1 of 30

Dr. Paul Dorsey

Dulcian, Sociedad Anónima ( Dulcian, Inc.)

22 de Mayo de 2008

Utilizando Auditorías Periódicas para la Prevención de Fallas Catastróficas en los Proyectos

ICGFM El Consorcio Internacional sobre la Gestión Financier Gubernamental

2 of 30

El Vasa

Al inicio del siglo 17 (1628) “El mayor barco de todos los tiempos”

3 años para ser construido 2 cubiertas de tiro con 64 cañones

El Rey Gustavo Adolfo de Suecia estableció las medidas. Fueron necesarios 1000 árboles Las paredes triplemente revestidas con madera de roble (18

pulgadas /46cm de espesor) Mastil = 190 pies/57metros Largo = 201 pies/61metros

Costo = 5% del PIB de Suecia

3 of 30

Viaje Solitario

La salida fue fijada para un bello día de verano

El 10 de agosto de 1628

Pasó por el Palacio Real de Estocolmo

Hizo un despliegue de saludos de tiros

de cañón

Navegó 1,400 yardas

Vino una rajada de viento

El barco se hundió en menos de 1 minuto

4 of 30

¿Porqué el Vasa es importante?

Lo que hundió al Vasa hunde los proyectos de FMIS .

Todavía estamos construyendo Vasas.

No podemos detener las malas decisiones.

Nosotros PODEMOS dejar de ignorarlas.

Si Usted gasta USD $1M y los pierde, esto está mal.

Si Usted gasta USD $100M y los pierde, esto produce

impacto en toda la organización.

Si Usted gasta USD $1B y los pierde, esto impacta al país.

Si Usted va a fracasar, hágalo con poco.

5 of 30

La Esencia de Manejo del Proyecto

Lleve los niños a un paseo.

De vez en cuando, súbase a un árbol.

Fíjese en los obstáculos.

Ajuste la dirección.

Mantenga a todo el mundo unido.

“VÁMONOS!"

6 of 30

Auditorías Periódicas

Factor fundamental de éxito para la prevención

de fallas

Debe ser externa Los promotores no pueden auto-evaluarse.

Un esfuerzo grande y substancial La auditoría débil es peor que su inutilidad.

Provee ilusión de seguridad

7 of 30

Costos de la Auditoría

Proyecto atrasado Caro

5% -10% del costo del proyecto Intruso Aburrido Tiene costo político

8 of 30

La Respuesta del Equipo a la Auditoría

El Gerente del Proyecto: “¿Porqué Usted no confía en mi?" “Esto es una pérdida de tiempo."

Promotores “Nosotros deberíamos estar codificando."

El equipo puede sentirse presionado… Si el equipo se siente presionado, probablemente

tendrá sus razones para estarlo. Si el equipo le da la bienvenida a la auditoría…

Esto es señal de madurez profesional

9 of 30

Beneficios de la Auditoría

Detección precoz de falla Si un proyecto de $300 millones falla después de $20

millones, esto es un gran ahorro.

Validación del sistema de arquitectura

Segundo conjunto de ojos

Dar al equipo tiempo para equiparse

Corrección en curso del proyecto aún por la mitad.

10 of 30

Independencia del Auditor El auditor debe ser informado

de que no habrá oportunidad de que haga el seguimiento del trabajo. Si no, la auditoría es considerada

sospechosa

Para reforzar la independencia: Ningún compromiso económico

en la entrega de los resultados Ningún incentivo para sesgar los

resultados Ninguna relación con el

desarrollo del equipo

Durante la auditoría: Limitar el contacto con el equipo de

capacitación: "Síndrome de Estocolmo" Después de la auditoría, los auditores pueden

colaborar con el plan del proyecto.

El auditor es el representante de la persona que lo / la empleó ( de nadie más ) Los informes solamente deben tener el objetivo

de ser entregados al dueño del contrato. No existen profesionales modelo o

certificación por la existencia de los auditores TI.

El contrato genera objetividad.

11 of 30

Las auditorías nunca son 100% objetivas

Los auditores traen sus propias tendencias. Existen “principios” TI

.Net vs. Java “Datos básicos espesos” (“Thick database”) vs. nivel lógico

mediano ( middle tier logic ) Servicio Orientado a la Arquitectura (SOA) Desarrollo basado en almacenaje Reglas de Negocios Ágil

Un profesional con distinta perspectiva todavía puede detectar un “ Vasa.”

12 of 30

Justificando el Costo de la Auditoría

Una auditoría extensa requiere aproximadamente 10% del costo total del proyecto.

En el proyecto industrial el índice de falla es ~ 60%. Exemplo: La auditoría en la mitad de un proyecto de

$1 millión Costo: (50% x 1,000,000) x 10% = $50,000 Beneficio: (50%) x 1,000,00) x 60% = $300,000

Dado al alto índice de falla, las auditorías son muy económicas para asegurarse.

Con relación a otros beneficios, es obvio que las auditorías representan un buen acuerdo.

13 of 30

Encontrando al auditor más acertado No debe ser personal de la empresa No pertenecer a la misma empresa de los

promotores No deben ser auditores de tiempo completo

Deben ser verdaderos promotores, Administradores de Base de Datos (DBAs), arquitectos.

Deben haber realizado sistemas de

alcance similar en el área del tema

en cuestión.

14 of 30

Equipo de Auditoría Director del Proyecto

Experiencia en el tema a ser tratado y en proyectos de igual naturaleza

Administrador de la Base de Datos (DBA) Experiencia tanto en la misma plataforma como en el tamaño

similar del banco de datos

Arquitecto Cualificado Destreza en la misma area (Java, .Net, Oracle, etc.)

Especialista en Seguridad Militar, sistema financiero o con experiencia en asistencia

médica

15 of 30

Estructura de la Auditoría

Transferencia de Conocimientos Profundo entendimiento Como si el auditor estuviese dominando el

proyecto Entender el sistema antes de evaluarlo

Auditoría de la Infraestructura Evaluar la existencia de infraestructura para sostener el sistema Cada área necesita ser evaluada

Habilidad para encontrarse con las necesidades corrientes y futuras de los usuarios El auditor debe entender las necesidades

Revisión Financiera

16 of 30

Estructura Detallada de la Auditoría A. Transferencia de Conocimiento

Permite a los auditores comprender el sistema de arquitectura enteramente, como si tuviesen dominio sobre el desarrollo del mismo.

Las siguientes áreas deberían ser revisadas para la parte de transferencia de conocimiento de la auditoría:

Perspectiva del Sistema Ensayo del Modelo de Datos Revisión / Identificación de la Transacción

de Casos Utilizados Revisión del Código de la Arquitectura de

la Interface del Usuario Revisión del Informe de las Necesidades /

Arquitectura Revisión la Arquitectura del Sistema Revisión de la Instalación del Sistema /

Elevar el Nivel del Mecanismo Revisión del Control Interno Revisión de la Evaluación del Usuario Manejo del sistema: problemas / mejoras Aptitudes Multilingües Necesidades Básicas del Sistema Flujo del Proceso Marco de los Clientes Desempeño Principios Entrenamiento

B. Auditoría de la Infraestructura Examinar con una sólida perspectiva técnica Comparar con las mejores prácticas industriales

corrientes; documentar algunas discrepancias. Documentación del Sistema y del Usuario Auditoría del Modelo de Datos Revisión de la Base de Datos Interface del Usuario ( UI ) / Revisión de la Arquitectura Distribución del Sistema / Auditoría de Seguridad de ETL Revisión del Equipo de Soporte: Hardware / Software /

Interconexiones ( Networking ) Respaldo / Procedimientos de Reactivación Mecanismo Apropiado de Elevar el Nivel del Sistema

C. Habilidad para Encontrarse con las Necesidades Corrientes / Futuras

Examinar las necesidades corrientes del sistema, identificar los casos utilizados y la revisión específica para la adecuación:

Comparar las necesidades documentadas con los casos utilizados existentes y observar como fueron manejados.

Evaluar la satisfacción del usuario con el sistema existente.

¿Son los procedimientos existentes de apoyo / reactivación suficientes para encarar las mayores necesidades de tiempo de inactividad?

Evaluar la flexibilidad del sistema para detectar nuevas necesidades.

D. Revisión Financiera Revisar como los recursos fueron invertidos durante la duración

del proyecto, incluyendo lo presupuestado vs. los gastos actuales.

17 of 30

Transferencia de Conocimientos “Buscar primeramente para entender.” Stephen Covey Saber lo suficiente para dominar el proceso:

Arquitectura Modelo de Datos Casos Utilizados Informe de Auditoría Manejo de la Configuración Controles Internos Documentación Entrenamiento

El sistema puede ser tan malo que esto no sea posible. Hágalo de todos modos. Prevenir la navegación del Vasa es un trabajo muy difícil.

18 of 30

Auditoría de la Infraestructura Comparar lo que fue aprendido

durante la capacitación con las mejores prácticas

Cada área amerita ser evaluada:

Documentación Modelo de Datos Diseño de los Datos Básicos Arquitectura de la Interface del

Usuario Seguridad Apoyo y Reactivación Manejo de la Configuración Controles Internos

Identificar las debilidades de cada área : Acciones Correctivas Exposición Necesidad de Controles Un error puede hundir el Vasa El sistema no escalará Brecha en la Seguridad Diseño Inflexible

19 of 30

Habilidad para Encontrar Requisitos Amerita el uso cuidadoso de la documentación del caso

Evaluar la satisfacción del usuario Reunirse con los usuarios Inspeccionar Informar que las colas no son una buena medida. Si el sistema es débil los usuarios

lo abandonan.

Estimar la praxis de cada caso Necesidades funcionales Desempeño Tiempo de Inactividad

Futuros requisitos Flexibilidad Desdoblamiento

20 of 30

Revisión Financiera

Auditoría Stewardship

Si los requisitos

cambian, los precios

se pueden inflar.

¿Ésto hace sentido?

Los costos perdidos

son de alguna manera

importantes.

Medida determina

calidad.

Histórico Financiero

Fecha Presupuesto $

InvertidoHitos /

Adquiridos Notas

21 of 30

Auditorías del Proyecto COTS No son muy distintas de los proyectos habituales. Los proyectos COTS fracasan con cierta

frecuencia. Revisión de arquitectura de COTS. Observe cuidadosamente el grado de satisfacción

de los requisitos de COTS: Las tasas de COTS pueden ser MUY caras. Las tasas de COTS no son pasibles de ascensos.

22 of 30

Informe de Auditoría

2-5 páginas de Informe Sumario Ejecutivo ¿Estamos bien?

10-15 páginas del Informe CIO ¿Estamos bien? ¿Porqué?

100 páginas de informe detallado Qué hicimos Qué encontramos Qué necesita ser arreglado Próximos pasos

23 of 30

Actuando en el Informe de Auditoría

Si el informe llega a la conclusión de que se trata de un “ Vasa…” Optar por una segunda opinión Dejar que el equipo encargado del desarrollo se

manifieste.

Los costos arruinados son costos perdidos. La importancia de dinero presupuestado para el

proyecto es irrisoria. Elevar el nivel es una forma de cambiar de

dirección sin permitirse fracaso.

24 of 30

Caso Estudiado: FMIS de Etiopía

Proyecto de la Universidad de HarvardPequeña parte de una reforma financiera

principal USD $38 M de más de 12 años USD $3 M de más de 3 años para TI (muy parca)

Harvard estaba dando por terminado el proyecto y deseaba evaluar la calidad del sistema.

Proyecto de desarrollo aduaneroDulcian fue llamada para

hacer la auditoría.

25 of 30

Escopo de la Auditoría

Auditoría Modelo Como ha sido descrito en esta presentación

La enseñanza es totalmente dada, como también el apoyo al equipo

Asistencia para cualquier argumento de duda

Sistema de apoyo total

26 of 30

Resultado de la Auditoría Un diseño absolutamente muy bueno

Excelente documentación Muy buen desarrollo del sistema de codificación Requisitos corrientes sostenidos

Algunas partes de la auditoría necesitan modificación: Problemas con el diseño de los datos básicos

No tienen claves para estrangeros Diseño bizarro ( heredado del equipo anterior )

Mal desempeño de las partes del sistema Cuestiones en el sistema de escalafón No debería trabajar con la Internet de Etiopía debido a las

conexiones muy lentas y poco confiables.

27 of 30

Recomendaciones de la Auditoría

Mantener al sistema corriente

Elevar la posición de los sistemas internos

Acceso a las normas del negocio

DBMS de la Oracle

Arquitectura de página web muy sencilla

28 of 30

Resultados de Auditoría

El Gobierno y Harvard aceptaron recomendaciones Mantenimiento / se extiende al sistema corriente de

USD $1.5M Rediseño de la arquitectura USD $1.5M

Existencia de doble naturaleza de la auditoría

(auditoría + no interferencia) haciendo que el equipo se sienta muy incómodo. Los 3 principales de TI del árbol renunciaron

29 of 30

Conclusiones Las auditorías no hacen la prevención de las fallas; ellas

tan sólo detectan tempranamente las fallas en proceso. Las auditorías no reemplazan un buen diseño.

La auditoría puede ayudar más al fracaso de los pequeños proyectos que de un gran proyecto.

Las auditorías son un recurso intensivo, caro, aburrido y tienen su cargo político. Pero son más baratas que no hacerlas a lo largo de la marcha.

Los auditores deben mantenerse independientes. No deben dar seguimiento al trabajo ya realizado.

Tanto los COTS como los proyectos aduaneros necesitan las auditorías.

30 of 30

Información para Contacto Dr. Paul Dorsey – paul_dorsey@dulcian.com Página web de Dulcian - www.dulcian.com

Developer AdvancedForms & ReportsDeveloper AdvancedForms & Reports Designer

HandbookDesignerHandbook

El libro más actualizado:Oracle PL/SQL for Dummies

( Oracle PL/SQL para Personas Poco Listas )

Design Using UMLObject ModelingDesign Using UMLObject Modeling