Este documento describe la metodología para realizar una auditoría al departamento de desarrollo de sistemas de información. Explica que la auditoría evalúa el cumplimiento de objetivos de control a lo largo de las distintas fases del desarrollo de sistemas: aprobación del proyecto, análisis, diseño, construcción e implantación. Propone objetivos de control específicos para cada fase, como que exista documentación aprobada de los requerimientos del sistema, que se diseñe una arquitectura acorde a los requer
Trabajo realizado por alumnos de la carrera de Ingeniería en Tecnologías de la Información y la Comunicación, de la Universidad Tecnológica de Nezahualcoyótl.
Trabajo realizado por alumnos de la carrera de Ingeniería en Tecnologías de la Información y la Comunicación, de la Universidad Tecnológica de Nezahualcoyótl.
Diapositivas D.I.P.. sobre la importancia que tiene la interpol en HonduraspptxWalterOrdoez22
Es un conjunto de diapositivas creadas para la información sobre la importancia que tienen la interpol en honduras y los tratados entre ambas instituciones
Ipsos, empresa de investigación de mercados y opinión pública, divulgó su informe N°29 “Claves Ipsos” correspondiente al mes de abril, que encuestó a 800 personas con el fin de identificar las principales opiniones y comportamientos de las y los ciudadanos respecto de temas de interés para el país. En esta edición se abordó la a Carabineros de Chile, su evaluación, legitimidad en su actuar y el asesinato de tres funcionarios en Cañete. Además, se consultó sobre el Ejército y la opinión respecto de la marcha en Putre.
1. Auditoria De Desarrollo
Informático
Auditoría al Desarrollo de Sistemas
Aplicando la división funcional al departamento de informática de cualquier
entidad, una de las áreas que tradicionalmente aparece es la de desarrollo.
Esta función abarca todas las fases que se deben de seguir desde que
aparece la necesidad de disponer de un determinado sistema de información
hasta que éste es construido e implantado.
Para delimitar el ámbito de este capítulo, se entenderá que el desarrollo
incluye todo el ciclo de vida del software excepto la explotación, el
mantenimiento y el fuera de servicio de las aplicaciones cuando ésta tenga
lugar.
2. Auditoria De Desarrollo
Informático
Auditoría al Desarrollo de Sistemas
IMPORTANCIA DE LA AUDITORÍA DE DESARROLLO.
Aunque cualquier departamento o área de una organización es susceptible de
ser auditado, hay una serie de circunstancias que hacen especialmente
importante al área de desarrollo, y por tanto también de auditoría, frente a
otras funciones o áreas dentro del departamento de informática:
Los avances en tecnologías de las computadoras han hecho que actualmente el
desafío más importante y el principal reto sea la calidad del software
El gasto destinado a software es cada vez superior al que se dedica al hardware
El software como producto es muy difícil de validar. Un mayor control en el proceso
de desarrollo incrementa la calidad del mismo y disminuye los costos de
mantenimiento.
El índice de fracasos en proyectos de desarrollo es demasiado alto, lo cual denota
la inexistencia o mal funcionamiento de los controles en este proceso.
Las aplicaciones informáticas, que son el producto principal obtenido al final del
desarrollo, pasan a ser la herramienta de trabajo principal de las áreas informatizadas,
convirtiéndose en un factor esencial para la gestión y la toma de decisiones.
3. Auditoria De Desarrollo
Informático
¿Cuál es la realidad de los
proyectos TI?
En 2007 del total de lo
proyectos de TI
monitoreados, sólo el 29%
lo logró a tiempo y en costo,
los costos promedio se
excedieron 56% y en
promedio tomó 84% más
de tiempo para
completarse.
Fuente: Over due and over budget, over and
over again” The Economist, june 11th 2008
4. Auditoria De Desarrollo
Informático
¿Cuál es la realidad de los Proyectos?
1. 15% de los proyectos fracasan y son cancelados totalmente
2. 51% no cumplen sus objetivos
3. 42% en promedio por encima del presupuesto
4. 82% no cumplen el cronograma
5. US $55.000 millones perdidos en proyectos sólo en USA
6. US $17.000 millones en sobrecostos
5. Auditoria De Desarrollo
Informático
¿Por qué los Proyectos fallan?
1. Falta de comprensión del problema, visión ligera del alcance
2. Problemas tecnológicos y con proveedores
3. Problemas de comunicación y trabajo en equipo
4. Problemas de liderazgo
5. Problemas metodológicos. Falta de un proceso de administración de
proyectos.
6. Auditoria De Desarrollo
Informático
Auditoría al Desarrollo de Sistemas
PLANTEAMIENTO Y METODOLOGÍA.
Para tratar la auditoría de desarrollo es necesario, en primer lugar, acotar las
funciones o tareas que son responsabilidad del área. Teniendo en cuenta
que puede haber variaciones de una organización a otra, las funciones que
tradicionalmente se asignan al área son:
Planificación del área y participación en la elaboración del plan estratégico
de informática
Desarrollo de nuevos sistemas
Estudio de nuevos lenguajes, técnicas, metodologías, estándares,
herramientas, etc. y adopción de los mismos para mantener un nivel de
vigencia adecuado al momento.
Establecimiento de un plan de formación para el personal adscrito al área
Establecimiento de normas y controles para todas las actividades que se
realizan en el área y comprobación de su observancia.
7. Auditoria De Desarrollo
Informático
Auditoría al Desarrollo de Sistemas
Una metodología aplicable es la propuesta por la ISACA (Information Systems
Audit and Control Association), que está basada en la evaluación de
riesgos partiendo de los riesgos potenciales a los que está sometida una
actividad (en este caso el desarrollo de un sistema de información), se
determinan una serie de objetivos de control que minimicen esos riesgos.
Para cada objetivo de control se especifican una o más técnicas de control,
también denominadas simplemente controles, que contribuyan a lograr el
cumplimiento de dicho objetivo. Además, se aportan una serie de pruebas
de cumplimiento que permitan la comprobación de la existencia y correcta
aplicación de dichos controles.
8. Auditoria De Desarrollo
Informático
Auditoría al Desarrollo de Sistemas
Una vez fijados los objetivos de control, será función del auditor determinar el
grado de cumplimiento de cada uno de ellos. Para cada objetivo se
estudiarán todos los controles asociados al mismo, usando para ello las
pruebas de cumplimiento propuestas. Con cada prueba de cumplimiento se
obtendrá alguna evidencia, bien sea directa o indirecta, sobre la corrección
de los planes. Si una simple comprobación no ofrece ninguna evidencia,
será necesaria la realización de exámenes más profundos.
En los controles en los que sea impracticable una revisión exhaustiva de los
elementos de verificación, bien porque los recursos de auditoría sean
limitados o porque el número de elementos a inspeccionar sea muy
elevado, se examinará una muestra representativa que permita inferir el
estado de todo el conjunto.
9. Auditoria De Desarrollo
Informático
Auditoría al Desarrollo de Sistemas
El estudio global de todas las conclusiones, pruebas y evidencias obtenidas
sobre cada control permitirán al auditor obtener el nivel de satisfacción de
cada objetivo de control, así como cuáles son los puntos fuertes y débiles
del mismo. Con esta información y teniendo en cuenta las particularidades
de la organización en estudio, se determinará cuáles son los riesgos no
cubiertos, en qué medida lo son y qué consecuencias se pueden derivar de
esa situación. Estas conclusiones, junto con las recomendaciones
acumuladas, serán las que se plasmen en el informe de auditoría.
10. Auditoria De Desarrollo
Informático
Auditoría al Desarrollo de Sistemas
Etapas del Desarrollo de un Sistema
Aprobación,
planificación
y gestión
del proyecto
Análisis Diseño Construcción Implantación
11. Auditoria De Desarrollo
Informático
Auditoría al Desarrollo de Sistemas
Proyectos de desarrollo de sistemas de información
Aprobación, planificación y gestión del proyecto
Análisis
Análisis de requerimientos
Especificación funcional
Diseño
Diseño técnico o de detalle
Construcción
Desarrollo de componentes
Desarrollo de procedimientos
Implantación
Pruebas, implantación y aceptación
12. Auditoria De Desarrollo
Informático
Auditoría al Desarrollo de Sistemas
Objetivos de Control a Auditar
OBJETIVO DE CONTROL: El área de desarrollo debe tener
responsabilidades asignadas dentro del departamento y una organización
que le permita el cumplimiento de las mismas.
Deben establecerse de forma clara las funciones del área de desarrollo dentro
del departamento de informática. Se debe comprobar que:
Existe documento que contiene las funciones que son competencia del
área de desarrollo, que está aprobado por la dirección informática y que
se respeta.
13. Auditoria De Desarrollo
Informático
Auditoría al Desarrollo de Sistemas
Objetivos de Control a Auditar
OBJETIVO DE CONTROL: El desarrollo de sistemas de información debe
hacerse aplicando principios de ingeniería del software ampliamente
aceptados.
Debe tenerse implantada una metodología de desarrollo de sistemas de
información. Se debe comprobar que:
La metodología cubre todas las fases del desarrollo y es adaptable a
distintos tipos de proyectos.
14. Auditoria De Desarrollo
Informático
Auditoría al Desarrollo de Sistemas
Como se puede observar en el esquema de agrupación de objetivos de control
propuestos, dentro del desarrollo de sistemas de información se han
propuesto cinco subdivisiones, entre las cuales se encuentran: análisis,
diseño, construcción e implantación. Estas fases, ampliamente
aceptadas en ingeniería de software para el desarrollo, son en concreto
las que propone la metodología de desarrollo de sistemas de información.
Además de estas fases, se ha añadido una subdivisión que contiene los
objetivos y técnicas de control concernientes a la aprobación,
planificación y gestión del proyecto. La aprobación del proyecto es un
hecho previo al comienzo del mismo, mientras que la gestión se aplica a
lo largo de su desarrollo. La planificación se realiza antes de iniciarse,
pero sufrirá cambios a medida que el proyecto avanza en el tiempo.
15. Auditoria De Desarrollo
Informático
Auditoría al Desarrollo de Sistemas
Aunque los objetivos de control se han catalogado en función de la fase del
proyecto a la que se aplican, la auditoría de un proyecto de desarrollo se
puede hacer en dos momentos distintos: a medida que avanza el
proyecto, o una vez concluido el mismo. Las técnicas a utilizar y los
elementos a inspeccionar, normalmente los productos y documentos
generados en cada fase del desarrollo, serán los mismos en ambos
casos. La única diferencia es que en el primer caso las conclusiones que
vaya aportando el auditor pueden afectar el desarrollo del proyecto,
aunque nunca participará en la toma de decisiones.
Para controlar se pueden solicitar los entregables para marcar los hitos de
entrega, el cumplimiento de los objetivos de control de cada fase del
desarrollo.
16. Auditoria De Desarrollo
Informático
Auditoría al Desarrollo de Sistemas
Aprobación, planificación y gestión del proyecto.
OBJETIVO DE CONTROL: El proyecto de desarrollo debe estar aprobado,
definido y planificado formalmente.
Debe existir una orden de aprobación del proyecto que defina claramente los
objetivos, restricciones y las unidades afectadas. Se debe comprobar
que:
Existe una orden de aprobación del proyecto firmada por un órgano
competente.
En el documento de aprobación están definidos de forma clara y precisa
los objetivos del mismo y las restricciones de todo tipo que deben tenerse
en cuenta (temporales, recursos técnicos, recursos humanos,
presupuesto, etc.).
Se han identificado las unidades de la organización a las que afecta.
17. Auditoria De Desarrollo
Informático
Auditoría al Desarrollo de Sistemas
Auditoría de la fase de análisis
Análisis de requerimientos del Sistema
En este módulo se identificarán los requerimientos del nuevo sistema. Se
incluirán tanto los requerimientos funcionales como los no funcionales,
distinguiendo para cada uno de ellos su importancia y prioridad.
A partir del conocimiento del sistema actual y sus problemas asociados, junto
con los requerimientos que se exigirán al nuevo sistema, se
determinarán las posibles soluciones alternativas que satisfagan esos
requerimientos y de entre ellas se elegirá la más adecuada.
OBJETIVO DE CONTROL: Los usuarios y responsables de las unidades a las
que afecte el nuevo sistema establecerán de forma clara los
requerimientos del mismo.
18. Auditoria De Desarrollo
Informático
Auditoría al Desarrollo de Sistemas
Auditoría de la fase de análisis
Análisis de requerimientos del Sistema
En el proyecto deben participar usuarios de todas las unidades a las que
afecte el nuevo sistema. Esta participación, que se hará normalmente a
través de entrevistas, tendrá especial importancia en la definición de
requerimientos del sistema. Se debe comprobar que:
Existe un documento aprobado por el comité de dirección en el que se
determina formalmente el grupo de usuarios que participará en el
proyecto.
Los usuarios elegidos son suficientemente representativos de las
distintas funciones que se llevan a cabo en las unidades afectadas por el
nuevo sistema.
Se les ha comunicado a los usuarios su participación en el proyecto,
informándoles del ámbito del mismo y de qué es lo que se espera de
ellos, así como la dedicación estimada que les supondrá esta tarea.
19. Auditoria De Desarrollo
Informático
Auditoría al Desarrollo de Sistemas
Auditoría de la fase de análisis
Especificación funcional del sistema
Una vez conocido el sistema actual, los requerimientos del nuevo sistema y la
alternativa de desarrollo más favorable, se elaborará una especificación
funcional detallada del sistema que sea coherente con lo que se espera
de el. La participación de los usuarios en este módulo y la realización de
entrevistas siguen las pautas ya especificadas en el análisis de
requerimientos del sistema, por lo que se pasa por alto la comprobación
de estos aspectos. El grupo de usuarios y los responsables de las
unidades afectadas deben ser la principal fuente de información. Se
considera un único objetivo de control, ilustrando como siempre, solo
uno de ellos:
OBJETIVO DE CONTROL: El nuevo sistema debe especificarse de forma
completa desde el punto de vista funcional, contando esta especificación
con la aprobación de los usuarios.
20. Auditoria De Desarrollo
Informático
Auditoría al Desarrollo de Sistemas
Auditoría de la fase de diseño
En la fase de diseño se elaborará el conjunto de especificaciones físicas del
nuevo sistema que servirán de base para la construcción del mismo. Hay
un único módulo:
Diseño técnico del sistema
A partir de las especificaciones funcionales, y teniendo en cuenta el entorno
tecnológico, se diseñará la arquitectura del sistema y el esquema externo
de datos.
OBJETIVO DE CONTROL: Se debe definir una arquitectura física para el
sistema coherente con la especificación funcional que se tenga y con el
entorno tecnológico elegido.
21. Auditoria De Desarrollo
Informático
Auditoría al Desarrollo de Sistemas
Auditoría de la fase de construcción
En esta fase se programarán y probarán los distintos componentes y se
pondrán en marcha todos los procedimientos necesarios para que los
usuarios puedan trabajar con el nuevo sistema. Estará basado en las
especificaciones físicas obtenidas en la fase de diseño. Hay dos
módulos.
Desarrollo de los componentes del Sistema
En este módulo se realizarán los distintos componentes, se probarán tanto
individualmente como de forma integrada, y se desarrollarán los
procedimientos de operación.
OBJETIVO DE CONTROL: Los componentes o módulos deben desarrollarse
usando técnicas de programación correctas.
22. Auditoria De Desarrollo
Informático
Auditoría al Desarrollo de Sistemas
Desarrollo de los procedimientos de usuario
En este módulo se definen los procedimientos y formación necesarios para
que los usuarios puedan utilizar el nuevo sistema adecuadamente.
Fundamentalmente se trata de la instalación, la conversión de datos y la
operación/explotación.
OBJETIVO DE CONTROL: Al término del proyecto, los futuros usuarios deben
estar capacitados y disponer de todos los medios para hacer uso del
sistema.
23. Auditoria De Desarrollo
Informático
Auditoría al Desarrollo de Sistemas
Auditoría de la fase de implantación
En esta fase se realizará la aceptación del sistema por parte de los usuarios,
además de las actividades necesarias para la puesta en marcha. Hay un
único módulo:
Pruebas, implantación y Aceptación del Sistema
Se verificará en este módulo que el sistema cumple con los requerimientos
establecidos en la fase de análisis. Una vez probado y aceptado se
pondrá en explotación.
OBJETIVO DE CONTROL: El sistema debe ser aceptado formalmente por los
usuarios antes de ser puesto en explotación. Esta etapa se denomina
Certificación usuaria.
24. Auditoria De Desarrollo
Informático
Auditoría al Desarrollo de Sistemas
Auditoría de la fase de implantación
Se deben realizar las pruebas del sistema que se especificaron en el diseño
del mismo. Se debe comprobar que:
• Se prepara el entorno y los recursos necesarios para realizar las pruebas
• Las pruebas se realizan y permiten verificar si el sistema cumple las
especificaciones funcionales y si interactúa correctamente con el entorno,
incluyendo interfaces con otros programas, recuperación ante fallas,
copias de seguridad, tiempos de respuesta, etc.
• Se han evaluado los resultados de las pruebas y se han tomado las
acciones correctoras necesarias para solventar las incidencias
encontradas.