar una de las siguientes opciones: P = programa • R = reporte • F = formas • G = gráficas • Q = query (consultas SQL) Las siguientes 6 letras describen la función que se realiza. PLANTEAMIENTO Y METODOLOGÍA.
  • 34. Auditoria del Desarrollo 2. Documentación externa de los programas Diseñar manuales de usuario para cada sistema elaborado y por realizarse, los cuales deben cumplir los siguientes requerimientos : ₱ Diseño de pantallas. ₱ Guía de ayuda fácil de usar. ₱ Actual. ₱ Eminentemente práctica. Diseñar un catalogo de errores con las siguientes características : ₱ Códigos de error ₱ Mensajes de error ₱ Breve descripción de errores ₱ Posibles causas y soluciones Además todos los sistemas deben de poseer un flujograma para tener una visión general de cada sistema. PLANTEAMIENTO Y METODOLOGÍA.
  • 35. Auditoria del Desarrollo 1. Especificación de los requerimientos del cliente 2. Análisis y plan de desarrollo 3. Diseño 4. Desarrollo5. Pruebas y validación 6. Reproducción, entrega e instalación 7. Mantenimiento de sistemas Fases de un ciclo de vida de desarrollo de sistemas
  • 36. Auditoria del Desarrollo Aprobación, planificación y gestión del proyecto Análisis Diseño Construc ción Implanta ción Etapas del Desarrollo de un Sistema
  • 37. Auditoria del Desarrollo Proyectos de desarrollo de sistemas de información 1. Aprobación, planificación y gestión del proyecto 2. Análisis  Análisis de requerimientos  Especificación funcional 3. Diseño  Diseño técnico o de detalle 4. Construcción  Desarrollo de componentes  Desarrollo de procedimientos 5. Implantación  Pruebas, implantación y aceptación
  • 38. Auditoria del Desarrollo Objetivos de Control a Auditar OBJETIVO DE CONTROL: El área de desarrollo debe tener responsabilidades asignadas dentro del departamento y una organización que le permita el cumplimiento de las mismas. Deben establecerse de forma clara las funciones del área de desarrollo dentro del departamento de informática. Se debe comprobar que: Existe documento que contiene las funciones que son competencia del área de desarrollo, que está aprobado por la dirección informática y que se respeta.
  • 39. Auditoria del Desarrollo Objetivos de Control a Auditar OBJETIVO DE CONTROL: El desarrollo de sistemas de información debe hacerse aplicando principios de ingeniería del software ampliamente aceptados. Debe tenerse implantada una metodología de desarrollo de sistemas de información. Se debe comprobar que: La metodología cubre todas las fases del desarrollo y es adaptable a distintos tipos de proyectos.
  • 40. Auditoria del Desarrollo Como se puede observar en el esquema de agrupación de objetivos de control propuestos, dentro del desarrollo de sistemas de información se han propuesto cinco subdivisiones, entre las cuales se encuentran: análisis, diseño, construcción e implantación. Estas fases, ampliamente aceptadas en ingeniería de software para el desarrollo, son en concreto las que propone la metodología de desarrollo de sistemas de información.
  • 41. Auditoria del Desarrollo Además de estas fases, se ha añadido una subdivisión que contiene los objetivos y técnicas de control concernientes a la aprobación, planificación y gestión del proyecto. La aprobación del proyecto es un hecho previo al comienzo del mismo, mientras que la gestión se aplica a lo largo de su desarrollo. La planificación se realiza antes de iniciarse, pero sufrirá cambios a medida que el proyecto avanza en el tiempo.
  • 42. Auditoria del Desarrollo Las técnicas a utilizar y los elementos a inspeccionar, normalmente los productos y documentos generados en cada fase del desarrollo, serán los mismos en ambos casos. La única diferencia es que en el primer caso las conclusiones que vaya aportando el auditor pueden afectar el desarrollo del proyecto, aunque nunca participará en la toma de decisiones. Para controlar se pueden solicitar los entregables para marcar los hitos de entrega, el cumplimiento de los objetivos de control de cada fase del desarrollo.
  • 43. Auditoria del Desarrollo Aprobación, planificación y gestión del proyecto. OBJETIVO DE CONTROL: El proyecto de desarrollo debe estar aprobado, definido y planificado formalmente. Debe existir una orden de aprobación del proyecto que defina claramente los objetivos, restricciones y las unidades afectadas. Se debe comprobar que: Existe una orden de aprobación del proyecto firmada por un órgano competente. En el documento de aprobación están definidos de forma clara y precisa los objetivos del mismo y las restricciones de todo tipo que deben tenerse en cuenta (temporales, recursos técnicos, recursos humanos, presupuesto, etc.).  Se han identificado las unidades de la organización a las que afecta.
  • 44. Auditoria del Desarrollo Auditoría de la fase de análisis Análisis de requerimientos del Sistema En este módulo se identificarán los requerimientos del nuevo sistema. Se incluirán tanto los requerimientos funcionales como los no funcionales, distinguiendo para cada uno de ellos su importancia y prioridad. A partir del conocimiento del sistema actual y sus problemas asociados, junto con los requerimientos que se exigirán al nuevo sistema, se determinarán las posibles soluciones alternativas que satisfagan esos requerimientos y de entre ellas se elegirá la más adecuada.
  • 45. Auditoria del Desarrollo Auditoría de la fase de análisis Análisis de requerimientos del Sistema OBJETIVO DE CONTROL: Los usuarios y responsables de las unidades a las que afecte el nuevo sistema establecerán de forma clara los requerimientos del mismo.
  • 46. Auditoria del Desarrollo Auditoría de la fase de análisis Análisis de requerimientos del Sistema En el proyecto deben participar usuarios de todas las unidades a las que afecte el nuevo sistema. Esta participación, que se hará normalmente a través de entrevistas, tendrá especial importancia en la definición de requerimientos del sistema. Se debe comprobar que:  Existe un documento aprobado por el comité de dirección en el que se determina formalmente el grupo de usuarios que participará en el proyecto.  Los usuarios elegidos son suficientemente representativos de las distintas funciones que se llevan a cabo en las unidades afectadas por el nuevo sistema.  Se les ha comunicado a los usuarios su participación en el proyecto, informándoles del ámbito del mismo y de qué es lo que se espera de ellos, así como la dedicación estimada que les supondrá esta tarea.
  • 47. Auditoria del Desarrollo Auditoría de la fase de análisis Especificación funcional del sistema Una vez conocido el sistema actual, los requerimientos del nuevo sistema y la alternativa de desarrollo más favorable, se elaborará una especificación funcional detallada del sistema que sea coherente con lo que se espera de el. La participación de los usuarios en este módulo y la realización de entrevistas siguen las pautas ya especificadas en el análisis de requerimientos del sistema, por lo que se pasa por alto la comprobación de estos aspectos.
  • 48. Auditoria del Desarrollo Auditoría de la fase de análisis Especificación funcional del sistema El grupo de usuarios y los responsables de las unidades afectadas deben ser la principal fuente de información. Se considera un único objetivo de control, ilustrando como siempre, solo uno de ellos: OBJETIVO DE CONTROL: El nuevo sistema debe especificarse de forma completa desde el punto de vista funcional, contando esta especificación con la aprobación de los usuarios.
  • 49. Auditoria del Desarrollo Auditoría de la fase de diseño En la fase de diseño se elaborará el conjunto de especificaciones físicas del nuevo sistema que servirán de base para la construcción del mismo. Hay un único módulo: Diseño técnico del sistema A partir de las especificaciones funcionales, y teniendo en cuenta el entorno tecnológico, se diseñará la arquitectura del sistema y el esquema externo de datos. OBJETIVO DE CONTROL: Se debe definir una arquitectura física para el sistema coherente con la especificación funcional que se tenga y con el entorno tecnológico elegido.
  • 50. Auditoria del Desarrollo Auditoría de la fase de construcción En esta fase se programarán y probarán los distintos componentes y se pondrán en marcha todos los procedimientos necesarios para que los usuarios puedan trabajar con el nuevo sistema. Estará basado en las especificaciones físicas obtenidas en la fase de diseño. Hay dos módulos.
  • 51. Auditoria del Desarrollo Auditoría de la fase de construcción Desarrollo de los componentes del Sistema En este módulo se realizarán los distintos componentes, se probarán tanto individualmente como de forma integrada, y se desarrollarán los procedimientos de operación. OBJETIVO DE CONTROL: Los componentes o módulos deben desarrollarse usando técnicas de programación correctas.
  • 52. Auditoria del Desarrollo Desarrollo de los procedimientos de usuario En este módulo se definen los procedimientos y formación necesarios para que los usuarios puedan utilizar el nuevo sistema adecuadamente. Fundamentalmente se trata de la instalación, la conversión de datos y la operación/explotación. OBJETIVO DE CONTROL: Al término del proyecto, los futuros usuarios deben estar capacitados y disponer de todos los medios para hacer uso del sistema.
  • 53. Auditoria del Desarrollo Auditoría de la fase de implantación En esta fase se realizará la aceptación del sistema por parte de los usuarios, además de las actividades necesarias para la puesta en marcha. Hay un único módulo: Pruebas, implantación y Aceptación del Sistema Se verificará en este módulo que el sistema cumple con los requerimientos establecidos en la fase de análisis. Una vez probado y aceptado se pondrá en explotación.
  • 54. Auditoria del Desarrollo Auditoría de la fase de implantación OBJETIVO DE CONTROL: El sistema debe ser aceptado formalmente por los usuarios antes de ser puesto en explotación. Esta etapa se denomina Certificación usuaria.
  • 55. Auditoria del Desarrollo Auditoría de la fase de implantación Se deben realizar las pruebas del sistema que se especificaron en el diseño del mismo. Se debe comprobar que: • Se prepara el entorno y los recursos necesarios para realizar las pruebas • Las pruebas se realizan y permiten verificar si el sistema cumple las especificaciones funcionales y si interactúa correctamente con el entorno, incluyendo interfaces con otros programas, recuperación ante fallas, copias de seguridad, tiempos de respuesta, etc. • Se han evaluado los resultados de las pruebas y se han tomado las acciones correctoras necesarias para solventar las incidencias encontradas.
  • 56. Auditoria del Desarrollo La auditoria en el área de desarrollo se subdivide en: 1. Auditoria de la organización y gestión del área de desarrollo. 2. Auditoria de proyectos de desarrollo de Sistemas de Información.
  • 57. Auditoria del Desarrollo Los objetivos de control se agrupan en varias series: 1. Organización y gestión del área de desarrollo ( Serie A) 2. Proyectos de desarrollo de Sistemas de Información (SI) • Aprobación, Planificación y Gestión del Desarrollo(Serie B) Análisis • Análisis de requisitos (Serie C) • Especificación Funcional (Serie D) Diseño • Diseño Técnico (Serie E) Construcción • Desarrollo de Componentes (Serie F) • Desarrollo de Procedimientos de usuario (Serie G) Implantación • Pruebas, implantación y aceptación (Serie H)
  • 58. Auditoria del Desarrollo Auditoría de la Organización y Gestión del Área de Desarrollo. Cada proyecto de desarrollo tiene entidad y se gestiona con cierta autonomía, para poder llevarse a cabo necesita apoyarse en el personal del área y en los procedimientos establecidos. • Objetivo de Control A1: El área de desarrollo debe cumplir con procedimientos y una organización dentro del departamento. C-A1-1: Debe establecerse las funciones del área de desarrollo dentro del departamento de informática. Se debe comprobar que:  Existe el documento que contiene las funciones del área de desarrollo y está aprobado por la dirección de informática.
  • 59. Auditoria del Desarrollo C-A1-2: Debe especificarse el organigrama con la relación de puestos del área y el puesto que ocupa cada persona. Se debe comprobar que:  Existe un organigrama con la estructura de organización del área.  Para cada puesto se debe describir las funciones a desempeñar y la dependencia jerárquica del mismo.  Están establecidos los procedimientos de promoción de personal a puestos superiores.
  • 60. Auditoria del Desarrollo C-A1-3: El área debe tener y difundir su propio plan a corto, medio y largo plazo. Se debe comprobar que:  El plan existe, es claro y realista.  Se revisa y actualiza con periodicidad en función de las nuevas situaciones.  Se difunde a todos los empleados para que se sientan partícipes.
  • 61. Auditoria del Desarrollo C-A1-4: El área de desarrollo llevará su propio control presupuestario. Se debe comprobar que:  El presupuesto se cumple.  El presupuesto está acorde con los objetivos a cumplir. • Objetivo de Control A2: El personal del área de desarrollo debe contar con la formación adecuada y estar motivado para la realización de su trabajo. C-A2-1: Debe existir procedimientos de contratación objetivos. Se debe comprobar que:  Las ofertas de puestos del área se difunden suficientemente fuera de la organización.  Las personas seleccionadas cumplen con requisitos del puesto al que acceden.
  • 62. Auditoria del Desarrollo C-A2-2: Debe existir un protocolo de recepción/abandono para las personas que se incorporan o dejan el área. Se debe comprobar que: El protocolo existe y se respeta para cada incorporación/abandono. En la incorporación se incluye estándares definidos, manual de organización del área, definición de puestos, etc. En los abandonos de personal se garantiza la protección del área. C-A2-3: Debe existir una biblioteca y una hemeroteca accesibles al personal del área. Se debe comprobar que:  Están disponibles libros, publicaciones periódicas, monografías, etc. Y el personal tiene acceso a ellos.
  • 63. Auditoria del Desarrollo C-A2-4: El personal debe estar motivado en la realización de su trabajo. Se debe comprobar que:  Exista un mecanismo que permita que los empleados hagan sugerencias sobre las mejoras en la organización del área.  No existe una gran rotación de personal y hay un buen ambiente de trabajo.
  • 64. Auditoria del Desarrollo • Objetivo de Control A3: Si existe un plan de sistemas, los proyectos que se lleven a cabo, se basarán en dicho plan y lo mantendrán actualizado. C-A3-1: Los nuevos proyectos deben basarse en el plan de sistemas en cuanto a objetivos, marco general y horizonte temporal. Se debe comprobar que:  Las fechas de realización coinciden con las del plan de sistemas.  La documentación relativa a cada proyecto debe contener los objetivos, los requisitos generales y un plan inicial.
  • 65. Auditoria del Desarrollo C-A3-2: El plan de sistemas debe actualizarse con la información que se genera a lo largo de un proceso de desarrollo. Se debe comprobar que:  Los cambios en los proyectos se comunican al responsable de mantenimiento del plan de sistemas por las implicaciones que pudiera tener.  Objetivo de Control A4: La propuesta y aprobación de nuevos proyectos deben realizarse en forma reglada. C-A4-1: Debe existir un procedimiento para la propuesta de realización de nuevos proyectos. Se debe comprobar que:  Existe un mecanismo para registrar las necesidades de desarrollo de nuevos sistemas con los siguientes datos: descripción, necesidad, departamento patrocinador, riesgos, coste de la no realización, ventajas que aporta, etc.
  • 66. Auditoria del Desarrollo C-A4-2: Debe existir un procedimiento de aprobación de nuevos proyectos. Se debe comprobar que:  Exista áreas de la organización designadas para aprobar formalmente la realización y prioridad de nuevos proyectos. La decisión afirmativa o negativa se obtendrá en un tiempo razonable y se comunicará a los promotores.  Objetivo de Control A5: La asignación de recursos a los proyectos debe de hacerse de forma reglada. C-A5-1: Debe existir un procedimiento para asignar director y equipo de desarrollo a cada nuevo proyecto. Se debe comprobar que:  El procedimiento existe y se respeta.  Exista personas disponibles cuyo perfil sea adecuado para cada proyecto y que tenga disponibilidad.
  • 67. Auditoria del Desarrollo C-A5-2: Debe existir un procedimiento para conseguir los recursos materiales necesarios para cada proyecto. Se debe comprobar que:  El procedimiento existe y se respeta.  Objetivo de Control A6: El desarrollo de SI debe hacerse aplicando principios de ingeniería del software. C-A6-1: Debe tenerse implantada una metodología de desarrollo de SI soportada por herramientas de ayuda (CASE). Se debe comprobar que:  La metodología cubre todas las fases del desarrollo y es adaptable a distintos tipos de proyecto.
  • 68. Auditoria del Desarrollo C-A6-2: Debe existir un mecanismo de creación y actualización de estándares. Se debe comprobar que:  El mecanismo para creación de nuevos estándares está documentado y es conocido en área.  Los estándares son conocidos por las personas que deben usarlos y se respetan. Cuando se produce una modificación, se difunde dentro del área. C-A6-3: Los lenguajes, compiladores, herramientas CASE, software de control de versiones, etc. deben ser previamente homologados. Se debe comprobar que:  Existe un mecanismo para la adquisición y aprobación de nuevos productos de software usados en el desarrollo.
  • 69. Auditoria del Desarrollo C-A6-4: Debe practicarse la reutilización del software. Se debe comprobar que:  Exista un catálogo de los productos de software que puedan ser reutilizados: librería de funciones, clases, componentes de software, etc. C-A6-5: Debe existir un registro de problemas que se producen en el área, incluyendo los fracasos de proyectos completos. Se debe comprobar que:  Existe un catálogo de problemas, incluyendo para cada uno de ellos la solución o soluciones, proyecto en el que sucedió, persona que lo resolvió, etc.
  • 70. Auditoria del Desarrollo Objetivo de Control A7: Las relaciones con el exterior del departamento deben producirse de acuerdo a un procedimiento. C-A7-1: Debe mantenerse contactos con proveedores sobre productos que pueden ser de interés. Se debe comprobar que:  Se está en contacto con un número suficiente de proveedores para recibir una información objetiva y completa. C-A7-2: Debe existir un protocolo para contratación de servicios externos. Se debe comprobar que:  Exista el protocolo, esté aprobado y se usa.  El personal externo que interviene en los proyectos cumplirá con los mismos requisitos que se exigen a los empleados del área.
  • 71. Auditoria del Desarrollo Objetivo de Control A8: La organización del área debe estar siempre adaptada a las necesidades de cada momento. C-A8-1: La organización debe revisarse de forma regular. Se debe comprobar que:  Cuando se produce modificaciones se documentan, incluyendo la fecha de actualización y se difunden dentro del área.
  • 72. Auditoria del Desarrollo Auditoria de Proyectos de Desarrollo de Sistemas de Información. La auditoria de un proyecto de desarrollo se puede hacer en dos momentos distintos: a medida que avanza el proyecto, o una vez concluido el mismo. Aprobación, Planificación y Gestión del Proyecto. • Objetivo de Control B1: El proyecto de desarrollo debe estar aprobado, definido y planificado formalmente.
  • 73. Auditoria del Desarrollo C-B1-1: Debe existir una orden de aprobación del proyecto que defina claramente a los objetivos, restricciones y las unidades afectadas. Se debe comprobar que:  Existe una orden de aprobación del proyecto refrendad por un órgano competente.  Los objetivos y restricciones deben estar definidos en forma clara y precisa.  Se han identificado las unidades de la organización a las que afecta.
  • 74. Auditoria del Desarrollo C-B1-2: Debe asignarse un responsable o director del proyecto. Se debe comprobar que:  Se designa al responsable del proyecto según procedimientos establecidos.  Se ha comunicado al director de su nombramiento junto con la información del proyecto. C-B1-3: Se debe determinar el modelo de ciclo de vida que seguirá el proyecto. Se debe comprobar que:  Se ha elegido el ciclo de vida más adecuado al tipo de proyecto de que se trata.
  • 75. Auditoria del Desarrollo C-B1-4: Elegir el equipo técnico que realizará el proyecto y determinar el plan del proyecto. Se debe comprobar que: Objetivo de Control B2: El proyecto se debe gestionar de forma que se consigan los mejores resultados tomando en cuenta las restricciones de tiempo y recursos. C-B2-1: Los responsables de las unidades o áreas afectadas por el proyecto deben participar en la gestión del proyecto. Se debe comprobar que:  La designación del director del proyecto y del equipo de desarrollo se ha llevado según procedimientos establecidos.
  • 76. Auditoria del Desarrollo C-B2-5: Debe haber un seguimiento de los tiempos empleados de las tareas del proyecto. Se debe comprobar que:  Existe un procedimiento que permita registrar los tiempos que cada participante del proyecto dedica al mismo y qué tarea realiza en ese tiempo. C-B2-6: Se debe controlar que se siguen las etapas del ciclo de vida adoptado para el proyecto y que se generan los documentos de la metodología usada. Se debe comprobar que:  Antes de comenzar una nueva etapa se ha documentado la etapa previa y se ha revisado y aceptado, especialmente en las fases de análisis y diseño. C-B2-7: Al final cerrar la documentación, liberar los recursos empleados y hacer balance.