1 of 30 Dr. Paul Dorsey Dulcian, Sociedad Anónima ( Dulcian, Inc.) 22 de Mayo de 2008 Utilizando...
-
Upload
magdalena-mendez-carmona -
Category
Documents
-
view
213 -
download
0
Transcript of 1 of 30 Dr. Paul Dorsey Dulcian, Sociedad Anónima ( Dulcian, Inc.) 22 de Mayo de 2008 Utilizando...
1 of 30
Dr. Paul Dorsey
Dulcian, Sociedad Anónima ( Dulcian, Inc.)
22 de Mayo de 2008
Utilizando Auditorías Periódicas para la Prevención de Fallas Catastróficas en los Proyectos
ICGFM El Consorcio Internacional sobre la Gestión Financier Gubernamental
2 of 30
El Vasa
Al inicio del siglo 17 (1628) “El mayor barco de todos los tiempos”
3 años para ser construido 2 cubiertas de tiro con 64 cañones
El Rey Gustavo Adolfo de Suecia estableció las medidas. Fueron necesarios 1000 árboles Las paredes triplemente revestidas con madera de roble (18
pulgadas /46cm de espesor) Mastil = 190 pies/57metros Largo = 201 pies/61metros
Costo = 5% del PIB de Suecia
3 of 30
Viaje Solitario
La salida fue fijada para un bello día de verano
El 10 de agosto de 1628
Pasó por el Palacio Real de Estocolmo
Hizo un despliegue de saludos de tiros
de cañón
Navegó 1,400 yardas
Vino una rajada de viento
El barco se hundió en menos de 1 minuto
4 of 30
¿Porqué el Vasa es importante?
Lo que hundió al Vasa hunde los proyectos de FMIS .
Todavía estamos construyendo Vasas.
No podemos detener las malas decisiones.
Nosotros PODEMOS dejar de ignorarlas.
Si Usted gasta USD $1M y los pierde, esto está mal.
Si Usted gasta USD $100M y los pierde, esto produce
impacto en toda la organización.
Si Usted gasta USD $1B y los pierde, esto impacta al país.
Si Usted va a fracasar, hágalo con poco.
5 of 30
La Esencia de Manejo del Proyecto
Lleve los niños a un paseo.
De vez en cuando, súbase a un árbol.
Fíjese en los obstáculos.
Ajuste la dirección.
Mantenga a todo el mundo unido.
“VÁMONOS!"
6 of 30
Auditorías Periódicas
Factor fundamental de éxito para la prevención
de fallas
Debe ser externa Los promotores no pueden auto-evaluarse.
Un esfuerzo grande y substancial La auditoría débil es peor que su inutilidad.
Provee ilusión de seguridad
7 of 30
Costos de la Auditoría
Proyecto atrasado Caro
5% -10% del costo del proyecto Intruso Aburrido Tiene costo político
8 of 30
La Respuesta del Equipo a la Auditoría
El Gerente del Proyecto: “¿Porqué Usted no confía en mi?" “Esto es una pérdida de tiempo."
Promotores “Nosotros deberíamos estar codificando."
El equipo puede sentirse presionado… Si el equipo se siente presionado, probablemente
tendrá sus razones para estarlo. Si el equipo le da la bienvenida a la auditoría…
Esto es señal de madurez profesional
9 of 30
Beneficios de la Auditoría
Detección precoz de falla Si un proyecto de $300 millones falla después de $20
millones, esto es un gran ahorro.
Validación del sistema de arquitectura
Segundo conjunto de ojos
Dar al equipo tiempo para equiparse
Corrección en curso del proyecto aún por la mitad.
10 of 30
Independencia del Auditor El auditor debe ser informado
de que no habrá oportunidad de que haga el seguimiento del trabajo. Si no, la auditoría es considerada
sospechosa
Para reforzar la independencia: Ningún compromiso económico
en la entrega de los resultados Ningún incentivo para sesgar los
resultados Ninguna relación con el
desarrollo del equipo
Durante la auditoría: Limitar el contacto con el equipo de
capacitación: "Síndrome de Estocolmo" Después de la auditoría, los auditores pueden
colaborar con el plan del proyecto.
El auditor es el representante de la persona que lo / la empleó ( de nadie más ) Los informes solamente deben tener el objetivo
de ser entregados al dueño del contrato. No existen profesionales modelo o
certificación por la existencia de los auditores TI.
El contrato genera objetividad.
11 of 30
Las auditorías nunca son 100% objetivas
Los auditores traen sus propias tendencias. Existen “principios” TI
.Net vs. Java “Datos básicos espesos” (“Thick database”) vs. nivel lógico
mediano ( middle tier logic ) Servicio Orientado a la Arquitectura (SOA) Desarrollo basado en almacenaje Reglas de Negocios Ágil
Un profesional con distinta perspectiva todavía puede detectar un “ Vasa.”
12 of 30
Justificando el Costo de la Auditoría
Una auditoría extensa requiere aproximadamente 10% del costo total del proyecto.
En el proyecto industrial el índice de falla es ~ 60%. Exemplo: La auditoría en la mitad de un proyecto de
$1 millión Costo: (50% x 1,000,000) x 10% = $50,000 Beneficio: (50%) x 1,000,00) x 60% = $300,000
Dado al alto índice de falla, las auditorías son muy económicas para asegurarse.
Con relación a otros beneficios, es obvio que las auditorías representan un buen acuerdo.
13 of 30
Encontrando al auditor más acertado No debe ser personal de la empresa No pertenecer a la misma empresa de los
promotores No deben ser auditores de tiempo completo
Deben ser verdaderos promotores, Administradores de Base de Datos (DBAs), arquitectos.
Deben haber realizado sistemas de
alcance similar en el área del tema
en cuestión.
14 of 30
Equipo de Auditoría Director del Proyecto
Experiencia en el tema a ser tratado y en proyectos de igual naturaleza
Administrador de la Base de Datos (DBA) Experiencia tanto en la misma plataforma como en el tamaño
similar del banco de datos
Arquitecto Cualificado Destreza en la misma area (Java, .Net, Oracle, etc.)
Especialista en Seguridad Militar, sistema financiero o con experiencia en asistencia
médica
15 of 30
Estructura de la Auditoría
Transferencia de Conocimientos Profundo entendimiento Como si el auditor estuviese dominando el
proyecto Entender el sistema antes de evaluarlo
Auditoría de la Infraestructura Evaluar la existencia de infraestructura para sostener el sistema Cada área necesita ser evaluada
Habilidad para encontrarse con las necesidades corrientes y futuras de los usuarios El auditor debe entender las necesidades
Revisión Financiera
16 of 30
Estructura Detallada de la Auditoría A. Transferencia de Conocimiento
Permite a los auditores comprender el sistema de arquitectura enteramente, como si tuviesen dominio sobre el desarrollo del mismo.
Las siguientes áreas deberían ser revisadas para la parte de transferencia de conocimiento de la auditoría:
Perspectiva del Sistema Ensayo del Modelo de Datos Revisión / Identificación de la Transacción
de Casos Utilizados Revisión del Código de la Arquitectura de
la Interface del Usuario Revisión del Informe de las Necesidades /
Arquitectura Revisión la Arquitectura del Sistema Revisión de la Instalación del Sistema /
Elevar el Nivel del Mecanismo Revisión del Control Interno Revisión de la Evaluación del Usuario Manejo del sistema: problemas / mejoras Aptitudes Multilingües Necesidades Básicas del Sistema Flujo del Proceso Marco de los Clientes Desempeño Principios Entrenamiento
B. Auditoría de la Infraestructura Examinar con una sólida perspectiva técnica Comparar con las mejores prácticas industriales
corrientes; documentar algunas discrepancias. Documentación del Sistema y del Usuario Auditoría del Modelo de Datos Revisión de la Base de Datos Interface del Usuario ( UI ) / Revisión de la Arquitectura Distribución del Sistema / Auditoría de Seguridad de ETL Revisión del Equipo de Soporte: Hardware / Software /
Interconexiones ( Networking ) Respaldo / Procedimientos de Reactivación Mecanismo Apropiado de Elevar el Nivel del Sistema
C. Habilidad para Encontrarse con las Necesidades Corrientes / Futuras
Examinar las necesidades corrientes del sistema, identificar los casos utilizados y la revisión específica para la adecuación:
Comparar las necesidades documentadas con los casos utilizados existentes y observar como fueron manejados.
Evaluar la satisfacción del usuario con el sistema existente.
¿Son los procedimientos existentes de apoyo / reactivación suficientes para encarar las mayores necesidades de tiempo de inactividad?
Evaluar la flexibilidad del sistema para detectar nuevas necesidades.
D. Revisión Financiera Revisar como los recursos fueron invertidos durante la duración
del proyecto, incluyendo lo presupuestado vs. los gastos actuales.
17 of 30
Transferencia de Conocimientos “Buscar primeramente para entender.” Stephen Covey Saber lo suficiente para dominar el proceso:
Arquitectura Modelo de Datos Casos Utilizados Informe de Auditoría Manejo de la Configuración Controles Internos Documentación Entrenamiento
El sistema puede ser tan malo que esto no sea posible. Hágalo de todos modos. Prevenir la navegación del Vasa es un trabajo muy difícil.
18 of 30
Auditoría de la Infraestructura Comparar lo que fue aprendido
durante la capacitación con las mejores prácticas
Cada área amerita ser evaluada:
Documentación Modelo de Datos Diseño de los Datos Básicos Arquitectura de la Interface del
Usuario Seguridad Apoyo y Reactivación Manejo de la Configuración Controles Internos
Identificar las debilidades de cada área : Acciones Correctivas Exposición Necesidad de Controles Un error puede hundir el Vasa El sistema no escalará Brecha en la Seguridad Diseño Inflexible
19 of 30
Habilidad para Encontrar Requisitos Amerita el uso cuidadoso de la documentación del caso
Evaluar la satisfacción del usuario Reunirse con los usuarios Inspeccionar Informar que las colas no son una buena medida. Si el sistema es débil los usuarios
lo abandonan.
Estimar la praxis de cada caso Necesidades funcionales Desempeño Tiempo de Inactividad
Futuros requisitos Flexibilidad Desdoblamiento
20 of 30
Revisión Financiera
Auditoría Stewardship
Si los requisitos
cambian, los precios
se pueden inflar.
¿Ésto hace sentido?
Los costos perdidos
son de alguna manera
importantes.
Medida determina
calidad.
Histórico Financiero
Fecha Presupuesto $
InvertidoHitos /
Adquiridos Notas
21 of 30
Auditorías del Proyecto COTS No son muy distintas de los proyectos habituales. Los proyectos COTS fracasan con cierta
frecuencia. Revisión de arquitectura de COTS. Observe cuidadosamente el grado de satisfacción
de los requisitos de COTS: Las tasas de COTS pueden ser MUY caras. Las tasas de COTS no son pasibles de ascensos.
22 of 30
Informe de Auditoría
2-5 páginas de Informe Sumario Ejecutivo ¿Estamos bien?
10-15 páginas del Informe CIO ¿Estamos bien? ¿Porqué?
100 páginas de informe detallado Qué hicimos Qué encontramos Qué necesita ser arreglado Próximos pasos
23 of 30
Actuando en el Informe de Auditoría
Si el informe llega a la conclusión de que se trata de un “ Vasa…” Optar por una segunda opinión Dejar que el equipo encargado del desarrollo se
manifieste.
Los costos arruinados son costos perdidos. La importancia de dinero presupuestado para el
proyecto es irrisoria. Elevar el nivel es una forma de cambiar de
dirección sin permitirse fracaso.
24 of 30
Caso Estudiado: FMIS de Etiopía
Proyecto de la Universidad de HarvardPequeña parte de una reforma financiera
principal USD $38 M de más de 12 años USD $3 M de más de 3 años para TI (muy parca)
Harvard estaba dando por terminado el proyecto y deseaba evaluar la calidad del sistema.
Proyecto de desarrollo aduaneroDulcian fue llamada para
hacer la auditoría.
25 of 30
Escopo de la Auditoría
Auditoría Modelo Como ha sido descrito en esta presentación
La enseñanza es totalmente dada, como también el apoyo al equipo
Asistencia para cualquier argumento de duda
Sistema de apoyo total
26 of 30
Resultado de la Auditoría Un diseño absolutamente muy bueno
Excelente documentación Muy buen desarrollo del sistema de codificación Requisitos corrientes sostenidos
Algunas partes de la auditoría necesitan modificación: Problemas con el diseño de los datos básicos
No tienen claves para estrangeros Diseño bizarro ( heredado del equipo anterior )
Mal desempeño de las partes del sistema Cuestiones en el sistema de escalafón No debería trabajar con la Internet de Etiopía debido a las
conexiones muy lentas y poco confiables.
27 of 30
Recomendaciones de la Auditoría
Mantener al sistema corriente
Elevar la posición de los sistemas internos
Acceso a las normas del negocio
DBMS de la Oracle
Arquitectura de página web muy sencilla
28 of 30
Resultados de Auditoría
El Gobierno y Harvard aceptaron recomendaciones Mantenimiento / se extiende al sistema corriente de
USD $1.5M Rediseño de la arquitectura USD $1.5M
Existencia de doble naturaleza de la auditoría
(auditoría + no interferencia) haciendo que el equipo se sienta muy incómodo. Los 3 principales de TI del árbol renunciaron
29 of 30
Conclusiones Las auditorías no hacen la prevención de las fallas; ellas
tan sólo detectan tempranamente las fallas en proceso. Las auditorías no reemplazan un buen diseño.
La auditoría puede ayudar más al fracaso de los pequeños proyectos que de un gran proyecto.
Las auditorías son un recurso intensivo, caro, aburrido y tienen su cargo político. Pero son más baratas que no hacerlas a lo largo de la marcha.
Los auditores deben mantenerse independientes. No deben dar seguimiento al trabajo ya realizado.
Tanto los COTS como los proyectos aduaneros necesitan las auditorías.
30 of 30
Información para Contacto Dr. Paul Dorsey – [email protected] Página web de Dulcian - www.dulcian.com
Developer AdvancedForms & ReportsDeveloper AdvancedForms & Reports Designer
HandbookDesignerHandbook
El libro más actualizado:Oracle PL/SQL for Dummies
( Oracle PL/SQL para Personas Poco Listas )
Design Using UMLObject ModelingDesign Using UMLObject Modeling