Auditoria de desarrollo
Páginas: 8 (1871 palabras)
Publicado: 28 de septiembre de 2010
Auditoría al Desarrollo de Sistemas
Aplicando la división funcional al departamento de informática de cualquier entidad, una de las áreas que tradicionalmente aparece es la de desarrollo. Esta función abarca todas las fases que se deben de seguir desde que aparece la necesidad de disponer de un determinado sistema de información hasta que éste es construido e implantado.
Para delimitar elámbito de este capítulo, se entenderá que el desarrollo incluye todo el ciclo de vida del software excepto la explotación, el mantenimiento y el fuera de servicio de las aplicaciones cuando ésta tenga lugar.
IMPORTANCIA DE LA AUDITORÍA DE DESARROLLO.
Aunque cualquier departamento o área de una organización es susceptible de ser auditado, hay una serie de circunstancias que hacen especialmenteimportante al área de desarrollo, y por tanto también de auditoría, frente a otras funciones o áreas dentro del departamento de informática:
Los avances en tecnologías de las computadoras han hecho que actualmente el desafío más importante y el principal reto sea la calidad del software
El gasto destinado a software es cada vez superior al que se dedica al hardware
El softwarecomo producto es muy difícil de validar. Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costos de mantenimiento.
El índice de fracasos en proyectos de desarrollo es demasiado alto, lo cual denota la inexistencia o mal funcionamiento de los controles en este proceso.
Las aplicaciones informáticas, que son el producto principal obtenido alfinal del desarrollo, pasan a ser la herramienta de trabajo principal de las áreas informatizadas, convirtiéndose en un factor esencial para la gestión y la toma de decisiones.
PLANTEAMIENTO Y METODOLOGÍA.
Para tratar la auditoría de desarrollo es necesario, en primer lugar, acotar las funciones o tareas que son responsabilidad del área. Teniendo en cuenta que puede haber variaciones deuna organización a otra, las funciones que tradicionalmente se asignan al área son:
Planificación del área y participación en la elaboración del plan estratégico de informática
Desarrollo de nuevos sistemas
Estudio de nuevos lenguajes, técnicas, metodologías, estándares, herramientas, etc. y adopción de los mismos para mantener un nivel de vigencia adecuado al momento.
Establecimiento de un plan de formación para el personal adscrito al área
Establecimiento de normas y controles para todas las actividades que se realizan en el área y comprobación de su observancia.
Una metodología aplicable es la propuesta por la ISACA (Information Systems Audit and Control Association), que está basada en la evaluación de riesgos partiendo de los riesgos potenciales a los queestá sometida una actividad (en este caso el desarrollo de un sistema de información), se determinan una serie de objetivos de control que minimicen esos riesgos.
Para cada objetivo de control se especifican una o más técnicas de control, también denominadas simplemente controles, que contribuyan a lograr el cumplimiento de dicho objetivo. Además, se aportan una serie de pruebas decumplimiento que permitan la comprobación de la existencia y correcta aplicación de dichos controles.
Una vez fijados los objetivos de control, será función del auditor determinar el grado de cumplimiento de cada uno de ellos. Para cada objetivo se estudiarán todos los controles asociados al mismo, usando para ello las pruebas de cumplimiento propuestas. Con cada prueba de cumplimiento se obtendráalguna evidencia, bien sea directa o indirecta, sobre la corrección de los planes. Si una simple comprobación no ofrece ninguna evidencia, será necesaria la realización de exámenes más profundos.
En los controles en los que sea impracticable una revisión exhaustiva de los elementos de verificación, bien porque los recursos de auditoría sean limitados o porque el número de elementos a...
Aplicando la división funcional al departamento de informática de cualquier entidad, una de las áreas que tradicionalmente aparece es la de desarrollo. Esta función abarca todas las fases que se deben de seguir desde que aparece la necesidad de disponer de un determinado sistema de información hasta que éste es construido e implantado.
Para delimitar elámbito de este capítulo, se entenderá que el desarrollo incluye todo el ciclo de vida del software excepto la explotación, el mantenimiento y el fuera de servicio de las aplicaciones cuando ésta tenga lugar.
IMPORTANCIA DE LA AUDITORÍA DE DESARROLLO.
Aunque cualquier departamento o área de una organización es susceptible de ser auditado, hay una serie de circunstancias que hacen especialmenteimportante al área de desarrollo, y por tanto también de auditoría, frente a otras funciones o áreas dentro del departamento de informática:
Los avances en tecnologías de las computadoras han hecho que actualmente el desafío más importante y el principal reto sea la calidad del software
El gasto destinado a software es cada vez superior al que se dedica al hardware
El softwarecomo producto es muy difícil de validar. Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costos de mantenimiento.
El índice de fracasos en proyectos de desarrollo es demasiado alto, lo cual denota la inexistencia o mal funcionamiento de los controles en este proceso.
Las aplicaciones informáticas, que son el producto principal obtenido alfinal del desarrollo, pasan a ser la herramienta de trabajo principal de las áreas informatizadas, convirtiéndose en un factor esencial para la gestión y la toma de decisiones.
PLANTEAMIENTO Y METODOLOGÍA.
Para tratar la auditoría de desarrollo es necesario, en primer lugar, acotar las funciones o tareas que son responsabilidad del área. Teniendo en cuenta que puede haber variaciones deuna organización a otra, las funciones que tradicionalmente se asignan al área son:
Planificación del área y participación en la elaboración del plan estratégico de informática
Desarrollo de nuevos sistemas
Estudio de nuevos lenguajes, técnicas, metodologías, estándares, herramientas, etc. y adopción de los mismos para mantener un nivel de vigencia adecuado al momento.
Establecimiento de un plan de formación para el personal adscrito al área
Establecimiento de normas y controles para todas las actividades que se realizan en el área y comprobación de su observancia.
Una metodología aplicable es la propuesta por la ISACA (Information Systems Audit and Control Association), que está basada en la evaluación de riesgos partiendo de los riesgos potenciales a los queestá sometida una actividad (en este caso el desarrollo de un sistema de información), se determinan una serie de objetivos de control que minimicen esos riesgos.
Para cada objetivo de control se especifican una o más técnicas de control, también denominadas simplemente controles, que contribuyan a lograr el cumplimiento de dicho objetivo. Además, se aportan una serie de pruebas decumplimiento que permitan la comprobación de la existencia y correcta aplicación de dichos controles.
Una vez fijados los objetivos de control, será función del auditor determinar el grado de cumplimiento de cada uno de ellos. Para cada objetivo se estudiarán todos los controles asociados al mismo, usando para ello las pruebas de cumplimiento propuestas. Con cada prueba de cumplimiento se obtendráalguna evidencia, bien sea directa o indirecta, sobre la corrección de los planes. Si una simple comprobación no ofrece ninguna evidencia, será necesaria la realización de exámenes más profundos.
En los controles en los que sea impracticable una revisión exhaustiva de los elementos de verificación, bien porque los recursos de auditoría sean limitados o porque el número de elementos a...
Leer documento completo
Regístrate para leer el documento completo.