miércoles, 7 de mayo de 2014

Trabajo final de Auditoria

Jairo Cruz
2010-552
Auditoria de Sistema
Prof. Estanislao de la Cruz

 DE AUDITORIA
AUDITORIA FINAL
Informe de auditoría de Sistema de Información, área Desarrollo y Mantenimiento de Sistemas Informáticos.
3  de abril 2014


Ingeniero
Gabriel Nina
Decano de la Facultad Ingeniería y Tecnología
Universidad Adventista Dominicana

Estimado señor:
Que las bendiciones del cielo se derramen en usted y su familia.
Para su conocimiento y fines consiguientes, se le remite él Informe final de auditoria “Evaluación de la Estructura del Departamento de Tecnología de Información, Área de Desarrollo y Mantenimiento de Sistemas Informáticos”, correspondiente a la clase de Auditoria de Sistema de la cual soy estudiante de la misma, realizado por Jairo Cruz.
Cabe señalar que las observaciones externadas por los despachos involucrados como respuesta a la audiencia conferida, coinciden plenamente con esta Auditoría en todos los alcances contemplados, cuyos comentarios y plazos propuestos fueron tomados en cuenta en la redacción final del informe de referencia.
Vale agregar que se avalan por parte de esta oficina, los resultados, conclusiones y recomendaciones contenidos en dicho informe.

Cordialmente,

Ing. Jairo Cruz
Encargado, Sección Auditoria de Sistemas


Contenido
1.      INTRODUCCION.. 1
1.1.       Origen del estudio. 1
1.2.       Objetivo General 1
1.3.       Alcance y Naturaleza. 1
2.      ANTECEDENTES. 1
3.      RESULTADOS. 2
3.1.       Proceso, organización y relaciones. 2
3.2.       Gestión de recursos Humanos TIC. 2
3.3.       Plan estratégico de las tecnologías de la Información del área. 3
3.4.       Dirección de la Política Tecnológica. 3
3.5.       Gestión de las inversiones TIC: 3
3.6.       Gestión de la Calidad: 3
4.      CONCLUSION.. 4
5.      RECOMENDACIONES. 4
AUDITORIA DE LA ORGANIZACIÓN Y GESTIÓN DEL ÁREA DE DESARROLLO Y MANTENIMIENTO

1.  INTRODUCCION

El presente estudio corresponde con una evaluación parcial de la organización y gestión del area de desarrollo y mantenimiento de Información, que en esta oportunidad comprendió el Área Desarrollo y Mantenimiento de Sistemas Informáticos.
Con el propósito de comprobar la existencia de estos procedimientos de control y de verificar su correcta definición y aplicación, determinando la deficiencia que existan al respecto y los riesgos asociados a estas carencias de control.

1.1.    Origen del estudio

Esta evaluación forma parte de la calificación final de la clase de auditoria de sistemas, de la carrera de Ingeniería de Sistema de la Universidad Adventista Dominicana.

1.2.    Objetivo General

Comprender adecuadamente y evaluar la metodología seguida en el desarrollo de sistemas de información, revisar el cumplimiento de estándares y normas de control interno en el desarrollo de aplicaciones y determina si se cumplen las norma de seguridad y control de cambios.

1.3.    Alcance y Naturaleza

La naturaleza del estudio corresponde a una auditoría de Tecnología de Información, con una fecha de corte al 7 de mayo de 2014 y comprendió, entre otras, las siguientes actividades:
ü  Análisis de los Estándares COBIT e TIC (ITGI, 2007a y 2007b), y mejores prácticas relacionadas con el  desarrollo y mantenimiento informático.

ü  Análisis del desarrollo y mantenimiento Departamento de Tecnología de Información.

ü  Revisión del ciclo de vida del software identificada en Métrica versión 3(MAP, 2007).

Durante la ejecución de nuestro trabajo de auditoría se observaron el proceso, organización y relaciones del control OG1.

2.  ANTECEDENTES


Como requisito final de la clase de Auditoria de Sistema, se encomendó la tarea de realizar una auditoría al departamento de Sistemas de Información de la Universidad Adventista Dominicana, dicha auditoria es la tarea final de dicha clase. Teniendo en cuanta que nunca se le a ello una evaluación de esta magnitud al departamento ya mencionado. La clase corresponde al 8vo semestre de la carrera correspondido entre Enero – Mayo 2014. Después de haber estudiado y analizado nuestro tema auditar procesaremos esos métodos para la elaboración del mismo.
En esta oportunidad se envía una carta al encargado y esta fue autorizada para la elaboración del la Auditoria de la organización y gestión del área de desarrollo y mantenimiento de sistemas informáticos.

3.  RESULTADOS

3.1.    Proceso, organización y relaciones

El  área de desarrollo debe tener definido los procesos del área, su organización y las relaciones con el exterior.
-          Observación 1: se le pido el documento donde están la funciones del área de desarrollo  y satisfactoriamente cumplen con los establecido en el Objetivo OG1-C1 que estable la documentación de esas funciones.
-          Observación 2: Se solicitó la entrega del organigrama con los puestos definidos para el departamento y no cuanta con dicho documento. Violando el objetivo OG1-C2 que estable que se debe especificar el organigrama con la relación de puestos del área, asi como el personal adscrito y el puesto que ocupa cada persona.
-          Observación 3: No cuentan con la definición e identificación de personal TIC clave y minimizarse la dependencia para la realización de funciones críticas para el área en personas individuales. Cuando hay una crisis no cuentan con otro personal que pueda resolver el problema, cuando los encargados no estén.
-          Observación 4: Su marco de trabajo está bien definido alcanzando los objetivos de los procesos, sus medidas, controles y madurez han sido definidos e implementados, asi como formalmente documentados y aprobados.
-          Observación 5: cumple totalmente el objetivo OG1-C5 que establece la relación con el exterior, manteniendo las relaciones con los proveedores para recibir información suficiente sobre productos que puedan ser de interés.
-          Observación 6: contienen bien definidos los roles y responsabilidades para la gestión del aseguramiento de la calidad, gestión de riesgos, seguridad y conformidad.

3.2.    Gestión de recursos Humanos TIC

El área de desarrollo debe contar con unos recursos humanos adecuados para gestionar el desarrollo y mantenimiento de SI.
-          Observación 1: Existen contrataciones bien establecidas para los empleados y ellos a la vez cumplen con los requerimientos para desempeñar su labor.
-          Observación 2: También existe un plan de formación de los empleados, tanto como las maestrías y cursos talleres.
-          Observación 3: debería haber un protocolo de recepción/abandono o cambio de trabajo de las personas que se incorporen o dejen el área de trabajo o cambian de función según estable el objetivo OG2-C3.
-          Observación 4: Existe una biblioteca y contienen acceso a internet para las investigaciones que se tengan que realizar.
-          Observación 5: Existe un ambiente motivacional en el personal para trabajar con mayor eficiencia y calidad.
-          Observación 6: No existe un procedimiento de evaluación periódica de los recursos humanos propios y contratados del área.

3.3.    Plan estratégico de las tecnologías de la Información del área

El  área de desarrollo debe participar de la definición del plan estratégico o plan director de Tecnología de la información.
-          Observación 1: existe un plan a largo y corto plazo, bien definido y actualizado y se revisa periódicamente en funciones de las nuevas situaciones.
-          Observación 2: Los nuevos proyectos son  evaluados e insertado en el plan estratégico del director asi contemplándose los objetivos, requisitos generales y plan inicial del proyecto.

3.4.    Dirección de la Política Tecnológica

El  área de desarrollo debe participar de la dirección de la política tecnológica del departamento de informática.
-          Observación 1: No existe un proceso de análisis de las regulaciones de la tecnología, tampoco hay una revisión periódica para saber el nivel tecnológico que se encuentran.

3.5.    Gestión de las inversiones TIC:

El  área de desarrollo debe llevar su propio control presupuesto.
-          Observación 1: No existe un presupuesto para el departamento de desarrollo, si se necesita algo se gestiona para obtenerlo.

3.6.    Gestión de la Calidad:

El  área de desarrollo debe dispones de unos procesos de desarrollo rígido por los estándares y principios de ingeniería de software ampliamente aceptados.
-          Observación 1: Existen un registro de problemas la hora de implementar un software, este es identificado y clasificado, y resuelto a la brevedad posible.
-          Observación 2: Se mantiene un plan de manteniendo y  comunicación periódicamente con el cliente para saber el estado del software.
-          Observación 3: Implementan la herramienta CASE de forma ampliada para lograr la calidad del software.
-          Observación 4: El mecanismo para la creación y actualización de prácticas y estándares están documentados y  es conocido en el área.
-          Observación 5: No existe un monitoreo del cumplimiento de los estándares y prácticas de calidad.
-          Observación 6: Existe una reutilización de las librerías, funciones, clases objetos, componentes de software, etc.
-          Observación 7: Existe un diccionario de datos  y se garantiza la consistencia y seguridad de la información.
-          Observación 8: También existe la prueba homologa de los lenguajes, compiladores, herramientas CASE, software de prueba, etc. Para asi mantener los productos en las versiones actuales y asi brindar mayor calidad.

4.  CONCLUSION


El desarrollo y mantenimiento de sistema es un proceso costoso que debe ser controlado adecuadamente. Este proceso abarca todas las fases que se deben seguir desde que aparece la necesidad de disponer de un SI hasta que este es construido, implantado y entra en mantenimiento.
Este informa fue basado en la auditoria de la organización y gestión del área de desarrollo y mantenimiento ya que el tema principal abarca todo el ciclo de vida de un software y la Universidad no cuenta con un departamento de información a gran magnitud.
El desarrollo y mantenimiento persigue que los productos que sales al mercado mantenga un nivel de calidad. Esto se logra al realizar las herramientas de CASE, software actualizados, buena preparación académica y una motivación para crear un producto que supere las expectativas del cliente.

5.  RECOMENDACIONES


-          Proceso, organización y relaciones: se recomienda que de que se prepare el organigrama lo antes posible y se establezca los puestos definitivamente, ya que esa documentación regulariza su estructura organizacional. Tan bien se debe crear un personal en función critica para cuando el sistema colapse y los encargados no estén alguien pueda restaurar el sistema.

-          Gestión de recursos Humanos TIC: debe existir un protocolo recepción/abandono o cambio de trabajo de las personas que se incorpore o dejan el área o que cambian de función para garantizar la protección del área y la trasferencia de conocimiento que asegure la continuidad de las funciones.

-          Dirección de la Política Tecnológica: deben analizarse las nuevas regulaciones/reglamentaciones en materia TIC asi como las tecnologías existente y emergentes y determinar que política tecnológica es apropiada para la consecuencia de los objetivos del área, y para el desarrollo de nuevos sistemas o mantenimiento de los existentes compatibles con la arquitectura de los sistemas actuales o realizar un estudio de las estrategias de migración en su caso.

-          Gestión de las inversiones TIC: el area de desarrollo debe llevar su propio presupuesto en lo relativo a la gestión de la inversión de TIC.

-          Gestión de la Calidad: debe existir un procedimiento de monitorización y medición del cumplimiento de los estándares y prácticas de calidad asi como del desarrollo y el mantenimiento.







Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)