Curso de Repaso CISA 2011

Captulo 3 Adquisicin, Desarrollo e Implementacin de Sistemas de Informacin

Agenda del Curso

Objetivos de aprendizaje Discutir tareas y Conocimientos Relacionados Discutir temas especficos del captulo Preguntas de ejemplo

Relevancia en el Examen
Asegurar que el candidato CISA
Entienda y pueda proveer certeza de que las prcticas de gestin para el desarrollo/ adquisicin, pruebas, implementacin, mantenimiento, y eliminacin de sistemas e infraestructura, cumplirn los objetivos de la organizacin.
% del Total de Preguntas del Exam en CISA

El contenido de este captulo representar aproximadamente el 16% del examen CISA (aproximadamente 32 preguntas)

Captulo 6 14%

Captulo 1 10% Captulo 2 15%

Captulo 5 31% Captulo 4 14%

Captulo 3 16%

Objetivos de Aprendizaje
Sistema/Infraestructura Anterior Sistema/Infraestructura Nuevo Desarrollado o Adquirido

Antes

Durante
Implantacin

Despus

Existen procesos adecuados ?

Mitigan, Reducen o Eliminan Riesgos

EXISTEN CONTROLES EFICACES

3.2 Realizacin del Negocio

3.2.1 Administracin de Portafolio y Programas 3.2.2 Caso de Negocio: Desarrollo y Aprobacin 3.3.3 Realizacin de Beneficios

3.2.1 Administracin de Portafolio/Programas

Un programa es un grupo de proyectos y tareas a realizar en un tiempo especfico, que estn estrechamente vinculados a travs de: objetivos comunes, un presupuesto comn, cronogramas y estrategias relacionadas entre s. Los programas tienen una vigencia determinada (fecha de inicio y de terminacin) y lmites organizacionales.
VENTAJAS Optimizacin de resultados Priorizacin Coordinacin de Recursos Transferencia de Conocimientos

Proyecto 1 Programa Proyecto 2 Proyecto N

3.2.2 Caso de Negocio Desarrollo y Aprobacin

Caso de Negocio: Apertura de Sucursal Estudio de Factibilidad: Desarrollado por, Durante Justificacin: Solucionar el problema Mejorar la situacin . Facilitar . APROBADO

Razones para emprender el proyecto

3.2.3 Tcnicas de realizacin de beneficios

La realizacin de beneficios requiere:
Describir el beneficio Asignar una medida y un objetivo Establecer un plan de seguimiento y evaluacin Documentar las dependencias y/o supuestos Establecer responsabilidades clave Validar los beneficios esperados por el negocio Planear el beneficio que se va a realizar

3.3 Estructura de la Gestin de Proyectos

3.3.1 Aspectos Generales 3.3.2 Contexto y Ambiente 3.3.3 Tipos de Estructura Organizacional 3.3.4 Objetivos del Proyecto 3.3.5 Roles y Responsabilidades de Grupos y Personas

3.3.1 Aspectos Generales

Quin lo inicia? Cunto tiempo durar?

Quines estarn a cargo?

Proyecto 1 Cmo se medirn los objetivos? Cmo se documentar? Cmo se tratarn desfases?

3.3.2 Contexto y Ambiente del Proyecto

Estrategia del Negocio
Caso de Negocio (Business Case) Caso de Negocio (Business Case)

Proyecto 1

Proyecto 2

Proyecto 3

Proyecto 4

Proyecto 5

3.3.3 Tipos de Estructura Organizacional de Proyectos

Por Influencia
Gerente de Proyecto

Gerencias Miembros de Proyecto

Gerente de Proyecto

Pura
Gerencias Miembros de Proyecto

Gerente de Proyecto

Matriz
Jefe Departamento Jefe Departamento

3.3.4 Objetivos del Proyecto

Caso del Negocio Beneficios Esperados
OBJETIVOS GENERALES CLAVE

SMART
Elemento 1 Elemento 3 OBJETIVOS ESPECFICOS Elemento 2

3.3.5 Roles y responsabilidades de grupos e individuos

Alta gerencia Administracin de usuarios Comit de Direccin de Proyecto Patrocinador del proyecto Gerente de Desarrollo de Sistemas Gerente de Proyecto Equipo de Desarrollo de Sistemas Equipo de usuarios del proyecto Oficial de seguridad Aseguramiento de la calidad

3.4 Prcticas de Gestin de Proyectos

3.4.1 Planificacin de Proyectos 3.4.2 Administracin General de Proyectos

3.4.1 Planificacin de Proyectos

TAREA 1 TAREA 2 TAREA 3 RECURSO A RECURSO B

PRODUCTO X

PRODUCTOY PRODUCTO Y

3.4.1 Planificacin de Proyectos (Continuacin)

Estimacin del tamao del software:
Lneas de cdigo fuente El mtodo ms sencillo y tradicional para medir el tamao del software, consiste en contar el nmero de lneas de cdigo fuente, medidas en SLOC, es denominado como kilo lneas de cdigo (KLOC). Anlisis de puntos de funcin Ampliamente usada para estimar la complejidad de desarrollar grandes aplicaciones de negocios. El resultado del anlisis de punto de funcin (FPA en ingls), es la medida del tamao de un sistema de informacin, basada en el nmero y la complejidad de las entradas, salidas, archivos, interfaces y consultas (queries) con los que un usuario interacta.

3.4.1 Planificacin de Proyectos (Continuacin)

Cronograma y Tiempos Diagramas de Gantt Diagramas PERT Caja de Tiempo

3.4.2 Administracin General de Proyectos

Gestin del alcance Gestin del uso de recursos Gestin del riesgo: Evaluar Mitigar Descubrir

3.4.2 Administracin General de Proyectos

Objetivos Cumplidos Caso de Negocio Implantado

Cierre de Proyecto

Entrega Formal y resolucin de temas contractuales

3.5 Auditora de desarrollo, adquisicin y mantenimiento de sistemas

3.5.1 Estudio de factibilidad/viabilidad 3.5.2 Definicin de requerimientos 3.5.3 Proceso de adquisicin de software 3.5.4 Diseo y desarrollo detallados 3.5.5 Pruebas 3.5.6 Implementacin 3.5.7 Revisin posterior a la implementacin 3.5.8 Procedimientos de control de cambios

3.5 Auditora del Desarrollo, Adquisicin y Mantenimiento de Sistemas

Las tareas del Auditor de SI en el desarrollo, adquisicin y mantenimiento de sistemas incluyen generalmente lo siguiente:
Determinar los componentes, objetivos y requerimientos principales de los usuarios hacia el sistema Determinar y clasificar por prioridad los riesgos principales y las exposiciones Identificar los controles para mitigar los riesgos y las exposiciones del sistema Monitorear el proceso de desarrollo de sistemas Participar en las revisiones posteriores a la implementacin. Probar los procedimientos de mantenimiento de sistemas Evaluar el proceso de mantenimiento de sistemas

3.5.1 Estudio de Factibilidad/Viabilidad

El Auditor de Sistemas debe llevar a cabo las siguientes funciones:
Revisar la documentacin producida en esta fase para verificar si es razonable. Determinar si todas las justificaciones de costos /beneficios son verificables. Identificar y determinar la criticidad de la necesidad que se desea satisfacer. Determinar si se puede alcanzar una solucin con los sistemas ya existentes. Determinar si la solucin escogida es razonable.

3.5.2 Definicin de los Requerimientos

El auditor de SI debe realizar las siguientes funciones:
Obtener el documento de definicin detallada Identificar los miembros claves en el equipo del proyecto Verificar que la iniciacin del proyecto y el costo del mismo hayan recibido la debida aprobacin de la Gerencia Revisar las especificaciones conceptuales del diseo para asegurar que respondan a las necesidades de los usuarios Revisar el diseo conceptual para asegurar que se han definido especificaciones de control Determinar si un nmero razonable de proveedores recibi la propuesta que cubra el alcance del proyecto y los requerimientos del usuario Determinar si la aplicacin es candidata para el uso de rutina(s) integradas de auditora

3.5.3 Proceso de Adquisicin del Software

El auditor de SI debe realizar las siguientes funciones:
Analizar la documentacin a partir del estudio de factibilidad. Revisar el RFP (Request For Proposal). Determinar si el proveedor seleccionado est respaldado por documentacin de RFP. Asistir a las presentaciones de la agenda y los pilotos realizados en presentaciones Revisar el contrato del proveedor antes de su firma. Asegurarse de que el contrato sea revisado por el asesor legal antes de que sea firmado.

3.5.4 Diseo y Desarrollo Detallado

El auditor de SI debe realizar las siguientes funciones:
Revisar los diagramas de flujo del sistema para verificar si se ajusta al diseo general. Revisar los controles para el ingreso de los datos, del procesamiento y de los resultados, diseados en el sistema para verificar si son los apropiados. Entrevistar a los usuarios claves del sistema Evaluar si las pistas de auditora son adecuadas Verificar la integridad de los clculos y procesos claves Verificar que el sistema pueda identificar y procesar correctamente los datos errneos. Revisar los resultados de aseguramiento de calidad de los programas desarrollados durante esta etapa. Verificar que se hayan efectuado todas las correcciones recomendadas a los errores de programacin.

3.5.4 Desarrollo y Pruebas

Clasificaciones de pruebas Prueba de Unidad Prueba de Interfaz o de integracin Prueba del Sistema Prueba de Aceptacin Final

Otros tipos de prueba

Prueba Alfa y Beta Prueba Piloto Prueba de la Caja Blanca Prueba de la Caja Negra Pruebas de Funcin /Validacin } Pruebas de Regresin Prueba en Paralelo Pruebas de Sociabilidad

3.5.5 Pruebas
El auditor de SI debe realizar las siguientes funciones:
Revisar el plan de pruebas para verificar si est completo. Efectuar una reconciliacin de los totales de control y de los datos convertidos. Revisar los informes de errores para verificar su precisin para reconocer los datos errneos y para la resolucin de errores. Entrevistar a los usuarios finales del sistema para verificar si entienden los nuevos mtodos, los nuevos procedimientos y las instrucciones de operacin. Revisar los planes de prueba de unidad y de sistema para determinar si se planifican y ejecutan pruebas de controles internos. Revisar los resultados de las pruebas en paralelo para verificar si son correctos.

3.5.6 Etapa de Implementacin

Planeacin de la Implementacin: Entrenamiento a los usuarios finales Conversin de datos Refinado del escenario de migracin Escenario de retorno / vuelta atrs (fallback/rollback) Tcnicas de Cambio (Tcnicas de salida a vivo y cortar y mover) Cambio en paralelo Cambio por fases Cambio abrupto Certificacin/Acreditacin

3.5.6 Etapa de Implementacin

El Auditor de SI debe verificar que se hayan obtenido las firmas de aprobacin apropiadas antes de la implementacin, y realizar lo siguiente:
Revisar los procedimientos programados para agendar y poner en funcionamiento el sistema junto con los parmetros del sistema usados para la ejecucin del cronograma de produccin. Revisar toda la documentacin del sistema para asegurar que est completa y para asegurarse de que la totalidad de las actualizaciones recientes, a partir de la fase de pruebas, hayan sido incorporadas. Verificar todas las conversiones de datos para asegurarse de que estn correctas y completas antes de implementar el sistema en produccin.

3.5.7 Revisin Post Implementacin

El Auditor de actividades: SI debe realizar las siguientes

Determinar si se lograron los objetivos y requerimientos del sistema. Determinar si se est midiendo y analizando el costo-beneficio identificado en el estudio de factibilidad, y si los resultados son reportados a la Gerencia con exactitud. Revisar las solicitudes de cambio a programas para evaluar el tipo de cambios que requiere el sistema. Revisar los controles integrados en el sistema Revisar los registros de error de operacin (logs) Revisar los controles de balance de entrada y salida y dems informes

3.5.8 Procedimientos de Cambios al Sistema y Proceso de Migracin de Programas

Metodologa clara, precisa y altamente difundida, que incluya:

Autorizacin: Usuario Final y de Sistemas Priorizacin Aceptacin Marcha Atrs Monitoreo Organizacin documental Emergencia

3.5.8 Procedimientos de Cambios al Sistema y Proceso de Migracin de Programas (Continuacin) Para una muestra de cambios en el registro o log de control de cambios se debe:
Determinar que los cambios a los requerimientos quedaron registrados en documentos apropiados de cambiodesarrollo Determinar si los cambios fueron hechos como se documentaron Determinar si la documentacin actual refleja el entorno cambiado Evaluar lo adecuado de los procedimientos existentes para probar los cambios al sistema Revisar las evidencias para asegurar que los procedimientos fueron llevados a cabo como fueron prescritos por los estndares organizacionales. Revisar los procedimientos establecidos para asegurar la integridad del cdigo fuente y del ejecutable

3.6 Sistemas de aplicaciones de negocio

3.6.1 Comercio Electrnico 3.6.2 Intercambio electrnico de datos 3.6.3 Sistemas de Puntos de Venta 3.6.4 Banca y Finanzas Electrnicas y EFT 3.6.5 Sistemas Empresariales: ERP, MRP, SCM, CRM, Compras, Contabilidad 3.6.6 Cajeros automticos 3.6.7 Sistemas de Inteligencia de Negocios BI

3.6.1 Comercio Electrnico

Un Auditor de SI debe identificar y probar controles que cubran los riesgos de:
Confidencialidad Integridad Disponibilidad Autenticacin y no repudio Traslado del Poder a los Clientes

3.6.2 Electronic Data Interchange EDI

El auditor de SI debe evaluar a EDI para asegurar que todas las transacciones entrantes de EDI sean recibidas correctamente, traducidas, pasadas a una aplicacin y procesadas slo una vez. Para alcanzar esta meta los auditores de SI deben revisar lo siguiente:
Los procesos de encripcin de Internet Verificaciones de edicin Verificacin adicional computarizada Usar totales de control La validacin del emisor versus los detalles del socio comercial

3.6.3 Sistemas de Punto de Venta

Los Sistema de Puntos de Venta o POS permiten la captura de datos en el momento y en el lugar en que ocurren las transacciones de ventas. Los instrumentos de pago ms comunes para operar con POS con las tarjetas de crdito y las de dbito. Lo ms importante para el Auditor de SI es determinar si alguna informacin del tarjetahabiente est almacenada en el sistema POS local por ejemplo nmeros de tarjetas de crdito, nmeros de identificacin principal PIN. Toda informacin almacenada deber estar encriptada.

3.6.4 Banca y Finanzas Electrnicas y EFT

Los bancos deben tener un proceso de administracin de riesgo que les permita identificar, medir, monitorear y controlar su exposicin al riesgo tecnolgico. La administracin del riesgo asociado a las nuevas tecnologas tiene tres elementos esenciales:
La administracin del riesgo es responsabilidad de la junta directiva y de la alta gerencia Implementar la tecnologa es responsabilidad de la alta gerencia de tecnologa de informacin. Medir y monitorear el riesgo es responsabilidad de la gerencia operativa.

3.6.4 Banca y Finanzas Electrnicas y EFT (Continuacin)

Los controles efectivos de administracin de riesgos para la banca electrnica incluyen controles divididos en tres categoras:
Supervisin por parte de la junta y de la gerencia Controles de Seguridad Administracin del riesgo legal y del riesgo de reputacin

3.6.5 Sistemas Empresariales: ERP, MRP, SCM, CRM

ERP: Enterprise Resource Planning MRP: Manufacture Resource Planning SCM: Supply Chain Management CRM: Client Relationship Management

3.6.6 Cajeros Automticos (ATM)

Las directrices de control interno que se recomiendan para los ATM incluyen:
Polticas y procedimientos escritos que cubran personal, controles de seguridad, operaciones, soluciones a problemas, cuadre y balance, etc Procedimientos para la emisin y proteccin de los PIN durante el almacenamiento Procedimientos para la seguridad de los PIN durante la entrega Los controles sobre adquisicin de tarjeta plstica Los controles y pistas de auditora de las transacciones que se hayan efectuado en el ATM

3.6.7 Sistemas de Inteligencia de Negocio

La inteligencia de negocio (BI: Business Intelligence) es un amplio campo de TI que abarca la coleccin y divulgacin de informacin para asistir en la toma de decisiones y evaluar el desempeo de la organizacin.
Algunas reas tpicas en las que se aplica BI incluyen:
Costo, eficiencia y calidad del proceso Satisfaccin del cliente con las ofertas de productos y de servicios Rentabilidad del cliente para el negocio Logros de los indicadores clave de desempeo KPIs por parte de las unidades de negocio y del negocio en s Administracin del riesgo

3.7 Desarrollo/ Adquisicin de Infraestructura

3.7.1 Fases del proyecto de anlisis 3.7.2 Planificacin de implementacin 3.7.3 Adquisicin de Hardware

3.7 Desarrollo de Infraestructura / Prcticas de Adquisicin

El anlisis de la arquitectura fsica, la definicin de una nueva y el plan de accin necesario para moverse de una a otra, es una tarea crtica para un departamento de TI. Metas:
Analizar exitosamente la arquitectura existente Disear una nueva arquitectura Escribir los requerimientos funcionales de esta nueva arquitectura

3.7.1 Fases del Proyecto de Anlisis de la Arquitectura Fsica

3.7.2 Planificacin de la Implementacin de la Infraestructura

Etapas de Planificacin de la Implementacin de la Infraestructura del Proyecto

Anlisis de Requerimientos

1. Etapa de Adquisicin

2. Tiempo de entrega

3. Plan de Instalacin

4. Plan de Prueba de la Instalacin

3.7.2 Planificacin de la Implementacin de la Infraestructura (Continuacin)

Anlisis de Requerimientos

3.7.2 Planificacin de la Implementacin de la Infraestructura (Continuacin)

3.7.2 Planificacin de la Implementacin de la Infraestructura (Continuacin)

3.7.2 Planificacin de la Implementacin de la Infraestructura (Continuacin)

3.7.3 Adquisicin de Hardware

Para adquirir un sistema, la Invitacin a Ofertar (ITT invitation to tender) debe incluir lo siguiente: Descripcin de la organizacin Requerimientos de procesamiento de la informacin Requerimientos de Hardware Aplicaciones de software Requerimientos de soporte Requerimientos de escalabilidad Limitaciones Requerimientos de conversin

3.8 Controles de Aplicacin

3.8.1 Generalidades 3.8.2 Controles de Entrada/Origen 3.8.3 Controles de Procesamientos 3.8.4 Controles de Salida

3.8.1 Controles de Aplicacin

Los controles de aplicacin son controles sobre las funciones de entrada (input), procesamiento y salida (output) de datos. Incluyen mtodos para asegurar: Que slo datos completos, correctos y vlidos son ingresados y actualizados en un sistema aplicativo Que el procesamiento realice la tarea correcta Que los resultados del procesamiento satisfagan las expectativas Que se mantengan apropiadamente los datos

3.8.1 Controles de Aplicacin (Continuacin)

Las tareas del auditor de SI incluyen: Identificar los componentes significativos o importantes en la aplicacin y el flujo de las transacciones a travs del sistema Identificar las fortalezas de control de la aplicacin Probar los controles para asegurar su funcionalidad y su eficacia Evaluar el ambiente de control Considerar los aspectos operativos de la aplicacin para asegurar su eficiencia y su eficacia

3.8.2 Controles de Entrada/Origen

Autorizacin de entrada de datos La autorizacin de entrada verifica que todas las transacciones hayan sido autorizadas y aprobadas por la gerencia. Los tipos de autorizacin incluyen:
Firmas en formularios para procesamientos por lote o documentos fuente Controles de Acceso en Lnea Contraseas nicas Identificacin de Terminal o de estacin de trabajo Documentos Fuente

3.8.2 Controles de Entrada/Origen (Continuacin)

Controles de procesamiento por lote (batch) y de Balance Los controles de procesamiento por lote agrupan las transacciones de entrada para proveer totales de control. Los tipos de controles por lote incluyen: Importe Monetario Total Total de elementos Total de documentos Totales calculados (Hash Totals) Los tipos de balance de lotes incluyen: Registros del Lote Cuentas de Control

3.8.2 Controles de Entrada/Origen (Continuacin)

Reporte y Manejo de Errores
El procesamiento de los datos introducidos al sistema requiere que existan controles que permitan verificar que los datos son aceptados en el sistema correctamente, y que los errores que se presentan en su ingreso son reconocidos y corregidos. El tratamiento que se puede dar a los errores que se presentan en el ingreso de datos puede ser:
Rechazar Slo las Transacciones que Tengan Errores Rechazar Todo el Lote de las Transacciones Mantener el Lote en Espera Aceptar el Lote y marcar las Transacciones que Contienen Errores

3.8.2 Controles de Entrada/Origen (Continuacin)

Reporte y Manejo de Errores
Las tcnicas de control en el ingreso de datos incluyen:
Registro o log de Transacciones Reconciliacin de los Datos Documentacin Procedimientos para la Correccin de Errores Anticipacin Log de Transmisin Anular los Documentos Fuente

3.8.3 Controles de Procesamiento

Procedimientos de Validacin y Edicin de Datos
Se deben establecer procedimientos para asegurar que los datos que se ingresen al sistema sean validados y editados tan cerca, como sea posible, del momento y punto de origen de los mismos. La validacin de datos permite identificar errores de datos, datos incompletos o faltantes e inconsistencias entre datos relacionados.

3.8.3 Controles de Procesamiento (Continuacin)

Controles de Procesamiento
Los controles de procesamiento aseguran la completitud y la exactitud de los datos acumulados. Las siguientes son tcnicas de control de procesamiento que pueden ser usadas:
Reclculos Manuales Edicin Totales de Proceso a Proceso Controles Programados Verificacin de Razonabilidad de los Valores Calculados Verificaciones de Lmite sobre los Valores Calculados Reconciliacin de los Totales de los Archivos Reportes de Excepcin

3.8.3 Controles de Procesamiento (Continuacin)

Procedimientos de Control de Archivos de Datos
Los controles de archivo deben asegurar que nicamente se realicen procesamientos autorizados sobre los datos almacenados. Los archivos de datos, o incluso las tablas de base de datos, caen generalmente en cuatro categoras:
Parmetros de control de sistema Datos vigentes Datos Principales o Maestros /datos de balance

3.8.4 Controles de Salida

Los Controles de Salida proveen garanta de que los datos entregados a los usuarios sern presentados, formateados y entregados en una forma consistente y segura. Los controles de salida incluyen :
Registro y Almacenamiento de Formularios Negociables, Sensitivos y Crticos en un Lugar Seguro Generacin automatizada de Instrumentos Negociables, Formularios y Firmas Distribucin de Reportes Balance y Reconciliacin Manejo de Errores en las Salidas Retencin de Reportes Verificacin de Recibo de los Reportes

3.9 Auditora de los controles de aplicacin

3.9.1 Generalidades 3.9.2 Procedimientos realizados por usuarios 3.9.3 Pruebas de Integridad de Datos 3.9.4 Auditora continua en lnea 3.9.5 Pruebas de los sistemas de aplicaciones

3.9.1 Auditoria a los Controles de Aplicacin

Las tareas del auditor de SI incluyen las siguientes:
Identificar los componentes significativos de la aplicacin y el flujo de transacciones a travs del sistema Identificar las fortalezas de control de la aplicacin y evaluar el impacto de las debilidades de control para desarrollar una estrategia de prueba, mediante el anlisis de la informacin acumulada Revisar la documentacin del sistema de aplicacin a fin de obtener un entendimiento de la funcionalidad de la aplicacin

3.9.2 Procedimientos realizados por los usuarios

Separacin de funciones Autorizacin de entrada Balance Control y correccin de errores Distribucin de reportes Revisin y prueba de autorizaciones y capacidades de acceso

3.9.3 Prueba de Integridad de los Datos

La prueba de integridad de los datos es un conjunto de pruebas sustantivas que examinan la exactitud, completitud, consistencia y autorizacin de los datos que son actualmente mantenidos en un sistema. Las pruebas de integridad de los datos indicarn las fallas en los controles de entrada o de procesamiento. Cuatro requisitos de integridad de datos en lnea conocidos colectivamente como el principio ACID: Atomicidad Consistencia Aislamiento Durabilidad

3.9.4 Auditora Continua en Lnea

Provee un mtodo para que el auditor de SI recolecte evidencia sobre la confiabilidad del sistema, mientras tiene lugar el procesamiento normal. Las tcnicas de auditora continua son herramientas de auditora de SI importantes, en particular cuando se usan en ambientes de procesamiento compartido, que procesan un gran nmero de transacciones pero dejan muy poco rastro en papel.

3.9.4 Tcnicas de Auditora en Lnea

Hay cinco tipos de tcnicas automatizadas de evaluacin aplicables a la auditora continua en lnea: Archivo de Revisin de Auditora de Control de Sistemas y Mdulos de Auditora Integrados (SCARF/ EAM : Systems Control Audit Review File/ Embedded Audit Modules) Instantneas (Snapshots) Ganchos de Auditora (audit hooks) Facilidad de test integrada (ITF: Integrated Test Facility) Simulacin continua e intermitente (CIS: Continuous and intermittent simulation)

3.9.4 Pruebas de los sistemas de aplicacin

Pruebas de Aplicacin Analizar los Programas de Aplicacin Tcnica Instantnea (Snapshot) Descripcin Registra el flujo de transacciones seleccionadas a travs de la secuencia lgica dentro de los programas Identifica la lgica especfica del programa que no ha sido probada y analiza los programas durante su ejecucin para indicar si las instrucciones han sido ejecutadas. El rastreo muestra la pista de las instrucciones ejecutadas durante una aplicacin. El marcado implica colocar un indicador en las transacciones seleccionadas en los datos de entrada y usar el rastreo para darles seguimiento. Ventajas Verifica la lgica del programa Desventajas Requiere amplio conocimiento del ambiente de sistemas de informacin Costo del software

Mapeo

Aumenta la eficiencia identificando cdigo no usado Identifica potenciales exposiciones Provee una imagen exacta de la secuencia de eventos. Efectivo tanto con transacciones en vivo como simuladas.

Rastreo y Marcado

Extensas cantidades de tiempo de computadora. Requiere conocimiento profundo del programa de aplicacin. Requiere programacin adicional para ejecutar rutinas de rastreo.

3.9.4 Pruebas de los sistemas de aplicacin (Continuacin)

Pruebas de Aplicacin Analizar los Programas de Aplicacin

Tcnica
Prueba de datos /escritorio

Descripcin
Transacciones simuladas a travs de programas reales

Ventajas
Puede usar archivos maestros reales o ficticios La revisin del cdigo fuente es innecesaria Puede usarse por sorpresa Provee una revisin y verificacin objetiva de los controles programados Su uso inicial puede estar limitado a funciones especficas de programa, minimizando el alcance y la complejidad Requiere un conocimiento mnimo del ambiente del sistema de informacin. Prueba integral y prueba de cumplimiento

Desventajas
Difcil de asegurar que el programa apropiado sea verificado Riesgo de no incluir todas las transacciones Requiere buen conocimiento de los sistemas de aplicacin No prueba el archivo maestro y los registros del archivo maestro

Evaluacin de Sistema basada en casos

Usa conjuntos de datos de prueba desarrollados como parte de una prueba integral de programas. Verifica la operacin correcta de los sistemas antes de su aceptacin, as como tambin su revalidacin peridica.

Gran esfuerzo para mantener los conjuntos de datos. Se requiere estrecha cooperacin entre todas las partes.

3.9.4 Pruebas de los sistemas de aplicacin (Continuacin)

Pruebas de Aplicacin Analizar los Programas de Aplicacin Tcnica Operacin Paralela Descripcin Procesa datos reales de produccin a travs de los programas existentes y compara resultados; es usada para verificar el ambiente de produccin cambiado antes de reemplazar los procedimientos existentes Crea un archivo ficticio en la base de datos con transacciones de prueba procesadas simultneamente con datos en vivo Ventajas Verifica el nuevo sistema antes de discontinuar el viejo Desventajas Costos adicionales de procesamiento

Facilidad de Prueba Integrada

La prueba peridica no requiere un proceso separado de prueba

Simulacin paralela

Procesa los datos de produccin utilizando programas de computacin que simulan la lgica del programa de la aplicacin Usan software de auditora para filtrar y seleccionar las transacciones ingresadas al ciclo regular de produccin

Elimina la necesidad de preparar datos de prueba

Es necesario un planeamiento cuidadoso Los datos de prueba deben ser aislados de los datos de produccin Es necesario desarrollar los programas

Programas de seleccin de transacciones

Independiente del sistema de produccin Controlado por el auditor. No requiere ninguna modificacin a los sistemas del ambiente de produccin.

Costo de desarrollo y mantenimiento

3.9.4 Pruebas de los sistemas de aplicacin(Continuacin)

Pruebas de Aplicacin Analizar los Programas de Aplicacin Tcnica Recoleccin de datos de auditora integrados Descripcin El software integrado en las aplicaciones filtra y selecciona tanto las transacciones entrantes como las transacciones generadas durante la produccin. Por lo general se desarrolla como parte del desarrollo del sistema. Los tipos incluyen: Archivo de Revisin de Auditora de Control de Sistema (SCARF) Pruebas de razonabilidad determinadas por el auditor, incorporadas al procesamiento normal. Provee informacin para revisiones posteriores. Archivo Muestra de Revisin de Auditora (SARF) escoge transacciones al azar para proveer un archivo representativo para el anlisis. Renen todos los datos que hayan sido afectados por un programa en particular Ventajas Provee muestras y estadsticas del ambiente de produccin Desventajas Alto costo de desarrollo y mantenimiento Aspectos de independencia del auditor

Registros extendidos

Los registros son puestos en un archivo conveniente

Aumentan los costos de almacenamiento de datos y los costos de desarrollo de sistemas.