COSO - ORM

CICLO: PREFACTIBILIDAD
OBJETIVO: Adelantarse a las demandas del mercado en tecnologa para satisfacer las necesidades de los clientes. RIESGO: Incursionar en un mercado que no sea rentable o no represente beneficios para la empresa. RESPUESTA AL RIESGO: Realizar investigaciones de mercado sobre las principales necesidades actuales. ACTIVIDAD DE CONTROL: Estudios trimestrales de las investigaciones de mercado para tabular y cuantificar las necesidades del mercado.

OBJETIVO: Identificar y seleccionar las tecnologas que estn surgiendo en las TIC s. RIESGO: !as tecnologas seleccionadas desaparezcan o se vuelvan obsoletas en un perodo corto de tiempo. RESPUESTA AL RIESGO: Realizar anlisis de las tecnologas emergentes relacionadas con las necesidades a suplir. ACTIVIDAD DE CONTROL: Realizar seguimientos y estudios de mercado de los casos implantados como soluci"n que #ayan utilizado las tecnologas investigadas.

OBJETIVO: $eterminar las fuentes de financiamiento para el proyecto. RIESGO: $isponibilidad insuficiente de recursos econ"micos para el proyecto. RESPUESTA AL RIESGO: %btener el compromiso de la alta gerencia y patrocinadores para el financiamiento completo del proyecto. ACTIVIDAD DE CONTROL: &erificar actas de compromiso debidamente legalizadas dentro de la instituci"n.

COSO - ORM

OBJETIVO: Contar con el recurso #umano debidamente capacitado en las nuevas tecnologas a aplicarse. RIESGO: 'o terminar el proyecto o un retraso en su culminaci"n. RESPUESTA AL RIESGO: Capacitaci"n al personal involucrado en las nuevas tecnologas. ACTIVIDAD DE CONTROL: Encuestas al personal involucrado sobre el conocimiento de las tecnologas a aplicarse.

OBJETIVO: Acceso a fuentes de informaci"n fidedignas y confiables. RIESGO: (ocas fuentes de informaci"n que ofrezcan lo necesario para cubrir los requerimientos del proyecto. RESPUESTA AL RIESGO: $eterminar las posibles fuentes de informaci"n que cubran todos los requisitos. ACTIVIDAD DE CONTROL) &erificar actas de compromiso de las fuentes de informaci"n destinadas para el proyecto.

CICLO: FACTIBILIDAD

OBJETIVO: Asegurar el financiamiento y los beneficios econ"micos para la empresa con el desarrollo del proyecto. RIESGO: (*rdida econ"mica para la empresa si se realiza el proyecto. RESPUESTA AL RIESGO: $esarrollo del R%I+ Tasa de Retorno sobre la inversi"n+ OBJETIVO: Contar con una estructura organizacional s"lida para el desarrollo del tomando proyecto. en cuenta la inflaci"n y recesi"n econ"mica en el desarrollo del proyecto. ACTIVIDAD DE CONTROL: Anlisis y aprobaci"n del R%I el conse,o directivo de de la RIESGO: Incumplimiento de ob,etivos del (royecto en por cuanto a tiempos+ uso empresa+ previo el inicio del proyecto. recursos+ etc. RESPUESTA AL RIESGO: $efinir una estructura organizacional con el personal adecuado. ACTIVIDAD DE CONTROL: Reuniones quincenales con los responsables de la coordinaci"n de todas las reas del proyecto para evaluaciones del proyecto.

COSO - ORM

OBJETIVO: Contar con recursos #umanos capacitados y con e-periencia en las tecnologas a utilizarse+ as tambi*n los usuarios finales en relaci"n al concepto del proyecto. RIESGO: .istemas y Aplicaciones con falencias operacionales y que no satisfacen los requerimientos reales. RESPUESTA AL RIESGO: (lanes de capacitaci"n en las nuevas tecnologas para el personal involucrado y contrataci"n de usuarios finales e-pertos en el tema+ en el caso de ser necesario. ACTIVIDAD DE CONTROL: Evaluaciones a los participantes del proyecto sobre las tecnologas y a los usuarios finales.

OBJETIVO: $isponer de los recursos tecnol"gicos adecuados para la implementaci"n y operaci"n de los sistemas a desarrollarse. RIESGO: !os sistemas desarrollados no pueden ser comercializados por falta de recursos tecnol"gicos para su funcionamiento. RESPUESTA AL RIESGO: (lanes de adquisici"n de recursos tecnol"gicos. ACTIVIDAD DE CONTROL: .eguimiento y anlisis de los planes de adquisici"n.

CICLO: REQUERIMIENTOS OBJETIVO: /antenerse enmarcados dentro de las leyes y normas legales vigentes en OBJETIVO: Especificar Estndares y 'ormas las localidades a utilizarse. RIESGO: $esconocimiento de legales las normas y estndares utilizarse por parte del RIESGO: Infringir las normativas vigentes o no cumplira con las mismas. RESPUESTA AL RIESGO: Crear un marco legal para el desarrollo del sistema que grupo de desarrollo. RESPUESTA AL RIESGO: Reducir el riesgo mediante+ capacitaci"n de estndares y controle los procesos y operaciones. ACTIVIDAD DE CONTROL: Anlisis de de los a desarrollarse contra las normas de desarrollo de soft0are+ por parte losprocesos lderes de grupos. ACTIVIDAD DE CONTROL: Capacitar sobre los estndares y normas de desarrollo de normativas vigentes. soft0are.

COSO - ORM

OBJETIVO: Identificar los procesos de negocio mediante la realizaci"n de diagramas de flu,o de datos. RIESGO: Incorrecta identificaci"n de flu,o diagrama err"neo. RESPUESTA AL RIESGO: Reducir el de los procesos del negocio+ dise1o de

riesgo mediante revisi"n de los procesos del y

negocio por parte del due1o del proceso. ACTIVIDAD DE CONTROL: Comunicaci"n de manera constante con el usuario due1o del proceso

OBJETIVO: Identificar el Entorno Tecnol"gico RIESGO: .elecci"n de #erramienta y metodologa inadecuada para el tipo de sistema a desarrollar. RESPUESTA AL RIESGO: Reducir el riesgo mediante la selecci"n correcta de la

#erramienta y metodologa+ acorde a las necesidades del soft0are a desarrollar ACTIVIDAD DE CONTROL: Realizar una pre selecci"n de las #erramientas y metodologas que se encuentre acorde a los requerimientos+ analizar las venta,as y desventa,as de las mismas y seleccionar la que se acople me,or a los requerimientos.

OBJETIVO : Especificaci"n de requerimientos .oft0are RIESGO: Identificaci"n y recolecci"n incorrecta de informaci"n sobre el soft0are a implementar. RESPUESTA AL RIESGO: Reducir el riesgo mediante reuni"n constante con el due1o del proceso el usuario + el ,efe de proyecto y el desarrollador2 adems de realizar documentaci"n de los requerimientos. ACTIVIDAD DE CONTROL: Redactar actas de reuniones y realizar documento de especificaci"n de requerimientos funcionales a desarrollar.

COSO - ORM
OBJETIVO: /odelar arquitectura del soft0are RIESGO: Arquitectura incorrecta para el tipo de soft0are RESPUESTA AL RIESGO) Representar todas las funciones y subsunciones del soft0are+ es decir el comportamiento del soft0are. ACTIVIDAD DE CONTROL: Anlisis y selecci"n de la arquitectura que se acople a las necesidades del soft0are a desarrollar.

CICLO: DISEO Y DESARROLLO

OBJETIVO: Realizar el dise1o entidad3 relaci"n. RIESGO: $ise1o incorrecto de los datos OBJETIVO: el dise1o arquitect"nico del soft0are para de representar la estructura RESPUESTA Realizar AL RIESGO: Transforma el modelo de dominio la informaci"n creado de los componentes del soft0are+ sus de propiedades e interacciones. durante el anlisis+ en las estructuras datos necesarios para implementar el .oft0are. RIESGO: $ise1o incorrecto de las relaciones que e-isten cadaantes elemento del ACTIVIDAD DE CONTROL: &erificar los requerimientos conentre el usuario de iniciar soft0are. el dise1o de datos. RESPUESTA AL RIESGO: $efinir la relaci"n correcta entre cada uno de los

elementos del soft0are. ACTIVIDAD DE CONTROL: &erificar las relaciones y dependencias del soft0are

OBJETIVO: Realizar el dise1o de la salida de informaci"n. RIESGO: .elecci"n de de .oft0are salida de informaci"n. OBJETIVO: $ise1arincorrecta el /odelo de dispositivo (rocesos del RESPUESTA AL RIESGO: $eterminar la que informaci"n se va a presentar+ de RIESGO: $ise1o incorrecto del modelo de procesos del soft0are+ sin considerar forma visual oy4o impresa. restricciones limitaciones. ACTIVIDAD DE CONTROL &erificar con el usuario que se RESPUESTA AL RIESGO:: $escripci"n correcta dela lainformaci"n estructurade desalida flu,os y de presentara en el soft0are almacenamiento de datos+ especificaci"n para cada proceso primitivo+ consideraci"n de restricciones y limitaciones impuestas al proceso+ y las caractersticas de rendimiento que se consideren relevantes. ACTIVIDAD DE CONTROL: &erificar las restricciones y alcances de los soft0are. flu,os del

COSO - ORM

CICLO: IMPLEMENTACIN

OBJETIVO:

$efinir internamente como se quiere rentabilizar la inversi"n que se va a

realizar en el sistema. RIESGO: 'o se #an definido indicadores. RESPUESTA AL RIESGO: (lantear una unidad de medida capaz de facilitar la toma de decisi"n para realizar la inversi"n del sistema de forma analtica. ACTIVIDAD DE CONTROL: Apalancar y apoyar la implementaci"n del sistema en el transcurso de la implementaci"n+ #aciendo *nfasis en los indicadores planteados.

OBJETIVO: (lantear y aceptar los procesos necesarios para que se genere requerimientos funcionales especficos. RIESGO: !os requerimientos no estn bien definidos. RESPUESTA AL RIESGO: Aceptar los procesos a utilizarse+ para con ello definir requerimientos funcionales acorde a las necesidades de gesti"n+ los cuales deben ser especficos y menos ambiguos. ACTIVIDAD DE CONTROL: Revisi"n y aceptaci"n de los requerimientos+ del ente a cargo del proyecto.

OBJETIVO: Crear documentaci"n de todos los procesos+ requerimientos+ estndares+ normas+ polticas+ planes y dems informaci"n acerca del sistema propuesto. RIESGO: 5alta de documentaci"n de la implementaci"n del sistema. RESPUESTA AL RIESGO: Creaci"n de documentaci"n antes de la implementaci"n+ que permita a los desarrolladores guiarse de la me,or manera. ACTIVIDAD DE CONTROL: Revisi"n y comparaci"n de la documentaci"n por medio de estndares y normas establecidas a fin de que quede constancia vlida para futuras correcciones.

COSO - ORM

OBJETIVO: Tener un reemplazo clave+ en caso que alg6n ente importante del proyecto de,e su puesto vacante. RIESGO: El director del proyecto a cargo de la implementaci"n de,a su puesto de traba,o. RESPUESTA AL RIESGO: Asignar un ad,unto ,efe de proyecto desde el principio+ que pueda remplazar al original en caso de que sea necesario. Esta persona puede participar pasivamente en las reuniones+ estar en copia de las comunicaciones2 adems #a de entender el porqu* de la toma de algunas decisiones clave+ para as poder e,ercer esta labor si fuese necesario. ACTIVIDAD DE CONTROL) /onitorear el desempe1o tanto del director de proyecto como del ,efe para conocer que ambos estn al tanto de todos los avances del proyecto mediante reportes mensuales de cada uno.

OBJETIVO: Conocer el desempe1o de los desarrolladores y saber si estn cumpliendo con las e-pectativas esperadas desde su contrataci"n. RIESGO: !os desarrolladores no cumplen con lo solicitado por parte del director de proyecto. RESPUESTA AL RIESGO: Crear polticas de responsabilidad de cada empleado y dar reportes semanales de los avances del proyecto. ACTIVIDAD DE CONTROL: Evaluaci"n de desempe1o y monitoreo de avance del proyecto cada cierto tiempo.

COSO - ORM

VALIDACIN Y PRUEBAS

OBJETIVO: Asegurar que todos los elementos de la configuraci"n de soft0are se #ayan desarrollado apropiadamente+ est*n catalogados y tengan el detalle suficiente para reforzar la fase de soporte del ciclo de vida del soft0are. RIESGO: 'o se realiz" una revisi"n de la configuraci"n. RESPUESTA AL RIESGO: Todos desarrolladores as como el director del proyecto deben realizar pruebas de validaci"n ACTIVIDAD DE CONTROL) /onitorear y revisar la configuraci"n de soft0are para

constatar que la fase de soporte del ciclo de vida del soft0are es robusta.

OBJETIVO:

Realizar pruebas de seguridad para comprobar que los mecanismos de

protecci"n integrados en el sistema protegen de irrupciones inapropiadas. RIESGO: El sistema es vulnerable a #ac7ers RESPUESTA AL RIESGO: &erificar que los mecanismos de protecci"n son eficaces ante intentos de accesos no autorizados y adems sera conveniente contratar una empresa especializada en #ac7eo de sistemas que permitan observar las diferentes vulnerabilidades que posee el sistema y as tener una perspectiva diferente. ACTIVIDAD DE CONTROL) Reportes generados de todas las vulnerabilidades que posee el sistema para implementar controles y con ello mitigar riesgos.

COSO - ORM

OBJETIVO: (robar el producto implementado y verificar las funcionalidades especificas del sistema. RIESGO: Algunas funcionalidades del sistema fallan. RESPUESTA AL RIESGO) Aplicar pruebas de ca,a negra y blanca para e-aminar alg6n aspecto no funcional del sistema y que tenga poca relaci"n con la estructura l"gica interna del sistema y probar las rutas l"gicas del mismo. ACTIVIDAD DE CONTROL) /onitorear+ evaluar y corregir acorde con los resultados obtenidos de las pruebas.

OBJETIVO: /e,orar la calidad del sistema para llevar a cabo una correcta practica que garantice la buena e,ecuci"n de los procesos y dems funciones. RIESGO: !a calidad del sistema es ba,a. RESPUESTA AL RIESGO: (roponer y e,ecutar normas y estndares establecidos que garanticen la buena funcionalidad del sistema desarrollado. ACTIVIDAD DE CONTROL : Comprobar ciertos parmetros que el sistema debe tener para que sea de calidad como su) mantenibilidad+ confiabilidad+ eficiencia y usabilidad

COSO - ORM

OBJETIVO: $esarrollar un plan de contingencias para garantizar la continuidad de las operaciones del sistema en caso de un evento no esperado. RIESGO: El sistema no cuenta con un plan de contingencias RESPUESTA AL RIESGO) Crear un plan de respaldo que contemple las contramedidas preventivas antes de que se suscite un evento negativo+ adems un plan de emergencia si es que pasara dic#o evento y finalmente un plan de recuperaci"n+ cuya finalidad ser restaurar al sistema. ACTIVIDAD DE CONTROL: Revisar los distintos planes semestralmente para actualizarlos y comunicarlos a todos los usuarios del sistema.

CICLO: PUESTA EN MARCHA

OBJETIVO: Capacitar a los usuarios que utilizarn el sistema. RIESGO: 5alta de apoyo o inter*s por parte de los usuarios RESPUESTA AL RIESGO: Realizar capacitaciones claras y concisas para efectuar cualquier actividad a trav*s del sistema de una manera sencilla. ACTIVIDAD DE CONTROL: Evaluar el conocimiento de los usuarios despu*s de cada capacitaci"n.

OBJETIVO: Instalar #ard0are+ soft0are y recurso #umano necesario para instalar el sistema. RIESGO: Carencia de cualquier recurso necesario que no permita la instalaci"n del sistema. RESPUESTA AL RIESGO: Reducir el riesgo mediante un anlisis de requisitos previos necesarios para la instalaci"n del sistema. ACTIVIDAD DE CONTROL: /onitorear el proceso de instalaci"n para verificar que no e-ista ning6n error en todo el proceso.

COSO - ORM

OBJETIVO: /igraci"n o carga inicial de datos. RIESGO: E-ista informaci"n incompleta o desactualizada en el sistema. RESPUESTA AL RIESGO: Reali a! comparaciones y validaciones de la informaci"n antes de que el sistema modifique los datos. ACTIVIDAD DE CONTROL: /onitorear el proceso de migraci"n a trav*s de logs para verificar que toda la informaci"n llego integra y valedera.

OBJETIVO: /igraci"n de un sistema anterior al nuevo sistema RIESGO: Afectar la continuidad del negocio RESPUESTA AL RIESGO: (oner a traba,ar los dos sistemas en paralelo+ de esta manera se sigue utilizando el sistema anterior de manera acostumbrada aunque van teniendo ms contacto con el nuevo sistema y los datos se van migrando de a poco. ACTIVIDAD DE CONTROL: &erificar que el ndice de calidad que se ofreca con el sistema anterior no ba,e o sea afectado mientras se da la migraci"n.

OBJETIVO: Asignar perfiles y actividades a los usuarios del sistema. RIESGO: 8suario realice cualquier actividad que no est asignada a su perfil de traba,o. RESPUESTA AL RIESGO: Realizar un manual donde se e-plique las personas que estn involucradas con el nuevo sistema y que responsabilidad tiene con el mismo. ACTIVIDAD DE CONTROL: /onitorear las actividades que se realiza con el sistema cada cierto periodo de tiempo revisando el log de ingreso al sistema.

CICLO: OPERACIN MANTENIMIENTO

OBJETIVO: 8so y evaluaci"n del sistema. RIESGO: 'o cumplir con los requisitos especificados por el usuario. RESPUESTA AL RIESGO: $ocumentaci"n de anlisis de requisitos y pruebas realizadas en el rea de control de calidad. ACTIVIDAD DE CONTROL: Evaluar la satisfacci"n del cliente cada cierto periodo de tiempo determinado.

COSO - ORM

OBJETIVO: Realizar cambios en el sistema solicitados por el usuario. RIESGO: Afectar a m"dulos diferentes. RESPUESTA AL RIESGO: Realizar documentaci"n de control de cambios solicitados. ACTIVIDAD DE CONTROL: &erificar que e-ista documentaci"n de la nueva funcionalidad y confirmar que la funcionalidad general no #a sido afectada.

OBJETIVO: Corregir errores presentados en producci"n. RIESGO: Afectar la continuidad del negocio. RESPUESTA AL RIESGO: /ane,ar versionamiento del sistema. ACTIVIDAD DE CONTROL: Realizar pruebas funcionales completas en el rea de control de calidad antes de subir cualquier cambio a producci"n.

OBJETIVO: &ersionamiento del sistema. RIESGO: $esactualizaci"n de los componentes que conforman el sistema. RESPUESTA AL RIESGO: Respaldar cada versi"n del sistema+ que se #ayan comprobado que eran estables. ACTIVIDAD DE CONTROL: Revisar documentos de versionamiento y versiones que se suben a producci"n.