Auditoría Informática

Auditoría Interna y Externa

Áreas que abarca la auditoría

El desarrollo es la actividad que abarca todas las fases que se deben

seguir desde que aparece la necesidad de disponer de un

determinado sistema de información hasta que está construido e

implantado.

Trata de verificar la existencia y aplicación de procedimientos de control

adecuados que permitan garantizar que el desarrollo se ha llevado a

cabo según los principios de la ingeniería del software:

Obtener software económico y que sea fiable.

Que cumpla con los requisitos previamente establecidos.

Que funcione de manera eficiente.

Si no se cumplen estos principios la auditoría se encargará de

determinar las deficiencias existentes en este sentido

Un mayor control en el proceso de desarrollo incrementa la calidad

del mismo y disminuye los costos de mantenimiento.

Los sistemas de información son el producto principal obtenido al final

del desarrollo y pasan a ser la principal herramienta de trabajo en las

organizaciones, convirtiéndose en un factor esencial para la gestión y la

toma de decisiones

1.- Aprobación, planificación y gestión del proyecto

2.- Auditoría de la fase de análisis

3.- Auditoría de la fase de diseño

4.- Auditoría de la fase de construcción

5.- Auditoría de la fase de implantación

En esta etapa el proyecto de desarrollo se debe aprobar, definir y planificar formalmente. Qué auditar?

•Debe existir una orden de aprobación que defina claramente los objetivos, restricciones y unidades de la organización afectadas.• Que se haya realizado el estudio de viabilidad y que el mismo haya seguido el cause establecido.•Que se haya designado un responsable o director de proyecto.•Que se haya determinado la metodología a seguir para el desarrollo.•Que se haya elegido al equipo técnico necesario.•Que se haya determinado el plan de proyecto que se llevará a cabo durante todo el desarrollo.

Qué auditar? El proyecto se debe gestionar de forma que se consigan los mejores resultados teniendo en cuenta las restricciones de tiempo y recursos, para ello se debe comprobar que:

•Establecieron mecanismos para la resolución de problemas que puedan plantearse a lo largo del proyecto.•Exista un control de cambios a lo largo del proyecto.•Que se realicen los procedimientos adecuados cuando sea necesario reajustar el plan de proyecto.•Que se haga seguimiento de los tiempos empleados tanto por tarea como a lo largo del proyecto.•Controlar que se siguen las etapas de la metodología adaptada para el proyecto

En la fase análisis se obtienen las especificaciones necesarias que deben ser cubiertas por el nuevo sistema. Su auditoría se divide en dos módulos: Análisis de requisitos del sistema y especificación funcional del sistema.

a.- Análisis de los requisitos del sistema: Para ello se debe verificar:•Que los requisitos sean descritos de forma clara.•Que se entrevistarán a las personas integrantes del grupo de usuarios y los responsables de las unidades afectadas.•Que se apliquen las técnicas de recolección de información apropiadas para tal fin.•Que los requisitos sean catalogados de acuerdo a su prioridad.•Que los requisitos sean revisados y aprobados por todo el grupo beneficiario.

b.- Especificación funcional del sistema:Una vez conocido el sistema actual, los requisitos del nuevo sistema y la alternativa más favorable, se elabora una especificación funcional del sistema, incluyendo el modelo lógico de procesos (DFD ) y el modelo lógico de datos(Modelo entidad relación).Qué auditar?•Se debe comprobar que el diccionario de datos es correcto y guarda relación con los datos que define.•Se debe comprobar si se han descrito con suficiente detalle las pantallas a utilizar por el usuario.•Las especificación comprende los requisitos de seguridad, rendimiento, respaldos y recuperación, por lo tanto se debe comprobar que esas especificaciones fueron ofrecidas por los usuarios en las entrevistas.

Diseño técnico del sistema: En la fase de diseño, se define la arquitectura física para el nuevo sistema y que el mismo sea coherente con las especificaciones funcionales. Qué auditar?•Que la descomposición en módulos corresponde a las especificaciones funcionales.•Que el tamaño de los módulos sea el adecuado.•Que los componentes o módulos del nuevo sistema se hayan definido con detalle . •Que estén definidos todos los elementos que configuran el entorno tecnológico(servidores, computadores, conexiones de red, sistemas gestores de bases de datos)•Que se han documentado todas las actividades físicas que debe realizar el sistema

Diseño técnico del sistema:

Qué audita?• Se debe comprobar el diseño de los casos de pruebas que permita la verificación de los distintos componentes del sistema, así como el funcionamiento de los módulos y submódulos.•Se de comprobar que el plan de pruebas contemple todos los recursos necesarios para llevarlas a cabo.•Se debe comprobar que las personas que realicen las pruebas sean distintas a las que han desarrollado el sistema.

En esta fase se programarán, se probarán y se pondrán en marcha todos los procedimientos necesarios para que los usuarios puedan trabajar con el nuevo sistema. En ella se definen dos módulos: Desarrollo de componentes del sistema y desarrollo de procedimientos de usuarios.

a.- Desarrollo de componentes del sistema: En este módulo se realizarán los distintos componentes y se probarán individualmente y de forma integrada, así como también se programarán los procedimientos de operación.

Qué auditar?•Que se hayan inicializado las bases de datos y archivos necesarios y que cumplan con las especificaciones realizadas en la fase de diseño.•Que se hayan programado, probado y documentado cada uno de los componentes identificados en el diseño.

Qué auditar?:•Que se han seguido los estándares de programación y documentación del código, que esté bien estructurado y que contenga los comentarios suficientes.

•Que se hayan realizado las pruebas de integración para asegurar que las interfaces entre los componentes o módulos funcionan correctamente.•Que en dichas pruebas no hayan participado los usuarios sino sólo el equipo de desarrollo

b.- Desarrollo de procedimientos de usuario: En esta fase se definen los procedimientos y formación necesarios para que los usuarios puedan utilizar el nuevo sistema adecuadamente. Fundamentalmente se trata de la instalación, conversión de datos y operación/explotación.

Qué auditar?•Que todos los procedimientos que el usuario vaya a utilizar estén documentados.•Que estén definidos los distintos niveles de usuarios requeridos para la implantación y que cumplan con la dedicación o función que tienen dentro de la organización.•Que se hayan documentados todos los procesos que debe realizar el usuario en un manual de usuario.

En esta fase se realiza la aceptación del sistema por parte del usuario, además de las actividades necesarias para la puesta en marcha.

Qué auditar?• Que se hayan capacitado a los usuarios•Que el sistema haya sido probado por los usuarios antes de colocarlo en explotación/producción.•Que en caso de haber ocurrido errores se hayan tomado las acciones correctivas necesarias para solventar las incidencias encontradas. •Que se haya realizado la conversión de los datos, de ser necesario.•De existir un sistema antiguo, el nuevo sistema se colocará en explotación en forma coordinada y migrando los datos de ser necesario.

Qué auditar?• Que el sistema sea aceptado completamente por los usuarios con firma de aceptación.•Que se supervise por un tiempo prudencial el trabajo de los usuarios con el nuevo sistema para evitar el abandono del uso.•Que una vez terminado el proyecto se especifiquen mecanismos de mantenimiento.

Las fases de desarrollo de sistemas aquí descritas fueron definidas de forma general, debido a que cada proyecto o sistema posee su particularidad y en función de ello de definen sus fases.

Las metodologías de trabajo pueden variar, lo que si es necesario es que cada una de las fases sean auditadas con el fin de cumplir con la revisión, control y evaluación del sistema durante su etapa de desarrollo.

Por tanto, es tarea de cada equipo estimar su metodología, las fases que contenga y su proceso de auditoría.

De acuerdo a la Metodología del desarrollo del software utilizada en su Proyecto Sociotecnológico, defina cada una de sus fases y en función de cada una de ellas defina los aspectos a auditar .