MÓDULO

Área: NEGOCIOS

3 Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN

Módulo: Adquisición e implementación
 Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN

Adquisición e implementación
Índice

Introducción ......................................................................................................................................................... 1
1. Introducción y conceptos básicos de adquisición e implementación .............................................................. 2
1.1. Decisión compra o desarrollo ..................................................................................................................................... 3
1.2. Rol del auditor ............................................................................................................................................................ 4
1.3. El Plan de Auditoría .................................................................................................................................................... 5
2. El auditor, el desarrollo de los sistemas y su impacto en proyectos informáticos .......................................... 6
2.1 Metodología de Desarrollo: Ciclo de Vida ................................................................................................................... 7
2.1.1. Auditoría de la fase Análisis y Planificación del sistema de información (ASI).................................................... 8
2.1.2. Auditoría de la fase Diseño del sistema de información (DSI) .......................................................................... 10
2.1.3. Auditoría de la fase Construcción o Desarrollo del sistema de información (CSI) ............................................ 11
2.1.4. Auditoría de la fase Implantación y aceptación del sistema (IAS)..................................................................... 12
3. Análisis de riesgos de adquisición e implementación .................................................................................... 13
3.1. Fase Análisis y Planificación del Sistema de Información..................................................................................... 13
3.2. Fase Diseño del Sistema de Información.............................................................................................................. 14
3.3. Fase Desarrollo o Construcción del Sistema de información ............................................................................... 16
3.4. Fase Implantación del Sistema de información.................................................................................................... 16
Cierre .................................................................................................................................................................. 17
 Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN

Adquisición e implementación
Mapa de Contenido

Implementación y adquisición

Impacto de la función de
Introducción y conceptos desarrollo de proyectos
Informáticos.

Análisis de los riesgos

Decisión compra o Metodologías de
que se identifican en
adquisicón Desarrollo: Ciclo De Vida
esta área.

Auditoría en análisis y
Rol auditor
planificación del SI

Auditoría en el diseño de
Plan de auditoría
un SI

Auditoría en el
desarrollo o contrucción

Auditoría en la
Implantación
 Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 1

Adquisición e implementación
RESULTADO DE Identifica y analiza los riesgos que pueden afectar al proceso de
APRENDIZAJE Implementación de Sistemas en la Organización, identificando además los
DEL MÓDULO controles que podrían cubrir dichos riesgos.

Introducción
Constantemente son más las empresas que tienen la tarea de elegir el sistema de información con el cual se
soportarán sus procesos de negocios. El sistema de información se ha convertido en un recurso estratégico
indispensable para las empresas de hoy, muchas de las cuales verían impracticable su negocio.

Esta relación de vínculo entre sistemas y negocios también ha provocado la exigencia de un menor tiempo de
respuesta al departamento de informática, específicamente al área producción de sistemas de desarrollos
internos, esto debido principalmente a la dinámica que el mercado les exige a los negocios.

Debido a esta problemática, la decisión de las empresas para optar por

la adquisición de sistemas en vez de desarrollos internos con el
propósito de “no inventar la rueda” o volcar al equipo informático a la
producción de un sistema que en el mercado no encuentra, es una
decisión que debe ser examinada por un equipo Auditor de Sistemas de
Información, debido, entre otros, que la el costo destinado a un sistema
o software es la implicancia de una mayor inversión en el ámbito de la
Tecnología Informática, o si la decisión es de implementar proyectos de
desarrollo donde en las organizaciones se ha visto un alto número de
fracasos por falta de controles en las etapas previas.

En este módulo nos enfocaremos en los riesgos y los controles que el auditor debe considerar al examinar las
fases en la Implementación de los sistemas de información sean externa (compra) o interna (desarrollo).
 Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 2

Adquisición e implementación
1. Introducción y conceptos básicos de adquisición e
implementación
Con la introducción de la TI en las empresas, distintas organizaciones comenzaron a solicitar gran cantidad de
datos e información que sólo se podía obtener a través de un proceso de volúmenes masivos de datos, y este
requerimiento provenía de distintas áreas de la empresa y todas a la misma prioridad, ya que utilizaban la
información para la toma de decisiones, lo que generaba valor a la empresa a través del mejoramiento de áreas
como ventas y finanzas, generando una ventaja competitiva.

Debido a esta demanda, las empresas elaboraron estrategias para la adquisición, los sistemas en un plazo
breve, con pocos recursos y experiencia, lo que conllevó a optar por contratar empresas externas que les
ayudaran en estas labores y dejar el sistema en funcionamiento una vez que lo hayan desarrollado
(implementación).

La labor del auditor es precisamente validar estos procesos. Responda el siguiente cuestionario1

Puedes responder a las siguientes cuestionamientos:

a. ¿Es posible que los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio?
b. ¿Es probable que los nuevos proyectos sean entregados a tiempo y dentro del mismo presupuesto?
c. ¿Trabajaran adecuada mente los nuevos sistemas una vez sean implementados?
d. ¿Los cambios no afectaran a las operaciones actuales del negocio?

1
Fuente: Cobit 5, adquisición e implementación, ISACA. http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx
 Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 3

Adquisición e implementación
1.1. Decisión compra o desarrollo
En Chile al igual que en el resto del mundo, se ha discutido la decisión de desarrollar o adquirir sistemas de
información basados en tecnología de información. No hay consenso entre los expertos sobre cuál es la mejor
opción, ya que todo depende de una serie de factores, juicios, criterios, actitudes y soluciones que existan.

La organización al momento de decidir la compra de un sistema de información debe evaluar la estrategia a

seguir surgiendo las siguientes alternativas:

Estrategia de adquisición
sistemas

Interna Externa

Contrata
Desarrollar en la Contratar Comprar sistema
empresa
empresa especialista genererico
desarrolladora

Estrategia Interna:

• Desarrollarlo en la empresa: Se refiere a desarrollarlo en la empresa con el departamento de

informática, lo que implica todas las etapas involucradas en construcción de un sistema.
• Contratar Especialista: Bajo esta estrategia se llevan a cabo con recursos internos y se contrata un
especialista para que se encargue de ciertos trabajos asignados por el equipo informático.

Estrategia Externa:

• Contratar empresa Desarrolladora: Se contrata a una empresa y lleva a cabo todo el proceso de diseño
e implementación, de acuerdo con las características previamente solicitadas por la organización.
• Contratar un sistema genérico: Adquirir un sistema de aplicación genérico (comprar un paquete) y,
dependiendo de sus características, adoptarlo o adecuarlo a las necesidades de la compañía.
 Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 4

Adquisición e implementación
¿Cuál opción seleccionar?

Las empresas tendrán que realizar la selección correcta en base en un análisis de cada situación, pensando en
las ventajas, beneficios y costos de cada alternativa. La decisión de cuál es la opción más exitosa es una labor
sumamente difícil, debido a que todo a que depende de una serie de factores que deben tomarse en cuenta y
ser minuciosamente detallados, estudiados y analizados, para con base en un criterio amplio, escoger la
solución óptima para la empresa. Precisamente por no ser una tarea fácil y no existe una receta para hacerlo,
es que el auditor interno de sistemas juega un papel con voz pero sin voto en las decisiones que tengan que
tomarse, y debe velar por el cumplimiento de las actividades, los productos, así como del respeto al sistema
de control interno imperante en la organización. Cualquiera de estas dos opciones que se escoja para realizar
el desarrollo de un sistema, debe velar por el cumplimiento fiel todas las actividades y suministrar los productos
terminados incluidos en el “Ciclo de Vida de los Sistemas”, el cual profundizaremos más adelante.

El auditor de sistemas de información no tiene que ser un experto del área de informática para dar una opinión
de cada fase del Ciclo de Vida de un sistema, sin embargo, puede ser capaz de conocer los parámetros o
variables relevantes de control, y por ejemplo participar en forma independiente de cada de las fases del ciclo
de vida de los sistemas, respondiendo a preguntas como:

- ¿El análisis de viabilidad o factibilidad es razonable?

- ¿Los que autorizaron el desarrollo o la compra, son los que semana el Plan de auditoría?
- ¿La elección y el diseño es el más adecuado desde el punto de vista del control y la satisfacción de las
necesidades del usuario?
- ¿Se han hecho las pruebas necesarias considerando todas las condiciones?
- ¿El personal está capacitado para operar el sistema?
- ¿Podemos descartar el antiguo sistema?
- ¿Son adecuados los archivos creados?
- ¿La TIR, VAN y la recuperación de la inversión fueron consideradas?

1.2. Rol del auditor

El Rol del auditor en cuanto al grado de participación en este tipo de proyectos o procesos, podemos decir que
las posibilidades son las siguientes:

• Analizar el proyecto una vez que el mismo terminó y establecer los desvíos o problemas que encuentren.
Este enfoque se asimilaría a cualquier otra revisión de las adquisiciones que realiza la organización.
• Participar en el proceso de selección o desarrollo realizando su labor en cada etapa del desarrollo de un
proyecto, emitiendo opinión sobre éste desde el punto de vista de la calidad del control interno y de los
posibles inconvenientes que se pueden presentar.

La auditoría de cada proyecto de desarrollo tendrá un programa de

auditoría distinto dependiendo de los riesgos, la complejidad del mismo y
los recursos disponibles para realizar el trabajo de auditoría. Esto obliga a
la pericia del auditor y su experiencia que determinar las actividades de
control a aplicar con mayor fuerza la función de control de los parámetros
establecidos por la organización.
 Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 5

Adquisición e implementación
1.3. El Plan de Auditoría
La Auditoría en el desarrollo de los proyectos de sistemas es responsable de llevar a cabo examen de normas,
controles, técnicas y procedimientos establecidos en una organización con el fin de mejorar la confiabilidad,
oportunidad, seguridad y confidencialidad de la información que se procesan a través de los SI. Este tipo de
auditoría enfocadas en el Desarrollo de los sistemas, promueve y aplica conceptos de control interno de
cualquier auditoría en el área de sistemas de información.

La función auditora de desarrollo es precisamente responsable de verificar la existencia de procedimientos de

control y de comprobar su correcta definición y aplicación en las deficiencias que puedan existir los riesgos
asociados a estas faltas de control. Estos procedimientos posibilitarán garantizar el desarrollo de sistemas de
información en forma exitosa.

Cuando el auditor enfrenta una auditoría una vez finalizada la etapa de Implementación, el programa de
auditoría requerirá la revisión de algunos de las siguientes actividades de control:
PROGRAMA AUDITORÍA PARA IMPLEMENTACIÓN

FECHA DE
FASE ACTIVIDAD REFERENCIA FECHA INICIO OBSERVACIÓN
TÉRMINO
1 Examinar la existencia de informes de objetivos del
programa de implementación:
a. Propósito del programa
b. Funciones
c. Datos de entrada
d. Datos de salida
e. Archivos generalsos
2 Elaborar una ficha por cada aplicación existente
a. Sistema de Información
b. Aplicación
c. Usuarios de aplicación
d. Método de procesamiento
e. Área organizacional que corresponde
d. Fecha Implantación
3 Examinar en base al N° 2, cuales proyectos fueron
desarrollados o comprados
4 Examinar la existencia de documentación de respaldo,
de la adquisición o compra con sus especificaciones
5 Examinar en cuántas de las aplicaciones existentes se
elaboró un acta de aceptación al momento de la
implantación
6 Constatar la elaboración y la existencia documentada
de manuales de :
a. Operación
b. Usuario
c. Sistemas (archivos/programas)
7 Examinar la existencia de estándares sobre:
a.Prueba de Programas
b.Prueba de Sistemas
8 Examinar los resultados de las pruebas del sistemas
estén bien documentadas y sean evaluadas
9 Constatar que se analicen los programas, manuales y
que esten completos para ser utilizados.
10 Investigar cual es el proceso llevado a cabo para la
implantación de la programación
11 Examinar si se lleva a cabo la evaluación de pruebas
para determinar si los sistemas funcionan
adecuadamente.
 Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 6

Adquisición e implementación
2. El auditor, el desarrollo de los sistemas y su impacto
en proyectos informáticos
Un proyecto es un proceso en las que se transforman un conjunto de recursos (inputs) en un conjunto de
resultados (outputs) que tienen un sentido para alguien (un cliente, interno o externo)2

Un proyecto tiene un:

Objetivo

Inicio y final

Recursos
limitados

La incorporación de un proyecto a una organización genera un impacto en la estrategia de negocios, pero

también le da soporte. Al inicio de un proyecto es el momento idóneo donde se pone de manifiesto
compromiso ineludible entre el proyecto y la estrategia de negocio. Es en esta fase inicial cuando se describen
el propósito de la iniciativa y su alcance, a partir de los cuales se puede determinar el modelo de ejecución del
trabajo, la implementación, la planificación y un sistema de establecimiento de prioridades, que asegure que
no se produzcan interferencias entre el plan de proyecto y la planificación estratégica de la empresa.

Sin embargo, no podemos dudar que esta incorporación genera riesgos afectarán a la organización tanto en el
ámbito tecnológico y como en los aspectos funcionales, es decir sobre los procesos que se realizan en la
organización.

2
Fuente: Rodríguez, José Ramon. Gestión de proyectos informáticos: métodos, herramientas y casos, Editorial UOC, 2007. ProQuest
eBook Central. http://ebookcentral.proquest.com/lib/ippsp/detail.action?docID=3207826.
 Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 7

Adquisición e implementación
2.1 Metodología de Desarrollo: Ciclo de Vida

Las actividades comunes en el desarrollo de un proyecto o sistema de información en la auditoría se conocen

como Ciclo de Vida de un sistema de información, y se utiliza para cualquier estrategia de desarrollo (externo
o interno) que se seleccione, es decir, deben realizarse exactamente las fases que a continuación
recordaremos:

•Solicitud de usuario o definición de la necesidad de sistema de información

(Comité Informático)
•Análisis viabilidad o factibilidad de la solicitud.
ANÁLISIS Y
PLANIFICACIÓN •Selección y autorización

•Estudio y análisis de requerimientos

•Diseño conceptual y detallado
•Calendarización de hitos del la implementación del sistema
DISEÑO •Distribución de recursos (hadware, personal, económicos, etc.)

•Plan de Pruebas (*)

•Documentación (Manual Técnico y de Usuario)
DESARRROLLO O
•Capacitación
CONSTRUCCIÓN •Programación codificada

•Aceptación del usuario

•Conversión y paralelo
•Aplicación puesta en operación.
IMPLANTACIÓN •Plan de Seguimiento

(*) El Plan de Pruebas es un plan formal que establece los objetivos de la prueba de un sistema y coordina
una estrategia de trabajo, y entrega un marco adecuado para elaborar una planificación paso a paso de las
actividades de prueba. El plan se inicia en el proceso Análisis del Sistema de Información , definiendo el
marco general, y estableciendo los requisitos de prueba de aceptación, relacionados directamente con la
especificación de requisitos. Este plan se va completando y detallando a medida que se avanza en los
restantes procesos del ciclo de vida del sistema, Diseño del Sistema de Información, Construcción del
Sistema de Información e Implantación y Aceptación del Sistema.
http://pegasus.javeriana.edu.co/~CIS1010IS05/Documentos/Dise%C3%B1o/STP.pdf
 Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 8

Adquisición e implementación
Como auditores aplicaremos los procedimientos de auditoría en cada etapa del Ciclo de vida de los sistemas,
las que dividiremos en:

Auditoría del
Auditoría del Desarrollo o
Diseño del SI Construcción
del SI

Auditoría de Auditoría de la
Análisis y Implantación y
Planificación del AUDITORÍA aceptación del
SI DEL SI
DESARROLLO
DE UN SI

2.1.1. Auditoría de la fase Análisis y Planificación del sistema de información (ASI)

El objetivo de la auditoría esta fase es recolectar un número de especificaciones detalladas del SI que deje
satisfecho al usuario en términos de información. Además, que sirva de base para el diseño del sistema de
información en forma independiente al entorno técnico, que se refiere a una especificación más precisa y que
contribuya a describir un plan detallado de trabajo: entrevistas y otras técnicas que se utilizan para la
recopilación de información más los catálogos de requisitos. En el siguiente cuestionario, resume un
cuestionario de Trabajo en la Fase ASI.
 Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 9

Adquisición e implementación
Cuestionario Fase ASI
Controles Si No N/A Observaciones
Debe realiza un plan detallado de sesiones de trabajo con el grupo de .
usuarios de proyecto y los responsables de las unidades para recopilar
información necesaria:
1. ¿Existe un plan de entrevisatas entre los líderes del proyecto y los usuarios,
que sea detallado y consensuado? (fecha, hora y lugar)
2. ¿ Existen planilla de recopilación de información adecuada para estas
entrevisatas, y que estén acorde a las carácterísticas de los proyectos?
A partir de la información obtenida de las entrevistas debe realizar la
descripción Inicial del Sistema de información y obtener un catálogo de
requisitos:
3. ¿Existeun catálogo de requisitos que estén justificados y detallados?
4. ¿Tiene alguna prioridad cada requisito del sistema? (Funcionales y no
funcionales)
5. ¿ El sistema incluye el detalle de especificación no fucniconales de seguridad,
rendimiento e implementación?
6. ¿Se ha realizado un modelo lógico de datos y procesos del sistema actual?
7.¿ El catálogo de requisitos ha sido revisado y aprobado por el grupo de
usuarios
Se debeny especificar
los líderes del proyecto?
todas las interfaces entre el sistema y el usuario, como
formatos de pantallas, dialogos y formularios de entrada
8. ¿ Se han descrito con suficiente detalle las interfaces (pantallas a través de
las cuales el usuario navegará por la aplicación, incluyendo todos los menús,
9. ¿Existen normas de diseño de pantallas, infromes, formularios, etc.?
10.¿ El interfaz del usuario ha sido aprobado por el grupo de usuarios y por los
lideres de los proyectos?
11.¿ Existe un documento donde se han establecido razonablemente las
necesidades de infraestructura tecnológica que plantea el nuevo sistema?
12. ¿Se han identificado posibles soluciones que establece el mercado y que
podrían llegar a satisfacer los requerimientos?
 Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 10

Adquisición e implementación
2.1.2. Auditoría de la fase Diseño del sistema de información (DSI)
La finalidad de la auditoría en esta fase es establecer la arquitectura del SI y del entorno tecnológico que lo
soportará, en conjunto con una especificación detallada de cada componente, que permitan definir una
arquitectura física para el sistema, conforme con la especificación funcional que se determine y con el entorno
tecnológico, asimismo de proporcionar todas las especificaciones necesarias para la construcción del SI,
teniendo en cuenta varios puntos entre ellos la existencia de catálogos de requisitos, la presentación de
diseños y el entorno tecnológico como servidores, computadores etc.

En la siguiente tabla se puede observar un despliegue de preguntas del cumplimiento de las especificaciones
de la fase DSI de una empresa.

Cuestionario Fase DSI

Controles Si No N/A Observaciones
1. ¿Existe un modelo del sistema que incluye el modelo de procesos y de datos? .

2. ¿El modelo fue construido teniendo en cuenta los requerimentos de los

usuarios?
3. ¿Existe un modelo y el mismo respeta las técnicas establecidas?
4. ¿Existe un documento donde se establecen los requerimientos de control
interno?
5. ¿Se ha definido el grado de flexibilidad del sistema?
6. ¿Se ha verificado las especificaciones de seguridad física y lógica?.

7. ¿Se hacontemplado el nivel de respuesta requerido por el sistema en

transacciones por minuto o en alguna otra métrica que se considere apropiada?
8. ¿ Están definidos todos los elementos que configuren el entorno tecnológico
como servidores, computadores, sistemas operativos, conexiones a la red, etc.
Junto a sus requisitos de seguridad y control de acceso?
9. Existe un catálogo de excepciones de requisitos, normas y estandares
originados como consecuencia de la adopción de uan determinada solución de
arquitectura o infraestructura?
10. ¿ Se han fijado formalmente las irectrices para la construcción de los
componentes del sistema?
11. ¿Existe el plan de pruebas y contempla los recursos necesarios para llevarlo
a efecto?
12. ¿Las personas que realizarán el plan de pruebas de verificación son distintas
a las que han desarrollado el sistema?
 Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 11

Adquisición e implementación
2.1.3. Auditoría de la fase Construcción o Desarrollo del sistema de información (CSI)
En esta fase se desarrollan componentes de sistema de información que deben satisfacer las necesidades
determinadas y llevar a cabo los requisitos detallados en la fase de diseño. De Igual modo se llevan a cabo
todos los procedimientos necesarios para que los usuarios puedan utilizar con el nuevo sistema. Al desarrollar
tales componentes o módulos se deberá emplear técnicas de programación correctas. Los proyectos de
desarrollo exigen definir los procedimientos y capacitación necesario de los usuarios para que ellos puedan
utilizar el nuevo sistema adecuadamente. Adicionalmente establece reglas de seguridad y la disponibilidad de
los puestos de trabajo, entre otros.

En el siguiente cuestionario de control se puede observar un despliegue del cumplimiento de las

especificaciones de la fase CSI.

Cuestionario Fase CSI

Controles Si No N/A Observaciones
1. ¿ Se han creado e inicializado las bases de datos o ficheros necesarios? .
2. ¿ Cumplen estas especificaciones de construcción del sistema obtenidas en
fase de diseño?
3. ¿ En algún momento se trabaj con información que se encuentra en
explotación?
4. ¿ Se han peprarado pocedimeintos de copia de seguridad y restauración?
5. ¿ Están disponibles los puestos d etrabajoy el acceso a los equipos y redes,
etc?
6. ¿ Están documentados todos los procedimientos de operación, seguridad y
control de acceso al SI cuando el sistema esté en explotación?
7. ¿ Se han desarrollado todos los componentes y seguido los estandares de
programación y documentación del área?
8. ¿ Se ha probado cada componente de forma unitaria siguiendo el plan de
pruebas?
9. ¿ Se ha generado informes de dichas pruebas?
10. ¿ Se ha llevado a cabo y realizado un informe según lo especificado en el
pruebas?
11. ¿ Se han evaluado las pruebas?
12. ¿ Ha realizado una prueba global de integración de los componenetes del
sistema?
 Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 12

Adquisición e implementación
2.1.4. Auditoría de la fase Implantación y aceptación del sistema (IAS)
En esta fase se constata si el sistema de información respeta los requisitos establecidos en la fase IAS. Una vez
aceptado y aprobado se lleva a cabo la explotación, contemplando los siguientes ejes de objetivos de control:

a. El sistema debe ser aceptado formalmente por los usuarios antes pasar a explotación;
b. Al poner el sistema en explotación formalmente, pasa a mantenimiento sólo cuando haya sido
aceptado y esté preparado todo el entorno en que se lo ejecutara.

Cuestionario Fase IAS

Controles Si No N/A Observaciones
.
El Plan de implantación y aceptación de debe revisar para adaptarlo a la
situación final del proyecto
1. ¿El plan de implantación original se chequea y se documenta
adecuadamente?
2. ¿ Existe un plan de formación para el equipo de implantación, en función a
los distintos perfiles y niveles de responabilidad?
3. ¿ Cuenta con los recursos técnicos y humanos necesarios para llevar a cabo
la implantación?
4. ¿Están especificados los recursos necesarios para cada actividad?
5. ¿Existe catálogo de requisitos que estén justificados y detallados?
6. ¿Es compatible el orden de las actividades de la implantación?
7. ¿ Se han tomado en cuenta la información histórica de las estimaciones?
Se deben realizar pruebas del sistema que se especificaron en el diseño
mismo
8. ¿ Se prepara el entorno para realizar las pruebas ?
9. ¿ En las pruebas de implantación participan los usuarios?
10. ¿ Verifican las especificaciones funcionales y detalles de diseño en las
pruebas?
11.¿ Las pruebas de aceptación se realizan por y para los usuarios?
12. ¿Se hanevaluado los resultados de las pruebas?

Los cuestionarios de cada etapa constituyen una ayuda al área de auditoría de desarrollo de sistemas, sin
embargo, estas pueden variar dependiendo del proyecto, el giro de la empresa, el lugar, entre otros factores.
Con estos cuestionarios, pueden construir una matriz de riesgos de cada etapa, haciendo más eficiente el
trabajo auditor.
 Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 13

Adquisición e implementación
3. Análisis de riesgos de adquisición e implementación
El riesgo es inherente a los negocios. El control interno ha sido pensado esencialmente para disminuir los
riesgos que afectan las actividades de las empresas. A través de la educación, experiencia y análisis de los
riesgos relevantes y el punto hasta el cual el control vigente los neutraliza se evalúa la vulnerabilidad del
sistema. Para ello, en esta etapa de Adquisición e implementación se debe adquirirse un conocimiento de los
riesgos de cada etapa del Ciclo de Vida, enfocando los riesgos que son crípticos para el negocio y cuantificarlos
en una matriz de riegos.

Dentro de los riesgos que podremos identificar en las etapas del Ciclo de Vida de los Sistemas de Información,
podremos encontrar:

3.1. Fase Análisis y Planificación del Sistema de Información

Objetivo de Control:

Establecimiento claro de todos los requerimientos de todos los usuarios.

Riesgos:

- El sistema de información no considera todas las necesidades de los sectores usuarios.

- Algunos aspectos funcionales no se encuentran con soporte.
- Las necesidades de información del Gobierno Corporativo de TI no se encuentran
totalmente cubiertas.
- El sistema no considera aspectos de control interno.
- El sistema no considera aspectos legales o normativos propios de la actividad de la
empresa.
Objetivo de Control:

Adecuada interfaz con otros sistemas de la de la empresa.

Riesgos:

- El sistema de información no se integra con otros sistemas existentes en la organización.

 Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 14

Adquisición e implementación
Objetivo de Control:

Adecuada capacidad actual de TI y las necesidades que tiene el nuevo sistema.

Riesgos:

- No hay la infraestructura tecnológica adecuada para implementar el nuevo sistema.

Objetivo de Control:

Existen posibles soluciones de sistemas externos en el mercado que podrían de resolver los
requerimientos de los usuarios.

Riesgos:

- No se contempló el estudio de mercado de sistemas

3.2. Fase Diseño del Sistema de Información

Objetivo de Control:

Realización de un modelo del sistema que incluye el modelo de procesos y de datos.

Riesgos:

El modelo de procesos y datos no ha tenido en cuenta los requerimientos o no es claro en su

planteamiento

Objetivo de Control:

En el modelo es flexible y permite la parametrización de las operaciones.

Riesgos:

El sistema no admite cambios o nuevas operaciones.

 Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 15

Adquisición e implementación
Objetivo de Control:

Realización de un modelo del sistema que incluye el modelo de procesos y de datos.

Riesgos:

- El modelo de procesos y datos no ha tenido en cuenta los requerimientos o no es claro

en su planteamiento

Objetivo de Control:

En el modelo es flexible y permite la parametrización de las operaciones.

Riesgos:

El sistema no admite cambios o nuevas operaciones.

Objetivo de Control:

Se ha indicado el nivel de respuesta requerido por el sistema en transacciones de grandes

volúmenes.

Riesgos:

El sistema no responde a transacciones de grandes volúmenes.

 Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 16

Adquisición e implementación
3.3. Fase Desarrollo o Construcción del Sistema de información

Objetivo de Control:

La instalación del Hardware necesario para el desarrollo del sistema fue en tiempo y forma.

Riesgos:

Existen demoras en la implementación por problemas de adecuación del Hardware.

Objetivo de Control:

La instalación del sistema del sistema fue en tiempo y forma.

Riesgos:

Existen demoras en la instalación del sistema o está mal configurado o instalado.

Objetivo de Control:

Los parámetros de funcionamiento se encuentran correctamente definidos.

Riesgos:

Hay parámetros no definidos que ocasionan el mal funcionamiento del sistema.

3.4. Fase Implantación del Sistema de información

Objetivo de Control:

Las pruebas consideran los requerimientos o prestaciones requeridas, y consideran casos

complejos.

Riesgos:

Las pruebas no consideran los requerimientos indicados en las especificaciones y no

consideran casos complejos

Objetivo de Control:

En las pruebas se ha considerado el Plan de Seguridad de la organización.

Riesgos:

En las pruebas no se ha considerado el Plan de Seguridad de la organización, y pueden ser

víctimas de ataques.
 Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 17

Adquisición e implementación
Cierre
Todas las actividades que configuran el proceso de Adquisición e Implementación tienen la misma importancia
al momento de realizar una auditoría, aun cuando se puede pensar que la etapa más importante es la de
Diseñar el sistema de información, podemos revisar que si se comete un error en las actividades iniciales del
desarrollo de los sistemas pueden ser más costosos que los que se producen al final.

Es imprescindible contar con licencia de la Dirección de Ti para llevar a cabo el trabajo con independencia y
recursos adecuados, y así de esta forma el auditor tendrá una visión más amplia de los riesgos asociados y
podrá formular un plan de trabajo de auditoría que agregue valor al proceso de Desarrollo del Sistema de
información y que le permitan a la empresa alcanzar satisfactoriamente el objetivo propuesto al realizar este
tipo de inversiones.

IMPORTANTE

Ser auditor significa seguir un proceso y ser metódico y, si hablamos de sistemas, debe tener formación y experiencia
en tecnología y mantenerse actualizado. Un auditor de TI no es un experto en todas las tecnologías, pero sí debe
entender de todo lo que es su alcance. Por eso es importante rodearse de expertos y estudiar constantemente las
nuevas TI. No se puede auditar los sistemas de información sin saber tecnología y sin conocer los objetivos de control,
los riesgos asociados y las técnicas para obtener una buena prueba de auditoría.

Hay que saber cómo funcionan los entornos pequeños y los grandes (entornos mainframe) y qué está ocurriendo en
la tecnología, independientemente estudios académicos. Un buen auditor también debe tener es buen olfato, y este
se desarrolla con la experiencia. Se necesita entender lo que es una auditoría, que es hablar de los riesgos que tienes
para la actividad de la organización.

El técnico puro toma la tecnología como un fin en sí mismo, pero el auditor tiene que dar una opinión al director de
una organización sobre si puede fiarse o no de su tecnología. El auditor debe saber también temas organizativos de
entidades, controles internos, etc. para diseñar su plan de auditoría.

El proceso de auditoría es aplicar el “sentido común”. Hay que fijar el objetivo y el alcance. El objetivo es: “Sobre qué
quieren que dé mi opinión profesional” y el alcance es “lo que entra dentro de mi auditoría”. No conviene desviarse
a otra cosa.