Professional Documents
Culture Documents
DE
LA
ADQUISICIN
DE
SOFTWARE
El presente trabajo busca brindar una herramienta para aquellos auditores que deben evaluar
un proceso de adquisicin de software, donde se analizan diversos aspectos relacionados con
la revisin de dicho proceso.
Para esto se propone una visin amplia de esta tarea de revisin a partir de la incorporacin de
la evaluacin del Ambiente del Proyecto y del Impacto del mismo en lo que hace al Negocio
y a Aspectos Funcionales y Tecnolgicos.
Tambin se incorporan para cada etapa cuadros donde se indican los objetivos de control,
riesgos relacionados y actividades a realizar para verificar los objetivos de control que se
proponen.
12
IMPACTO EN EL NEGOCIO
13
16
IMPACTO FUNCIONAL
16
18
IMPACTO TECNOLGICO
19
22
22
23
25
25
26
26
27
28
28
29
30
31
31
32
CONCLUSIN
33
BIBLIOGRAFA CONSULTADA
33
PAGINA 2
Introduccin
Cada vez son mas las organizaciones que se ven sometidas a la tarea de seleccionar el
software con el cual se soportaran sus procesos de negocios. El software se ha vuelto un
recurso estratgico indispensable para las organizaciones, muchas de las cuales veran
inviable su negocio sin este recurso.
Esta suerte de vinculo entre sistemas y negocios tambin a provocado que los tiempos de
respuesta que se le exigen a la gente de sistemas para la produccin y/o adaptacin de los
sistemas sean cada vez menores debido fundamentalmente a la dinmica que el mercado le
imprime a los negocios.
A esto se debe sumar que muchas empresas a tomado la decisin de disminuir de manera
sensible los servicios propios de sistemas y han optado por tercerizar el desarrollo de sus
aplicaciones y el resto de las funciones asociadas al mismo.
Otro elemento que gravita en la decisin de las empresas para optar por la adquisicin de
desarrollos realizados por terceros es no volver a inventar la rueda tomando los sistemas que
ya existen en e mercado y dedicando su equipo de sistemas a la produccin del software que
el mercado no provee.
Si bien lo expresado en los prrafos anteriores de por s justifica la intervencin del Auditor
en la seleccin del software, se pueden enumerar otros motivos por los que se justifica la
auditoria del proceso de adquisicin del software:
PAGINA 3
En este trabajo se propone el ltimo de estos enfoques a efectos de dar un tratamiento amplio
PAGINA 5
Como se han mencionado en el punto anterior el objetivo es revisar aspectos que permiten
establecer la eficiencia y eficacia del proyecto encarado. Para esto se ha divido la revisin en
dos aspectos:
Ambiente del Proyecto: Por ambiente del proyecto se entiende a todos aquellos
aspectos, que si bien no se encuentran directamente vinculados, influyen sobre el
mismo y permiten tener un primer grado de aproximacin a cerca de la calidad del
proyecto. Dentro de estos encontramos la posibilidad de verificar la existencia de un
plan estratgico de sistemas, la forma en que el proyecto es administrado, la
metodologa utilizada y el nivel tecnolgico de la organizacin.
proyecto es para
PAGINA 7
Plan Estrategico
De Sistemas
Administracin
del
Proyecto
Tecnologa
Administracin del proyecto: Deben existir adecuadas pautas para el manejo de proyectos
como son: la determinacin de un lder de proyecto, la asignacin calidad de los recursos
humanos involucrados, la existencia de herramientas para el seguimiento de los proyectos y la
existencia de informes peridicos de avance del mismo.
Tecnologa: El nivel tecnolgico alcanzado por los aplicativos que integran la cartera de
aplicaciones es un elemento de vital importancia para determinar si la nueva aplicacin a ser
incorporada representa un salto cualitativo que la organizacin puede asimilar sin mayores
PAGINA 8
Mas bien se intenta que el auditor pueda delimitar ms claramente las responsabilidades al
momento de emitir su opinin. Esto quiere decir que si desde el nivel directivo no existe una
preocupacin e involucramiento en tipo de proyectos nunca existi una directiva al respecto
son tambin responsables por los resultados que se obtengan.
de aplicaciones.
Desconocimiento de la
existencia o alcance del
plan por parte de las
distintas
reas
organizacionales.
La asignacin de recursos
no es la adecuada dado la
dimensin del proyecto.
formulacin, etc.
Los
cambios
de
los
proyectos impactan en el
plan de sistemas.
Verificar
la
adecuada El sistema no responde a
participacin de los usuarios las necesidades de los
en el proyecto.
usuarios.
Los usuarios no participan
en las distintas etapas del
proyecto.
Existencia
de
una
evaluacin del proyecto en
cuento a su impacto en el
negocio,
en
aspectos
funcionales y tecnolgico.
Se
ha
realizado
el
presupuesto financiero del
proyecto y se ha realizado la
comparacin del proyecto
contra otros proyectos de
inversin.
Se
contempla
la
participacin de usuarios a
travs de comits u otras
formas de organizacin.
Existe un registro con las
inquietudes de los usuarios.
PAGINA 10
El
proyecto
no es
adecuadamente dirigido y
las tareas no son llevadas
adelante en tiempo y
forma.
No se miden los desvos y
se toman las acciones
correctivas respectivas.
Superposicin
de
funciones y problemas de
coordinacin.
Existen
etapas
del
proyecto que no se pueden
cumplir por falta de
recursos o los recursos no
son los adecuados.
Inadecuada
administracin
de
prioridades y asignacin
de recursos.
Las etapas previstas deben ser Existen desviaciones que
cumplimentadas en tiempo y no son adecuadamente
forma
finalizadas en tiempo y
forma.
No se corrige los errores o
desviaciones
Existe un cierre del proyecto El proyecto no queda
formalmente terminado.
No
se
realiza
un
evaluacin final.
La metodologa no abarca
todas la etapas del
desarrollo de sistemas.
No
existe
una
metodologa
para
la
adquisicin
de
aplicaciones
La metodologa es conocida y Cada proyecto aplica su
Amplitud y alcance de la
metodologa utilizada.
Existencia
de
una
metodologa
para
la
adquisicin de software.
Verificar
que
etapas
PAGINA 11
de La
adquisicin
de
tecnologa se realiza sin
tener en cuenta ningn
estndar lo que provoca
incompatibilidades.
Los nuevos proyectos se Los nuevos proyectos
ajustan a los estndares establecen sus propios
establecidos.
estndares
Verificaciones a Realizar
Existencia de un plan de
desarrollo tecnolgico y de
compatibilidad
entre
distintos estndares.
PAGINA 12
Tecnolgico
El principal riesgo est dado el tamao del proyecto. Existen diversos factores que nos
permiten establecer el tamao del proyecto:
Impacto en el negocio
De acuerdo al tipo de aplicacin que se adquiere esta puede ser ms o menos vital para el
PAGINA 13
Esto tiene sin duda impacto cuando se audita la fase de Anlisis de Necesidades y de
establecimiento de requerimientos ya que sin duda estos procesos debern estar
adecuadamente explicitados en los requerimientos para que el software que se adquiera los
respete, caso contrario debern figurar en los requerimientos de customizacin del mismo.
Grande
Reducido
Impacto en el Negocio
Riesgo Medio
Riesgo Alto
Problemas de
adminisracin
Peligra la
supervivencia
Riesgo Bajo
Riesgo Medio
Mala utilizacin
de recursos
Demora en la
implementacin
de negocios
Bajo
Alto
Impacto en el proceso de Negocio
Grfico 4 Impacto en el Negocio
Alto impacto en el negocio y Proyecto Amplio Alto Riesgo: En este caso se trata de un
proyecto de alto impacto en el negocio y de una alta complejidad importante dada su tamao.
El riesgo esta dado bsicamente porque existe la posibilidad de que el proyecto tenga
PAGINA 14
Alto impacto en el negocio y Proyecto reducido Riesgo Medio: La variante respecto del
caso anterior es que el grado de complejidad o tamao del proyecto en este caso es reducida lo
cual permitira por un lado contar con mayores posibilidades de xito en la administracin del
proyecto y en caso de existir inconvenientes es ms fcil atacarlos. De todas formas an
existiendo posibilidades de recuperar la situacin el riesgo sigue importante ya que es la
funcin de negocios la que se ve comprometida.
Bajo Impacto en el negocio y Proyecto Amplio Riesgo Medio: En este caso se trata de un
proyecto de alta complejidad pero que no tiene un impacto alto sobre el negocio. De todas
formas an tratndose de una situacin operativa sabemos que estas tampoco son ajenas al
desarrollo del negocio. En este caso se ha calificado el riesgo como medio debido a que no se
afecta directamente la continuidad del negocio.
Bajo Impacto en el Negocio y Proyecto Reducido Riesgo Bajo: En este caso se trata de
proyecto de menor relevancia que no afectar la continuidad del negocio. En este punto el
riesgo esta dado por la mala utilizacin de los fondos destinados al proyecto.
PAGINA 15
Objetivo de Control
El proyecto se encuentra
dentro del marco del plan de
negocios de la empresa.
Las
especificaciones
establecidas contemplan los
factores
esenciales
del
negocio.
Impacto en el Negocio
Riesgos Asociados
Los
sistemas
no
responden
a
las
necesidades del negocio.
La habilidades propias del
negocio no se encuentran
apoyadas por los nuevos
sistemas.
Verificaciones a Realizar
El plan estratgico de
sistemas es coordinado con
el plan de negocios.
En la documentacin de los
requerimientos
se
identifican las habilidades
principales que distinguen a
la empresa.
Se ha previsto que el o los
sistemas
sean
parametrizables y flexibles
para adaptarse a los
cambios.
Se ha previsto el alcance e
impacto del proyecto como
as
tambin
las
consecuencias del fracaso
del mismo.
Impacto Funcional
En este caso lo que se mide es la viabilidad operativa del proyecto, es decir si el mismo podr
ser incorporado a la organizacin sin mayores problemas.
Cantidad de Procesos y Profundidad del Cambio: En este caso se debe sopesar que
porcentaje de procesos se cambian o modifican en el proyecto y a su vez cual es el
grado variacin que sufren que puede ir de un cambio menor hasta la desaparicin del
proceso.
PAGINA 16
Amplio
Reducido
Impacto Funcional
Riesgo
Moderado
Problemas de
Administracin
Riesgo Bajo
Riesgo Alto
Viabilidad del
Proyecto
Riesgo
Moderado
Adaptacin
operativa
Bajo
Alto
Impacto funcional
Grfico 5 Impacto Funcional
Alto impacto Funcional y Proyecto Amplio Riesgo Alto: En este caso se encuentra en
juego la viabilidad del proyecto en cuanto a la posibilidad real de implementacin del mismo
dado que al tratarse de un proyecto de tipo amplio se encontrar a mas de un sector
involucrado y a mucho de los procesos organizacionales.
En este tipo de proyecto adems de la propia complejidad de tener que actuar con mltiples
usuarios que tienen mltiples intereses que debern tenerse en cuenta, se encuentra la
complejidad de implementar un sistema en ms de un sector. Para este punto es importante
establecer si el proyecto puede ser implementado por mdulos de forma tal de ir
PAGINA 17
Alto impacto Funcional y Proyecto reducido Riesgo Moderado: La variante respecto del
caso anterior es que tiene un alto impacto en los aspectos funcionales pero la problemtica se
ve acotada a un sector.
Bajo Impacto Funcional y Proyecto Amplio Riesgo Medio: En este caso se trata de un
proyecto que abarca a gran parte de la organizacin pero que no comprende a un gran nmero
de procesos.
En este caso el riesgo esta dado fundamentalmente por los inconvenientes que puedan surgir
de la administracin de un proyecto que abarca ms de un sector.
Bajo Impacto Funcional y Proyecto Reducido Riesgo Bajo: En este caso se trata de
proyecto de menor tamao acotado a un sector y que afecta procesos poco relevantes.
PAGINA 18
Objetivo de Control
Todos
los
sectores
involucrados conocen el
proyecto y como este los
afecta
Los sectores participan del
proyecto.
Impacto Funcional
Riesgos Asociados
Verificaciones a Realizar
Los sectores no conocen Existencia
de
como el proyecto o nuevo comunicaciones
internas
sistema los afectar
que establezcan el alcance y
profundidad del proyecto
Los sectores se ven Existencia de un foro de
imposibilitados
de discusin o comit de
establecer
los usuarios.
requerimientos
de Existencia de un registro de
informacin.
requerimientos.
Existen procesos que no Existe un equipo de trabajo
son soportados por el que se encarga de la
sistema.
interface entre el proyecto
Se siguen realizando de sistemas y los nuevos
procesos que no tienen procesos.
sentido en un nuevo Existe
documentacin
esquema de trabajo.
donde se formalizan los
Se desconocen los nuevos nuevos procesos.
procesos.
Los cambios de procesos Se ha realizado la revisin
que
surgen
de
la de los puntos de control
implementacin del nuevo interno.
sistema han afectado el Los nuevos puntos de
control interno.
control
interno
se
encuentran adecuadamente
formalizados.
Existe
descoordinacin Se
han
formalizado
entre reas y sistemas.
adecuadamente
las
interfaces entre sectores y
aplicaciones.
Impacto tecnolgico
Si el proyecto representa un paso importante en cuanto al tipo de tecnologa implica un riesgo
ya que son mltiples los factores que intervienen en una mejora tecnolgica y por lo tanto
surgen nuevos riesgos a los que la organizacin est expuesta.
PAGINA 19
PAGINA 20
Amplio
Reducido
Impacto Tecnolgico
Riesgo
Moderado
Problemas de
administracin
Riesgo Bajo
Riesgo Alto
Posible fracaso
del proyecto
Riesgo
Moderado
Posibles
demoras
Bajo
Alto
Impacto tecnolgico
Grfico 6 Impacto Tecnolgico
Alto impacto Tecnolgico y Proyecto Amplio Alto Riesgo: En este caso el problema esta
en la diseminacin de la tecnologa en muchas reas de la organizacin. Si el nivel de retraso
en equipamiento y plataforma de software es importante en muchas reas de la organizacin,
el trabajo de actualizacin ser mayor. La tecnologa tambin impacta en la adaptacin de los
recursos a un nuevo entorno visual con lo cual la introduccin del nuevo sistema tambin
deber afrontar esta dificultad.
pero la
Bajo Impacto Tecnolgico y Proyecto Amplio Riesgo Medio: En este caso se trata de un
proyecto que abarca a gran parte de la organizacin pero no existen cambios tecnolgicos
sustantivos.
PAGINA 21
Bajo Impacto Tecnolgico y Proyecto Reducido Riesgo Bajo: En este caso se trata de
proyecto de que no implica un cambio tecnolgico sustancial y que no impacta sobre gran
parte de la organizacin. Este seria el caso de una actualizacin a una nueva versin del
aplicativo que ya esta en uso y en la cual los cambios no son sustantivos.
profundidad del anlisis de cada etapa. Es decir que si no se observa la utilizacin de una
metodologa y no existen controles propios de un proyecto son muestras que indican que el
proceso de adquisicin debe ser analizado con mayor profundidad.
Proceso de Adquisicin
Revisin del
requerimiento
Revisin de la
especificacin
Revisin
Proceso
seleccin
Revisin
Proceso de
customizacin
Revisin de
pruebas
e instalacin
Revisin de la
Entrega
Para cada una de las etapas de la ejecucin del proyecto aqu propuestas se indicar objetivo
de
la
etapa,
principales
actividades
involucradas
el
producto
final
de
la
etapa. Adems se propone una lista con los objetivos de control, los riesgos y las revisiones a
realizar.
En esta etapa se establece el contacto con las necesidades que posee la organizacin. En esta
etapa se utilizan diversas herramientas como son: encuestas, entrevistas, obtencin de
documentacin, mapeo de procesos, etc. .
Producto de esta etapa debe surgir un documento denominado Requerimientos del Sistema
PAGINA 23
sistema.
Se han identificado posibles Existen soluciones en el Documento
donde
se
soluciones que establece el mercado que no se han informan
posibles
mercado y que podran llegar tenido en cuenta.
alternativas de solucin.
a
satisfacer
los
requerimientos.
En esta etapa tambin se establecer como se realizar el proceso de adquisicin, las etapas
contractuales y la lista de proveedores a ser invitados en el proceso de licitacin.
el
modelo
se
identificados
todas
los aspectos de seguridad se
establecen
los
aspectos de control interno.
lgica ni fsica.
requerimentos de control
interno
El grado de flexibilidad o de El sistema no admite Se ha definido el grado de
parametrizacin del sistema cambios
o
nuevas flexibilidad del sistema.
permite nuevas operaciones
operaciones.
Se han establecido las El modelo no contempla Verificar la existencia de
interfaces con otros sistemas las interfaces con otros interfaces
con
otros
y son contempladas en el sistemas.
sistemas y si las mismas han
modelo del sistema y en la
sido contempladas.
estructura de datos
Se ha definido como debe ser El sistema no adquirido no Verificar especificaciones
la administracin de la contempla las pautas de seguridad fsica y lgica.
seguridad fsica y lgica.
mnimas de seguridad.
Se ha indicado el nivel de El sistema no responde Los lotes de prueba han
respuesta requerido por el ante los volmenes de contemplado los respectivos
sistema en transacciones por transacciones que debe requerimientos de esfuerzo.
minuto o en alguna otra administrar.
mtrica que se considere
apropiada.
No se han detectado
algunas diferencias.
No se determina si las
diferencias
son
por
problemas con el sistema
anterior y propias del
nuevo sistema.
No se realizan las
correcciones
de
las
diferencias detectadas
El paralelo se prolonga
por demasiado tiempo.
No existe una fecha de fin
del paralelo.
Existe
resistencia
a
abandonar el paralelo.
El paralelo es abandonado
an existiendo diferencias
no identificadas.
equivalencias.
Se
han
probado
los
programas conversores.
Se
han
revisado
la
informacin del sistema
anterior a nivel de totales y
de un muestreo de datos
individuales que asegure la
confiabilidad de los datos.
Existe una planificacin del
paralelo con el sistema
anterior y esa planificacin
asegura que todas las
prestaciones
sean
verificadas y de esa forma
se asegure el adecuado
funcionamiento posterior.
El
paralelo
contempla
situaciones
o
procesos
especiales como los cierres
de mes o de ejercicio.
La
diferencias
son
detectadas en su totalidad.
Las diferencias deben ser
identificadas y su causa
esclarecida.
Las diferencias u errores
deben ser corregidos y
asegurarse
su
correcto
funcionamiento.
El paralelo se realiza dentro
de los plazos establecidos
en la planificacin.
Al momento de abandonar
el paralelo existe expresa
conformidad de los usuarios
y todas las diferencias han
sido aclaradas y corregidas.
adecuadamente que se entiende por mantenimiento y soporte del sistema cuando este es
PAGINA 31
Conclusin
En el presente trabajo intenta alertar sobre las distintas implicancias que tiene la incorporacin
PAGINA 32
Bibliografa Consultada
Computadorizado.
PAGINA 33