UNIVERSIDAD LAICA ELOY ALFARO DE MANAB

FACULTAD DE CIENCIAS INFORMTICAS

TEMA/TTULO DEL TRABAJO:

AUDITORA DEL DESARROLLO

ALUMNOS:
GOROZABEL ZAMBRANO FABIAN LEONARDO

CURSO:
5 A

PROFESOR:
ING. MARCOS AYOVI

MANTA-MANAB-ECUADOR MAYO, 2012

Contenido
INTRODUCCIN ............................................................................................................................. 1 OBJETIVOS ..................................................................................................................................... 2 IMPORTANCIA DE LA AUDITORA DEL DESARROLLO .................................................................... 3 PLANTEAMIENTO Y METODOLOGA ............................................................................................. 3 AUDITORA DE LA ORGANIZACIN Y GESTIN DEL REA DE DESARROLLO ................................. 5 APROBACIN, PLANIFICACIN y GESTIN DEL PROYECTO .......................................................... 8 AUDITORIA DE LA FASE DE ANALISIS............................................................................................. 9 Anlisis de Requisitos del Sistema (ASR) ................................................................................... 9 AUDITORIA DE LA FASE DE DISEO ............................................................................................. 11 AUDITORIA DE LA FASE DE CONSTRUCCIN ............................................................................... 11 Desarrollo de los componentes del Sistema (DCS) ................................................................. 11 Desarrollo de los Procedimientos de los Usuarios (DPU) ....................................................... 12 AUDITORIA DE LA FASE DE IMPLANTACIN................................................................................ 13 Conclusiones ............................................................................................................................... 14 Recomendaciones ....................................................................................................................... 15 Bibliografa .................................................................................................................................. 15

AUDITORIA DEL DESARROLLO 2012

INTRODUCCIN
La necesidad de que una organizacin cuente con procedimientos de control interno es aceptada ampliamente como garanta de una gestin eficaz orientada a la consecucin de los objetivos marcados. La funcin auditora es precisamente la encargada de comprobar la existencia de estos procedimientos de control y de verificar su correcta definicin y aplicacin, determinando las deficiencias que existan al respecto y los riesgos asociados a estas carencias de control. Teniendo en cuenta que cada organizacin puede descomponerse funcionalmente en (Distintos departamentos, reas, unidades, etc., es necesario que los mecanismos de control interno existan y se respeten en cada una de las divisiones funcionales para que stas cumplan adecuadamente su cometido y hagan posible que la organizacin en su conjunto funcione de manera correcta. Aplicando la divisin funcional al departamento de informtica de cualquier entidad, una de las reas que tradicionalmente aparece es la de desarrollo. Esta funcin abarca todas las fases que se deben seguir desde que aparece la necesidad de disponer de un determinado sistema de informacin hasta que ste es construido e implantado. Para delimitar el mbito de este captulo sobre auditora del desarrollo, se entender que el desarrollo incluye todo el ciclo de vida del software excepto la explotacin, el mantenimiento y la retirada de servicio de las aplicaciones cuando sta tenga lugar. La auditora del desarrollo tratar de verificar la existencia y aplicacin de procedimientos de control adecuados que permitan garantizar que el desarrollo de sistemas de informacin se ha llevado a cabo segn estos principios de ingeniera, o por el contrario, determinar las deficiencias existentes en este sentido

AUDITORIA DEL DESARROLLO 2012

OBJETIVOS

Determinar cules son los riesgos no cubiertos, y en qu medida lo son y qu con secuencias se pueden derivar al no desarrollar una auditoria de desarrollo de un sistema en general. Comprender todas las conclusiones, pruebas y evidencias obtenidas sobre cada control permitir al auditor obtener el nivel de satisfaccin de cada objetivo de control, as como cules son los puntos fuertes y dbiles del mismo.

Concluir y hacer recomendaciones acumuladas para que se plasmen en el informe general de la auditora dependiendo de las particularidades de la organizacin.

AUDITORIA DEL DESARROLLO 2012

IMPORTANCIA DE LA AUDITORA DEL DESARROLLO
Aunque cualquier departamento o rea de una organizacin es susceptible de ser auditado, hay una serie de circunstancias que hacen especialmente importante al rea de desarrollo y, por tanto, tambin su auditora, frente a otras, funciones o reas dentro del departamento de informtica: Los avances en tecnologas de los computadores han hecho que actualmente el desafo ms importante y el principal factor de xito de la informtica sea la mejora de la calidad del software. El gasto destinado a software es cada vez superior al que se dedica a hardware. A pesar de la juventud de la ciencia informtica, hace aos que se produjo la denominada "crisis del software".

Incluye problemas asociados con el desarrollo y mantenimiento del software y afecta- a un gran nmero de organizaciones. En el rea del hardware no se ha dado una crisis equivalente. El software como producto es muy difcil de validar. Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimiento. El ndice de fracasos en proyectos de desarrollo es demasiado alto, lo cual denota la inexistencia o mal funcionamiento de los controles en este proceso. Las aplicaciones informticas, que son el producto principal obtenido al final del desarrollo, pasan a ser la herramienta de trabajo principal de las reas informatizadas, convirtindose en un factor esencial para la gestin y la toma de decisiones.

PLANTEAMIENTO Y METODOLOGA
Para tratar la auditora del rea de desarrollo es necesario, en primer lugar, acotar las funciones o tareas que son responsabilidad del rea. Teniendo en cuenta que puede haber variaciones de una organizacin a otra, las funciones que tradicionalmente se asignan al rea de desarrollo son: Planificacin del rea y participacin, en la medida que corresponda, en la elaboracin del plan estratgico de informtica. Desarrollo de nuevos sistemas. sta es la funcin principal y la que da sentido al rea de desarrollo. Incluir para cada uno de los sistemas, el anlisis, I diseo, construccin e implantacin. El mantenimiento se supondr funcin de otra rea. Estudio de nuevos lenguajes, tcnicas, metodologas, estndares, herramientas, etc. relacionados con el desarrollo y adopcin de los mismos cuando se considere oportuno para mantener un nivel de vigencia adecuado a la tecnologa del momento. Establecimiento de un plan de formacin para el personal adscrito al rea.

AUDITORIA DEL DESARROLLO 2012

Establecimiento de normas y controles para todas las actividades que se realizan en el rea y comprobacin de su observancia.

Una vez conocidas las tareas que se realizan en el rea de desarrollo, se abordar la auditora de la misma desglosndola en dos grandes apartados, que ms tarde se subdividirn con ms detalle: Auditora de la organizacin y gestin del rea de desarrollo. Auditora de proyectos de desarrollo de sistemas de informacin. En los apartados siguientes se agrupan los distintos objetivos de control en varias series, detallndose para cada uno de ellos sus controles asociados y pruebas de cumplimiento. El esquema seguido es el siguiente: Organizacin y gestin del rea de desarrollo Proyectos de desarrollo de sistemas de informacin Aprobacin, planificacin y gestin del proyecto Anlisis Anlisis de requisitos Especificacin funcional Diseo Diseo tcnico Construccin Desarrollo de componentes Desarrollo de procedimientos de usuario Implantacin Pruebas, implantacin y aceptacin

AUDITORIA DEL DESARROLLO 2012

AUDITORA DE LA ORGANIZACIN Y GESTIN DEL REA DE DESARROLLO
Aunque cada proyecto de desarrollo tenga entidad propia y se gestione con cierta autonoma, para poderse llevar a efecto necesita apoyarse en el personal del rea y en los procedimientos establecidos. La importancia de estos aspectos ha motivado que se dedique un apartado exclusivo a la organizacin y gestin del rea de desarrollo. Se consideran ocho objetivos de control (serie A): OBJETIVO DE CONTROL A1. El rea d desarrollo debe tener unos cometidos asignados dentro del departamento y una organizacin que le permita el cumplimiento de los mismos. Deben establecerse de forma clara las funciones del rea de desarrollo dentro del departamento de informtica. Debe especificarse el organigrama con la relacin de puestos del rea, as como el personal adscrito y el puesto que ocupa cada persona. Debe existir un procedimiento para la promocin del personal. El rea debe tener y difundir su propio plan a corto, medio y largo plazo, que ser coherente con el plan de sistemas. El rea de desarrollo llevar su propio control presupuestario.

OBJETIVO DE CONTROL A2: El personal del rea de desarrollo debe contar con la formacin adecuada y estar motivado para la realizacin de su trabajo. Deben existir procedimientos de contratacin. Debe existir un plan de formacin que est en consonancia con los objetivos tecnolgicos que se tengan en el rea. Incluye toda la informacin relevante para cada actividad formativa: fechas, horarios, lugar, ponentes, asistentes, material, medios necesarios, etc. o Las actividades formativas se evalan por parte de los asistentes y esta evaluacin se tiene en cuenta a la hora de redefinir el plan de formacin. Contempla la formacin de todos los empleados y tiene en cuenta el puesto que ocupan. El plan de trabajo del rea tiene en cuenta los tiempos de formacin. Debe existir un protocolo de recepcin abandono para las personas que se incorporan o dejan el rea. Debe existir una biblioteca y una hemeroteca accesibles por el personal del rea.

AUDITORIA DEL DESARROLLO 2012

El personal debe estar motivado en la realizacin de su trabajo. Este aspecto es difcil de valorar y no es puramente tcnico.

OBJETIVO DE CONTROL A3: Si existe un plan de sistemas, los proyectos que se lleven a cabo, se basarn en dicho plan y lo mantendrn actualizado La realizacin de nuevos proyectos debe basarse en el plan de sistemas en cuanto a objetivos, marco general y horizonte temporal El plan de sistemas debe actualizarse con la informacin que se genera a lo largo de un proceso de desarrollo.

OBJETIVO DE CONTROL A4: La propuesta y aprobacin de nuevos proyectos debe realizarse de forma reglada. Debe existir un procedimiento para la propuesta de realizacin de nuevos proyectos. Debe existir un procedimiento de aprobacin de nuevos proyectos que depender de que exista o no plan de sistemas.

OBJETIVO DE CONTROL A5: La asignacin de recursos a los proyectos debe hacerse de forma reglada. Debe existir un procedimiento para asignar director y equipo de desarrollo a cada nuevo proyecto. Debe existir un procedimiento para conseguir los recursos materiales necesarios para cada proyecto.

OBJETIVO DE CONTROL A6: El desarrollo de sistemas de informacin debe hacerse aplicando principios de ingeniera del software ampliamente aceptados. Debe tenerse implantada una metodologa de desarrollo de sistemas de informacin soportada por herramientas de ayuda (CASE). Debe existir un mecanismo de creacin y actualizacin de estndares, as como estndares ya definidos para las actividades principales. Se prestar especial atencin a las herramientas y lenguajes de programacin no clsicas. Los estndares son conocidos por las personas que deben usarlos y se respetan. Cuando se produce una modificacin, sta se difunde dentro del rea. Los lenguajes, compiladores, herramientas CASE, software de control de versiones, etc. usados en el rea deben ser previamente homologados. Debe practicarse la reutilizacin del software. Debe existir un mtodo que permita catalogar y estimar los tiempos de cada una de las fases de los proyectos.

AUDITORIA DEL DESARROLLO 2012

Debe existir un registro de problemas que se producen en los proyectos del rea, incluyendo los fracasos de proyectos completos.

OBJETIVO DE CONTROL A7: Las relaciones con el exterior del departamento tienen que producirse de acuerdo a un procedimiento. Deben mantenerse contactos con proveedores para recibir informacin suficiente sobre productos que puedan ser de inters. Debe existir un protocolo para contratacin de servicios externos.

OBJETIVO DE CONTROL A8: La organizacin del rea debe estar siempre adaptada a las necesidades de cada momento. La organizacin debe revisarse de forma regular.

AUDITORIA DE PROYECTOS DE DESARROLLO DE S.I Cada desarrollo de un nuevo sistema de informacin ser un proyecto con entidad propia. El proyecto tendr unos objetivos marcados y afectara a determinadas unidades de la organizacin. Debe tener un responsable y ser gestionado con tcnicas que permitan conseguir los objetivos marcados, teniendo en cuenta los recursos disponibles y las restricciones temporales del mismo. En esta gestin deben participar todas las partes de la organizacin a las que afecte el sistema. Dentro del desarrollo de sistemas de informacin se han propuestos 5 subdivisiones, entre las cuales se encuentran: anlisis, diseo, construccin e implantacin. Estas fases, ampliamente aceptadas en ingeniera del software para el desarrollo, son en concreto las que propone la metodologa de desarrollo de sistemas de informacin mtrica versin Adems estas fases, se han aadido una subdivisin que contienen los objetivos y tcnicas de control concernientes a la aprobacin, planificacin y gestin del proyecto. La aprobacin del proyecto es un hecho previo al comienzo del mismo, mientras que se aplica a lo largo de su desarrollo. Las tcnicas a utilizar y los elementos a inspeccionar, normalmente los productos y documentos generados en cada fase de desarrollo, sern los mismos en ambos casos. La nica diferencia es que en el primer caso las conclusiones que vaya aportando el auditor pueden afectar al desarrollo del proyecto, aunque nunca participaran en la toma de decisiones.

AUDITORIA DEL DESARROLLO 2012

APROBACIN, PLANIFICACIN y GESTIN DEL PROYECTO
Se consideran dos objetivos

OBJETIVO DE CONTROL B1. El proyecto de desarrollo debe estar aprobado, definido y panificado formalmente. - Debe existir una orden de aprobacin del proyecto que defina claramente los objetivos, restricciones y las unidades afectadas. - Debe asignarse un responsable o director del proyecto. - El proyecto debe ser catalogado y en funcin de sus caractersticas se debe determinar el ciclo de vida que se seguir. - Una vez determinado el ciclo de vida a seguir, se debe elegir el equipo tcnico que realizara el proyecto y se determinara el plan de proyecto OBJETIVO DE CONTROL B2. El proyecto se debe gestionar de forma que se consigan los mejores resultados posibles teniendo en cuenta las restricciones de tiempo y recursos. Los criterios usados sern coherentes con los objetivos de las unidades afectadas. Los responsables de las unidades o reas afectadas por el proyecto deben participar en la gestin del proyecto. Se debe establecer un mecanismo para la resolucin de problemas que puedan plantearse a lo largo del proyecto. Debe existir un control de cambios a lo largo del proyecto. Cuando sean necesario reajustar el plan de proyecto, normalmente al finalizar un modulo o fase, debe hacerse de forma adecuada. La documentacin del proyecto es completa y esta catalogada perfectamente para accesos posteriores. El comit de direccin y el director del proyecto hacen balance del proyecto, estudiando posibles problemas y sus causas, los cambios de plan, etc. Toda esta informacin se registra en los archivos histricos sobre estimaciones y problemas.

AUDITORIA DEL DESARROLLO 2012

AUDITORIA DE LA FASE DE ANALISIS
La fase de anlisis pretende obtener un conjunto de especificaciones formales que describan las necesidades de informacin que deben ser cubiertas por el nuevo sistema independiente del entorno tcnico. Esta fase se divide en dos mdulos:

Anlisis de Requisitos del Sistema (ASR)

Se identificaran los requisitos del nuevo sistema. A partir del conocimiento del sistema actual y sus problemas asociados junto con los requisitos que se exigirn al nuevo sistema, se determinaran las posibles soluciones, alternativas que satisfagan esos requisitos y entre ella se elegir la ms adecuada.

Se consideran dos objetivos: OBJETIVO DE CONTROL C1. Los usuarios responsables establecern de forma clara los requisitos del proyecto. - En el proyecto deben participar usuarios de todas las unidades a las que afecte el sistema. Esta participacin, que se har normalmente a raves de entrevistas, tendr especial importancia en la definicin de requisitos del sistema. - Se debe usar un plan detallado se entrevistas con el grupo de usuarios y con los responsables de las reas afectadas que permitan conocer como valoran el sistema actual y que esperan del nuevo sistema. - A partir de la informacin obtenida se debe documentar el sistema actual as como los problemas asociados con el mismo. Se debe obtener tambin el catlogo con los requisitos del nuevo sistema. - Debe existir un procedimiento formal para registrar cambios en los requisitos del sistema por parte de los usuarios.

OBJETIVO DE CONTROL C2. En el proyecto de desarrollo se utilizara la alternativa ms favorable para conseguir que el sistema cumpla los requisitos. - Dado los requisitos del nuevo sistema se deben definir las diferentes alternativas de construccin con sus ventajas e inconvenientes. Se evaluaran las alternativas y se seleccionara la ms adecuada. Especificacin funcional del Sistema

AUDITORIA DEL DESARROLLO 2012

Una vez conocido el sistema actual los requisitos del nuevo sistema y la alternativa ms favorable. Se elaborara una especificacin funcional detallada del sistema que sea coherente con lo que se espera de l. La participacin de usuarios en este mdulo y la realizacin de entrevistas siguen las pautas ya especificadas en el anlisis de requisitos del sistema, por lo que se pasa por alto la comprobacin de estos aspectos. El grupo de usuarios y los responsables de las unidades afectadas deben ser la principal fuente de informacin.

OBJETIVO DE CONTROL D1. El nuevo sistema debe especificar de forma completa desde el punto de vista funcional, contando esta especificacin con la aprobacin de los usuarios. Se debe realizar un modelo lgico del nuevo sistema Se ha partido de los modelos realizados en el anlisis de requisitos del sistema Existe el MLP, se ha realizado con la tcnica adecuada y es correcto tcnicamente. Describir que debe realizar el sistema sin entrar en la forma que lo har. Existe el MLD, se ha realizado con la tcnica adecuada y es correcto tcnicamente. Debe estar normalizada al menos la 3 forma normal. En el MLD estn reflejadas todas las entidades con sus atributos y claves.

- Debe existir el diccionario de datos. - Debe definirse la forma en que el nuevo sistema interactuara con los distintos usuarios. Se han descrito con suficiente detalle las pantallas a travs de las cuales el usuario navegara por la aplicacin, incluyendo todos los campos significativos. Se han descrito con suficientes detalles los informes que se obtendrn del sistema y los formularios asociados. La interfaz de usuario se ha aprobado por el grupo de usuario y por el comit.

- La especificacin del nuevo sistema incluir los requisitos de seguridad, rendimientos, copias - La actualizacin del plan de proyecto seguir los criterios ya comentados.

10

AUDITORIA DEL DESARROLLO 2012

AUDITORIA DE LA FASE DE DISEO
En la fase de diseo se elaborara el conjunto de especificaciones fsicas del nuevo tema que servir de base para la construccin del mismo. Hay un nico modulo. Diseo tcnico del Sistema (DTS) A partir de las especificaciones funcionales, y teniendo en cuenta el entorno, se diseara la arquitectura del sistema y el esquema externo de datos. Se considera un nico objetivo. OBJETIVO DE CONTROL E1. Se debe definir una arquitectura fsica para el tema coherente con la especificacin funcional que se tenga y con el entorno tecnolgico elegido. El entorno tecnolgico debe estar definido de forma clara y ser conforme a los estndares del departamento de informtica.

Se deben identificar todas las actividades fsicas a realizar por el sistema y descomponer las mismas Se debe disear la estructura fsica de datos adaptando las especificaciones del sistema al entorno tecnolgico Se debe disear un plan de pruebas que permita la verificacin de los distintos componentes del sistema por separado, as como el funcionamiento de los distintos subsistemas y del sistema en conjunto.

AUDITORIA DE LA FASE DE CONSTRUCCIN

En esta fase se programarn y probarn los distintos componentes y se pondrn en marcha todos los procedimientos necesarios para que los usuarios puedan trabajar con el nuevo sistema. Estar basado en las especificaciones fsicas obtenidas en la fase de diseo. Hay dos mdulos.

Desarrollo de los componentes del Sistema (DCS)

En este mdulo se realizarn los distintos componentes, se probarn tanto individualmente como de forma integrada, y se desarrollarn los procedimientos de operacin. Se considera un nico objetivo de control (serie F): OBJETIVO DE CONTROL F1: Los componentes o mdulos deben desarrollarse usando tcnicas de programacin correctas. Se debe preparar adecuadamente el entorno de desarrollo y de pruebas, as como los procedimientos de operacin, antes de iniciar el desarrollo. Se debe comprobar que:

11

AUDITORIA DEL DESARROLLO 2012

Se han creado e inicializado las bases de; datos o archivos necesarios y qu cumplen las especificaciones realizadas en el mdulo de diseo. En ningn momento se trabaja con informacin que se encuentra en explotacin. Se han preparado los procedimientos de copia de seguridad. Se han preparado los editores, compiladores, herramientas, etc. necesarios. Estn disponibles los puestos de trabajo y el acceso a los equipos, redes, etc. Estn disponibles todos los elementos lgicos y fsicos para realizar las pruebas unitarias de los componentes ^ las pruebas de integracin. Estn documentados todos los procedimientos de operacin para cuando el sistema est en explotacin.

Se debe programar, probar y documentar cada uno de los componentes identificados en el diseo del sistema. Deben realizarse las pruebas de integracin para asegurar que las interfaces, entre los componentes o mdulos funcionan correctamente. S

Desarrollo de los Procedimientos de los Usuarios (DPU)

En este mdulo se definen los procedimientos y formacin necesarios para que los usuarios puedan utilizar el nuevo sistema adecuadamente. Fundamentalmente se trata de la instalacin, la conversin de datos y la operacin/explotacin. Se considera un nico objetivo de control (serie G): OBJETIVO DE CONTROL G1: Al trmino del proyecto, los futuros usuarios deben estar capacitados y disponer de todos los medios para hacer uso del sistema. El desarrollo de los componentes de usuario de estar planificado. Se deben especificar los perfiles de usuario requeridos para el nuevo sistema. Se deben desarrollar todos los procedimientos de usuario con arreglo a los estndares del rea. A partir de los perfiles actuales de los usuarios, se deben-definir los procesos de formacin o seleccin d personal necesario. Se deben definir los recursos materiales necesarios para el trabajo de los usuarios con el nuevo sistema.

12

AUDITORIA DEL DESARROLLO 2012

AUDITORIA DE LA FASE DE IMPLANTACIN
En esta fase se realizar la aceptacin del sistema por parte de los usuarios adems de las actividades necesarias para la puesta en marcha. Hay un nico mdulo Pruebas, Implantacin y Aceptacin del Sistema (PA) Se verificar en este mdulo que el sistema cumple con los requisitos establecidos en la fase de anlisis. Una vez probado y aceptado se pondr explotacin. Se consideran dos objetivos de control (serie H):

OBJETIVO DE CONTROL Hl: El sistema debe ser aceptado formalmente i los usuarios antes de ser puesto en explotacin. Se deben realizar las pruebas del sistema que se especificaron en diseo del mismo. El plan de implantacin y aceptacin se debe revisar para adaptarlo a la situacin final del proyecto. El sistema debe ser aceptado por los usuarios antes de ponerse en explotacin.

OBJETIVO DE CONTROL H2: El sistema se pondr en explotacin formalmente y pasar a estar en mantenimiento slo cuando haya sido aceptado y est preparado todo el entorno en el que se ejecutar. . Se deben instalar todos los procedimientos de explotacin. Si existe un sistema antiguo, el sistema nuevo se pondr en explotacin, forma coordinada con la retirada del antiguo, migrando los datos si es necesario. Debe firmarse el final de la implantacin por parte de los usuarios Se debe supervisar el trabajo de los usuarios con el nuevo sistema en las primeras semanas para evitar situaciones de abandono de uso del sistema. Para terminar el proyecto se pondr en marcha el mecanismo de mantenimiento

13

AUDITORIA DEL DESARROLLO 2012

Conclusiones

En conclusin todas las actividades que configuran el proceso de desarrollo tienen la misma importancia a la hora de realizar la auditora aunque se pueda pensar que la ms importante es la de programacin, ya que se ha demostrado que los errores en las fases inciales suelen ser ms costosos que los que se produce en las partes finales de los mismos. Adems que la organizacin propiamente definida se convierte en un elemento crtico a tomar en cuenta al momento de realizar la auditora ya que los proyectos de desarrollo se los analiza y se los implementa en la Organizacin.

14

AUDITORIA DEL DESARROLLO 2012

Recomendaciones
Para realizar la auditoria de Desarrollo es recomendable utilizar la metodologa de la propuesta por la ISACA (Information Systems Audit and Control Association), que est basada en la evaluacin de riesgos partiendo de los riesgos potenciales a los que est sometida una actividad. Tambin esta metodologa aportan una serie de pruebas de cumplimiento que permitan la comprobacin de la existencia y correcta aplicacin de dichos controles.

Bibliografa
AUDITORIA INFORMATICA UN ENFOQUE MODERNO https://www.u-cursos.cl/ieb/2009/1/0718/255001/material_docente/objeto/22409 http://empleo.trovit.es/ofertas-empleo/auditoria-herramientas-desarrollo

15