AUDITORIA DE DESARROLLO 1. Introduccin Ya que cada organizacin puede descomponerse funcionalmente en departamentos, reas, unidades, etc.

es necesario que los mecanismos de control interno existan y se respeten en cada una de las divisiones funcionales para que stas cumplan y hagan posible que la organizacin en su conjunto funcione de manera correcta. Una de las reas que tradicionalmente aparece es la de desarrollo. Esta rea abarca todas las fases que se deben seguir desde que aparece la necesidad de disponer de un sistema de informacin hasta que este es construido e implantado. El desarrollo incluye todo el ciclo de vida del software excepto la explotacin, el mantenimiento y la retirada de servicio de las aplicaciones. La auditora del desarrollo tratar de verificar la existencia y aplicacin de procedimientos de control adecuados que permitan garantizar que el desarrollo de Sistemas de Informacin cumple con los principios de ingeniera, o por el contrario determinar las deficiencias existentes. 2. Importancia de la Auditora del Desarrollo. Cualquier departamento o rea de una organizacin es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el rea de desarrollo y por tanto su auditora. Los avances en tecnologas de los computadores han hecho que actualmente el factor de xito de la informtica sea la mejora de la calidad del Software. El gasto destinado al Software es cada vez superior al que se dedica a hardware. Crisis del Software, incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nmero de organizaciones. El Software como producto es difcil de validar. Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimiento. El ndice de fracasos en proyectos de desarrollo es demasiado alto, lo cual denota la inexistencia o mal funcionamiento de los controles.

 Aplicaciones Informticas, son el producto principal obtenido al final del desarrollo, pasan a ser la herramienta de trabajo principal, convirtindose en un factor esencial para la gestin y la toma de decisiones. 3. Planteamiento y Metodologa. En la Auditora del rea de Desarrollo es necesario definir funciones o tareas que son responsabilidad del rea. Planificacin del rea y participacin en la elaboracin del plan estratgico de informtica. Desarrollo de nuevos sistemas. Esta es la funcin principal la cual incluir para cada uno de los sistemas, el anlisis, diseo, construccin e implantacin. Estudio de nuevos lenguajes, tcnicas, metodologas, estndares, herramientas, etc. relacionados con el desarrollo. Establecer un Plan de formacin para el personal adscrito al rea. Establecer normas y controles de actividades para todas las actividades que se realizan en el rea. 4. Clasificacin de la auditora de desarrollo. La metodologa que se aplicar es la propuesta por la ISACA (Information Systems audit. and Control Association), est basada en la evaluacin de riesgos, donde se determinan una serie de objetivos de control para minimizar los riesgos. Para cada objetivo de control se especifica una o ms tcnicas de control tambin denominadas simplemente controles que contribuyen a lograr el cumplimiento de dichos objetivos. 4.1. El esquema de un objetivo de control es: Objetivo de Control X: C-X-1: Tcnica de Control 1 del objetivo de Control X Una vez definidos los objetivos de control, ser funcin del auditor determinar el grado de cumplimiento de cada uno de ellos.

La auditora en el rea de desarrollo se subdivide en: Auditoria de la organizacin y gestin del rea de desarrollo. Auditoria de proyectos de desarrollo de Sistemas de Informacin.

Los objetivos de control se agrupan en varias series: Organizacin y gestin del rea de desarrollo (Serie A) Proyectos de desarrollo de Sistemas de Informacin (SI) Aprobacin, Planificacin y Gestin del Desarrollo(Serie B) Anlisis Anlisis de requisitos (Serie C) Especificacin Funcional (Serie D) Diseo Diseo Tcnico (Serie E) Construccin Desarrollo de Componentes (Serie F) Desarrollo de Procedimientos de usuario (Serie G) Implantacin Pruebas, implantacin y aceptacin (Serie H)Auditora de la Organizacin y Gestin del rea de Desarrollo. Cada proyecto de desarrollo tiene entidad y se gestiona con cierta autonoma para poder llevarse a cabo necesita apoyarse en el personal del rea y en los procedimientos establecidos. Objetivo de Control A1: El rea de desarrollo debe cumplir con procedimientos y una organizacin dentro del departamento. C-A1-1: Debe establecerse las funciones del rea de desarrollo dentro del departamento de informtica. Se debe comprobar que: Existe el documento que contiene las funciones del rea de desarrollo y est aprobado por la direccin de informtica. C-A1-2: Debe especificarse el organigrama con la relacin de puestos del rea y el puesto que ocupa cada persona. Se debe comprobar que: Existe un organigrama con la estructura de organizacin del rea. Para cada puesto se debe describir las funciones a desempear y la dependencia jerrquica del mismo.

 Estn establecidos los procedimientos de promocin de personal a puestos superiores. C-A1-3: El rea debe tener y difundir su propio plan a corto, medio y largo plazo. Se debe comprobar que: El plan existe, es claro y realista. Se revisa y actualiza con periodicidad en funcin de las nuevas situaciones. Se difunde a todos los empleados para que se sientan partcipes. C-A1-4: El rea de desarrollo llevar su propio control presupuestario. Se debe comprobar que: El presupuesto se cumple. El presupuesto est acorde con los objetivos a cumplir. Objetivo de Control A2: El personal del rea de desarrollo debe contar con la formacin adecuada y estar motivado para la realizacin de su trabajo. C-A2-1: Debe existir procedimientos de contratacin objetivos. Se debe comprobar que: Las ofertas de puestos del rea se difunden suficientemente fuera de la organizacin. Las personas seleccionadas cumplen con requisitos del puesto al que acceden. C-A2-2: Debe existir un protocolo de recepcin/abandono para las personas que se incorporan o dejan el rea. Se debe comprobar que: El protocolo existe y se respeta para cada incorporacin/abandono. En la incorporacin se incluye estndares definidos, manual de organizacin del rea, definicin de puestos, etc. En los abandonos de personal se garantiza la proteccin del rea. C-A2-3: Debe existir una biblioteca y una hemeroteca accesibles al personal del rea. Se debe comprobar que:

 Estn disponibles libros, publicaciones peridicas, monografas, etc. Y el personal tiene acceso a ellos. C-A2-4: El personal debe estar motivado en la realizacin de su trabajo. Se debe comprobar que: Exista un mecanismo que permita que los empleados hagan sugerencias sobre las mejoras en la organizacin del rea. No existe una gran rotacin de personal y hay un buen ambiente de trabajo. Objetivo de Control A3: Si existe un plan de sistemas, los proyectos que se lleven a cabo, se basarn en dicho plan y lo mantendrn actualizado. C-A3-1: Los nuevos proyectos deben basarse en el plan de sistemas en cuanto a objetivos, marco general y horizonte temporal. Se debe comprobar que: Las fechas de realizacin coinciden con las del plan de sistemas. La documentacin relativa a cada proyecto debe contener los objetivos, los requisitos generales y un plan inicial. C-A3-2: El plan de sistemas debe actualizarse con la informacin que se genera a lo largo de un proceso de desarrollo. Se debe comprobar que: Los cambios en los proyectos se comunican al responsable de mantenimiento del plan de sistemas por las implicaciones que pudiera tener. Objetivo de Control A4: La propuesta y aprobacin de nuevos proyectos deben realizarse en forma reglada. C-A4-1: Debe existir un procedimiento para la propuesta de realizacin de nuevos proyectos. Se debe comprobar que: Existe un mecanismo para registrar las necesidades de desarrollo de nuevos sistemas con los siguientes datos: descripcin, necesidad, departamento patrocinador, riesgos, coste de la no realizacin, ventajas

que aporta, etc. C-A4-2: Debe existir un procedimiento de aprobacin de nuevos proyectos. Se debe comprobar que: Exista reas de la organizacin designadas para aprobar formalmente la realizacin y prioridad de nuevos proyectos. La decisin afirmativa o negativa se obtendr en un tiempo razonable y se comunicar a los promotores. Objetivo de Control A5: La asignacin de recursos a los proyectos debe de hacerse de forma reglada. C-A5-1: Debe existir un procedimiento para asignar director y equipo de desarrollo a cada nuevo proyecto. Se debe comprobar que: El procedimiento existe y se respeta. Exista personas disponibles cuyo perfil sea adecuado para cada proyecto y que tenga disponibilidad. C-A5-2: Debe existir un procedimiento para conseguir los recursos materiales necesarios para cada proyecto. Se debe comprobar que: El procedimiento existe y se respeta. Objetivo de Control A6: El desarrollo de SI debe hacerse aplicando principios de ingeniera del software. C-A6-1: Debe tenerse implantada una metodologa de desarrollo de SI soportada por herramientas de ayuda (CASE). Se debe comprobar que: La metodologa cubre todas las fases del desarrollo y es adaptable a distintos tipos de proyecto. C-A6-2: Debe existir un mecanismo de creacin y actualizacin de estndares. Se debe comprobar que: El mecanismo para creacin de nuevos estndares est documentado y es conocido en rea. Los estndares son conocidos por las personas que deben usarlos y se respetan. Cuando se produce una modificacin, se difunde

dentro del rea. C-A6-3: Los lenguajes, compiladores, herramientas CASE, software de control de versiones, etc. deben ser previamente homologados. Se debe comprobar que: Existe un mecanismo para la adquisicin y aprobacin de nuevos productos de software usados en el desarrollo. C-A6-4: Debe practicarse la reutilizacin del software. Se debe comprobar que: Exista un catlogo de los productos de software que puedan ser reutilizados: librera de funciones, clases, componentes de software, etc. C-A6-5: Debe existir un registro de problemas que se producen en el rea, incluyendo los fracasos de proyectos completos. Se debe comprobar que: Existe un catlogo de problemas, incluyendo para cada uno de ellos la solucin o soluciones, proyecto en el que sucedi, persona que lo resolvi, etc. Objetivo de Control A7: Las relaciones con el exterior del departamento deben producirse de acuerdo a un procedimiento. C-A7-1: Debe mantenerse contactos con proveedores sobre productos que pueden ser de inters. Se debe comprobar que: Se est en contacto con un nmero suficiente de proveedores para recibir una informacin objetiva y completa. C-A7-2: Debe existir un protocolo para contratacin de servicios externos. Se debe comprobar que: Exista el protocolo, est aprobado y se usa. El personal externo que interviene en los proyectos cumplir con los mismos requisitos que se exigen a los empleados del rea. Objetivo de Control A8: La organizacin del rea debe estar siempre adaptada a las necesidades de cada momento.

C-A8-1: La organizacin debe revisarse de forma regular. Se debe comprobar que: Cuando se produce modificaciones se documentan, incluyendo la fecha de actualizacin y se difunden dentro del rea. Auditoria de Proyectos de Desarrollo de Sistemas de Informacin. La auditoria de un proyecto de desarrollo se puede hacer en dos momentos distintos: a medida que avanza el proyecto, o una vez concluido el mismo. Aprobacin, Planificacin y Gestin del Proyecto. Objetivo de Control B1: El proyecto de desarrollo debe estar aprobado, definido y planificado formalmente. C-B1-1: Debe existir una orden de aprobacin del proyecto que defina claramente a los objetivos, restricciones y las unidades afectadas. Se debe comprobar que: Existe una orden de aprobacin del proyecto refrendad por un rgano competente. Los objetivos y restricciones deben estar definidos en forma clara y precisa. Se han identificado las unidades de la organizacin a las que afecta. C-B1-2: Debe asignarse un responsable o director del proyecto. Se debe comprobar que: Se designa al responsable del proyecto segn procedimientos establecidos. Se ha comunicado al director de su nombramiento junto con la informacin del proyecto. C-B1-3: Se debe determinar el modelo de ciclo de vida que seguir el proyecto. Se debe comprobar que: Se ha elegido el ciclo de vida ms adecuado al tipo de proyecto de que se trata.

C-B1-4: Elegir el equipo tcnico que realizar el proyecto y determinar el plan del proyecto. Se debe comprobar que: Objetivo de Control B2: El proyecto se debe gestionar de forma que se consigan los mejores resultados tomando en cuenta las restricciones de tiempo y recursos. C-B2-1: Los responsables de las unidades o reas afectadas por el proyecto deben participar en la gestin del proyecto. Se debe comprobar que: La designacin del director del proyecto y del equipo de desarrollo se ha llevado segn procedimientos establecidos. C-B2-2: Establecer un mecanismo para la resolucin de los problemas que puedan plantearse a lo largo del proyecto. Se debe comprobar que: Existen hojas de registro de problemas y que hay alguna persona del proyecto en cargada de su recepcin, as como un procedimiento conocido de tramitacin. C-B2-3: Debe existir un control de cambios a lo largo del proyecto. Existe un mecanismo para registrar los cambios que pudieran producirse, as como para evaluar el impacto de los mismos. C-B2-4: Reajustar el plan del proyecto. Se debe comprobar que: Se notifica el cambio a todas las personas de que una u otra forma participen en el proyecto y se vean afectados. C-B2-5: Debe haber un seguimiento de los tiempos empleados de las tareas del proyecto. Se debe comprobar que: Existe un procedimiento que permita registrar los tiempos que cada participante del proyecto dedica al mismo y qu tarea realiza en ese tiempo. C-B2-6: Se debe controlar que se siguen las etapas del ciclo de vida

adoptado para el proyecto y que se generan los documentos de la metodologa usada. Se debe comprobar que: Antes de comenzar una nueva etapa se ha documentado la etapa previa y se ha revisado y aceptado, especialmente en las fases de anlisis y diseo. C-B2-7: Al final cerrar la documentacin, liberar los recursos empleados y hacer balance. Auditoria de la fase de anlisis La fase de anlisis pretende obtener un conjunto de especificaciones formales que describan las necesidades de informacin que deben ser cubiertas por el nuevo sistema de una forma independiente del entorno tcnico. Esta fase se divide en dos mdulos: 1. Anlisis de Requisitos del Sistema (ARS) 2. Especificacin Funcional del Sistema (EFS) Anlisis de Requisitos del Sistema (ARS) Aqu se identificaran los requisitos del nuevo sistema. Se incluirn tanto los requisitos funcionales como los no funcionales, distinguiendo para cada uno de ellos su importancia y prioridad. A partir del conocimiento del sistema actual y sus problemas asociados, junto con los requisitos que se exigirn al nuevo sistema, se determinarn las posibles soluciones alternativas que satisfagan esos requisitos y de entre ellas se elegir la ms adecuada. Se consideran dos objetivos de control (serie C): OBJETIVO DE CONTROL C1: Los usuarios y responsables de las unidades a las que afecta el nuevo sistema establecern de forma clara los requisitos del mismo. Tcnicas de Control: C-C1-1: En el proyecto deben participar usuarios de todas las

unidades a las que afecte el nuevo sistema. C-C1-2: Se debe realizar un plan detallado de entrevistas con el grupo de usuarios del proyecto y con los responsables de las unidades afectadas que permita conocer cmo valoran el sistema actual y lo que esperan del nuevo sistema. C-C1-3: A partir de la informacin obtenida en las entrevistas, se debe documentar el sistema actual as como los problemas asociados al mismo. Se debe obtener tambin un catlogo con los requisitos del nuevo sistema. C-C1-4: Debe existir un procedimiento formal para registrar cambios en los requisitos del sistema por parte de los usuarios. OBJETIVO DE CONTROL C2: En el proyecto de desarrollo se utilizar la alternativa ms favorable para conseguir que el sistema cumpla los requisitos establecidos. Tcnicas de Control: C-C2-1: Dados los requisitos del nuevo sistema se deben definir las diferentes alternativas de construccin con sus ventajas e inconvenientes. Se evaluarn las alternativas y se seleccionar la ms adecuada. C-C2-2: La actualizacin del plan de proyecto seguir los criterios ya comentados. Especificacin Funcional del Sistema (EFS) Una vez conocido el sistema actual, los requisitos del nuevo sistema y la alternativa de desarrollo ms favorable, se elaborar una especificacin funcional detallada del sistema que sea coherente con lo que se espera de l. El grupo de usuarios y los responsables de las unidades afectadas deben ser la principal fuente de informacin. Se considera un nico objetivo de control (serie D): OBJETIVO DE CONTROL D1: El nuevo sistema debe especificarse de forma completa desde el punto de vista funcional, contando esta

especificacin con la aprobacin de los usuarios. Tcnicas de Control: C-D1-1: Se debe realizar un modelo lgico del nuevo sistema, incluyendo Modelo Lgico de Procesos (MLP) y Modelo Lgico de Datos (MLD). Ambos deben ser consolidados para garantizar su coherencia. C-D1-2: Debe existir el diccionario de datos o repositorio. C-D1-3: Debe definirse la forma en que el nuevo sistema interactuara con los distintos usuarios. C-D1-4: La especificacin del nuevo sistema incluir los requisitos de seguridad, rendimiento, copias de seguridad y recuperacin, etc. C-D1-5: Se deben especificar las pruebas que el nuevo sistema debe superar para ser aceptado. C-D1-6: La actualizacin del plan de proyecto seguir los criterios ya comentados, detallndose en este punto en mayor medida la entrega y transicin al nuevo sistema. Auditoria de la fase de diseo En la fase de diseo se elaborar el conjunto de especificaciones fsicas del nuevo sistema que servirn de base para la construccin del mismo. Hay un nico mdulo: Diseo Tcnico del Sistema (DTS) A partir de las especificaciones funcionales, y teniendo en cuenta el entorno tecnolgico, se disear la arquitectura del sistema y el esquema externo de datos. Se considera un nico objetivo de control (serie E): OBJETIVO DE CONTROL E1: Se debe definir una arquitectura fsica para el sistema coherente con la especificacin funcional que se tenga y con el entorno tecnolgico elegido.

Tcnicas de Control: C-E1-1: El entorno tecnolgico debe estar definido de forma clara y ser conforme a los estndares del departamento de informtica. C-E1-2: Se deben identificar todas las actividades fsicas a realizar por el sistema descomponer las mismas de forma modular. C-E1-3: Se debe disear la estructura fsica de datos adaptando las especificaciones del sistema al entorno tecnolgico. C-E1-4: Se debe disear un plan de pruebas que permita la verificacin de los distintos componentes del sistema por separado, as como el funcionamiento de los distintos subsistemas y del sistema en conjunto. Auditoria de la fase de construccin En esta fase se programarn y probarn los distintos componentes y se pondrn en marcha todos los procedimientos necesarios para que los usuarios puedan trabajar con el nuevo sistema. Estar basado en las especificaciones fsicas obtenidas en la fase de diseo. Hay dos mdulos: 1. Desarrollo de los Componentes del Sistema (DCS) 2. Desarrollo de los Procedimientos de Usuario (DPU) Desarrollo de los Componentes del Sistema (DCS) En este mdulo se realizarn los distintos componentes, se probarn tanto individualmente como de forma integrada, y se desarrollarn los procedimientos de operacin. Se considera un nico objetivo de control (serie F): OBJETIVO DE CONTROL F1: Los componentes o mdulos deben desarrollarse usando tcnicas de programacin correctas. Tcnicas de Control:

C-F1-1: Se debe preparar adecuadamente el entorno de desarrollo y de pruebas, as como los procedimientos de operacin, antes de iniciar el desarrollo. C-F1-2: Se debe programar, probar y documentar cada uno de los componentes identificados en el diseo del sistema. C-F1-3: Deben realizarse las pruebas de integracin para asegurar que las interfaces entre los componentes o mdulos funcionan correctamente. Desarrollo de los Procedimientos de Usuario (DPU) En este mdulo se definen los procedimientos y formacin necesarios para que los usuarios puedan utilizar el nuevo sistema adecuadamente. Fundamentalmente se trata de la instalacin y la conversin de datos. Se considera un nico objetivo de control (serie G): OBJETIVO DE CONTROL G1: Al trmino del proyecto, los futuros usuarios deben estar capacitados y disponer de todos los medios para hacer uso del sistema. Tcnicas de Control: C-G1-1: El desarrollo de los componentes de usuario debe estar planificado. C-G1-2: Se deben especificar los perfiles de usuario requeridos para el nuevo sistema. C-G1-3: Se deben desarrollar todos los procedimientos de usuario con arreglo a los estndares del rea. C-G1-4: A partir de los perfiles actuales de los usuarios, se deben definir los procesos de formacin o seleccin de personal necesarios. C-G1-5: Se deben definir los recursos materiales necesarios para el trabajo de los usuarios con el nuevo sistema.

Auditoria de la fase de implantacin En esta fase se realizar la aceptacin del sistema por parte de los usuarios, adems de las actividades necesarias para la puesta en marcha. Hay un nico mdulo: Pruebas, Implantacin y Aceptacin del Sistema (PA) Se verificar que el sistema cumple con los requisitos establecidos en la fase de anlisis. Una vez probado y aceptado se pondr en explotacin. Se consideran dos objetivos de control (serie H): OBJETIVO DE CONTROL H1: El sistema debe ser aceptado formalmente por los usuarios antes de ser puesto en explotacin. Tcnicas de Control: C-H1-1: Se deben realizar las pruebas del sistema que se especificaron en el diseo del mismo. C-H1-2: El plan de implantacin y aceptacin se debe revisar para adaptarlo a la situacin final del proyecto. OBJETIVO DE CONTROL H2: El sistema se pondr en explotacin formalmente y pasar a estar en mantenimiento slo cuando haya sido aceptado y est preparado todo el entorno en el que se ejecutar. Tcnicas de Control: C-H2-1: Se deben instalar todos los procedimientos de explotacin. C-H2-2: Si existe un sistema antiguo, el sistema nuevo se pondr en explotacin de forma coordinada con la retirada del antiguo, migrando los datos si es necesario. C-H2-3: Debe firmarse el final de la implantacin por parte de los usuarios.

C-H2-4: Se debe supervisar el trabajo de los usuarios con el nuevo sistema en las primeras semanas para evitar situaciones de abandono de uso del sistema. C-H2-5: Para terminar el proyecto se pondr en marcha el mecanismo de mantenimiento. Conclusiones Todas las actividades que configuran el proceso de desarrollo tienen la misma importancia a la hora de realizar la auditoria, pues aunque se pueda pensar que la actividad ms importante es la programacin, se ha demostrado que los errores en las actividades iniciales de los proyectos son ms costosos que los que se producen al final de los mismos. Especial mencin merecen las nuevas herramientas y tcnicas que al alterar en cierta medida el proceso tradicional de desarrollo de la ingeniera del software, pasan a ser elementos esenciales a estudiar en un proceso de auditoria. En este captulo se han expuesto distintos objetivos de control que de ninguna manera deben interpretarse como un modelo cerrado. El auditor aplicar los objetivos y niveles de cumplimiento mnimos que considere adecuados en funcin del proyecto y de las peculiaridades de cada organizacin.