Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción
"Es un medio formal para comunicar los objetivos de la Auditoría, el cuerpo de las
normas de Auditoría, el alcance de la Auditoría, y los hallazgos y conclusiones"
6- Alcance de la Auditoría
Concretar la naturaleza y extensión del trabajo realizado: área organizativa,
período de auditoría, sistemas de información..., señalando limitaciones del alcance
y restricciones del auditado
9- Informe previo
Este tipo de informe permite tener información de referencia
Conclusiones
Es un juicio de valor u opinión personal con justificación
Auditoría de ........
Objetivo
...........
Lugar de la Auditoría
...........
Herramientas utilizadas
...........
Alcance
...........
Procedimientos a aplicar
...........
CONCLUSIONES
...........
Situación planteada
Se cuenta con una BD Oracle 7.3 instalada en un Server, al cual tienen acceso 40
terminales. Existen desarrolladores y usuarios finales que acceden a la misma por
medio de la autorización otorgada por el DBA (Administrador de la BD).
Se observa que:
- la BD tiene los siguientes objetos definidos: tablas, views (vistas) y sequence
- el personal a cargo del mantenimiento de la BD realiza 1 copia de resguardo al
final del día.
- hasta el momento, la BD cuenta con más de 2 millones de registros.
INFORME DE AUDITORIA
AUDITORIA DE UNA BASE DE DATOS
Objetivo
Herramientas utilizadas
Alcance
Procedimientos a aplicar:
Objetos
Datos
Usuarios
No existen índices que Crear los índices que De acuerdo
permitan mejorar el correspondan de acuerdo con las (Sr. Gte de
performance del sistema aplicaciones que fueron Sistemas)
desarrolladas.
Se realiza una copia Debido al caudal de información De acuerdo
diaria de resguardo que maneja la empresa, se (Sr. Gte de
(backup) sugiere realizar 2 backups diarios, Sistemas)
uno a mitad del día y otro al final
del día.
CONCLUSIONES
Casos Prácticos
Caso 1
En una “Empresa alimenticia” se llevó a cabo la “Auditoría de una Planificación”, la
cual es utilizada por el Director del proyecto para evaluar el desarrollo del mismo.
Se cuenta con un equipo de desarrollo formado por 32 personas, el cual está
dividido por proyectos.
Se observa que:
- no todos los miembros del equipo de desarrollo están informados de sus roles,
responsabilidades respectivas y del tiempo asignado a c/u de ellos
- existen pocos hitos o puntos de control en el desarrollo de los proyectos
- los tiempos estimados no se corresponden con los costos calculados
Caso 2
Se observa que:
- no todas las especificaciones funcionales y análisis de requisitos del sistema
tienen un formato determinado
- existen especificaciones funcionales que no fueron actualizadas y otras están
incompletas
- no todo el equipo de desarrollo está actualizado de los cambios efectuados
Caso 3
Se observa que:
- no todas las especificaciones técnicas del sistema tienen un formato determinado
- existen especificaciones técnicas que no fueron actualizadas y otras están
incompletas
- no existe una vinculación entre lo llevado a cabo en la etapa de análisis y lo
realizado en la etapa de diseño
- no todo el equipo de desarrollo está actualizado de los cambios efectuados
Caso 4
Se observa que:
- no se desarrollaron todos los componentes de la aplicación
- que no se probaron todos los componentes y que no existen los informes de
prueba correspondientes
- los usuarios no participaron en la prueba de los componentes
- no existen los objetos necesarios en la BD para la ejecución de los componentes
Caso 5
Se observa que:
- no todas las componentes cumplen las especificaciones funcionales llevadas a
cabo
- los resultados de las pruebas no son los correctos
- no existe un documento de conformidad de los usuarios hacia el equipo de
desarrollo respecto de lo realizado hasta el momento
- la BD no cuenta con todos los objetos necesarios para la prueba de los sistemas
Caso 6
Se observa que:
- este equipo no documenta las modificaciones llevadas a cabo ni los cambios
realizados
- la detección de errores no es dada a conocer para así prevenir futuros problemas
Caso 7
Caso 8
Caso 9
Caso 10
Se observa que:
- La empresa, periódicamente, lleva a cabo un proceso de autenticación, en el cual
se revisa cómo se identifican y autentican los usuarios, cómo han sido autorizados
y por quién, y qué ocurre cuando se producen intentos o transgresiones: quién se
entera y cuándo y qué se hace.
- El sistema de vigencia de usuarios esta al día
Caso 11
Caso 12
Se observa lo siguiente:
- en c/ centro de atención, los servidores están al acceso de cualquier persona
perteneciente al área de sistemas
- las líneas de comunicaciones están a la vista de todos, y en algunos casos,
impiden el normal transitar de las personas
Caso 13
Se observa lo siguiente:
- parte del contenido de la página cambia cada 15 días
- se puede acceder sin ningún tipo de restricción
- el diseño navegacional de la página es amigable al usuario
Caso 14
Se observa lo siguiente:
- es muy lenta la migración de los datos que se realiza de la BD operativa a la BD
analítica
- no existe información sobre los “Competidores”. Esta información ayudaría a la
mejora de los procesos de negocio de la empresa
- no existe documentación referente a cuándo y quién llevó a cabo la migración de
datos
Caso 15
Caso 16
Se observa lo siguiente:
- no existe información detallada por etapa respecto a los costos y tiempos
respectivos
- no se detalla quién es el responsable de ciertos gastos extras llevados a cabo en
algunas etapas
- el tiempo planificado de cada etapa no coincide con los hechos sucedidos
- el tiempo asignado a c/ miembro del equipo de desarrollo no se corresponde a la tarea llevada a cabo
Caso 17
En una “Empresa Automotriz” se llevó a cabo la “Auditoría de una BPR”, la cual es
utilizada por el área de Sistemas y por la Alta Dirección para controlar el
cumplimiento de este tipo de proyecto. La empresa cuenta con equipos
mainframes, los cuales serán reemplazados por Servers que estarán distribuidos
según las distintas áreas de la empresa. Se realizará un nuevo planteo de todas las
aplicaciones existentes.
Se observa lo siguiente:
- determinados procesos de negocio de la empresa no fueron cambiados en un
100%
- el personal, en su totalidad, no estaba capacitado para llevar a cabo este cambio
tecnológico
- sería necesario re-definir los roles y responsabilidades de todas las personas que
intervienen en el proyecto
Caso 18
Caso 19
Se observa lo siguiente:
- No son claras las preguntas que se formulan
- No se establece ninguna vinculación entre el Sistema de Proveedores y el resto de
los sistemas existentes
- No está especificado quién y cuándo se llevó a cabo la entrevista
- No existen informes respecto de las entrevistas realizadas
Caso 20
Se tiene una Base de Datos SyBase que no guarda ninguna relación con la
herramienta, ya que no se posee un repositorio que almacene los objetos que se
generan en las etapas mencionadas anteriormente. Esta herramienta permite
definir, lógicamente, todo lo que se necesita en el análisis y diseño de un sistema;
y generar la documentación correspondiente.
Se observa que:
- el personal no fue capacitado en el uso de la herramienta
- esta herramienta no es utilizada por todos los equipos de desarrollo de la empresa
-la herramienta no es utilizada en un 100% para así obtener mejores resultados
- en algunos casos, la herramienta no se ajusta a las necesidades de la empresa