Adquisición, desarrollo y mantención de soluciones de TI

Definición de requerimientos

El área de TI asesora a todos los gerentes y grupos de usuarios en la definición de requerimientos, con la

finalidad de prevenir que se gasten recursos en un sistema que no satisface los requerimientos del negocio.
Adoptando los siguientes pasos genéricos:

• Definir el problema o la necesidad que requiere solución. 
• Definir los requerimientos generales o importantes del sistema para la solución, por ejemplo:
• Controles de acceso 
• Requisitos legales 
• Necesidades de información para la Gerencia 
• Otras consideraciones operativas 

Si se decide comprar un paquete de software, entonces el usuario debe participar activamente en la evaluación del sistema y en el proceso de selección.

Estudio de Factibilidad
La decisión de compra o desarrollo debe estar precedida de un estudio de factibilidad para determinar los beneficios estratégicos de implementar el sistema en base en los beneficios en la productividad o bien evitando costos en el futuro. Considera entre otros elementos, los siguientes:

• Definir un período de tiempo para el que se requiere la solución; 
• Determinar si se requiere una solución automatizada; 
• Determinar si un sistema existente puede corregir la situación (con o sin modificaciones); 
• Determinar si la solución encaja en la estrategia del negocio; 
• Determinar si el producto se comprará o desarrollará, considerando además fecha en que se requiere la solución y el costo involucrado.

Adquisición

La adquisición no es considerada una fase estándar en el ciclo de vida de desarrollo de una aplicación, sin embargo es una alternativa válida que tiene la empresa y considera:

• El estudio de factibilidad debe contener la documentación que respalde la decisión de adquirir el software;  
• Constituir un equipo de proyecto de adquisición, con personal técnico y usuarios para redactar una solicitud de propuesta la que es enviada a los vendedores para determinar la mejor solución de acuerdo a la relación precio/calidad; 
• Analizar las propuestas (se considerar visitas a terreno) a clientes que usan la solución; 
• Negociar y firmar el contrato.

Respeto a la etapa de adquisición, el área de TI ofrece apoyo a la administración de la empresa y usuarios efectuando:

1. Identificación de los posibles proveedores.
2. Establecer contacto con los proveedores identificados
3. Evaluar alternativas.
4. Evaluación de Inversión
5. Asesorar en la implementación de las soluciones.
• Considera el poblamiento de las BD, capacitación y soporte de usuarios.
6. Evaluación posterior a la compra del Software seleccionado

 Desarrollo

La fase de desarrollo de soluciones de TI es aplicable en aquellas organizaciones que disponen de un área informática con un equipo de analistas, programadores, verificadores de calidad, políticas, procedimientos y recursos correspondientes.

Pruebas

La creación del nuevo sistema o la versión modificada del existente es extraída del ambiente de custodia y trasladada al ambiente de pruebas, lo compila y deja disponible el programa ejecutable junto con un set de datos de pruebas con la finalidad de que usuarios apoyados por un responsable de control de calidad de sistemas “jueguen” con los sistemas para detectar posibles falencias y solucionables, si esto ocurre el usuario no da su conformidad al sistema y se notifica a los desarrolladores para efectuar las modificaciones pertinentes repitiendo las sub-etapas anteriores y su ciclo relacionado. Este proceso se repite hasta que el usuario otorgue su conformidad al sistema de acuerdo a sus necesidades.

Implementación
El sistema se traspasa al ambiente de producción para que preste los servicios a los que fue destinado. Una copia de esta versión final es enviada al responsable de custodia el cual además de resguardarla llevará un control de las versiones.

Mantenimiento

Los sistemas se ven afectados por la obsolescencia, esto es, las funcionalidades no cumplen a cabalidad o satisfacer los requerimientos del usuario por lo cual es necesario que permanentemente se estén actualizando, ya sea sistemas desarrollados internamente o adquiridos a un proveedor externo. En este caso se considera una modificación y se siguen los pasos descritos en modificación.

Administración de contratos con terceros

• Durante los últimos años para las empresas se les ha convertido en un problema llevar por sí mismas el servicio de soporte de su infraestructura de TI debido a los constantes cambios tecnológicos, cada día salen al mercado nuevos productos y el personal del área de sistemas requiere ser capacitado constantemente para adaptarse a estos cambios. 
• Por esta razón la tendencia de las organizaciones es dejar que el servicio de tecnología de la información lo preste un tercero, es decir, una compañía proveedora de tecnología que para ello cuenta con personal técnico certificado en las distintas marcas que garantiza a sus clientes un servicio de calidad a menor costo de lo que podría representar a la empresa mantenerlo por sí misma.
• No hay duda que hoy el factor de servicio especializado en TI se ha convertido en un diferenciador entre un producto de TI y otro, al momento que una empresa decide comprar una plataforma tecnológica, pues según los expertos las empresas desarrolladoras de tecnología ofrecen prácticamente las mismas herramientas y es precisamente el servicio en TI lo que ahora tiene un mayor valor, pues anteriormente se enfocaban más en buscar el mejor precio.  
• El área de TI representa a la organización frente al proveedor o prestador externo de los servicios actuando como administrador de contratos.

Evaluación de Proveedores

Nuevas Tendencias: Cumplimiento Sección 404 ley SOX

El uso de una Organización de Servicios (OS), no reduce la responsabilidad de la administración para mantener un efectivo control interno.

PCAOB – Organizaciones de Servicio

Cuando los servicios de la OS forman parte del Control Interno de la OU sobre la información financiera que se reporta, la OU debe considerar las actividades realizadas por la OS. La OU y su auditor deben ejecutar los siguientes procedimientos sobre los procesos de la OS:

• Obtener un entendimiento detallado de los controles: 
• en la OU sobre las actividades de la OS, 
• en la OS, que son relevantes para su control interno.
• Obtener evidencia que los controles se encuentran operando efectivamente:
• en la OU, sobre las actividades de la OS,
• en la OS, a través de la realización de pruebas.

Una forma de cubrir los requerimientos que caen sobre la OS, es la obtención del SAS 70, un Reporte del Auditor de la OS sobre los controles puestos en operación y pruebas de su efectividad operacional (B18-B24 del PCAOB confirma que el SAS70 es un formato aceptable.

¿Qué es un Reporte SAS 70?

 Statement on Auditing Standards (SAS) No.70, Services Organizations

• Desarrollado por la American Institute of Certified Public Accountants (AICPA).  
• Provee información a las OU y a sus auditores, para asistirlos en la evaluación del sistema de control interno relacionados con los servicios de la OS.  
• Se pronuncia sobre los 5 componentes del control interno asociados a los procesos de servicios a terceros (excluye los estados financieros de la Organización de Servicios):
• Entorno de Control 
• Proceso de Evaluación de Riesgo 
• Información y Comunicación 
• Actividades de Control 
• Monitoreo 
• Existen dos tipos de reporte, llamados Tipo I y Tipo II.

Contenido de Reportes SAS 70

Tipo I:

• Descripción de los procesos y servicios que ofrece la Organización de Servicios. 
• Descripción del ambiente de control interno, control en las aplicaciones, controles generales de tecnología y del entorno. 
• Descripción detallada de los controles específicos, políticas y procedimientos existentes a la fecha. 
• Una opinión del auditor externo a una fecha específica sobre la efectividad y aplicación del diseño del Control Interno (no de su operación). 
• Información adicional provista por la Organización de Servicios (opcional: temas que no son de control pero relevantes, como Planes de Contingencia, inversiones tecnológicas, otros).

Tipo II, contiene adicionalmente:

• Descripción de las pruebas, revisiones o actividades de inspección a aplicar a estos controles específicos, políticas y procedimientos, para constatar su efectiva operación. 
• Resultados de estas pruebas, revisiones o inspección y eventualmente los planes de acción de la Organización para enmendar desviaciones detectadas o recomendaciones de mejora. 
• Una opinión del auditor sobre la efectividad, cumplimiento y aplicación del Control Interno diseñado a lo largo de un período de tiempo (mínimo seis meses).

Ejemplo de Procesos a cubrir en el SAS 70 de Cliente

Controles Generales de TI

• Organización y administración 
• Desarrollo, mantención y documentación de aplicaciones 
• Control de cambios 
• Acceso físico y controles ambientales 
• Acceso Lógico 
• Explotación y respaldos 
• Telecomunicaciones

Sistemas de Procesamiento de Tarjetas Bancarias

• Recepción y autorización de transacciones 
• Captura de transacciones 
• Procesamiento de transacciones de tarjetas de débito 
• Procesamiento de transacciones de tarjetas de crédito 
• Abono y liquidación e Establecimientos Comerciales 
• Liquidación de comisiones de Establecimientos Comerciales a Emisores 
• Facturación a Emisores

Diferencias de Escenarios de Auditorías

Evita que la OS reciba múltiples requerimientos de auditoría por parte de los distintos clientes en forma paralela. Genera sinergias, reduciendo significativamente los esfuerzos y recursos por parte de la OS.

Etapas del proceso del SAS 70

 SAS 70 Año 2005

1. Definición y aprobación del alcance de servicios a cubrir por parte de las OU y los objetivos de control correspondientes. 
2. Preparación y documentación de declaraciones: objetivos de control y descripción de controles específicos. 
3. Período de pruebas de los controles y obtención de evidencia, bajo la revisión del Reporte SAS 70. 
4. Desarrollo del Reporte SAS 70. 
5. Entrega del Reporte Final SAS 70 con la opinión de los auditores independientes:

“Reporte sobre los controles puestos en operación y pruebas de efectividad operacional de los Sistemas de Procesamiento de Tarjetas Bancarias”

Para el período del 1 de Abril 2005 al 30 de Septiembre de 2005.

Cada OU (con su auditor) debe evaluar cómo el SAS 70 a emitir por el cliente y se ajusta y adecua con su estrategia de cumplimiento de la 404, y si el reporte provee suficiente evidencia para soportar su Evaluación del Control Interno:

• Alcance del Reporte: procesos / servicios, aplicaciones a cubrir.  
• Lista de objetivos de control para cada proceso, servicio y/o aplicación. 
• Período de tiempo cubierto en las pruebas de controles.

Asegurar Continuidad de los Servicios

Corresponde a uno de los principales servicios del área de TI y también a uno de los principales objetivos de control interno informático. Consiste en asegurar la disponibilidad, confidencialidad e integridad de la información. Entre las actividades comprendidas en este servicio se encuentran:

• Requisitos de seguridad para los activos: Definir todos los componentes de la infraestructura de la organización que requieran algún grado de protección,  
• Análisis de amenazas: elaborar una lista con las más comunes en el entorno. 
• Identificación de exposiciones: La identificación y definición del valor de pérdida potencial de cada exposición  
• Evaluación de vulnerabilidad: Elaborar una lista completa de todas las vulnerabilidades existentes.
• Desarrollo de contramedidas: rentable para proteger los activos de la organización.  
• Pruebas de penetración: Utilizar las pruebas para identificar las diferentes maneras en que un individuo no autorizado puede tener acceso a la organización. 
• Respuesta a incidencias: Un buen plan de respuesta a incidencias detalla los procedimientos específicos que se deben seguir. 
• Alcance de las tareas para asegurar los activos: Definir la cantidad total de trabajo, incluso el tiempo, el esfuerzo y el dinero necesarios para ofrecer la seguridad suficiente y para mantener la infraestructura desde el punto de vista del soporte y usuario final.

Administrar el desempeño y capacidad

• La administración de servicios de TI se preocupa por la entrega y soporte de servicios cuidando las necesidades de la organización. Una de la preocupaciones es poder dar una seguridad a la organización de que pueda seguir su continuidad sin verse alterada en su desarrollo diario.
• La medición de la calidad del área de TI no es un evento sino un proceso continuo y un estado mental. Se recomienda la utilización de los principios del círculo de calidad para efectuar este proceso en forma efectiva.
• Cuando se define el proyecto, el grupo de trabajo debe entender los términos de calidad de la información impuesto por el cliente y estar consignados en un plan de trabajo que tenga como objetivo proveer un servicio de calidad dentro de las áreas de TI.
• Por ejemplo, en la entrega de software, se sabe que es difícil que esté completamente libre de fallas, por lo que se puede definir que se da por aceptado con fallas de forma, más no de fondo.

Capacitación de usuarios

• En una gran medida en las empresas quienes deciden cuando de debe capacitar al usuario de TI es la Gerencia de TI ahora si en algún caso la organización ve que nuestra capacitación esta sobrepasando los costos estimados que tenían en dicha inversión es el Gerente General o Subgerente General es quien toma las decisiones ligadas a TI. En la adquisición, desarrollo y/o manutención de los sistemas, los usuarios deben ser capacitados en las funcionalidades incluidas en estas soluciones de TI con la finalidad de maximizar los beneficios de la inversión realizada

Administración del hardware e instalaciones

• El área informática es responsable de controlar, resguardar y mantener el hardware, las redes y las instalaciones relacionadas con la gestión de TI. Por lo tanto debe apoyar a la empresa en los procesos de adquisición mantenimiento cambio en custodia de estos recursos, específicamente controlando las condiciones ambientales de acceso físico y acceso lógico

Control de licenciamiento

• El área de TI esta encargada de materializar el cumplimiento de las normativas que protegen la propiedad intelectual de los proveedores de soluciones de TI. Para ello es responsable de establecer un proceso continuo de control sobre las licencias instaladas en sus plata formas.  
• Este proceso incluye actividades tales como:
• Redacción, publicación y manutención de políticas y procedimientos relacionados a la instalación de software  
• Control permanente de las versiones adquiridas, instaladas y obsoletas de software 
• Establecer controles preventivos, defectivos y correctivo en caso de vulnerar los derechos de autor 
• Fomentar la acreditación de entes externos relacionados a control de licenciamiento.

Orientaciones para auditor informático

Asegurar que el auditor de TI pueda evaluar la metodología y los procesos por medio de los cuales se abordan el desarrollo, la adquisición, la implementación y el mantenimiento de los sistemas de aplicaciones del negocio para asegurar que los mismos satisfagan los objetivos de negocios de la organización
Diseño y Programación

• Revisar diagramas de flujo del sistema para verificar si se ajusta al diseño general, si se han modificado deben tener las autorizaciones respectivas 
• Revisar los controles de ingreso, procesamiento y salida de datos 
• Entrevistar a usuarios claves para determinar la comprensión y participación en el proyecto 
• Revisar los resultado de control de calidad del programa 
• Verificar que se hayan efectuado las correcciones de los errores detectados

Etapa de Pruebas

• Revisar el plan de pruebas para verificar si está completo y con evidencias de participación de usuarios 
• Revisar los reportes erróneos 
• Verificar que los controles y seguridad del sistema esté funcionando

Implementación

• Verificar que se hayan obtenido las firmas (autorizaciones) de aprobación apropiadas antes de la implementación; 
• Revisar los procedimientos programados para poner en funcionamiento el sistema; 
• Revisar la completitud de la documentación del sistema; 
• Verificar que la conversión de datos es correcta. 
• Analizar la documentación a partir del estudio de factibilidad para determinar que la decisión de adquirir una solución fue apropiadamente documentada y si consideró la conveniencia para la empresa; 
• esté visado por los abogados de la empresa.
• Revisar las propuestas de los proveedores analizados
• Determinar si el vendedor seleccionado cumple con los requisitos estipulados en la propuesta; 
• Revisar el contrato del vendedor antes de su firma para asegurarse que incluye puntos de control en beneficio de la empresa; 
• Asegurarse que el contrato esté visado por los abogados de la empresa.

Evaluar los procesos de mantenimiento a los sistemas de información

• Evaluar si los procedimientos de la organización para autorizar, priorizar y rastrear cambios al sistema son los adecuados; 
• Identificar los cambios al sistema y verificar que se haya dado la autorización debida conforme a las normas de la organización; 
• Revisar la documentación del programa, para asegurarse que se mantienen instaladas las pistas de auditoria; 
• Determinar si se ha actualizado la documentación del sistema (técnica y la de usuario); 
• Evaluar los procedimientos de control de cambios a programas; 
• Evaluar si las restricciones de acceso de seguridad de los módulos fuentes y los ejecutables en producción son los adecuadas;  
• Evaluar si los procedimientos para atender los cambios de emergencias a los programas son los adecuados.
• Evaluar si los procedimientos para probar los cambios a los sistemas son los adecuados;  
• Revisar los procedimientos establecidos para asegurar la integridad del código ejecutable y fuente; 
• Revisar los módulos ejecutables en producción y verificar que haya una sola versión del fuente del programa.