BAI03 Gestionar la Identificación y la Construcción de Soluciones

a) Detalle los documentos o información que se deberían requerir

BAI03.01 Diseñar soluciones de alto nivel

● Principios de arquitectura
● Definición de arquitectura
● Plan de alto nivel de adquisición/desarrollo
● Aprobación de las especificaciones de diseño de alto nivel

BAI03.02 Diseñar los componentes detallados de la solución

● Modelo de arquitectura de la información
● Guía de desarrollo de la solución
● Repositorio de definición de los requerimientos
● Informe de estudio de viabilidad
● Registro de riesgo de requerimientos
● Especificaciones de diseños detallados
● Acuerdos de Nivel de Servicio (ANSs) y Niveles de Operación del Servicio
(OLAs)

BAI03.03 Desarrollar los componentes de la solución

● Informe de estudio de viabilidad
● Aprobación de la viabilidad del proyecto
● Aprobación de los requerimientos y soluciones propuestas
● Documentación de los componentes de la solución.

BAI03.04 Obtener los componentes de la solución

● Plan de adquisiciones aprobados.
● Inventario de activos actualizados.

BAI03.05 Construir soluciones

● Procesos de negocio
● Catálogo de servicios
● Componentes de la solución integrados y configurados.

BAI03.06 Realizar controles de Calidad

● Plan de Gestión de Calidad
● Plan de Aseguramiento de la calidad (QA)
● Políticas de calidad de la empresa
● Registro de revisión de Calidad, excepciones y correcciones.

BAI03.07 Preparar pruebas de la solución

● Procedimientos de Pruebas
● Plan de pruebas

BAI03.08 Ejecutar pruebas de la solución

● Registros de resultados de pruebas y pistas de auditoría.
 ● Comunicados del resultado de pruebas.
BAI03.09 Gestionar cambios a los requerimientos
● Resultados y recomendaciones de las iniciativas de pruebas de concepto
● Registro de peticiones de cambio de los requerimientos

BAI03.10 Mantener soluciones

● Plan de mantenimiento.
● Documentación relacionada a las soluciones actualizada.

BAI03.11 Definir los servicios TI y mantener el catálogo de servicios

● Directrices para la asignación de recursos y capacidades
● Asignaciones de presupuesto
● Definición de mejoras potenciales de proyectos
● Configuración de la línea de referencia
● Aprobación de cambios a la línea de referencia
● Informes del estado de la configuración
● Definiciones de servicio
● Catálogo de Servicios actualizado.

b) Detalle el programa de auditoría que debería realizarse

Objetivos de auditoría:
Evaluación al Área de Desarrollo de Soluciones de la EMPRESA S.A. con relación al
Hardware, Software, Comunicaciones, Identificación y Construcción de Soluciones,
así como la evaluación del sistema de control interno y planeamiento de calidad para
el desarrollo de las soluciones.

Constituyen la base legal aplicable a la entidad los siguientes dispositivos:

● Resolución de Contraloría Nº 320-2006-CG-Normas de Control Interno.
● Circular SBS Nº G-140-2009, sobre gestión de la seguridad de la
información.
● Circular SBS Nº G-139-2009, sobre gestión de la continuidad del negocio.

Constituye criterio generalmente aceptado las siguientes referencias técnicas:

● Modelo de referencia de buenas prácticas en tecnología de información
COBIT (Control Objetives for Information and Related Technology)
desarrollado y publicado por el IT Governance Institute (www.itgi.org).
● Resolución Ministerial Nº 246-2007-PCM del 22 de agosto del 2007, en
relación al uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC
17799:2007 EDI. Tecnología de la Información. Código de Buenas Prácticas
para la gestión de la Seguridad de la Información. 2ª Edición.” en entidades
del Sistema Nacional de Informática.
● Resolución Ministerial Nº 179-2004-PCM del 15 de junio del 2004, aprobando
el uso obligatorio de la norma técnica peruana “NTP-ISO/IEC 12207:2004
Tecnología de la Información. Procesos del Ciclo de Vida del Software. 1ª
edición” en entidades del Sistema Nacional de Informática.
Procedimientos Generales:

Planeamiento

1. Preparar requerimientos preliminares de información con relación al examen

a realizar.
2. Preparar y remitir memorando al área de Seguridad de Información,
solicitando la información y documentación necesaria para la realización del
examen a realizar.
3. Preparar el programa de trabajo.
4. Preparar y remitir memorando de planeamiento al Jefe de Auditoría Interna,
adjuntando el programa de trabajo.
5. Preparar y remitir memorando de presentación del profesional de apoyo (al
Área de Auditoría Interna) a la Gerencia Mancomunada y al área sujeta a
evaluación.
6. Preparar y remitir memorando a la Gerencia de Administración, solicitando
ambiente de trabajo para facilitar el examen a realizar.
7. Presentación de la Comisión de Auditoría al área de Seguridad de
Información.
8. Entrevista preliminar con el responsable del Área de Seguridad de
Información y con el Jefe del Área de Tecnología de Información.

Ejecución

9. Revisión de la documentación entregada por el responsable del área de

Tecnologías de Información y el responsable de la Seguridad de Información.
10. Desarrollar los procedimientos de auditoría según cada objetivo de control
especificado a continuación en el presente programa de auditoría:

Evaluación de soluciones de alto nivel

Validar el desarrollo y documentación de diseños de alto nivel usando técnicas de
desarrollo ágil.

● Verificar si el establecimiento de especificaciones de diseño a alto nivel que

traduzcan la solución propuesta en procesos de negocio cumplan con los
requerimientos de arquitectura de negocio y empresa,
● Validar si la involucración a usuarios experimentados y apropiadamente
cualificados en el proceso de diseño aseguran que el diseño proporciona una
solución que usa las capacidades de TI de manera óptima.
● Verificar que hay un diseño acorde a los estándares de diseño de la
organización, a un nivel de detalle que sea apropiado para la solución.

Evaluación de los componentes detallados de la solución

Evaluar el desarrollo, documentación y elaboración de diseños detallados
progresivamente usando técnicas de desarrollo ágiles.
● Verificar el diseño progresivo de las actividades del proceso de negocio para
que se pueda llevar a cabo conjuntamente con el nuevo sistema de
aplicación para alcanzar los objetivos de la empresa.
 ● Verificar el diseño de las etapas de procesamiento de la aplicación,
incluyendo las especificaciones de tipos de transiciones y reglas de negocio,
controles automatizados y otros requerimientos.
● Determinar la clasificación de las entradas y salidas de datos acorde a los
estándares de arquitectura empresarial.
● Determinar el diseño de las salidas identificadas, incluyendo el origen de los
datos.
● Verificar el diseño de la interfaz del sistema/solución, incluyendo cualquier
intercambio automatizado de datos.
● Verificar el diseño de almacenamiento de los datos, su localización y
capacidad de recuperación.
● Verificar el diseño de la redundancia, recuperación y copia de seguridad
apropiadas.
● Verificar el diseño de la interfaz entre el usuario y la aplicación del sistema
para que sea fácil de usar y sea auto explicativo.
● Evaluar proactivamente las debilidades del diseño (por ejemplo,
inconsistencias, falta de claridad, fallos potenciales) a través de todo el ciclo
de vida, identificando mejoras cuando se requieran.
● Determinar métodos para auditar las transacciones e identificar la causa raíz
de los problemas en el procesamiento

Evaluación del desarrollo de los componentes de la solución

Evaluar el desarrollo de los componentes de la solución progresivamente conforme
el diseño detallado siguiendo los métodos de desarrollo.

● Verificar si se ha desarrollado procesos de negocio, servicios de soporte,

aplicaciones e infraestructura y repositorios de información que estén
basados en las especificaciones apropiadas y requerimientos técnicos,
funcionales y de negocio.
● Verificar si se ha registrado las peticiones de cambio y la revisión del diseño,
rendimiento y calidad, asegurando una participación activa de las partes
interesadas afectadas.
● Determinar si se ha documentado todos los componentes de la solución
acorde a los estándares definidos y mantener el control de la versión sobre
los mismos y la documentación asociada.
● Evaluar el impacto de la personalización de la solución y la configuración en
el rendimiento y eficiencia de las soluciones adquiridas y en su
interoperabilidad con las aplicaciones, sistemas operativos y otra
infraestructura existentes.
Obtención de los componentes de la solución
Obtener los componentes de la solución sobre la base del plan de adquisiciones y
conforme a los requerimientos y diseños detallados.

● Verificar la creación y el mantenimiento de un plan de adquisiciones de los

componentes de la solución, considerando una flexibilidad futura para añadir
capacidad, costes de transición, riesgos y actualizaciones a lo largo de la
vida del proyecto.
 ● Verificar la aprobación y revisión de todos los planes de adquisiciones,
considerando riesgos, costes, beneficios y conformidad técnica con los
estándares de arquitectura empresarial.
● Evaluar en qué grado las soluciones adquiridas requieren adaptación a los
procesos de negocio para aprovechar los beneficios de la solución adquirida.
● Determinar el seguimiento de las aprobaciones requeridas en puntos de
decisión clave durante los procesos de contratación.
● Determinar el registro de los recibos de todas las adquisiciones realizadas de
software e infraestructura en el inventario de activos.

Verificación de la construcción de soluciones

Verificar la instalación, configuración e integración de las soluciones con las
actividades de los procesos de negocios.

● Evaluación de la integración y configuración de los componentes de la

solución TI y de negocio así como los repositorios de información en línea
con las especificaciones detalladas y los requerimientos de calidad.
● Verificar la actualización cuando sea necesario del proceso de negocio y los
manuales de operaciones para el registro de cualquier personalización o
condiciones especiales únicas en la implementación.
● Considerar toda la información relevante en los controles de los
requerimientos en la integración y configuración de los componentes de la
solución, incluyendo cuando sea necesario, controles en la implementación
de negocio, controles automatizados en la aplicación para que el
procesamiento sea fiable, completo, a tiempo, autorizado y auditable.
● Considerar cuando el efecto de las personalizaciones y las configuraciones
acumuladas (incluyendo cambios menores que no estaban sujetos a unas
especificaciones de diseño formal) requieran una revalidación a alto nivel de
la solución y funcionalidad asociada.
● Verificar el aseguramiento de la interoperabilidad de los componentes de la
solución con las pruebas de soporte preferiblemente automatizadas.
● Verificar si la configuración del software de aplicación adquirido cumple con
los requerimientos de proceso de negocio.
● Determinar el catálogo de servicios para los grupos de objetivos internos y
externos basados en los requerimientos de negocio.

Evaluación de los controles de calidad

Evaluar el desarrollo y ejecución de un plan de calidad (QA) alineado con el SGC.

● Determinar un plan de calidad (QA) y prácticas incluyendo, por ejemplo,

especificación de criterios de calidad, procesos de validación y verificación,
definición de cómo se revisará la calidad, calificaciones necesarias para la
evaluaciones de calidad y roles y responsabilidades para la consecución de
la calidad.
● Evaluar si la solución de calidad está basada en los requerimientos del
proyecto, políticas de empresa, adhesión a metodologías de desarrollo,
procedimientos de gestión de calidad y criterios de aceptación.
 ● Evaluar apropiadamente la inspección de código, pruebas conducidas sobre
el desarrollo, pruebas automatizadas, integración continua, revisiones y
pruebas sobre aplicaciones y luego informar de los resultados a la direcció de
TI.
● Evaluar todas las excepciones de calidad y tratar todas las acciones
correctivas, y mantener un registro con todas las revisiones, resultados y
correcciones.

Determinar las pruebas de la solución

Determinar si hay un plan de pruebas y entornos necesarios para probar los
componentes de la solución.

● Verificar si hay un plan de pruebas integrados y prácticas acordes al entorno

de la empresa y planes estratégicos de tecnología que ayuden a verificar que
la solución estará operativa satisfactoria en un entorno real.
● Verificar si hay un entorno de pruebas que soporte el alcance completo de la
solución y refleje las condiciones del mundo real, incluyendo los procesos y
procedimientos de negocio, rango de usuarios y condiciones de desarrollo.
● Verificar si hay procedimientos de prueba alineados con el plan y las
prácticas y que permitan la evaluación operativa de la solución en
condiciones reales.

Determinar la ejecución de pruebas de la solución

Determinar si las pruebas continuamente están en concordancia con el plan de
pruebas y con las prácticas de desarrollo en el entorno apropiado.

● Determinar si las pruebas de las soluciones y sus componentes están en

concordancia con el plan de pruebas.
● Verificar que las pruebas son realizadas solo en los entornos de desarrollo y
pruebas.
● Verificar que se utilicen instrucciones de pruebas claramente definidas, tal y
como se indica en el plan de pruebas..
● Verificar que todas las pruebas estén conforme al plan y prácticas de
pruebas incluyendo la integración de los procesos de negocio y los
componentes de la solución TI y los requerimientos no funcionales (por
ejemplo, seguridad, interoperabilidad, usabilidad).
● Identificar (por ejemplo, fallos menores, significativos, críticos) los errores
durante las pruebas. Repetir las pruebas hasta que todos los errores
significativos hayan sido resueltos.
● Registrar los resultados de las pruebas y comunicar los resultados a las
partes interesadas conforme al plan de pruebas

Gestionar cambios a los requerimientos

Hacer seguimiento del estado de los requerimientos individuales a través de todo el
ciclo de vida del proyecto.
 ● Evaluar el impacto de todas las peticiones de cambio de la solución en el
desarrollo de la solución, el caso de negocio original y en el presupuesto, y
categorizar y priorizar las peticiones convenientemente.
● Hacer seguimiento de los requerimientos, facilitando a las partes interesadas
la supervisión, revisión y aprobación de los cambios. Asegurar que los
resultados de los procesos de cambio están completamente entendidos y
están de acuerdo todos las partes interesadas y el patrocinador/ propietario
del proceso de negocio.
● Evaluar el impacto de cualquier actualización mayor de la solución y
clasificarla conforme a criterios objetivos acordados (tales como los
requerimientos de empresa) basados en los resultados del análisis de
riesgos que lo acompaña (tales como el impacto en los sistemas existentes y
procesos o seguridad), justificación del coste/beneficio y otros
requerimientos.

Mantener soluciones
Verificar el desarrollo de un plan para el mantenimiento de la solución y
componentes de la infraestructura, incluyendo revisiones periódicas.

● Verificar el desarrollo de un plan para el mantenimiento de los componentes

de la solución que incluya revisiones periódicas respecto a las necesidades
de negocio y requerimientos operacionales tales como la gestión de parches,
estrategias de actualización, riesgos, análisis de vulnerabilidades y
requerimientos de seguridad.
● Evaluar la significatividad de las actividades de mantenimiento propuestas
sobre el diseño de la solución, funcionalidad y/o procesos de negocio
actuales, considerando el riesgo, impacto en los usuarios y disponibilidad de
recursos.
● Asegurar que el patrón y volumen de las actividades son analizadas
periódicamente para buscar tendencias anormales indicando una merma en
la calidad o problemas de rendimiento, coste/beneficio de las actualizaciones
mayores o reemplazo en lugar de mantenimiento.

Determinar los servicios TI y mantener el catálogo de servicios

Determinar nuevos servicios TI, documentando nuevas definiciones o cambios en
los servicios y opciones de nivel de servicio.

● Verificar si los nuevos o modificados servicios TI aseguren que los servicios

cumplen con el propósito.
● Determinar las definiciones de servicio propuestas en la lista del catálogo de
los servicios a desarrollar.
● Proponer cambios o nuevas opciones de niveles de servicios (franjas
horarias del servicio, satisfacción del usuario, disponibilidad, rendimiento,
capacidad, seguridad, continuidad, cumplimiento regulatorio, usabilidad) para
asegurar que los servicios TI son adecuados para su uso.
● Si los cambios a los servicios provienen de una autoridad de aprobación
adecuada, verificar la construcción de los cambios o los nuevos servicios TI o
 las opciones de los niveles de servicio, de otro modo, pasar los cambios de
servicio a la gestión de la cartera de servicios para su oportuna revisión.

INFORME

● Elaboración del informe

● Evaluación de descargos del área auditada

● Revisión del informe

● Elevación y distribución del informe

c) Asuma que se identificaron 2 debilidades (observaciones). Redacte cómo informaría

tales observaciones (sumilla, condición, criterio, …)

1. Primera Debilidad:

Sumilla: Desactualización de sus documentos de procesos de negocios

Condición: Luego de la revisión de los documentos donde se encuentran todos los

procesos de negocio y la atenta observación hacia los trabajadores de la empresa
(analistas, desarrolladores, etc.) al momento de aplicar los procesos de negocio en
la construcción de soluciones se identificó que dicho proceso no coincide con el
proceso que está detallado en el documento de procesos de negocio.

Criterio: Este problema infringe las polticas de la empresa que dice que todo
documento debería de ser actualizado con los cambios establecidos por la alta
gerencia y mas si esto afecta en la organización de la empresa como en este caso.

Causa: Los procesos de negocio actuales que están siendo aplicados en la empresa
no son los mismos que están en el documento de procesos de negocio esto es
debido a la falta de personal encargado de actualizar los documentos.

Efecto: La no actualización de los procesos de negocios en los documentos

afectaría a los trabajadores nuevos que llegan a la empresa ya que ellos para seguir
el proceso de construcción de soluciones seguirán el proceso del documento que no
está actualizado.
 Recomendación: Se recomienda a la alta gerencia nombrar a alguna persona que
se encargue de la actualización de estos documentos cada vez que se acuerde un
cambio dentro de la organización de la empresa.

2. Segunda Debilidad:

Sumilla: Alteración de los repositorios donde se definen los requerimientos de los

clientes para la construcción de las soluciones tecnológicas.

Condición: Luego de la revisión del repositorio compartido donde los clientes

envían sus requerimientos de software para la construcción de soluciones con
dichos requerimientos se llegó a identificar que alguna persona modificó algunos
requerimientos hecho por el cliente en este repositorio, esto debido a una encuesta
que se hizo a los clientes y que algunos de ellos se quejaron por no estar los
requerimientos deseados en sus soluciones de software.

Criterio: Este problema infringe las politicas de la empresa en donde ni un

trabajador no debería de modificar nada en cualquier repositorio de información sin
el consentimiento de su autoridad superior a él.

Causa: Desacato a las políticas por parte de los empleados, las cuales son
importantes tenerlas siempre en cuenta a la hora de realizar cualquier actividad de
un proceso dentro de la empresa ya que son la voz de la alta gerencia.

Efecto: El desacato a la política, en este caso, respecto a los repositorios puede

ocasionar a la larga problemas durante el desarrollo del software que el cliente ha
requerido. Si no hubo una autorización previa para realizar la modificación, el
empleado o empleados que la realizaron pueden ser sancionados.

Recomendación: Se recomienda a la alta gerencia fortalecer sus políticas de

acceso a los diferentes repositorios de información y securizar el acceso y la
autorización de cualquier acción sobre ella. Escoger a un responsable o
responsables que sean los únicos que puedan autorizar el acceso correspondiente si
es que se requiere alguna modificación previa validación.