La auditoría en informática es la revisión y evaluación de los controles, sistemas, procedimientos de informática, equipos de cómputo, su utilización, eficiencia y seguridad, para una adecuada toma de decisiones. Además evalúa los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.
Tipos de auditorías:
Auditorías Internas: Operan para la misma organización propietaria del sistema de información. Los auditores internos estudian los controles utilizados por el sistema informático para asegurar que este realiza lo que supuestamente debe hacer. También examinan la operación de los controles de seguridad. Aunque trabajan dentro de la misma organización, los auditores internos no reportan a la gente responsable del sistema que auditan.
Auditorías Externas: Son auditores externos que inspeccionan el sistema para asegurar la confiabilidad sobre los datos que se producen, cuando algo fuera de lo normal está ocurriendo, que llegara a involucrar a los empleados de la compañía, tal como la sospecha de fraude o peculado.
Controles de Entrada.
Claves de transacciones, para poder introducir transacciones al sistema, es necesario asignar una clave específica, como identificación.
Formas, para la entrada de datos se utilizará un documento fuente o un formato de pantalla. "Aviso de Renuncia" Nombre del empleado, Número del empleado, Fecha de renuncia, Motivo de la renuncia, Departamento, Forma con títulos.
Verificación, Los documentos fuente preparados por un empleado pueden ser verificados o corregidos por otro empleado para mejoras su exactitud.
Totales de control, Para asegurar que los datos no se hayan perdido y que las transacciones se hayan procesado correctamente, se preparan totales de control para un lote específico de datos.
Dígito de verificación, Se emplea para claves importantes.
Etiquetas, Contienen datos como el nombre del archivo , la fecha de creación, la fecha de actualización, etc., ayudan para asegurar que se monte el archivo correcto, para su procesamiento.
Verificación de caractéres y campos, Se verifican que los caractéres sean los correctos: numéricos, alfabéticos o alfanuméricos. Los campos se verifican para ver si se llenaron correctamente.
Controles de la Base de Datos.
El alma de las organizaciones está en los archivos y la base de datos del sistema de información. Por lo tanto, se debe tener mucho cuidado para asegurar su exactitud y su seguridad. Los siguientes controles proporcionan este seguro.
Controles Físicos.
Para soportar los esfuerzos y los desastres (como lo son los incendios) se debe contar con una bóveda de almacenamiento fuertemente construida para almacenar los archivos y los documentos que se están utilizando. Además, todos los archivos de respaldo, los programas y otros documentos importantes se deberán almacenar en lugares seguros fuera de las instalaciones. Los incendios, inundaciones, robos, empleados inconformes, alborotos, alimañas, o incluso un ataque nuclear representan peligros para los registros vitales de una organización. Los dispositivos para protección de archivos deberán emplearse para evitar un borrado accidental bajo condiciones de temperatura y humedad.
Control Bibliotecario
Todos los archivos se deberán almacenar en la biblioteca cuando no se están utilizado. La función del bibliotecario debe ser independiente y estar separada de las demás funciones. El bibliotecario deberá levantar un inventario de todos los archivos y documentos, haciendo una lista de las personas quienes se les asignan, su estado y la fecha y hora en que deben ser devuelto. Todos los archivos deben contener etiquetas externas para su identificación.
Procedimientos de respaldo para archivos en cintas magnéticas.
Este sistema de respaldo con frecuencia se conoce como procedimiento de reconstrucción de archivos de abuelo-padre-hijo. Con este procedimiento en todo momento se dispone de 3 versiones de un archivo. El archivo A (Padre) en el ciclo de actualización I produce el archivo B (Hijo). En el ciclo de actualización II, el archivo B(Ahora un padre) produce el archivo C (hijo de B). Durante este ciclo, el archivo A se convierte en el abuelo.
Procedimientos de respaldo para archivos en discos magnéticos.
En muchos sistemas existe la Ventana de respaldo entre el ciclo interactivo diario y el ciclo nocturno de procesamiento por lotes. Con el aumento en la capacidad de los discos y la implementación de más aplicaciones, la Ventana de respaldo se está haciendo más flaca. Algunos sistemas han pasado del respaldo de discos una o dos veces al día a sólo una vez a la semana, o menos frecuentemente. En consecuencia, dichos procedimientos de respaldo dejan abierto el sistema a mayores riesgo.
Existen varias estrategias de respaldo y recuperación para sistemas de tiempo real en línea. Las diferencias entre estas estrategias se basan en la frecuencia de vaciado frente al registro en bitácora, el punto óptimo está entre el vaciado y el registro en bitácora. Vaciado y registro completos en bitácora de las transacciones de entrada. Esta estrategía de respaldo y recuperación incluye la copia de toda la base de datos (o grandes porciones de la misma) en un medio de respaldo. Todas las transacciones de entrada, como indicadores de tiempo y fecha, programas y archivos o identificadores de entidades y diversos parámetros de modificación, que también comprenden el registro de auditoría contable, se registran en bitácora.
Instantáneas de vaciado residual y registro en bitácora.
Es una alternativa a la realización periódica de vaciados completos de la base de datos. Su propósito principal es reducir el tiempo y costo de dicha estrategía. El vaciado residual implica el copiado de todos los registros que no han sido modificados desde el último vaciado residual a un archivo de vaciado residual.
La bitácora de transacciones toma una "foto instantánea" de los registros actualizados antes y después de hacer la transacción. En una recuperación de avance, el sistema regresa hasta, pero sin incluir, el penúltimo vaciado residual tomado. La base de datos se llena con las imágenes posteriores del archivo instantáneo de transacciones, que reflejan todos los cambios efectuados a la base de datos durante el período. Los espacios vacíos que aun permanecen representan registros que no han sido modificados durante el período y, en consecuencia, se llenan con el último vaciado residual.
Archivo diferencial.
Contiene cambios y actualizaciones a la base datos principal. La base de datos principal no se modifica. Este archivo diferencial (D-D), pueden ocurrir simultáneamente la reorganización y actualización del primer archivo diferencial y de la base de datos principal Respaldo y Recuperación Dual. Involucra un respaldo en línea. Esta estrategía proporciona 2 copias completamente separadas de la base de datos al actualizar ambas simultáneamente. Una copia está en las instalaciones propias; la otra se almacena fuera de las instalaciones, conectada al procesador mediante telecomunicaciones.
Controles De Concurrencia De La Base De Datos
Cuando se comparten datos entre usuarios, se deben establecer controles de concurrencia para asegurar la consistencia en la actualización y lectura de la base de datos. Podría parecer que una solución clara a la destrucción de datos o a la actualización incorrecta de valores en los procesos concurrentes consiste en impedir el acceso a la base de datos a un usuario o proceso mientras está siendo accesada por otro usuario. Un control ampliamente aceptado que ayuda a evitar los problemas de concurrencia y clausura es el bloque de 2 fases.
Controles De Salida.
Los controles de salida se instalan para asegurar la exactitud, integridad, oportunidad, y distribución correcta de la salida, ya sea que se dé en pantalla, en forma impresa o en medios magnéticos. Los siguientes procedimientos de control se refieren a la salida:
1.- Se debe realizar un filtrado inicial para detectar errores obvios también llamada Auditoría de Base de Datos.
2.- La salida deberá dirigirse inmediatamente a un área controlada, y esa distribución solamente por personas autorizadas a personas autorizadas.
3.- Los totales de control de salida deberán reconciliarse con lo totales de control de entrada para asegurar que ningún dato haya sido modificado, perdido o agregado durante el procesamiento o la transmisión, en caso de haber irregularidades, es decir, que no cuadren los totales de control, se aplicarán las sanciones correspondientes, para evitar futuros errores.
4.- Todas las formas vitales deberán estar prenumeradas y tener un responsable.
5.- Cualquier salida altamente delicada que no deba ser vista por el personal del centro de cómputo deberá ser generada por un dispositivo de salida en un lugar seguro alejado de la sala de computación.
6.- Cuando se vayan a imprimir instrumentos negociables, deben realizarse convenios de custodia dual entre el departamento de sistemas y el del usuario para asegurar que todos los instrumentos tengan un responsable y queden salvaguardados adecuadamente .
7.- A pesar de todas las precauciones tomadas, se presentarán algunos errores. El punto de control principal para la detección de dichos errores es, por supuesto, el usuario. Por lo tanto, el auditor debe fijar los procedimientos para establecer un canal entre el usuario y el grupo de control para el reporte sistemático de la ocurrencia de errores o de incongruencias.
Este diseño de sistemas empleará un ciclo de retroalimentación en el que los usuarios reporten todos los errores al grupo de control, y el grupo de control a su vez, tomará las acciones para corregir cualquier inexactitud o inconsistencia que pudiera aparecer.
Controles de Documentación.
La característica general del control de la documentación es muestra al gerente, auditor, al usuario y a otros lo que se supone que es el sistema y como debe funcionar. Los controles de documentación cumplen con los siguientes propósitos:
* Mejoran la comunicación.
Tipos de auditorías:
Auditorías Internas: Operan para la misma organización propietaria del sistema de información. Los auditores internos estudian los controles utilizados por el sistema informático para asegurar que este realiza lo que supuestamente debe hacer. También examinan la operación de los controles de seguridad. Aunque trabajan dentro de la misma organización, los auditores internos no reportan a la gente responsable del sistema que auditan.
Auditorías Externas: Son auditores externos que inspeccionan el sistema para asegurar la confiabilidad sobre los datos que se producen, cuando algo fuera de lo normal está ocurriendo, que llegara a involucrar a los empleados de la compañía, tal como la sospecha de fraude o peculado.
Controles de Entrada.
Claves de transacciones, para poder introducir transacciones al sistema, es necesario asignar una clave específica, como identificación.
Formas, para la entrada de datos se utilizará un documento fuente o un formato de pantalla. "Aviso de Renuncia" Nombre del empleado, Número del empleado, Fecha de renuncia, Motivo de la renuncia, Departamento, Forma con títulos.
Verificación, Los documentos fuente preparados por un empleado pueden ser verificados o corregidos por otro empleado para mejoras su exactitud.
Totales de control, Para asegurar que los datos no se hayan perdido y que las transacciones se hayan procesado correctamente, se preparan totales de control para un lote específico de datos.
Dígito de verificación, Se emplea para claves importantes.
Etiquetas, Contienen datos como el nombre del archivo , la fecha de creación, la fecha de actualización, etc., ayudan para asegurar que se monte el archivo correcto, para su procesamiento.
Verificación de caractéres y campos, Se verifican que los caractéres sean los correctos: numéricos, alfabéticos o alfanuméricos. Los campos se verifican para ver si se llenaron correctamente.
Controles de la Base de Datos.
El alma de las organizaciones está en los archivos y la base de datos del sistema de información. Por lo tanto, se debe tener mucho cuidado para asegurar su exactitud y su seguridad. Los siguientes controles proporcionan este seguro.
Controles Físicos.
Para soportar los esfuerzos y los desastres (como lo son los incendios) se debe contar con una bóveda de almacenamiento fuertemente construida para almacenar los archivos y los documentos que se están utilizando. Además, todos los archivos de respaldo, los programas y otros documentos importantes se deberán almacenar en lugares seguros fuera de las instalaciones. Los incendios, inundaciones, robos, empleados inconformes, alborotos, alimañas, o incluso un ataque nuclear representan peligros para los registros vitales de una organización. Los dispositivos para protección de archivos deberán emplearse para evitar un borrado accidental bajo condiciones de temperatura y humedad.
Control Bibliotecario
Todos los archivos se deberán almacenar en la biblioteca cuando no se están utilizado. La función del bibliotecario debe ser independiente y estar separada de las demás funciones. El bibliotecario deberá levantar un inventario de todos los archivos y documentos, haciendo una lista de las personas quienes se les asignan, su estado y la fecha y hora en que deben ser devuelto. Todos los archivos deben contener etiquetas externas para su identificación.
Procedimientos de respaldo para archivos en cintas magnéticas.
Este sistema de respaldo con frecuencia se conoce como procedimiento de reconstrucción de archivos de abuelo-padre-hijo. Con este procedimiento en todo momento se dispone de 3 versiones de un archivo. El archivo A (Padre) en el ciclo de actualización I produce el archivo B (Hijo). En el ciclo de actualización II, el archivo B(Ahora un padre) produce el archivo C (hijo de B). Durante este ciclo, el archivo A se convierte en el abuelo.
Procedimientos de respaldo para archivos en discos magnéticos.
En muchos sistemas existe la Ventana de respaldo entre el ciclo interactivo diario y el ciclo nocturno de procesamiento por lotes. Con el aumento en la capacidad de los discos y la implementación de más aplicaciones, la Ventana de respaldo se está haciendo más flaca. Algunos sistemas han pasado del respaldo de discos una o dos veces al día a sólo una vez a la semana, o menos frecuentemente. En consecuencia, dichos procedimientos de respaldo dejan abierto el sistema a mayores riesgo.
Existen varias estrategias de respaldo y recuperación para sistemas de tiempo real en línea. Las diferencias entre estas estrategias se basan en la frecuencia de vaciado frente al registro en bitácora, el punto óptimo está entre el vaciado y el registro en bitácora. Vaciado y registro completos en bitácora de las transacciones de entrada. Esta estrategía de respaldo y recuperación incluye la copia de toda la base de datos (o grandes porciones de la misma) en un medio de respaldo. Todas las transacciones de entrada, como indicadores de tiempo y fecha, programas y archivos o identificadores de entidades y diversos parámetros de modificación, que también comprenden el registro de auditoría contable, se registran en bitácora.
Instantáneas de vaciado residual y registro en bitácora.
Es una alternativa a la realización periódica de vaciados completos de la base de datos. Su propósito principal es reducir el tiempo y costo de dicha estrategía. El vaciado residual implica el copiado de todos los registros que no han sido modificados desde el último vaciado residual a un archivo de vaciado residual.
La bitácora de transacciones toma una "foto instantánea" de los registros actualizados antes y después de hacer la transacción. En una recuperación de avance, el sistema regresa hasta, pero sin incluir, el penúltimo vaciado residual tomado. La base de datos se llena con las imágenes posteriores del archivo instantáneo de transacciones, que reflejan todos los cambios efectuados a la base de datos durante el período. Los espacios vacíos que aun permanecen representan registros que no han sido modificados durante el período y, en consecuencia, se llenan con el último vaciado residual.
Archivo diferencial.
Contiene cambios y actualizaciones a la base datos principal. La base de datos principal no se modifica. Este archivo diferencial (D-D), pueden ocurrir simultáneamente la reorganización y actualización del primer archivo diferencial y de la base de datos principal Respaldo y Recuperación Dual. Involucra un respaldo en línea. Esta estrategía proporciona 2 copias completamente separadas de la base de datos al actualizar ambas simultáneamente. Una copia está en las instalaciones propias; la otra se almacena fuera de las instalaciones, conectada al procesador mediante telecomunicaciones.
Controles De Concurrencia De La Base De Datos
Cuando se comparten datos entre usuarios, se deben establecer controles de concurrencia para asegurar la consistencia en la actualización y lectura de la base de datos. Podría parecer que una solución clara a la destrucción de datos o a la actualización incorrecta de valores en los procesos concurrentes consiste en impedir el acceso a la base de datos a un usuario o proceso mientras está siendo accesada por otro usuario. Un control ampliamente aceptado que ayuda a evitar los problemas de concurrencia y clausura es el bloque de 2 fases.
Controles De Salida.
Los controles de salida se instalan para asegurar la exactitud, integridad, oportunidad, y distribución correcta de la salida, ya sea que se dé en pantalla, en forma impresa o en medios magnéticos. Los siguientes procedimientos de control se refieren a la salida:
1.- Se debe realizar un filtrado inicial para detectar errores obvios también llamada Auditoría de Base de Datos.
2.- La salida deberá dirigirse inmediatamente a un área controlada, y esa distribución solamente por personas autorizadas a personas autorizadas.
3.- Los totales de control de salida deberán reconciliarse con lo totales de control de entrada para asegurar que ningún dato haya sido modificado, perdido o agregado durante el procesamiento o la transmisión, en caso de haber irregularidades, es decir, que no cuadren los totales de control, se aplicarán las sanciones correspondientes, para evitar futuros errores.
4.- Todas las formas vitales deberán estar prenumeradas y tener un responsable.
5.- Cualquier salida altamente delicada que no deba ser vista por el personal del centro de cómputo deberá ser generada por un dispositivo de salida en un lugar seguro alejado de la sala de computación.
6.- Cuando se vayan a imprimir instrumentos negociables, deben realizarse convenios de custodia dual entre el departamento de sistemas y el del usuario para asegurar que todos los instrumentos tengan un responsable y queden salvaguardados adecuadamente .
7.- A pesar de todas las precauciones tomadas, se presentarán algunos errores. El punto de control principal para la detección de dichos errores es, por supuesto, el usuario. Por lo tanto, el auditor debe fijar los procedimientos para establecer un canal entre el usuario y el grupo de control para el reporte sistemático de la ocurrencia de errores o de incongruencias.
Este diseño de sistemas empleará un ciclo de retroalimentación en el que los usuarios reporten todos los errores al grupo de control, y el grupo de control a su vez, tomará las acciones para corregir cualquier inexactitud o inconsistencia que pudiera aparecer.
Controles de Documentación.
La característica general del control de la documentación es muestra al gerente, auditor, al usuario y a otros lo que se supone que es el sistema y como debe funcionar. Los controles de documentación cumplen con los siguientes propósitos:
* Mejoran la comunicación.
* Proporcionan material de referencia sobre lo que ha sucedido en el pasado.
* Es una guía para el mantenimiento, modificación y recuperación de los sistemas.
* Sirve como herramienta de capacitación y educación del personal.
* Reduce el impacto de la rotación del personal clave.
Consecuencias de no tener una documentación adecuada:
1.- Operaciones ineficientes y no coordinadas.
2.- Aumento en esfuerzos redundantes.
3.- Decepción del personal de sistemas y de los usuarios.
La documentación relacionada directamente con el sistema de información basado en computadora consta de tres tipos:
1.- Documentación general de sistemas. Es una guía y proporciona reglas de operación para los usuarios cuando interactúan con el sistema.
2.- Documentación de procedimientos. Consta del manual de procedimientos el cual introduce a todo el personal de operación, de programación y de sistemas al plan maestro del sistema. Este manual se actualiza mediante el empleo de guías periódicas.
3.- Documentación de programas. La componen todos los documentos, diagramas y esquemas que explican los aspectos del programa que soporta un diseño de sistemas en particular.
Control de Hardware.
La mayoría de las computadoras cuentan con una variedad de características de control automático para su buen funcionamiento. Estos controles aparecen en forma de:
1.- Controles de hardware integrado: Estos controles están construidos en los mismos circuitos de la computadora para detección de errores que resultan de la manipulación, cálculo o transmisión de datos por componentes de la computadora.
Ejemplos:
* Verificación de paridad.
* Verificación de validez.
* Verificación de duplicación.
* Verificación de eco.
2.- Controles de software del proveedor: Estos controles se diseñan en el sistema operativo y se refieren en gran parte a las operaciones de entrada/salida.
Ejemplos:
* Errores de lectura/escritura.
* Verificación de longitud.
* Control de acceso.
* Control de comparación de direcciones.
Controles de Operación de la computadora.
Todo el personal del centro de cómputo, especialmente los operadores, deben tener una supervisión directa. Los supervisores establecen las prioridades de los trabajos y correr el programa de trabajo de cada día, y los operadores deberán firmar la bitácora de operación de la computadora al inicio y al final de cada turno. El supervisor deberá solicitar reportes de todas las operaciones realizadas dentro de su área durante el día y el auditor deberá revisar los reportes periódicamente. El operador debe de ser el único que pueda operar la computadora; se debe tener un control sobre los operadores cuando estos tengan accesos a cintas, discos, programas o documentos importantes. El acceso al área de computadoras deberá estar restringido, esto con el fin de tener un control más exacto de las operaciones realizadas y las personas que las realizan. Se debe dar mantenimiento periódico al equipo de cómputo así como a las instalaciones.
Controles de Seguridad.
Normalmente los controles de operación de la computadora no afectan al procesamiento correcto de las transacciones tanto como los anteriores, aunque si lo hacen de forma indirecta, ya que estos controles ayudan a asegurar normas y elevar el desempeño en los sistemas previniendo fallas de software, hardware y humanas. La ausencia de seguridad aumenta la probabilidad de que sucedan entre otros percances:
* Pérdida de servicios.
* Pérdida de activos.
* Degradación de las operaciones.
* Daños al equipo, instalaciones o personal.
* Revelación no autorizada de información delicada.
Los principales objetivos de los controles de la seguridad son cinco y pueden verse más bien como niveles de control, es decir, si llegase a fallar un nivel entonces entra en acción el nivel de control siguiente, y así sucesivamente. He aquí estos niveles:
1.- Disuadir cualquier pérdida o desastre.
2.- Detectar peligros potenciales.
3.- Minimizar el impacto de los desastres y perdidas.
4.- Investigar que fué lo que sucedió.
5.- Recuperación.
Control de Calidad.
Es un modelo planeado y sistemático de todas las acciones necesarias para proporcionar la confianza de que el artículo o producto se ajusta a los requisitos técnicos establecidos.
La preparación de un plan de Control de Calidad del software para cada proyecto de Software es una de las principales responsabilidades del grupo de Control de Calidad de Software. Entre los temas que debe tocar el Plan de Control de Calidad del Software se encuentran:
* Propósito y alcances del plan.
* Documentos referidos en el plan.
* Estructura organizacional, tareas que se realizaran y responsabilidades específicas relacionadas con la calidad del producto.
* Documentos que se deben preparar y revisiones que deben efectuarse para la adecuación de la documentación.
* Estándares, prácticas y convenciones que se utilizarán.
* Revisiones y auditorias que deben llevarse a cabo.
* Un plan de admón. De la configuración que identifique a los elementos del producto del software, controle e implante los cambios y que registre informe los estados modificados.
* Prácticas y procedimientos que se deben seguir para informar, rastrear y resolver los problemas del software.
* Herramientas y técnicas especiales que se usarán para apoyar las actividades de control de calidad.
* Métodos y facilidades que se emplearán para mantener y almacenar las versiones controladas del software identificado.
* Métodos y facilidades que servirán para proteger los medios físicos del programas de computadora.
* Suministros para garantizar la calidad del software proporcionados por vendedores y desarrollados por subcontratistas.
* Métodos y facilidades que se usarán para reunir, mantener y conservar los registros del control de calidad.
Otras tareas desarrolladas por el personal de control de calidad son:
* Desarrollo de políticas, prácticas y procedimientos.
* Desarrollo de herramientas de pruebas y otros auxiliares para el control de calidad.
* Ejecución de las funciones de control de calidad descritas en el plan de control de calidad de software para cada proyecto.
* Ejecución y documentación de las pruebas de aceptación del producto final para cada producto de software.
Un grupo de control de calidad realizará las siguientes funciones:
1.- Durante el análisis y diseño se preparan un Plan de Verificación del software y un Plan de prueba de aceptación. El Plan de Verificación consiste en describir los métodos que se ocuparán para revisar que los documentos de diseño satisfagan los requisitos, y que el código fuente sea consistente con las especificaciones de requisitos y con la documentación del diseño. El Plan de aceptación incluye casos de prueba, resultados esperados y capacidades demostradas por cada caso de prueba.
2.- Se realizaran auditorias en el proceso para verificar que los productos de trabajo sean consistentes y estén completos.
3.- Se realizará una auditoría funcional y una auditoría física. La funcional reconfirma el cumplimiento de todos los requisitos. La física verifica que el código fuente y todos los documentos asociados estén completos, sean consistentes tanto internamente como unos con otros, y que estén listos para enviarse.
El grupo de control de calidad trabajará con el grupo de desarrollo para obtener el plan de pruebas del código fuente.
Un plan de prueba para el código fuente especifíca:
*Los objetivos de las pruebas.
*Los criterios para la terminación de las pruebas.
*El plan de integración del sistema.
*Los métodos que se usará en módulos particulares.
*Entradas de pruebas particulares y resultados esperados.
Existen 4 tipos de pruebas que el código fuente debe satisfacer :
1.- Pruebas de función. Prueban el comportamiento exactamente dentro, sobre y más allá de las fronteras funcionales.
2.- Prueba de desempeño. Se proyectan para verificar el tiempo de respuesta bajo cargas variables, porcentaje de tiempo empleado en varios segmentos de programas, el rendimiento, la utilización de la memoria primaria y secundaria, y los tráficos en los canales de datos y los enlaces de comunicación.
3.- Prueba de tensión. Se diseñan para sobrecargar un sistema de varias maneras. - Prueba estructural. Se relacionan con el exámen de la lógica interna de procesamiento de un sistema de software.
Recorridos e Inspecciones.
Los recorridos e inspecciones se realizan para verificar la integridad, consistencia y adecuación del producto. Recorridos: El objetivo de un recorrido es descubrir y resaltar las áreas problemáticas. Los recorridos se pueden utilizar en cualquier momento, durante cualquier fase de un proyecto de programación. Principios generales para obtener el beneficio máximo de los recorridos:
* El trabajo de cada quien se debe revisar en base a un calendario de trabajo. Este enfoque asegura que todos los productos de trabajo se revisen.
* Se debe hacer hincapié en la detección de errores. Una sección de recorrido no debe servir para corregir errores. Estos se anotan y la persona revisada los corrige después.
* Se deben atender los aspectos principales. Las sesiones de recorrido no deben degenerar en grandes análisis de problemas menores.
* Las sesiones de recorrido no deben durar más de dos hora. Un límite de tiempo asegura que el encuentro no se prolongue demasiado. Se debe asignar el tiempo suficiente para los recorridos en el calendario del proyecto.
Las sesiones de recorrido tienen que considerarse como parte de la carga normal de trabajo de cada participante, y no como un compromiso extra.
Inspecciones.
Las inspecciones se pueden usar a lo largo del ciclo de vida del software para evaluar y mejorar la calidad de los diversos productos del trabajo. Un aspecto importante de las inspecciones es que son más eficientes para encontrar errores.
No hay comentarios:
Publicar un comentario