AUDITORIA DE DESARROLLO

1. Introducción

Ya que cada organización puede descomponerse funcionalmente en

departamentos, áreas, unidades, etc. es necesario que los mecanismos de
control interno existan y se respeten en cada una de las divisiones funcionales
para que éstas cumplan y hagan posible que la organización en su conjunto
funcione de manera correcta.

Una de las áreas que tradicionalmente aparece es la de desarrollo. Esta área

abarca todas las fases que se deben seguir desde que aparece la necesidad
de disponer de un sistema de información hasta que este es construido e
implantado. El desarrollo incluye todo el ciclo de vida del software excepto la
explotación, el mantenimiento y la retirada de servicio de las aplicaciones.

La auditoría del desarrollo tratará de verificar la existencia y aplicación de

procedimientos de control adecuados que permitan garantizar que el
desarrollo de Sistemas de Información cumple con los principios de
ingeniería, o por el contrario determinar las deficiencias existentes.
2. Clasificación de la auditoría de desarrollo.

La metodología que se aplicará es la propuesta por la ISACA (Information

Systems audit. and Control Association), está basada en la evaluación de
riesgos, donde se determinan una serie de objetivos de control para minimizar
los riesgos.

Para cada objetivo de control se especifica una o más técnicas de control

también denominadas simplemente controles que contribuyen a lograr el
cumplimiento de dichos objetivos.
4.1. El esquema de un objetivo de control es:

Objetivo de Control X:
C-X-1: Técnica de Control 1 del objetivo de Control X

Una vez definidos los objetivos de control, será función del auditor determinar
el grado de cumplimiento de cada uno de ellos.
- La auditoría en el área de desarrollo se subdivide en:

 Auditoria de la organización y gestión del área de desarrollo.

 Auditoria de proyectos de desarrollo de Sistemas de Información.

- Los objetivos de control se agrupan en varias series:

 Organización y gestión del área de desarrollo (Serie A)
 Proyectos de desarrollo de Sistemas de Información (SI)
• Aprobación, Planificación y Gestión del Desarrollo(Serie B)
Análisis
• Análisis de requisitos (Serie C)
• Especificación Funcional (Serie D) Diseño
• Diseño Técnico (Serie E) Construcción
• Desarrollo de Componentes (Serie F)
• Desarrollo de Procedimientos de usuario (Serie G) Implantación
• Pruebas, implantación y aceptación (Serie H)Auditoría de la
Organización y Gestión del Área de Desarrollo.

Cada proyecto de desarrollo tiene entidad y se gestiona con cierta

autonomía para poder llevarse a cabo necesita apoyarse en el
personal del área y en los procedimientos establecidos.

• Objetivo de Control A1: El área de desarrollo debe cumplir con

procedimientos y una organización dentro del departamento.

C-A1-1: Debe establecerse las funciones del área de desarrollo

dentro del departamento de informática. Se debe comprobar que:

• Existe el documento que contiene las funciones del área de desarrollo

y está aprobado por la dirección de informática.

C-A1-2: Debe especificarse el organigrama con la relación de

puestos del área y el puesto que ocupa cada persona. Se debe
comprobar que:

• Existe un organigrama con la estructura de organización del área.

• Para cada puesto se debe describir las funciones a desempeñar y la
dependencia jerárquica del mismo.
• Están establecidos los procedimientos de promoción de personal a
puestos superiores.

C-A1-3: El área debe tener y difundir su propio plan a corto, medio y

largo plazo. Se debe comprobar que:

• El plan existe, es claro y realista.

• Se revisa y actualiza con periodicidad en función de las nuevas
situaciones.
• Se difunde a todos los empleados para que se sientan partícipes.

C-A1-4: El área de desarrollo llevará su propio control

presupuestario. Se debe comprobar que:

• El presupuesto se cumple.
• El presupuesto está acorde con los objetivos a cumplir.

• Objetivo de Control A2: El personal del área de desarrollo debe contar

con la formación adecuada y estar motivado para la realización de su
trabajo.

C-A2-1: Debe existir procedimientos de contratación objetivos. Se

debe comprobar que:

• Las ofertas de puestos del área se difunden suficientemente fuera de

la organización.
• Las personas seleccionadas cumplen con requisitos del puesto al que
acceden.

C-A2-2: Debe existir un protocolo de recepción/abandono para las

personas que se incorporan o dejan el área. Se debe comprobar que:

• El protocolo existe y se respeta para cada incorporación/abandono.

• En la incorporación se incluye estándares definidos, manual de
organización del área, definición de puestos, etc.
• En los abandonos de personal se garantiza la protección del área.
 C-A2-3: Debe existir una biblioteca y una hemeroteca accesibles al
personal del área. Se debe comprobar que:

• Están disponibles libros, publicaciones periódicas, monografías, etc. Y

el personal tiene acceso a ellos.

C-A2-4: El personal debe estar motivado en la realización de su

trabajo. Se debe comprobar que:

• Exista un mecanismo que permita que los empleados hagan

sugerencias sobre las mejoras en la organización del área.
• No existe una gran rotación de personal y hay un buen ambiente de
trabajo.

• Objetivo de Control A3: Si existe un plan de sistemas, los proyectos

que se lleven a cabo, se basarán en dicho plan y lo mantendrán
actualizado.

C-A3-1: Los nuevos proyectos deben basarse en el plan de sistemas

en cuanto a objetivos, marco general y horizonte temporal. Se debe
comprobar que:

• Las fechas de realización coinciden con las del plan de sistemas.

• La documentación relativa a cada proyecto debe contener los
objetivos, los requisitos generales y un plan inicial.

C-A3-2: El plan de sistemas debe actualizarse con la información

que se genera a lo largo de un proceso de desarrollo. Se debe
comprobar que:

• Los cambios en los proyectos se comunican al responsable de

mantenimiento del plan de sistemas por las implicaciones que pudiera
tener.

• Objetivo de Control A4: La propuesta y aprobación de nuevos

proyectos deben realizarse en forma reglada.

C-A4-1: Debe existir un procedimiento para la propuesta de

realización de nuevos proyectos. Se debe comprobar que:
• Existe un mecanismo para registrar las necesidades de desarrollo de
nuevos sistemas con los siguientes datos: descripción, necesidad,
departamento patrocinador, riesgos, coste de la no realización,
ventajas que aporta, etc.

C-A4-2: Debe existir un procedimiento de aprobación de nuevos

proyectos. Se debe comprobar que:

• Exista áreas de la organización designadas para aprobar formalmente

la realización y prioridad de nuevos proyectos. La decisión afirmativa o
negativa se obtendrá en un tiempo razonable y se comunicará a los
promotores.
• Objetivo de Control A5: La asignación de recursos a los proyectos
debe de hacerse de forma reglada.

C-A5-1: Debe existir un procedimiento para asignar director y

equipo de desarrollo a cada nuevo proyecto. Se debe comprobar que:

• El procedimiento existe y se respeta.

• Exista personas disponibles cuyo perfil sea adecuado para cada
proyecto y que tenga disponibilidad.

C-A5-2: Debe existir un procedimiento para conseguir los recursos

materiales necesarios para cada proyecto. Se debe comprobar que:

• El procedimiento existe y se respeta.

• Objetivo de Control A6: El desarrollo de SI debe hacerse aplicando

principios de ingeniería del software.

C-A6-1: Debe tenerse implantada una metodología de desarrollo de

SI soportada por herramientas de ayuda (CASE). Se debe comprobar
que:

• La metodología cubre todas las fases del desarrollo y es adaptable a

distintos tipos de proyecto.
 C-A6-2: Debe existir un mecanismo de creación y actualización de
estándares. Se debe comprobar que:

• El mecanismo para creación de nuevos estándares está documentado

y es conocido en área.
• Los estándares son conocidos por las personas que deben usarlos y
se respetan. Cuando se produce una modificación, se difunde dentro
del área.

C-A6-3: Los lenguajes, compiladores, herramientas CASE, software

de control de versiones, etc. deben ser previamente homologados. Se
debe comprobar que:

• Existe un mecanismo para la adquisición y aprobación de nuevos

productos de software usados en el desarrollo.

C-A6-4: Debe practicarse la reutilización del software. Se debe

comprobar que:

• Exista un catálogo de los productos de software que puedan ser

reutilizados: librería de funciones, clases, componentes de software,
etc.

C-A6-5: Debe existir un registro de problemas que se producen en el

área, incluyendo los fracasos de proyectos completos. Se debe
comprobar que:

• Existe un catálogo de problemas, incluyendo para cada uno de ellos la

solución o soluciones, proyecto en el que sucedió, persona que lo
resolvió, etc.

• Objetivo de Control A7: Las relaciones con el exterior del departamento

deben producirse de acuerdo a un procedimiento.

C-A7-1: Debe mantenerse contactos con proveedores sobre

productos que pueden ser de interés. Se debe comprobar que:

• Se está en contacto con un número suficiente de proveedores para

recibir una información objetiva y completa.
 C-A7-2: Debe existir un protocolo para contratación de servicios
externos. Se debe comprobar que:

• Exista el protocolo, esté aprobado y se usa.

• El personal externo que interviene en los proyectos cumplirá con los
mismos requisitos que se exigen a los empleados del área.

Objetivo de Control A8: La organización del área debe estar siempre

adaptada a las necesidades de cada momento.

C-A8-1: La organización debe revisarse de forma regular. Se debe

comprobar que:

• Cuando se produce modificaciones se documentan, incluyendo la

fecha de actualización y se difunden dentro del área.

Auditoria de Proyectos de Desarrollo de Sistemas de Información.

• La auditoria de un proyecto de desarrollo se puede hacer en dos

momentos distintos: a medida que avanza el proyecto, o una vez
concluido el mismo.

Aprobación, Planificación y Gestión del Proyecto.

• Objetivo de Control B1: El proyecto de desarrollo debe estar aprobado,

definido y planificado formalmente.

C-B1-1: Debe existir una orden de aprobación del proyecto que

defina claramente a los objetivos, restricciones y las unidades afectadas.
Se debe comprobar que:

• Existe una orden de aprobación del proyecto refrendad por un órgano

competente.
• Los objetivos y restricciones deben estar definidos en forma clara y
precisa.
• Se han identificado las unidades de la organización a las que afecta.
 C-B1-2: Debe asignarse un responsable o director del proyecto. Se
debe comprobar que:

• Se designa al responsable del proyecto según procedimientos

establecidos.
• Se ha comunicado al director de su nombramiento junto con la
información del proyecto.
C-B1-3: Se debe determinar el modelo de ciclo de vida que seguirá
el proyecto. Se debe comprobar que:

• Se ha elegido el ciclo de vida más adecuado al tipo de proyecto de que

se trata.

C-B1-4: Elegir el equipo técnico que realizará el proyecto y

determinar el plan del proyecto. Se debe comprobar que:

• Objetivo de Control B2: El proyecto se debe gestionar de forma que se

consigan los mejores resultados tomando en cuenta las restricciones
de tiempo y recursos.

C-B2-1: Los responsables de las unidades o áreas afectadas por el

proyecto deben participar en la gestión del proyecto. Se debe comprobar
que:

• La designación del director del proyecto y del equipo de desarrollo se

ha llevado según procedimientos establecidos.

C-B2-2: Establecer un mecanismo para la resolución de los

problemas que puedan plantearse a lo largo del proyecto. Se debe
comprobar que:

• Existen hojas de registro de problemas y que hay alguna persona del

proyecto en cargada de su recepción, así como un procedimiento
conocido de tramitación.

C-B2-3: Debe existir un control de cambios a lo largo del proyecto.

• Existe un mecanismo para registrar los cambios que pudieran

producirse, así como para evaluar el impacto de los mismos.
 C-B2-4: Reajustar el plan del proyecto. Se debe comprobar que:

• Se notifica el cambio a todas las personas de que una u otra forma

participen en el proyecto y se vean afectados.

C-B2-5: Debe haber un seguimiento de los tiempos empleados de

las tareas del proyecto. Se debe comprobar que:

• Existe un procedimiento que permita registrar los tiempos que cada

participante del proyecto dedica al mismo y qué tarea realiza en ese
tiempo.

C-B2-6: Se debe controlar que se siguen las etapas del ciclo de vida
adoptado para el proyecto y que se generan los documentos de la
metodología usada. Se debe comprobar que:

• Antes de comenzar una nueva etapa se ha documentado la etapa

previa y se ha revisado y aceptado, especialmente en las fases de
análisis y diseño.
C-B2-7: Al final cerrar la documentación, liberar los recursos
empleados y hacer balance.

Auditoria de la fase de análisis

La fase de análisis pretende obtener un conjunto de especificaciones

formales que describan las necesidades de información que deben ser
cubiertas por el nuevo sistema de una forma independiente del entorno
técnico.

Esta fase se divide en dos módulos:

1. Análisis de Requisitos del Sistema (ARS)

2. Especificación Funcional del Sistema (EFS)

Análisis de Requisitos del Sistema (ARS)

 Aquí se identificaran los requisitos del nuevo sistema. Se incluirán
tanto los requisitos funcionales como los no funcionales, distinguiendo
para cada uno de ellos su importancia y prioridad.

A partir del conocimiento del sistema actual y sus problemas

asociados, junto con los requisitos que se exigirán al nuevo sistema, se
determinarán las posibles soluciones alternativas que satisfagan esos
requisitos y de entre ellas se elegirá la más adecuada.

Se consideran dos objetivos de control (serie C):

OBJETIVO DE CONTROL C1: Los usuarios y responsables de las

unidades a las que afecta el nuevo sistema establecerán de forma clara
los requisitos del mismo.

Técnicas de Control:

C-C1-1: En el proyecto deben participar usuarios de todas las

unidades a las que afecte el nuevo sistema.

C-C1-2: Se debe realizar un plan detallado de entrevistas con el

grupo de usuarios del proyecto y con los responsables de las unidades
afectadas que permita conocer cómo valoran el sistema actual y lo que
esperan del nuevo sistema.

C-C1-3: A partir de la información obtenida en las entrevistas, se

debe documentar el sistema actual así como los problemas asociados al
mismo. Se debe obtener también un catálogo con los requisitos del
nuevo sistema.

C-C1-4: Debe existir un procedimiento formal para registrar cambios

en los requisitos del sistema por parte de los usuarios.

OBJETIVO DE CONTROL C2: En el proyecto de desarrollo se

utilizará la alternativa más favorable para conseguir que el sistema
cumpla los requisitos establecidos.

Técnicas de Control:
 C-C2-1: Dados los requisitos del nuevo sistema se deben definir las
diferentes alternativas de construcción con sus ventajas e
inconvenientes. Se evaluarán las alternativas y se seleccionará la más
adecuada.

C-C2-2: La actualización del plan de proyecto seguirá los criterios ya

comentados.

Especificación Funcional del Sistema (EFS)

Una vez conocido el sistema actual, los requisitos del nuevo sistema
y la alternativa de desarrollo más favorable, se elaborará una
especificación funcional detallada del sistema que sea coherente con lo
que se espera de él. El grupo de usuarios y los responsables de las
unidades afectadas deben ser la principal fuente de información.

Se considera un único objetivo de control (serie D):

OBJETIVO DE CONTROL D1: El nuevo sistema debe especificarse

de forma completa desde el punto de vista funcional, contando esta
especificación con la aprobación de los usuarios.

Técnicas de Control:

C-D1-1: Se debe realizar un modelo lógico del nuevo sistema,

incluyendo Modelo Lógico de Procesos (MLP) y Modelo Lógico de Datos
(MLD). Ambos deben ser consolidados para garantizar su coherencia.

C-D1-2: Debe existir el diccionario de datos o repositorio.

C-D1-3: Debe definirse la forma en que el nuevo sistema

interactuara con los distintos usuarios.

C-D1-4: La especificación del nuevo sistema incluirá los requisitos

de seguridad, rendimiento, copias de seguridad y recuperación, etc.

C-D1-5: Se deben especificar las pruebas que el nuevo sistema

debe superar para ser aceptado.
 C-D1-6: La actualización del plan de proyecto seguirá los criterios ya
comentados, detallándose en este punto en mayor medida la entrega y
transición al nuevo sistema.

Auditoria de la fase de diseño

En la fase de diseño se elaborará el conjunto de especificaciones físicas

del nuevo sistema que servirán de base para la construcción del mismo.

Hay un único módulo:

Diseño Técnico del Sistema (DTS)

A partir de las especificaciones funcionales, y teniendo en cuenta el

entorno tecnológico, se diseñará la arquitectura del sistema y el
esquema externo de datos.

Se considera un único objetivo de control (serie E):

OBJETIVO DE CONTROL E1: Se debe definir una arquitectura

física para el sistema coherente con la especificación funcional que se
tenga y con el entorno tecnológico elegido.
Técnicas de Control:

C-E1-1: El entorno tecnológico debe estar definido de forma clara y

ser conforme a los estándares del departamento de informática.

C-E1-2: Se deben identificar todas las actividades físicas a realizar

por el sistema descomponer las mismas de forma modular.

C-E1-3: Se debe diseñar la estructura física de datos adaptando las

especificaciones del sistema al entorno tecnológico.

C-E1-4: Se debe diseñar un plan de pruebas que permita la

verificación de los distintos componentes del sistema por separado, así
como el funcionamiento de los distintos subsistemas y del sistema en
conjunto.