2013

AUDITORIA DEL DESARROLLO

Priscila Katherine Mendoza Miranda

Universidad Laica Eloy Alfaro de Manab 27/05/2013

AUDITORIA DEL DESARROLLO 2013

Tabla de contenido
INTRODUCCIN ........................................................................................................................ 2 OBJETIVOS ................................................................................................................................ 3 AUDITORA AL DESARROLLO ............................................................................................... 4 IMPORTANCIA DE LA AUDITORA DEL DESARROLLO .................................................. 4 PLANTEAMIENTO Y METODOLOGA. ................................................................................. 6 ETAPAS DEL DESARROLLO DE UN SISTEMA .................................................................. 8 PROYECTOS DE DESARROLLO DE SISTEMAS DE INFORMACIN ........................... 8 OBJETIVOS DE CONTROL A AUDITAR ............................................................................... 9 APROBACIN, PLANIFICACIN Y GESTIN DEL PROYECTO. ............................ 10 AUDITORA DE LA FASE DE ANLISIS ......................................................................... 11 ANLISIS DE REQUERIMIENTOS DEL SISTEMA ................................................... 11 ESPECIFICACIN FUNCIONAL DEL SISTEMA ....................................................... 12 AUDITORA DE LA FASE DE DISEO ............................................................................ 12 AUDITORA DE LA FASE DE CONSTRUCCIN........................................................... 13 DESARROLLO DE LOS COMPONENTES DEL SISTEMA ...................................... 13 AUDITORA DE LA FASE DE IMPLANTACIN ............................................................. 14 PRUEBAS, IMPLANTACIN Y ACEPTACIN DEL SISTEMA ...................................... 14 CONCLUSION .......................................................................................................................... 15 RECOMENDACIN ................................................................................................................. 16 BIBLIOGRAFA .............................................................................................................................. 17

AUDITORIA DEL DESARROLLO 2013

INTRODUCCIN
Ya que cada organizacin puede descomponerse funcionalmente en departamentos, reas, unidades, etc. es necesario que los mecanismos de control interno existan y se respeten en cada una de las divisiones funcionales para que stas cumplan y hagan posible que la organizacin en su conjunto funcione de manera correcta. Una de las reas que tradicionalmente aparece es la de desarrollo. Esta rea abarca todas las fases que se deben seguir desde que aparece la necesidad de disponer de un sistema de informacin hasta que este es construido e implantado. El desarrollo incluye todo el ciclo de vida del software excepto la explotacin, el mantenimiento y la retirada de servicio de las aplicaciones. La auditora del desarrollo tratar de verificar la existencia y aplicacin de procedimientos de control adecuados que permitan garantizar que el desarrollo de Sistemas de Informacin cumple con los principios de ingeniera, o por el contrario determinar las deficiencias existentes.

AUDITORIA DEL DESARROLLO 2013

OBJETIVOS
Establecer cules son los conflictos no cubiertos, y en qu medida lo son y qu con secuencias se pueden derivar al no desarrollar una auditoria de desarrollo de un sistema en general.

Comprender todas las conclusiones, pruebas y evidencias obtenidas sobre cada control permitir al auditor obtener el nivel de satisfaccin de cada objetivo de control, as como cules son los puntos fuertes y dbiles del mismo.

Concluir y hacer recomendaciones acumuladas para que se plasmen en el informe general de la auditora dependiendo de las particularidades de la organizacin.

AUDITORIA DEL DESARROLLO 2013 Auditora al Desarrollo

Aplicando la divisin funcional al departamento de informtica de cualquier entidad, una de las reas que tradicionalmente aparece es la de desarrollo. Esta funcin abarca todas las fases que se deben de seguir desde que aparece la necesidad de disponer de un determinado sistema de informacin hasta que ste es construido e implantado. Para delimitar el mbito de este captulo, se entender que el desarrollo incluye todo el ciclo de vida del software excepto la explotacin, el

mantenimiento y el fuera de servicio de las aplicaciones cuando sta tenga lugar.

IMPORTANCIA DE LA AUDITORA DEL DESARROLLO

Aunque cualquier departamento o rea de una organizacin es susceptible de ser auditado, hay una serie de circunstancias que hacen especialmente importante al rea de desarrollo y, por tanto, tambin su auditora, frente a otras, funciones o reas dentro del departamento de informtica: Los avances en tecnologas de los computadores han hecho que actualmente el desafo ms importante y el principal factor de xito de la informtica sea la mejora de la calidad del software.

El gasto destinado a software es cada vez superior al que se dedica a hardware. A pesar de la juventud de la ciencia informtica, hace aos que se produjo la denominada "crisis del software". Incluye problemas asociados con el desarrollo y mantenimiento del software y afecta- aun gran nmero de organizaciones. En el rea del hardware no se ha dado una crisis equivalente.

AUDITORIA DEL DESARROLLO 2013

El software como producto es muy difcil de validar. Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimiento. El ndice de fracasos en proyectos de desarrollo es demasiado alto, lo cual denota la inexistencia o mal funcionamiento de los controles en este proceso. Las aplicaciones informticas, que son el producto principal obtenido al final del desarrollo, pasan a ser la herramienta de trabajo principal de las reas informatizadas, convirtindose en un factor esencial para la gestin y la toma de decisiones. Sin importar el tamao de su organizacin, el proceso le ofrece varios beneficios claves:

Podr identificar y abordar debilidades o dficits en la generacin de ingresos y en la sostenibilidad de su organizacin. Los objetivos y metas planteadas en la auditora orientarn a la organizacin hacia un xito mayor en la procuracin de fondos para la sostenibilidad a largo plazo.

La junta directiva y el personal obtendrn un conocimiento ms profundo de la gestin financiera de la organizacin y de su papel en la recaudacin de fondos.

Los donantes institucionales y particulares estarn mejor informados sobre el poder para generar ingresos de la organizacin y de sus estrategias.

Existen dos niveles para este tipo de auditora: 1. La verificacin de componentes bsicos: Existe una misin clara, un plan estratgico, y un argumento de apoyo claro? Su propsito: determinar las fortalezas y debilidades de los sistemas de procuracin de fondos. 2. Evaluacin de sistemas de desarrollo: Mas all de lo bsico, a este nivel se analizan la capacitacin de la junta directiva, los resultados de campaas de desarrollo anteriores, y la trayectoria a largo plazo de la gestin de fondos

AUDITORIA DEL DESARROLLO 2013

de la organizacin. Este anlisis ms profundo ayuda a determinar si existe la posibilidad y capacidad de expandir los esfuerzos en la captacin de fondos.

PLANTEAMIENTO Y METODOLOGA.

Para tratar la auditora de desarrollo es necesario, en primer lugar, acotar las funciones o tareas que son responsabilidad del rea. Teniendo en cuenta que puede haber variaciones de una organizacin a otra, las funciones que tradicionalmente se asignan al rea son:

Planificacin del rea y participacin en la elaboracin del plan estratgico de informtica Desarrollo de nuevos sistemas Estudio de nuevos lenguajes, tcnicas, metodologas, estndares,

herramientas, etc. y adopcin de los mismos para mantener un nivel de vigencia adecuado al momento. Establecimiento de un plan de formacin para el personal adscrito al rea Establecimiento de normas y controles para todas las actividades que se realizan en el rea y comprobacin de su observancia. Una metodologa aplicable es la propuesta por la ISACA (Information Systems Audit and Control Association), que est basada en la evaluacin de riesgos partiendo de los riesgos potenciales a los que est sometida una actividad (en este caso el desarrollo de un sistema de informacin), se determinan una serie de objetivos de control que minimicen esos riesgos.

AUDITORIA DEL DESARROLLO 2013

Para cada objetivo de control se especifican una o ms tcnicas de control, tambin denominadas simplemente controles, que contribuyan a lograr el

cumplimiento de dicho objetivo. Adems, se aportan una serie de pruebas de cumplimiento que permitan la comprobacin de la existencia y correcta aplicacin de dichos controles.

Una vez fijados los objetivos de control, ser funcin del auditor determinar el grado de cumplimiento de cada uno de ellos. Para cada objetivo se estudiarn todos los controles asociados al mismo, usando para ello las pruebas de cumplimiento propuestas. alguna evidencia, planes. Con cada prueba de cumplimiento se obtendr sobre la correccin de los ser

bien sea directa o indirecta,

Si una simple comprobacin no ofrece ninguna evidencia,

necesaria la realizacin de exmenes ms profundos.

En los controles en los que sea impracticable una revisin exhaustiva de los elementos de verificacin, bien porque los recursos de auditora sean limitados o porque el nmero de elementos a inspeccionar sea muy elevado, se

examinar una muestra representativa que permita inferir el estado de todo el conjunto.

El estudio global de todas las conclusiones, pruebas y evidencias obtenidas sobre cada control permitirn al auditor obtener el nivel de satisfaccin de cada objetivo de control, as como cules son los puntos fuertes y dbiles del mismo. Con esta informacin y teniendo en cuenta las particularidades de la organizacin en estudio, se determinar cules son los riesgos no cubiertos, en qu medida lo son y qu consecuencias se pueden derivar de esa situacin. Estas conclusiones, junto con las recomendaciones acumuladas, sern las que se plasmen en el informe de auditora.

AUDITORIA DEL DESARROLLO 2013

ETAPAS DEL DESARROLLO DE UN SISTEMA

Aprobacin, planificacin y gestin del proyecto Anlisis

Construccin

Diseo

Implantacin

PROYECTOS DE DESARROLLO DE SISTEMAS DE INFORMACIN Aprobacin, planificacin y gestin del proyecto Anlisis Diseo Diseo tcnico o de detalle Anlisis de requerimientos Especificacin funcional

Construccin

AUDITORIA DEL DESARROLLO 2013

Desarrollo de componentes Desarrollo de procedimientos

Implantacin Pruebas, implantacin y aceptacin

OBJETIVOS DE CONTROL A AUDITAR

OBJETIVO DE CONTROL: El rea de desarrollo debe tener responsabilidades asignadas dentro del departamento y una organizacin que le permita el cumplimiento de las mismas. Deben establecerse de forma clara las funciones del rea de desarrollo dentro del departamento de informtica. Se debe comprobar que:

Existe documento que contiene las funciones que son competencia del rea de desarrollo, que est aprobado por la direccin informtica y que se respeta.

OBJETIVO DE CONTROL: El desarrollo de sistemas de informacin debe hacerse aplicando principios de ingeniera del software ampliamente

aceptados. Debe tenerse implantada una metodologa de desarrollo de sistemas de informacin. Se debe comprobar que: La metodologa cubre todas las fases del desarrollo y es adaptable a distintos tipos de proyectos. Como se puede observar en el esquema de agrupacin de objetivos de control propuestos, dentro del desarrollo de sistemas de informacin se han propuesto cinco subdivisiones, entre las cuales se encuentran: anlisis, Estas fases, diseo,

construccin e implantacin.

ampliamente aceptadas en

AUDITORIA DEL DESARROLLO 2013

ingeniera de software para el desarrollo, son en concreto las que propone la metodologa de desarrollo de sistemas de informacin.

Adems de estas fases,

se ha aadido una subdivisin que contiene los

objetivos y tcnicas de control concernientes a la aprobacin, planificacin y gestin del proyecto. comienzo del mismo, La aprobacin del proyecto es un hecho previo al mientras que la gestin se aplica a lo largo de su

desarrollo. La planificacin se realiza antes de iniciarse, pero sufrir cambios a medida que el proyecto avanza en el tiempo.

Aunque los objetivos de control se han catalogado en funcin de la fase del proyecto a la que se aplican, la auditora de un proyecto de desarrollo se puede hacer en dos momentos distintos: a medida que avanza el proyecto, o una vez concluido el mismo. Las tcnicas a utilizar y los elementos a inspeccionar, normalmente los productos y documentos generados en cada fase del desarrollo, sern los mismos en ambos casos. La nica diferencia es que en el primer caso las conclusiones que vaya aportando el auditor pueden afectar el desarrollo del proyecto, aunque nunca participar en la toma de decisiones. Para controlar se pueden solicitar los entregables para marcar los hitos de entrega, el cumplimiento de los objetivos de control de cada fase del desarrollo. Aprobacin, planificacin y gestin del proyecto.

OBJETIVO DE CONTROL: El proyecto de desarrollo debe estar aprobado, definido y planificado formalmente.

Debe existir una orden de aprobacin del proyecto que defina claramente los objetivos, restricciones y las unidades afectadas. Se debe comprobar que:

10

AUDITORIA DEL DESARROLLO 2013

Existe una orden de aprobacin del proyecto firmada por un rgano competente. En el documento de aprobacin estn definidos de forma clara y precisa los objetivos del mismo y las restricciones de todo tipo que deben tenerse en cuenta (temporales, recursos tcnicos, recursos humanos, presupuesto, etc.). Se han identificado las unidades de la organizacin a las que afecta.

Auditora de la fase de anlisis

Anlisis de requerimientos del Sistema

En este mdulo se identificarn

los requerimientos del nuevo sistema. Se

incluirn tanto los requerimientos funcionales como los no funcionales, distinguiendo para cada uno de ellos su importancia y prioridad. A partir del conocimiento del sistema actual y sus problemas asociados, junto con los requerimientos que se exigirn al nuevo sistema, se determinarn las posibles soluciones alternativas que satisfagan esos requerimientos y de entre ellas se elegir la ms adecuada.

OBJETIVO DE CONTROL: Los usuarios y responsables de las unidades a las que afecte el nuevo sistema establecern de forma clara los requerimientos del mismo. En el proyecto deben participar usuarios de todas las unidades a las que afecte el nuevo sistema. Esta participacin, que se har normalmente a travs de entrevistas, tendr especial importancia en la definicin de requerimientos del sistema. Se debe comprobar que:

11

AUDITORIA DEL DESARROLLO 2013

Existe un documento aprobado por el comit de direccin en el que se determina formalmente el grupo de usuarios que participar en el proyecto. Los usuarios elegidos son suficientemente representativos de las distintas funciones que se llevan a cabo en las unidades afectadas por el nuevo sistema. Se les ha comunicado a los usuarios su participacin en el proyecto, informndoles del mbito del mismo y de qu es lo que se espera de ellos, as como la dedicacin estimada que les supondr esta tarea. Especificacin funcional del sistema

Una vez conocido el sistema actual, los requerimientos del nuevo sistema y la alternativa de desarrollo ms favorable, se elaborar una especificacin funcional detallada del sistema que sea coherente con lo que se espera de el. La participacin de los usuarios en este mdulo y la realizacin de entrevistas siguen las pautas ya especificadas en el anlisis de requerimientos del sistema, por lo que se pasa por alto la comprobacin de estos aspectos. El grupo de usuarios y los responsables de las unidades afectadas deben ser la principal fuente de informacin. Se considera un nico objetivo de control, ilustrando como siempre, solo uno de ellos: OBJETIVO DE CONTROL: El nuevo sistema debe especificarse de forma completa desde el punto de vista funcional, contando esta especificacin con la aprobacin de los usuarios. Auditora de la fase de diseo

En la fase de diseo se elaborar el conjunto de especificaciones fsicas del nuevo sistema que servirn de base para la construccin del mismo. Hay un nico mdulo:

12

AUDITORIA DEL DESARROLLO 2013

Diseo tcnico del sistema

A partir de las especificaciones funcionales,

y teniendo en cuenta el

entorno tecnolgico, se disear la arquitectura del sistema y el esquema externo de datos. OBJETIVO DE CONTROL: Se debe definir una arquitectura fsica para el sistema coherente con la especificacin funcional que se tenga y con el entorno tecnolgico elegido.

Auditora de la fase de construccin En esta fase se programarn y probarn los distintos componentes y se pondrn en marcha todos los procedimientos necesarios para que los usuarios puedan trabajar con el nuevo sistema. Estar basado en las especificaciones fsicas obtenidas en la fase de diseo. Hay dos mdulos.

Desarrollo de los componentes del Sistema

En este mdulo se realizarn los distintos componentes, se probarn tanto individualmente como de forma integrada, y se desarrollarn los

procedimientos de operacin. OBJETIVO DE CONTROL: Los componentes o mdulos deben desarrollarse usando tcnicas de programacin correctas. Desarrollo de los procedimientos de usuario En este mdulo se definen los procedimientos y formacin necesarios para que los usuarios puedan utilizar el nuevo sistema adecuadamente.

Fundamentalmente se trata de la instalacin, operacin/explotacin.

la conversin de datos y la

13

AUDITORIA DEL DESARROLLO 2013

OBJETIVO DE CONTROL: Al trmino del proyecto, los futuros usuarios deben estar capacitados y disponer de todos los medios para hacer uso del sistema.

Auditora de la fase de implantacin En esta fase se realizar la aceptacin del sistema por parte de los usuarios, adems de las actividades necesarias para la puesta en marcha. Hay un nico mdulo:

Pruebas, implantacin y Aceptacin del Sistema

Se verificar en este mdulo que el sistema cumple con los requerimientos establecidos en la fase de anlisis. Una vez probado y aceptado se pondr en explotacin. OBJETIVO DE CONTROL: El sistema debe ser aceptado formalmente por los usuarios antes de ser puesto en explotacin. Esta etapa se denomina Certificacin usuaria. Se deben realizar las pruebas del sistema que se especificaron en el diseo del mismo. Se debe comprobar que: Se prepara el entorno y los recursos necesarios para realizar las pruebas Las pruebas se realizan y permiten verificar si el sistema cumple las

especificaciones funcionales y si interacta correctamente con el entorno, incluyendo interfaces con otros programas, recuperacin ante fallas, copias de seguridad, tiempos de respuesta, etc. Se han evaluado los resultados de las prueb as y se han tomado las

acciones correctoras necesarias para solventar las incidencias encontradas.

14

AUDITORIA DEL DESARROLLO 2013

CONCLUSION

Comprendimos la importancia de realizar las auditorias de desarrollo. Demostramos que los errores en las fases inciales suelen ser ms costosos que los que se produce en las partes finales de los mismos. Analizamos la organizacin propiamente definida se convierte en un elemento crtico a tomar en cuenta al momento de realizar la auditora ya que los proyectos de desarrollo se los analiza y se los implementa en la Organizacin.

15

AUDITORIA DEL DESARROLLO 2013

RECOMENDACIN

Para realizar la auditoria de Desarrollo es recomendable utilizar la metodologa de la propuesta por la ISACA (Information Systems Audit and ControlAssociation), que est basada en la evaluacin de riesgos partiendo de los riesgos potenciales a los que est sometida una actividad.

Tambin esta metodologa aportan una serie de pruebas de cumplimiento que permitan la comprobacin de la existencia y correcta aplicacin de dichos controles

16

AUDITORIA DEL DESARROLLO 2013

Bibliografa
AUDITORIA INFORMATICA UN ENFOQUE MODERNO. (s.f.). grantspace. (s.f.). Recuperado el 27 de Mayo de 2013, de http://grantspace.org/Tools/Knowledge-Base/Preguntas-y-respuestas-enespanol/Procuracion-de-fondos/Auditorias-de-desarrollo-Fundraising-audit Scribd. (s.f.). Recuperado el 27 de Mayo de 2013, de http://es.scribd.com/doc/109201006/Auditoria-de-Desarrollo

17