Proceso de Auditoría [[Autor]]

Versión 1.0 [[fecha]]

[[Nombre de la institución]]

Proceso de Auditoría
[[fecha]]
Versión 1.0

0
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]

Información del documento

Título Identificador

Proceso de Auditoría Versión

1.0
Archivo
Proceso de Auditoría.doc
Autor Fecha Estado

Aprobación del documento

Gerente Técnico <firma> <fecha>
<nombre>
Ingeniero de SQA <firma> <fecha>
<nombre>
[[cargo/posición]] <firma> <fecha>
<nombre>
[[cargo/posición]] <firma> <fecha>
<nombre>
[[cargo/posición]] <firma> <fecha>
<nombre>

Registro de cambios
Nro. de Fecha Tipo(1) Descripción del cambio Autor Nro. de
cambio Petición

(1) A: Agregar – M: Modificar – E:Eliminar

1
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]

Tabla de Contenidos

1 INTRODUCCIÓN...............................................................................................................................3
1.1 PROPÓSITO......................................................................................................................................3
1.2 ALCANCES......................................................................................................................................3
1.3 DESCRIPCIÓN DEL DOCUMENTO.....................................................................................................3
1.4 GLOSARIO DE TÉRMINOS................................................................................................................4
1.5 ACRÓNIMOS....................................................................................................................................4
2 RESPONSABLES................................................................................................................................5

3 DESCRIPCIÓN DEL PROCESO......................................................................................................6

3.1 DEFINICIÓN.....................................................................................................................................6
3.2 APLICACIÓN...................................................................................................................................6
3.3 ETAPAS...........................................................................................................................................7
3.3.1 Planificación.........................................................................................................................7
3.3.2 Reunión de Orientación.........................................................................................................9
3.3.3 Evaluación...........................................................................................................................10
3.3.4 Seguimiento.........................................................................................................................13
3.4 PARTICIPANTES.............................................................................................................................14
3.4.1 Iniciador..............................................................................................................................14
3.4.2 Moderador (Líder del equipo auditor)................................................................................14
3.4.3 Auditores..............................................................................................................................15
3.4.4 Institución auditada.............................................................................................................15
3.4.5 Secretario.............................................................................................................................15
3.4.6 Nivel de gestión...................................................................................................................15
3.5 SOPORTE.......................................................................................................................................16
3.5.1 Capacitación.......................................................................................................................16
3.5.2 Herramientas.......................................................................................................................16
4 REFERENCIAS.................................................................................................................................17

5 ANEXOS.............................................................................................................................................18
5.1 ANEXO A: GUÍA DE CALENDARIZACIÓN DE AUDITORÍAS.............................................................18
5.1.1 Auditorías periódicas..........................................................................................................18
5.1.2 Auditorías frente a signos de irregularidades.....................................................................18
5.1.3 Auditorías no anunciadas....................................................................................................18
5.2 ANEXO B: AUDITORÍAS EN AUSENCIA DE ESTÁNDARES Y PROCEDIMIENTOS..............................19
5.3 ANEXO C: GUÍA DE PREPARACIÓN DE UN CHECKLIST DE AUDITORÍA.........................................19
5.4 ANEXO D: PROCESO DE AUDITORÍA DURANTE EL CICLO DE VIDA DEL SOFTWARE......................19
5.4.1 Planificación.......................................................................................................................19
5.4.2 Especificación de Requerimientos.......................................................................................20
5.4.3 Diseño..................................................................................................................................20
5.4.4 Implementación...................................................................................................................20
5.4.5 Integración y pruebas..........................................................................................................21
5.4.6 Aceptación y entrega...........................................................................................................21
5.4.7 Mantención..........................................................................................................................21

2
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]

2 Introducción

2.1 Propósito
<Objetivo organizacional asociado al documento, audiencia y responsables de la actualización
del documento. >

El presente documento define y describe la implementación del proceso de auditoría dentro de la

[[institución]], con el propósito de apoyar al responsable de la definición, planificación,
implementación y soporte de esta actividad; a los desarrolladores y al jefe de proyectos.

El proceso aquí descrito es actualizado y revisado periódicamente por [[Unidad/área]] <Unidad o

área responsable de la actualización y soporte del proceso de auditoría. > para garantizar que las
experiencias y las lecciones aprendidas sean incorporadas.

2.2 Alcances
<Visión general del documento. Incluye sus objetivos y alcance. >

El presente documento describe el proceso de auditoría, aplicable durante todas las fases del
desarrollo de software, centrándose en apoyar su planificación, ejecución, documentación y
monitoreo.

Si bien el concepto de auditoría es muy amplio y es utilizado para describir diferentes actividades
dentro del desarrollo de software, en este documento se utilizará sólo para referirse a la técnica
utilizada por SQA para verificar la adherencia de los procesos de desarrollo a los procedimientos y
la de los productos a los estándares definidos. Auditorías como por ejemplo la auditoría funcional
y física de SCM no son parte de los tópicos tratados.

Dentro de este marco, el objetivo global es facilitar el mejoramiento continuo de la calidad de los
procesos y productos de software en [[institución]] y, el particular, la oportuna detección y
corrección de desviaciones del proceso y/o los productos de trabajo en relación con los
procedimientos y estándares definidos.

2.3 Descripción del documento

<Breve descripción de los capítulos/secciones del documento. >

Capitulo 1 Introducción: provee una visión general sobre los contenidos y objetivos del
documento. Además, entrega las definiciones y acrónimos utilizados en los capítulos
posteriores.

Capítulo 2 Responsables: especificación de la unidad/área responsable de la mantención del

proceso de auditoría.

Capitulo 3 Descripción del proceso: entrega una definición del proceso, su campo de
aplicación, etapas del proceso de revisión, participantes y el soporte provisto al
interior de la [[institución]].

Capítulo 4 Referencias bibliográficas

Capítulo 5 Anexos: Guías de apoyo a la aplicación del proceso de revisión

3
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]

2.4 Glosario de términos

 Actividad  Cualquier conjunto de pasos realizados para alcanzar un objetivo.

 Anomalía  Cualquier condición que varié de las expectativas formuladas en la

especificación de requerimientos, documentación de diseño, documentación usuaria,
estándares, etc.

 Auditoría  Evaluación independiente de los productos de trabajo y de un conjunto de

procesos de software para asegurar la adherencia con las especificaciones, los estándares,
procedimientos y otros acuerdos.

 Checklist de Auditoría  Lista de ítems que el auditor debe cubrir o consultar durante las
entrevistas a los desarrolladores. Sirve como base para la evaluación de los productos y/o
procesos especificados en el plan de auditoría.

 Criterios de entrada  Conjunto de elementos o condiciones necesarias para comenzar un

proceso.

 Criterios de salida  Conjunto de elementos o condiciones necesarias para completar un

proceso.

 Informe de Auditoría Informe sobre el estado y los resultados de las actividades de

auditoría dirigido a la institución auditada.

 Tarea  una parte del trabajo asociado a una actividad.

2.5 Acrónimos
<Lista de las abreviaciones utilizadas en el documento. >

Acrónimo Significado
SQA Software Quality Assurance, Aseguramiento de la Calidad del Software
SCM Software Configuration Management, Gestión de Configuración del Software

4
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]

3 Responsables
<Designación de una unidad/área responsable de la mantención y soporte del proceso de auditoría. >

El responsable de la actualización y soporte del proceso de auditoría al interior de la institución es la

[[Unidad/área]] <Por ejemplo, SQA. >. Por lo tanto son de su competencia las siguientes obligaciones:

 Difundir la importancia de las auditorías.

 Ser el punto de información del proceso de auditoría.
 Capacitar a los miembros de la [[institución]] y a sus subcontratistas sobre el proceso de auditoría.
 Proveer entrenamiento y orientación sobre los tipos de auditorías aplicables a un proyecto dado.
 Apoyar al jefe de proyectos y al nivel de gestión en la planificación de las auditorías y en el
seguimiento de las acciones correctivas.
 Mantener actualizado e incorporar las mejoras necesarias al proceso de auditoría.

5
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]

4 Descripción del proceso

4.1 Definición
<Definición y descripción global del proceso de audioría. >

El propósito general de una auditoría es realizar una evaluación independiente sobre la adherencia
de los productos y procesos de software a las normas, estándares, guías, planes y procedimientos
existentes. Y, paralelamente, comparar el estado del proceso y de los productos versus el estado
reportado, y evaluar la efectividad real de los estándares y procedimientos.

Una auditoría comprende cuatro fases: planificación, reunión de orientación, evaluación y

seguimiento. El proceso de auditoría comienza cuando el iniciador identifica la necesidad de una
auditoría. Esto da lugar a que un auditor elabore un plan de auditoría, el cual es expuesto a los
demás auditores y a la institución auditada durante la reunión de orientación. Ya definido el curso
de la auditoría los auditores pueden comenzar con la evaluación. Para ello se presentan en la
institución auditada para entrevistar a los desarrolladores, revisar la documentación asociada a los
procesos examinados e inspeccionar los productos. Con la información recopilada, el auditor
entrega las observaciones y conclusiones preliminares a la institución auditada en la reunión de
cierre. Después de la discusión de estos resultados, el auditor desarrolla un informe de auditoría.
Con este último la institución está en condiciones de definir las acciones correctivas y monitorear
su implantación.

Sin perjuicio de lo anterior, la auditoría podrá ser externa o interna. La única diferencia teórica
entre estas categorías radica en el origen del equipo de auditoría. Como resulta natural, en una
auditoría externa el equipo auditor no pertenece a la institución. En la interna, la situación es la
contraria. En lo práctico, el mayor grado de independencia de los miembros del equipo auditor en
relación con la institución auditada en el caso de una auditoría externa deriva en una opinión y en
resultados más objetivos. Por otra parte, la etapa de comprensión sobre el proyecto y la forma en
que se trabaja es menor e inclusive puede resultar redundante durante una auditoría interna.

4.2 Aplicación
<Campo de aplicación del proceso de auditoría. También pueden añadirse observaciones y
recomendaciones. >

El proceso de auditoría es aplicable durante cualquier punto del desarrollo de software. Sin
embargo, su aplicación varía según el tipo de auditoría y la fase del desarrollo.

En el caso de la auditoría interna es importante planificarlas frecuentemente para evitar potenciales

problemas y así disminuir la probabilidad de sorpresas indeseables. Lo ideal es llevarlas a cabo en
la transición de las etapas del desarrollo.

Por su parte, el gran esfuerzo invertido en la planificación limita la aplicación de auditorías

externas. Por ello, se recomienda realizarlas al inicio de la etapa de implementación

Observación: Mayores explicaciones sobre la aplicación de las auditorías pueden encontrarse en

los anexos en la Guía de calendarización de auditorías y en el Proceso de auditoría durante el
ciclo de vida del software.

<Es recomendable, clarificar además a quién o quienes se les impone el cumplimiento del
proceso aquí documentado. Por ejemplo: Puede ser importante destacar que la [[Institución]]
puede auditar a sus subcontratistas, por ende se debe describir está relación. >

6
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]

4.3 Etapas
<Descripción de las etapas del proceso de auditoría. >

A continuación se describen las etapas del proceso de auditoría en términos de sus objetivos,
criterios de entrada/salida y de sus actividades. Además, se enuncian los participantes de cada
etapa y sus responsabilidades durante ella.

4.3.1 Planificación

Objetivo

El objetivo principal de esta etapa es establecer el ámbito y los recursos para la auditoría, como
también, planificar sus actividades.

Participantes

Iniciador, moderador (líder del equipo auditor).

Criterios de entrada

1. Una autoridad competente a autorizado la auditoría.

2. Se encuentra disponible la información requerida para esta etapa de la auditoría.

- El auditor dispone de una copia de la especificación de requerimientos.

- El auditor dispone de copias de los planes de proyecto.

Actividades

1. El iniciador decide la necesidad de una auditoría.

El iniciador, representante del proyecto, establece la necesidad de una auditoría y con tal
objetivo contacta al organismo competente (interno o externo).

Observación: Idealmente, el representante de la institución debe pertenecer al grupo de

SQA o formar parte de la gestión del proyecto. Esto permite que el propio iniciador sea
capaz de autorizar la auditoría.

2. El moderador debe comprender el objetivo del proyecto de desarrollo de software y los

productos producidos.

El moderador, líder del equipo de auditoría, debe comprender los objetivos del desarrollo de
software en términos de los productos de trabajo, la documentación requerida y los
requerimientos definidos sobre las practicas de ingeniería, gestión y aseguramiento.

Inicialmente, el moderador debe preocuparse por entender el producto en desarrollo y las

necesidades del cliente. Terminado esto, debe compenetrarse en los planes de proyecto para
comprender el proceso de desarrollo de software.

3. El moderador debe informarse sobre el estado de avance del proyecto.

Luego, es necesario que el moderador se informe sobre el estado del proyecto y los
problemas detectados. Esto se realiza a través de los diferentes reportes provistos durante el
desarrollo.

7
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]

4. Definir el ámbito de la auditoría

Una vez que el moderador ha asimilado los objetivos y el estado del proyecto en desarrollo
está en condiciones de definir que áreas requieren de una mayor atención. Es decir, de
establecer los productos y/o procesos de trabajo cuyo estado se encuentra difuso o en duda.

Éstas áreas son determinadas sobre la base de los reportes del estado del proyecto y sobre
los resultados de auditorías anteriores.

5. Desarrollar un checklist para la auditoría

Cuando se ha fijado el ámbito de la auditoría, el moderador debe crear una checklist que le
facilite la evaluación. Esta checklist debe ser desarrollada en relación con los objetivos del
proyecto, la fase de desarrollo en cuestión y el ámbito definido para la auditoría.

La creación del checklist permite además definir claramente cuales serán los
productos/procesos que serán examinados y quienes se verán involucrados en ello.

6. El moderador debe presentar el plan de auditoría al iniciador para su corrección y

aprobación.

Con la información anterior, el moderador debe elaborar un plan para la auditoría. Este plan
debe contener como mínimo:

 Objetivo y propósito de la auditoría

 Identificación de la institución auditada
 Lista de los productos de trabajo que serán auditados
 Criterios de evaluación, incluyendo los estándares, normas, guías, planes y
procedimientos aplicables.
 Responsabilidades del auditor
 Actividades de evaluación
 Recursos requeridos para la auditoría
 Calendarización de las actividades de auditoría
 Requerimientos de confidencialidad
 Checklist
 Templates asociados

Una vez concretado el plan, el moderador debe presentarlo al iniciador para su aprobación.
Es importante resaltar que por medio de este documento la institución auditada se
compromete a facilitar los recursos solicitados al equipo de auditoría.

7. El iniciador notifica a la institución auditada sobre el desarrollo de una auditoría.

El iniciador notifica a la institución auditada sobre los objetivos y el propósito de la

auditoría, su ámbito, los auditores y la calendarización de la auditoría. El propósito de esta
notificación es confirmar la disponibilidad de los recursos requeridos por los auditores.

8. El auditor selecciona los miembros del equipo de auditoría.

Una vez definida el tipo de auditoría y sus objetivos, el moderador debe seleccionar a los
miembros del equipo de auditoría (auditores). A su vez, debe entregarles información que les
permita preparase para la auditoría.

Criterios de salida

1. El plan de auditoría ha sido aprobado.

8
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]

El iniciador ha aprobado el plan de auditoría presentado por el moderador.

2. La institución auditada ha sido notificada sobre la futura auditoría.

De no tratarse de una auditoría sin previo aviso, el iniciador debe notificar a los miembros
del proyecto auditado y a las [[Unidades competentes]] <Reemplazar por una lista de las
unidades/áreas competentes. >.

4.3.2 Reunión de Orientación

Objetivo

El propósito de esta etapa es clarificar el contenido del plan de auditoría a los miembros de la
institución auditada y corroborar que el equipo de auditoría comprende los objetivos del
proyecto.

Participantes

Iniciador, moderador, auditores, secretario, institución auditada.

Criterios de entrada

1. El plan de auditoría ha sido aprobado.

Actividades

1. El moderador explica a los demás el contenido del plan de auditoría.

El moderador debe describir y explicar a los participantes de la reunión los objetivos y

propósitos de la auditoría, su ámbito, los procedimientos utilizados, las salidas esperadas y
la calendarización de la auditoría

2. La institución auditada presenta el proyecto a los auditores.

Un representante de la institución auditada describe los objetivos del proyecto a los

auditores. Esta descripción debe centrarse principalmente en explicar el proceso de
desarrollo, nombrar el equipo desarrollador e informar sobre el estado de avance del
proyecto.

También es importante que la institución auditada de a conocer sus expectativas sobre la

presente auditoría.

3. Se resuelven las dudas planteadas por las partes.

Es responsabilidad del moderador y del iniciador responder a las consultas realizadas por las
partes.

Criterios de salida

1. El equipo de auditoría comprende los objetivos del proyecto.

2. La institución auditada comprende el plan de auditoría.

9
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]

4.3.3 Evaluación

4.3.3.1 Site visit

Objetivo

El propósito esta etapa es comprobar que los productos requeridos están siendo desarrollados
de acuerdo a los estándares aplicables, que el proceso se ajusta a los procedimientos definidos
y que los reportes del estado del proyecto reflejan su situación actual.

Participantes

Auditores, institución auditada.

Criterios de entrada

1. El equipo de auditoría comprende los objetivos del proyecto.

2. La institución auditada comprende el plan de auditoría.
3. Los recursos solicitados en el plan de auditoría se encuentran disponibles.

Actividades

1. Los auditores entrevistan al equipo desarrollador.

Como primera actividad de la evaluación, los auditores entrevistan a los miembros del
equipo desarrollador para comprender como cada individuo lleva a cabo los
procedimientos. Cada auditor consulta sobre como se realizan las actividades, tomando
nota sobre las respuestas y registrando cualquier observación. Estas consultas duran hasta
que el auditor haya comprendido cabalmente como los procesos son realmente llevados a
cabo.

Es importante que cada auditor se concentre en la recopilación de información, recordando

que los juicios serán omitidos sólo cuando se tenga toda la información requerida, es decir,
cuando finalice la etapa de evaluación.

Observación: Durante esta etapa la checklist desarrollada durante la planificación debe

servir de guía a los auditores.

2. Los auditores examinan los registros del proyecto.

Al comprenderse cual es la forma real en que los procesos son realizados, los auditores
están en pié de examinar los registros del proyecto con el objetivo de establecer si los
procedimientos son seguidos adecuadamente.

Estos registros incluyen los informes sobre los eventos ocurridos durante el ciclo de vida
del producto. Por ejemplo, durante una auditoría de SCM, el auditor debe concentrarse en
la completitud del proceso de cambios. Por tanto, debe concentrarse sobre la
correspondencia entre las peticiones de cambio y la librería del software para detectar
cualquier anormalidad.

3. Los auditores examinan los productos de trabajo.

Luego, los auditores revisan los productos de trabajo con la finalidad de establecer si se
adhieren a los estándares y si concuerdan con el estado reportado.

10
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]

Primero se comprueba que los productos desarrollados concuerdan con los definidos en
los requerimientos y que su contenido sea correcto en relación con los estándares
definidos. Posteriormente, se verifica que el estado del producto corresponda con el
reportado.

Criterios de salida

1. Los auditores han recopilado información suficiente sobre los productos/procesos

auditados.
2. Todas las observaciones han sido debidamente registradas.

4.3.3.2 Reunión de cierre

Objetivo

El propósito de esta reunión es crear una instancia en que los auditores presenten los resultados
(al nivel de observaciones) de la evaluación a la institución auditada para permitir a esta última
manifestar su opinión frente a ellas, clarificar cualquier mal interpretación en la que los
auditores hayan incurrido e indicar posibles omisiones importantes dentro de la etapa previa.

Participantes

Iniciador, moderador, auditores, institución auditada, secretario.

Criterios de entrada

1. Los auditores han recopilado información suficiente sobre los productos/procesos

auditados.

Como mínimo se ha recopilado información suficiente como para responder con certeza el
checklist de auditoría.

2. Todas las observaciones han sido debidamente registradas.

Actividades

1. Los auditores informan sobre el estado del proceso de auditoría.

Como punto de partida de esta reunión, los auditores deben rendir cuentas sobre el estado
de avance del proceso de auditoría. Ello implica informar sobre el estado de avance en
relación con el plan de auditoría y exponer las dificultades encontradas para llevar a cabo
el plan

2. Los auditores exponen las observaciones preliminares.

Luego, los auditores, representados por el moderador, presentan las observaciones

recopiladas durante la etapa anterior, junto con las conclusiones y recomendaciones
preliminares. Además, se explican los criterios utilizados resaltando aquellos que no
fueron satisfechos.

3. La institución auditada se manifiesta ante las observaciones.

Una vez que los auditores han terminado con su presentación, los representantes de la
institución auditada tienen la oportunidad de manifestarse ante los resultados preliminares

11
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]

de la auditoría. Pueden indicarse discrepancias sobre los resultados, mal interpretaciones

por parte de los auditores y/u omisiones importantes cometidas durante la recopilación de
información.

Es importante que durante la reunión de término se clarifiquen todas las discrepancias y se

llegue a acuerdo sobre los resultados de la auditoría.

Criterios de salida

1. Los auditores han expuesto las conclusiones y recomendaciones preliminares.

2. Se han resuelto todas las observaciones hechas por la institución auditada.
3. Se ha llegado a acuerdo en relación con los resultados de la auditoría.

4.3.3.3 Informe de Resultados

Objetivo

El objetivo de la presente etapa es desarrollar y entregar un informe sobre los resultados de la

auditoría.

Participantes

Moderador, auditores.

Criterios de entrada

1. La reunión de término ha finalizado con éxito. Es decir:

 Se han resuelto las discrepancias sobre los resultados de la auditoría entre los
auditores y la institución auditada.
 Se ha llegado a acuerdo sobre los resultados de la auditoría.

Actividades

1. El moderador prepara un informe de auditoría.

El moderador de la auditoría prepara el informe de auditoría, cuidando la claridad,

objetividad y completitud del mismo.

El informe incluye como mínimo:

 Objetivo y propósito de la auditoría

 Identificación de la institución auditada
 Lista de los productos de trabajo que serán auditados
 Criterios de evaluación, incluyendo los estándares, normas, guías, planes y
procedimientos aplicables
 Resumen sobre el equipo de auditoría
 Resumen de las actividades de evaluación
 Resumen de las actividades planificadas dentro del plan de auditoría y no concretadas
 Lista de observaciones, ordenadas por prioridad
 Resumen e interpretación de los resultados de la auditoría destacando las
disconformidades

12
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]

Observación: Es recomendable que el informe de auditoría sea desarrollado con

posterioridad a la reunión de término y lo más tempranamente posible.

2. El moderador entrega el informe de auditoría al iniciador.

3. El iniciador recepciona y distribuye el informe de auditoría.

Tras recepcionar el informe de auditoría, el iniciador debe distribuirlo dentro de las

Unidades competentes al interior de la organización.

Criterios de salida

1. El informe de auditoría fue entregado al iniciador.

4.3.4 Seguimiento

Objetivo

El propósito del seguimiento es que el iniciador junto a la institución auditada identifique las
acciones correctivas necesarias para eliminar o prevenir las disconformidades para su posterior
implantación.

Participantes

Iniciador, institución auditada.

Criterios de entrada

1. El informe de auditoría fue entregado al iniciador.

Actividades

1. El iniciador junto a la institución auditada identifican acciones correctivas para

eliminar o prevenir las disconformidades.

Es responsabilidad de la institución auditada mejorar su proceso. Por ello, el iniciador

debe identificar aquellos problemas que serán resueltos sobre la base del informe de
auditoría. Luego deben definirse acciones correctivas que permitan prevenir o eliminar las
disconformidades detectadas.

2. Implementación de las acciones correctivas definidas.

Identificadas las acciones correctivas, deben asignarse los recursos necesarios para su
implementación.

3. Verificar la implantación de las acciones correctivas.

La institución auditada debe verificar la correcta implantación de las acciones correctivas

de modo de establecer con certeza que no se volverá a incurrir en las disconformidades
detectadas durante la auditoría.

Generalmente, esta verificación se realiza mediante una auditoría de monitoreo.

13
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]

Criterios de salida

1. La institución auditada está comprometida con el seguimiento de las acciones

correctivas iniciadas en pro de resolver las disconformidades detectadas durante la
auditoría.

4.4 Participantes
<Definición de los roles y responsabilidades de los participantes del proceso de auditoría. >

En el proceso de auditoría se incluyen cinco roles: iniciador, moderador, auditores, institución

auditada y secretario. Sin embargo, algunos de estos roles no son incompatibles. Por ejemplo:

 El iniciador puede actuar como el moderador de tratarse de una auditoría interna.

 Y, el moderador puede cumplir el rol de secretario.

También es importante resaltar que se pueden llevar a cabo auditorías con un único auditor. En
tal caso el iniciador no puede actuar como moderador.

4.4.1 Iniciador

El iniciador debe ser una persona con facultad de toma de decisiones al interior del proyecto,
pues es él quien debe iniciar y aprobar el proceso de auditoría. Entre sus obligaciones se cuentan:

 Identificar la necesidad de una auditoría.

 Decidir el propósito y el objetivo de la auditoría.
 Decidir cuales serán los productos/procesos auditados.
 Decidir sobre los criterios de evaluación, incluyendo las normas, guías, estándares, planes y
procedimientos aplicables durante la evaluación.
 Decidir sobre el curso de la auditoría.
 Revisar y aprobar el informe de auditoría.
 Dentro del marco del proyecto, establecer y dirigir la etapa de seguimiento de las acciones
correctivas.
 Distribuir el informe de auditoría al interior de la institución.

4.4.2 Moderador (Líder del equipo auditor)

El moderador es el facilitador de gran parte del proceso de auditoría. Como facilitador y

representante máximo del equipo de auditoría es responsable de la gestión del proceso y de
asegurar el logro de los objetivos trazados. Son parte de sus obligaciones:

 Preparar el plan de auditoría.

 Conformar el equipo de auditoría.
 Dirigir el equipo de auditoría.
 Explicar el plan de auditoría durante la reunión de orientación.
 Tomar decisiones sobre el curso de la auditoría.
 Actuar como auditor durante la recopilación de información de ser preciso.
 Informar sobre la evaluación durante la reunión de cierre.
 Preparar el informe de auditoría.
 Informar sobre la inhabilidad aparente de cualquiera de los participantes en el proceso de
auditoría.
 Aclarar y llegar a acuerdo sobre las discrepancias e inconsistencias con el iniciador.
 Recomendar acciones correctivas.

14
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]

Observación: El moderador debe ser una persona libre de influencias que puedan reducir su
capacidad de toma de decisiones.

4.4.3 Auditores

Los auditores son responsables de examinar los productos/procesos según lo estipulado en el

plan de auditoría. Además, deben registrar todas las observaciones recopiladas durante la
evaluación y transmitírselas al moderador para su incorporación en el informe de auditoría. Sus
responsabilidades también incluyen:

 Prepararse para la auditoría. Es decir, comprender los objetivos de trabajo y el plan de

auditoría.
 Participar de la reunión de orientación, si ésta tiene lugar.
 Recopilar datos sobre los productos/procesos examinados objetivamente centrándose en
detectar disconformidades y absteniéndose de emitir juicios sobre los resultados de la
auditoría o sobre posibles recomendaciones.
 Registrar todas las observaciones coleccionadas durante la evaluación.
 Participar en la reunión de cierre y apoyar al moderador de ser necesario.
 Entregar todas las observaciones registradas al moderador para su inclusión en el informe de
auditoría.

4.4.4 Institución auditada

La institución auditada puede ser [[Institución]] o alguno de sus subcontratistas.

Independientemente de ello, debe comprometerse con el proceso de auditoría en curso
nombrando a sus representantes en el proceso, facilitando a los auditores toda la información y
los recursos solicitados por ellos, y, finalmente, implementando acciones correctivas.

4.4.5 Secretario

El secretario es quien registra y documenta todas las anomalías, decisiones, recomendaciones y

conclusiones realizadas durante la reunión de cierre. Normalmente este rol es realizado por el
moderador.

4.4.6 Nivel de gestión

Por último, se agrega a los directivos del nivel de gestión (incluyendo al jefe de proyectos),
quienes si bien no son un miembro explícito del proceso presentado, si tienen responsabilidades
importantes asociadas a él. Éstas incluyen:

 Programar las auditorías en consideración con el proceso y las normas definidas para ello.
 Entregar las bases y las facilidades requeridas para cada una de las etapas del proceso de
auditoría.
 Proveer entrenamiento y orientación sobre los tipos de auditorías aplicables a un proyecto
dado.
 Asegurar una apropiada comprensión y conocimiento sobre los productos de trabajo
auditados.
 Asegurar que el plan de auditoría sea llevado a cabo.
 Tomar acciones pertinentes según las recomendaciones incluidas en el informe de auditoría.

15
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]

4.5 Soporte
<Descripción de las tareas de soporte provistas por la unidad responsable. >

4.5.1 Capacitación

<Breve descripción de los instructivos existentes sobre el proceso de auditoría y los cursos de
capacitación impartidos por la unidad. En ambos casos, debe entregarse un resumen que
incluya el propósito, audiencia y tópicos tratados en el instructivo o curso de capacitación.
Además, debe especificarse la forma en que se puede acceder a ellos. >

<Por último, es recomendable entregar una lista de bibliografía recomendada. >

4.5.2 Herramientas

<Breve reseña sobre las herramientas manuales y automáticas que soportan el proceso de
auditoría. Las herramientas manuales incluyen guías adicionales que faciliten el proceso de
auditoría; y las automáticas, herramientas computacionales que apoyen el proceso. Ejemplos:
 Herramientas manuales: Guía de calendarización de auditorías, Auditorías en
ausencia de estándares y procedimientos, etc. (Ver Anexos).
 Herramientas automatizadas: Correo electrónico - medio de comunicación, Planillas
de calculo - análisis de resultados, Procesadores de texto – ingreso, edición y
recolección de anomalías detectadas. >

16
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]

5 Referencias
<Lista bibliográfica utilizada para la definición del proceso de auditoría. Es recomendable ser lo más
específico posible para evitar confusiones posteriores. >

17
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]

6 Anexos

6.1 Anexo A: Guía de calendarización de auditorías

6.1.1 Auditorías periódicas

En el caso de la auditoría interna es importante planificarlas frecuentemente para evitar

potenciales problemas y así disminuir la probabilidad de sorpresas indeseables. Lo ideal es
llevarlas a cabo en la transición de las etapas del desarrollo y aplicarlas sobre pequeñas áreas del
proyecto. Un programa frecuente de auditorías internas, combinado con otras actividades de
monitoreo de SQA, garantiza a la gestión que el estado actual del proyecto es realmente
conocido y que éste se ajusta a los estándares, procedimientos y a la calendarización.

Por su parte, el gran esfuerzo invertido en la etapa planificación limita la aplicación de auditorías
externas. No obstante, existen dos auditorías externas de gran utilidad. La primera se ubica
durante el inicio de la etapa de implementación. Esta auditoría permite garantizar que los
estándares y procedimientos definidos para el proyecto son los más apropiados y están siendo
seguidos en su cabalidad. La segunda se asocia al comienzo de la etapa de integración. Aquí una
auditoría externa permite asegurar la completitud y correctitud de los planes y procedimientos de
pruebas, y que el software está listo para la integración. Si un proyecto cualquiera se encuentra
en serias dificultades o no se realizan auditorías internas, entonces resulta necesario considerar
un mayor número de auditorías externas.

Por último, la calendarización de auditorías debe considerar el resultado de las auditorías

pasadas. Toda auditoría debe estipular la revisión de la implementación de las acciones
correctivas. Si está revisión arroja que aún persisten algunas de las anomalías detectadas, las
auditorías deben programarse con mayor frecuencia. En el caso de proyectos que se adhieran a
los estándares y procedimientos las auditorías pueden programarse en forma más distanciada.

6.1.2 Auditorías frente a signos de irregularidades

Durante un proyecto pueden presentarse diferentes signos de irregularidades, ante las cuales
resulta aconsejable llevar a cabo una auditoría externa o interna. Ejemplos de estas
irregularidades son:

 Cambios frecuentes en la calendarización.

 Sobre o sub-estimación de personal.
 Rotaciones constantes e inexplicables del personal.
 Incapacidad de los desarrolladores de entregar información confiable sobre el estado y la
calendarización del proyecto.
 Postergaciones de varias capacidades del sistema original a futuros desarrollos y/o
versiones.
 Gran número de peticiones de cambio o de informes relacionados con disconformidades.

6.1.3 Auditorías no anunciadas

El objetivo de una auditoría es apoyar y fomentar el uso y seguimiento de los estándares y

procedimientos definidos, no detectar irregularidades e identificar culpables. Por lo tanto, no es
recomendable realizar auditorías no anunciadas, pues estás sólo logran alterar y desmoralizar al
equipo desarrollador. Es más, parte importante de la auditoría radica en que los desarrolladores
estén preparados y llanos a responder las consultas de los auditores. Situación que se desvirtúa
durante una auditoría no anunciada, pues los desarrolladores pasan a sentirse principalmente
perseguidos.

18
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]

6.2 Anexo B: Auditorías en ausencia de estándares y procedimientos

Generalmente, las instituciones que recurren frecuentemente a auditorías externas por signos de
irregularidades no cuentan ni con un proceso de auditoría interno ni con estándares y
procedimientos definidos. Lo cual parece dificultar la labor del auditor.

Sin embargo, todos los proyectos generan código y documentación, de no existir estándares, los
productos tendrán el sello individual de sus desarrolladores o del jefe de proyectos. Todos los
proyectos manejan cambios y problemas, y prueban sus productos. El método involucrado puede
ser simplemente ad-hoc o depender de los individuos involucrados. Lo importante es que
documentado o no el método existe. Bajo estás circunstancias el rol del auditor es descubrir y
documentar los “estándares” y “procedimientos” existentes.

Después que el auditor haya establecido estos “estándares” y “procedimientos” la auditoría

continuará en forma habitual. Sin embargo, se recomienda que el auditor recopile mayor
información sobre la adherencia a estos “estándares” y “procedimientos”, y que el nivel de gestión
mantenga un rol altamente participativo durante la reunión de cierre, el desarrollo del informe de
auditoría y la etapa de seguimiento.

6.3 Anexo C: Guía de preparación de un checklist de auditoría

Un checklist es una lista de ítems que el auditor debe cubrir o consultar durante las entrevistas a
los desarrolladores. Por lo general, cada institución auditora cuenta con un checklist genérico, pues
éste facilita la etapa de evaluación. Si bien un checklist genérico puede aportar la base para una
auditoría, la realidad es que se alcanzan mejores resultados si este checklist es adaptado para cada
auditoría en particular.

En términos generales, esta adaptación implica seleccionar los ítems adecuados basándose en los
objetivos de la auditoría, expandir el nivel de detalle, agregar tópicos y preguntas relevantes, y
ajustar el léxico utilizado a la nomenclatura del proyecto. Además de considerar información sobre
los estándares y prácticas organizacionales, resultados de auditorías pasadas, la organización del
proyecto, las etapas del ciclo de vida y el propósito de la auditoría.

Globalmente, sobre la base del checklist genérico el auditor decidirá cuales preguntas son
aplicables al proyecto y luego procederá a expandir su contenido. Una vez que cuente con el
checklist definitivo, debe determinar como se obtendrá la respuesta para cada pregunta. Es decir,
definir si la respuesta se obtendrá por entrevista a los desarrolladores, por la evaluación de los
registros del proyecto, por examen de los productos o por alguna combinación de estos. Una vez
que se haya completado el checklist los auditores contarán con suficiente información para emitir
un informe de auditoría.

Observación: Es importante que durante la adaptación del checklist genérico el auditor no

discrimine información que aparentemente fuese obvia. Por ejemplo, el asumir que un proyecto
cuenta con una especificación de requerimientos puede resultar erróneo. Por ello es importante
incluir este tópico en el checklist y así corroborar su existencia.

6.4 Anexo D: Proceso de auditoría durante el ciclo de vida del software

6.4.1 Planificación

Durante la planificación se establecen las bases para el posterior desarrollo. Es más se podría
considerar como parte de esta etapa la selección de la institución desarrolladora por parte del
cliente.

19
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]

Bajo este último concepto, el tipo de auditoría que tiene lugar en esta etapa es muy diferente a las
del resto del ciclo de vida. Por lo general, una auditoría en este plano busca examinar la
integridad y capacidad de la institución desarrolladora sobre la base de sus estándares y
procedimientos genéricos más los resultados de sus proyectos pasados.

Por parte de la institución desarrolladora, el propósito de una auditoría durante la planificación

sólo apuntaría a garantizar que los estándares y procedimientos seleccionados para el proyecto
son los más adecuados.

6.4.2 Especificación de Requerimientos

En esta fase los requerimientos son establecidos en forma precisa y detallada, se da comienzo al
plan de pruebas en términos de verificar los requerimientos y se depura el plan del proyecto.

Aquí el objetivo de una auditoría interna se enfoca en el proceso de desarrollo, la

documentación, y el control de los requerimientos. Por ello debe basarse principalmente sobre la
documentación existente para establecer que el proceso se encuentra controlado y para verificar
que los requerimientos han sido documentados de acuerdo a los estándares.

En el caso de una auditoría externa, los objetivos serán los mismos-

6.4.3 Diseño

La etapa de diseño se puede subdividir en dos grandes actividades: el diseño preliminar y el

detallado.

Una auditoría del diseño preliminar debe concentrarse en su documentación y verificar que los
estándares de sus formatos sean seguidos. El auditor debe comprobar que todos los
requerimientos han sido traducidos en componentes del software. Además, es especialmente
importante auditar los mecanismos de SCM para garantizar que no se han realizado cambios no
autorizados a los requerimientos. Por último, deben mantenerse presente los ítems de etapas
previas, el seguimiento del estado del proyecto y el reporte de disconformidades.

Por su parte, una auditoría del diseño detallado debe centrarse en el avance y la documentación
del mismo. Y, como en la auditoría antes mencionada, debe verificarse el estado del proyecto, los
reportes de disconformidades y que los productos de trabajo aprobados estén bajo SCM.

6.4.4 Implementación

En el transcurso de la implementación las actividades principales son la codificación, las pruebas

de módulos y la generación de la documentación final.

Por lo tanto, una auditoría debe verificar los resultados del diseño y del código, las actividades
de SCM y la librería del software, el proceso de reporte y seguimiento de problemas desde su
detección hasta su solución, y la calendarización y estado del proyecto.

Durante esta fase las auditorias internas deben ser periódicas, pues los desarrolladores trabajan a
su capacidad máxima y en una amplia gama de actividades. Entonces, resulta importante contar
con actividades que permitan garantizar la calidad del producto en desarrollo. Éstas
corresponden principalmente a las revisiones y a las auditorías. Por ello la auditoría debe
comprobar la adherencia del código a los estándares definidos y la completitud de las revisiones.

Es importante destacar que durante esta fase se encuentran las mejores condiciones para extraer
el mayor provecho a una auditoría externa, ya que todos los estándares y procedimientos se
encuentran en uso.

20
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]

6.4.5 Integración y pruebas

Durante esta etapa las unidades del software son integradas en un sistema; las disconformidades
son detectadas, documentadas y corregidas; y se comprueba la satisfacción de los
requerimientos. Los planes de integración y prueba son ejecutados, la documentación del
software es actualizada y completada y los productos son finalizados para su entrega formal.

Una auditoría interna comprueba que los problemas detectados durante las pruebas estén
controlados, completados y documentados. Además de verificar los procedimientos y resultados
de las pruebas, es importante auditar el proceso de SCM. No se debe olvidar que habitualmente
en esta etapa existe una gran tendencia a dejar de lado los estándares y procedimientos, producto
de las presiones ejercidas a raíz de la pronta entrega del producto final.

Una auditoría externa se concentrará en los mismos aspectos, enfatizando la completitud de las
pruebas del sistema.

6.4.6 Aceptación y entrega

Como mínimo, en la etapa de aceptación y entrega, se lleva a cabo una demostración de la

satisfacción de los requerimientos y una prueba del correcto funcionamiento del sistema.

Globalmente, los objetivos de una auditoría durante esta fase no difieren de los vistos en el punto
anterior. Inclusive, una auditoría a este nivel podría visualizarse como una extensión natural de la
auditoría de la etapa previa.

6.4.7 Mantención

Después de la entrega del producto pueden producirse modificaciones que dan a lugar a nuevos
desarrollos que van desde simples acciones correctivas hasta nuevos ciclos de vida.

El rol de la auditoría interna variará según las actividades que tengan lugar en la implementación
de estas modificaciones. En el caso de correcciones sencillas, la auditoría se concentra en los
procedimientos de SCM y de seguimiento de problemas, y en verificar la calidad del producto. Si
en cambio, se tratase de un nuevo ciclo de vida del software, las auditorías deberán ser
programadas según lo descrito en los puntos anteriores.

Por último, durante esta fase las auditorías externas son llevadas a cabo para asegurar la
mantención de la calidad del producto. Estas auditorías cobran especial importancia ante un alto
número de cambios.

21