Este documento presenta el plan de auditoría interna del área de control de calidad (QA) de una empresa de desarrollo de software. El objetivo general es asegurar que las actividades de QA se realicen de acuerdo con las normas, ética y expectativas de calidad de los clientes. La auditoría evaluará los procedimientos de pruebas, permisos de acceso y herramientas utilizadas por el personal de QA. El alcance se limita al área de QA y las limitaciones incluyen documentación incorrecta y falta de registros previos.
1. AUDITORIA DE CALIDAD DE UNA
EMPRESA
Curso:
Auditoría Computacional
Profesor:
Miguel Ángel Burgos
Integrantes:
Irene Eche
Catherine Contreras
Carlos Céspedes
Nelson Gutiérrez
Andrés Jaña
2. AUDITORIA INTERNA-INGENIERIA EN INFORMATICA
2 de
septiembre
de 2014
2
Tabla de contenido
INTRODUCCIÓN ............................................................................................................. 3
PLAN DE AUDITORIA ...................................................................................................... 4
ÁREAS INVOLUCRADAS .................................................................................................... 5
OBJETIVOS GENERALES ................................................................................................... 5
OBJETIVOS ESPECÍFICOS .................................................................................................. 5
ALCANCE Y LIMITACIONES ................................................................................................ 6
ALCANCE ..................................................................................................................... 6
LIMITACIONES .............................................................................................................. 7
RIESGOS DE AUDITORIA .................................................................................................. 8
3. AUDITORIA INTERNA-INGENIERIA EN INFORMATICA
2 de
septiembre
de 2014
3
Introducción
Zoa Ingeniería de Software Ltda. (En adelante “la empresa”), es una empresa
dedicada al desarrollo de aplicaciones y soluciones informáticas, que ha optado
por realizar una auditoría a su área de QA.
Una parte importante de las funciones de esta empresa es la forma de
documentar cada uno de los procesos o proyectos en el área de desarrollo, si
bien, esta documentación se realiza de forma pro-activa y con tiempos
involucrados para poder cumplir con los objetivos, es necesario implementar
auditorias y ver mediante estas, si cada uno de los procesos están siendo
ejecutados e incluso documentados correctamente según la normativa vigente,
normas internas, políticas de la empresa y los estándares solicitados por los
clientes.
Para lograr nuestros objetivos se realizará una auditoría interna que se
explicará con mayor detalle en el siguiente documento.
4. AUDITORIA INTERNA-INGENIERIA EN INFORMATICA
2 de
septiembre
de 2014
4
PLAN DE AUDITORÍA
LA AUDITORIA INTERNA
En primera instancia que permita obtener las observaciones de los
colaboradores y además cumpla la función de capacitar en normas de calidad a
los mismos.
La Auditoría interna estará a cargo de un grupo seleccionado por los mandos
medios y definida en el plan de auditoría, en el cual se determinará el detalle de
los involucrados, fechas y etapas a seguir para estar preparado para que se
lleven a cabo los procesos de evaluaciones, conocer e implementar las
mejores prácticas en cuanto al área de QA, y así tener la oportunidad para
conseguir un mayor nivel de eficiencia a partir de la función de la auditoria.
Para las empresas que se basan en gran parte de su actividad en sistemas de
información como ADVICE, la auditoria de procesos de QA, nos permitirá
reducir el margen de error en las aplicaciones diseñadas por la software
Factory que pasaran a producción en las instalaciones de nuestros clientes y
reduciendo tiempos de implementación y las iteraciones de correcciones de
bugs, gracias a unos procesos elaborados y a la dedicación de profesionales
especializados.
PLANIFICACIÓN DE LA AUDITORIA
Deberá ante todo definirse claramente los valores, y la misión de la Auditoría
Interna. Es necesario que quede completamente en claro quiénes son los
clientes y que requieren de esta auditoría. Para lo cual resulta sumamente
interesante implementar un sistema para verificar la calidad de los trabajos e
informes de auditoría, como así también medir los niveles de satisfacción de los
usuarios de la información suministrada.
Para lo dicho anteriormente se prepara un plan anual de trabajo para realizar la
Auditoría en el área de QA, para esto procederemos con los siguientes puntos:
Emitir Informe de Ejecución del Plan Anual, con el fin de cumplir los
tiempos sin perjudicar el área en los procesos activos que deban llevar a
cabo.
Evaluar la solidez y eficacia de los controles internos del área de QA,
esto incluye pruebas y correctos inspección de la calidad del producto o
servicio como producto final.
Analizar y verificar los Estados de los proyectos y todos sus
componentes que lo integren.
Medir el grado de eficiencia con que se ejecutan los planes de cada uno
de los proyectos a medir dentro del área de QA.
5. AUDITORIA INTERNA-INGENIERIA EN INFORMATICA
2 de
septiembre
de 2014
5
Verificar el control y manejo de los de las herramientas otorgadas por la
empresa en función de buenas prácticas.
Atender solicitudes para realizar Auditorías especiales.
Emitir Informes de las Auditorías a la Gerencias involucradas y
Directivas correspondientes.
Emitir recomendaciones con el fin de subsanar deficiencias detectadas
en el área examinada.
Áreas involucradas
El departamento que se involucrada en esta auditoria será el área de QA, en
esta se evaluaran los procedimientos que se ejecutan en cada proceso de
pruebas de los software, ¿quiénes los utilizan?, ¿cuáles son los permisos?,
¿cuáles son las herramientas o accesos del personal a cada una de las
pruebas a integrar?
Objetivos Generales
Se realizarán auditorías Internas orientadas al área de QA con el fin de que los
resultados de las mismas aseguren que las decisiones y actividades sean
aprobadas y apropiadas por la gerencia interna del área, es decir que las
actividades son realizadas acorde a la normativa vigente, ética profesional y lo
más importante, que el software desarrollado cumpla con los requisitos,
expectativas y altos estándares de calidad a cara a los clientes.
Objetivos Específicos
Para aclarar el buen funcionamiento de la empresa se desarrollará un “plan de
auditoría” acorde con el plan estratégico y que no entorpezca las labores
diarias de la empresa, considerando los siguientes puntos importantes a la hora
de realizar la auditoria interna:
•Los objetivos de la actividad que está siendo revisada y los medios con los
cuales la actividad controla su desempeño.
•Los riegos significativos de la actividad, sus objetivos, recursos y operaciones,
y los medios con los cuales el impacto potencial del riesgo se mantiene en un
nivel aceptable.
• La adecuación y efectividad de los sistemas de gestión de riesgos y control de
la actividad comparados con un cuadro o modelo de control relevante.
6. AUDITORIA INTERNA-INGENIERIA EN INFORMATICA
2 de
septiembre
de 2014
• La oportunidad de introducir mejoras significativas en los sistemas de gestión
de riesgos y control de la actividad.
• Velar por las buenas prácticas en la administración de la Empresa y fiscalizar
en apego a la normativa que regula las normativas ISO.
• Evaluar el grado de cumplimiento de los Desarrolladores frente a los
proyectos establecidos.
• Evaluar permanentemente que se cumplan los controles internos en el área
QA.
• Recomendar medidas ya sean preventivas o correctivas para fortalecer el
control interno en el área QA.
• Evaluar el sentido de responsabilidad y el uso eficaz o correcto de las
herramientas a utilizar dentro de la Empresa.
Para poder realizar la auditoría, debemos contar con el apoyo de cada una de
las áreas involucradas, presentando la documentación necesaria, listado
completo de cada uno de los trabajadores y sus cargos correspondientes,
mencionando cada uno de sus accesos a los sistemas requeridos para su
labor diaria, todo con el objetivo de identificar, analizar y evaluar la mayor
información posible y así poder registrar una cantidad de información suficiente
que permita cumplir cada uno de los objetivos de esta auditoría y llegar a una
conclusión útil a la empresa y de resultados de trabajo óptimos.
6
Alcance y Limitaciones
Alcance
La Auditoría se orienta únicamente al área de QA, sin embargo los análisis que
deriven de este rendimiento pueden utilizarse en cualquier área de la empresa
que lo requiera. La nueva auditoría ya no comprende sólo los controles
tradicionales, sino que en la búsqueda de proteger los activos de la empresa,
audita el cumplimiento de normativas vigentes(sean éstas internas o externas),
políticas internas y principios fundamentales ética y cumplimiento, en todo lo
atinente a la calidad de los productos o servicios, niveles de satisfacción de los
clientes, eficiencia en cada uno de los procesos de aprobación y pruebas
realizadas en QA. En el caso de la calidad el auditor interno no procederá a
efectuar mediciones o controles de calidad, su función en este caso es la de
7. AUDITORIA INTERNA-INGENIERIA EN INFORMATICA
2 de
septiembre
de 2014
verificar la existencia de dichos controles y que sean llevados a cabo
correctamente. En el caso de los procesos de pruebas o normativas vigentes
en el desarrollo productivo contaran con auditores capacitados debidamente en
esta área y sus informe tendrán un enfoque netamente de asesoramiento.
7
Todo esto debe incluir debidamente un control interno como auditoría integral
en la que comprende los siguientes puntos:
El uso debidamente de las redes o herramientas Informáticas
Evaluar la eficacia y eficiencia del sistema de control interno del
organismo respecto al logro de los objetivos establecidos y en el
cumplimiento de la normativa.
La verificación del cumplimiento de la normativa vigente; el examen
sobre la confiabilidad e integridad de la información emitida y de la
evaluación de la eficacia y eficiencia de la organización en los diferentes
procesos operativos.
Informar acerca del resultado de la gestión con relación a los objetivos
de economía, eficiencia y eficacia.
Recomendar las acciones que promuevan la corrección de los desvíos
detectados en el cumplimiento de los objetivos y el establecimiento de
prácticas aceptables.
Limitaciones
-Una de las limitaciones de la auditoria es la presentación de la documentación
incorrecta o errores de dichas documentaciones
-Falta uniformidad en la documentación o presentación del área, teniendo
varias versiones y no poder cumplir la totalidad de lo auditado
-Al ser la primera auditoria, puede llevar a errores de experiencia sobre el tema
auditado sin poder cumplir los objetivos.
-El no tener registros o muestras anteriores de una auditoria puede llevar a no
completar los objetivos del auditor.
8. AUDITORIA INTERNA-INGENIERIA EN INFORMATICA
2 de
septiembre
de 2014
-La muestra no representará el 100% de lo auditado del alcance, solo será una
parte de ella.
8
Riesgos de Auditoria
a) Comprensión del negocio y su ambiente
Actualmente en la empresa el área de QA contempla dos personas que
se hacen cargo de la certificación de los sistemas que se entrega a los
clientes.
El procedimiento comienza con la entrega de la documentación del
sistema al área de QA que contempla lo siguiente:
i. Documento de análisis de la aplicación
ii. Documento de definiciones técnicas
iii. Documento de definiciones funcionales
iv. Inventario de requerimientos
v. Matriz de trazabilidad
Estos documentos se adjuntan al aplicativo a certificar, mediante
traspaso de un archivo comprimido enviado por correo.
Posteriormente se ambienta la aplicación en servidores dedicados para
esto, para comenzar el proceso de revisión.
Una vez ambientado y levantada la aplicación en los servidores de QA,
comienza con la revisión que contempla lo siguiente:
i. Verifica que la aplicación tenga todo lo contemplado en el
documento de análisis y el inventario de requerimientos.
ii. Se hacen pruebas de flujo de la aplicación.
iii. Se realizan pruebas de funcionalidades que tenga
implementadas, orientadas a las entradas y salidas de
estas.
iv. Se realizan pruebas de Stress de la aplicación.
Si pasan estas pruebas sin problemas, se autoriza para el paso de la
aplicación a QA del cliente, de no ser así, se envía correo de vuelta al
9. AUDITORIA INTERNA-INGENIERIA EN INFORMATICA
2 de
septiembre
de 2014
desarrollador con las incidencias encontradas, y se vuelve a repetir el
flujo de pruebas.
Los ambientes de prueba están preparas en máquinas virtuales,
simulando las condiciones que se encuentran en los servidores del
cliente.
9
b) Riesgos y Materialidad de auditoria
1. El equipo de auditoría deberá evaluar adecuadamente los riesgos
inherentes y control interno de cada una de las áreas de QA que
conforman la información de la entidad auditada, para poder
determinar así el alcance de las pruebas de auditoría a realizar.
i. Riesgo inherente: El riesgo propio de las operaciones que
se realizan en el área QA, la operación gerencial y sus
RRHH.
ii. Riesgo de Control: Las deficiencias en los sistemas de
información del área QA, deficiencias en el sistema de
control del área, evitar errores significativos en forma
oportuna, evaluar la eficiencia y eficacia del sistema de
control interno del organismo.
iii. Riesgo de Detección: Ineficiencia de un procedimiento de
auditoria, La mala aplicación de un procedimiento,
problemas en la definición de alcances y oportunidad de
los procedimientos.
2. El equipo de auditoria puede llegar a la conclusión de que no
existen errores materiales cuando en realidad los hay.
La evaluación del nivel de riesgo es un proceso totalmente
subjetivo y depende exclusivamente del criterio, la capacidad y
experiencia del equipo de auditoria .Por lo tanto debe ser un
proceso cuidadoso y realizado por quienes posean mayor
capacidad y experiencia en un equipo de trabajo.
10. AUDITORIA INTERNA-INGENIERIA EN INFORMATICA
2 de
septiembre
de 2014
10
c) Técnicas de evaluación de Riesgo
Para este concepto el equipo de auditoría en conjunto con las partes
interesadas evaluará y medirá según la implicancia el Riesgo
clasificándolo en tres tipos:
1. Crítico
2. Importante
3. Sugerido
Como base para esta evaluación de temas candidatos a auditoría:
- Se considerará como Crítico para la auditoría actual cualquier punto de
auditoría no conforme en auditorías anteriores, esto para evitar ítems de
la auditoría excedan el tiempo para su solución.
- El Equipo de Auditoría en reunión con el equipo interesado y la gerencia
general de ser necesario, clasificarán los riesgos de acuerdo al criterio
mencionado anteriormente.
- Como resultado de la reunión anterior se emitirá un documento que
describa claramente, como el ítem se relaciona con la organización y
con los planes de negocio, además contará con la firma de aprobación
de las partes involucradas y de la gerencia general aún cuando esta
última no haya estado presente en la reunión, esto con el objeto de
mantenerse al tanto de la priorización y clasificación de la auditoría.
- El Informe deberá tener una tentativa de los recursos que serían
necesarios para realizar la auditoría.
d) Objetivos de Controles y Auditoria
1. El objetivo de un control es anular un riesgo siguiendo alguna
metodología, el objetivo de auditoría es verificar la existencia de
estos controles y que estén funcionando de manera eficaz,
respetando las políticas de la empresa y los objetivos de la
empresa.
2. Así pues tenemos por ejemplo como objetivos de auditoría de
sistemas los siguientes:
11. AUDITORIA INTERNA-INGENIERIA EN INFORMATICA
2 de
septiembre
de 2014
i. La información de los sistemas de información deberá
estar resguardada de acceso incorrecto y se debe
mantener actualizada.
ii. Cada una de las transacciones que ocurren en los
11
sistemas es autorizada y es ingresada una sola vez.
iii. Los cambios a los programas deben ser debidamente
aprobados y probados.
e) Procedimientos de Auditoria
Para realizar la auditoria tomaremos en consideración los siguientes
puntos:
1. Revisión de la documentación de sistemas e identificación de los
controles existentes.
En esta área de QA tenemos los documentos a revisar que son:
1. Documento de análisis
2. Documento de definiciones técnicas y funcionales
3. Inventario de Requerimientos
2. Identificación de lista de personas a entrevistar.
1. Analista 1
2. Analista 2
3. Entrevistas con los especialistas técnicos a fin de conocer las
técnicas y controles aplicados.
Existen en esta área de QA dos analistas encargados de realizar
las pruebas pertinentes al sistema certificarlas y enviar el sistema
al cliente previa certificación para luego certificarlas y enviar el
sistema al cliente previa certificación.
El cargo de las personas que trabajan en esta área es Analista
de Sistemas.
12. AUDITORIA INTERNA-INGENIERIA EN INFORMATICA
2 de
septiembre
de 2014
4. Utilización de software de manejo de base de datos para
12
examinar el contenido de los archivos de datos.
Se utiliza en esta área los servidores virtuales.
La comunicación con otras áreas las realiza vía correo.
5. Identificación y selección del enfoque del trabajo
Área de QA
6. Identificación y obtención de políticas, normas y directivas.
Actualmente el área de QA no se encuentra afiliado a una
normativa vigente para realizarle las auditorias, ni tampoco cuenta
con manuales de procedimientos de sus procesos de revisión de
sus procesos.
Los Auditores sugieren:
1. Desarrollo de herramientas y metodología para probar y verificar
los controles existentes.
Alternativas
a) Implementar una metodología que puede ser las que se
encuentran vigentes en el mercado como NAGAS o Coso, las
cuales se utilizan para realizar auditorías internas y que el
área se rija bajo estas normativas vigentes hoy en el mercado.
b) Crear un manual interno de procedimientos el cual contenga
- Ya que reciben documentación tener la visación del
documento de quien lo envía y a cargo de quien se
encuentra el documento a revisar.
- Enviar las pruebas y validación de que los sistemas se
encuentran revisados a prueba de fallos mediante un
documento visado con nombre de quien lo certifica.
13. AUDITORIA INTERNA-INGENIERIA EN INFORMATICA
2 de
septiembre
de 2014
- Ingresar al sistema mediante claves personales para
pruebas; con esto lograremos saber que persona realizo
los test del sistema que se encuentra a cargo. Además por
un tema de seguridad.
2. Procedimientos para evaluar los resultados de las pruebas y
13
revisiones.
En esta área nunca se ha realizado una auditoria por lo que no
contamos con muestras anteriores, tomaremos las muestras de
los documentos existentes para realizar la primera auditoria.
Solicitaremos como muestra:
- En base a 100 aplicativos pediremos como muestra 10
sistemas o aplicativos con sus respectivas base de datos,
que corresponde al 10% de la totalidad del ejercicio.
- Se realizan sobre estos los seguimientos de control, se
pedirán los documentos con los que fueron enviados a
realizar los controles de falla, así también se pedirán los
documentos de certificación con la validación de que
persona lo hizo con su nombres y apellidos para un tema
de seguridad y responsabilidad.
- Se revisara la base de datos de los empleados del área
para verificar que estén ingresando con sus claves de
acceso.
Se entregara un manual a la gerencia de dicha auditoria con el
resultado de las muestras, para posterior toma de decisiones y
tener lista la primera auditoria para los años posteriores tenga con
que cotejar y evaluar sus resultados ya sean positivos o negativos
para la empresa.
14. AUDITORIA INTERNA-INGENIERIA EN INFORMATICA
2 de
septiembre
de 2014
14
Conclusiones
La auditoría es de mucha utilidad para evaluar los procedimientos y procesos
que se emplean en una empresa para tener menos riesgos y más seguridad.