Desarrollo de Sistemas
El auditor deberá conocer en detalle las distintas etapas en la formulación de los sistemas y las metodologías más usuales en la construcción de los mismos.
Se debe hacer auditoria cada vez que se realice una aplicación nueva o una modificación importante.
El objetivo es que la calidad de las estructuras y procedimientos del sistema sea tan buena como sea posible.
Objetivos y puntos a verificar
o Examinar metodología de construcción en uso.
o Revisar la definición de los objetivos del sistema, analizar si cumple con las necesidades de los usuarios.
o Revisar el control y planificación del proyecto.
o Verificar que el control de datos sea adecuado.
o Verificar el control de formularios.
o Controlar si los manuales son suficientes (en cantidad de información).
o Existencia de una adecuada separación de funciones entre las áreas administrativas y las mecanizadas.
o Asegurar la fiabilidad y continuidad del sistema
o Verificar los medios dispuestos para el desarrollo del sistema
o Analizar los medios de seguridad con que se va a dotar al sistema.
o Analizar las insuficiencias detectadas y su impacto en los procedimientos futuros.
Se deberá asegurar en el desarrollo del sistema: seguridad, precisión y eficacia.
Momento para efectuar la auditoria de desarrollo.
a. Cuando está realizándose el desarrollo: las modificaciones sugeridas pueden incorporarse al sistema en forma oportuna y económica.
b. Antes del desarrollo: las recomendaciones del auditor se resumen a pautas teóricas y los esquemas de diseño iníciales pueden variar durante el desarrollo, con lo cual realizar una auditoría en este momento, sería una pérdida de tiempo.
c. Después de implementar, su único objetivo sería poder medir la efectividad del sistema.
Distintos tipos de Auditoria Durante el Desarrollo
Auditoria del comienzo del desarrollo del sistema
En esta etapa se deberá tomar contacto con las propuestas nuevas, analizar los elementos de gestión y de control, tomar contacto con los estándares de procedimientos, control de proyecto y de documentación.
Auditoria de la propuesta de mecanización
La propuesta de mecanización define las pautas del nuevo sistema y una vez aceptada se emprendería el trabajo de diseño y programación. La auditoria debería asegurarse de que son adecuados los principios básicos de diseño, en todo lo relacionado a control y verificación interna.
Auditoria de la propuesta detallada.
Aquí se brinda detalle sobre las variaciones y particularidades del esquema general de actividad y contempla los procedimientos mecanizados y los administrativos (diagramas, diseños, registros, etc.). Se verifica las propuestas de implementación y la calidad de las comprobaciones internas, la separación de las funciones y fiabilidad del control.
Ahora deben solucionarse los puntos débiles o tenerse en cuenta para planificar futuras auditorias. Las especificaciones planteadas tratarán sobre la entrada, procesos, salida de archivos y su control, y las instrucciones operativas. La auditoria verificará los procedimientos para asegurar:
o Evidencia que deja el sistema es suficiente para rastrear errores y corregirlos.
o Procedimientos de salida llevan incorporados sistemas correctos de validación y detección de errores.
o El diseño de datos de salida puede adaptarse a las modificaciones que vayan surgiendo.
o Documentación de todos los archivos magnéticos obedece a los estándares adecuados.
o Si todos los archivos están sometidos a controles.
o Si la ejecución de los procesos contiene una validación suficiente.
o Proteger al sistema contra usos no autorizados.
o Si se ha planificado adecuadamente todas las etapas de desarrollo, con tiempo, recursos y costos, previendo los puntos de control.
o Previsión de una capacitación adecuada.
o Prever emergencias e interrupciones del proceso al igual que la rutina normal de trabajo.
Auditoria de los programas y pruebas.
Se realizan comprobaciones en el trabajo real de programación:
o Procedimientos de gestión adecuados para controlar programas y pruebas.
o Controlar y verificar las pruebas de programas
o Registración adecuada de modificaciones
o Que los programas en desarrollo se mantengan separados de los operativos.
Auditoria del aprovisionamiento del sistema y planificación de la implantación.
Es importante asignar suficiente tiempo a la adquisición de equipos y material para el nuevo sistema y a especificarlo minuciosamente. El equipo de auditoria deberá asegurarse de que se preparen unas especificaciones adecuadas indicando la calidad, nivel, capacidad, posibilidades y plazo de entrega.
Los analistas deberán trazar un plan de desarrollo e implantación del sistema, dividiendo en etapas, indicando los tiempos y recursos necesarios.
La auditoria verificará que este plan sirva para gestionar y gobernar las tareas y tendrá en cuenta los tiempos para adaptar su auditoria al ritmo del proyecto.
Auditoria de la documentación y manuales de usuario y operación del sistema.
Cuando el sistema quede operativo deberá preparar una documentación completa de todos sus aspectos. El auditor asegurará que están todos los documentos que corresponden, completos y actualizados.
La auditoria deberá verificar si los manuales describen procedimientos de emergencia y respaldo, así como la rutina normal de trabajo. También deberá existir un buen sistema de actualización de manuales.
Auditoria de la conversión de archivos.
Cuando se desarrollan sistemas nuevos suele hacer falta preparar archivos magnéticos y convertir todos los datos que se tengan al formato del nuevo medio.
La auditoria se preocupará que la conversión de los archivos permita que el sistema arranque con datos exactos y verificará que:
o La conversión de archivos se ha planificado totalmente
o Programas utilizados para la conversión de archivos han sido probados suficientemente.
o Utiliza un sistema de información adecuado que identifique claramente los errores.
Auditoria de las pruebas del sistema.
Cuando los programadores enlazan sus programas para formar una secuencia, ésta ha de probarse en su conjunto para garantizar que cumplen su cometido. La auditoria deberá verificar, si la preparación de los datos de prueba deberá llevar consigo:
o Recopilación de un conjunto de datos que refleje todas las variantes de los valores y errores que puedan surgir.
o Preparación de una planificación de los resultados que ha de producir el sistema cuando ejecute los datos de prueba.
Una vez verificada la preparación de los datos de prueba, el auditor se preocupará de la calidad de la verificación de los resultados, la oportunidad de las pruebas y que las mismas no han provocado corrupciones en las rutinas y/o archivos.
Auditoria de la implantación.
Se puede tener un sistema paralelo, en donde esta fase es una ampliación de las pruebas del sistema. Si se hace directamente, el sistema arranca inmediatamente.
Se estudiará el sistema de control para corroborar que los empleados lo utilizan bien desde el principio y evaluar la calidad de dicho sistema.
Auditoria de la continuidad del sistema
Los sistemas importantes deben ser capaces de funcionar en todo momento. Las averías de los equipos, errores en archivos, falta de energía y otros recursos no deberían interrumpir las actividades esenciales.
La auditoria debería asegurarse que:
o Se mantienen copias de seguridad de datos, archivos e instrucciones a un nivel de permita su recuperación dentro de un plazo preestablecido.
o Existencia de medidas alternativas para utilizar equipos auxiliar (durante las caídas)
o Que el retorno al trabajo normal se haga con facilidad y que los controles enlacen al sistema sin problemas para verificar si la reactivación ha sido correcta.
miércoles, 27 de mayo de 2009
Suscribirse a:
Entradas (Atom)