Monografias | Auditoría

En un principio el desarrollo de Software se hacia sin usar metodologías o técnicas,esto debido a que los sistemas eran pequeños y de muy escasa complejidad, peroa medida que avanzó la tecnología, las necesidades crecieron provocando quelos sistemas de software no fueran de suficiente calidad, Iniciándose una ramade la computación que se ha hecho indispensable en la última década, esta esconocida como "Ingeniería de Software", evidentemente aún seencuentra en sus inicios pero ha ayudado a solucionar problemas en lo referenteal análisis, diseño, desarrollo y mantenimiento de sistemas administrativos,los de apoyo a las tomas de decisiones o las de aplicaciones más comunes comoson los de sistemas de monitoreo o los de control de procesos. Para eldesarrollo e implantación de tales sistemas es necesario realizar una serie deprocesos que parten desde la comprensión del problema hasta la puesta en marchadel producto final.

A continuación se muestra una forma de solucionar y apoyar a la empresa"Geo Hardware and Software" en su departamento de informática. Seespecifica el objetivo fundamental de la realización del sistema, así comotambién porque desarrollarlo (justificación), basándose en los requerimientosy necesidades del instituto.

Se muestra la importancia de aplicar la "Auditoria de Software" e"Ingeniería de Software", partiendo de diversas metodologías aseleccionar, analizando las ventajas y desventajas de cada una de ellas; cabemencionar que no son todos los métodos existentes pero si lo más usuales. Yamencionando lo anterior se muestra y detalla la metodología que se apegó a lasnecesidades del instituto, así como a los objetivos que se pretenden cubrir.

Se analizan y comprenden cada uno de los procesos que desarrolla la empresaen el área administrativa. Una vez aplicado el análisis se obtienen losproblemas existentes en la misma.

Para solucionar los problemas, es necesario siempre mostrar diferentesestrategias de solución dando las ventajas y desventajas de cada una de ellas,además de proponer la más adecuada para la empresa. En la elaboración de unsistema, es siempre recomendable diseñar la estructura interna, externa ysalida de información, con el objetivo de que el equipo de trabajo tenga unaestandarización sobre todos los componentes del sistema.

En la fase de desarrollo se elige el lenguaje de programación ideal para laelaboración del código, tomando en cuenta las características del sistema, elcódigo fuente Es elaborado en el lenguaje "Clipper".

2. Objetivo Y Justificación
Objetivo

Desarrollar un sistema informático de apoyo al proceso administrativo de"Geo Hardware and Software", con el propósito de dar una mayoragilidad al manejo de la información, así como una rápida consulta a losdatos que se controlan y una mejor visión en la toma de decisiones, dando unmejor servicio al alumno y una mejor presentación a la empresa, todo esto apegándosea las bases que la misma empresa establezca y al equipo de cómputo yaexistente.

Justificación

La empresa realizaba su control administrativo en forma manual, estoocasionaba que fuera demasiado lento al obtener información acerca de lasfacturas.

Sobre los datos que se controlan, estos se almacenan por tiempo indefinido(entre una año y medio a dos años), como un control interno en la administraciónde la empresa, además como se tiene una gran cantidad de clientes, estoprovocaba un exceso de papel en el archivero, y a la vez propiciaba el extravíode información.

Por todo lo anterior; era necesario realizar un sistema informático quesolucione cada uno de los problemas existentes y que se aprovechara el equipo decomputo que se tiene en el área administrativa como es debido.

La forma para desarrollar software desde que se inicio la computación, através de los años ha sido de forma lenta, ya que se podría decir que esta seencuentra aún en sus inicios, en un principio se trató de aplicar el análisisy diseño de otras especialidades, dando como resultado que el software fuera demala calidad; tuvieron que pasar varios años antes de que se dieran cuentan quese requería de métodos y/o técnicas que ayudarán a los desarrolladores desoftware a crear este de mejor calidad, con el paso del tiempo aparecieronnuevas técnicas que se adecuaban al desarrollo del mismo.

Desgraciadamente el avance tecnológico es tan rápido que pronto esas técnicaspasaron a ser obsoletas, por esta y otras causas hubo que crear una nueva ramade la ingeniería, la "Ingeniería en Software", esta cada año esactualizada para poder cumplir con los requisitos que el hardware solicita, apesar de esto aún no ha sido posible desarrollar software que explote al máximoel hardware, han aparecido nuevas especialidades como "Ingeniero en Basesde Datos", tratando de alcanzar el avance de la tecnología, exigiendo quelos estudiosos se actualicen para que esta meta se llegue a conseguir.

El seleccionar la metodología de trabajo implica estudiar varias para asídeterminar cuál es la más adecuada.

A continuación se muestran diferentes metodologías a utilizar en laingeniería de software para llevar a cabo un análisis, diseño, desarrollo eimplantación de un sistema informático.

PSL/PSA (Lenguaje de Enunciados de Problemas / Analizador de Enunciados deProblemas).

Fue desarrollado con la idea de aplicarlo al procesamiento de datos. PSLestablece ocho requisitos o aspectos principales para diseñar un sistema. PSAes un analizador automatizado, el cual se encarga de proporcionar los datos quefueron previamente obtenidos con PSL. Los aspectos que PSL tiene que cumplirson:

1. Flujo de entrada/salida del sistema.
2. Estructura del sistema.
3. Estructura de datos.
4. Derivación de datos.
5. Tamaño y volumen del sistema.
6. Dinámica del sistema.
7. Administración del proyecto.

La desventaja principal de este método se encuentra en no ser adecuado en eldesarrollo de sistemas de software; por ejemplo, una de las áreas donde sepuede aplicar esta metodología es en el control de sistemas aéreos.

RSL/RFVS (Lenguaje de Establecimiento de Requisitos / Sistema de Validaciónde Ingeniería de Requisitos).

RSL se basa en varios de los primeros puntos de PSL, la diferencia es que RSLpermite realizar modelos de sistemas estímulo - respuesta en el control deprocesos-. RFVS analiza y procesa los requisitos que fueron determinados en RSL,permitiendo una evaluación directa de datos.

Este método es utilizado en sistema de grandes dimensiones y de altacomplejidad en donde las inversiones de costo sean de igual tamaño de locontrario no se puede justificar su uso.

SADT (Técnicas de Análisis y Diseño Estructurado).

Está constituido por un lenguaje gráfico y métodos de administración, sele considera entre los mejores métodos.

Esta formado por un conjunto ordenado de diagramas SA (AnálisisEstructurado), comúnmente utilizado en ingeniería civil y mecánica. Se puededecir que SADT permite el trabajo con bases de datos, pero su desventaja seencuentra en no tener diversos mecanismos estructurales.

SSA (Análisis Estructurado de Sistemas).

Se compone principalmente de diagramas de flujo de datos (DFD), diccionariosde datos, representaciones lógicas de procedimientos y técnicas deestructuración de almacenamiento de datos.

Es muy útil, para el proceso de bases de datos y en sistemas de programación,por su flexibilidad en el manejo de información se recomienda su uso parasistemas pequeños y de mediana escala.

Organización.

Este apartado contempla el establecimiento de políticas y objetivos deseguridad y el desarrollo de herramientas de gestión y coordinación de las medidasde seguridad necesarias.

Antecedentes organizativos.

Evidentemente, ante todo, debe existir en la empresa una política abierta ydecidida en materia de seguridad, impulsada por la propia Dirección. Cualquieracción individual o incluso departamental que carezca no solo del beneplácitosino también del soporte y apoyo explícito de la Dirección estará condenadaal fracaso.

Debemos recordar, una vez más, que la seguridad debe contemplarse como unconjunto homogéneo y coordinado de medidas encaminadas a la protección de losactivos de información. En consecuencia, construir murallas robustas cuandoexisten puertas de acceso fácilmente vulnerables no solo es ineficaz sino quehace inútiles las inversiones y esfuerzos realizados.

Estructura organizativa interna.

La Organización debe estar diseñada de tal modo que facilite y favorezca lagestión de la seguridad informática. Y esto debe cumplirse tanto dentro delpropio Departamento de Informática como en la ubicación de este en elorganigrama de la empresa.

La composición del Departamento y la definición de funciones o descripciónde puestos de trabajo debe ser tal que, además de establecer claramente loscometidos de sus integrantes, no provoque solapamientos ni dejeresponsabilidades por cubrir. En este sentido, es muy importante la asignaciónde funciones de seguridad. Debe procurarse una segregación adecuada, de modoque no existan, salvo casos de Departamentos de muy reducida plantilla, personascuyas funciones les otorguen plenos poderes en todos los aspectos del ámbitoinformático.

Política de personal.

Al capítulo de personal no se le otorga, a menudo la suficiente importancia.Por muchas medidas de seguridad que se implanten, la responsabilidad de sucreación y la supervisión de su cumplimiento recae sobre las personas. Portanto, siendo este el activo mas importante de la empresa u organización,parece razonable que exista una política de personal adecuada, abarcando todoslos aspectos (contratación, remuneración, información, motivación,incentivación, formación, reciclaje, etc.) que favorezca la obtención no sólodel máximo rendimiento de las personas sino también de su integración yrealización dentro de la empresa u organización.

Es vital contar con personal sobre el que poder depositar la confianza. Porel contrario, el personal descontento representa una amenaza importante para laseguridad de la empresa. Debe hacerse pública la existencia de normas deseguridad y la posición de la empresa al respecto a fin de que sean conocidas yasumidas por el personal. Los trabajadores recién incorporados deben serinformados lo antes posible de la política de la empresa en materia deseguridad: no hay que olvidar que estos tomarán como referencia la actitud ycomportamiento del personal con mayor antigüedad. Por este motivo, la formacióne información en este sentido debe ser explícita y estar patente en todas lasactividades diarias.

Auditoría y control.

Aquellas empresas cuyo tamaño así lo justifique deberían tener definida lafunción de Auditoría Interna asumida por personal de la propia empresa, con laresponsabilidad de efectuar periódicamente revisiones con el objetivo decomprobar el cumplimiento de la normativa interna, especialmente en materia deseguridad, y de participar en la definición de los nuevos sistemas de informaciónque se desarrollen e implanten, para asegurar la incorporación de elementos quefaciliten su auditabilidad y control.

Dado que esta situación sólo se produce en organizaciones de granenvergadura, por un problema de economía de escala, en empresas medianas ypequeñas, en las que no pueda asumirse esta función con personal interno, seríadeseable la contratación periódica de este tipo de revisiones a empresasespecializadas, exigiendo de éstas no sólo la detección de problemas reales yriesgos potenciales sino también de un plan de acciones para prevenirlos,detectarlos y solucionarlos, dándole así un valor añadido y una rentabilidadal servicio obtenido, ya que, además de realizar la labor de auditoria ycontrol, se contrastan opiniones y se adquieren nuevos conocimientos sobre el'estado del arte' en cada materia.

Asuntos administrativos relacionados con la seguridad.

El instituto debe disponer de servicios de mantenimiento, bien propios ocontratados externamente, en función de sus características y posibilidades.Estos servicios deben abarcar tanto los equipos informáticos como los equiposauxiliares (electricidad, agua, aire acondicionado, etc.) siempre que de su buenestado dependa el funcionamiento de los sistemas informáticos.

Los equipos informáticos deben estar perfectamente identificados (marca,modelo, ubicación, fecha de adquisición, etc.) y cubiertos por lascorrespondientes pólizas de seguros. La Dirección de la empresa decidirá sila cobertura ha de limitarse simplemente a la indemnización por destrucción físicay sustracción, o contemplará además compensaciones por la perdida decapacidad de procesamiento u otros aspectos.

Los elementos de seguridad física (localización de extintores manuales,salidas de emergencia si las hubiese, etc.) deben estar convenientemente señalizados.Análogamente, todo aviso o recomendación relativo a seguridad ha de serclaramente visible (indicadores de prohibición de fumar, planos o croquis deledificio indicando el camino a escaleras y salidas de emergencia, normas deactuación en caso de evacuación forzosa del edificio, etc.).

Estas medidas deben adecuarse a cada situación particular, pero, encualquier caso, su implantación es de muy reducido coste, tanto en dinero comoen tiempo.

Este apartado aborda los aspectos asociados al componente lógico delsistema: programas y datos. Para ello, se distingue entre las medidas pararestringir y controlar el acceso a dichos recursos, los procedimientos paraasegurar la fiabilidad del software (tanto operativo como de gestión) y loscriterios a considerar para garantizar la integridad de la información.

Control de acceso.

Sistemas de identificación, asignación y cambio de derechos de acceso,control de accesos, restricción de terminales, desconexión de la sesión,limitación de reintento.

Software de base.

Control de cambios y versiones, control de uso de programas de utilidad,control de uso de recursos y medición de 'performance'.

Software de aplicación.

En este apartado se trata todo lo concerniente al software de aplicación, esdecir, todo lo relativo a las aplicaciones de gestión, sean producto dedesarrollo interno de la empresa o bien sean paquetes estándar adquiridos en elmercado.

Desarrollo de software.

• Metodología: existe, se aplica, es satisfactoria. Documentación: existe, esta actualizada, es accesible.
• Estándares: se aplican, como y quien lo controla. Involucración del usuario.
• Participación de personal externo.
• Control de calidad.
• Entornos real y de prueba.
• Control de cambios.

Adquisición de software estándar.

Metodología, pruebas, condiciones, garantías, contratos, capacitación,licencias, derechos, soporte técnico.

Datos.

Los datos es decir, la información que se procesa y se obtiene son la partemás importante de todo el sistema informático y su razón de ser. Un sistemainformático existe como tal desde el

momento en que es capaz de tratar y suministrar información. Sin ésta, sereduciría a un conjunto de elementos lógicos sin ninguna utilidad.

En la actualidad la inmensa mayoría de sistemas tienen la informaciónorganizada en sendas Bases de Datos. Los criterios que se citan a continuaciónhacen referencia a la seguridad de los Sistemas de Gestión de Bases de Datos(SGBD) que cumplan normas ANSI, si bien muchos de ellos pueden ser aplicables alos archivos de datos convencionales.

Diseño de bases de datos.

Es importante la utilización de metodologías de diseño de datos. El equipode analistas y diseñadores deben hacer uso de una misma metodología de diseño,la cual debe estar en concordancia con la arquitectura de la Base de Datoselegida jerárquica, relacional, red, o bien orientada a objetos.

Debe realizarse una estimación previa del volumen necesario para elalmacenamiento de datos basada en distintos aspectos tales como el número mínimoy máximo de registros de cada entidad del modelo de datos y las predicciones decrecimiento.

A partir de distintos factores como el número de usuarios que accederá a lainformación, la necesidad de compartir información y las estimaciones devolumen se deberá elegir el SGBD más adecuado a las necesidades de la empresao proyecto en cuestión.

En la fase de diseño de datos, deben definirse los procedimientos deseguridad, confidencialidad e integridad que se aplicarán a los datos:

Procedimientos para recuperar los datos en casos de caída del sistema o decorrupción de los archivos.

Procedimientos para prohibir el acceso no autorizado a los datos. Para ellodeberán identificarlos.

Procedimientos para restringir el acceso no autorizado a los datos. debiendoidentificar los distintos perfiles de usuario que accederán a los archivos dela aplicación y los subconjuntos de información que podrán modificar oconsultar.

Procedimientos para mantener la consistencia y corrección de la informaciónen todo momento.

Básicamente existen dos niveles de integridad: la de datos, que se refiereal tipo, longitud y rango aceptable en cada caso, y la lógica, que hacereferencia a las relaciones que deben existir entre las tablas y reglas delnegocio.

Debe designarse un Administrador de Datos, ya que es importante centralizaren personas especializadas en el tema las tareas de redacción de normasreferentes al gestor de datos utilizado, definición de estándares ynomenclatura, diseño de procedimientos de arranque, recuperación de datos,asesoramiento al personal de desarrollo entre algunos otros aspectos.

Creación de bases de datos.

Debe crearse un entorno de desarrollo con datos de prueba, de modo que lasactividades del desarrollo no interfieran el entorno de explotación. Los datosde prueba deben estar dimensionados de manera que permitan la realización depruebas de integración con otras aplicaciones, de rendimiento con volúmenesaltos.

En la fase de creación, deben desarrollarse los procedimientos de seguridad,confidencialidad e integridad definidos en la etapa de diseño:

• Construcción de los procedimientos de copia y restauración de datos.
• Construcción de los procedimientos de restricción y control de acceso. Existen dos enfoques para este tipo de procedimientos:

Confidencialidad basada en roles, que consiste en la definición de losperfiles de usuario y las acciones que les son permitidas (lectura, actualización,alta, borrado, creación/eliminación de tablas, modificación de la estructurade las tablas).

Confidencialidad basada en vistas, que consiste en la definición de vistasparciales de la base de datos, asignándolas a determinados perfiles de usuario.

Construcción de los procedimientos para preservar la integridad de lainformación. En los SGBD actuales, la tendencia es la implantación de estosprocedimientos en el esquema físico de datos, lo cual incide en un aumento dela fiabilidad y en una disminución del coste de programación, ya que el propiogestor de la base de datos controla la obligatoriedad de los atributos de cadaentidad, dominio o rango de los datos y las reglas de integridad referencial.

Explotación de bases de datos.

Es importante la realización de inspecciones periódicas que comprueben quelos procedimientos de seguridad, confidencialidad e integridad de los datosfuncionan correctamente. Para ello, existen diversos métodos y utilidades:

Registro de accesos y actividad (archivos lógicos). Los SGBD actuales suelentener archivos de auditoría, cuya misión es registrar las acciones realizadassobre la base de datos, haciendo referencia a nombre de objetos modificados,fecha de modificación, usuario que ha realizado la acción, en fin lo datos másrelevantes para poder llevar a cabo seguimiento de las acciones efectuadas.

Registro de modificaciones realizadas por la aplicación. Una aplicaciónbien diseñada debería grabar información necesaria para detectar incidenciaso fallos. Estos atributos, también llamados pistas de auditoría, pueden ser lafecha de creación o de ultima modificación de un registro, el responsable dela modificación, la fecha de baja lógica de un registro en general registrartodos los datos relevantes para poder llevar un seguimiento de lasmodificaciones efectuadas.

'Tunning' periódico de la Base de Datos. Periódicamente, el Administradorde Datos debe controlar el crecimiento y la evolución de los archivos de labase de datos a fin de tomar las medidas necesarias para mejorar el rendimientodel sistema.

Mantenimiento de la Base de Datos. Dado que la base de datos es un objetocambiante, periódicamente debe efectuarse su mantenimiento, ya que suestructura, volumen, comportamiento, apariencia se modifican con el paso deltiempo. Asimismo, deben revisarse los roles de los usuarios para adecuarlos alos posibles cambios que se vayan produciendo.

Metodología De Trabajo

En la etapa de selección de una metodología, el equipo de desarrollo debede elegir la que más se acerque a la problemática del sistema, indudablementeque no todas las metodologías son las adecuadas a cada problema, es aquí dondela Ingeniería de Software ayuda, sugiriendo diferentes metodologías, einclusive la combinación de estas. La visión de un desarrollador de softwarese debe de centrar en la idea de que es lo mas importante para la empresa,teniendo como antecedente de que ambas partes (principalmente el usuario) debende estar de acuerdo en la solución al problema.

Tomando en cuenta lo anterior y en los problemas mencionados en lajustificación, se aplico una combinación de metodológicas entre el ciclo devida clásico y el Sistema de Análisis Estructurado. Sobre la metodología deCiclo de Vida, se utilizo la fase, "Determinación de losrequerimientos", ya que es de suma importancia conocer las necesidades delcliente u posibles problemas. Para la recopilación de datos se puede aplicar laentrevista, el cuestionario y/o la observación. Considerando las ventajas ydesventajas que cada técnica ofrece se aplico la entrevista, por ser una de lasmás seguras y aplicables a un numero menor de personas.

El principal objetivo de recabar información es para determinar el tamañodel sistema de estudio, debido a esto se determino que se trataba de un sistemapequeño por la cantidad de procesos, el flujo de información y la complejidadde los cálculos estadísticos que maneja esta empresa.

En lo que se refiere al Sistema de Análisis Estructurado, se considero elmas adecuado por permitir el manejo de sistemas de menor complejidad,desarrollar programas de software e incorporar conceptos de bases de datos.

El uso de las bases de datos permite almacenar gran cantidad de informaciónademás de las siguientes ventajas:

• Permite tener un mejor control sobre la información que se almacena.
• Una gran velocidad sobre la consulta de información.
• Respaldo de información, dando una mayor seguridad de la misma.
• Flexibilidad en el traslado de la información
• Manejo de reportes inmediatos, obteniendo el numero de copias necesarias en corto tiempo.
• Velocidad y exactitud sobre los cálculos matemáticos.
• Eliminar la duplicidad de datos
• Se disminuye el manejo de datos erróneos,

Cada uno de los elementos que se incorporan en el análisis y diseño de estametodología ayudan a identificar y comprender los procesos que se aplican, loselementos están involucrados, el agrupamiento mas adecuado de los datos,encontrar la duplicidad de la información, establecer una relación entreagrupamientos de la organización sobre la programación del software, así comoun mantenimiento que asegure el funcionamiento adecuado del sistema.

El análisis estructurado de sistemas, es utilizado en sistemas no muygrandes y de poca complejidad, incorpora un lenguaje gráfico para representarsus modelos de sistemas a manipular mas fácilmente la información. Esta sebasa en los siguientes puntos:

Diagrama

El símbolo entidad puede representar a una empresa, una persona o una máquina,donde cada uno de estos puede ser fuente o destino de datos. La flecharepresenta como la información se traslada de una entidad a otra, la punta dela flecha indica el destino de los datos.

Si se desea indicar transformaciones de los datos, se utiliza un rectángulocon esquinas redondeadas, donde la información que sale será diferente de laque entra. El símbolo de almacenamiento de datos, indica donde la informaciónpuede ser consultada, sirve también para indicar donde se puede almacenar oguardar la información. El abuso en detallar un DFD puede confundir alanalista, por lo que no es recomendable en diagramas grandes y complejos. Elanalista puede representar un sistema desde su forma mas general hasta llegar adetallar la parte de interés en el desarrollo del sistema.

Diccionario De Datos

El uso de un diccionario de datos ayuda a determinar cuales son los elementosde un sistema, además de que ayuda a detallarlo. Los elementos se deben dedefinir y de indicar en que parte son utilizados.

Como primer paso se deben de agrupar según la información que se obtenga,determinar en que grupos son repetidos los diferentes elementos. El uso de undiccionario de datos debe primero ser generado durante la fase de análisis, yademás un segundo diccionario durante la fase de diseño, ambos diccionarios dedatos son importantes, ya que mientras en la fase de análisis sirvió paraidentificar los elementos del sistema, en la fase de diseño permitiráorganizar la información que será almacenada por medio de la computadora enalgún dispositivo de almacenamiento secundario ( discos flexibles, discosduros, discos ópticos, etc.)

Representaciones Logicas

Una representación lógica es principalmente utilizada para explicar losprocesos que utiliza el instituto, estos procesos pueden ser representados pormedio de lenguaje estructurado, por arboles de decisión o por diagramas deflujo: la técnica del lenguaje estructurado es la mas recomendable para que elusuario entienda si los procesos son correctos, se recomienda utilizar el españolpara explicar los procesos, ayudándose de estructuras de control comosi....entonces, hacer mientras........, etc.

El uso de esta herramienta debe de ser cuidadoso, ya que se puede llegardetallar demasiado los procesos, llegándose a asemejar a un programa decomputadora, difícil de ser entendible por el usuario y por el resto del equipode trabajo. La utilización de esta técnica marcara la forma o estructura quetendrá el sistema de software, debe entenderse que algunos desarrolladores lallegan a utilizar preferentemente durante la fase de diseño, se recomiendautilizarla en el análisis, para asegurar que el diseño será correcto. Eldesarrollador puede utilizar diagramas de flujo de datos para representar elsistema durante la fase de diseño.

Diseño Estructurado

Es uno de los mas utilizados y recomendados por los expertos en el desarrollode sistemas de computo, además de que es una consecuencia del Sistema de AnálisisEstructurado, el diseño estructurado esta compuesto por las siguientesherramientas:

• Diccionario de datos
• Mapa de relaciones
• Diagrama de diálogos
• Diagrama de flujos
• Entradas y Salidas

Diccionario De Datos

El diccionario de datos que se diseñara, deberá tener como base eldiccionario de datos que se realizo durante el análisis, además de tomar encuenta las estructuras que fueron resultantes durante la fase de técnicas deestructuración de almacenamiento de datos.

Mapa De Relaciones

Esta herramienta tiene como base las estructuras que fueron resultantesdurante el desarrollo de la aplicación de las técnicas de estructuración dealmacenamiento de datos, añadiendo la forma en que las estructuras estánrelacionadas, tomando como base la asignación de llaves, que permiten laidentificación de cada relación y la forma en que estas pueden seridentificadas, una flecha indica que la relación será de una a una, dobleflecha podrá indicar una a muchas, muchas a una, o muchas a muchas, la forma enque se representen deberá ser respetada por el quipo de trabajo, ya que es asícomo se realizara la programación.

Diagramas De Dialogos

Un diagrama de dialogo, es la representación en forma general de como estarácompuesto el sistema, indicando la trayectoria que se debe de seguir paratrabajar con cada uno de los módulos que lo componen.

Diagramas De Flujo

Estos representaran la forma en que el sistema será manipulado por elusuario, utilizándose los símbolos clásicos de condiciones y de proceso,cuidando que estos sean de estructura sencilla.

El diseño de entradas consiste en desarrollar diversas formas para capturarinformación, por lo regular la entrada clásica es la pantalla, y enconsecuencia la salida mas importante es por la impresora. Se deben implementarlas pantallas de tal forma, que sean fáciles de entender por el usuario, asícomo los formatos de salida.

Codificación

En esta fase el equipo de trabajo debe decidir, el lenguaje que seráutilizado para llevar a cabo el desarrollo del software.

Prueba, Implantación Y Mantenimiento

Durante esta fase se deben realizar pruebas de autenticidad del software, lamayor parte de los desarrolladores realizan estas pruebas junto con el usuario,cumpliendo además con la capacitación al personal que utilizara el software enforma directa o indirecta, al depurar de todos sus errores al sistema, este seimplantara.

El mantenimiento es una parte muy importante, ya que esta llega a ocuparhasta un 60% de tiempo y esfuerzo del total del proyecto, es por esto que sedebe elaborar un plan de trabajo a un tiempo determinado, este dependerá deltamaño del proyecto, al usuario se le puede manejar este mantenimiento como"Garantía de Software".

Descripción De Problemas

De acuerdo a la auditoría interna aplicada a la empresa "Geo Hardwareand Software" en su departamento de informática, se obtuvieron losiguientes problemas:

1. El departamento requiere de información de manera inmediata y constante acerca del control de facturas, como puede ser actualización de saldos, el desglose de la factura, consultas rápidas, búsqueda de artículos, etc.
2. El excesivo uso de papel en documentación, ocasiona una lenta consulta acerca de un dato o grupo de datos y llega a suceder que estos documentos pueden ser extraviados, por ejemplo, el formato de calificaciones que entrega cada instructor al finalizar un modulo, primero es recibido en la recepción, posteriormente, pasa a la secretaria para que elabore las boletas correspondientes, y después pasa a manos de kardex, para que se registre esa factura. Finalmente, este formato es devuelto a la secretaria para que sea archivado en una carpeta correspondiente a la factura o al cliente. Durante este largo proceso, es común que el formato original se extravíe y que no sea archivado.
3. Los kardex son unos pequeños formatos, existe uno por cada alumno registrado en la empresa, ahí se registra su nombre, numero de factura y el monto total. Cada semana, se va registrando el numero de folio del recibo con que cubre su factura, y en el reverso se van anotando consecutivamente, sus abonos.
4. Al extraviarse un documento se genera un descontrol en el proceso de facturaje. Ya que al querer elaborar un reporte de facturas, se dirige uno al Kardex, si no se encuentra, hay que indagar que persona expidió la factura y posteriormente buscar la carpeta correspondiente, así como el formato adecuado. Si este se extravió, no hay forma de completar la factura, y al no tener saldo, el cliente se siente defraudado y esto ocasiona problemas.
5. El mayor problema es la poca disponibilidad de información, al presentarse un cliente y no tener rápidamente, y sobre todo actualizada la información.
6. Cuando el número de clientes dentro del departamento se eleva, es un proceso complejo, el identificar a cada factura y con que saldo se encuentra actualmente. Con un sistema de control de facturas, este proceso es automático.

Ventajas que proporcionara elsistema de control escolar automatizado.

1. Agilizar las operaciones administrativas de control de facturas.
2. Permitir que no solo una persona obtenga resultados finales, además de evitar que la responsabilidad caiga en manos de la secretaria, sino en la persona encargada del manejo de la base de datos.
3. El empleo de un equipo de computo, es necesario.
4. Evitar así el retraso de información
5. Disponer de la información en cualquier momento, por pantalla o papel (reportes)
6. Respaldo de información, permitiendo dar mayor seguridad a este.
7. Facilidad en el control y manejo de información, por medio de un sistema informático.
8. Mediante las facturas, tener un almacén actualizado.
9. Lograr que las auditorias tengan soporte informático
10. Satisfacción de nuestros clientes.

Antecedentes de la empresa

"geo hardware and software", esta ubicado en Allende # 707-B, en laciudad de Pachuca Hgo. Dentro de sus departamentos esta el de informática, quese encarga de prestar sus servicios a empresas particulares que requieren bienesinformáticos o asesorías, además de vender equipo y consumibles.

Geo Hardware and Software surge en Noviembre de 1994 y en Enero de 1995 eldepartamento de informática inicia a vender computadoras de la marca IBM,mantenimiento de equipo de computo y también empieza a proporcionar el serviciode capacitación informática a la empresa. Su primer grupo, el cual tenia 8alumnos, este grupo inicio el 22 del mismo mes, al siguiente año, surge elsegundo grupo de 22 alumnos y así fue creciendo. En 1995 existían 2laboratorios con 4 computadoras en cada uno, existía un grupo en el turnomatutino y un grupo en el vespertino.

Para cada uno de estos servicios se expide factura.

El primer socio fundador y actual dirigente es el Ing. Rafael Flores Espejel,en ese entonces solo se contaba con dos Lic. en informática y una secretaria,los cuales a parte de dar clases se encargaba de dar mantenimiento a lascomputadoras y tener en orden los laboratorios.

Esta empresa tiene en total 100 egresados con el diplomado de Operador deMicrocomputadoras, actualmente tiene alrededor de 450 alumnos, impartiendo lassiguientes materias para la Especialidad Operador de Microcomputadoras:

Windows 95
Microsoft Word
Microsoft Excel
Microsoft Power Point
Microsoft Publisher
Aspel Coi
Aspel Noi
Aspel Sae
Técnicas de Programación
Microsoft Visual Basic
Introducción a las Bases de Datos
Visual Fox Pro

Análisis y Diseño de Sistemas.

Además de la especialidad, se imparten diplomados en Informática Básica,Diseño Gráfico, etc. Ya que la empresa ha ido creciendo, tienen un laboratoriocon 25 maquinas. Próximamente estarán estos equipos colocados en Red, paraimplantar el servicio de Internet.

Para la empresa es de gran importancia optimizar recursos y mantener un buennivel académico elevando su prestigio. Es por eso que se pretende mejorar laenseñanza educativa, las ventas y compras de equipo utilizando la tecnologíaactual.

Durante el desarrollo de un sistema de información, la fase más importantede una minuciosa investigación es la del análisis.

En esta fase se debe de determinar cuales son los problemas (por lo regularun problema origina otros mas), que tiene el instituto con el objeto dedeterminar cuales son los requerimientos y necesidades (sin llegar a lujos) dela misma.

1. Se podrá dar de alta a clientes y artículos, para de esta forma tener una base de datos que se pueda consulta y de hay realizar con mas facilidad una factura.
2. Cuando una factura se da de alta, llena un formato con los datos mas importantes, como la clave de la factura, su nombre completo, dirección, RFC, descripción de la factura, Importe total, saldo, teléfono, la fecha en que se esta realizando la factura y la fecha de vencimiento de la factura. Estos datos son importantes porque cuando una factura es dada de baja, generalmente se le realiza una inspección para determinar si fue un cliente cumplido o un cliente moroso y de eso dependerá si se le otorga nuevo crédito.
3. Automáticamente se le abre un expediente a ese cliente.
4. Los empleados de la empresa se identifican también con una clave o número, y se requiere tener la información de estos, tal como nombre completo, dirección, teléfono, escolaridad, experiencia laboral (observaciones), edad, horario de trabajo y la fecha en que inicia sus labores en la empresa.
5. Para un mejor control, se asigna una clave a cada articulo. Los artículos, para tener un mejor control en el inventario.
6. Siempre a existido la necesidad de consultar las facturas de forma casi inmediata para presentar al cliente su saldo, o bien hacer una aclaración o devolución. Las consultas se realizan por:

• Fecha de vencimiento.
• Cliente
• Resumen de flujo

Se debe registrar una factura durante la venta o prestación del servicio alcliente. Cuando se termine de registrar su factura seregistra el abono y el saldo.

Diccionario De Datos

Realizar un diccionario de datos en la etapa del análisis, ayuda al usuarioy al equipo de desarrollo del sistema informático a comprender cada uno de losprocesos y datos que se encuentran involucrados, definiendo y registrando cadauno de estos elementos. El diccionario de datos que corresponde a nuestroproceso se muestra en el cuadro siguiente:

Modulo De Clientes

Este modulo cuenta con las opciones de inclusión, bajas, consulta ymodificar. Los campos que maneja son los siguientes:

• Código
• Nombre
• Dirección
• Ciudad
• Estado
• Código Postal
• Ultima compra
• Situación
• Teléfono y clave lada
• RFC

Modulo De Artículos

Este modulo cuenta con las opciones de inclusión, bajas, consulta ymodificar. Los campos que maneja son los siguientes:

• Clave
• Descripción
• Precio

Modulo De Facturas

Este modulo cuenta con las opciones de inclusión, bajas, consulta, modificary abonos. Los campos que maneja son los siguientes:

• Factura
• Código de cliente
• Nombre
• Articulo
• Descripción
• Fecha de vencimiento
• Valor de la factura

Modulo De Consultas

En este modulo se pueden consultar las facturas constando de las opciones deconsulta por cliente, por fecha de vencimiento y la opción de un resumen deflujo. Los campos que maneja son:

• Fecha inicial del reporte
• Fecha final del reporte
• Código de cliente.

Modulo De Servicios

Todo buen sistema debe tener un modulo que ofrezca servicios al mismo, esteno es la excepción y cuenta con los servicios de:

• Reindexar bases de datos
• Compactar datos
• Realiza copia de seguridad
• Restaurar la copia de seguridad
• Eliminar facturas

El agrupar la información por medio del modelo relacional, es el siguientepaso en el análisis estructurado, siendo importante para detallar el flujo yalmacenamiento de datos, además de que ayuda al analista en la detección deredundancia de los mismos.

Las relaciones están formadas con campos de los registros de datos llamándolesdominios. El proceso de normalización de una base de datos es evitarredundancia o repetición de grupos.

7. Diseño De Entradas Y Salidas
Entradas

El diseño de entradas consiste en realizar formatos que permitan al usuariointroducir datos; en este caso las entradas de información serán llevadas acomputadora, por lo tanto se dice que el dispositivo de entrada será elteclado. Los formatos serán pantallas que simularan que en estas se escribe lainformación.

Salidas

El diseño de salidas en si, es diseñar los formatos de salidas comúnmenteestas pueden ser reportes de resultados; estos reportes pueden aparecer porpapel o en pantalla, según el usuario del sistema así lo requiera.

Desarrollo

La fase de desarrollo, consiste en realizar la programación del sistema, esdecir, trasladar el diseño de código de un lenguaje seleccionado por el equipode desarrollo, cada modulo con su respectivo grupo de pantallas (entradas) yreportes (salidas), así como la ayuda.

El lenguaje que se selecciono cumple con los requisitos tales como fácil demanejar y es conocido por el equipo de trabajo, las características de lasbases de datos como en el caso del actual sistema informático, y se cuenta condocumentación y bibliografía suficiente para nuestro equipo de trabajo.

La técnica de programación, se aplica al lenguaje seleccionado, que esVisual Basic, estas técnicas ayudan al equipo a una mejor comprensión del códigofuente por parte del mismo equipo y por otras personas ajenas al equipo que seinteresan o desean conocer puntos de vista. Además que facilita la modificación,depuración y puesta a punto del código fuente, así como facilitar elmantenimiento.

Cada código debe ser explicado, junto con la persona que lo realizo, estocon el propósito de conocer quien fue el responsable y cual es el mas indicadopara realizar modificaciones en caso de ser necesarias, así como anotar lafecha en que fue concluida su codificación.

Para el sistema informático que se presenta, se tuvo que seleccionar unlenguaje que permitiera trabajar bajo ambiente Windows, esto con el propósitode que el manejo de este fuera mas sencillo, además de que lo mas común, seriade que la persona que se encargaría de trabajar con el sistema (usuario), estéfamiliarizado a trabajar bajo ambiente Windows que en cualquier otro tipo desistema.

Al realizar el anterior trabajo se investigo acerca de todos los elementosque componen la empresa "Geo Hardware and Software", tanto materialescomo humanos, con lo anterior, se puede dar uno cuenta que organizar,administrar y auditar una empresa no es nada fácil, ya que si falla un elementodel que se compone, trae consigo un efecto domino, que hace que los demáselementos bajen su rendimiento, o en el peor de los casos sean causantes delfracaso de la emrpesa.

Es mentira que lo mas importante para una empresa sea el equipo informáticocon el que se trabaja. El factor humano es lo mas importante, ya que si secuenta con tecnología de punta, pero con personal no calificado o en desacuerdocon el desarrollo del Centro de Computo optara por renunciar, o bien por seguirrezagando al mismo Asimismo la capacitación es importantisima, ya que si no haycapacitación permanente, el personal técnico de la empresa decide abandonarlapara buscar nuevos horizontes y mayor oportunidad, aun sacrificando el aspectoeconómico.

El aspecto organizativo también debe estar perfectamente estructurado, y laslíneas de mando deben estar bien definidas, evitando de esta manera la rotacióninnecesaria de personal, la duplicidad de funciones, las líneas alternas demando, etc. y que conllevan al desquiciamiento de la estructura organizacional.

Hablando de seguridad, es indispensable el aseguramiento del equipo y de lasinstalaciones, así como de la información, el control de los accesos tambiénes punto fundamental para evitar las fugas de información o manipulaciónindebida de esta.

El Departamento de informática es la parte medular de la empresa, es endonde los datos se convierten en información útil a las diferentes áreas, esdonde se guarda esta información y por consecuencia, donde en la mayoría delos casos se toman las decisiones importantes para la empresa.

En el desarrollo de software es necesario cumplir con metodologías quepermitan la creación de sistemas informáticos de alta calidad y confiabilidad.El Sistemas de facturas que se pretende implantar en el Departamento de Informáticade "Geo Hardware and Software", para que cumpla con el objetivo que seplanteo en un principio, y ayudar con el proceso administrativo de control defacturación en la empresa. Estas mejoras serán mas notorias, cuando sereduzcan los tiempos en que tarda la información en estar disponible, lo que setraduce en un mejor servicio al cliente (clientes y empresas afiliadas).

Además al realizar la presente auditoria nos damos cuenta que dentro delambiente empresarial es de vital importancia contar con la información lo másvaliosa que sea, a tiempo, de forma oportuna, clara, precisa y con cero errorespara que se constituya en una herramienta poderosa para la toma de decisiones,viéndose reflejada en la obtención de resultados benéficos a los fines de laorganización y justificar el existir de toda la organización o empresa.

Lo anterior encaminado a justificar el uso de la auditoria informáticadentro de la organización así mismo como controlar el manejo de los recursosde la organización en beneficio y en dirección paralela a los objetivos dedicha organización.

F. Zubizarreta, Armando,
La Aventura del Trabajo Intelectual
Addison-Wesley Iberoamericana, 1986.

Fairley, Richard,
Ingeniería de Software
Mc Graw Hill, Inc., U.S.A. , 1985
Kendall, E., Kenneth
Kendall, E., Julie

Análisis y Diseño de Sistemas
Prentice-Hall, Hispanoamericana, S.A. 1991
Ceballos, Fco., Javier
Visual Basic Aplicaciones para Windows

Addison-Wesley, Iberoamericana., 1993.
Cornell, Gary.
Visual BASIC 5 para Windows

Osborne, Mc Graw-Hill, 1994.
Halvorson, Mike
El libro de Visual BASIC para Windows
Microsoft press, 1994.

Programer´s Journal
Visual BASIC, Magazine
A Fawcette Technical Publication, March 1995, Vol. 5.
S., Pressman, Roger
Ingeniería del Software, un enfoque práctico

Mc Graw hill, Tercera Edición, 1992.
A., Senn, James
Análisis y Diseño de Sistemas de Información
Mc Graw-hill, Segunda Edición, 1992.

Trabajo enviado por:
Carlos Enrique George Reyes
Pachuca, Hgo., México
Universidad Autónoma del Estado de Hidalgo
Instituto de Ciencias Exactas