Notas

Interesantes

Revisión del ciclo de vida del desarrollo de Aplicaciones, adquisición o mantenimiento.

El Objetivo de esta revisión es identificar, analizar y evaluar los requerimientos del usuario, riesgos, exposiciones a ellos y los controles en aplicaciones específicas durante la fase de desarrollo, adquisición o mantenimiento de las aplicaciones. Las tareas del auditor de sistemas incluyen las siguientes:

  • Determinar los componentes, objetivos y requerimientos principales de los usuarios de la aplicación e identificar las áreas que exigen controles al hacer entrevistas con miembros claves del proyecto.
  • Determinar y clasificar los principales riesgos y exposición a riesgos de la aplicación, para permitir controles por medio de discusiones con miembros del equipo del proyecto.
  • Identificar los controles para minimizar los riesgos y exposiciones a riesgos de la aplicación por referencia a fuentes confiables y por medio de discusiones con miembros del equipo del proyecto.
  • Asesorar al equipo del proyecto respecto del diseño de la aplicación y la implantación de controles al evaluar los controles disponibles y al participar en discusiones con miembros del equipo del proyecto.
  • Monitorear el proceso de desarrollo, mantenimiento o adquisición de las aplicaciones para asegurarse de que se implantan los controles, se satisfacen los requerimientos de los usuarios y se sigue la metodología mas adecuada en cada caso, esto permite asegurarse que las aplicaciones son eficaces y eficientes, al realizar reuniones periódicas con miembros del equipo del proyecto y al hacer exámenes de la documentación y los productos en sus diversas etapas.
  1. Revisión de desarrollo de sistemas.

Cuando se revisa el proceso de desarrollo de sistemas, se espera que el auditor de sistemas obtenga la documentación necesaria y disponible de las diversas fases así como que asista a las reuniones del equipo del proyecto ofreciendo asesoramiento durante todo el proyecto de desarrollo de sistemas. También, el auditor de sistemas debe evaluar la capacidad de los equipos del proyecto para producir los productos claves a entregar para las fechas prometidas. Durante todo el proceso de desarrollo de sistemas el auditor de sistemas debe analizar los riesgos asociados y las exposiciones que son inherentes en cada fase y asegurarse de que los mecanismos de control adecuados están vigentes para minimizar esos riesgos y una forma que sea eficaz en cuanto a costos. Debe utilizarse el tino para recomendar controles que no cuesten mas administrarlos que los riesgos que deben minimizar.

  1. Estudio de Factibilidad. El auditor de sistemas debe revisar la documentación producida en esta fase y corroborar su razonabilidad. Debe verificarse todas las justificaciones de costo / beneficio junto con el cronograma de cuando se anticipaba que se realizarían los beneficios. Identificar si la necesidad del negocio que se utiliza para justificar el sistema, realmente existe, y hasta que punto existe la necesidad. Determinar si puede obtenerse una solución con los sistemas vigentes. De no ser así corroborar la razonabilidad de la evaluación de las soluciones alternativas. Determinar si finalmente se eligió la solución mas apropiada.
  2. Definición de requerimientos. El auditor de sistemas debe obtener el documento de definición de requerimientos detallados y verificar su exactitud por medio de entrevistas con los departamentos usuarios que lo solicitan. Identificar los miembros clave del equipo del proyecto y verifique que todos los grupos usuarios afectados tienen una adecuada representación. Verificar que la gerencia aprobó la iniciación del proyecto y el costo del proyecto. Revisar los diagramas de flujo de datos y el diseño conceptual para asegurarse de que se trata las necesidades del usuario. Revisar el diseño conceptual por el nivel adecuado del control. Revisar las propuestas dadas a los proveedores para asegurarse de que cubren el verdadero alcance del proyecto y los requerimientos de los usuarios. Determinar si esta aplicación es apropiada para el uso de una rutina de auditoría incorporada. De ser así incorpore la rutina en el diseño conceptual del sistema.
  3. Fase de diseño detallado y programación. Revisar los flujogramas del sistema para observar el seguimiento del diseño general, si se observan cambios, verifiquen que fueron dadas sus aprobaciones apropiadas para los cambios y que los cambios han sido discutidos y aprobados por los grupos de usuarios afectados. Revisar los controles de entrada y salida diseñados dentro del sistema, para comprobar que sean apropiados. Entrevistar a los usuarios clave del sistema para comprobar su comprensión de cómo operará el sistema y evaluar su nivel de entrada en el diseño de los formatos de pantalla y los informes de salida. Evaluar los rastros de auditoría que se programan, en el sistema para rastrear la información fuente clave. Verificar la corrección de los cálculos de los procesos claves. Verificar que el sistema puede identificar y procesar correctamente datos erróneos. Verificar que los procesos de prueba de los programas sean desarrollados durante esta fase. Verificar que se hicieron las correcciones recomendadas para los errores de programación y que las pistas de auditoría recomendados o los módulos de auditoría fueron incorporadas en los programas correctos.
  4. Fase de Prueba. La fase de prueba es crucial para determinar que los requerimientos han sido satisfechos y que el sistema se comporta como se anticipaba. Por ende el auditor de sistemas debe participar en forma intensa y revisar la fase. Examinar el plan de prueba, para verificar que sea completo con la evidencia indicada de la participación del usuario, tal como escenario de situaciones de prueba creados por los usuarios y/o aprobación escrita de aceptación de los resultados. Revisar todos los resultados de pruebas en paralelo para comprobar su exactitud. Verificar que la seguridad este funcionando adecuadamente, probando intentos de acceso no permitidos. Examinar comprobando la precisión de los mensajes de error para reconocer los datos erróneos y la resolución de estos errores.
  5. Implantación. Esta fase se inicia solo después de una exitosa fase de prueba. Debe tenerse precaución al transferir un nuevo sistema a situación de producción. El auditor de sistemas debe verificar que las aprobaciones necesarias existen antes de implementar el nuevo sistema. Revisar los procedimientos programados que se utilizan para hacer el cronograma y correr el sistema junto con los parámetros del sistema que se utilizan al ejecutar el cronograma de actividades. Revisar la documentación del sistema a fin de asegurarse de que esta completo y que todas las actualizaciones posteriores a la fase de prueba han sido incorporadas. Verificar toda la conversión de datos para asegurarse de que es correcta y esta completa antes de implementar en producción al nuevo sistema.
  6. Fase de Post-Implantación. Luego que el nuevo sistema ha estado operando, por lo menos seis meses, el auditor de sistemas independiente de las otras fases de la vida del sistema, revisará lo siguiente: Determinar si el programa ha logrado los requerimientos de los objetivos, se debe prestar especial atención a la utilización y la satisfacción de los usuarios finales, ellos constituirán un indicador excelente. Verificar que se miden, analizan e informan adecuadamente a la gerencia los beneficios identificados con el estudio de factibilidad. Revisar las solicitudes de cambios a los programas que se han realizado, para evaluar el tipo de cambios que se exigen al sistema, el tipo de cambios puede indicar problemas de diseño, programación o interpretación de los requerimientos de usuario.
  1. Revisión de aplicaciones de software comprado.

Para tomar la decisión de comprar el producto de un vendedor en lugar de crear una solución interna, debe existir en el estudio de factibilidad, documentación sobre la decisión de "hacer vs. Comprar", esta documentación debe ser analizada para determinar si la decisión de comprar fue apropiada. y considerar lo siguiente respecto a los proveedores: Estabilidad financiera. Número de años de experiencia ofreciendo el producto. Número de sedes de clientes que usen el servicio. Compromiso de servicio. Compromiso de desarrollar o mejorar el producto. Nivel de satisfacción de otros clientes, si es posible visitar sus instalaciones y ver como se utiliza en un ambiente real de producción. Compromiso para la provisión de entrenamiento, documentación y upgrades a los productos. Aceptación de pruebas de productos antes de la compra. Adicionalmente el auditor de sistemas deberá revisar el contrato en los siguientes puntos: Descripción específica de los productos a entregar. Compromisos sobre fechas de entrega de los productos. Compromiso de entrega de los upgrades y entrenamiento. Entregas de licencias y permisos para copiar el software para utilizarlo en esfuerzos de recuperación de desastres.

  1. Revisión del Mantenimiento de aplicaciones.

El objetivo de esta revisión es identificar, analizar y evaluar normas, tareas, procedimientos y controles en el proceso de control de cambios a los programas. Las tareas de auditoría en este aspecto son:

  • Evaluar los estándares y procedimientos para cambios a programas para asegurar su adecuación por medio de examen de la correspondiente documentación, discusiones con personal clave y observaciones.
  • Probar los procedimientos de control de cambios para asegurar que se explican según se describe en los estándares por medio de discusión y examen de los registros respaldatorios.
  • Evaluar el proceso de control de cambios para determinar que los objetivos de control fueron cumplidos al analizar los resultados de pruebas y otra evidencia de auditoría.
  • Determinar la adecuación de la seguridad de la biblioteca de producción para asegurar la integridad de los recursos de producción al identificar y probar controles existentes.

Desde que un sistema es puesto en funcionamiento, se practican cambios, los cuales deben tener en cuenta una metodología para realizar y registrar estos cambios, esta metodología debe incluir:

  • Procedimientos para autorización de los cambios a los programas de producción. Documentación de programas, las solicitudes de cambio deben ser archivadas con la documentación del programa afectado y debe incluirse la documentación de la razón del cambio (análisis del costo / beneficio) si es necesario.
  • Rastros de auditoría de cambios, siempre debe llevarse un rastro de auditoría de todos los cambios o manejo de versiones de los programas, esto generalmente lo posee el software de manejo de bibliotecas.
  • Concordancia del código fuente y el ejecutable, se refiere a que si un programa fuente es compilado nuevamente, el programa ejecutable resultante es igual al programa que esta en producción.
  • Controles de acceso a los programas de producción, debe existir un riguroso control de acceso a los programas de producción, estos controles generalmente son manejados por el software de acceso al mainframe.  

Resumen Exp.Laboral Dat.Personales Est.Realizados Inf.Contacto N.Interesantes