Professional Documents
Culture Documents
gFA.Mri
CAPTULO
12
1. INTRODUCCION
Lanecesidad de que una organizacin cuente con procedimientos de control in'
aceptada ampliamente como garanta de una gestin eficaz orientada a Ia con'
iii,"
"r de los objetivos marcados. La funcin auditora es precisamente la encargada
iiiCucin
de comprobar Ia existencia de estos procedimientos de control y de verificar su coir..tu d"finicin y aplicacin, determinando las deficiencias que existan al respecto y
liiils "r*o. asociados a estas carencias de control.
,...
,.,,,
Aplicando la divisin funcional al departamento de informtica de cualquier entid.d, nu de las ireas que tradicionalmente aparece es la de desarrollo. Esta funcin
todas las fases que se deben seguir desde que aparece 1a necesidad de disponer
que ste es construido e implantado.
rde un determinado sistema de informacin hasta
Fara demitar el mbito de este captulo sobre auditora del desarrollo, se entender
;que el desarrollo incluye todo ei ciclo de vida del software excepto la explotacin, el
linantenimiento y la retirada de servicio de las aplicaciones cuando sta tenga lugar.
ii,i
-_!
rvsvrvn
r1r|vNvrArrL\:
uN b,t\UQUE PRACTICO
AU L'T
quinas reales" (Fritz Bauer), la auditora del desarrollo tratar de verificar la exi
y aplicacin de procedimientos de control adecuados que permitan garantizar
desarrollo de sistemas de informacin se ha llevado a cabo segin estos principi
ingeniera, o por ei contrario, determinar 1as deficiencias existentes en este setrtido.
al fil
que son eI producto principal obtenido
Lns aplicacione informticas,
reas
las
principal_de
de trabajo
del dorarrolro, pa'an u-*., ru ierramienta
formatizadas,convirtindoseenunfactoresencialparalagestinylatoma
entreg'
Un 29 9b re pag pero nunca se
dscisiones.
. PLANTEAMIENTO Y METODOLOGIA
I
Paratratarlaauditorade)fueadedesarrolloesnecesario'enprimerlugar'
t::,T*::
q"t Td:'ll
del
funciones o tareas que son responsabilidad
las funciones que tradicionalmento
variaciones de una orgunifucion a otfa,
del
rea
Planificacin
il*
ware.
ora
rea.
:*ndf-:1
cuand'o
ior-J".uoo11o y adopcin de los mismos
tegn0
la
a
adecuado
vigencia
nivel de
considere oporhmo para mantener un
ga del momento.
es muy
.Establecimientodeunplandeformacinparaelpersonaladscritoalrea.
.
eL1
li,
i"
de mantenimiento.
que
ps6lsgimiento de norrnas y controles para todas las actividades
,en el rea y comprobacin de su observancia'
el
una vez conocidas las tareas que se rearizanen
,r;nTn";;"";;" Gi"r"""la
irea de desarrollo, se
-__- ^4,
en dos grandes apartados, que ms
El ndice de fracasos en proyectos de desarrollo es demasiado alto, lo cual denota la inexistencia o mal funcionamiento de los controles en este procesoil
Los datos del Government Accounting Office Report (EE.UU.) sobre diversos
rn\p.tne rlc cnf'hqrc frzqlnrqr{nc cn
$e
O RA-lvlA
RA.MA
pueden derivar de esa situacin. Estas conclusiones, junto con las recomendaciones
formuladas, sern las que se plasmen en el informe de auditora.
De estos dos apartados srr lrui nl'ri (1nlrslri ett t'l st'itttttltl ltlr tratarse de la funcin principal del rea, auncluc lll tlc lerrclst' en ('rtcnlir (ltlc tllln lrttena organizacin y
se
gestin es imprescindible paru trrc los l)r'oyr'('l(ls lcn.liut trtrir t:ltlitlltr-l aceptable.
Paracadaobjetivodecontrolseespccil'iclulr.ullolttiistcuicasdecontrol,tam-..r
bin denominadas simplemente controles, quc contritrLlyan a lograr el cumplimiento
de dicho objetivo. Adems, se aportan una serie de prucbas de cumplimiento que peI- '"1
mitan la comprobacin de la existencia y correctl aplicacitin de dichos controles. EI .,1i
esquema para cada objetivo de control es:
C-X-m: Tcnica
...
de
Una vez fijados los objetivos de control, ser funcin del auditor determinar el
grado de cumplimiento de iada uno de ellos. Para cada objetivo se estudiaran todo-srii
los controles asociados al mismo, usando para ello las pruebas de cumplimiento proii
puestas. con cada prueba de cumplimiento se obtendr alguna evidencia' bi-en ::a
ir".tu o indirecta, sobre la correccin de los controles' Si una simple comprobactn
no ofrece ninguna evidencia, ser necesarialarealizacin de exmenes ms
'
dos.
En los controles en los que sea impracticable una revisin exhaustiva de los eleporquei
mentos de verificacin, bien porque los recursos de auditora sean limitados o
el nmero de elementos a inspeccionar sea muy elevado, se examinar una muestr6'
representativa que permita inferir el estado de todo el conjunto'
Aunque cada proyecto de desarrollo tenga entidad propia y se gestionc cou cicrtu
fi,aptonoma, para poderse llevar a efecto necesita apoyarse en el personal dcl fircu y r:rr
ii',;,llgs proceimientos establecidos. La importancia de estos aspectos ha motivatlu quc sc
,'' dique un apartado exclusivo a la organizacin y gestin del rrea de clesarrollo. Sc
.'consideran ocho objetivos de control (serie A):
,',
C-A1-1: Deben establecerse de forma clara las funciones del irea de desarrollo
,,&ntro
Existe el documento que contiene las funciones que son competencia del ftta
de desarrollo, que est aprobado por la direccin de informtica y que se respeta.
lob AUUtIuKIA
CAPITULO
261
fuera de la or[.as ol'crtirs tlc ltucstos clel rea se difunden de forma suficiente
objetiva'
forma
de
gauizaciirn y las selecciones se hacen
que acceden.
Las personas seleccionadas cumplen los requisitos dei puesto al
con ios obc-L2-2: Debe existir un plan de formacin que est en consonancia
que:
comprobar
debe
Se
jetivos tecnolgicos que se tengan en el rea '
fechas'
Incluye toda la informacin relevante para cada actividad formativa:
en cuenta el puesto
Contempla la formacin de todos los empleados y tiene
'i't,
12:
puestos. .i
formacin.
etc'
horarios, lugar, ponentes, asistentes, material, medios necesarios'
t li'
:l!
C-A1-3: El rea debe tener y difundir su propio plan a corto, medio y largo
zo, que ser coherente con el plan de sistemas, si ste existe. Se debe comprobar
pla'r!,i
que:
que ocupan.
l,os rccurs()s actuales, ms los que est planificado que se incorporen al rea
srrn srrl'icicntes para su cumplimiento.
.
.
flir
iiii-,.
comprobar
manual de
Pafa la incorporacin, incluye al menos los estndares definidos,
etc'
puestos,
organizacin del rea, definicin de
ririirf:.
ir!,|,l
Se debq,
que:
rriii.r .
I
a1..,
:i,
ilii.',;,,t,
'
,,1
i,
cumple.
personal
c-L-4:Debe existir una biblioteca y una hemeroteca accesibles por el
comprobar que:
.'
'
,'tl
Este
C-A2-5: El personal debe estar motivado en la realizacin de su trabajo'
que:
comprobar
debe
Se
tcnico'
;|."i.pe.to es difcil de valorar y no es puramente
!!ii.,r
peridicas,
Estn disponibles un nmero suficiente de libros, publicaciones
acceso a ellos'
monograf?as, etc. de reconocido prestigio y el personal tiene
as-
lll,, o
ir.
sobre
Existe algn mecanismo que permita a los empleados hacer sugerencias
lt l,
No existe una gran rotacin dc rcrsorrll y lury trrr hlrt:n irnrbiente de trabajo.
El rendimiento del personal nr cac ror tlc:hirio tlt ttnos rttrrimos razonables yi,.
el absentismo laboral es similrr al dcl r*sto dc lit ot'rtttizitcin
OBJETIVO DE CONTROL A3: Si existe un plrrrt tlc sistcrnas, los proyectos que
I ,r.',
y lo lnant.enclliirt itctualizado.
f
.
o
cle
be comprobar
sistemasr.
que:
1a
la
los promotores.
inicial.
liitt,
C-AS-I: Debe existir un procedimiento para asigriar director y equipo dc clcsu,ill;,nollo a cada nuevo proyecto. Se debe comprobar que:
, ".,
a
:
Se tiene en cuenta a todas las personas disponibles cuyo pert'il ser adccuaclo
los riesgos de cada proyecto y que tengan disponibilidad para participar.
de
Existe un protocolo para solicitar al resto de las reas (sistemas, comunicaciones, etc.) la participacin de personal en el proyecto, y se aplica dicho protocolo.
'iii
proyectosr,,l
propuestas.
se respeta.
lir
i,.:hacerse ap
aplicando
l'ilrl
El procedimiento existe y
ri
[r,,,
que:
Se parte de las pautas, prioridades y planificacin que ste marque para el de-;
sarrollo de cada nuevo
sistema.
.i
ill
UN ENFOQUE PRCTICO
O RA-MA
O RA'MA
l,
Se ha adquirido, homologado e implantado segn las normas del rea una heramienta CASE que se adapta a la metodologa elegida y que cumple con losr:
requisitos mnimos exigibles a una herramienta de este tipo
.
.
CASE
'. .
Los estndares son conocidos por las personas que deben usados y se respetan. Cuando se produce una modificacin, sta se difunde dentro del rea.
i.
las,i
datos.
, .
,.
ll
,l
r
,rtr.(.r() ;r lrrs llcrramientas y lenguajes de programacin no c1sicas. Se debe compronlccanismo para creacin de nuevos estndares est documentado y es conocido en el rea.
'
Hay un estndar para la realizacin del anlisis y diseo, e incluye las tcnicas
y herramientas a usar, etc.
il
cados.
etc.
Hay un estndar de programacin para cada uno de los lenguajes homologaos. se prestar especial atencin a las herramientas denominadas RAD (Rapid Appiication Dvelopment), ya que las secuencias posibles de ejecucin
son muy numerosas (normalmente se activan rutinas por eventos o triggers
(disparadores) y el orden no se puede pfever a priori) y la validacin y depu-
t
t
l',r tlttt'.
. lll
il
il
],I
iil
'
it
j-
. Ll herramienta
.
etc.
211
llxistc: urr catlogo con todos 1os productos software susceptibles de ser reutilrz,rrtrs: libreras de funciones, clases si se utiiiza programacin orientada a
olriclos, programas tipo, componentes software, etc.
t,.l r'rlrilo!,rl es conocido y accesible por todos los miembros del irea, est acr,r,rlr r.,1r r rienc rrnn n vnrios nrlices oue faciliten la bsoueda.
il
cepruLo
12:
,;ii
mlsr,rl
mas.
,r.ri
,a
c-A6-5: Debe existir un nrclkrd. quc permita catalogar y estimar los tiempos
oei]
tr1;
1os
t,tt,li
ud""rud-.i,ii
Una persona dei irea supervisa el trabajo realizado, certificndolo antes del
Las desviaciones producidas er cacla proyecto se usan para ajustar los pari,
metros de catalogacin y estimacin manteniendo un histrico de los mismos-,,r
pago.
cumplir, aI menos,
mente.
..
1os proyectos
qu,
!;,,l,,i,l
OBJETM DE
La
.1,'|'.i
El catlogo
COI\|TROL A8:
es accesible para todos los miembros del rea, est actualizado yli
tiene uno o varios ndices que faciliten la bsqueda.
zan y no llegan a su
,
I
cede lo razonable.
se',!
1.
i
de,
,ii
i,, informacin ser un proyecto con entidad propia. El proyecto tendr unos objetivos
l"^ marcados y afectar a determinadas unidades de la organizacin. Debe tener un res-
iili;iir,'
i-.I.:TZ.S.
ponsable y ser gestionado con tcnicas que permitan conseguir los objetivos marcados,
teniendo en cuenta los recursos disponibles y las restricciones temporales del mismo.
En esa gestin deben participar todas las partes de la organizacin a las que afecte el
sistema.
En este apartado
delmrn objetivos ytcnicas de control generales
aplicables,
13
a cualquier proyecro. Er
auditor decidir los objetivos ms imporr*.
las caractersticas del proyecto y de la fase
".-arl""" Jj,.i.ii;
a
auditar.
Se debe com-
La designacin
*i;:;;;;;,;"#
i"g;;;;;,,iorlti
d.;""dHi
I"::,:''::'"*:"i::"]::l::TL*"s
i TyT
ros Llementos a
rnspcion.*,
ll::,::::l
T:j*i:.:":.
q:". en er.prime,
mismo.
"","
Se ha catalogado
r,
iinil.:l
ilit
*rqr.
,rrr.u
p*iffi
;ilil:
iLlf
se
i .
ta.
rri
do. En este caso deben cumplirse los requisitos necesarios para aplicarlo corr
xito (dificultad de los usuarios para expresar los requisitos y disponibilidad
tlc una herramienta de construccin rpida de prototipos) y debe existir un
ircucrdo con los usuarios sobre el alcance del prototipo y el objetivo que sc
rcrsiguc con el mismo.
(l-lll-4:
,.
[.lnr vez.
'
Se ha hecho uso de la informacin histrica que se dispone tanto para dimensionar el proyecto y sus riesgos como para seleccionar el ciclo de vida.
[rlr]
d:
ll
lil ir'
r:ii I
li.lilll
,"., i;;;i;o,ir';;""fi
r".-.o".r,,ro,". "'l
,i-1,
rrr.r r:rrrrl. cl
auditor pueden afectar al desarrolio del proyecto,
r;i crr l;r lorlra cle tlecisiones del
t,r:il
.i;iirri,
,";J,;;iff;'J
;;"r",** ffi#
lievado
Se le ha comunicado ai director su nombramiento junto con toda la informacin relevante del proyecto.
comienzoffi;il"#;.*,j
"";;;;;;"d.'
se ha
I ,rr
tlcsi:,lirciin del director del proyecto y del equipo de desarrollo se ha llcr cirho scgn el procedimiento establecido.
vrrkr
"p:*:il
3Li:'j:^r:i
-":d_"1 de viabilidad
petente.
El estudio
debe haber seguido el cauce establecido.
com_
lir prrticira personal externo, los perfiies profesionales son adecuados a llx
O n,"t-tr,l^
O RA-MA
,,,, 9*1-1
comproDar que:
debe
:I
es realista y
estimaciones.
:, r
,.
r
r-r,
:
la :
.,,,,r:riii1
,.
,,1:,
ilr
que:
:;,,
en el proyectO.
c'82-4: gyurd?
l.i
trrr
i.i.i.
estimaciones.
cin.
;:
ip;;Jdrfi;''
La documentacin afectada
rl:'
afectadas.
rl+l'ril C-82-5:
1i,1
fi,.l.li:-1..,o
stt,
)c dcbe comprobar
asociados
que:
"
,u;";;;;;
,-
__^.
"..,^ ur.vryrAtrcA:
uN ENFOeUE PRCTICO
l:,r:,
@RA"MA
;;;;,
;:::Jfi:?[l'f
,1:,1,,:: T:XTff i:
--
cepruLct
rz,
Il,#Ivi
\d
La documentacin cumple
los estndares establecidos
en el rea.
se respeta el plan estabrecido
y en caso contrario se toman
las medidas
tunas o se procede a la
aprobaciO, a" unu iroOficaciOn
del plan.
,rl
ffi I';:"*:*:
ms
::::
ii;
DE
CI: Los usuarios v responsables de las
iir"
unidades
^.9^{{{:!vg
atecta el nuevo',NTROL
Ias que
sistema establecern A. fo.rouit*-u.i,rr?"quisitos
del mismo.
.
s" a".probar
que:
para accesos
llr
provienen.
ffi'riff::": ],|lr:l::t:
::':;lll-?"l;Ji.'i'::,,:::":,.-,;;;;:;;;.::,
u.i, e re gi tra ., . ;hi;"
;i, ::;.:;I i:"i:
I ;ffi :"I ;1rm
rrirhlcmas
s
"in*ro
.ir,".nn.
tiilr
exisrentes
12.5.2. Auditora de la
fase de anlisis
La fase de anlisis. pretende
obtener un conjunto de
que describan las nec.esid-ades
especificaciones formatres,i
de lri"""i0, que deben
ser cubiertas por el nuevo
sistema de una forma
indep"ri""t.^"i;;"
tcnico.
ffi
c-c1-2: se debe
j?,n;:*
.los
l'
::
"*
;;;
"'
':ilffiffiffi;
':que:
"n
.ii;
J;;;.'
afeitadas.
12.5.2.1. Anlisis de
Requisitos del Sistema (ARS)
tanto_ los requisitos
funcionales
:1""1" :^"j ]
lllilli:il
l')l riri,
lu'r
lri
stos
aporrar a la
lrr.rrrrrs
tl('('c\t lt I rs()l
V(.f
realiz.
obbner informacin
so_
r*o*mas
que
ilffi;;?i"r
280
ALTDIToRA INFORM'l'l('A:
llN
lLNl (
)(.)llll l'1{cTICo
C-CL-3:
zE t
l,,t
C-CZ-L: Dados los requisitos del nuevo sistema se deben definir las diferentes
alternativas de construccin con sus ventajas e inconvenientes. Se evaluarn las alternadvas y se seleccionar Ia ms adecuada. Se debe comprobar que:
docu-:
macin.
Se han catalogado los problemas del sistema actual as como que estos
blemas son reales.
Cada alternativa est descrita desde un punto de vista lgico (aI menos modelo lgico de procesos) y es coherente con los requisitos establecidos.
,al
Si existe en el mercado algn producto que cumpla con unas mnimas garantas los requsitos especificados, una de las alternativas debe ser su c()nlprir.
.a
ti
RA.MA
'
sistema actual, as como que stos son correctos y que se han llevado a
con las tcnicas usadas en el rea.
i'.
i: a
nal.
dos.
que:
rlc lilrrrrr
282
O RA.MA
que:
283
C-D1-3: Debe definirse la forma en que el nuevo sistema interactuar con los
distintos usuarios. sta es la parte ms importante para el usuario porque definir su
forma de trabajo con el sistema. Se debe comprobar que:
C-D1-1: Se debe realizar un modelo lgico del nuevo sistema, incluyendo Mo.
delo Lgico de Procesos (MLP) y Modelo Lgico de Datos (MLD). Ambos deben ser.,,:
eonsolidados para garantizar su coherencia. Se debe comprobar
O RA.MA
.,
Se han descrito con suficiente detalle las pantallas a travs de las cuales el
usuario navegar por la aplicacin, incluyendo todos los campos significativos, teclas de funcin disponibles, mens, botones, etc. Si hay normas de diseo o estilo de pantallas en el rea, se verif,car que se respetan.
ma.
En el diagrama de contexto estn reflejados todos los agentes extemos. incluidos otros sistemas con los que el sistema intercambia informacin. Para
carla llujo de datos de entrada o de salida debe estar documentado el contenij
tkr, ln ltccuencia, suceso que lo origina, etc.
.
'
I
Se han descrito con suficiente detalle los informes que se obtendrn del siste-
Esta informacin se ha solicitado a los usuarios en las entrevistas correspondientes a este mdulo y se ha documentado y contrastado.
es correcto tcnica-r
normal.
riii
.|i
En el MLD estn reflejadas todas las entidades con sus atributos y claves,
como las relaciones entre las mismas.
C-Dl-5: Se deben especificar las pruebas que el nuevo sistema debe superar para
,ser accptado. Se debe comprobar que:
se debe
Et MLP y el MLD han sido aprobados por los usuarios y por el comit de
reccin.
rin.
ri
se gestiona de forma
da.
i"
cambios.
tls.
C-Dl-6: l,ir rrulrtrlrrt rorr tlrl rlrrn cle proyecto seguir los criterios ya comentaidos, detallintltlsc r-'n cslc punl() ('lr nlry()r medida la entrega y transicin al nuevo siste*^
I.JN
c.ptut-o
O RA-MA
O RA.MA
IINII{X](]E PRCTICO
.f.
,..i
necesario.
1o:
Los componentes o proglamas del nuevo sistema se han definido con detalle a
partir del diseo modular, la definicin es correcta y sigue los estndares del
rea. La descripcin de los componentes es suficiente para permitir su programacin por parte de un programador sin conocimiento previo del sistema.
i
,
Se han detallado las interfaces de datos y control con otros mdulos y sistcmas, as como la interfaz de usuario ya especificada en el mdulo EFS.
OBJETM DE
nolgico elegido.
C-EL-3:
.
C-Et-L: El entorno tecnolgico debe estar definido de forma clara y ser confor-,;,
que:
285
Los mdulos se disean para poder ser usados por otras aplicaciones si fuera
vosistemaqueservirndebasepara1aconstruccindelmismo.Hayunnicomdu-
DESARROLLo
l;;
,,:,ii
''
,
El modelo fsico de datos est basado en el MLD oblcrtido crt cl rrt(rtlttlo liliS
e incluye todas las entidades, relaciones, claves, vistits, ctc'
'r'i'rir
casodeprogramacinc1iente/servidor,libreras,etc.)'
del
Se dispone de los elementos seleccionados, estn dentro de los estdares
departamento de informtica y son capaces de responder a los requisitos esta'
.,
blecidos de volmenes, tiempos de respuesta, seguridad,
etc'
C-El-2:
Se deben
sistema' "''i
Se han documentado todas las activiclades sicas que debe realizar el
el''ril
El catlogo de actividades es ctlltcrclltL! con las tunciones identificadas en
MLP dei mduto EFS.
que ya
Se han identificado las actividrdc (lLlc s()ll colnunes, as como las
existan en las libreas generllcrs tk'l iircir'
ha'i:
Existe el documento con cl disctl tlc lit cstl'ttctura modular del sistema, se
por
realizado con una tcniclt atlccrlittlt 1l)iirgrlrrtras de estructura de cuadros
ejemplo) y es correcto
' :
'
para
.,
y el sistema en
]86
o RA-lvlA
RA.M4
287
l}l
lln
',
OB.lliT'lvT DE CONTROL F1: Los componentes o mdulos deben desarrollarsr' rrs:rrrrkr lcir-:tticas dc programacin correctas.
C-F1-3: Deben realizarse las pruebas de integracin para asegurar que las inter-
i qo.,
..
,
,r, .
rl,
-.
,ilri
(,-lrl-l:
diseo.
en
COnSeCUenCla.
.
'
que'
Se han evaluado las pruebas y se han tomado las acciones correctoras necesa-
rroIr;tt rttt':
No han participado los usuarios. En las pruebas de integracin slo debe participar el equipo de desarrollo.
',i
l
Estn disponibles los puestos de trabajo y el acceso a los equipos' redes, etc'
deben cstar caucitados y disponer de todos los medios para hacer uso del sistema.
prueEstn disponibles todos los elementos lgicos y fsicos para realizar las
pruebas
de
bas unitarias de los componentes y las
integracin'
So
ri
exPlotacin.
etr
.il
En el rlun tlcl l)roy('('l( ) csth incluido el plan para el desarrollo de los procc'tli
micntos rlc rsrrrrrrr t'irr, lrryr: totlas Ias actividades y recursos necesarios.
l{i\
MA
289
.Losprocedirnientossellevanacaborlespusdetenerlaespecificacinfun-,
implantacin del mismo'
cional del sistemal antes de la
C.Gl.Z:sedebenespecificarlosperfilesdeusuariorequeridosparaelfluevo
tema. Se debe comProbar que:
.Paracadaperfilsehadefinidoeirangodefechasyladedicacinnecesaria.,
C.G1-3:Sedebendesarrollartodoslosprocedimientosdeusuarioconarregloa
,*
"urndr",
que:
fgrman'
procedimientos de usuario, recopilados
Estn desarrollados todos los
doelmanualdeusuario,ySoncoherentesconlasactividadesdescritasen
EFS.
,.
Cadaprocedimientodescribeclaramentequrealiza,elperfildeusuarioaso-.
(equipos, consumibles, perif ''''
que son necesanos
ciado, as como los recursos
etc')'
ricos esPeciales, esPacio,
1as
pruebas.
Las pruebas se realizan y permiten verificar si el sistema cumple las especificaciones funcionales y si interacta correctamente con el entorno, incluyendo
interfaces con otros programas, recuperacin ante fallos, copias de seguridad,
Lacomparacindeperfilesdeusuariosyrecursosrequeridosconlosactuals'.i:
; estn aproba':'ri;
es realista y ros procedii"i::'..1r1:.f:::i:"^1lr-,".'';;;;
afectadas'
1l
'rlii
Se han evaluado los resultados de las pruebas y se han tomado las acciones
correctoras necesarias para solventar las incidencias encontradas, acfializndose el proyecto en consecuencia.
.l
cstn inclivirtualizados y
Los procedimientos de formacin
pfan de formacin que
a cadr o*un'io
persona, y se le ha comunicado
"i
sei.
lti;
r'
gu114.
los
impartir la formaetcJt
los asistentes, tutoriales'
lurtr:rill pitra
r.,..
ll
ti
se adaptan a cadan'
lro'1;
."rortu""rlrlrir"
il;;;i;t:tespnsables
C-H1-1: Se deben rcalizar las pruebas del sistema que se especificaron en el di-
oLosmanualesdeusuarioyelrestodeprocedimientoscumplenlosestndafesl
Yelrrv,vo'
de versiones'
control (rc
asociado su contror
',.:r
;;i;""
de1 rea y llevan asoclado
de 1as unidades
rot
"l
original y
a la
iI
se documenta adecuadamente.
1I
O RA-iUA
Especificalosrecursosnecesariosparacadaactividad,ascomoqueelorden
es compatible'
.Schatenidoencuerrtalainformacinhistricasobreestimaciones.
Si el sistema antiguo se va
explotacin'
informacin
se debe dejar
I ii:
"i
,:i
*f'"'t*
(].tI1.3:Elsistemadebeseraceptadoporlosusuariosantesdeponefseenex-
y la conversin si es necesana'
Incluye la inicializacin de datos
ceprulo
o RA'lt{A
2eo AUDIToRIiNronqlirtc:uNexl,oQu
se han tomado
las incidenciu'
"n"onoudas'
'i
Se
ffi
,rt:r:iii
pr()yecto en consecuencia'
con las
y el comit de direccin firman su conformidad
Itri
lil
p,rrrpo dc usuarios
rr
,r(..r(.
,rrsrrri
que se ejecutar'
rrrLr (otlo t:l cttttlrno cn el
C-l{2'l:
Se
cornprobar que:
C-H2-4: Se debe supervisar el trabajo de los usuarios con el nuevo sistema en las
primeras semanas para evitar situaciones de abandono de uso del sistema. Se debe
'ri
' .
"
"it''
se pondr en marcha
el mecanismo de mante-
necesaria y tienen en
11oder '*"',11,i
Los usuarios han recibido la formacin
manuales de
I'il
fundamentalmente
necesaria,
documentacin
usuano'
con
antiguos que sean incomPatibles
Se han eliminado procedimientos
nuevo sistema.
El ndice de utilizacin del sistema es adecuado a los volmenes que se esperaban para cada una de las ireas afectadas por el nuevo sistema.
rSehaninstaladoademsdelsistemaprincipaltodoslosprocedimientosaqti
tunto manuales como auto-'iii
,i, i
xiliares, po, .1"*piJ;;;''"top"'u"i'
tema.
1:
cOmprobar que:
de explotacin'
Se deben instalar todos los procedimientos
mticos.
Hl ntscanismo existe y est aprobado por el director del proyecto, por el colrril tlc direccin y por el rea de mantenimiento, si sta existiese.
Se pueden
permitir
293
O RA.MA
O RA.MA
\UDITORATNTO@
Controlinterno,auditorayseguricladinformdtica'Coopers&Lybrand'1996'
t"lf";' ;;q;ina
H'
Auclitora en centros de cmputo'David
1990'
I2.8.CUESTIONES DE REPASO
.6. CONCLUSIONES
'tr|:
Apesarae,seryll1gilXl;t:',Xtr;T:;;ii\li{i"ffi "':};'ff
y ssu difcil validadel software v
,oi*u." no ha conseryi9" "1:':^':::;:*iliJ.it*u'e
.":;;;'ilii'ut"'uesnecial
I,
de desarrollo?
a la importancia de la auditora
Qu factores contribuyen
2.
rroilo?
Comentelaimportancia,desdeelpuntodevistadelaauditora,delafclrrtrir-
n,conriertenutp'o""'oJedesarrolloyttttl'*Jutizacinenlasclavesparacam-
rr la siruacin
de desarrollo'
cin que deben poseer los profesionales
,-j^.-.
t'
u*-''iill
tTTTi"*
pu"du pensar que Ia
r;H:Jl"'Tii:
:onli,Y:."::::Tff":
i"r"""t*". .*
que contlguran'
r odas las actividades
Todas
4.
Quprocedimientoutilizaraparavalorarlamotivacindelporstlttirltlctlc
sarrollo?
#:*,sl;f
programaclon' se
'n";;.i^,;",ut'o'uo"l.,1',,^T::"T*::::,J.hademostradoque"'"1"5'::.,11
'*r*lnn';"':i1x1l";i"Hllffi
que se p*d** *,i!*
,l}"ni:-,:X",'""i.:';"Tii
que los
i^j'ilu.-t*r:nunt", "t la proyectos son mas,;;;;,
ooLuvo
' ;,;
il,ruffit-i;i""'es de los
QurepercusionestienelaexistenciadeherramientasCASEcnclttthittl
5.
Je los mismos'
nal de
del desarrollo?
xlmu*:i
Porotraparte,nonargce.le1c:::::T3::,T'.:'"I::,1H,"ffi
p:ol:"t" u(JrrvrLrv' -" I rcin consolidada'
a 1o largo de :n
#:JT"':Ti:i::H[f
-ilJ::H
#,',#i,:Tt:1",J[':T.
," vors^^--ortwattr DU
eI seno (r., urro v!'F^--etr,
a cabo en fr
"rtunu.en
lleven
J". por
se
n"' ;'
"r,#.
t to"l
x en cuenta
u,,o
u:t-.T"]l:n
",
a
Ji tent
e
crtico
o :Ii
ro y e c ro s *
"#::IJffi
)
'oieIIo.
;'*,*:
::*: ;". "i.n
:i":::
en otro
convierre w'
la organizacin se convrErLe
rroyectos
iffh*:""ft
,ririi
ruditor.
d'l
de cuarta
ia ineenreria
.i";:L*;d;';""bj;;"'' lenguajes
illliTlll;ffi;i^'
auditora' "iri
en cierta medida :1 o:::-"^Tr::1tl.,o.ru,
u'r proceso
en un
enunproceso
rr
alterar *
Y--- de auditora'
al
;i";i"'*
'il
esenciales a estuurar
'n11^::#l:"::-'J:ff:t"",:Jl'i;,*.
elementos
ser
a
pasan
software'
-:-^!,nA
uuJv!r'""
olsullL,b
han expuesto
licarlos objetivos;r1
En este captulo se
Enestecapturosehan*n-1*'::l:Ht'.:-:H.t'Ji:,,i1,::XX'1*:1i':":
tuncin del provec'lo*
maneradebeninterp,J;#:#;;i:t:1ffi X,:%3"::::Hi'#XH;"1;,.+1,
XXH:i.:'l;:Jffiit"y
i:1il|#*;;':;;;o'
;ffiiu"* * cncla organizacin'
""
I t'J,ffi
12.7
.LECTUBAS RECOMENDADAS
Computer
Audit' Cttnlrol
tttttl '\ttttritv'
.fnirlr]-clttuuditttt,tlli,t|(ll.ll'lll(.rl'Ytt.ttll)ct.rietr.Ed.Marcombo,l994.
6.DescribadiversosprocedimientosdeAnlisis,Evaluacinyseleccindeheo conozca'
rramientas de desarrollo quehayautilizado
7.
8.
en un proyecto a la
modelo de ciclo de vida que se adopte
Cmo afecta el
uditora atealizar sobre el mismo?
g.Creequela..trazabilidad,'delosrequisitosresultaimportanteenundesarrollo informtico?
l0.Expongacmodeberaserlaparticipacindelusuarioaiolargodelasdis.
tinias fses de la metodologa Mtrica'