Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
i
Universidad Apec
DECANATO DE INGENIERÍA E INFORMÁTICA
ESTUDIO DE AUDITORÍA DE SISTEMAS EN EL ÁREA DE ASEGURAMIENTO
DE CALIDAD DE SOFTWARE. ESTÚDIO DE CASO: SOLUTECH SISTEMAS
INFORMÁTICOS, SANTO DOMINGO, REPÚBLICA DOMINICANA 2011.
Sustentantes:
Darlin Pantaleón Contreras 2006-1256
José Ariel Laureano Ramírez 2006-2049
Asesores:
Lic. Deivis Adames
Ing. Santo Navarro
Monografía para optar por el título de
Ingeniería en Sistema de Información.
DistritoNacional,RepúblicaDominicana
Agosto,2011
ii
ÍNDICE
DEDICATORIA i
AGRADECIMIENTOS iii
RESUMEN. v
ÍNDICE ii
INTRODUCCIÓN. vi
CapítuloI:FundamentaciónTeórica. 1
1.1.Introducción. 1
1.2.Objetivosespecíficos. 1
1.3.Etapasdelciclodevidadedesarrollodesoftware. 2
1.3.1.Necesidades. 3
1.3.2.Especificaciones. 3
1.3.3.Análisis. 4
1.3.4.Diseño. 4
1.3.5.Implementación. 4
1.3.6.Pruebas. 5
1.3.7.Validación. 5
1.3.8.Mantenimiento. 5
1.4.Antecedenteshistóricosdelaindustriadedesarrollodesoftware. 6
1.4.1.Etapadelainspección. 6
1.4.2.Etapadelcontrolestadísticodelacalidad. 7
1.4.3.Etapadelaseguramientodelacalidad. 8
1.4.4.Gestióndelacalidadtotal. 9
1.4.5.Reestructuraciónymejoradelosprocesos. 10
1.5.Modelos,NormasyEstándaresparalamejorayevaluacióndeprocesos.11
1.5.1.CMMI. 11
1.5.2.MOPROSOFT. 17
1.5.3.GestióndelaCalidad:NormaISO9001:2008. 18
1.5.4.ISO15504(SPICE,SoftwareProcessImprovementandCapabilityDetermination). 18
1.6.EstándaresIEEE. 19
1.7.Mejoresprácticasparaelaumentodelaproductividad. 20
1.7.1.ProcesoPersonaldeSoftware(PSP). 21
1.7.2.ProcesodeSoftwareenEquipo(TSP). 22
1.8.Auditoríadesistemas. 22
1.8.1.Antecedentes. 23
1.8.2.TiposdeAuditoría. 24
1.8.3.Auditoríadesistemasdeinformación. 26
1.8.4.Controles. 29
1.8.5.Definicióndecontrol. 29
1.8.6.Clasificacióndecontroles. 29
1.8.7.Misión,VisiónyValoresdelAuditor. 30
1.8.8.FuncionesdelAuditorInformático. 32
CapítuloII:PlaneacióndelaAuditoríadeSistemas. 34
2.1.Objetivosdelaplanificacióndelaauditoríadesistemas. 35
2.2.GestiónAdministrativa. 36
2.3.GestiónInformática. 37
2.4.Metodologíayprocedimientos. 39
CapítuloIII:ElMundodelaIndustriadeSoftware. 41
3.1.OrganizacióndelaIndustriadelSoftwareenelMundo. 42
3.2.LaIndustriadelSoftwareenAméricaLatina. 45
3.3.RepúblicaDominicanayeldesarrollodesoftware. 49
3.3.1.EmpresasDominicanasdesarrolladorasdesoftware. 52
CapítuloIV:SoluTechSistemasInformáticos. 54
4.1.Introducción. 55
4.1.1.Antecedentes. 55
4.1.2.Misión,VisiónyValores. 56
4.1.3.EstructuraOrganizativa. 57
4.1.4.PortafoliodeProductoryClientes. 59
4.2.MetodologíaActualparaeldesarrollodesusSistemasutilizadaenSoluTechSistemasInformáticos. 60
4.3.PrácticasdeauditoríautilizadasporSoluTechSistemasInformáticos. 62
4.4.Técnicasyherramientasdeinvestigaciónutilizada. 62
4.5.ResultadosdelaInvestigación. 63
CapítuloV:PlandeMejora. 68
5.1.Creacióndeláreadeauditoríadesistemas. 69
5.1.1.Objetivos. 69
5.1.2.Justificación. 70
5.1.3.EstructuraOrganizativa 71
5.1.4.Misión,VisiónyfuncionesdeláreadeAuditoríaInformática 72
5.1.5.Requerimientosparalacreacióndelárea 74
5.1.6.Pasosarealizarparalaimplementacióndelárea 75
CONCLUSIONES. x
RECOMENDACIONESGENERALES. xiii
REFERENCIASBIBLIOGRAFICAS. xv
ANEXOS. xviii
i
DEDICATORIA
ElpresentetrabajolodedicoaDios,quemehadadolainspiraciónysabiduríapara
llevar a cabo este proyecto, me ha concedido la iluminación y fortaleza que me
permitendíaadíaalcanzarmismetas.
Amis padresHerminioPantaleónyFlora contreras, por permitirme vivir, que
consuesfuerzoyamorconstante,supieronforjarenmíunapersonalidadpositiva,
quemellevaronaserlapersonayelprofesionalquehoyendíasoy.
AmiesposaJohannaCastillo,porsuamorincondicional,porsupacienciayporque
impulsoenmilafuerzanecesariaparallevaradelantemisestudiosuniversitariosy
graciasaellohepodidoculminaresteproyecto.
AmiscompañerosdeestudioGerardoCamilo,StalinBonilla,JoséA.Laureanoy
Jairo Sención, con los que tanto he compartido durante el largo trayecto de mi
carrera,porestarahícuandolosnecesite.
DarlinPantaleónContreras
ii
Enprimer lugar le dedico este trabajo aDios pordarmevida, salud y las fuerzas
espiritualesnecesariasparallevaracaboesteproyectoyporhabermerodeadode
personas que siempreme expresaron su apoyo ymemotivaron a seguir siempre
adelanteparalograrmismetas.
Ami familia, especialmente amis padresAlcidesLaureano yNeliaRamírezde
Laureano,porsuspalabrasdealientoparaqueaprendadeloserrores,melevante
cuando caiga y siempre siga adelante, por sus esfuerzos, trasnoches, cuidados,
consejos, enseñanzas, por la confianza quehandepositado enmí y especialmente
por demostrarme siempre su apoyo incondicional en todo momento de mi vida.
Porquesinsuayudanohubierapodidofinalizaresteproyecto.
AmisamigosGeraldoCamilo,DarlinPantaleónyJairoSención,conlosquetanto
hecompartido,divertidoyaprendidoduranteeltranscursodemicarrera.
JoséArielLaureanoRamírez
iii
AGRADECIMIENTOS
AgradezcodemaneraespecialalaUniversidadAPECpordarmelaoportunidadde
hacer una carrera profesional y permitirme obtener el título de Ingeniero en
Sistemas.
A todos los maestros que me entregaron desinteresadamente sus conocimientos
quemepermitenhoydíaserlapersonayelprofesionalqueelpaísrequiere.
Amisasesoresdemonográficoporsupacienciaycomprensión,porhabermeguiado
duranteeldesarrollodelproyecto,queconsucriterioyexperienciasehallegadoa
buentérminoelpresentemonográfico.
DarlinPantaleónContreras
iv
AntetodoledoygraciasaDIOSporqueeslarocaenquientengotodomiapoyo,por
habermedadolasfuerzasnecesariasparapoderculminarestagranetapademivida
ypordarmelaasombrosafamiliaylosgrandesamigosquemerodean.
Amispadresporhabermedadolavida,porserpadresincomparables,porsutotal
dedicaciónytodoslossacrificiosquehanhechoparaqueennuestrafamilianunca
faltenadaysiemprereinelapaz,losvalores,elrespetoysobretodoelamor.
Alosamigosquehancreídoenmíymehanextendidosumanoamigasiempreque
loshenecesitado,porsuspalabrasdealiento,consejosyapoyo.Amicompañerode
monográficoDarlinPantaleón.EnespecialamisamigosJulissa,Marlyn,Ana,Jairo,
GustavoyGerardo.GraciasAmigos.
Alosprofesoresquemehanimpartidoclasesentodoeltrayectodemicarreraenla
Universidad APEC, ya que con sus grandes conocimientos me han hecho crecer
académica y profesionalmente, como sonMarcos Brito, Ellis Lombert, Juan Pablo,
OsvaldoMota,DelvisAcostaydemásprofesionalesqueconformanelexcelentísimo
grupodocentedeldecanatodeinformáticaylaUniversidadAPECengeneral.
Agradezcoespecialmentealquenosasesoróduranteeldesarrollodeestetrabajode
investigaciónLic.DeivisAdamesyelIng.SantoNavarro.
JoséArielLaureanoRamírez
v
RESUMEN.
Elpresentetrabajosedesarrolloconelobjetivodeanalizarlosconceptosdecalidad
desoftwareyAuditoríadesistemasparaproponerunplandemejorasquemitigue
lasdebilidadesencontradaseneláreadeaseguramientode lacalidaddesoftware
delaempresaSoluTechSistemasInformáticos.
Gracias a losmétodos y técnicas en losque se apoya la auditoría, pudimos lograr
nuestrosobjetivosy llegaraconclusionessatisfactoriasquenospermitieroncrear
una serie de recomendaciones quemejorarían y garantizarían la continuidad del
áreadeestudio.
Enprimerplanoserealizóunlevantamientodeinformaciónenlaempresautilizada
como estudio de caso para analizar su situación actual, comprender el tipo de
negocioylasmedidasqueposeenparalagestiónyelcontroldelacalidad.
Posteriormenteseleaplicaronunconjuntodecuestionariosconelfindeevaluarel
áreadeestudioyllegaralasconclusionesdeseadas.
vi
INTRODUCCIÓN.
Comotodaactividadhumanaelorigendelaindustriadelsoftwareestárelacionado
al propósito de satisfacer una necesidad de la colectividad. En sus inicios no fue
perfectaniorganizadayaquenoexistíanreglasonormativasqueorientarantodoel
procesodedesarrollodelsoftware,ycomoencualquierotraindustriaestafaltade
organización, planificación y control ocasionó que los productos resultantes
tuviesenerroresdediferentestipos.
Araízdelcrecimientovertiginosodelaindustriadelsoftware,fundamentadoenque
la tecnología de hardware estaba produciendo equipos cada día con mayor
capacidaddeprocesamientodedatos,yenvistadequelossistemasdeinformación
noestabansatisfaciendolasnecesidadesdelosusuariosyposeíantantosfallos,se
violanecesidaddeanalizarloqueestabaaconteciendoparaponerorden.
ParaeseentoncessedecideencomendaralaUniversidadCarnegieMellonrealizar
unestudioparaanalizarlacausadelfracasodetantosproyectosdesoftware.Ésta
investigaciónsirviócomobaseparaqueapartirdenoviembredel1986elInstituto
deIngenieríadelSoftware(SEI),adscritoalareferidaUniversidad,arequerimiento
del Gobierno Federal de los Estados Unidos de América (en particular del
DepartamentodeDefensa,DoD),desarrollaraunodelosmodelosparalamejorade
procesosdedesarrollodesoftwaremásconocidoyaplicadomundialmenteelCMM
queevolucionóalactualCMMI.
vii
Aunquelaindustriadelsoftwarenoposeemuchotiempodeexistencia,yapesarde
queestuvoafectadaporunafuertecrisis,sevioelavanceeinterésenlasempresas
por implementar sistemas especializados que les permitieran automatizar o
acelerar los procesos.De este interés nacieron las primeras grandes empresas de
software,perolaexistenciadetantosdesarrolladoresendistintospaísesprovocóla
diversidaddeestilosporloquelacalidadentrelosproductoseramuyvariable.Esta
situación condujo a la necesidad de crear normas y estándares que permitieran
mejorarlacalidaddelosproductoscolocadosenelmercado.
La competitividad en la industria del software exige que todo fabricante o
desarrollador emplee métodos para el aseguramiento de la calidad en todo el
proceso de desarrollo de software, demanera que el producto finalmantenga un
altoniveldecalidadyestoesloquelespermitirádiferenciarsesustancialmentede
suscompetidores.
Enlamedidaenquelaindustriadelsoftwarehaevolucionado,sehanperfeccionado
los criterios utilizados en la fabricación de los sistemas. Un elemento que ha
contribuido enormemente a que en la actualidad existan conjuntos de normas,
procedimientos, estándares y metodologías de desarrollo, es que cada día las
exigencias de los usuarios son mayores. Estos consumidores de software exigen:
funcionalidad, facilidad de uso, rapidez en la ejecución de los procesos,
escalabilidad,precisiónymargenmínimodeerrores.
viii
En República Dominicana, la industria del software está en proceso de gestación,
una empresaquequiera ser competitivadebe aplicar los conceptosde calidad en
todossusprocesos.Esto lepermitirádiferenciarsusproductosdesoftwarede los
importadosdepaísesenquelaindustriahaalcanzadounsólidodesarrolloyporlo
tanto,captarelmercadodominicanoyproyectarseanivelinternacional.
Porloplanteadoanteriormente,elproblemaqueafrontaestainvestigaciónsonlas
auditoríasdesistemaseneláreadeaseguramientodelacalidadeneldesarrollode
softwareenRepúblicaDominicana.Sepuedeestablecerqueunodelosfactoresque
influyen en el poco auge que posee la industria del software en la República
Dominicana,esque lamayoríade lasempresasdedicadasaldesarrollonoposeen
certificaciones y no utilizan modelos de referencia internacional para que sus
productosfinalesposeanunaltoniveldecalidad.
SehadecididoseleccionarcomoestudiodecasoalaempresadominicanaSoluTech
Sistemas Informáticos, con el objetivo de analizar los conceptos relacionados con
calidaddesoftwareyauditoríadesistemasparaproponerunplandemejorasque
mitigue las debilidades encontradas en el área de aseguramientode la calidad de
software.
Tomandoencuenta lospuntosantesmencionados.Sehaconsideradoundesglose
de cadapunto importante.Abarcandodesde losmás fundamentaleshasta llegara
los más importantes. Con estos temas se pretende abarcar de manera detallada
todoslosfactoresdelugarqueseconsiderencríticos.
ix
La estructura temática es la siguiente: En el Capítulo I, se tratan los antecedentes
históricosde la industriadedesarrollo software, algunosde losmodelos, normas,
estándares ymejores prácticas, utilizadas para el aseguramiento de la calidad de
software,conceptosdeauditoríadesistemas.EnelCapítuloII,sedanaconocerlos
conceptosrelacionadosconlaplaneacióndelaauditoríadesistemas.ElCapítuloIII,
trataacercadelacalidadenlaIndustriadelSoftwareanivelmundial.ElCapítuloIV
estáenfocadoenunestudiodecasoparaelcual fueseleccionadaunaempresade
desarrollo de software de República Dominicana para identificar las principales
debilidadesdeláreadeaseguramientodecalidaddesoftware,medianteelusodela
auditoríadesistemas.FinalmenteelCapítuloV,muestraunplandemejoras,elcual
sedebellevaracaboparagarantizarlacontinuidaddeláreadeestudio.
CaapítuuloI:FT
FundTeóri
dameca.
entacción
| 1
| 1
1.1. Introducción.
Este capítulo se ha desarrollado con la intención de ofrecerle al lector una vista
general de cuáles son las diferentes etapas del ciclo de vida de desarrollo de
software, cómo ha ido evolucionando la industria del software a lo largo de la
historia,algunosdelosmodelos,normas,estándaresymejoresprácticas,utilizadas
para el aseguramiento de la calidad de software, también se tratan algunos
conceptosdeauditoríadesistemas.
Acontinuaciónsemuestranlosobjetivosquesepersiguenenestetrabajo:
1.2. Objetivosespecíficos.
Enestetrabajosebuscanlossiguientesobjetivos:
Proponerunplandemejorasparalaaplicacióndeauditoríadesistemasenel
aseguramientodecalidaddesoftware.
Analizarloscontrolesnecesariosparamitigarlosriesgosyvulnerabilidades
detectadas.
Identificar lasprincipalesdebilidadesdeláreadeaseguramientodecalidad
desoftwaredelaempresaSoluTechSistemasInformáticos.
Analizar los conceptos relacionados con la auditoría de sistemas de
información.
1
E
et
id
d
Analiz
mane
1.3. Etapasd
l desarrollo
tapas que c
dea de crea
efinitivame
zar el conc
eraenquese
delciclode
o de softwa
comprenden
ar un nuev
entedeseru
Validn
cepto de ca
eaplicanen
evidadede
are va unid
n todas las
o producto
utilizadopo
Pruebas
dación
Mantenimieto
alidad, los
nlaindustri
esarrollod
o a unciclo
actividade
o software,
relúltimod
Nece
Implem
en
aspectos r
iadelsoftwa
desoftware
o de vidaco
s, desde el
hasta aque
desususua
esidades
E
mentación
relacionados
are.
e.
ompuesto p
momento
el en que e
arios.
Especificacios
A
Diseño
s con éste
por una seri
en que sur
el producto
one
Análisis
| 2
y la
ie de
ge la
deja
| 3
1.3.1. Necesidades.
Esta etapa tiene como objetivo la consecución de un primer documento en que
quedenreflejadoslosrequerimientosyfuncionalidadesqueseofreceránalusuario
delsistemaadesarrollar(qué,ynocómo,sevaadesarrollar).
Dadoquenormalmentesetratadenecesidadesdelclienteparaelquesecrearála
aplicación, el documento resultante suele tener como origen una serie de
entrevistas cliente‐proveedor situadas en el contexto de una relación comercial,
siendoquedebesercomprendidoporambaspartes(puedeinclusotomarsecomo
baseparaelpropioacuerdocomercial).
1.3.2. Especificaciones.
Ahorasetratadeformalizarlosrequerimientos;eldocumentoobtenidoenlaetapa
anterior se tomará como punto de partida para esta fase. Su contenido es aún
insuficienteyllenodeimprecisionesqueseránecesariocompletarydepurar.
Pormedio de esta etapa se obtendrá un nuevo documento que definirá conmás
precisiónelsistemarequeridoporelcliente.
Lomás normal será que no resulte posible obtener una buena especificación del
sistema en su primera redacción; serán necesarias sucesivas versiones del
documento en que irá quedando reflejada la evolución de las necesidades del
cliente.
| 4
1.3.3. Análisis.
Esnecesariodeterminarquéelementosintervienenenelsistemaadesarrollar,así
como su estructura, relaciones, evolución en el tiempo, detalle de sus
funcionalidades, que van a dar una descripción clara dequésistema vamos a
construir,quéfuncionalidadesvaaaportaryquécomportamientovaatener.
1.3.4. Diseño.
Tras la etapaanterior ya se tiene claroquedebehacer el sistema, ahora tenemos
quedeterminarcómovaahacerlo(¿cómodebeserconstruidoelsistema?;aquíse
definiránendetalleentidadesyrelacionesdelasbasesdedatos,sepasarádecasos
deusoesencialesa sudefinicióncomocasosexpandidos reales, se seleccionaráel
lenguajemásadecuado, el SistemaGestordeBasesdeDatosautilizaren sucaso,
librerías,configuracioneshardware,redes,etc.).
1.3.5. Implementación.
Llegado este punto se empieza a codificar algoritmos y estructuras de datos,
definidosenlasetapasanteriores,enelcorrespondientelenguajedeprogramación
y/oparaundeterminadosistemagestordebasesdedatos.
| 5
1.3.6. Pruebas.
El objetivo de estas pruebas es garantizar que el sistema ha sido desarrollado
correctamente, sin errores de diseño y/o programación. Es conveniente que sean
planteadas al menos tanto a nivel de cada módulo (aislado del resto), como de
integracióndelsistema(segúnsealanaturalezadelproyectoencuestiónsepodrán
tenerencuentapruebasadicionales,p.ej.derendimiento).
1.3.7. Validación.
Estaetapatienecomoobjetivolaverificacióndequeelsistemadesarrolladocumple
con los requisitos expresados inicialmente por el cliente y que han dado lugar al
presenteproyecto (paraesta fase tambiénes interesantecontarcon losusecases,
generadosatravésdelascorrespondientesfasesprevias,queservirándeguíapara
laverificacióndequeelsistemacumpleconlodescritoporestos).
1.3.8. Mantenimiento.
Finalmente la aplicación resultante se encuentra ya en fase de producción (en
funcionamiento para el cliente, cumpliendo ya los objetivos para los que ha sido
creada). A partir de este momento se entra en la etapa de mantenimiento, que
supondrá ya pequeñas operaciones tanto de corrección como de mejora de la
aplicación (p.ej. mejora del rendimiento), así como otras de mayor importancia,
frutodelapropiaevolución(p.ej.nuevasopcionesparaelusuariodebidasanuevas
operacionescontempladasparaelproducto).
| 6
La mayoría de las veces en que se desarrolla una nueva aplicación, se piensa
solamenteenunciclodevidaparasucreación,olvidandolaposibilidaddequeesta
debasufrirmodificaciones futuras (que tendránqueproducirseconcasi completa
seguridadparalamayorpartedeloscasos).
1.4. Antecedenteshistóricosdelaindustriadedesarrollodesoftware.
Desde los tiempos de los jefes de las tribus, reyes y faraones, han existido
razonamientosyparámetrossobrelacalidad.ElCódigodeHammurabi(1752a.C.),
declaraba: “Si un albañil construye una casa para un hombre, y su trabajo no es
fuerte y la casa se derrumba matando a su dueño, el albañil será condenado a
muerte”.Granpartedeestasantiguascivilizacionesdabanimportanciaalaequidad
en losnegociosycómoresolver lasquejas,aúncuandoesto implicaracondenaral
responsablealamuerte,latorturaolamutilación.
La concepción de la calidad ha evolucionado. A continuación se muestran las
diferentes etapas; en cada una se agregan nuevosmétodos, prácticas e ideas que
superanlasanteriores.
1.4.1. Etapadelainspección.
Desde la época artesanal la calidad del producto semedia a través de la relación
directaentreelusuarioyelartesano.Enelmomentoenqueelartesanoentregabael
productoalcliente,esterevisabaquecumplieraconlascaracterísticassolicitadas.
| 7
LaRevolución Industrialmodificó el procesode trabajomanual almecanizado, lo
que trajo consigo la producción en masa. Esto imposibilitaba el contacto directo
entre el usuario y el fabricante. Por este motivo se responsabilizaban a ciertos
empleados(inspectores)paraavaluarlacalidadydetectarloserrores.
Enestaetapalainspeccióndelacalidadseenfocaenexaminar,medir,contrastaro
ensayarlascaracterísticasdecalidaddeunproductooservicioparadeterminarsu
conformidadconlosrequisitosespecificados.
Para fortalecer el sistema de inspección se empezó a utilizar estándares (gauges)
paradescubrirlaspiezasquenoseajustaban.
A principios del siglo XX la inspección por estándares se fue refinando y fue un
factorclaveenlalíneadeensamblajedeHenryFordyenelsistemaadministrativo
propuestoporFrederickW.Taylor.EnRadforden1922sevinculaformalmentela
inspecciónal controlde la calidad, considerando la calidadporprimeravez como
responsabilidadindependientedelaresponsabilidadadministrativa.
1.4.2. Etapadelcontrolestadísticodelacalidad.
Durante el período 1930‐1949 los aportes de la tecnología en la economía de los
paísescapitalistasdesarrolladoserandeunvalorindiscutible,peroseconfrontaban
serios problemas con la productividad del trabajo y esto se mantuvo
aproximadamentehastalaSegundaGuerraMundial.Paraentonceslasnecesidades
delaenormeproducciónenmasarequirierondelcontrolestadísticodelacalidady
| 8
lacontribucióndemayorimportanciaparaéstefuelaintroduccióndelainspección
pormuestreo,enlugardelainspecciónal100porciento.
ComoexpresaJ.M.Jurancuandodefinecontroldecalidad,estaépocasecaracterizó
porquelosprocesosseregulabanatravésdemedidasdecalidad,esdecir,elcontrol
quegarantizaranosóloconoceryseleccionarlosdesperfectosofallasdeproductos,
sinotambiénlatomadeaccióncorrectivasobrelosprocesostecnológicos.
Sepodríadecirqueenestaépoca“laorientaciónyenfoquedelacalidadpasódela
calidadqueseinspeccionaalacalidadquesecontrola”.
1.4.3. Etapadelaseguramientodelacalidad.
Elconceptodecalidadevolucionódesdeunaperspectivaestrechaycentradaenla
manufactura a tener una intervención directa en los esfuerzos por la calidad en
áreascomoeldiseño,ingeniería,planeaciónyactividadesdeservicio.
Aproximadamenteparael1950yanobastabasolocon la inspecciónestrictapara
eliminar los defectos en los productos. Por esta razón se pasa de la inspección y
control de todos los factores del proceso, a planificar acciones sistemáticas que
proporcionaranunaconfianzaadecuadaalosclientesdequeelproductooservicio
cumplíadeterminadosrequisitosenelmarcodelsistemadecalidad.
| 9
Lasetapasanteriores“estabancentradasenelincrementodelaproducciónafinde
vendermás, aquí se pasa a producir conmayor calidad a fin de poder vender lo
mejor,considerandolasnecesidadesdelconsumidoryproduciendoenfuncióndel
mercado”.
1.4.4. Gestióndelacalidadtotal.
En la década del 80, la característica fundamental se encuentra en la Dirección
EstratégicadelaCalidad,porloqueellogrodelacalidadentodalaempresanoes
productodeunsimpleprogramaosistemadecalidad,sinoqueeslaelaboraciónde
una estrategia encaminada al perfeccionamiento continuo de ésta, en toda la
empresa.
Elénfasisprincipaldeestaetapanoessóloelmercadodemanerageneral,sinoel
conocimientode lasnecesidadesyexpectativasde losclientes,paraconstruiruna
organizaciónempresarialquelassatisfaga.
Desde el 1990 hasta la fecha, se caracteriza principalmente por la pérdida del
sentidodelaantiguadistinciónentreproductoyservicio.Priorizandoelvalortotal
paraelcliente.EstaetapaseconocecomoServiciodeCalidadTotal.
Elclientedelosaños90sóloestádispuestoapagarporloquesignificavalorparaél.
Es por eso que la calidad es apreciada por el cliente desde dos puntos de vista,
| 10
calidad perceptible y calidad factual. Donde la primera es la clave para que las
personascompren,mientrasquelasegundaseenfocaenlograrlalealtaddelcliente
conlamarcayconlaorganización.13
1.4.5. Reestructuraciónymejoradelosprocesos.
Parafinalesde ladécadadel90elmovimientopor lacalidad llevabaenoccidente
casi20añosdesdequea lamismaseleconfirióunvalorindispensableyse levio
comounaoportunidaddenegocio.
Losmétodosutilizadosenestaetapasebasanenlaplaneaciónestratégica,lamejora
continuacomopartedelasresponsabilidadesdetododirectivo;siendoladetección
deoportunidadesdemejora,entrenamientoyeducación,facilitadordelamejoray
eldiseñodeprogramasdemejorayreingenieríadeprocesos.
Laaltadirecciónencabezabaelesfuerzoparagenerarvisionescompartidas,alinear
losesfuerzos,eliminarbarrerasorganizacionales,facultarypotenciarlalabordelos
subordinados.Orientándosedirectaytotalmentealcliente,almercadoyamejorar
eldesempeñodetodoslosprocesos.
| 11
1.5. Modelos,NormasyEstándaresparalamejorayevaluacióndeprocesos.
A continuación se presentan algunos de los modelos, normas y estándares
reconocidos internacionalmente para la mejora y evaluación de procesos en las
empresasdedesarrollodesoftware.
1.5.1. CMMI.
CMMI (Modelo de Capacidad y Madurez Integrado) es un modelo de mejora de
procesosqueincluyebuenasprácticas,referenciasparafijarobjetivosyprioridades
enlasempresas.Sirvecomobaseparaevaluarlamadurezdelos51procesosenlas
empresasdesarrolladorasdesoftwareycomoguíaparadesarrollarestrategiaspara
lamejoracontinua.
Este modelo surgió a partir de CMM (Modelo de Capacidad y Madurez) como
resultadodelaintegracióndevariosmodelosquedefiníanlamadurezendiferentes
disciplinas,peroquedada lavariedad,constituíanunproblemapara lasempresas
por loque fuenecesarioagruparlosenelCMMI.Sedesarrollobajoelprincipiode
calidad de Joseph M. Juran, de solvencia contrastada en los 80 en la producción
industrial: "la calidad del resultado depende principalmente de la calidad de los
procesos empleados en su desarrollo" y posee dos representaciones: Continua y
Escalonada.
| 12
Figura
1.1.EstructuraCMMI(RepresentaciónContinua)
Figura1.2.EstructuraCMMI(RepresentaciónEscalonada)
CMMIdirigesuenfoquealamejoradeprocesosenunaorganización,losestudiay
midelacapacidadparaconstruirunsoftwaredecalidad,atendiendoaunaescalade
cinconiveles(inicial,repetible,definido,dirigidoyoptimizado).
| 13
NivelesdeCMMI
Nivel1.Inicialoalamedida:Laorganizaciónenestenivelnodisponede
un ambiente estable para el desarrollo y mantenimiento de productos y
servicios.
Basadoenlacompetenciayaccionesindividualesdelaspersonas.
Nivel2.Gestionado(gestiónbásicadeprocesos):Enlaorganizaciónque
se encuentra en este nivel algunas áreas organizacionales y/o proyectos
hanalcanzadolasmetasgenéricasyespecíficasestablecidasensusáreasde
proceso, es decir planean sus procesos, los ejecutan, los miden y los
controlan.
Lasactividadesquedebencumplirson:Gestióndeacuerdosconlosproveedores
deproductosy servicios,Seleccióny supervisiónde losproveedores,Medicióny
análisis,Aseguramientodelacalidaddelproductoydelproceso,Desarrollodelos
requisitosdel:cliente,productoycomponentedelproducto,Diseño,desarrolloy
puesta en práctica de soluciones técnicas, Asegurar la integración del producto,
Verificación,ValidaciónEnfoquealaorganizaciónhacialagestióndelosprocesos.
Nivel 3. Definido (estandarización de procesos): Tienen los procesos
caracterizados, entendidos por los ejecutores, descritos mediante estándares,
procedimientos,métodosyherramientas.
| 14
Lasactividadesacumplirenestenivelson:Correctadefinicióndelosprocesosde
laorganización,Educaciónyentrenamientoparamejorarlaeficaciaylaeficiencia,
Gestión integrada de los proyectos (proceso + productos) Gestión de riesgos,
Análisis sistemático y puesta en práctica de las decisiones acordadas, Ambiente
organizativo adecuado para el desarrollo integrado del producto y del proceso,
Formarymantenerunequipoparaeldesarrollo integrado,Gestión integradade
proveedores.
Nivel 4 Gestionado de forma cuantitativa: La organización selecciona y
administralasactividadesquecontribuyenperceptiblementealfuncionamientode
proceso total. Estas actividades seleccionadas son controladas con técnicas
estadísticasyotrastécnicascuantitativas.
Lasactividadesacumplirson:Evaluacióndelosprocesosdelaorganización(datos
del rendimiento de los procesos, Gestión cuantitativa de los proyectos, Gestión
cuantitativa de los proveedores, Innovación y despliegue a lo largo de toda la
organización(mejorasincrementalesysuposteriorgeneralización).
Nivel 5 Optimizado: Los procesos de la organización son mejorados
continuamente basados en una comprensión cuantitativa de las causas comunes
devariacióninherentesalosprocesosyconmejorastecnológicasincrementalese
innovadoras.
| 15
Gestióndecambiostecnológicos
Análisis y resolución de las causas que generan los diferentes problemas y
errores.
Figura.1.3.ProcesosdestacadosmedianteelpasodecadaniveldelCMMI.
| 16
Figura.1.4.ModeloCMMI:ÁreadeProcesopornivelyCategoría.
Paraquecadaorganizaciónpuedaenfocarlamejoradesusprocesosseespecifica
en cadaniveldemadurezun conjuntodeáreasdeproceso, que sedescribenen
términosdeprácticas,estassonunconjuntodeactividadesquecontribuyena la
implementacióneficientedeunáreadeproceso,sisecumplentodaslasprácticasy
se satisfacen todas las áreas de proceso de un determinado nivel entonces la
empresapodrácertificarseeneseniveldemadurez.(Martínez,2006).
EnCMMI como en otrosmodelos deCalidad se tienen en cuenta lasmediciones
comodatosnecesariosparaelcálculodemétricas.Estasdebenserseleccionadas
por cada desarrollador de software en cualquier proyecto, o en general por el
equipodetrabajo.
| 17
1.5.2. MOPROSOFT.
MOPROSOFTesunModelodeProcesosparalaIndustriadelSoftwareMexicanoque
seutilizaconelfindemejoraryevaluarlosprocesosdedesarrolloymantenimiento
desistemasdesoftware.
Acontinuaciónsemuestrasuestructurageneral:
Figura.1.5.EstructuraMOPROSOFT
Algunasdesuscaracterísticasprincipalesson:EstáfundamentadoenelmodeloSW‐
CMM,elestándarISO9000yelreportetécnicoISO/IECTR15504;Laadopciónde
MoProSofthabilitalaobtencióndeuncertificadoISO9000yreducelabrechapara
la obtención de una evaluación CMMI nivel 2; Debido a su estructura y diseño,
resultadefácilcomprensiónyaplicación.
| 18
Adoptar estemodelo posibilitará a las pequeñas ymedianas empresas evaluar la
capacidad que tengan para ofrecer servicios con calidad y alcanzar niveles
internacionales de competitividad; ayudándolas a estandarizar sus prácticas al
evaluarsuefectividadeintegrarlamejoracontinua.
1.5.3. GestióndelaCalidad:NormaISO9001:2008.
La ISO9001:2008eselmarcoapropiadoparagestionareficazmente laempresay
satisfacerlasnecesidadesdelosclientes.Laadopcióndeestanormalepermitiríaa
cualquier empresa aumentar su participación en el mercado, reducir sus costos,
gestionarlosriesgosconmayoreficaciaymejorarconsiderablementelasatisfacción
delosclientes.Estanoesunanormaespecíficaparalaindustriadelsoftware.
1.5.4. ISO 15504 (SPICE, Software Process Improvement and CapabilityDetermination).
ISO/IEC 15504 es un emergente estándar internacional de evaluación y
determinación de la capacidad y mejora continua de procesos de ingeniería del
software, con la filosofía de desarrollar un conjunto de medidas de capacidad
estructuradas para todos los procesos y participantes en el ciclo de vida de
desarrollo del sistema. Es el resultado de un esfuerzo internacional de trabajo y
colaboraciónytienelainnovación,encomparaciónconotrosmodelos,delproceso
paralelodeevaluaciónempíricadelresultado.
| 19
Estanormaproporcionaunmarcode trabajopara laevaluaciónde losprocesosy
establecelosrequisitosmínimospararealizarunaevaluacióndeformaconsistente.
Actualmente estanormaestá estructurada en sietepartes, como semuestra en la
figura1.6.
Figura1.6.EstructuradelanormaISO/IEC15504.
1.6. EstándaresIEEE.
IEEEsonsiglasdelInstituteofElectricalandElectronicsEngineersquetraducidoal
español es el Instituto de Ingenieros en Eléctrica y Electrónica el cual es una
asociación internacional conformada por profesionales especializados de todas la
disciplinas de la ingeniería y se dedican fomentar el avance de la innovación
tecnológica mediante la publicación de estándares, conferencia, actividades
profesionalesyeducativas,entreotrascosas,paraelbeneficiodelahumanidad.
| 20
El conjunto de estándares están son para áreas técnicas derivadas de la eléctrica
original, tales como: ingeniería computacional, tecnologías biomédica, ingeniería
eléctrica,electrónica,telecomunicaciones,etc.
A continuación se mencionan algunos de estos estándares para el área de la
ingenieríadelsoftware:
IEEE610‐12(SoftwareEngineering):Aplicacióndeunenfoquesistemático,
disciplinado y cuantificable al desarrollo, operación (funcionamiento) y
mantenimientodelsoftware.
IEEE830‐1998:estándarparalaIngenieríadeRequisitos.
IEEE1058‐1998:estándarparalaPlanificacióndeProyectosdeSoftware.
IEEE1062‐1998:estándarparalaGestióndelaSubcontratacióndeSoftware.
IEEE730‐2002:estándarparaelAseguramientodelaCalidaddelSoftware.
IEEE828‐1998:estándarparalaGestióndelaConfiguracióndelSoftware.
1.7. Mejoresprácticasparaelaumentodelaproductividad.
Existen un conjunto de mejores prácticas para aumentar la productividad en el
proceso de desarrollo de sistemas, entre ellas se destacan el Proceso Personal de
Software (PSP) y el Proceso de Software en Equipo (TSP) que son las que se
describiránenlossiguientesapartados.
| 21
1.7.1. ProcesoPersonaldeSoftware(PSP).
El proceso Personal de Software fue diseñado para ayudar a los ingenieros de
Software a hacer bien su trabajo. Muestra a los Ingenieros cómo: administrar la
calidad de sus proyectos,mejorar las estimaciones y planificaciones y reducir los
defectosdesusproductos.(Scalone,2006).
PSPdefineunprocesodemejoraque contieneuna serie de pasos a seguir por el
ingenierodemaneraquepuedaretroalimentarseteniendoencuentaelobjetivoque
persigue y de qué forma puede cambiar su proceso para lograr los resultados
esperados. En este sentido tomaunpapel fundamental lamedición, pues ayuda a
diagnosticar el problema y una vez tomadas las medidas pertinentes, valorar la
mejoradelosresultados.(VerFigura1.7).
Figura1.7.ProcesodeMejorasegúnelPSP
ElPSPesunprerrequisitodelplaneamientodelaorganizaciónparaproducirelTSP
(Scalone,2006).
| 22
1.7.2. ProcesodeSoftwareenEquipo(TSP).
El desarrollo de sistemas es una actividad en equipo, y la efectividad del equipo
determina la calidad de la Ingeniería. En esta, los equipos de desarrollo tienen
múltiplesespecialidadesy todos losmiembros trabajanenvistadeunobjetivoen
común.(Scalone,2006).
ElTSPesunprocesoparaconstruir,guiara losequiposarealizarbiensu trabajo
mediante laaplicacióndebuenasprácticasde ingenieríadesoftwareencada fase
del ciclo de desarrollo, ayudándolos a controlar, administrar y mejorar los
resultadosdelequipo.SebasaenlosprincipiosdelPSP.(Humphrey,2000;Scalone,
2006).
PSP y TSP fueron diseñados para soportar los objetivos de CMMI en los niveles
individuales y de equipo de proyecto respectivamente, casi siempre son usados
juntos en un proyecto y las actividades de “Medición y análisis” ya que son
fundamentalesparaambos.(Scalone,2006)
1.8. Auditoríadesistemas.
EnestecapítulosemuestranlosantecedentesdelaAuditoría,losdiferentestiposde
auditoríasylosconceptosmásrelevantesdelaAuditoríadesistemas.
| 23
1.8.1. Antecedentes.
Amedidaqueseexpandíaelcomercio,enpueblos,ciudades,estadosy finalmente
encontinentes,umovidosporsuconstantecrecimiento,tantoenvolumencomoen
el monto de operaciones comerciales, los comerciantes tuvieron la necesidad de
establecermecanismos rudimentariosde registrosque lepermitieranmanejar las
actividadesmercantilesquerealizaban.
Tiempodespuésloscomerciantescrecieronysurgiólanecesidaddecontarconun
mejor mecanismo de registro de actividades, tanto individual como conjunto, de
igualformafuenecesarioestablecerunmayorcontrolparaconocerlasactividades
financieras.
Gracias a este crecimiento y a lamedida enque fue evolucionando, era necesario
que alguien evaluara que estos registros y resultados fueran correctos y veraces.
Entoncesserequiriótambiéndealguienqueverificaralaveracidadylacontabilidad
deesasoperaciones.Enesemomentonacióelactodeauditar.
Las primeras revisiones fueron rudimentarias y meticulosas, enfocadas
exclusivamenteacomprobarlaveracidadycontabilidaddelosregistroscontables;
esdecir suprincipalobjetivoeraverificar si las transaccioneseranregistradasde
maneracorrectaysilascantidadesenellasasentadaeranexactas.
| 24
Debido a este crecimiento era necesario que el reporte de los resultados de una
empresa también fuera avalado por un profesional independiente. Así nace
formalmentelaactividaddeauditor.
1.8.2. TiposdeAuditoría.
Habitualmente,alhablardeauditoría,enunsentidogeneralista,sesueleasociaesta,
ymientrasno se especifique lo contrario, con la auditoría financiera, por ser esta
ultimalamásextendiday laquemasaplicacióntienedesdehaceyamuchosaños.
(Las grandes firmas de auditoría cuentan, aproximadamente con un siglo de
antigüedad). Este tipode auditoría no es la única, según las funciones distribuida
físicamente conforme a las necesidades, tamaño, problemas y recursos de la
empresa,dalugaraestostiposdeauditorías:
a)Auditoríafinanciera
b)Auditoríaorganizativa
c)Auditoríadegestión
d)Auditoríadesistemasdeinformación
Veamospues,cadaunodeestostipos:
a) Auditoría financiera: es un procedimiento mediante el cual las empresas
someten al examen de un experto (sea éste de la organización o
independientedeella)su informacióneconómico‐financiera,contenidaesta
en los estados financieros, en el estado de origen y aplicación de fondos y
| 25
justificantes de los mismos, al objeto de asegurar su integridad y
razonabilidad, en concordancia con los principios de contabilidad
generalmenteaceptados.
b) Auditoríaorganizativa:Enelcampodeaplicacióndelaauditoríaorganizativa
entraríaelanálisisdelaadecuacióndelosprocedimientosestablecidosyde
lasfuncionesdistribuidasfísicamente,segúnlasnecesidadesyproblemasde
laempresa.Esnecesarioestablecersi lasdelimitacionesen las tareasestán
bien hechas para que el acabado sea perfecto, y asimismo, es necesario
comprobarquelasresponsabilidadesestánbiendefinidas
c) Auditoríadegestión:Tienepormisiónconocersi lasprincipalesdecisiones
degestiónenlaempresahansidotomadasdeunaformaconsistente.Entre
otros aspectos estudia si las informaciones existentes son suficientes y
óptimasparaapoyarladecisiónysilosprocesosdeestudiosonrazonables.
d) Auditoríadesistemasdeinformación:Eselconjuntodetécnicas,actividades
yprocedimientos,destinadosaanalizar,evaluar,verificary recomendaren
asuntosrelativosalaplanificación,control,eficacia,seguridadyadecuación
del servicio informático en la empresa, por lo que comprende un examen
metódico, puntual y discontinuo del servicio informático, con vistas a
mejorar en rentabilidad, seguridad y eficacia. Una de las misiones más
importantes de la Auditoría de los Sistemas de Información es detectar
fraudesoerroresmedianteloscontrolesoportuno.
| 26
Clasificacióndetiposdeauditoría:
Auditoría interna: Es realizada por el auditor interno, cuya relación de trabajo es
directaysubordinadaalainstitución.
Auditoríaexterna:Esrealizadaporunaempresindependienteconlatotal libertad
decriterioysinningunainfluencia.
1.8.3. Auditoríadesistemasdeinformación.
SedefinecomoelconjuntodeProcedimientosyTécnicasparaevaluarycontrolar
total o parcialmente un Sistema Informático, con el fin de proteger sus activos y
recursos,verificarsisusactividadessedesarrollaneficientementeydeacuerdocon
lanormativainformáticaygeneralexistentesencadaempresa,yparaconseguirla
eficacia exigida en el marco de la organización correspondiente. [Acha, 1994]
UniversidaddeOviedo
RAMOS GONZÁLEZ propone la siguiente definición: “La Auditoría Informática
comprende la revisión y la evaluación independiente y objetiva, por parte de
personas independientes y teóricamente competentes del entorno informático de
una entidad, abarcando todo o algunas de sus áreas, los estándares y
procedimientosenvigor,suidoneidadyelcumplimientodeéstos,delosobjetivos
fijados, los contratos y las normas legales aplicables, el grado de satisfacción de
usuariosydirectivos,loscontrolesexistentesyanálisisderiesgos”.[delPeso,2001]
| 27
La ISACA ( Information Systems Audit and Control Association) la define de la
siguientemanera:"Laauditoríadelossistemasdeinformaciónabarcalarevisióny
evaluaciónde todos losaspectos (odecualquierporcióndeellos)de los sistemas
automáticos deprocesamientode la información, incluidos los procedimientos no
automáticos relacionados con ellos y las interfaces correspondientes". [CNAACSI,
1997]
LaAuditoríadeSistemasdeInformaciónpuedeser,comolaconvencional,internao
externa.
La Auditoría Informática Interna tiene la ventaja de que puede actuar
periódicamenterealizandorevisionesglobalescomopartedesuPlanAnualydesu
actividadnormal.LosauditadosconocenestosplanesysehabitúanalasAuditorías,
especialmente cuando las consecuencias de las Recomendaciones habidas
beneficiansensiblementesutrabajo.
Siguesiendoprivativadelasgrandesempresasporsuelevadocostepermanente.
La Auditoría Informática Externa tiene también un elevado coste. Las empresas
acudenaellacuandoexistensíntomasdedebilidad,esdecircuandoseapreciaun
altogradoderiesgo.
Sepuedenestablecertresgruposdefuncionesarealizarporunauditorinformático:
[SánchezenPiattinietal.etal.,2001].
| 28
Participar en las revisiones durante y después del diseño, realización,
implantación y explotación de aplicaciones informáticas, así como en las fases
análogasderealizacióndecambiosimportantes.
Revisar y juzgar los controles implantados en los sistemas informáticos para
verificarsuadecuaciónalasórdeneseinstruccionesdelaDirección,requisitos
legales,proteccióndeconfidencialidadycoberturaanteerroresyfraudes.
Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los ?
equiposeinformación.
Piattini y del Peso [Piattini et al., 2001] establecen las siguientes áreas de la
AuditoríadeSistemasdeInformación:
AuditoríaFísica.
AuditoríadelaOfimática.
AuditoríadelaDirección.
AuditoríadelaExplotación.
AuditoríadelDesarrollo.
AuditoríadelMantenimiento.
AuditoríadeBasesdedeSistemas.
AuditoríadelaCalidad.
AuditoríadelaSeguridad.
AuditoríadeRedes.
| 29
AuditoríadeAplicaciones.
Auditoría de EIS/DSS (Executive Information Systems/Decision Support
System).
AuditoríaJurídicaDeEntornosInformáticos.
1.8.4. Controles.
Paragarantizarelbuenfuncionamientode losprocesosdeTIesnecesarioque los
ejecutivosenconjuntoconlosencargadosdecadaunodelosdepartamentosdela
organización, identifiquenlosriesgosa losqueestáexpuestalaempresayaplique
loscontrolesnecesariosparalamitigacióndeestosriesgos.
1.8.5. Definicióndecontrol.
Uncontrolsedefinecomo:Políticas,procedimientos,prácticasyestructurascreadas
parabrindarseguridadrazonabledequesealcanzaranlosobjetivosdenegociosy,
loseventosnodeseadosseránprevenidos,detectadosocorregidosconoportunidad
(mitigarlosriesgos).
1.8.6. Clasificacióndecontroles.
Loscontrolesdelaauditoríaseclasificandelasiguienteforma:
| 30
ControlesPreventivos:
Son aquellos que reducen la frecuencia con que ocurren las causas delriesgo,
permitiendociertomargendeviolaciones.
ControlesDetectivos:
Sonaquellosquenoevitanqueocurran las causasdel riesgo sinoque losdetecta
luegodeocurridos.Sonlosmásimportantesparaelauditor.Enciertaformasirven
paraevaluarlaeficienciadeloscontrolespreventivos.
ControlesCorrectivos:
Ayudan ala investigacióny corrección de las causas del riesgo. La corrección
adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de
controlesdetectivossobre loscontrolescorrectivos,debidoaque lacorrecciónde
erroresesensíunaactividadaltamentepropensaaerrores.
1.8.7. Misión,VisiónyValoresdelAuditor.
Elauditordeinformática,comotodoprofesionalquesededicaalestudiometiculoso
de lo que ejerce, precisa ser descrito con las características que lo definen, y que
describenloquehaceyelalcanceeimpactodesuslabores.Todobuenauditor,se
rigepor tresgrandesdefinicionesqueson lasquedansentidoasus funciones:su
misión,quedescribeelcompromisodetrabajoqueesterealizara,suvisión,quees
elconjuntoderesultadosidealesqueesteesperalograr,ysusvalores,quesonlos
| 31
aspectosquedictanlacorrectaformadeobrarcuandoelauditorestáenplenalabor.
Asabiendasdelaimportanciadeestascaracterísticas,esnecesarioampliaracerca
decadaunadeellasparaunmejorentendimientodelasfuncionesdeunauditor:
Misión:
Elauditordebeapoyardeformaautónoma,imparcialyencalidaddeasesor,aque
sealcancenlosobjetivosdeunadependenciaoentidadmediantelaprácticadeun
enfoque sistemático y profesional para evaluar y mejorar la efectividad de la
administracióndelriesgo,delcontrolydelosprocesos.Paraalcanzarestamisión,el
auditordebesiempretenercomoprincipalherramientalosvaloresquelodefineny
enmarcan,lograndoquesepuedanrealizarlostrabajosdeseadossinnuncallegara
unabusodepoder,ounamalainterpretacióndeloquesepretende.
Visión:
Mediantelaauditoría,brindarinformacióncompetente,quepermitaeldesarrolloe
implementacióndelosmismoscontroles,paraunamejoracontinuaqueayudeala
prevencióndefraudesinformáticos.
Valores:
Sonlaspropiedadescualitativasquedefinenalauditorcomounentedeconfianza,
losuficientementecompetentecomoparaentenderel funcionamientoactualde lo
auditado, y saber sugerir una mejora de dicho proceso analizado; todo esto sin
| 32
comprometerlaintegridadnielbienestardelosposiblesafectadosy/obeneficiados
porelcambiosugerido.
Losvaloresquetodoauditordebedeadoptar,son:
Objetividad
Honestidad
Integridad
Cumplimiento
Lealtad
Imparcialidad
Respeto
Responsabilidad
Confiabilidad
Veracidad
1.8.8. FuncionesdelAuditorInformático.
Planificareltrabajoparallevaracaboauditoríaseninformáticayelprogreso
de actividades ajustadas que permitan maximizar la eficacia del área de
sistemas.
Recolectardatosmediantetécnicascomocuestionarios,encuestas,matrices
y herramientas que contribuyan con el levantamiento de la información,
lograndoasídeterminarenquésituaciónseencuentraneláreaauditada.
Utilizarmétodosparamejorarlaimplementacióndelosplanesdetrabajo.
Llevaruncontroldelasactividadesarealizarentiemposestimadosreales.
Evaluar los sistemas computacionales, así como también, verificar los
procedimientosdecontrolyusodeestosequipos.
| 33
Verificar que los activos estén controlados y salvaguardados para evitar
pérdidasomalusodelosmismos.
Velarporel cumplimentode lasnormativas legalesy constitucionalesque
exijalainstitución.
Realizar auditorías y estudios especiales de acuerdo con programas
debidamenterespaldadospor lasnormasparaelejercicioprofesionalde la
auditoríainterna.
Realizaruncomunicadoconlosresultadosyrecomendacionesqueresulten
delugar,medianteuninformedetalladodelaauditoría.
Comprobar la aplicación de medidas correctivas y preventivas que hayan
sidodetalladasenelinformedeauditoría.
Evaluar los controles de seguridad, y comprobar que estos garanticen la
integridad y disponibilidad de los datos, así como también la
confidencialidaddelosmismos.
Determinar que el departamento de tecnología cumpla con los
procedimientosmás adecuados que garanticenunbuen funcionamientode
todoslosequiposinvolucradosenunproceso.
Evaluar de los riegos y controles establecidos para la búsqueda e
identificacióndedebilidades,asícomodelasáreasdeoportunidad.
Comprobarlaexistenciadepolíticas,normasymétodosquegaranticenuna
buenagestióninformática.
Caapítu
Aud
loII:
ditorí
Plan
íade
neaci
Siste
iónd
emas
ela
s.
| 34
| 35
2.1. Objetivosdelaplanificacióndelaauditoríadesistemas.
ObjetivosGenerales
Evaluar el funcionamiento y seguridad de los sistemas informáticos de la
empresa,así comorealizarunestudiosuficientede lasoperacionesdelmismo
que permita generar un respaldo en la emisión del informe a la auditoría
practicada.
ObjetivosEspecíficos
Evaluarsilapersonaencargadadelmantenimientoyprogramacióndelsistema
informáticodelaempresacumpleconelperfildelpuesto.
Identificar lasáreascríticas,conrespectoa laseguridaddelequipodeláreade
informática.
Diseñar losprocedimientosaefectuareneldesarrollode la auditoríadelárea
deinformática.
Establecer el alcance en cuanto a los procedimientos, de tal manera que
conduzcanalaformulacióndelinformedelaAuditoríadesistemas.
| 36
2.2. GestiónAdministrativa.
1. Conoceryanalizarlasoperacionesalascualessededicaelnegocioylaforma
en que está estructurado tanto desde el punto de vista organizacional y
administrativo, así como el organigrama, número y distribución de
empleados,sistemainternodeautorizaciones,firmas,formulariosutilizados,
secuencia de operaciones y otros aspectos similares que se realizan con la
utilizacióndelsistemainformático.
2. Verificar si se ha diseñado un manual de organización y funciones a ser
aplicadoalosyporlosusuariosdeláreadeinformática.
3. Verificar si las contrataciones del personal del área de informática se han
realizado conbase a los criterios establecidos en elmanual de funciones y
cumplenelperfildelpuesto.
4. Verificarsilaadministraciónproveeoportunamentelosrecursosnecesarios
para la adquisición del software actualizado para la protección de los
sistemasinformáticos.
5. Verificar si la administración promueve la capacitación y adiestramiento
constantedelpersonaldeláreadeinformática.
6. Verificarsilaadministraciónhaestablecidopolíticasclarasconrespectoala
adjudicacióndeclavesdeaccesoalasbasesdedatos.
7. Verificar que las instalaciones donde labora el personal del área de
informáticaesténadecuadasalasnecesidadesynorepresentenpeligropara
losempleados.
| 37
2.3. GestiónInformática.
1. Examinarlainformaciónpreliminarcorrespondientealáreadeinformática,
lacualpuedeser:
a) Interna:conocer losprocesosqueserealizandentrode laempresapara
loscualesesutilizadoelequipoinformático.
Severificarásisellevauncontroldelasoperacionesrealizadasysiqueda
un registrode losusuariosdel áreade informáticay loshorariosen los
cuales, han utilizado el equipo del centro. También se solicitará
información correspondiente a si se ha realizado en otras ocasiones
auditoríasalsistemainformático.
b) Externa: Conocimiento e identificación de los usuarios del área de
informática, así como de los proveedores de materiales y accesorios y
otrosclientes.
2. Conocimientodelasinstalacionesfísicasdelnegocio,materiales,mobiliario,
inmuebles, equipos, inventarios y otros que tienen relación al área de
informática y la ubicación de sucursales, en caso de que también utilicen
dichosistema.
3. Verificarsilosprogramasutilizadosdentrodelaentidadhansidodiseñados
específicamente para la empresa y hasta qué punto estos programas son
operativosysatisfacenlasnecesidadesdelaentidad.
| 38
4. Naturaleza y tratamiento de las operaciones realizadas por medio de los
sistemasinformáticos.
5. Cualquierotropuntodeconocimientogeneral,quecontribuyaaorientar
adecuadamentelaAuditoríadesistemasinformáticos.
6. Verificar si todo el equipo o hardware se encuentra debidamente
inventariado y se ha elaborado la respectiva tarjeta dedepreciacióndel
mismo,afindequeenelmomentoenquesevuelvanobsoletossepuedan
dardebaja.
7. Verificarpormediodepruebassilossistemasfuncionancorrectamente,
para ello será necesario contratar a un perito programador, para que
efectuélaspruebascorrespondientes.
8. Verificarsielsoftwaretienelaslicenciascorrespondientes.
9. Verificar quienes están autorizados para realizar modificaciones a los
sistemasinformáticosyquienautorizacadaunadeestasmodificaciones.
10. Enelcasodequehayaalguiendenivelsuperiorqueautoriceloscambios
y modificaciones a los sistemas informáticos, verificar si existe algún
documentoescritopormediodelcualseautoricendichasmodificaciones
osilasórdenesseefectúansolamentedemaneraverbal.
11. En el caso de que exista el registro de las solicitudes de cambios
mencionados en el punto anterior, realizar pruebas en el sistema para
verificar que se hayan realizado correctamente y que respondan a la
solicituddelagerenciaodequienlohayaautorizado.
| 39
12. Verificar quien es el responsable de autorizar los niveles de jerarquía y
niveles de acceso a utilizar dentrodel sistema y si existe algún registro
escritopormediodelcualsehayanemitidodichasautorizaciones.
13. Verificar si en la entidad se han establecido políticas con respecto a la
creación de respaldos de la información más importante, cuyo daño
pudiera afectar el funcionamiento general de la entidad en el caso de
darsesituacionesanómalasdentrodelsistemainformático.
14. Verificarsiexistenprocedimientosypolíticasencuantoa laseguridady
protección del personal que trabaja como usuario de los sistemas
informáticosdelaentidad.
15. Verificar si las claves no permiten el acceso de los usuarios a niveles
superiores,aloscualesnodeberíanacceder.
2.4. Metodologíayprocedimientos.
Cuando se desea realizar una auditoría de informática se requiere una serie
ordenada de acciones y procedimientos específicos, los cuales deberán ser
diseñados previamente de manera secuencial, cronológica y ordenada, de
acuerdoasuejecución,estosseránestablecidosdeacuerdoalasnecesidadesde
lainstitución.
Estos métodos deberán seguirse para la determinación de las herramientas e
instrumentosderevisiónqueseránutilizadosenlaevaluación.
1.Orig
4.Detequede
7.Asigsis
1desvia
gendelaaudi
erminarlospebenserevalu
gnarlosrecurstemasparalauditoría
10.Presentaracionesadisc
itoría
untosuados
rsosyla
usión
2.Visita
5.Elabopresupro
8.Aplicar
11.Elabofinalded
apreliminar
orarplanes,puestosygramas
rlaauditoría
orarborradordesviaciones
3
h
de
r 12
3.Establecero
6.Seleccionherramientas,
métodoprocedimienseránutilizad
auditor
9.Identifesviacionesa
2.Presentaredeaudito
| 40
objetivos
narlas,técnicas,osyntosquedosenlaría
ficardiscusión
elinformeoría
Caapítu
Indu
uloII
ustri
I:ElM
ade
Mund
Softw
dode
ware
ela
e.
| 41
| 42
3.1. OrganizacióndelaIndustriadelSoftwareenelMundo.Se conoce como Industria del Software al sector en el cual se llevan a cabo un
conjunto de procesos que abarcan desde la investigación, desarrollo,
comercializaciónydistribucióndeunproductoconocidocomosoftware,sistemao
aplicación.
Ensus iniciosesta industriasevioafectadapor lacrisisdelsoftwareyapesarde
que ha ido evolucionando, aún existen problemas con el software ya que en la
mayoríadeloscasos,losnivelesdecalidadnosonlosesperadosylosproyectosno
terminaneneltiemponiconloscostosestimados.Elfracasodetantosproyectosde
softwareoriginólacreacióndeunmodelodemadurezdeprocesoseneldesarrollo
del software (CMM) utilizado para combatir esta problemática. Desde entonces, a
esta gran industria se han integrado estrategias como: nuevas técnicas y
herramientasparaeldiseño, laprogramaciónygestiónde losproyectos,modelos
paraeldesarrollodesoftware,normasyestándaresparalamejorayevaluaciónde
procesos y mejores prácticas para el aumento de la productividad. Todas ellas
enfocadashaciaunobjetivoencomún:lograrelaseguramientodelacalidadenesta
industria.
Actualmente se vive en mundo globalizado y éste concepto se encuentra
íntimamente relacionado con la expresión “No existen fronteras”, por lo cual el
desarrollo del software ya no tiene demarcaciones territoriales y se están
desarrollandosistemasencualquierpaísdelmundo.Muchospaísesestánrealizan
esfuerzos para encaminarse hacia el desarrollo de la industria, implementando
| 43
estrategias como las mencionadas anteriormente, mientras que otros solo han
dejadoestoenpapeles.
La industria del software está sujeta al desarrollo económico de cada país y en
funciónalascondicioneseconómicasdeeste,sedesarrollaeimplementaenformas
distintas ya que cada uno posee características y economías disímiles y por ello
adoptanlavíaquelesseamásfavorable.
El liderazgo en cuanto al desarrollo de las nuevas tecnologías lo siguen teniendo
aquellos países que se encuentranmás desarrollados. Esto puede evaluarse en el
rankingdedisponibilidaddelasnuevastecnologíaspublicadoporelForoMundial
(2009)paraelperíodocomprendidodesdeelaño2008hastael2009,enelcualse
aprecia que de los 134 países incluidos, las diez primeras posiciones la ocupan
economíasdelprimermundo,talcomosemuestraacontinuación:
Tabla3.1.Disponibilidaddelasnuevastecnologías2008‐2009
Ranking Economía Valor1 Dinamarca 5.852 Suecia 5.843 EstadosUnidos 5.684 Singapur 5.675 Suiza 5.586 Finlandia 5.537 Islandia 5.508 Noruega 5.499 Holanda 5.4810 Canadá 5.41Fuente: Informe global de las tecnologías de la información 2008‐2009. ForoEconómicoMundial.
| 44
Según lo expresado en el Foro Económico Mundial, los países nórdicos, son los
primeros, tanto en Europa como en América del Norte y el mundo, en
disponibilidad,usoydesarrolloenlasnuevastecnologías,porellohanidoocupando
lasprimerasdiezposicionesenlosúltimosochoaños(2000‐2008).
Autores como Arora y Gambardella han estudiado y publicado casos sobre el
desarrollodelaindustriadelsoftwareenalgunaseconomíasemergenteycitarona
laIndia,IsraeleIrlandacomotresexportadoresemergentesdesoftware.
Expresaronquecadaunodeesospaísestuvounaprovisiónabundantedemanode
obratécnicaexpertaysobresalieronenimportantesmercadosdeexportaciónporlo
quepudieronbeneficiarsedelaugedelademandainternacional.
EnelcasoespecíficodelaIndiasepuedeobservarquevasurgiendocomounagran
potencia en la producción de software en los últimos tiempos. En el año 2005 la
India obtuvo un monto de 17 mil 200 millones de dólares por conceptos de
subcontratación de servicios y exportaciones de la industria del software y la
información.Estacifrapodríaelevarsea60milmillonesanualespara2010,según
pronósticosdeNasscomyMcKinseycitadosenElEconomistadeCuba(2009).
Muchospaísesdelmundosehandadocuentadelaimportanciaqueestátomandola
industria del software y es por ello que están desarrollando estrategias e
implementandomedidasparapoderavanzarenestesentido.
| 45
3.2. LaIndustriadelSoftwareenAméricaLatina.
Actualmente existen varios convenios y alianzas que promueven el desarrollo de la
industriadelsoftware.Aspectoscomolacalidaddelosprocesosydelsoftwaretambién
sehantomadomuyencuenta,peroporlafaltadenormasespecificasparaestospaíses
deLatinoamérica(economíasendesarrollo),yelcontinuoafánquepresentanparaque
sus productos de software sean reconocidos y exportados a nivelmundial, no les ha
quedado otra opción que aplicar normas y modelos pensados para economías del
primermundo.
Accionescomolasdescritasenelpárrafoanteriorllevanapensarsi¿esposibleaplicar
los modelos y herramientas para guiar el mejoramiento del proceso de software en
forma directa a una empresa informática altamente inmadura de América Latina?
(Bedeni, 1999), y aunque la mayoría los modelos se desarrollaron basados en
economíasmuydistintaalaquesepresentanenlapaísesdeAméricaLatina,estenoes
elúnicofactordeimportancia.
Tresdelosfactoresconsideradosimportantesenlarealidadlatinoamericanason:
1. Eltamañotantodelaempresa,proyectoadesarrollaryequipodetrabajoe
intervalodetiempoantesdever losresultadosdela implementacióndeun
modelo demejoras de procesos, este último conmucha relevancia ya que
normalmente no se suele esperar y si la metodología no da resultados
inmediatosesdescartada(Guerrero,1998).
| 46
2. La educación puesto que según estudios realizados por la contraloría de
Estados Unidos los problemas de calidad presentados en la industria del
softwaresedebenalasignoranciastécnicasdelosingenierosdesoftware.La
enseñanzaseestábasandomásenelproducto final,noenelprocesoy los
pasosarealizarparaobtenerunresultadoquecontengacalidad,esporello
queenlaactualidadvemosingenierosdesarrollandosistemassinrealizarlas
planificacionesnecesarias,omitiendofasesdeanálisisydemásparaempezar
acodificarsinhaberrealizadolasdocumentacionesnecesarias.
3. Laalta tecnologíaque seentiendedebeposeerunpaísparapodercumplir
las exigencias de las normas y modelos, pero esto trae consigo una gran
inversióneconómica,no tan solopara la adquisiciónymanteamientode la
misma, sino hay que cuantificar el costo que involucra el entrenamiento,
personal,tiempoinvertido,etc.,(Benedi,1999).
Vistoestopodríapensarsequees imposiblealcanzarestascertificacionespara las
empresasde lospaísesdeLatinoamérica,peronoesasíyesporelloqueseestán
aunandoesfuerzosparalogrartalesobjetivos,porejemplo:laindustriadelsoftware
enAméricaLatinacuentaconasociacionesdecooperación,surgidaspordiferentes
iniciativasdeintegración,quetienencomoobjetivopropiciarpolíticas,mejorarlos
mercados y las cadenas de distribución, ayudar a sus asociados a mejorar sus
capacidades competitivas y buscar alternativas de desarrollo de programas en
conjunto para beneficiosmutuos, de aquí surge la Federación de Asociaciones de
| 47
Latinoamericana,elCaribeyEspañadeEntidadesdeTecnologíasdelaInformación,
queasocianumerosasempresasdeLatinoaméricayelpaísibérico.
Tabla3.2.EntidadesasociadasalaFederacióndeAsociacionesdeLatinoamericana,
elCaribeyEspañadeEntidadesdeTecnologíasdelaInformación(ALETI).
País Empresa
Argentina CESSI ‐ Cámara de Empresas de
TecnologíadeInformacióndeArgentina.
Bolivia CBTI‐CámaraBolivianadeTecnologías
delaInformación
Brasil ASSESPRO ‐ Asociación de Empresas
Brasileñas de Tecnología de
Información.
Chile ACTI ‐ Asociación Chilena de Empresas
deTecnologíadeInformación.GECHS
Colombia FEDESOFT‐ Federación Colombiana de
laIndustriadelSoftwarey
TecnologíasInformáticasRelacionadas.
CostaRica CAMTIC ‐ Cámara de Empresas de
Tecnología de Información y
Comunicaciones.
Cuba INCUSOFT ‐ Industria Cubana del
Software.
| 48
Ecuador AESOFT ‐ Asociación Ecuatoriana de
Software.
Guatemala SOFEX ‐ Comisión de Software de
Guatemala.
México AMITI ‐ Asociación Mexicana de la
Industria de Tecnologías de la
Información.
Panamá APS‐AsociaciónPanameñadeSoftware.
Paraguay APUDI ‐ Cámara Paraguaya de la
InformáticaylasTelecomunicaciones.
Perú APESOFT ‐ La Asociación Peruana de
ProductoresdeSoftware.
RepúblicaDominicana ADOSOFT ‐ Asociación Dominicana de
Software.
Uruguay CUTI‐CámaraUruguayadeTecnologías
delaInformación.
Venezuela CAVEDATOS ‐ Cámara Venezolana de
Empresas de Tecnologías de la
Información.
España AETIC ‐ Asociación Española de
Tecnologías de Información y
Comunicaciones.
| 49
3.3. RepúblicaDominicanayeldesarrollodesoftware.
Laeconomíay latecnologíavandelamanoeneldesarrollodecualquierpaís.Por
poseerestepaísunaeconomíaenprocesodedesarrollo, la industriadel software
dominicananohaalcanzadounnivelsignificativo.Másbiensepodríadecirqueesta
industria está en sus inicios, ya que la mayoría de aplicaciones utilizadas en las
grandesempresassonproducidasenelextranjero.
República Dominicana tiene un gran potencial para lograr el desarrollo de la
industriadelsoftware.Porejemplo:elsectordelastelecomunicacioneshasidouno
de los pilares del crecimiento económico en los últimos años, siendo uno de los
países con mayor aporte del sector telecomunicaciones al total de la economía
nacionalenelcontextodeAméricaLatina.Asíloreflejanlasestadísticaspublicadas
recientemente por el Banco Central. Las telecomunicaciones han tenido un
crecimientosostenidodedígitosporaño,contasasdecrecimientodel25%durante
elaño2005y2006,conunaportealPIBsuperioral10%poraño,llegandoal16%
enelaño2008”.
Enelaño2010sealcanzólateledencidadtelefónica,esdecir,queexistenmásde10
millonesdelíneastelefónicas,cifraquesobrepasalacantidaddedominicanos.43
Algunasdelasaccionesadoptadasquecontribuyenconeldesarrollodelaindustria
delsoftwareson:
| 50
Proceso de automatización de las instituciones del estado dominicano,
iniciadoenelaño1996.
Actualizacióndelospensumparaquelascarrerasimpartidasvayanacorde
conlasnecesidadestecnológicasrealesdelmercadonacional.
Creación de nuevas carreras para que los egresados posean perfiles
orientados exclusivamente en la ingeniería del software, tal como lo es el
caso del Instituto Tecnológico de Santo Domingo (INTEC) que abrió una
nuevacarreraparaimpartir“IngenieríadeSoftware”,dentrodesusofertas
académicasdegrado6.
LaUniversidadAPEChadesarrolladoyposteriormentepondráadisposición
delestudiantadounodelospensummáscompleto,moderno,actualizadoy
adecuado a la realidaddelmercado laboral en el área de la Ingeniería del
Software.
Diversa universidades dominicanas se encuentra reformulando y/o
haciendo lasmodificacionesde lugarparaorientar lospensumdeláreade
informática hacia la Ingeniería del Software, lo que demuestra la
consistencia que existe hoy en día de la gran importancia que posee la
IngenieríadelSoftwareparaqueelpaístengaunavancesignificativoysiga
encaminando suspasoshacia laproducciónde softwarede calidadanivel
mundial.
CreacióndelInstitutoTecnológicodelasAméricas(ITLA)enelaño2000.
Creacióndelgobiernoelectrónico.
| 51
Año 2010 creación de la Cámara Dominicana de las Tecnologías de
Información y la Comunicación, Inc. (CAMARA TIC), con el objetivo de
impulsar lacompetitividadyestimularuncrecimientosostenidodelsector
TICen laRepúblicaDominicana,procurandoque lasempresasTICpuedan
beneficiarse,parasudesarrollo,de lasmejoresprácticasyexperienciasde
paísesquehansidoexitososeneldesarrollodeestesector,destacándoseen
lainnovacióndeproductosyserviciosdealtatecnología”.
GraciasalapoyoprestadoporlaCAMARATICfueposiblellevaracaboenla
FundaciónGlobalDemocraciayDesarrollo(FUNGLODE),eldía11demarzo
del2010,elconversatoriotitulado“Seguimientoalaagendadelsoftwareen
República Dominicana”, presidido por el profesor Emanuel Gruengard,
director y fundador de la Facultad de Software en el Shenkar College of
Engineering & Design de Israel y la doctora Judith Oneill, especialista en
telecomunicaciones.
Desarrollodeprogramasdeestudioenlosgradosdemaestríasydoctorados
paralacarreradeIngenieríadelSoftware.
Creación de la Comisión Nacional para la Sociedad de la información y el
Conocimiento
ProgramadedesarrollodeCentrosTecnológicosComunitarios,desarrollado
porelINDOTEL.
Programa de acceso gratis a internet desarrollado por la Secretaria de la
JuventudeINDOTELanivelnacional.
| 52
Año 2010 surge el DR ClusterSoft que es una asociación de empresas
tecnológicasyentidadesacadémicasdominicanasconelsoportedeoficinas
gubernamentalesinteresadasenfomentarelcrecimientodelaindustriadel
softwareenelpaís.
3.3.1. EmpresasDominicanasdesarrolladorasdesoftware.
Acontinuaciónsepresentanalgunasempresasdominicanasqueseencuentranenel
sectordeldesarrollodelsoftware:
NewtechSRL.
Empresatipooutsourcingespecializadaeneldesarrollodetecnologíaycallcenter.
ArgentumInc.
TienesusorígenesenEnerodelaño2007yesunaempresadedicadaalaprovisión
deserviciosdeconsultoríaespecializadaenIngenieríadeSoftware,Automatización
deProcesos,CalidaddeSoftwareyDesarrollodeSoftware,consedeprincipalenla
ciudaddeSantoDomingo,RepúblicaDominicana.
TecnologíaIntegraldelCaribe.
Empresa dominicana dedicada a brindar servicios tecnológicos con la más alta
calidad adaptándose a lasnecesidadesde sus clientes. Cuenta conunpersonal de
amplia experiencia en lo relativo a consultoría, desarrollo e implementación de
| 53
soluciones tecnológicas, posee recursos Técnicos y Operativos para ofrecer los
serviciosquesusclientesnecesitan.
Infonovación.
Esunafirmadeconsultoríaquetienecomoobjetivoelmejoramientodeprocesosy
automatización de operaciones con el uso de las nuevas tecnologías de la
información aumentando la productividad de sus clientes al desarrollar e
implementar potentes soluciones que utilicen un software efectivo y, a la vez,
cercanoalusuario.
Tiene por misión Proveer soluciones tecnológicas y servicios de consultoría que
incrementenlacompetitividaddenuestrosclientes.
CAMInformática,S.A.
Fundada en1993,CAM Informática, S.A. naciópara establecerunnuevonivel de
calidad en el desarrollo de Software en la República Dominicana. Actualmente
poseenunprocesodedesarrollode software alineado con todos los objetivosdel
nivel 2 y gran parte del nivel 3 del SEI‐ CMMI® (Capability Maturity Model
Integration), certificación de calidad establecida en la industria para las
organizacionesdesoftware.AsíCAMofrecesolucionesydesarrollodesoftwareala
medidaparavirtualmentecualquiertipodepropósitoconelmejorniveldecalidad
disponibleenelmercado.
CappítulooIV:
Info
SoluT
ormát
Tech
ticos.
Siste
.
mas
| 54
| 55
4.1. Introducción.
SehaelegidocomocontextoespecialalaempresaSoluTechSistemasInformáticos
por ser una de las empresas con más ventas de servicios de software a nivel
nacional.Desarrollandosoftwareparaprestigiosascompañíasdedicadasadistintos
serviciosenladeRepúblicaDominicana.
ActualmenteSoluTechSistemasInformáticosnuncaharealizadounanálisisdelas
prácticasdeauditoríaeneláreadelaseguramientodelacalidad.
HoyporhoylaempresaseencuentracertificadabajolosestándaresISO/IEC27001,
designaciónotorgadaporlaBritishStandardsInstitution.
4.1.1. Antecedentes.
SoluTech Sistemas Informáticos, es una empresa dominicana dedicada a proveer
soluciones tecnológicas,pormediode la implantaciónde sistemas,del serviciode
análisis, diseño y desarrollo de aplicaciones de negocios e institucionales, de la
exportación,importaciónyrepresentacióndesistemasyequiposinformáticosdela
másaltacalidad,ydelentrenamientoyqueaseguranelmejorfuncionamientodelos
mismos.
Surge en los inicios del año2005, con la uniónde capital financiero e intelectual,
comounainiciativadedossociosfundadoresquienessehabíandesempeñadocomo
altoslíderesenelsectortecnológico.
| 56
En losprimeros añosde labor la empresa SoluTech Sistemas Informáticos realizó
ventasdesistemasdeprocesamientosdetarjetasdecréditoydedebitoadistintos
bancos del país, lo cual le dio un gran posicionamiento dentro del área de los
sistemasbancariosanivelnacional.
Actualmente SoluTech Sistemas Informáticos, se compone por un emprendedor
equipodeprofesionalesqueconjugaungranacervodeconocimientostecnológicos
y gerenciales, derivados de la experiencia directa, por más de diez años, en el
ambienteempresarial.
En SoluTech Sistemas Informáticos las estrategias de negocios hacen posible la
creacióndevalorparasusclientes.
Eldesarrollodeaplicaciones,asícomolapuestaenproduccióndelossistemas,bajo
elconceptodellaveenmano,sonpartedesusespecialidades.
4.1.2. Misión,VisiónyValores.
Misión
Proveerasusclienteslasmejoressolucionestecnológicasquesatisfacenoportunay
eficientemente,susmásaltosrequerimientosoperativosydenegocios.
Visión
Ser lamejor compañía de servicios tecnológicos demás valor agregado para sus
clientes, basados en la más alta relación costo beneficio de sus soluciones y la
ex
p
V
E
in
4
E
In
q
xcelencia e
ersonal,yg
Valores
ntresusva
ndependenc
4.1.3. Estruc
n la figura
nformáticos
uerealizan
Figur
Capacitac
Análisis
en el servi
garantizando
loresseenc
ciadecriter
cturaOrga
a 4.1 se p
sydebajod
encadapu
a4.1.Estru
Área Tecnic
ción
s
icio, prove
ounaadecu
cuentran:El
rio,respeto
nizativa.
resenta la
delmismou
estodetrab
cturaOrgan
ca
Soporte Técnico
Desarrollo
Ad
yendo opo
uadarentab
lcumplimie
alindividuo
estructura
unabrevede
bajo.
nizativadeS
Adminis
o
ProC
Asistente dministrativa
ortunidades
bilidadpara
ento,laética
oylasolida
a organizati
escripciónd
SoluTechSi
stración
oyectos y Calidad
de crecim
suscapitali
aprofesiona
aridad.
iva de Solu
delasfuncio
stemasInfo
Negocios
Finanzas
Servicios
Canales
miento par
istas.
al,laconsta
uTech Siste
onesprincip
ormáticos
| 57
a su
ancia,
emas
pales
| 58
Administración:Planificar,organizar,dirigirycontrolartodaslasactividades
delaempresa.
AsistenteAdministrativa:Asistenciatelefónicaypersonalaclientes,gestión
de solicitudes de cotización y compra a los suplidores, elaboración de
cotizacionesyfacturasalosclientes,manejodecuentasporcobrarycuentas
porpagar.
ÁreaTécnica:SupervisiónGeneraldeÁreasTécnicas,análisis,programación,
soporteycapacitación.
Negocios:Mercadeoyventadesolucionesyserviciosqueofertalaempresa,
recursoshumanos,manejodefinanzasyserviciosgenerales.
Análisis:Levantamientoyanálisisderequerimientos,diseñodelsistema.
Desarrollo:desarrollodelsistemaypruebasinternasdefuncionalidad.
Soporte: Soporte a usuarios de sistemas y mantenimiento de aplicaciones
existentes.
Capacitación:Entrenamientosausuariosdelossistemas.
ProyectosyCalidad:Gestióndeproyectos,pruebasdecalidadycertificación
delaspruebasdecalidad.
Contabilidad: Procesamiento y registro de las operaciones financieras,
controldeactivosfijos,generaciónestadosfinancierosyreportes.
Servicios: Mensajería, archivo y mantenimiento instalaciones físicas de
trabajo.
Canales:Otrosmediosparalapromociónyventa.
| 59
4.1.4. PortafoliodeProductoryClientes.
Enesteapartadosemostraráunalistadelassoluciones,serviciosyalgunosdelos
clientesqueposeeSoluTechSistemasInformáticos.
Soluciones
TransCardSystem:ProcesamientoIntegraldeTarjetasdeCréditoyDébito.
iCollector System: Gestión Cobros Masivos de TC, préstamos, seguros,
facturas.
iThot System: ERP, Proyectos Construcción, Gestión Inmobiliaria, RR.HH,
ActivosFijos.
NORTON Antivirus: Protección Antivirus Integral de alta seguridad y
desempeño.
MicroStrategy:Reporteo,OLAP,SIG,DataMiningyBIDelivery.
Microsoft:TodoslossistemasyherramientasMicrosoft.
Servicios
Desarrolloeimplantacióndesistemas.
Análisis,programaciónymantenimientodeaplicaciones.
CableadoEstructuralyConfiguracióndeRedesdeDatos.
| 60
AlgunosdesusClientes
BancoBDI
BancoBHD
BancoCaribe
BancoPopular
BancoSantaCruz
Cosefi
AAPLaVegaReal(ALAVER)
CesarIglesias
SegurosHumano
4.2. MetodologíaActualparaeldesarrollodesusSistemasutilizadaen
SoluTechSistemasInformáticos.
Laempresa,hastaelmomento,hautilizadoelmodelodedesarrolloencascada,con
algunos ajustes. Existe unmanual de políticas y estándares para la programación
que fue desarrollado en base a un estándar nacional adaptado al mercado
dominicanoyalarealidaddelaempresa.
Lasactividadesmacroidentificadasensuprocesodedesarrollodesoftwaresonlas
siguientes:
1.Levantamientoderequisitos.
2.Cronogramadetrabajo.
| 61
3.Diseñoyanálisisdelsistema.
4.Desarrollodelsistema.
5.Pruebasinternas.
6.Certificacióndelsistema.
7.Envíoaproducción
Elproceso iniciacuandoelclienterealizaunapetición(requerimientos)yaseade
modificación, adaptación, reajusto o desarrollo de un sistema. Las solicitudes son
analizadaspor la administración y el personal técnico correspondiente y luego se
pautaunareuniónconelclienteparadebatiryaclararcualquierdudaencuantoa
losrequerimientos.
Luego que los requerimientos quedan claros la empresa prepara un Plan Project,
quecontieneelcronogramadeactividades,tiemposycostoestimadodelproyecto,
entreotrascosas,elmismoseleenvíaalcliente.
Cuandoambaspartesseponendeacuerdoentonces,seempiezaelprocesointerno
de análisis, diseño y desarrollo de la solución. En el transcurso del desarrollo el
mismo programador va realizando las pruebas de funcionalidad interna de lugar,
para validar que lo que esta codificando cumple con las funcionalidades
especificadas.
| 62
Luegoquesecodifican losrequerimientossepasaalpersonaldecalidadparaque
realice las pruebas de lugar y certifique que el sistema cumple con los
requerimientosespecificadosporelcliente.
El siguiente paso es entregar el sistema contra requerimientos al cliente y ellos
pruebanyvalidanque esta correctoo en su lugar sedevuelvepara corregir si se
encontrarondefectos.
Finalmente el sistema es pasado a producción y luego empieza la fase de
mantenimiento.
Todos los documentos generados en cualquiera de estas fases son almacenados y
archivadosenlacarpetadelproyectoalcualcorresponde.
4.3. PrácticasdeauditoríautilizadasporSoluTechSistemasInformáticos.
Actualmente la empresa SoluTech Sistemas Informáticos no cuenta con un
departamentoopersonaldedicadoalamanejodelaauditoríadesistemas.
4.4. Técnicasyherramientasdeinvestigaciónutilizada.
Las técnicas y herramientas de investigación utilizadas para el levantamiento de
informaciónfueronlassiguientes:
CuestionariosyEntrevistasparaanalizarlasituacióndelaempresaymedir
elnivelde calidaddelprocesodedesarrollo ymantenimientode software.
| 63
Fueron entrevistados todos los directivos, y todos los
analistas/desarrolladoresylaasistenteadministrativa.
Observaciónparaevaluarelprocesoactualdedesarrolloyaseguramientode
lacalidadqueposeen.
Análisisdetodaladocumentaciónsuministrada.
4.5. ResultadosdelaInvestigación.
Acontinuaciónsepresentaránlosresultadosdelasinvestigacionesrealizadas
durantelaelaboracióndeestetrabajo.
ObjetivosdelainvestigaciónA.Compilarinformacionesrelevantessobrelaempresa.
B.Comprobarsisegestionanlosrequisitosdesoftware.
C.Determinarsiseplanificanlosproyectosdesoftware.
D.Comprobarsisesupervisaysedaseguimientoalosproyectos.
E.Comprobarsisetomanlasmedidascorrectasparaelaseguramientodelacalidad.
F.Comprobarsiserealizanauditoríasaláreadeaseguramientodelacalidad.
| 64
Resultados
Informacióngeneralsobreelencuestadoylaempresa.
Lapersonaentrevistadaposee4añosenlaempresay13añosdeexperienciaenel
área de producción de software y aseguramiento de la calidad de software.
Actualmenteesdirectivoanivelorganizacionalytambiénrealizaotrasactividades
como: Dirigente de proyectos, revisión de requerimientos, diseño y desarrollo,
controldecalidad.
Laempresaposee6añosdeexistenciadedicándosealdesarrolloycomercialización
de aplicaciones y servicios informáticos de diferentes tipos. Está orientada
principalmentealsectorfinancieroanivelnacional.
La empresaposeeunmanualdepolíticasy estándarespara laprogramación.Fue
desarrolladoenbaseaunestándarnacionaladaptadoalmercadodominicano.
GestióndeRequisitos.
Paraestaáreadeprocesoseobtuvieronlossiguientesresultados:
Se utilizan los requerimientos de sistemas para realizar estimaciones de
elementos relacionados con el proyectos tales como: tiempo de duración,
costos,recursos,etc.
Cuando los requerimientos del sistema cambian se ajustan los planes y
actividades relacionadas con el proyecto de software siempre y cuandono
| 65
sea una adición de requerimientos, para este caso se deja todo igual y se
anexalonuevoaloqueestaba.
Elpersonaldeláreatécnicainvolucradoenalgúnproyectodesoftwareposee
conocimientos básicos sobre los procedimientos llevados a cabo para
gestionar los requerimientos de software pero no se sigue una política
organizacionalescritaparaello.
Lasactividadesparalagestióndelosrequisitosdesoftwareestánsujetasa
revisionesdeaseguramientodelacalidad
Planificacióndeproyectosdesoftware.
Paraestaáreadeprocesosehallóque:
Cada proyecto de software posee una carpeta en donde se archivan los
documentos concernientes a estos, tales como: cotizaciones, plan del
proyecto, etc. Los mismos reflejan las actividades a realizar y los
compromisosestablecidosparacadaproyecto.
No se sigue algunapolítica organizacional escrita para el planeamientodel
proyectodesoftwareperosisesuministranlosrecursosparaelmismo.
ParalagestióndelproyectoseutilizalaherramientaMicrosoftProject.
| 66
Supervisiónyseguimientodelosproyectos.
Paraestaáreadeprocesoseobtuvoque:
Los resultados reales de los entregables de cada proyecto de software son
comparadosconlosplaneadosencadaunadelasfasesdelproyecto.
Sisevisualizaquelosresultadosrealesseestándesviandosignificativamente
del plan inicial del proyecto se toman acciones correctivas como asignar
nuevopersonal.
Loscambiosenloscompromisosdelproyectodesoftwaresonacordadospor
todoslosindividuosygruposafectados.
El líder de proyectos se encarga de dar seguimiento y controlar las
actividadesderelacionadasconelproyectodesoftware.
Aseguramientodelacalidad.
Alapreciarestaáreadeprocesoseobtuvoque:
Launidaddeaseguramientodelacalidadestáconformadaporunapersona
que además de esta actividad también lleva a cabo labores de: análisis,
entrenamientoyotras.
Enelplandeproyectoseplanificalasactividadesarealizarparaasegurarla
calidaddelsoftware.
Elaseguramientosuministraunaverificaciónobjetivadequelasactividades
yproductosdesoftwaresecorrespondenconlosprocedimientos,estándares
aplicablesyrequerimientosdelsoftware.
| 67
Los resultados de las revisiones de aseguramiento de la calidad son
informadosatodoslosindividuosygruposafectados.
Auditoríaeneláreadeaseguramientodelacalidad.
Alapreciarestaáreadeprocesoseobtuvoque:
Actualmentenoexisteningúnprocedimientooplanqueseencarguede
auditareláreadeaseguramientodelacalidad.
CaapítuuloV:
:Plannde
78
Mejoora.
| 68
| 69
5.1. Creacióndeláreadeauditoríadesistemas.
Este capítuloha sidodesarrollado con el findeproponerunplandemejorasque
permitaalainstitución,crearunáreadeAuditoríainformáticaqueseencarguede
realizar auditorías operacionales, integrales, especiales y de cumplimiento al área
desistemas,ayudandoen lagestióndecontrolde laAuditoríaInternaybuscando
lasáreasdeoportunidad.
5.1.1. Objetivos.
Evaluareldesempeñode los sistemas informáticosy las redesdecomunicaciones
para proporcionar los controles necesarios que permitan la confiabilidad de la
Información así como un elevado nivel de seguridad. Realizar auditorías
operacionales, integrales, especiales y de cumplimiento al área de sistemas,
ayudandoen lagestióndecontrolde laAuditoría Internaybuscando lasáreasde
oportunidad.
1. Evaluar los controles establecidos para proteger los bienes institucionales,
referentealmanejohardware,softwareyvalores.
2. Proporcionaralagerencia,unconocimientodelasituacióninformáticareal
deláreadeSistemas.
3. Realizarauditoríasoperacionales,integrales,especialesydecumplimientoa
aquellasáreasqueasílorequieran.
| 70
5.1.2. Justificación.
En base a los análisis realizados, se propone la creación de un área de Auditoría
Informáticaqueproporcione seguridady control enel ámbito tecnológico,misma
que deberá promover elevar la cultura informática dentro de la institución. Esta
áreadeberáestarencargadadeconstatarquesesiganprocedimientosqueaseguren
la confidencialidad, confiabilidad y disponibilidad de los datos, garanticen la
seguridad de la información y prevean las posibles contingencias en cuanto a la
seguridaddelainformaciónquesemanejaenesteórgano,mismaquepordefinición
es muy delicada, asimismo que regule la gestión de la infraestructura y que en
general se dedique a guiar el desarrollo y correcto funcionamiento del área de
sistemasdeestaInstituciónmediantelasauditoríascorrespondientes.
Adicionalmente, esta área deberá contar con las actualizaciones sobre las
regulaciones de la seguridad informática,mejores prácticas para aplicarlas a esta
Institución, así como de las nuevas técnicas de auditoría en informática ya sean
manualesoasistidasporcomputadora,apoyadosenprofesionalescapacitadospara
mantener sistemas informáticos seguros, confiables y confidenciales, que eviten y
prevengan la ocurrencia de situaciones de riesgo derivadas de las actuales
debilidadesenlossistemasdecontrol.
5
L
o
fu
si
5.1.3. Estruc
a reestruct
rganizativa
unciones pr
iguientefigu
ÁTec
Capacitacin
Análisis
Ad
cturaOrga
turación p
de la emp
ropias de l
ura:
Figu
Área cnica
SoporteTécnicoió
Desarrol
Asistente dministrativa
nizativa
propuesta
presa que
a auditoría
ura5.1.Estr
Administr
e o
lo
contempla
incluya un
a en inform
ucturaorga
ración
Proyectos y
Calidad
DirAInf
a una mod
n área que
mática, como
anizativapr
Negocios
Finanzas
Servicios
Canales
reccion de Auditoria formatica
SAud
dificación e
se dedique
o se puede
opuesta
s
Subdireccion dditoria Informa
DeAud
n la estruc
e a realiza
e apreciar e
de atica
epartamento ditoria Informa
| 71
ctura
r las
en la
de atica
| 72
5.1.4. Misión,VisiónyfuncionesdeláreadeAuditoríaInformática
En esta serán presentadas las funciones que deberá realizar el Área de Auditoría
Informática.
Misión:Brindara travésde lasauditorías, la informaciónsuficienteycompetente,
quepermitalaimplementacióndecontrolesparaunamejoracontinuaqueayudea
laprevencióndedelitosinformáticos.
Visión:ConsolidarelÁreadeAuditoríaInformática,comounáreaquepuedaprever
apoyoyasesoríaalaempresa,paraelcumplimientodesusmetasinstitucionales.
Funciones: El área de Auditoría Informática deberá realizar las actividades
correspondientesa laverificacióndeloscontrolesinternosestablecidosenelárea
deSistemasasícomoestudiosdeseguridadfísicaylógica;análisisdelosriesgosa
queestáexpuesta la informacióny losequiposy laelaboracióndedocumentación
que en las auditorías sea requerida. Además deberá promover elevar la cultura
informática, constatar que se sigan procedimientos que aseguren la
confidencialidad,confiabilidadydisponibilidaddelosdatos,garanticenlaseguridad
delainformaciónypreveanlasposiblescontingenciasencuantoalaseguridaddela
información que se maneja en este órgano, misma que por definición es muy
delicada,asimismoque regule lagestiónde la infraestructurayqueengeneral se
dediqueaguiareldesarrolloycorrectofuncionamientodeláreadesistemasdeesta
Instituciónmediantelasauditoríascorrespondientes.
| 73
Acontinuaciónselistanlasfuncionesprincipalesqueestaárea,deberállevaracabo.
Elaboracióndeplanesde trabajopara llevara caboauditoríasen informáticayel
desarrollodeactividadesapropiadasquepermitanmaximizarlaeficaciadeláreade
sistemas:
1. Elaboración de cuestionarios, encuestas, matrices y herramientas que
ayudenal levantamientode la informaciónparaeldebidodesarrollode las
auditorías.
2. Implementación de los planes de trabajo llevando un control de las
actividadesarealizarentiemposestimadosreales.
3. Evaluacióndesistemas,procedimientosyequiposdecómputo.
4. Verificar que los activos, estén debidamente controlados y salvaguardados
contrapérdidaymaluso.
5. Evaluar los resultados de los programas operativos que realice el área de
Sistemas para conocer eficiencia y efectividad con que se han utilizado los
recursos.
6. Comprobar el cumplimiento de mandatos constitucionales, legales y
reglamentarios, políticas, planes y acuerdos normativos que rigen a la
Institución.
7. Realizar auditorías y estudios especiales de acuerdo con programas y
especiales debidamente respaldados por las Normas para el ejercicio
profesionaldelaAuditoríaInterna.
| 74
8. Comunicar los resultados y recomendaciones que resulten de sus
evaluaciones,mediantelosinformesdeauditoría.
9. ComprobarqueeláreadeSistemashatomadolasmedidascorrectivasdelos
informesdelaAuditoríaInternaasícomodelasomisionesquealrespectose
verifiquenenelseguimientodeinformes.
10. Evaluacióndeloscontrolesdeseguridadeslógicasyfísicasquegaranticenla
integridad,confidencialidadydisponibilidaddelosdatosdeestainstitución.
11. Evaluación de los riegos y controles establecidos para la búsqueda e
identificacióndedebilidades,asícomodelasáreasdeoportunidad
12. Evaluarlaexistenciadepolíticas,objetivos,normas,metodologías,asícomo
laasignacióndetareasyadecuadaadministracióndelosrecursos,humanos
einformáticos.
5.1.5. Requerimientosparalacreacióndelárea
Dados los antecedentes con los que contamos sobre la estructura de la empresa
SoluTech Sistemas Informáticos y su conformación, a continuación realizamos la
propuestadelosrequerimientosqueseránnecesariosparaelfuncionamientodela
nuevaárea.
| 75
Requerimientosdepersonal
Puestos Plazas Experienciaenelpuesto
Capacitaciónrequerida
Horasdecapacitación
DirecciónGeneral
1 5 B 24
Subdirección 1 3 B 24JefedeDepartamento
1 2 C 24
Auditores 1 5 C 24
5.1.6. Pasosarealizarparalaimplementacióndelárea
Derivadodeeste informe, sedeterminaque lospasosmás recomendablespara la
implantacióndeláreadeauditoríaeninformáticasonlossiguientes:
1. Presentarlapropuestaalagerenciadelaempresa.
2. Revisióndelapropuestaparalaimplantacióndelárea.
3. Aprobacióndelapropuesta.
4. Modificacionesalaestructuraorgánicaynormatividadpertinente.
5. Solicitud de recursos para infraestructura, personal, software y/o
capacitación.
6. Remodelacióndeáreas.
7. Contratacióny/ocapacitacióndepersonal.
8. Adquisicióndeequipodehardware.
9. Adquisicióndesoftwareespecializado.
10. Aplicacióndelametodologíaparalasrevisionesaláreadesistemas.
x
CONCLUSIONES.
Sehaceénfasisenlaimportanciadelaauditoríacomoherramientagerencialparala
tomadedecisionesyparapoderverificar lospuntosdébilesde lasorganizaciones
conelfindetomarmedidasyprecaucionesatiempo.Principalmente,laconclusión
a la que se ha podido llegar, es que toda empresa, pública o privada, que posean
sistemasdeinformaciónmedianamentecomplejos,debendesometerseauncontrol
estrictodeevaluacióndeeficaciayeficiencia.Hoyendía,unaltoporcentajedelas
empresas tienen toda su información estructurada en sistemas informáticos, de
aquí,lavitalimportanciaquelossistemasdeinformaciónfuncionencorrectamente.
Laempresahoy,debeyprecisainformatizarse.
El éxitodeuna empresadependede la eficienciade sus sistemasde información.
Unaempresapuedetenerunstaffdepersonasdeprimerísimacalidad,perotieneun
sistemainformáticopropensoaerrores, lento,vulnerablee inestable;sinohayun
balance entre estas dos cosas, la empresa nunca saldrá a camino. En cuanto al
trabajodelaauditoríaensí,sepuederemarcarqueseprecisadegranconocimiento
deInformática,seriedad,capacidad,minuciosidadyresponsabilidad;laauditoríade
Sistemas debe hacerse por gente altamente capacitada, una auditoría mal hecha
puede acarrear consecuencias drásticas para la empresa auditada, principalmente
económicas.
xi
Ademássepuedeconcluirdiciendoque:
1. Elconceptodecalidadhaestadopresentedesdelosiniciosdelahistoriade
lahumanidad.Hapasadopor5grandesetapas:laprimerafuelainspección
que era realizada por el consumidor final. Actualmente se encuentra en la
etapadereestructuraciónymejoradelosprocesos.
2. Las mediciones son factores muy influyentes para lograr la calidad del
softwareyaquepermitenanalizar,evaluar,predecirymejorarlosprocesosy
productos.
3. Existeninnumerablesmétricasquedescribenlaconductadelsoftware.Estas
puedenmedirentreotrosaspectos:lacompetencia,calidad,desempeñoyla
complejidad del software contribuyendo a establecer de una manera
sistemáticayobjetivaunavisióninternadeltrabajomejorandoasílacalidad
delproducto.
4. LaIndustriadelSoftwareensusiniciossevioafectadaporunafuertecrisisy
aúnpersistenalgunosdeesosproblemas.
5. En la actualidad la industria del software a nivel mundial cuenta con un
conjuntodemodelos,normas,estándaresymejoresprácticasquepermiten
lograr altos niveles de calidad en los productos desarrollados. Entre estos
están: Capability Maturity Model Integration (CMMI), MorproSoft, MPS.BR
EstándaresIEEEynormasISO9001:2008eISOIEC15504.
6. Segúnelrankingdedisponibilidaddelasnuevastecnologíaspublicadoporel
ForoMundial(2009)paraelperíodocomprendidodesdeelaño2008hasta
xii
el2009,de los134países incluidos, lasdiezprimerasposiciones laocupan
economíasdelprimermundo.Deaquísepuedededucirqueelliderazgoenla
industriadesoftwareloconformanaquellospaísesdesarrolladosqueposeen
economíassólidas.
7. SoluTech Sistemas Informáticos, es una compañía dominicana dedicada a
proveer soluciones tecnológicas,pormediode la implantacióndesistemas,
delserviciodeanálisis,diseñoyprogramacióndeaplicacionesdenegociose
institucionales.
xiii
RECOMENDACIONESGENERALES.
Generales.
1. Lasempresasdominicanasdebencrearunespaciodeacercamientoqueles
permita identificar problemas comunes y gestionar ante las autoridades
gubernamentalesincentivosparapromovereldesarrollodela industriadel
software.
2. La industria del software requiere de normas fiscales que se adecuen a la
dinámica del proceso de negocio para que no se vea afectada su liquidez,
comopor ejemplo la exencióndel Impuesto a laTransferenciadeBienes y
Servicios(ITBIS).
3. Es necesario el desarrollo de un código de ética comercial para evitar la
competenciadesleal,yaqueestaesunelementonegativoparaeldesarrollo
delaindustria.
4. La industria debe adoptar estándares para el proceso de desarrollo de
sistemas, incorporarlasmedidasnecesariasparagestionarlacalidaddelos
productos y procesos y además optar por certificaciones que sean
reconocidastantonacionalcomointernacionalmente.
5. Laindustriadebeadoptarelaseguramientodelacalidadentodoelproceso
dedesarrollodesoftware.
6. Las empresas desarrolladoras de software deben optar por certificaciones
queasegurenlacalidaddesusproductos.
xiv
7. Lasempresasdesarrolladorasdesoftwaredebenoptarporevaluacionesde
modelosparalamejoradeprocesosdedesarrolloymantenimiento.
8. La industria debe gestionar el apoyo económico del gobierno mediante
facilidadeseincentivosquepermitaneldesarrollodeésteestratégicosector.
9. Serecomiendalacreacióndeunplannacionalparaelestablecimientodela
industriadelsoftwareenRepúblicaDominicana.
10. Se recomienda que toda empresa informática medianamente grande, debe
contarconunáreadeauditoríainformática.
xv
REFERENCIASBIBLIOGRAFICAS.
1. Barzanallana, Rafael. (2009). Ingeniería del Software – Ciclo deDesarrollo.Recuperadoel5deJuliode2011dehttp://www.wikilearning.com/curso_gratis/ingenieria_del_software‐ciclo_de_desarrollo/3616‐3
2. Bendini, A. (1999). Lo Bueno, lo Malo, y lo Feo del Marcos de Trabajo(Elementos a considerar antes de su aplicación directa a una unidadinformáticainmaduradeAméricaLatina)
3. CreanCámaraTICenRD.(2010).Tecnologiard.com.Recuperadoel5deJuliode 2011 de http://www.tecnologiard.com/2010/04/12/crean‐camara‐tic‐en‐rd/
4. Dergarabedian,C. (2006).Porquéesnecesariauna certificacióndecalidadensoftware.Recuperadoel5deJuliode2011dehttp://www.iprofesional.com/notas/25366‐Por‐que‐es‐necesaria‐una‐certificacion‐de‐calidad‐en‐software.html
5. Elsoftwareargentino.(2008).Argentina.ar.Recuperadoel7deJuliode2011de http://www.argentina.ar/_es/economia‐y‐negocios/C127‐el‐software‐argentino.php
6. García Romero, C. I. (2001). El Modelo de Capacidad de Madurez y suAplicaciónenEmpresasMexicanadeSoftware.Recuperadoel7de Juliode2011 dehttp://catarina.udlap.mx/u_dl_a/tales/documentos/lis/garcia_r_ci/capitulo_1.html
xvi
7. González, D. Las Métricas de Software y su Uso en la Región. México,UniversidaddelasAméricas,Puebla,2001.p.
8. GuerreroWilson,M.A.Gestiónderiesgosysusaplicaciones, losmétodosS:primeys:planSETConsultores,Santiago,Chile.
9. Gracia, J.CMM‐CMMINivel2.(2005).Recuperadoel7deJuliode2011dehttp://www.ingenierosoftware.com/calidad/cmm‐cmmi‐nivel‐2.php.
10. IEEE,Std.610‐1990.EvolucióndelaCalidadyseleccióndecomponentesdesoftware.Recuperadoel10deJuliode2011de
http://www.essi.upc.edu/~carvallo/Sesion1CS.pdf
11. Juran,J.M.Lafuncióndelacalidad.ManualdeControldelaCalidad.Sección2.CuartaEdición,LaHabana,EditorialMES,1993.
12. LópezValerio, A. (2010). “RepúblicaDominicana: Productor deTecnología,noconsumidor”.Recuperadoel13deJuliode2011dehttp://www.arturolopezvalerio.com/2010/03/productor‐de‐tecnologias‐no‐consumidor.html
13. Mendoza, G. M. (2006). Métricas Internas de la Calidad del producto de
Software.Recuperadoel15deJuliode2011dehttp://mena.com.mx/gonzalo/maestria/calidad/presenta/iso_9126‐3/
14. Pfleeger,L.IngenieríadelSoftware.(1raed.).
15. Pressman, R. S. Ingeniería del Software. Un Enfoque Práctico. 5ta Edición.1998.
16. Pressman,R.S.IngenieríadeSoftware.UnEnfoquePráctico.4ªedición.1997.
51‐61
17. República Dominicana necesita ser productor de tecnologías. (2010).Funglode.org.Recuperadoel16deJuliode2011dehttp://www.funglode.org/SalaPrensa/Detalledelart%C3%ADculo/tabid/82/smid/370/ArticleID/701/reftab/97/Default.aspx
xvii
18. Requisitosdel software:organizacióny calidad.2006.Recuperadoel16deJuliode2011dehttp://www.ie.inf.uc3m.es/grupo/docencia/reglada/psi/unidad8‐DOC.pdf
19. Rigoni Brualla, C. CMMI: Mejora del proceso en Fábricas de Software.
Recuperadoel18deJuliode2011dehttp://www.mityc.es/dgdsi/es‐ES/Servicios/Biblioteca%20Jornadas/Jornadas/s01CeciliaRigoni.pdf
20. Rubens, E. (2008). “República Dominicana podría ser proveedora desoftware”.Recuperadoel19deJuliode2011dehttp://www.perspectivaciudadana.com/contenido.php?itemid=20974
21. Santos Hernández, V. “La Industria del Software estudio a Nivel Global yAméricaLatina”.Recuperadoel19deJuliode2011dehttp://www.eumed.net/cursecon/ecolat/la/09/vsh.htm
22. Scalone, F. Estudio comparativode losmodelos y estándaresde calidadde
software.UniversidadTecnológicaNacional.FacultadregionalBuenosAires.,2006.p.
23. Sinopsis de los modelos CMM y CMMI. Historia y Evolución. 2006.
Recuperado el 20 de Julio de 2011 dehttp://www.navegapolis.net/content/view/330/60/.
24. Solo Requisitos 2006. Jornadas Prácticas sobre la gestión e ingeniería derequisitos del software y el modelo de mejora CMMI. Los requisitos en laSoftwareFactory.2006.Recuperado20deJuliode2011dehttp://www.calidaddelsoftware.com/documentos/II%20Semana%20CMMI/brochure.pdf
25. TelecomunicacionesyTICenRepúblicaDominicana. (2009).Recuperadoel
20deJuliode2011dehttp://numericit.com/informe%20tics‐rd‐2008.pdf
26. V.Feigenbaum,Armando.AseguramientodelaCalidad.Recuperadoel21deJuliode2011dehttp://aseg_calidad.en.eresmas.com/calidad/index_archivos/frame.htm
A
ANEXOOS.
xviii
1
Anexo01.Anteproyecto1. PLANTEAMIENTO DEL PROBLEMA QUE TRATARA ELTRABAJODEGRADO.
Adiferenciadeotrasindustrias,laindustriadesoftware,tienemuypocotiempodeexistencia, aun así ha crecido con gran velocidad y alcance. Desde sus iniciosexistieron personas en distintos campos que vieron la ventaja que representabaparaelloshacerusodeaplicacionesquelespermitieranautomatizaroacelerarlosprocesos.
La gran demanda de desarrollo de sistemas provocó que se realizaran muchasinvestigacionesen la ramadehardwarey software. Los costos se redujeronyelsoftware se convirtió en un negocio rentable. Las empresas se empezaron ainteresarporlaimplementacióndesistemas,loqueprovocóquemuchaspersonasempezaran a desarrollar aplicaciones, de ahí nacieron las primeras grandesempresas de desarrollo de software. Esto trajo consigo un problema natural: laexistenciadetantosgruposdedesarrolladoendistintoslugaresdelmundoyparadistintas aplicaciones originó la diversidad de estilos, por lo que la calidad delproductofinalvariabamuchoentreunproductoyotro.
Paracontrarrestaresteproblemasehizonecesariounestándarquepermitieraalosconsumidoresdesoftwaredecidirsielproductoqueestabanrecibiendoeradecalidadysicumplíaciertosrequisitosdefuncionalidad.
Lacalidadesunaspectomuyimportanteenlavidadelaspersonasyalahoraderealizar cualquier trabajo. Las empresas requierenque sus productos contenganlos mayores niveles de calidad para poder satisfacer las necesidades de susclientes.Lautilizaciónde controles adecuadosgarantizaproductosdealta calidad,por loquelaausenciadecontroleseficacesentodoelprocesodedesarrollodesoftwaretraeconsigodesorganizaciónybajacalidadenelproductofinal.
2
1.1. Definiciónconceptualdelproblema.Elusode losmecanismosdemedidaparaasegurar la calidadde losproductos seestá poniendo en práctica con éxito en el amplio mundo del software, pues lasempresasproductorasestánreconociendolaimportanciaquetienenlasmedicionesparacuantificaryporconsiguientegestionardeformamásefectivalacalidaddelosprocesosyproductosdesoftware.En empresas que se dedican exclusivamente al desarrollo de software, se tienenocióndelanecesidaddeformalizarlosmecanismosdeestimación,comprendiendoque los registros históricos de antiguos proyectos realizados pueden ayudar aestimar con mayor exactitud el esfuerzo, tiempo de desarrollo, costo, posibleserrores,recursosytamañoparalosnuevosproyectos.Esválidoaclararqueenocasioneslosresultadosdelosprocesosdemediciónnosoninterpretadosde lamejormanera,puesaúnexistencompañíasqueno tienenunaculturaadecuadasobrelamedición,desconociendoelalcancedemadurezycalidadquepudieraalcanzarelproductofinal.La competitividad en la industria del software exige que todo fabricante odesarrolladorempleemétodosdeaseguramientode lacalidaden todoelproceso,de manera que el producto final mantenga un alto nivel de calidad, lo que lepermitirádiferenciarsesustancialmentedesuscompetidores.Porigualelfabricantedebe de vigilar porque la calidad del producto se obtenga de la manera másadecuada,atravésdeunaseriadepasosymedidasestandarizadasporlasgrandesempresasanivelmundial.En el caso de la República Dominicana, una empresa que quiera ser competitivadebeaplicarlosconceptosdecalidadentodossusprocesos.Estolepermitirácaptarelmercadodominicanoyproyectarseanivelinternacional.Lacalidaddelsoftwarefabricadoseráunodelosprincipalespromotoresdelasempresas.SoluTech Sistemas Informáticos es una empresa mundial dedicada a proveersoluciones tecnológicas, específicamente debandaanchaytelecomunicacionesfundada en el 2005. También ofrecen servicios deanálisis, diseño y desarrollo de aplicaciones de negocios, de la exportación,importación y representación de sistemas y equipos informáticos de la más altacalidad.En dicha empresa, el aseguramiento de la calidad es una de las estrategiasestablecidas por su administración para lograr productos finales con estándaresinternacionales y a precios competitivos en elmercado del software. El objeto de
3
estudioeselprocesodedesarrollodesoftware,asícomolagestióndelacalidadydentro de éstos el campo de acción referido al proceso de auditoría para elaseguramientodelosestándaressolicitadosdelproductofinal.1.2. Descomposiciónde loselementosconceptualesquedefinenelproblema.Software:“En español Sistema o Aplicación, se refiere al equipamiento lógico de unacomputadoradigitalycomprendeelconjuntodeprogramas,instruccionesyreglasinformáticasquehaceposiblerealizarciertastareasespecificasenuncomputador1”Auditoría:“Procesosistemático, independienteydocumentadoparaobtenerevidenciasde laAuditoríayevaluarlasdemaneraobjetivaconelfindedeterminarlaextensiónquecumplenloscriteriosdelaAuditoría2”AuditoríadeSoftware:“Investigaciónyprocesodeentrevistasquedeterminacómoseadquiere,distribuyeyusaelsoftwareenlaorganización.3”Sistema:“Agrupamiento de procesos interrelacionados que funcionan todos juntos paraalcanzarunobjetivocomún.4”
1 Diccionario de la Lengua Española. (22a ed.). http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=software 2Auditorías de la calidad para mejorar su comportamiento (2003, p. 158) http://books.google.com/books?id=NpNx1iQVGwMC&pg=PT31&dq=auditoría+de+calidad+de+software&hl=es&ei=DILvTb6qBKXliALmopT1AQ&sa=X&oi=book_result&ct=result&resnum=9&ved=0CFkQ6AEwCA#v=onepage&q=aplicacion&f=false 3Auditoría de Software. Disponible en: http://www.microsoft.com/argentina/public/kit_base/licenciamiento/licsemgt/softaudt/intro.htm 4Auditorías de la calidad para mejorar su comportamiento. Disponible en: http://books.google.com.do/books?id=NpNx1iQVGwMC&pg=PT31&dq=auditoría+calidad+software&hl=es&ei=ACjqTfyeB4K-gemw7X3Dw&sa=X&oi=book_result&ct=result&resnum=3&ved=0CDQQ6AEwAg#v=onepage&q&f=false
4
Calidad:
“Es la composición total de las características de los productos y servicios demarketing, ingeniería, fabricación y mantenimiento, a través de los cuáles losproductosyservicioscumplenconlasexpectativasdelosclientes”5.
CalidaddeSoftware:
La calidad del software es definida por Pressman como “la concordancia con losrequisitos funcionales y de rendimiento explícitamente establecidos, con losestándares de desarrollo explícitamente documentados y con las característicasimplícitas que se esperan de todo software desarrollado profesionalmente”.(Ingenieríadelsoftware,2005).
ControldeCalidad:
“Elcontrolestádirigidoalcumplimientoderequisitos,noesmásqueunconjuntode actividades y técnicas operativas, utilizadas para verificar los requerimientosrelativosalacalidaddelproductooservicio6”
Pruebadecalidad:
“Métodos o técnicas cuyo objetivo es determinar si un sistema funcionacorrectamente.7”Certificación:
“Eselprocedimientomedianteelcualunatercerapartediferenteeindependientedelproductoryelcomprador,aseguraporescritoqueunproducto,unprocesooun servicio, cumple los requisitos especificados y se ajusta normas técnicasdeterminadas, convirtiéndose en la actividad más valiosa en las transaccionescomerciales nacionales e internacionales. Es un elemento insustituible paragenerarconfianzaenlasrelacionescliente‐proveedor8”
5 Dr.Armando V. Feigenbaum. http://aseg_calidad.en.eresmas.com/calidad/index_archivos/frame.htm 6 Guías para un manual de sistema de calidad en un laboratorio de pruebas (1999, p. 27). http://www.who.int/vaccines-documents/DocsPDF/www9863.pdf 7 Informática. Temario A. Volumen Iv. Profesores de Educación Secundaria Ebook(2003,p. 17) http://books.google.com.do/books?id=2ZNa8V-dq8wC&printsec=frontcover&dq=Informatica.+Temario+A.+Volumen+Iv.+Profesores+de+Educacion+Secundaria+Ebook&hl=es&ei=5HrtTdWhFaPr0gHfq5C2AQ&sa=X&oi=book_result&ct=result&resnum=1&ved=0CCcQ6AEwAA#v=onepage&q&f=false 8 http://www.cesmec.cl/noticias/Certificacion/1.act
5
Cliente:
“Enelcomercioyelmarketing,unclienteesquienaccedeaunproductooserviciopor medio de una transacción financiera (dinero) u otro medio de pago. Quiencompra,eselcomprador,yquienconsumeelconsumidor.Normalmente,cliente,compradoryconsumidorsonlamismapersona9”Estándar:
“Quesirvecomotipo,modelo,norma,patrónoreferencia10”
Metodología:
“LaMetodología(delgriegometà"másallá",odòs"camino"ylogos"estudio"),hacereferenciaalconjuntodeprocedimientosbasadosenprincipioslógicos,utilizadosparaalcanzarunagamadeobjetivosquerigenenunainvestigacióncientíficaoenunaexposicióndoctrinal11”
Proceso:
“Un proceso (del latín processus) es un conjunto de actividades o eventos(coordinados u organizados) que se realizan o suceden (alternativa osimultáneamente) con un fin determinado. En informática se puede referir a unprogramaenejecución12”
Norma:
“Regla que se debe seguir o a que se deben ajustar las conductas, tareas,actividades,etc.13”
Requisito:“Condiciónnecesariaparaquesepuedarealizaralgunacosa14”
Requerimiento:
9 http://es.wikipedia.org/wiki/Cliente 10 Diccionario de la Lengua Española. (22a ed.). http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=requisito 11 Eyssautier de la Mora, Maurice (2006). Metodología de la investigación: desarrollo de la inteligencia, 5 edición (en español), Cengage Learning Editores, pp. 97. http://es.wikipedia.org/wiki/Metodolog%C3%ADa 12 http://es.wikipedia.org/wiki/Proceso 13 Diccionario de la Lengua Española. (22a ed.). http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=requisito 14 http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=requisito
6
“Esunanecesidaddocumentadasobreelcontenido, formao funcionalidaddeunproductooservicio.Seusaenunsentidoformalenlaingenieríadesistemasolaingenieríadesoftware15”Usuario:
“Un usuario es la persona que utiliza o trabaja con algún objeto o que esdestinatariadealgúnserviciopúblico,privado,empresarialoprofesional16”1.3. Delimitación en el tiempo y el espacio con explicación derazonesquelojustifican.
SehaelegidocomocontextoespecialalaempresaSoluTechSistemasInformáticospor ser una de las empresas con más ventas de servicios de software a nivelnacional. Desarrollando software para prestigiosas compañías dedicadas adistintosserviciosenladeRepúblicaDominicana.
ActualmenteSoluTechSistemasInformáticosnuncaharealizadounanálisisdelasprácticasdeauditoríaeneláreadelaseguramientodelacalidad.
Hoy por hoy la empresa se encuentra certificada bajo los estándares ISO/IEC27001,designaciónotorgadaporlaBritishStandardsInstitution17.La investigación que se realizará en SoluTech Sistemas Informáticos,específicamenteenlalocalidaddeRepúblicaDominicana,permitiráconocercuálesson los controles utilizados para el aseguramiento de la calidad de software. ElperíodoquesehaseleccionadoparalainvestigaciónesMayo–Agostode2011.
1.4. Cuestionamientos que se plantean los solicitantes ante elproblemaadesarrollar.1.4.1. Grandes preguntas relativas al concepto que determinarán losObjetivosGeneralesdeTrabajodeGrado.¿Quéimpactotienenlasauditoríasenelaseguramientodelacalidaddelprocesodedesarrollodesoftwareconrelaciónalosacuerdosdeserviciosestipuladosylasatisfaccióndelclienteconlaentregadelproductofinal?¿Cuál es el nivel de auditoría en la calidad de software que posee la empresaSoluTechSistemasInformáticos?
15 http://es.wikiwix.com/?lang=es&action=Requerimiento%20(sistemas) 16 http://es.wikipedia.org/wiki/Usuario
7
1.4.2. Subpreguntas operativas relacionadas con los elementos delconcepto que determinarán los Objetivos Específicos, Secundarios, uOperativosdelTrabajodeGrado.¿Quées laauditoría,cuálesaspectosestánrelacionadosconesteconceptoydequémaneraseaplicaenlaindustriadelsoftware?¿Cuáles son las metodologías, recomendadas por los expertos, usadas enauditoríaparaelaseguramientodelacalidaddesoftware?¿Cuáles son las características generales de la empresa SoluTech SistemasInformáticos?
2. JUSTIFICACIÓNDELTRABAJODEGRADO.2.1. Importancia del tema dentro del entorno real en el cual serealizaráelestudio.La tecnología y la economía van de la mano en el desarrollo de cualquier país.“Gracias a los proyectos tecnológicos, la economía de República Dominicana haaumentadosudesarrolloenperíodo2006‐2010”.
La informática ha incidido de forma positiva en la economía dominicana y delmundo, ya que sus aportes han impulsado el desarrollo y la eficiencia de lamedición de los indicadoresmacro ymicro económicos, al contar con los datoscomofuenteconfiabledeinformación.SegúnunaentrevistarealizadaalSr.MáximoAntonioGonzález,delDepartamentodeAuditoríadelBancoCentral,sobre¿CuálhasidolaincidenciadelainformáticaenRepúblicaDominicana?ésteplanteaque:
La República Dominicana posee logros importantes que han sido alcanzadosdespuésdehaberaparecidolainformáticayelsoftwareinformático,estosfueronincorporados a todas las actividades que demandaban una actividad física pararealizarlas y tardaban mucho tiempo para realizarse. Existe también softwarediseñado para el entrenamiento del personal a realizar una actividad específica,con maquinaria avanzada tecnológicamente, exigiendo así, una mano de obracalificadaparaejercerestostrabajos.
Laeconomíadominicana,estáarchivadaendiscosduros, cintasyCD,yaque losimpuestos, las cuentas gubernamentales, el Banco central y la banca privada,
8
regulansusoperacionesconsoftwareoprogramascomputarizadosquefacilitanlaintegracióndenuestraeconomíaalaeconomíamundial.
Sibienesciertoqueelpoderosoaugede lasTICshacambiado losparadigmasyestrategias reconocidas y establecidas por muchos años como válidas, hay quedestacar que dentro de las TICs, la industria del software alcanza una posiciónrelevanteporsucaracterísticadecontrolarohaceraccesible,enlamayoríadeloscasos,losadelantoselectrónicos.
Sinembargo la industriadeldesarrollodelsoftwareenRepúblicaDominicanaesun sector que necesitamás impulso para lograr posiciones competitivas a nivelnacional e internacional. Esto se refleja en un estudio que se realizó sobre laindustria del software a nivelmundial, con caracterización en América Latina yCuba. (Publicado por Vismar Santos Hernández el 23/6/2009 en la página deinternet:www.gestipopolis.com.SecciónTecnologíaeInternet.)18
Dichoestudiomuestraquenoseconocenlaspolíticaspúblicasconlaindustriadelsoftware en los países de América Latina, ni se conocen sus pronunciamientossobre la informatización social, excepto México que presenta un trabajoconsecuentedesde ladécadade los90. Sin embargo, la actualidad estámarcadapornumerososconveniosyalianzasparaeldesarrollode lasnuevas tecnologíasenelcontinente.
La industria del software enAmérica Latina cuenta además con asociaciones decooperación a través de diferentes iniciativas de integración. Estas asociacionestienen como objetivo propiciar políticas,mejorar losmercados y las cadenas dedistribución, ayudar a sus asociados a mejorar sus capacidades competitivas ybuscar alternativas de desarrollo de programas conjuntos a partir del beneficiomutuo.
SoluTech Sistemas Informáticos es una empresa dominicana, dedicada a laindustria del software. Posicionada en distintas localidades de la RepúblicaDominicanayconsideradaunadelasmásgrandesempresasanivelnacional.En SoluTech Sistemas Informáticos, en la localidad de República Dominicana,nuncaseharealizadounanálisisdelasprácticasdeauditoríasutilizadasparaelaseguramientode lacalidaddesoftware.Medianteesteanálisisdecasosebuscaestablecer la importancia de aplicar correctas metodologías y prácticas deauditoría para asegurar la calidad en el proceso de desarrollo de sistemas yminimizarloserroresparaasípoderhacerlaorganizaciónmáscompetitivaanivelglobal.
18 http://www.gestiopolis.com/administracion-estrategia/estudio-sobre-la-industria-del-software-en-america-latina.htm
9
Seanalizaráelniveldeaseguramientode la calidadqueposeSoluTechSistemasInformáticosparapoderestablecercuálesmedidasdeaseguramientodelacalidady normas internacionales está utilizando la empresa. Otro aspecto que resaltaraesteestudiodecasoes,elimpactoquetraeconsigoelutilizarbuenasprácticasdeauditoríaparaasegurarlacalidaddelproductodesoftware.2.2. Datos cuantitativos numerales, con sus fuentes deinformación,quejustificanelestudiodeltemaysuselementos.SegúnestudiosrealizadosporCompatia(2004)existeunacorrelaciónestablecidaentreeldesarrolloeconómicoylainversiónquerealizanlospaísesenTecnologíasdelaInformaciónySoftware.Lospaísesdestinanenpromedio7.5porcientodesuinversiónalatecnologíadeInformación,mientrasenlospaíseslatinoamericanosesepromedioesinferiora2porciento.La industria del software en Latinoamérica tiene una participación del 2.9 porcientodelgastototalenTecnologíadelaInformacióndelmundo,siendoBrasileldemayorparticipaciónenesesentido(Tabla2.1).Tabla2.1.AméricaLatina.Participacióndelosgastosrealizadosencadapaísen
elgastototalenelconjuntodepaíses.
País Hardware Software Servicios GastosInternos
Total
Brasil 49% 52% 51% 40% 45%
México 18% 17% 18% 26% 21%
Argentina 10% 11% 10% 7% 10%
Colombia 4% 5% 4% 9% 5%
Venezuela 4% 5% 6% 9% 5%
Chile 3% 3% 4% 5% 4%
Resto 12% 11% 6% 4% 9%
Fuente:(www.witsa.com)
Comoseobservaenlatabla,Brasil,MéxicoyArgentinaagrupantrescuartaspartesdelgastodelaregión.ParaimpulsarlaindustriadelsoftwareenRepúblicaDominicanaseestántomandovariasmedidas,entrelacuálescabedestacarlacreacióndelaCámaraDominicanadelasTecnologíasdeInformaciónylaComunicación,Inc.(CAMARATIC).
10
DatosrelacionadosconlacreacióndeestaOrganizaciónseinformanenelartículopublicado en la página de internet www.vigilanteinformativo.com el día 12 deAbrildel2010,dondeseinformaquelaCAMARATICfuecreada“ConelobjetivodeimpulsarlacompetitividadyestimularuncrecimientosostenidodelsectorTICenlaRepúblicaDominicana,procurandoque lasempresasTICpuedanbeneficiarse,parasudesarrollo,delasmejoresprácticasyexperienciasdepaísesquehansidoexitosos en el desarrollo de este sector, destacándose en la innovación deproductosyserviciosdealtatecnología19”LadesignadacomopresidentedelaCAMARATIC,RosarioSangdeSantos,expresoque“lamisiónfundamentalespromoverydesarrollarelsectordelastecnologíasde la información y comunicación para lograr su inserción en la maquinariaproductivadelpaís.AgregóqueCAMARATICtambiénbuscapromoverlacreaciónde empresas de tecnología robustas, que exporten, que creen empleos;contribuyan al producto interno bruto; formen recursos humanos; apoyen lainnovación, la cultura emprendedora y la creación de riquezas, tal y como sedescribeennuestrosestatutos,formapartedenuestramisión”.Sang de Santos manifestó su reconocimiento a la Cámara de Comercio yProduccióndeSantoDomingopor lavisióndereconocer larelevanciade lasTICcomo sector vital para apoyar el desarrollo de productos y servicios de mayorvalor agregado, y para que las pequeñas ymedianas empresas (PYMEs) puedanaumentar su productividad y mejorar su eficiencia para enfrentar con éxito laagresivacompetenciaenelmercadolocaleinternacional.
GraciasalApoyode larecién formadaCAMARATIC, “el11deMarzodel2010 laFundaciónGlobalDemocracia yDesarrollo (FUNGLODE), fue el espaciodondeelprofesorEmanuelGruengard,directoryfundadordelaFacultaddeSoftwareenelShenkar College of Engineering & Design de Israel y la doctora Judith Oneill,especialistaentelecomunicaciones,sostuvieronelconversatorio“Seguimientoalaagenda de Software en República Dominicana” con la finalidad de incentivar ydesarrollarlaindustriadelsoftwareenelpaís20”JudithOneillexpresóquetodos lospaísesestán juntosenunaeconomíaglobalyque la tecnología del software estrecha aún más ese vinculo de igual formaincentivóalospresentesenelcoloquioagenerarunmarcoreferencialyunmarcojurídicoconrespectoalusodelasTecnologíasdelaInformaciónylaComunicación(TIC)enelpaís.
19 http://vigilanteinformativo.com/index.php/news-feeds/1768-surge-la-camara-tic-en-republica-dominicana.html 20http://www.funglode.org/SalaPrensa/Detalledelart%C3%ADculo/tabid/82/smid/370/ArticleID/701/reftab/97/Default.aspx
11
Se llegó a la conclusión de que para establecer la industria del software setrabajaráenelestablecimientodeunmarcolegalenfocadoenlaformulacióndelaleydelaindustriadelsoftwareylaleydeproteccióndedatos.En el artículo publicado en el periódico “HOY, por Evaristo Rubens, el 22 deFebrero del 2010, el rector del Instituto Tecnológico de las Américas (ITLA),Ingeniero JoséArmandoTavárez, tambiénha expresado su opinión en cuanto altemadelaindustriadelsoftwareenRepúblicaDominicanaalafirmarque“existengrandes oportunidades de que República Dominicana pueda convertirse enproveedordeunfactorimportanteenlaindustriadelsoftwareanivelglobal21”CitóelcasodeLaIndia,unadelasnacionesmáspobreshaceunos25años,enlacualseestáaplicandounmodelodedesarrolloeconómicoyhumanobasadoenlatecnología,elcualleshadadotantoéxitoquehandejadoimpresionadoatodoslospaísesdelmundo.Expresóque la industrianacionalnogeneraunademandasuficientedesoftwareyaque lamayoríade lascompañíascompranproductosdesoftwareextranjeros.Explica tambiénqueal seréstauna industria tanpequeñaenelpaís, senecesitarefuerzosmedianteunaestrategiaparagenerarconfianzaenlaindustrialocalconvocación exportar y que para esto el país necesita de certificacionesinternacionales.Losmexicanoshandesarrolladounanormadecalidadpropia:Moprosoft.Explicóqueesanormagarantizalaexcelenciadelosprocesosparagarantizarlaexcelenciadelproducto final (software), la cualesoptativa.Precisóqueesanormaayudaaelevarlosestándaresdecalidaddelasempresasdesoftwareparacompararseconestándares internacionales de calidad y tener la oportunidad de aprovechar elmercadoglobaldetrillonesdemillonesdedólaresquesemueven.Porotroladoenel“InformeanualdelasTelecomunicacionesyTICenRepúblicaDominicana publicado el 1 deMayo del 2009, por la Comisión Nacional para laSociedaddela informaciónyelConocimientoresaltaqueelaño2008hasidounañodeexpansiónyconsolidacióndelainfraestructuradetelecomunicacionesyenparticulardeldesplieguedeiniciativasdecentrosdeaccesoalasTecnologíasdelaInformaciónylaComunicación(TIC)decaráctercolectivoy/ocomunitario22”El sector de las telecomunicaciones ha sido uno de los pilares del crecimientoeconómico de la República Dominicana en los últimos años, siendo uno de lospaíses con mayor aporte del sector telecomunicaciones al total de la economíanacional en el contexto de América Latina. Así lo reflejan las estadísticaspublicadasrecientementeporelBancoCentral.Elsectorhatenidouncrecimientosostenido de dígitos por año, con tasas de crecimiento del 25% durante el año
21 http://www.perspectivaciudadana.com/contenido.php?itemid=20974 22 www.cnsic.org.do
12
2005y2006,conunaportealPIBsuperioral10%poraño,llegandoal16%enelaño200823”
3. OBJETIVOSDELAINVESTIGACIÓN.
3.1. Generales. Analizar los conceptos relacionados con calidadde software y auditoríade
sistemas para proponer un plan de mejoras que mitigue las debilidadesencontradas en el área de aseguramiento de la calidad de software laempresaSoluTechSistemasInformáticos.
3.2. Específicos.
Proponerunplandemejorasparalaaplicacióndeauditoríadesistemasenel
aseguramientodecalidaddesoftware. Analizarloscontrolesnecesariosparamitigarlosriesgosyvulnerabilidades
detectadas. Identificar lasprincipalesdebilidadesdeláreadeaseguramientodecalidad
desoftwaredelaempresaSoluTechSistemasInformáticos. Analizar los conceptos relacionados con la auditoría de sistemas de
información. Analizar el concepto de calidad, los aspectos relacionados con éste y la
maneraenqueseaplicanenlaindustriadelsoftware.
4. METODOLOGÍAOPERATIVAPARAELDESARROLLODELTRABAJO.
Lainvestigaciónpropuestaseinscribeeneltipodescriptivoporquesecentraenladescripciónyanálisisdeinformacionesrelacionadasconelanálisisdelasprácticasdeauditoríaeneláreadelaseguramientodelacalidaddesoftwaredelaempresadominicana, ubicada en República Dominicana, de desarrollo de softwareSoluTechSistemasInformáticos,lacualhasidotomadacomoestudiodecaso.
Asimismo es una Investigación documental porque se utilizarán las técnicas deanálisis,resúmenes,evaluaciónycomparaciónde las informacionesobtenidasdelas diferentes fuentes bibliográficas (revistas, periódicos, artículos de internet,libros, etc.) que tratan sobre el temade la auditoría yde la calidad en términosgenerales y aquellas fuentes que específicamente abordan el tema de
23 http://numericit.com/informe%20tics-rd-2008.pdf
13
aseguramientodelacalidadenlaindustriadelsoftware.Deigualformaelusodeestastécnicaspermitiránestablecercuáleselementosdelconceptodelaauditoríadel aseguramiento de la calidad propuestos por los autores no están siendoaplicadosenSoluTechSistemasInformáticos.
Elestudiotambiénseinscribeenlaclasificacióndeinvestigacióndecampoporquelamismaempresaque seutilizará comoestudiode caso servirá como fuentedeinformación para esta investigación. Se utilizarán técnicas como observación, laentrevistayelcuestionariodeopiniónqueseránaplicadasenlaempresaSoluTechSistemas Informáticos. Estas técnicas permitirán realizar un levantamiento deinformación relacionada con el nivel de aseguramiento para la calidad de losproductos, las metodologías de calidad aplicadas en la actualidad por dichaempresa, en su proceso de desarrollo de software y el nivel de satisfacción queposeensusclientesconrelaciónalosproductosquehanadquirido.
Seutilizarátantolametodologíadeductivacomoinductiva.Ladeductivaporqueserealizará un estudio general de la aplicación de la Calidad en la Industria delsoftware a nivel mundial, para luego aplicarlo específicamente en SoluTechSistemas Informáticos que es la empresa seleccionada como estudio de caso. Lametodologíainductivaseráaplicadaporqueapartirdelestudiodecasoespecíficode SoluTech Sistemas Informáticos se podrán aplicar los resultados obtenidos anivelgeneral,enotrasempresasdelmismosectorenRepúblicaDominicana.
5. TÉCNICAS A UTILIZAR EN EL DESARROLLOMETODOLÓGICODELTRABAJO.Paraeldesarrollometodológicodeltrabajodegradoseránutilizadaslastécnicasquesedescribenacontinuación:
Entrevistas
Seharánentrevistas apersonasde la empresa, paraobtenerdatos relevantes altemadeinvestigación.Libros
SeconsultaranlibrosqueabordentemasrelacionadosconlaAuditoríayCalidad,con la finalidad de recopilar toda la información necesaria concerniente a esteaspecto.
14
DiscursosyConferencias
Seanalizaránlasopinionesdeprofesionales,altosejecutivos,mandatariosydemáspersonas que hayan participado en discursos y/o conferencias en las que seabordeeltemadelaauditoríaenRepúblicaDominicana.
Internet
Se utilizará el internet como medio de consulta obtener información sobre latemáticaestudiada.
6. ESQUEMA DEL CONTENIDO CON EL POSIBLE INDICETEMATICODELTRABAJO.DedicatoriaAgradecimientosIntroducciónCapítuloI:Fundamentaciónteórica5.2. Calidaddesoftware5.2.1. Antecedenteshistóricosdelaindustriadedesarrollodesoftware5.2.2. Etapasdelciclodevidadedesarrollodesoftware5.2.3. Conceptosdecalidaddesoftware5.2.4. CalidadenlaIndustriadelSoftware5.3. Auditoríadesistemas5.3.1. ¿QuéeslaAuditoría?5.3.2. Tiposdeauditoría5.3.3. Evolucióndelaauditoría5.3.4. Controles5.3.5. Definicióndecontrol5.3.6. Clasificacióndecontroles
CapítuloII:PlaneacióndelaAuditoríadeSistemas2.1Objetivosdelaplanificacióndelaauditoríadesistemas2.2GestiónAdministrativa2.3GestiónInformática
15
2.4Programadeauditoría2.5MetodologíayprocedimientosCapítuloIII:AuditoríadeSistemaseneláreadeaseguramientodecalidad3.1PlandeAuditoría3.2AlcancesdelaAuditoría3.3Plandelacalidad3.4Controldelosprocesos3.5AuditoríasinternasdecalidadCapítuloIV:ElMundodelaIndustriadeSoftware4.1OrganizacióndelaIndustriadelSoftwareenelMundo4.2LaIndustriadelSoftwareenAméricaLatina4.3RepúblicaDominicanayeldesarrollodesoftware4.3.1EmpresasDominicanasdesarrolladorasdesoftwareCapítuloV:SoluTechSistemasInformáticos4.1.SoluTechSistemasInformáticos4.1.1Antecedentes4.1.2Misión,VisiónyValores4.2EstructuraOrganizativa4.4PrácticasdeauditoríautilizadasporSoluTechSistemasInformáticosCapítuloVI:Plandemejoras5.1Responsabilidadesdeladirección5.2Accionescorrectorasypreventivas5.3 Mejoras de las Prácticas de auditoría en utilizadas por SoluTech SistemasInformáticosConclusionesRecomendacionesReferenciasBibliográficasAnexos
16
7. FUENTEDEDOCUMENTACIÓN.
7.1. PrimariasEntrevistas:
Gerardo Camilo, Gerente del Área de la Calidad, SoluTech SistemasInformáticos
Encuestas:
SamilAbud,GerentedelÁreadeDesarrollo,SoluTechSistemasInformáticos7.2. SecundariasLibros:
Auditoríasdelacalidadparamejorarsucomportamiento.Disponibleen:http://books.google.com.do/books?id=NpNx1iQVGwMC&pg=PT31&dq=auditoría+calidad+software&hl=es&ei=ACjqTfyeB4K‐tgemw7X3Dw&sa=X&oi=book_result&ct=result&resnum=3&ved=0CDQQ6AEwAg#v=onepage&q&f=false
Laauditoríadelossistemasdegestióndelacalidad.Disponibleen:
http://books.google.com.do/books?id=oRg7CUUrgdcC&printsec=frontcover&dq=auditoría+calidad+software&hl=es&ei=ACjqTfyeB4K‐tgemw7X3Dw&sa=X&oi=book_result&ct=result&resnum=10&ved=0CFkQ6AEwCQ#v=onepage&q&f=false
Folletos:
GuíaOficialparaElaborarProyectosdeTrabajodeGrado,UniversidadAPEC.(1990).
Internet:
V. Feigenbaum, Armando. Aseguramiento de la Calidad. Disponible en:http://aseg_calidad.en.eresmas.com/calidad/index_archivos/frame.htm
17
Eyssautier de la Mora, Maurice (2006). Metodología de la investigación:desarrollo de la inteligencia, 5 edición (en español), Cengage LearningEditores, pp. 97. Disponible en:http://es.wikipedia.org/wiki/Metodolog%C3%ADa
Guías para unmanual de sistema de calidad en un laboratorio de pruebas(1999, p. 27). Disponible en: http://www.who.int/vaccines‐documents/DocsPDF/www9863.pdf
DiccionariodelaLenguaEspañola.(22aed.).
http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=software
18
Anexo02.Cuestionario.Nombredelencuestado:________________1.¿Aquéáreaodepartamentopertenece?2.¿Quépuestoocupa?3.Encasodequeseaanalista/desarrollador¿Quémodelodedesarrolloutiliza?4.¿Cuálessonsusfuncionesasignadas?5.¿Delimitacionesdesufunción?6.¿Esresponsabledelasupervisióndealgúnprocesoenespecífico?7.¿Poseeunequipodetrabajopararealizaralgunafunción?¿Cuáleslacantidaddepersonasquelocomponen?8.¿Quiénessereportanausted?9.¿Aquiénustedsereporta?
19
Anexo03.CuestionarioGestiónRequisitosdeSoftware.1.¿LosRequerimientosdeSistema(RS)fijadosalsoftwaresonusadosparaestablecerunaLíneaBaseparaelusodelaIngenieríayGestióndeSoftware?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________2.¿CuándolosRScambian,sehacenlosarreglosprecisosalosprocedimientos,productosdetrabajodesoftwareyotrasactividadesrelacionadas?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________3.¿HayunapolíticaorganizacionalescritaparalagestióndelosRequerimientosdelSistemas(RS)asignadosalsoftware?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________4.¿LaspersonasencargadasdelagestióndelosRSestánadiestradasenlosprocedimientospararealizarestalabor?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________
20
5.¿SehacenmedicionesocontrolesquepermitanobtenerestadísticasdelosRSporproyecto(numerodeRSquesesolicitancambiar,losqueseanalizan,etc.)?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________6.¿LasactividadesparalagestióndelosRSasignadosestánsujetasalasrevisionesdeAseguramientodelaCalidaddeSoftware?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________
21
Anexo04.CuestionarioPlanificacióndeProyectosdeSoftware.1.¿Estándocumentadaslasestimaciones(ej.detamaño,costoycronograma)ausarenelplaneamientoyseguimientodelproyecto?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________2.¿Losdocumentosdelosplanesreflejanlasactividadesarealizaryloscompromisosestablecidosparaelproyecto?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________3.¿Todoslosindividuosygruposafectadosestándeacuerdoconsuscompromisosrelacionadosconelproyecto?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________4.¿Sesigueunapolíticaorganizacionalescritaquerijaelplaneamientodelproyectodesoftware?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________5.¿Sesuministranlosrecursosadecuadosparaelplaneamientodelproyecto?□Si□No□Noesaplicable□Desconocido
22
Comentarios_______________________________6.¿Seusanmedicionesparadeterminarelestadodelasactividadesparaelproyectodesoftwareplanificado?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________7.¿Ellíderdelproyectorevisalasactividadesplanificadasenelproyectodesoftwareperiódicamentey/osegúnlaocurrenciadeeventosdados?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________8.¿Utilizanherramientasparalagestióndelosproyectos?□Si¿Cuáles?:______□No□Noesaplicable□Desconocido
23
Anexo05.CuestionarioSeguimientoySupervisiónProyectosdeSoftware.1.¿Losresultadosrealesdelproyecto(ej.cumplimientodeloscronogramas,costosopresupuestosgastados,tamaño,etc.)soncomparadosconloplaneado?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________2.¿Sellevanacaboaccionescorrectivascuandolosresultadosrealessedesvíansignificativamentedelplandelproyecto?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________3.¿Loscambiosenloscompromisosdelproyectodesoftwaresonacordadosportodoslosindividuosygruposafectados?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________4.¿Elproyectosigueunapolíticaorganizacionalescritatantoparaelseguimientocomoparaelcontroldelasactividadesdedesarrollodelsoftware?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________5.¿Existenpersonasespecificasresponsabilizadasconelseguimientoycontroldeactividadesparaeldesarrollodelproyecto(ej.personasresponsabilizadasconmedirelesfuerzo,cronogramaypresupuesto)?□Si□No
24
□Noesaplicable□DesconocidoComentarios_______________________________6.¿Ellíderdeproyectosrevisaperiódicamentelosresultadosdelasactividadesdeseguimientodelproyecto(ej.desempeñodelproyecto,asuntosresueltos,riesgos,asuntosenejecución,etc.)?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________
25
Anexo06.CuestionariodeAseguramientodelaCalidad.1.¿Existeunequipodeaseguramientodelacalidad?□Si¿Cuántaspersonaslaintegran?___□No¿Quiénesseasegurandelacalidaddelsoftwarefabricado?__Líder__Analista__Programador__Cliente__Nadie2.¿SeplanificanlasactividadesdeAseguramientodelaCalidaddeSoftware(ACS)?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________3.¿Elaseguramientodelacalidadsuministraunaverificaciónobjetivadequelasactividadesyproductosdesoftwaresecorrespondenconlosprocedimientos,estándaresaplicablesyconlosrequerimientos?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________4.¿Losresultadosdelasrevisionesyauditoríasdeaseguramientodelacalidad,selesuministranalosindividuosygruposafectados?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________5.¿Quedanasuntosincumplidosquenoseresuelvenenelproyectodesoftwarebajoladireccióndellíderdeproyectos?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________
26
6.¿Elproyectosigueunapolíticaorganizacionalescritaparalaimplementacióndelaseguramientodelacalidad?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________7.¿Lasactividadesdeaseguramientodelacalidadcuentanconlosrecursosadecuados?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________8.¿Seusanmedicionesparadeterminarelcostoyelestadodelcronogramadelasactividadesrealizadasporaseguramientodelacalidad?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________9.¿Lasactividadesdeaseguramientodelacalidadsonrevisadasperiódicamenteconlíderdeproyectos?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________10.¿Serealizanpruebasparaelaseguramientodelacalidad?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________
27
11.¿Existeunplandepruebas?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________12.¿Cuántosambientesdepruebaexisten?□Uno□Dos□Tres□MasdeTresComentarios_______________________________12.¿Quétiposdepruebasserealizan?□CajaNegra:veri icaciondelasespeci icaciones,usabilidad,rendimiento,carga,almacenamiento,concurrencia,deseguridad.□CajaBlanca:unitarias,decobertura,controlde lujo,integridaddedatos.□Otrostipos□DesconocidoComentarios_______________________________13.¿Hayalgúnscriptparalaspruebas?¿Quedandocumentadossusresultados?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________
28
Anexo07.CuestionariodeAuditoríadeSistemas.1.¿Existeunequipoodepartamentoencargadodelaauditoríadesistemasenlaempresa?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________2.¿ExisteunequipoodepartamentoencargadodelaauditoríaeneláreadelaseguramientodelacalidaddeSoftware?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________3.¿Enlaempresaserealizanauditoríasinternas?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________4.¿Enlaempresaserealizanauditoríasexternas?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________
29
¿ExistenAuditorescertificadosenlaEmpresa?□Si□No□Noesaplicable□DesconocidoComentarios_______________________________