Universidad Don Bosco Escuela de Ingeniera en Computacin Auditora de Sistemas

ESTNDARES DE CALIDAD Y SU IMPORTANCIA PARA LA

REALIZACIN DE UNA AUDITORA DE SISTEMAS.
Meja Rodrguez, Diego Francisco
e-mail: diego.mejia256@gmail.com

Lara Alvarenga, Rafael Ernesto

e-mail: rlaraalvarenga@gmail.com

en que se cumplen los criterios de auditora.

(Segn la ISO 9000:2005).

RESUMEN:
Hoy en da es de mucha importancia tener en
cuenta y basarse en estndares de calidad para
poder realizar una Auditora de Sistemas. Esto
brinda una serie de pasos que se deben seguir
para la elaboracin de la misma y, adems de
estar acreditadas internacionalmente, sirven de
respaldo y credibilidad cuando se lleva a cabo la
Auditora de Sistemas. En el presente trabajo se
tratar de mostrar la importancia que tienen estos
estndares o normas para la adecuada gestin de
la seguridad de la informacin, adems de la
evaluacin de los riesgos a los que puede estar
sometida la informacin organizacin auditada.

Hay que diferenciar tambin que existen 2 tipos de

auditora:

INDICE DE TRMINOS: Auditora, ISO, SGC,

ISACA, COBIT.

I.

Auditoras Internas: Tambin llamadas

auditoras de primera parte, son las que
una organizacin hace a sus propios
sistemas y procedimientos. Su objetivo es
asegurar el cumplimiento, mantenimiento y
desarrollo del sistema de calidad.

Auditoras Externas: Las que se hacen al

sistema de gestin de una organizacin
por parte de un cliente o de un tercero
independiente. Pueden clasificarse en
auditoras de segunda y tercera parte.

INTRODUCCIN
La primera de estas es realizada por la misma
organizacin a sus proveedores o contratistas o
que recibe por parte de sus clientes, y su objetivo
es evaluar la adecuacin de los proveedores para
el cumplimiento de las especificaciones dadas. La
segunda es aquella que se realiza por un
organismo con reconocimiento y prestigio y que es
independiente de la organizacin.

En primer lugar hay que definir el trmino de

Auditora para entender los alcances y cules son
sus objetivos. Entendemos por auditora segn la
Real Academia de la Lengua Espaola como:
Revisin sistemtica de una actividad o de una
situacin para evaluar el cumplimiento de las
reglas o criterios objetivos a que aquellas deben
someterse. Ahora bien teniendo en cuenta esta
definicin podemos ver que la Auditora debe ser
un proceso sistemtico, es decir que debe seguir
ciertos pasos preestablecidos por un ente
regulador que en este caso es la ISO
(Organizacin Internacional de Normalizacin) el
cual es el organismo encargado de promover el
desarrollo
de
normas
internacionales
de
fabricacin, comercio y comunicacin para todas
las ramas industriales. Esta organizacin impulsa
la Auditora de Calidad con sus normas y
estndares y se puede definir como un proceso
sistemtico, independiente y documentado para
obtener evidencias de la auditora y evaluarlas de
manera objetiva con el fin de determinar el grado

Estas auditoras son llevadas a cabo por

organismos de certificacin de acuerdo a las
normas establecidas en que se basa el sistema de
calidad de la organizacin. Su objetivo es
determinar si dicho sistema ha implementado y
est funcionando de acuerdo con los parmetros
establecidos por la norma reguladora. Se le puede
hacer una auditora a cualquier tipo de sistema
para el que se haya establecido un estndar o
norma que describa los requisitos que debe
cumplir ya que el proceso de auditora consiste en
comprobar el cumplimiento de dicho estndar.

Universidad Don Bosco Escuela de Ingeniera en Computacin Auditora de Sistemas

De esta forma encontramos auditoras de sistemas

de gestin de la calidad, ambiental, de prevencin
de riesgos laborales, de seguridad de la
informacin, entre otras. En nuestro caso nos
enfocaremos en la Auditora de Sistemas de la
Informacin.

II.

imparcial a la hora de formular sus conclusiones y

emitir el dictamen, por lo que el auditor no debe
tener intereses ajenos a los profesionales ni
sujetarse a influencias que puedan comprometer la
solucin de sus conclusiones. Adems el auditor
debe de cumplir con integridad, es decir, debe
ejercer con actitud intachable su ejercicio
profesional y tambin ser honesto y sincero en la
realizacin de su trabajo, y en la emisin de
informes,
adems
debe
actuar
con
confidencialidad, responsabilidad y las normas
tcnicas reconocidas internacionalmente, En
conclusin debe ser justo y no permitir ningn tipo
de influencia o prejuicio.

AUDITORA DE SISTEMAS.

En la Auditora de Sistemas es muy importante

conocer los roles que participan en l entre los que
se encuentran:

Equipo Auditor: El cual puede estar

conformado por un grupo de auditores o
un auditor individual, que deben estar
designados
para
desempear
una
auditora dada, este equipo puede incluir
expertos tcnicos y auditores en prcticas.
Uno de estos auditores se desempaar
como auditor lder.

III.

OBJETIVO DE LA AUDITORA
DE SISTEMAS.

Si bien es cierto que varios de los objetivos deben

ser establecidos por el cliente y comunicados al
auditado, respecto a los objetivos de carcter
general que se deben perseguir al realizar una
auditora de calidad estn:

Auditor Lder: Debe ser una persona

calificada y acreditada para manejar y
realizar auditoras de calidad.

Experto Tcnico: Es la persona que

nicamente provee el conocimiento y la
experiencia adquirida al equipo auditor,
pero no participa directamente como
auditor.

Adems el auditor de sistemas debe de cumplir

con ciertos requisitos o un perfil adecuado a la
labor que desempear por lo que es muy
importante que el auditor se apegue a las normas
o polticas establecidas, ya sean internas o
externas; por otra parte todo auditor debe de estar
totalmente desvinculado de cualquier tipo de
influencia, es decir, debe de actuar de manera
autnoma y no permitir ningn tipo de relacin que
pueda influir en l, ya sea esta laboral, moral, entre
otras. Otro de los requisitos es que el auditor debe
de tener un amplio conocimiento en sistemas de la
informacin, de igual manera en reas vinculadas
al trabajo, mtodos, herramientas y tcnicas de
auditora de tal forma que pueda realizar su trabajo
con eficiencia y eficacia. Adems el auditor debe
ser una persona con los siguientes valores:
honradez, confianza, capacidad analtica. Pero uno
de los que debe destacar es la independencia, ya
que esto permito al auditor actuar con libertad
respecto a su juicio profesional y ser totalmente

Verificar que el sistema de calidad ha sido

desarrollado y definido.
Verificar que el sistema de calidad ha sido
implementado y est siendo cumplido por
la organizacin.
Identificar los puntos dbiles del sistema
de gestin de calidad.
Asegurar que se corregirn las anomalas
identificadas y potenciales utilizando
acciones correctivas o preventivas, segn
el caso que corresponda.
Verificar el cumplimiento de los requisitos
legales y reglamentarios.
Suministrar evaluaciones imparciales.
Promover la comunicacin.
Evaluar reas que no sean fcilmente
visibles por la organizacin.
Validar acciones correctoras e incluir
mejoras en los procesos.
Asegurar el cumplimiento de los requisitos
exigidos para la certificacin del Sistema
de Control de Calidad y su mantenimiento.

De esta forma se puede verificar que estos

objetivos estn orientados hacia la mejora continua
de los procesos y el sistema de la organizacin
pero que a stos se le pueden aadir ms de
acuerdo a los requisitos del cliente.

Universidad Don Bosco Escuela de Ingeniera en Computacin Auditora de Sistemas

IV.

estndares que se enfocan principalmente en

informtica, especficamente en la calidad del
Software. Una de ellas es el estndar ISO/IEC
25000 SQuaRE (Evaluacin y requerimientos de
producto de software, por sus siglas en ingls) la
cual tiene por objetivo organizar, enriquecer y
unificar las series que cubren dos procesos
principales: Especificacin de requisitos de calidad
del software y evaluacin de la calidad del
software, con soporte en el proceso de medicin
de calidad del software.

NORMAS ISO 9000

Entrando en materia hay que conocer primero

cuales son estas normas establecidas y cul es el
ente regulador de las mismas. En este trabajo nos
centraremos en las normas ISO 9000 las cuales
son un conjunto de normas sobre calidad y gestin
de calidad, establecidas por la Organizacin
Internacional de Normalizacin (ISO por sus siglas
en ingls) que pueden ser aplicadas a cualquier
tipo de organizacin o actividad orientada a la
produccin de bienes o servicios. Dichas normas
recogen el contenido mnimo, como tambin guas
y herramientas para la implantacin de mtodos de
auditora.

V.

Como punto de partida hay que entender en qu

consiste este estndar: Este estndar es una
familia de normas creadas para dar una gua del
uso de los nuevos estndares internacionales
llamada SQuaRE que se relaciona con la calidad
del producto de software y proviene de las normas
ISO 9126 e ISO 14598 que trata sobre la
evaluacin de software. La norma ISO/IEC 25000
establece ciertos criterios para especificar
requisitos de calidad de producto de software,
mtricas y su futura evaluacin adems de incluir
un modelo de calidad para unificar las definiciones
de calidad de clientes con los atributos en el
proceso de desarrollo.

Entre las ventajas que se tienen al implementar

estas normas estn:

Mejora continua en los

productos, eficacia, eficiencia.

Incrementar la eficacia y eficiencia de la

organizacin en el logro de sus objetivos.

Estandarizar las actividades del personal que

trabaja dentro de la organizacin por medio de
la documentacin.

Medir y monitorear el desempeo de los

procesos en la organizacin.

ESTNDAR ISO/IEC 25000

procesos,

El alcance de este estndar va dirigido a empresas

de software, sin importar su tamao. De igual
forma a empresas que crean sus propias
herramientas de software para desarrollar su
negocio o facilitar un proceso interno.

De esta manera podemos ver que las normas ISO 9000

estn orientadas a la mejora continua de los procesos
en la organizacin para alcanzar sus objetivos.

Este estndar tiene varias subdivisiones que la

componen las cuales son:
ISO/IEC 2500n Divisin de Gestin de
Calidad:
Las normas que se encuentran en este apartado
definen los modelos y trminos referenciados por
la familia 25000. Se encuentra formada por:

Figura 1. Ventajas de la norma ISO 9000.

Si bien estas normas ISO 9000 se refieren a
procesos y sistemas de calidad, es importante
reconocer que tambin existen normas y

ISO/IEC 25000: Guide to SQuaRE, el cual

contiene el modelo de la arquitectura de
SQuaRE, terminologa de familia, resumen
de las partes, cuales son los usuarios
previstos y partes asociadas al igual que
modelos de referencia.

ISO/IEC
25001:
Planning
and
Management: En el cual se establecen los

Universidad Don Bosco Escuela de Ingeniera en Computacin Auditora de Sistemas

requisitos y orientaciones para gestin de

la evaluacin y especificacin de requisitos
de producto de software.

ISO/IEC 2504n Divisin de Evaluacin de

Calidad:

ISO/IEC 2501n Divisin de Modelo de Calidad:

Este apartado incluye normas que proporcionan
requisitos, recomendaciones y guas para llevar a
cabo el proceso de evaluacin del producto
software. Est formada por:

En este apartado las normas presentan modelos

de calidad detallados incluyendo las caractersticas
para calidad interna, externa y en uso del producto
software. Actualmente esta divisin se encuentra
formada por:

ISO/IEC 25010 - System and Software

Quality Models: Que describe el modelo de
calidad para el producto de software y para
la calidad en uso. Adems de presentar
caractersticas de calidad frente a las que
se puede evaluar el software.

Cabe tambin mencionar que segn la ISO/IEC

25000 se definen tres tipos de vistas diferenciadas
en el estudio de la calidad de un producto:

ISO/IEC 25012 Data quality model: Que

define un modelo generalizado para la
calidad de los datos y puede ser aplicado a
aquellos datos que se encuentran
almacenados de forma estructurada y
forman parte de un Sistema de
Informacin.

Vista Interna: Se ocupa de propiedades del

software como su tamao, complejidad o
conformidad con las normas de orientacin
a objetos.

Vista Externa: Se ocupa del anlisis del

comportamiento
del
software
en
produccin y el estudio de sus atributos
como el rendimiento, uso de memoria.

Vista en uso: Se encarga de la medicin

de la productividad y efectividad del
usuario final al utilizar software.

ISO/IEC 2502n Divisin de Medicin de

Calidad:
Este apartado incluye un modelo de referencia de
la medicin de la calidad del producto, definiciones
de medidas de calidad (interna, externa y en uso)
adems de guas prcticas para su aplicacin.
Actualmente se encuentra formada por:

De esta manera se puede observar que este

estndar incluye toda una familia de normas que
se encargan de verificar la calidad de producto
software mediante guas, procesos, y evaluaciones
que al final y de la mano de un auditor podrn
determinar un dictamen si se estn cumpliendo
con dichas normas o qu se puede hacer o
mejorar en el sistema para que se puedan alcanzar
dichos objetivos de la organizacin.

ISO/IEC 25020, 25021, 25022, 25023,

25024: Que bsicamente tratan sobre un
conjunto de mtricas que sirven para medir
la calidad del producto y sistemas software
y los datos.

ISO/IEC 2503n Divisin de Requisitos de

Calidad:

Entre los principales beneficios que trae utilizar

SQuaRE estn: Que permite una mayor eficacia en
la definicin del software, propone una calidad final
a travs de evaluaciones intermedias.

En este apartado se incluyen normas que ayudan

a especificar requisitos de calidad que pueden ser
utilizados en el proceso o como entrada del
proceso de evaluacin. Se compone de:

ISO/IEC 25040, 25041, 25042, 25045: Que

tratan sobre la evaluacin de la gua y
modelo de referencias para la evaluacin,
desde el punto de vista de desarrolladores
y otros mdulos de evaluacin entre los
que destaca el de recuperabilidad.

ISO/IEC 25030 Quality requirements:

Provee
de
un
conjunto
de
recomendaciones
para
realizar
la
especificacin de los requisitos de calidad
del producto de software.

Universidad Don Bosco Escuela de Ingeniera en Computacin Auditora de Sistemas

VII.

BIBLIOGRAFIA

Para la elaboracin de este trabajo se consultaron

diversas fuentes bibliogrficas entre las que estn:

Artculo EcuRed. www.ecured.cu. Obtenido en

http://www.ecured.cu/index.php/ISO/IEC_25000
[En lnea] Consultado el 08 de Junio de 2015.

Artculo
ISO
25000.
Obtenido
en:
http://iso25000.com/index.php/normas-iso25000 [En lnea] Consultado el 08 de Junio de
2015.

Documento. Calidad de Procesos y

Productos Software ISO/IEC 25000. 16 de
Julio de 2010. Disponible en lnea en:
http://alarcos.esi.uclm.es/per/fruiz/curs/santand
er/mrodriguez-iso25000-update.pdf. Consultado
el 08 de Junio de 2015.

Documento: La Norma ISO 9000. Disponible en

lnea
en:
http://basica.sep.gob.mx/dgdgie/cva/sitio/Docu
mentosIWA2/02_Documentos_de_trabajo/La_n
orma_ISO_9000_y_la_Competencia_Laboral.p
df. Consultado el 09 de junio de 2015.

Documento: ISO 9001. Disponible en lnea en:

http://farmacia.unmsm.edu.pe/noticias/2012/doc
umentos/ISO-9001.pdf. Consultado el 09 de
junio de 2015.

Figura 2. Cuadro donde se resumen las divisiones

de la ISO/IEC 25000.

VI.

CONCLUSIONES

Si bien la implementacin de las normas y estndares

establecidos por los organismos internacionales en los
procesos de auditora, estos son imprescindibles para
obtener ptimos resultados, producto de las actividades
y procesos realizados en una auditora de sistemas. Su
implementacin no solo le otorga beneficios al auditor en
la realizacin de sus labores, sino que tambin le brinda
a la organizacin auditada parmetros que deben seguir
para la mejora continua en el desarrollo de sus
actividades.