[[Nombre de la institucin]]
Proceso de Auditora
[[fecha]]
Versin 1.0
0
Proceso de Auditora [[Autor]]
Versin 1.0 [[fecha]]
Registro de cambios
Nro. de Fecha Tipo(1) Descripcin del cambio Autor Nro. de
cambio Peticin
1
Proceso de Auditora [[Autor]]
Versin 1.0 [[fecha]]
Tabla de Contenidos
1 INTRODUCCIN...............................................................................................................................3
1.1 PROPSITO......................................................................................................................................3
1.2 ALCANCES......................................................................................................................................3
1.3 DESCRIPCIN DEL DOCUMENTO.....................................................................................................3
1.4 GLOSARIO DE TRMINOS................................................................................................................4
1.5 ACRNIMOS....................................................................................................................................4
2 RESPONSABLES................................................................................................................................5
5 ANEXOS.............................................................................................................................................18
5.1 ANEXO A: GUA DE CALENDARIZACIN DE AUDITORAS.............................................................18
5.1.1 Auditoras peridicas..........................................................................................................18
5.1.2 Auditoras frente a signos de irregularidades.....................................................................18
5.1.3 Auditoras no anunciadas....................................................................................................18
5.2 ANEXO B: AUDITORAS EN AUSENCIA DE ESTNDARES Y PROCEDIMIENTOS..............................19
5.3 ANEXO C: GUA DE PREPARACIN DE UN CHECKLIST DE AUDITORA.........................................19
5.4 ANEXO D: PROCESO DE AUDITORA DURANTE EL CICLO DE VIDA DEL SOFTWARE......................19
5.4.1 Planificacin.......................................................................................................................19
5.4.2 Especificacin de Requerimientos.......................................................................................20
5.4.3 Diseo..................................................................................................................................20
5.4.4 Implementacin...................................................................................................................20
5.4.5 Integracin y pruebas..........................................................................................................21
5.4.6 Aceptacin y entrega...........................................................................................................21
5.4.7 Mantencin..........................................................................................................................21
2
Proceso de Auditora [[Autor]]
Versin 1.0 [[fecha]]
2 Introduccin
2.1 Propsito
<Objetivo organizacional asociado al documento, audiencia y responsables de la actualizacin
del documento. >
2.2 Alcances
<Visin general del documento. Incluye sus objetivos y alcance. >
El presente documento describe el proceso de auditora, aplicable durante todas las fases del
desarrollo de software, centrndose en apoyar su planificacin, ejecucin, documentacin y
monitoreo.
Si bien el concepto de auditora es muy amplio y es utilizado para describir diferentes actividades
dentro del desarrollo de software, en este documento se utilizar slo para referirse a la tcnica
utilizada por SQA para verificar la adherencia de los procesos de desarrollo a los procedimientos y
la de los productos a los estndares definidos. Auditoras como por ejemplo la auditora funcional
y fsica de SCM no son parte de los tpicos tratados.
Dentro de este marco, el objetivo global es facilitar el mejoramiento continuo de la calidad de los
procesos y productos de software en [[institucin]] y, el particular, la oportuna deteccin y
correccin de desviaciones del proceso y/o los productos de trabajo en relacin con los
procedimientos y estndares definidos.
Capitulo 1 Introduccin: provee una visin general sobre los contenidos y objetivos del
documento. Adems, entrega las definiciones y acrnimos utilizados en los captulos
posteriores.
Capitulo 3 Descripcin del proceso: entrega una definicin del proceso, su campo de
aplicacin, etapas del proceso de revisin, participantes y el soporte provisto al
interior de la [[institucin]].
3
Proceso de Auditora [[Autor]]
Versin 1.0 [[fecha]]
Checklist de Auditora Lista de tems que el auditor debe cubrir o consultar durante las
entrevistas a los desarrolladores. Sirve como base para la evaluacin de los productos y/o
procesos especificados en el plan de auditora.
2.5 Acrnimos
<Lista de las abreviaciones utilizadas en el documento. >
Acrnimo Significado
SQA Software Quality Assurance, Aseguramiento de la Calidad del Software
SCM Software Configuration Management, Gestin de Configuracin del Software
4
Proceso de Auditora [[Autor]]
Versin 1.0 [[fecha]]
3 Responsables
<Designacin de una unidad/rea responsable de la mantencin y soporte del proceso de auditora. >
5
Proceso de Auditora [[Autor]]
Versin 1.0 [[fecha]]
4.1 Definicin
<Definicin y descripcin global del proceso de audiora. >
El propsito general de una auditora es realizar una evaluacin independiente sobre la adherencia
de los productos y procesos de software a las normas, estndares, guas, planes y procedimientos
existentes. Y, paralelamente, comparar el estado del proceso y de los productos versus el estado
reportado, y evaluar la efectividad real de los estndares y procedimientos.
Sin perjuicio de lo anterior, la auditora podr ser externa o interna. La nica diferencia terica
entre estas categoras radica en el origen del equipo de auditora. Como resulta natural, en una
auditora externa el equipo auditor no pertenece a la institucin. En la interna, la situacin es la
contraria. En lo prctico, el mayor grado de independencia de los miembros del equipo auditor en
relacin con la institucin auditada en el caso de una auditora externa deriva en una opinin y en
resultados ms objetivos. Por otra parte, la etapa de comprensin sobre el proyecto y la forma en
que se trabaja es menor e inclusive puede resultar redundante durante una auditora interna.
4.2 Aplicacin
<Campo de aplicacin del proceso de auditora. Tambin pueden aadirse observaciones y
recomendaciones. >
El proceso de auditora es aplicable durante cualquier punto del desarrollo de software. Sin
embargo, su aplicacin vara segn el tipo de auditora y la fase del desarrollo.
<Es recomendable, clarificar adems a quin o quienes se les impone el cumplimiento del
proceso aqu documentado. Por ejemplo: Puede ser importante destacar que la [[Institucin]]
puede auditar a sus subcontratistas, por ende se debe describir est relacin. >
6
Proceso de Auditora [[Autor]]
Versin 1.0 [[fecha]]
4.3 Etapas
<Descripcin de las etapas del proceso de auditora. >
A continuacin se describen las etapas del proceso de auditora en trminos de sus objetivos,
criterios de entrada/salida y de sus actividades. Adems, se enuncian los participantes de cada
etapa y sus responsabilidades durante ella.
4.3.1 Planificacin
Objetivo
El objetivo principal de esta etapa es establecer el mbito y los recursos para la auditora, como
tambin, planificar sus actividades.
Participantes
Criterios de entrada
Actividades
El iniciador, representante del proyecto, establece la necesidad de una auditora y con tal
objetivo contacta al organismo competente (interno o externo).
El moderador, lder del equipo de auditora, debe comprender los objetivos del desarrollo de
software en trminos de los productos de trabajo, la documentacin requerida y los
requerimientos definidos sobre las practicas de ingeniera, gestin y aseguramiento.
Luego, es necesario que el moderador se informe sobre el estado del proyecto y los
problemas detectados. Esto se realiza a travs de los diferentes reportes provistos durante el
desarrollo.
7
Proceso de Auditora [[Autor]]
Versin 1.0 [[fecha]]
Una vez que el moderador ha asimilado los objetivos y el estado del proyecto en desarrollo
est en condiciones de definir que reas requieren de una mayor atencin. Es decir, de
establecer los productos y/o procesos de trabajo cuyo estado se encuentra difuso o en duda.
stas reas son determinadas sobre la base de los reportes del estado del proyecto y sobre
los resultados de auditoras anteriores.
Cuando se ha fijado el mbito de la auditora, el moderador debe crear una checklist que le
facilite la evaluacin. Esta checklist debe ser desarrollada en relacin con los objetivos del
proyecto, la fase de desarrollo en cuestin y el mbito definido para la auditora.
La creacin del checklist permite adems definir claramente cuales sern los
productos/procesos que sern examinados y quienes se vern involucrados en ello.
Con la informacin anterior, el moderador debe elaborar un plan para la auditora. Este plan
debe contener como mnimo:
Una vez concretado el plan, el moderador debe presentarlo al iniciador para su aprobacin.
Es importante resaltar que por medio de este documento la institucin auditada se
compromete a facilitar los recursos solicitados al equipo de auditora.
Una vez definida el tipo de auditora y sus objetivos, el moderador debe seleccionar a los
miembros del equipo de auditora (auditores). A su vez, debe entregarles informacin que les
permita preparase para la auditora.
Criterios de salida
8
Proceso de Auditora [[Autor]]
Versin 1.0 [[fecha]]
De no tratarse de una auditora sin previo aviso, el iniciador debe notificar a los miembros
del proyecto auditado y a las [[Unidades competentes]] <Reemplazar por una lista de las
unidades/reas competentes. >.
Objetivo
El propsito de esta etapa es clarificar el contenido del plan de auditora a los miembros de la
institucin auditada y corroborar que el equipo de auditora comprende los objetivos del
proyecto.
Participantes
Criterios de entrada
Actividades
Es responsabilidad del moderador y del iniciador responder a las consultas realizadas por las
partes.
Criterios de salida
9
Proceso de Auditora [[Autor]]
Versin 1.0 [[fecha]]
4.3.3 Evaluacin
Objetivo
El propsito esta etapa es comprobar que los productos requeridos estn siendo desarrollados
de acuerdo a los estndares aplicables, que el proceso se ajusta a los procedimientos definidos
y que los reportes del estado del proyecto reflejan su situacin actual.
Participantes
Criterios de entrada
Actividades
Como primera actividad de la evaluacin, los auditores entrevistan a los miembros del
equipo desarrollador para comprender como cada individuo lleva a cabo los
procedimientos. Cada auditor consulta sobre como se realizan las actividades, tomando
nota sobre las respuestas y registrando cualquier observacin. Estas consultas duran hasta
que el auditor haya comprendido cabalmente como los procesos son realmente llevados a
cabo.
Al comprenderse cual es la forma real en que los procesos son realizados, los auditores
estn en pi de examinar los registros del proyecto con el objetivo de establecer si los
procedimientos son seguidos adecuadamente.
Estos registros incluyen los informes sobre los eventos ocurridos durante el ciclo de vida
del producto. Por ejemplo, durante una auditora de SCM, el auditor debe concentrarse en
la completitud del proceso de cambios. Por tanto, debe concentrarse sobre la
correspondencia entre las peticiones de cambio y la librera del software para detectar
cualquier anormalidad.
Luego, los auditores revisan los productos de trabajo con la finalidad de establecer si se
adhieren a los estndares y si concuerdan con el estado reportado.
10
Proceso de Auditora [[Autor]]
Versin 1.0 [[fecha]]
Primero se comprueba que los productos desarrollados concuerdan con los definidos en
los requerimientos y que su contenido sea correcto en relacin con los estndares
definidos. Posteriormente, se verifica que el estado del producto corresponda con el
reportado.
Criterios de salida
Objetivo
El propsito de esta reunin es crear una instancia en que los auditores presenten los resultados
(al nivel de observaciones) de la evaluacin a la institucin auditada para permitir a esta ltima
manifestar su opinin frente a ellas, clarificar cualquier mal interpretacin en la que los
auditores hayan incurrido e indicar posibles omisiones importantes dentro de la etapa previa.
Participantes
Criterios de entrada
Como mnimo se ha recopilado informacin suficiente como para responder con certeza el
checklist de auditora.
Actividades
Como punto de partida de esta reunin, los auditores deben rendir cuentas sobre el estado
de avance del proceso de auditora. Ello implica informar sobre el estado de avance en
relacin con el plan de auditora y exponer las dificultades encontradas para llevar a cabo
el plan
Una vez que los auditores han terminado con su presentacin, los representantes de la
institucin auditada tienen la oportunidad de manifestarse ante los resultados preliminares
11
Proceso de Auditora [[Autor]]
Versin 1.0 [[fecha]]
Criterios de salida
Objetivo
Participantes
Moderador, auditores.
Criterios de entrada
Se han resuelto las discrepancias sobre los resultados de la auditora entre los
auditores y la institucin auditada.
Se ha llegado a acuerdo sobre los resultados de la auditora.
Actividades
12
Proceso de Auditora [[Autor]]
Versin 1.0 [[fecha]]
Criterios de salida
4.3.4 Seguimiento
Objetivo
El propsito del seguimiento es que el iniciador junto a la institucin auditada identifique las
acciones correctivas necesarias para eliminar o prevenir las disconformidades para su posterior
implantacin.
Participantes
Criterios de entrada
Actividades
Identificadas las acciones correctivas, deben asignarse los recursos necesarios para su
implementacin.
13
Proceso de Auditora [[Autor]]
Versin 1.0 [[fecha]]
Criterios de salida
4.4 Participantes
<Definicin de los roles y responsabilidades de los participantes del proceso de auditora. >
Tambin es importante resaltar que se pueden llevar a cabo auditoras con un nico auditor. En
tal caso el iniciador no puede actuar como moderador.
4.4.1 Iniciador
El iniciador debe ser una persona con facultad de toma de decisiones al interior del proyecto,
pues es l quien debe iniciar y aprobar el proceso de auditora. Entre sus obligaciones se cuentan:
14
Proceso de Auditora [[Autor]]
Versin 1.0 [[fecha]]
Observacin: El moderador debe ser una persona libre de influencias que puedan reducir su
capacidad de toma de decisiones.
4.4.3 Auditores
4.4.5 Secretario
Por ltimo, se agrega a los directivos del nivel de gestin (incluyendo al jefe de proyectos),
quienes si bien no son un miembro explcito del proceso presentado, si tienen responsabilidades
importantes asociadas a l. stas incluyen:
Programar las auditoras en consideracin con el proceso y las normas definidas para ello.
Entregar las bases y las facilidades requeridas para cada una de las etapas del proceso de
auditora.
Proveer entrenamiento y orientacin sobre los tipos de auditoras aplicables a un proyecto
dado.
Asegurar una apropiada comprensin y conocimiento sobre los productos de trabajo
auditados.
Asegurar que el plan de auditora sea llevado a cabo.
Tomar acciones pertinentes segn las recomendaciones incluidas en el informe de auditora.
15
Proceso de Auditora [[Autor]]
Versin 1.0 [[fecha]]
4.5 Soporte
<Descripcin de las tareas de soporte provistas por la unidad responsable. >
4.5.1 Capacitacin
<Breve descripcin de los instructivos existentes sobre el proceso de auditora y los cursos de
capacitacin impartidos por la unidad. En ambos casos, debe entregarse un resumen que
incluya el propsito, audiencia y tpicos tratados en el instructivo o curso de capacitacin.
Adems, debe especificarse la forma en que se puede acceder a ellos. >
4.5.2 Herramientas
<Breve resea sobre las herramientas manuales y automticas que soportan el proceso de
auditora. Las herramientas manuales incluyen guas adicionales que faciliten el proceso de
auditora; y las automticas, herramientas computacionales que apoyen el proceso. Ejemplos:
Herramientas manuales: Gua de calendarizacin de auditoras, Auditoras en
ausencia de estndares y procedimientos, etc. (Ver Anexos).
Herramientas automatizadas: Correo electrnico - medio de comunicacin, Planillas
de calculo - anlisis de resultados, Procesadores de texto ingreso, edicin y
recoleccin de anomalas detectadas. >
16
Proceso de Auditora [[Autor]]
Versin 1.0 [[fecha]]
5 Referencias
<Lista bibliogrfica utilizada para la definicin del proceso de auditora. Es recomendable ser lo ms
especfico posible para evitar confusiones posteriores. >
17
Proceso de Auditora [[Autor]]
Versin 1.0 [[fecha]]
6 Anexos
Por su parte, el gran esfuerzo invertido en la etapa planificacin limita la aplicacin de auditoras
externas. No obstante, existen dos auditoras externas de gran utilidad. La primera se ubica
durante el inicio de la etapa de implementacin. Esta auditora permite garantizar que los
estndares y procedimientos definidos para el proyecto son los ms apropiados y estn siendo
seguidos en su cabalidad. La segunda se asocia al comienzo de la etapa de integracin. Aqu una
auditora externa permite asegurar la completitud y correctitud de los planes y procedimientos de
pruebas, y que el software est listo para la integracin. Si un proyecto cualquiera se encuentra
en serias dificultades o no se realizan auditoras internas, entonces resulta necesario considerar
un mayor nmero de auditoras externas.
Durante un proyecto pueden presentarse diferentes signos de irregularidades, ante las cuales
resulta aconsejable llevar a cabo una auditora externa o interna. Ejemplos de estas
irregularidades son:
18
Proceso de Auditora [[Autor]]
Versin 1.0 [[fecha]]
Sin embargo, todos los proyectos generan cdigo y documentacin, de no existir estndares, los
productos tendrn el sello individual de sus desarrolladores o del jefe de proyectos. Todos los
proyectos manejan cambios y problemas, y prueban sus productos. El mtodo involucrado puede
ser simplemente ad-hoc o depender de los individuos involucrados. Lo importante es que
documentado o no el mtodo existe. Bajo ests circunstancias el rol del auditor es descubrir y
documentar los estndares y procedimientos existentes.
En trminos generales, esta adaptacin implica seleccionar los tems adecuados basndose en los
objetivos de la auditora, expandir el nivel de detalle, agregar tpicos y preguntas relevantes, y
ajustar el lxico utilizado a la nomenclatura del proyecto. Adems de considerar informacin sobre
los estndares y prcticas organizacionales, resultados de auditoras pasadas, la organizacin del
proyecto, las etapas del ciclo de vida y el propsito de la auditora.
Globalmente, sobre la base del checklist genrico el auditor decidir cuales preguntas son
aplicables al proyecto y luego proceder a expandir su contenido. Una vez que cuente con el
checklist definitivo, debe determinar como se obtendr la respuesta para cada pregunta. Es decir,
definir si la respuesta se obtendr por entrevista a los desarrolladores, por la evaluacin de los
registros del proyecto, por examen de los productos o por alguna combinacin de estos. Una vez
que se haya completado el checklist los auditores contarn con suficiente informacin para emitir
un informe de auditora.
6.4.1 Planificacin
19
Proceso de Auditora [[Autor]]
Versin 1.0 [[fecha]]
Bajo este ltimo concepto, el tipo de auditora que tiene lugar en esta etapa es muy diferente a las
del resto del ciclo de vida. Por lo general, una auditora en este plano busca examinar la
integridad y capacidad de la institucin desarrolladora sobre la base de sus estndares y
procedimientos genricos ms los resultados de sus proyectos pasados.
En esta fase los requerimientos son establecidos en forma precisa y detallada, se da comienzo al
plan de pruebas en trminos de verificar los requerimientos y se depura el plan del proyecto.
6.4.3 Diseo
Una auditora del diseo preliminar debe concentrarse en su documentacin y verificar que los
estndares de sus formatos sean seguidos. El auditor debe comprobar que todos los
requerimientos han sido traducidos en componentes del software. Adems, es especialmente
importante auditar los mecanismos de SCM para garantizar que no se han realizado cambios no
autorizados a los requerimientos. Por ltimo, deben mantenerse presente los tems de etapas
previas, el seguimiento del estado del proyecto y el reporte de disconformidades.
Por su parte, una auditora del diseo detallado debe centrarse en el avance y la documentacin
del mismo. Y, como en la auditora antes mencionada, debe verificarse el estado del proyecto, los
reportes de disconformidades y que los productos de trabajo aprobados estn bajo SCM.
6.4.4 Implementacin
Por lo tanto, una auditora debe verificar los resultados del diseo y del cdigo, las actividades
de SCM y la librera del software, el proceso de reporte y seguimiento de problemas desde su
deteccin hasta su solucin, y la calendarizacin y estado del proyecto.
Durante esta fase las auditorias internas deben ser peridicas, pues los desarrolladores trabajan a
su capacidad mxima y en una amplia gama de actividades. Entonces, resulta importante contar
con actividades que permitan garantizar la calidad del producto en desarrollo. stas
corresponden principalmente a las revisiones y a las auditoras. Por ello la auditora debe
comprobar la adherencia del cdigo a los estndares definidos y la completitud de las revisiones.
Es importante destacar que durante esta fase se encuentran las mejores condiciones para extraer
el mayor provecho a una auditora externa, ya que todos los estndares y procedimientos se
encuentran en uso.
20
Proceso de Auditora [[Autor]]
Versin 1.0 [[fecha]]
Durante esta etapa las unidades del software son integradas en un sistema; las disconformidades
son detectadas, documentadas y corregidas; y se comprueba la satisfaccin de los
requerimientos. Los planes de integracin y prueba son ejecutados, la documentacin del
software es actualizada y completada y los productos son finalizados para su entrega formal.
Una auditora interna comprueba que los problemas detectados durante las pruebas estn
controlados, completados y documentados. Adems de verificar los procedimientos y resultados
de las pruebas, es importante auditar el proceso de SCM. No se debe olvidar que habitualmente
en esta etapa existe una gran tendencia a dejar de lado los estndares y procedimientos, producto
de las presiones ejercidas a raz de la pronta entrega del producto final.
Una auditora externa se concentrar en los mismos aspectos, enfatizando la completitud de las
pruebas del sistema.
Globalmente, los objetivos de una auditora durante esta fase no difieren de los vistos en el punto
anterior. Inclusive, una auditora a este nivel podra visualizarse como una extensin natural de la
auditora de la etapa previa.
6.4.7 Mantencin
Despus de la entrega del producto pueden producirse modificaciones que dan a lugar a nuevos
desarrollos que van desde simples acciones correctivas hasta nuevos ciclos de vida.
El rol de la auditora interna variar segn las actividades que tengan lugar en la implementacin
de estas modificaciones. En el caso de correcciones sencillas, la auditora se concentra en los
procedimientos de SCM y de seguimiento de problemas, y en verificar la calidad del producto. Si
en cambio, se tratase de un nuevo ciclo de vida del software, las auditoras debern ser
programadas segn lo descrito en los puntos anteriores.
Por ltimo, durante esta fase las auditoras externas son llevadas a cabo para asegurar la
mantencin de la calidad del producto. Estas auditoras cobran especial importancia ante un alto
nmero de cambios.
21