Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Procesode Auditoria
Procesode Auditoria
[[Nombre de la institución]]
Proceso de Auditoría
[[fecha]]
Versión 1.0
0
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]
Registro de cambios
Nro. de Fecha Tipo(1) Descripción del cambio Autor Nro. de
cambio Petición
1
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]
Tabla de Contenidos
1 INTRODUCCIÓN...............................................................................................................................3
1.1 PROPÓSITO......................................................................................................................................3
1.2 ALCANCES......................................................................................................................................3
1.3 DESCRIPCIÓN DEL DOCUMENTO.....................................................................................................3
1.4 GLOSARIO DE TÉRMINOS................................................................................................................4
1.5 ACRÓNIMOS....................................................................................................................................4
2 RESPONSABLES................................................................................................................................5
5 ANEXOS.............................................................................................................................................18
5.1 ANEXO A: GUÍA DE CALENDARIZACIÓN DE AUDITORÍAS.............................................................18
5.1.1 Auditorías periódicas..........................................................................................................18
5.1.2 Auditorías frente a signos de irregularidades.....................................................................18
5.1.3 Auditorías no anunciadas....................................................................................................18
5.2 ANEXO B: AUDITORÍAS EN AUSENCIA DE ESTÁNDARES Y PROCEDIMIENTOS..............................19
5.3 ANEXO C: GUÍA DE PREPARACIÓN DE UN CHECKLIST DE AUDITORÍA.........................................19
5.4 ANEXO D: PROCESO DE AUDITORÍA DURANTE EL CICLO DE VIDA DEL SOFTWARE......................19
5.4.1 Planificación.......................................................................................................................19
5.4.2 Especificación de Requerimientos.......................................................................................20
5.4.3 Diseño..................................................................................................................................20
5.4.4 Implementación...................................................................................................................20
5.4.5 Integración y pruebas..........................................................................................................21
5.4.6 Aceptación y entrega...........................................................................................................21
5.4.7 Mantención..........................................................................................................................21
2
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]
2 Introducción
2.1 Propósito
<Objetivo organizacional asociado al documento, audiencia y responsables de la actualización
del documento. >
2.2 Alcances
<Visión general del documento. Incluye sus objetivos y alcance. >
El presente documento describe el proceso de auditoría, aplicable durante todas las fases del
desarrollo de software, centrándose en apoyar su planificación, ejecución, documentación y
monitoreo.
Si bien el concepto de auditoría es muy amplio y es utilizado para describir diferentes actividades
dentro del desarrollo de software, en este documento se utilizará sólo para referirse a la técnica
utilizada por SQA para verificar la adherencia de los procesos de desarrollo a los procedimientos y
la de los productos a los estándares definidos. Auditorías como por ejemplo la auditoría funcional
y física de SCM no son parte de los tópicos tratados.
Dentro de este marco, el objetivo global es facilitar el mejoramiento continuo de la calidad de los
procesos y productos de software en [[institución]] y, el particular, la oportuna detección y
corrección de desviaciones del proceso y/o los productos de trabajo en relación con los
procedimientos y estándares definidos.
Capitulo 1 Introducción: provee una visión general sobre los contenidos y objetivos del
documento. Además, entrega las definiciones y acrónimos utilizados en los capítulos
posteriores.
Capitulo 3 Descripción del proceso: entrega una definición del proceso, su campo de
aplicación, etapas del proceso de revisión, participantes y el soporte provisto al
interior de la [[institución]].
3
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]
Checklist de Auditoría Lista de ítems que el auditor debe cubrir o consultar durante las
entrevistas a los desarrolladores. Sirve como base para la evaluación de los productos y/o
procesos especificados en el plan de auditoría.
2.5 Acrónimos
<Lista de las abreviaciones utilizadas en el documento. >
Acrónimo Significado
SQA Software Quality Assurance, Aseguramiento de la Calidad del Software
SCM Software Configuration Management, Gestión de Configuración del Software
4
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]
3 Responsables
<Designación de una unidad/área responsable de la mantención y soporte del proceso de auditoría. >
5
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]
4.1 Definición
<Definición y descripción global del proceso de audioría. >
El propósito general de una auditoría es realizar una evaluación independiente sobre la adherencia
de los productos y procesos de software a las normas, estándares, guías, planes y procedimientos
existentes. Y, paralelamente, comparar el estado del proceso y de los productos versus el estado
reportado, y evaluar la efectividad real de los estándares y procedimientos.
Sin perjuicio de lo anterior, la auditoría podrá ser externa o interna. La única diferencia teórica
entre estas categorías radica en el origen del equipo de auditoría. Como resulta natural, en una
auditoría externa el equipo auditor no pertenece a la institución. En la interna, la situación es la
contraria. En lo práctico, el mayor grado de independencia de los miembros del equipo auditor en
relación con la institución auditada en el caso de una auditoría externa deriva en una opinión y en
resultados más objetivos. Por otra parte, la etapa de comprensión sobre el proyecto y la forma en
que se trabaja es menor e inclusive puede resultar redundante durante una auditoría interna.
4.2 Aplicación
<Campo de aplicación del proceso de auditoría. También pueden añadirse observaciones y
recomendaciones. >
El proceso de auditoría es aplicable durante cualquier punto del desarrollo de software. Sin
embargo, su aplicación varía según el tipo de auditoría y la fase del desarrollo.
<Es recomendable, clarificar además a quién o quienes se les impone el cumplimiento del
proceso aquí documentado. Por ejemplo: Puede ser importante destacar que la [[Institución]]
puede auditar a sus subcontratistas, por ende se debe describir está relación. >
6
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]
4.3 Etapas
<Descripción de las etapas del proceso de auditoría. >
A continuación se describen las etapas del proceso de auditoría en términos de sus objetivos,
criterios de entrada/salida y de sus actividades. Además, se enuncian los participantes de cada
etapa y sus responsabilidades durante ella.
4.3.1 Planificación
Objetivo
El objetivo principal de esta etapa es establecer el ámbito y los recursos para la auditoría, como
también, planificar sus actividades.
Participantes
Criterios de entrada
Actividades
El iniciador, representante del proyecto, establece la necesidad de una auditoría y con tal
objetivo contacta al organismo competente (interno o externo).
El moderador, líder del equipo de auditoría, debe comprender los objetivos del desarrollo de
software en términos de los productos de trabajo, la documentación requerida y los
requerimientos definidos sobre las practicas de ingeniería, gestión y aseguramiento.
Luego, es necesario que el moderador se informe sobre el estado del proyecto y los
problemas detectados. Esto se realiza a través de los diferentes reportes provistos durante el
desarrollo.
7
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]
Una vez que el moderador ha asimilado los objetivos y el estado del proyecto en desarrollo
está en condiciones de definir que áreas requieren de una mayor atención. Es decir, de
establecer los productos y/o procesos de trabajo cuyo estado se encuentra difuso o en duda.
Éstas áreas son determinadas sobre la base de los reportes del estado del proyecto y sobre
los resultados de auditorías anteriores.
Cuando se ha fijado el ámbito de la auditoría, el moderador debe crear una checklist que le
facilite la evaluación. Esta checklist debe ser desarrollada en relación con los objetivos del
proyecto, la fase de desarrollo en cuestión y el ámbito definido para la auditoría.
La creación del checklist permite además definir claramente cuales serán los
productos/procesos que serán examinados y quienes se verán involucrados en ello.
Con la información anterior, el moderador debe elaborar un plan para la auditoría. Este plan
debe contener como mínimo:
Una vez concretado el plan, el moderador debe presentarlo al iniciador para su aprobación.
Es importante resaltar que por medio de este documento la institución auditada se
compromete a facilitar los recursos solicitados al equipo de auditoría.
Una vez definida el tipo de auditoría y sus objetivos, el moderador debe seleccionar a los
miembros del equipo de auditoría (auditores). A su vez, debe entregarles información que les
permita preparase para la auditoría.
Criterios de salida
8
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]
De no tratarse de una auditoría sin previo aviso, el iniciador debe notificar a los miembros
del proyecto auditado y a las [[Unidades competentes]] <Reemplazar por una lista de las
unidades/áreas competentes. >.
Objetivo
El propósito de esta etapa es clarificar el contenido del plan de auditoría a los miembros de la
institución auditada y corroborar que el equipo de auditoría comprende los objetivos del
proyecto.
Participantes
Criterios de entrada
Actividades
Es responsabilidad del moderador y del iniciador responder a las consultas realizadas por las
partes.
Criterios de salida
9
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]
4.3.3 Evaluación
Objetivo
El propósito esta etapa es comprobar que los productos requeridos están siendo desarrollados
de acuerdo a los estándares aplicables, que el proceso se ajusta a los procedimientos definidos
y que los reportes del estado del proyecto reflejan su situación actual.
Participantes
Criterios de entrada
Actividades
Como primera actividad de la evaluación, los auditores entrevistan a los miembros del
equipo desarrollador para comprender como cada individuo lleva a cabo los
procedimientos. Cada auditor consulta sobre como se realizan las actividades, tomando
nota sobre las respuestas y registrando cualquier observación. Estas consultas duran hasta
que el auditor haya comprendido cabalmente como los procesos son realmente llevados a
cabo.
Al comprenderse cual es la forma real en que los procesos son realizados, los auditores
están en pié de examinar los registros del proyecto con el objetivo de establecer si los
procedimientos son seguidos adecuadamente.
Estos registros incluyen los informes sobre los eventos ocurridos durante el ciclo de vida
del producto. Por ejemplo, durante una auditoría de SCM, el auditor debe concentrarse en
la completitud del proceso de cambios. Por tanto, debe concentrarse sobre la
correspondencia entre las peticiones de cambio y la librería del software para detectar
cualquier anormalidad.
Luego, los auditores revisan los productos de trabajo con la finalidad de establecer si se
adhieren a los estándares y si concuerdan con el estado reportado.
10
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]
Primero se comprueba que los productos desarrollados concuerdan con los definidos en
los requerimientos y que su contenido sea correcto en relación con los estándares
definidos. Posteriormente, se verifica que el estado del producto corresponda con el
reportado.
Criterios de salida
Objetivo
El propósito de esta reunión es crear una instancia en que los auditores presenten los resultados
(al nivel de observaciones) de la evaluación a la institución auditada para permitir a esta última
manifestar su opinión frente a ellas, clarificar cualquier mal interpretación en la que los
auditores hayan incurrido e indicar posibles omisiones importantes dentro de la etapa previa.
Participantes
Criterios de entrada
Como mínimo se ha recopilado información suficiente como para responder con certeza el
checklist de auditoría.
Actividades
Como punto de partida de esta reunión, los auditores deben rendir cuentas sobre el estado
de avance del proceso de auditoría. Ello implica informar sobre el estado de avance en
relación con el plan de auditoría y exponer las dificultades encontradas para llevar a cabo
el plan
Una vez que los auditores han terminado con su presentación, los representantes de la
institución auditada tienen la oportunidad de manifestarse ante los resultados preliminares
11
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]
Criterios de salida
Objetivo
Participantes
Moderador, auditores.
Criterios de entrada
Se han resuelto las discrepancias sobre los resultados de la auditoría entre los
auditores y la institución auditada.
Se ha llegado a acuerdo sobre los resultados de la auditoría.
Actividades
12
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]
Criterios de salida
4.3.4 Seguimiento
Objetivo
El propósito del seguimiento es que el iniciador junto a la institución auditada identifique las
acciones correctivas necesarias para eliminar o prevenir las disconformidades para su posterior
implantación.
Participantes
Criterios de entrada
Actividades
Identificadas las acciones correctivas, deben asignarse los recursos necesarios para su
implementación.
13
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]
Criterios de salida
4.4 Participantes
<Definición de los roles y responsabilidades de los participantes del proceso de auditoría. >
También es importante resaltar que se pueden llevar a cabo auditorías con un único auditor. En
tal caso el iniciador no puede actuar como moderador.
4.4.1 Iniciador
El iniciador debe ser una persona con facultad de toma de decisiones al interior del proyecto,
pues es él quien debe iniciar y aprobar el proceso de auditoría. Entre sus obligaciones se cuentan:
14
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]
Observación: El moderador debe ser una persona libre de influencias que puedan reducir su
capacidad de toma de decisiones.
4.4.3 Auditores
4.4.5 Secretario
Por último, se agrega a los directivos del nivel de gestión (incluyendo al jefe de proyectos),
quienes si bien no son un miembro explícito del proceso presentado, si tienen responsabilidades
importantes asociadas a él. Éstas incluyen:
Programar las auditorías en consideración con el proceso y las normas definidas para ello.
Entregar las bases y las facilidades requeridas para cada una de las etapas del proceso de
auditoría.
Proveer entrenamiento y orientación sobre los tipos de auditorías aplicables a un proyecto
dado.
Asegurar una apropiada comprensión y conocimiento sobre los productos de trabajo
auditados.
Asegurar que el plan de auditoría sea llevado a cabo.
Tomar acciones pertinentes según las recomendaciones incluidas en el informe de auditoría.
15
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]
4.5 Soporte
<Descripción de las tareas de soporte provistas por la unidad responsable. >
4.5.1 Capacitación
<Breve descripción de los instructivos existentes sobre el proceso de auditoría y los cursos de
capacitación impartidos por la unidad. En ambos casos, debe entregarse un resumen que
incluya el propósito, audiencia y tópicos tratados en el instructivo o curso de capacitación.
Además, debe especificarse la forma en que se puede acceder a ellos. >
4.5.2 Herramientas
<Breve reseña sobre las herramientas manuales y automáticas que soportan el proceso de
auditoría. Las herramientas manuales incluyen guías adicionales que faciliten el proceso de
auditoría; y las automáticas, herramientas computacionales que apoyen el proceso. Ejemplos:
Herramientas manuales: Guía de calendarización de auditorías, Auditorías en
ausencia de estándares y procedimientos, etc. (Ver Anexos).
Herramientas automatizadas: Correo electrónico - medio de comunicación, Planillas
de calculo - análisis de resultados, Procesadores de texto – ingreso, edición y
recolección de anomalías detectadas. >
16
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]
5 Referencias
<Lista bibliográfica utilizada para la definición del proceso de auditoría. Es recomendable ser lo más
específico posible para evitar confusiones posteriores. >
17
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]
6 Anexos
Por su parte, el gran esfuerzo invertido en la etapa planificación limita la aplicación de auditorías
externas. No obstante, existen dos auditorías externas de gran utilidad. La primera se ubica
durante el inicio de la etapa de implementación. Esta auditoría permite garantizar que los
estándares y procedimientos definidos para el proyecto son los más apropiados y están siendo
seguidos en su cabalidad. La segunda se asocia al comienzo de la etapa de integración. Aquí una
auditoría externa permite asegurar la completitud y correctitud de los planes y procedimientos de
pruebas, y que el software está listo para la integración. Si un proyecto cualquiera se encuentra
en serias dificultades o no se realizan auditorías internas, entonces resulta necesario considerar
un mayor número de auditorías externas.
Durante un proyecto pueden presentarse diferentes signos de irregularidades, ante las cuales
resulta aconsejable llevar a cabo una auditoría externa o interna. Ejemplos de estas
irregularidades son:
18
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]
Sin embargo, todos los proyectos generan código y documentación, de no existir estándares, los
productos tendrán el sello individual de sus desarrolladores o del jefe de proyectos. Todos los
proyectos manejan cambios y problemas, y prueban sus productos. El método involucrado puede
ser simplemente ad-hoc o depender de los individuos involucrados. Lo importante es que
documentado o no el método existe. Bajo estás circunstancias el rol del auditor es descubrir y
documentar los “estándares” y “procedimientos” existentes.
En términos generales, esta adaptación implica seleccionar los ítems adecuados basándose en los
objetivos de la auditoría, expandir el nivel de detalle, agregar tópicos y preguntas relevantes, y
ajustar el léxico utilizado a la nomenclatura del proyecto. Además de considerar información sobre
los estándares y prácticas organizacionales, resultados de auditorías pasadas, la organización del
proyecto, las etapas del ciclo de vida y el propósito de la auditoría.
Globalmente, sobre la base del checklist genérico el auditor decidirá cuales preguntas son
aplicables al proyecto y luego procederá a expandir su contenido. Una vez que cuente con el
checklist definitivo, debe determinar como se obtendrá la respuesta para cada pregunta. Es decir,
definir si la respuesta se obtendrá por entrevista a los desarrolladores, por la evaluación de los
registros del proyecto, por examen de los productos o por alguna combinación de estos. Una vez
que se haya completado el checklist los auditores contarán con suficiente información para emitir
un informe de auditoría.
6.4.1 Planificación
Durante la planificación se establecen las bases para el posterior desarrollo. Es más se podría
considerar como parte de esta etapa la selección de la institución desarrolladora por parte del
cliente.
19
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]
Bajo este último concepto, el tipo de auditoría que tiene lugar en esta etapa es muy diferente a las
del resto del ciclo de vida. Por lo general, una auditoría en este plano busca examinar la
integridad y capacidad de la institución desarrolladora sobre la base de sus estándares y
procedimientos genéricos más los resultados de sus proyectos pasados.
En esta fase los requerimientos son establecidos en forma precisa y detallada, se da comienzo al
plan de pruebas en términos de verificar los requerimientos y se depura el plan del proyecto.
6.4.3 Diseño
Una auditoría del diseño preliminar debe concentrarse en su documentación y verificar que los
estándares de sus formatos sean seguidos. El auditor debe comprobar que todos los
requerimientos han sido traducidos en componentes del software. Además, es especialmente
importante auditar los mecanismos de SCM para garantizar que no se han realizado cambios no
autorizados a los requerimientos. Por último, deben mantenerse presente los ítems de etapas
previas, el seguimiento del estado del proyecto y el reporte de disconformidades.
Por su parte, una auditoría del diseño detallado debe centrarse en el avance y la documentación
del mismo. Y, como en la auditoría antes mencionada, debe verificarse el estado del proyecto, los
reportes de disconformidades y que los productos de trabajo aprobados estén bajo SCM.
6.4.4 Implementación
Por lo tanto, una auditoría debe verificar los resultados del diseño y del código, las actividades
de SCM y la librería del software, el proceso de reporte y seguimiento de problemas desde su
detección hasta su solución, y la calendarización y estado del proyecto.
Durante esta fase las auditorias internas deben ser periódicas, pues los desarrolladores trabajan a
su capacidad máxima y en una amplia gama de actividades. Entonces, resulta importante contar
con actividades que permitan garantizar la calidad del producto en desarrollo. Éstas
corresponden principalmente a las revisiones y a las auditorías. Por ello la auditoría debe
comprobar la adherencia del código a los estándares definidos y la completitud de las revisiones.
Es importante destacar que durante esta fase se encuentran las mejores condiciones para extraer
el mayor provecho a una auditoría externa, ya que todos los estándares y procedimientos se
encuentran en uso.
20
Proceso de Auditoría [[Autor]]
Versión 1.0 [[fecha]]
Durante esta etapa las unidades del software son integradas en un sistema; las disconformidades
son detectadas, documentadas y corregidas; y se comprueba la satisfacción de los
requerimientos. Los planes de integración y prueba son ejecutados, la documentación del
software es actualizada y completada y los productos son finalizados para su entrega formal.
Una auditoría interna comprueba que los problemas detectados durante las pruebas estén
controlados, completados y documentados. Además de verificar los procedimientos y resultados
de las pruebas, es importante auditar el proceso de SCM. No se debe olvidar que habitualmente
en esta etapa existe una gran tendencia a dejar de lado los estándares y procedimientos, producto
de las presiones ejercidas a raíz de la pronta entrega del producto final.
Una auditoría externa se concentrará en los mismos aspectos, enfatizando la completitud de las
pruebas del sistema.
Globalmente, los objetivos de una auditoría durante esta fase no difieren de los vistos en el punto
anterior. Inclusive, una auditoría a este nivel podría visualizarse como una extensión natural de la
auditoría de la etapa previa.
6.4.7 Mantención
Después de la entrega del producto pueden producirse modificaciones que dan a lugar a nuevos
desarrollos que van desde simples acciones correctivas hasta nuevos ciclos de vida.
El rol de la auditoría interna variará según las actividades que tengan lugar en la implementación
de estas modificaciones. En el caso de correcciones sencillas, la auditoría se concentra en los
procedimientos de SCM y de seguimiento de problemas, y en verificar la calidad del producto. Si
en cambio, se tratase de un nuevo ciclo de vida del software, las auditorías deberán ser
programadas según lo descrito en los puntos anteriores.
Por último, durante esta fase las auditorías externas son llevadas a cabo para asegurar la
mantención de la calidad del producto. Estas auditorías cobran especial importancia ante un alto
número de cambios.
21