Professional Documents
Culture Documents
Tabla de contenido
INTRODUCCIN ........................................................................................................................ 2 OBJETIVOS ................................................................................................................................ 3 AUDITORA AL DESARROLLO ............................................................................................... 4 IMPORTANCIA DE LA AUDITORA DEL DESARROLLO .................................................. 4 PLANTEAMIENTO Y METODOLOGA. ................................................................................. 6 ETAPAS DEL DESARROLLO DE UN SISTEMA .................................................................. 8 PROYECTOS DE DESARROLLO DE SISTEMAS DE INFORMACIN ........................... 8 OBJETIVOS DE CONTROL A AUDITAR ............................................................................... 9 APROBACIN, PLANIFICACIN Y GESTIN DEL PROYECTO. ............................ 10 AUDITORA DE LA FASE DE ANLISIS ......................................................................... 11 ANLISIS DE REQUERIMIENTOS DEL SISTEMA ................................................... 11 ESPECIFICACIN FUNCIONAL DEL SISTEMA ....................................................... 12 AUDITORA DE LA FASE DE DISEO ............................................................................ 12 AUDITORA DE LA FASE DE CONSTRUCCIN........................................................... 13 DESARROLLO DE LOS COMPONENTES DEL SISTEMA ...................................... 13 AUDITORA DE LA FASE DE IMPLANTACIN ............................................................. 14 PRUEBAS, IMPLANTACIN Y ACEPTACIN DEL SISTEMA ...................................... 14 CONCLUSION .......................................................................................................................... 15 RECOMENDACIN ................................................................................................................. 16 BIBLIOGRAFA .............................................................................................................................. 17
INTRODUCCIN
Ya que cada organizacin puede descomponerse funcionalmente en departamentos, reas, unidades, etc. es necesario que los mecanismos de control interno existan y se respeten en cada una de las divisiones funcionales para que stas cumplan y hagan posible que la organizacin en su conjunto funcione de manera correcta. Una de las reas que tradicionalmente aparece es la de desarrollo. Esta rea abarca todas las fases que se deben seguir desde que aparece la necesidad de disponer de un sistema de informacin hasta que este es construido e implantado. El desarrollo incluye todo el ciclo de vida del software excepto la explotacin, el mantenimiento y la retirada de servicio de las aplicaciones. La auditora del desarrollo tratar de verificar la existencia y aplicacin de procedimientos de control adecuados que permitan garantizar que el desarrollo de Sistemas de Informacin cumple con los principios de ingeniera, o por el contrario determinar las deficiencias existentes.
OBJETIVOS
Establecer cules son los conflictos no cubiertos, y en qu medida lo son y qu con secuencias se pueden derivar al no desarrollar una auditoria de desarrollo de un sistema en general.
Comprender todas las conclusiones, pruebas y evidencias obtenidas sobre cada control permitir al auditor obtener el nivel de satisfaccin de cada objetivo de control, as como cules son los puntos fuertes y dbiles del mismo.
Concluir y hacer recomendaciones acumuladas para que se plasmen en el informe general de la auditora dependiendo de las particularidades de la organizacin.
Aunque cualquier departamento o rea de una organizacin es susceptible de ser auditado, hay una serie de circunstancias que hacen especialmente importante al rea de desarrollo y, por tanto, tambin su auditora, frente a otras, funciones o reas dentro del departamento de informtica: Los avances en tecnologas de los computadores han hecho que actualmente el desafo ms importante y el principal factor de xito de la informtica sea la mejora de la calidad del software.
El gasto destinado a software es cada vez superior al que se dedica a hardware. A pesar de la juventud de la ciencia informtica, hace aos que se produjo la denominada "crisis del software". Incluye problemas asociados con el desarrollo y mantenimiento del software y afecta- aun gran nmero de organizaciones. En el rea del hardware no se ha dado una crisis equivalente.
Podr identificar y abordar debilidades o dficits en la generacin de ingresos y en la sostenibilidad de su organizacin. Los objetivos y metas planteadas en la auditora orientarn a la organizacin hacia un xito mayor en la procuracin de fondos para la sostenibilidad a largo plazo.
La junta directiva y el personal obtendrn un conocimiento ms profundo de la gestin financiera de la organizacin y de su papel en la recaudacin de fondos.
Los donantes institucionales y particulares estarn mejor informados sobre el poder para generar ingresos de la organizacin y de sus estrategias.
Existen dos niveles para este tipo de auditora: 1. La verificacin de componentes bsicos: Existe una misin clara, un plan estratgico, y un argumento de apoyo claro? Su propsito: determinar las fortalezas y debilidades de los sistemas de procuracin de fondos. 2. Evaluacin de sistemas de desarrollo: Mas all de lo bsico, a este nivel se analizan la capacitacin de la junta directiva, los resultados de campaas de desarrollo anteriores, y la trayectoria a largo plazo de la gestin de fondos
PLANTEAMIENTO Y METODOLOGA.
Para tratar la auditora de desarrollo es necesario, en primer lugar, acotar las funciones o tareas que son responsabilidad del rea. Teniendo en cuenta que puede haber variaciones de una organizacin a otra, las funciones que tradicionalmente se asignan al rea son:
Planificacin del rea y participacin en la elaboracin del plan estratgico de informtica Desarrollo de nuevos sistemas Estudio de nuevos lenguajes, tcnicas, metodologas, estndares,
herramientas, etc. y adopcin de los mismos para mantener un nivel de vigencia adecuado al momento. Establecimiento de un plan de formacin para el personal adscrito al rea Establecimiento de normas y controles para todas las actividades que se realizan en el rea y comprobacin de su observancia. Una metodologa aplicable es la propuesta por la ISACA (Information Systems Audit and Control Association), que est basada en la evaluacin de riesgos partiendo de los riesgos potenciales a los que est sometida una actividad (en este caso el desarrollo de un sistema de informacin), se determinan una serie de objetivos de control que minimicen esos riesgos.
cumplimiento de dicho objetivo. Adems, se aportan una serie de pruebas de cumplimiento que permitan la comprobacin de la existencia y correcta aplicacin de dichos controles.
Una vez fijados los objetivos de control, ser funcin del auditor determinar el grado de cumplimiento de cada uno de ellos. Para cada objetivo se estudiarn todos los controles asociados al mismo, usando para ello las pruebas de cumplimiento propuestas. alguna evidencia, planes. Con cada prueba de cumplimiento se obtendr sobre la correccin de los ser
En los controles en los que sea impracticable una revisin exhaustiva de los elementos de verificacin, bien porque los recursos de auditora sean limitados o porque el nmero de elementos a inspeccionar sea muy elevado, se
examinar una muestra representativa que permita inferir el estado de todo el conjunto.
El estudio global de todas las conclusiones, pruebas y evidencias obtenidas sobre cada control permitirn al auditor obtener el nivel de satisfaccin de cada objetivo de control, as como cules son los puntos fuertes y dbiles del mismo. Con esta informacin y teniendo en cuenta las particularidades de la organizacin en estudio, se determinar cules son los riesgos no cubiertos, en qu medida lo son y qu consecuencias se pueden derivar de esa situacin. Estas conclusiones, junto con las recomendaciones acumuladas, sern las que se plasmen en el informe de auditora.
Construccin
Diseo
Implantacin
PROYECTOS DE DESARROLLO DE SISTEMAS DE INFORMACIN Aprobacin, planificacin y gestin del proyecto Anlisis Diseo Diseo tcnico o de detalle Anlisis de requerimientos Especificacin funcional
Construccin
OBJETIVO DE CONTROL: El rea de desarrollo debe tener responsabilidades asignadas dentro del departamento y una organizacin que le permita el cumplimiento de las mismas. Deben establecerse de forma clara las funciones del rea de desarrollo dentro del departamento de informtica. Se debe comprobar que:
Existe documento que contiene las funciones que son competencia del rea de desarrollo, que est aprobado por la direccin informtica y que se respeta.
OBJETIVO DE CONTROL: El desarrollo de sistemas de informacin debe hacerse aplicando principios de ingeniera del software ampliamente
aceptados. Debe tenerse implantada una metodologa de desarrollo de sistemas de informacin. Se debe comprobar que: La metodologa cubre todas las fases del desarrollo y es adaptable a distintos tipos de proyectos. Como se puede observar en el esquema de agrupacin de objetivos de control propuestos, dentro del desarrollo de sistemas de informacin se han propuesto cinco subdivisiones, entre las cuales se encuentran: anlisis, Estas fases, diseo,
construccin e implantacin.
ampliamente aceptadas en
objetivos y tcnicas de control concernientes a la aprobacin, planificacin y gestin del proyecto. comienzo del mismo, La aprobacin del proyecto es un hecho previo al mientras que la gestin se aplica a lo largo de su
desarrollo. La planificacin se realiza antes de iniciarse, pero sufrir cambios a medida que el proyecto avanza en el tiempo.
Aunque los objetivos de control se han catalogado en funcin de la fase del proyecto a la que se aplican, la auditora de un proyecto de desarrollo se puede hacer en dos momentos distintos: a medida que avanza el proyecto, o una vez concluido el mismo. Las tcnicas a utilizar y los elementos a inspeccionar, normalmente los productos y documentos generados en cada fase del desarrollo, sern los mismos en ambos casos. La nica diferencia es que en el primer caso las conclusiones que vaya aportando el auditor pueden afectar el desarrollo del proyecto, aunque nunca participar en la toma de decisiones. Para controlar se pueden solicitar los entregables para marcar los hitos de entrega, el cumplimiento de los objetivos de control de cada fase del desarrollo. Aprobacin, planificacin y gestin del proyecto.
OBJETIVO DE CONTROL: El proyecto de desarrollo debe estar aprobado, definido y planificado formalmente.
Debe existir una orden de aprobacin del proyecto que defina claramente los objetivos, restricciones y las unidades afectadas. Se debe comprobar que:
10
incluirn tanto los requerimientos funcionales como los no funcionales, distinguiendo para cada uno de ellos su importancia y prioridad. A partir del conocimiento del sistema actual y sus problemas asociados, junto con los requerimientos que se exigirn al nuevo sistema, se determinarn las posibles soluciones alternativas que satisfagan esos requerimientos y de entre ellas se elegir la ms adecuada.
OBJETIVO DE CONTROL: Los usuarios y responsables de las unidades a las que afecte el nuevo sistema establecern de forma clara los requerimientos del mismo. En el proyecto deben participar usuarios de todas las unidades a las que afecte el nuevo sistema. Esta participacin, que se har normalmente a travs de entrevistas, tendr especial importancia en la definicin de requerimientos del sistema. Se debe comprobar que:
11
Una vez conocido el sistema actual, los requerimientos del nuevo sistema y la alternativa de desarrollo ms favorable, se elaborar una especificacin funcional detallada del sistema que sea coherente con lo que se espera de el. La participacin de los usuarios en este mdulo y la realizacin de entrevistas siguen las pautas ya especificadas en el anlisis de requerimientos del sistema, por lo que se pasa por alto la comprobacin de estos aspectos. El grupo de usuarios y los responsables de las unidades afectadas deben ser la principal fuente de informacin. Se considera un nico objetivo de control, ilustrando como siempre, solo uno de ellos: OBJETIVO DE CONTROL: El nuevo sistema debe especificarse de forma completa desde el punto de vista funcional, contando esta especificacin con la aprobacin de los usuarios. Auditora de la fase de diseo
En la fase de diseo se elaborar el conjunto de especificaciones fsicas del nuevo sistema que servirn de base para la construccin del mismo. Hay un nico mdulo:
12
y teniendo en cuenta el
entorno tecnolgico, se disear la arquitectura del sistema y el esquema externo de datos. OBJETIVO DE CONTROL: Se debe definir una arquitectura fsica para el sistema coherente con la especificacin funcional que se tenga y con el entorno tecnolgico elegido.
Auditora de la fase de construccin En esta fase se programarn y probarn los distintos componentes y se pondrn en marcha todos los procedimientos necesarios para que los usuarios puedan trabajar con el nuevo sistema. Estar basado en las especificaciones fsicas obtenidas en la fase de diseo. Hay dos mdulos.
En este mdulo se realizarn los distintos componentes, se probarn tanto individualmente como de forma integrada, y se desarrollarn los
procedimientos de operacin. OBJETIVO DE CONTROL: Los componentes o mdulos deben desarrollarse usando tcnicas de programacin correctas. Desarrollo de los procedimientos de usuario En este mdulo se definen los procedimientos y formacin necesarios para que los usuarios puedan utilizar el nuevo sistema adecuadamente.
la conversin de datos y la
13
Auditora de la fase de implantacin En esta fase se realizar la aceptacin del sistema por parte de los usuarios, adems de las actividades necesarias para la puesta en marcha. Hay un nico mdulo:
Se verificar en este mdulo que el sistema cumple con los requerimientos establecidos en la fase de anlisis. Una vez probado y aceptado se pondr en explotacin. OBJETIVO DE CONTROL: El sistema debe ser aceptado formalmente por los usuarios antes de ser puesto en explotacin. Esta etapa se denomina Certificacin usuaria. Se deben realizar las pruebas del sistema que se especificaron en el diseo del mismo. Se debe comprobar que: Se prepara el entorno y los recursos necesarios para realizar las pruebas Las pruebas se realizan y permiten verificar si el sistema cumple las
especificaciones funcionales y si interacta correctamente con el entorno, incluyendo interfaces con otros programas, recuperacin ante fallas, copias de seguridad, tiempos de respuesta, etc. Se han evaluado los resultados de las prueb as y se han tomado las
14
CONCLUSION
Comprendimos la importancia de realizar las auditorias de desarrollo. Demostramos que los errores en las fases inciales suelen ser ms costosos que los que se produce en las partes finales de los mismos. Analizamos la organizacin propiamente definida se convierte en un elemento crtico a tomar en cuenta al momento de realizar la auditora ya que los proyectos de desarrollo se los analiza y se los implementa en la Organizacin.
15
Para realizar la auditoria de Desarrollo es recomendable utilizar la metodologa de la propuesta por la ISACA (Information Systems Audit and ControlAssociation), que est basada en la evaluacin de riesgos partiendo de los riesgos potenciales a los que est sometida una actividad.
Tambin esta metodologa aportan una serie de pruebas de cumplimiento que permitan la comprobacin de la existencia y correcta aplicacin de dichos controles
16
Bibliografa
AUDITORIA INFORMATICA UN ENFOQUE MODERNO. (s.f.). grantspace. (s.f.). Recuperado el 27 de Mayo de 2013, de http://grantspace.org/Tools/Knowledge-Base/Preguntas-y-respuestas-enespanol/Procuracion-de-fondos/Auditorias-de-desarrollo-Fundraising-audit Scribd. (s.f.). Recuperado el 27 de Mayo de 2013, de http://es.scribd.com/doc/109201006/Auditoria-de-Desarrollo
17