metodologia auditoria pmi

9

Rev. Tecnol. – Journal of Technology • Vol. 11 No. 1 - Enero a Junio 2012 - Sara María RomeroUna metodología para la gestión de proyectos de auditoría informática bajo el enfoque PMI p. 9-23

Una Metodología para la gestión de proyectos de Auditoría Informática bajo el enfoque PMI1

A Methodology for the information systems auditing project management under the PMI approach

Sara María Romero2

resumen

Para nadie es un secreto que la inadecuada planeación y/o ejecución de un proyecto causa pérdidas económicas, retrasos en la entrega de los proyectos y debilita la imagen institucional, por lo que debe planearse de tal forma que garantice las expectativas de calidad, alcance, costo y tiempo asegurando de esta manera el éxito del mismo. Así mismo, la competencia y la globalización están consolidando la gestión de los proyectos, como herramienta efectiva para lograr esa ventaja competitiva que las empresas requieren para cautivar los nichos de mercado.

En el artículo se propone una metodología para la gestión de los proyectos de Auditoría Informática bajo el enfoque PMI (Project Management Institute), que se ha aplicado con éxito en empresas de Norte de Santander y Venezuela tales como Centrales Eléctricas, Agencia de Aduanas Librexport, Club Epika, Tractogandolas, Comercializadora Ferronorte, Ferretería Ferremate, entre otras.

Palabras claves: Auditoría Informática, gestión de proyectos, proyecto, calidad, ventajas competitivas.

abstract

It is well known that an unsuitable planning or an inadequate implementation in a project makes economic losses, delayed delivery and also debilitates the company image, so that planning must be done to assure the quality, scope, and cost and time expectations to succeed. This way, project management is being consolidated by competition and globalization as the most effective tool to get the competitive advantage companies need to attract the niche markets.

This article suggests a methodology for the computing audit project management under the PMI (Project Management Institute) approach which has been used successfully by companies in Norte de Santander Department of Colombia and in Venezuela, such as Centrales Eléctricas (local electric company), Librexport customs agency, Epika Club, Tractogandolas, Ferrenorte Distributor, Ferremate Hardware store, and more.

Keywords: Information systems, project management, project, quality, competitive advantage.

1 Recibido: 06/02/2012. Aceptado: 22/03/2012. Artículo de investigación científica y tecnológica

2 Grupo GISOFT de la Universidad de Santander – UDES, Cúcuta, Norte de Santander. La autora declara no estar incursa en conflictos de interés.

• Diseño de Redes Telemáticas• Gerencia de Proyectos (INTERDISCIPLINAR)• Gerencia de Producción y Productividad• Salud y Ambiente (INTERDISCIPLINAR)• Seguridad en Redes Telemáticas

ESPECIALIZACIONES EN INGENIERÍA

• Especialización en Docencia Universitaria

ESPECIALIZACIONES EN EDUCACIÓN

• Doctorado en Bioética

• Maestría en Bioética• Maestría en Ciencias Básicas Biomédicas• Maestría en Docencia de la Educación Superior• Maestría en Psicología• Maestría en Psiquiatría Forense• Maestría en Salud Pública• Maestría en Salud Sexual y Reproductiva

• Bioética• Filosofía de la Ciencia• Epidemiología General• Epidemiología Clínica • Ergonomía• Gerencia de la Calidad en Salud • Higiene Industrial• Salud Familiar y Comunitaria• Salud Ocupacional

ESPECIALIZACIONES EN MEDICINA

• Psicología Médica y de la Salud• Psicología del Deporte y del Ejercicio• Psicología Ocupacional y Organizacional• Psicología Social Cooperación y Gestión Comunitaria• Psicología Clínica y Autoeficacia Personal• Psicología Clínica y Desarrollo Infantil

ESPECIALIZACIONES EN ODONTOLOGÍA

ESPECIALIZACIONES EN PSICOLOGÍA

• Anestesia Cardiovascular y Torácica• Anestesia y Reanimación FSFB• Anestesia y Reanimación HSB• Cardiología Adultos• Cardiología Pediátrica• Cirugía de Columna • Cirugía de Mano• Cirugía de Tórax• Cirugía General• Cirugía Plástica• Cirugía Vascular y Angiología• Dermatología• Gastroenterología Pediátrica• Ginecología y Obstetricia• Medicina Crítica y Cuidado Intensivo Pediátrico• Medicina Del Deporte• Medicina del Dolor y Cuidados Paliativos• Medicina Familiar• Medicina Física y Rehabilitación• Medicina Interna HSC• Nefrología pediátrica• Neonatología• Neumología • Neumología Pediátrica• Neurocirugía• Neurología• Oftalmología• Oncología Clínica• Ortopedia• Pediatría• Psiquiatría• Psiquiatría de Enlace e Interconsultas• Psiquiatría Infantil y del Adolescente• Radiología e Imágenes Diagnosticas• Reumatología pediátrica• Urología

DOCTORADO

MAESTRÍAS

• Cirugía Oral y Maxilofacial• Endodoncia• Ortodoncia• Odontología Pediátrica• Operatoria Dental Estética y Materiales Dentales• Patología Oral y Medios Diagnósticos• Periodoncia y Medicina Oral• Prostodoncia Énfasis en Odontología Estética

ESPECIALIZACIONES INTERDISCIPLINARIAS

DIVISIÓN DE POSGRADOSY FORMACIÓN AVANZADA

www.uelbosque.edu.coAv. carrera 9na calle 132, costado oriental - Edificio Fundadores - Bogotá D.C.Teléfonos (1)648 90 00 - 01 8000 11 30 33

facebook.com/universidadelbosque

@UElBosque

youtube.com/universidadelbosque

Institución de educación superior sujeta a inspección y vigilancia por el M.E.N. Registros SNIES: 51832, 11197, 52068, 91326, 54322, 51833, 91369, 53309, 8498, 12932, 10756, 53451, 54199, 54207, 20781, 3069, 5302, 51642, 51644, 10626, 3885,3060, 4852, 1794, 1795 , 3572, 1790, 1805, 52352, 1806, 1801, 2674, 52890, 1796, 1781, 1803, 15984, 15980, 1799, 1782, 7465, 20577, 1783, 52359, 1784, 52368, 1802, 52360, 7243, 1785, 1786, 11047, 5033, 1787, 1800, 1788, 1789, 1797, 1791, 1792, 1793, 54236, 53999,1798, 54776, 15689, 90330, 10531, 54713, 54377, 90475,

Única en Colombia

10


i. introducción

Es poco común encontrar proyectos terminados a tiempo, dentro del presupuesto y con la calidad esperada; por lo general se cumple uno o dos de estos requerimientos pero con mucho desgaste [1]. Así mismo, a nivel mundial cada día es mayor el número de empresas que trabajan por proyectos y la mayor parte del crecimiento futuro en las empresas será el resultado de proyectos de desarrollo exitosos que generan nuevos productos, servicios o procedimientos [2].

El gran avance de las Tecnologías de Información y Comunicación en los últimos años ha obligado a las empresas a invertir cantidades considerables de dinero y tiempo en la creación de sistemas de control interno siendo relevante el papel de la Auditoría Informática ya que permite recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva eficazmente los fines de la organización y utiliza eficientemente los recursos [3].

El objetivo general de la investigación fue el de proponer una metodología para la gestión de los proyectos de Auditoría Informática bajo el enfoque PMI y que garantice la eficacia, eficiencia y calidad de las auditorías informáticas realizadas por el equipo auditor de las empresas que la apliquen. Para lograr el objetivo propuesto, se diseñaron herramientas para los cinco grupos de procesos de la Dirección de Proyectos: Iniciación, Planeación, Ejecución, Seguimiento y Control y Cierre.

La investigación se desarrolló en cinco fases que cubrieran los cinco grupos de procesos mencionados anteriormente. En la primera fase se elaboró la metodología de Inicio en la cual se diseñaron las plantillas correspondientes al Acta Constitutiva y la Identificación de Involucrados; en la segunda fase se diseñaron los procedimientos y plantillas para llevar a cabo la Planificación del proyecto. Con el objetivo de administrar correctamente el proyecto se diseñó la metodología del Proceso de Ejecución de la Auditoría y posteriormente se propuso una metodología de Control donde se incorporaron herramientas para el control de la programación de actividades, Listas de Chequeo para el control de la Calidad, formatos para llevar un seguimiento de los cambios solicitados, mecanismos para gestionar la comunicación entre los involucrados en el proyecto y para controlar las capacitaciones y/o entrenamientos programados.

Una vez finalizado el proyecto, es importante que las empresas cuenten con el procedimiento a seguir en el

cierre del mismo, para ello, se diseñaron los formatos que les permitirán culminar exitosamente los proyectos de Auditoría Informática a cargo.

Finalmente, en las conclusiones se resumirán los resultados y reflexiones sobre el desarrollo del proyecto.

ii. metodología

En la investigación se usaron fuentes de información primaria y secundaria. Las fuentes de Información primaria son proporcionadas por los participantes en un suceso o acontecimiento [4], siendo importante para la investigación los aportes suministrados por los Auditores de la empresa JAHV McGregor y del Centro de Investigación CIDLISUIS.

Las fuentes de información secundaria suministran información básica reproducida en diferentes medios, cómo revistas, libros, prensa, documentos y tesis, entre otros [4]. Para el desarrollo del proyecto se utilizó la información de la Guía de los Fundamentos para la Dirección de Proyectos (Guía del PMBOK- Project Management Body of Knowledge), libros de Administración de Proyectos, de Auditoría Informática y direcciones electrónicas reconocidas relacionadas con Metodologías para el desarrollo de Auditorías Informáticas.

La Auditoría no sólo se trata de detectar errores: es un examen crítico que se realiza con el objeto de evaluar la eficiencia y eficacia de una sección o de un organismo, y determinar cursos alternativos de acción para mejorar la organización, y lograr los objetivos propuestos [5]. De igual forma la auditoría se comporta esencialmente como control detectivo, debido a la identificación que hace de debilidades de control, cuando ejecuta las pruebas de auditoría a nivel de cumplimiento, sustantivas o de doble finalidad [6]. En la actualidad existen tres tipos de metodologías de auditoría informática [7]:

• Evaluaciónderiesgos(R.O.A.).• Cheklist o Cuestionarios.• AuditoríadeProductos.

En sí las tres metodologías están basadas en la minimización de los riesgos, que se conseguirá en función de que existan los controles y de que éstos funcionen.

En el presente trabajo se utilizó una metodología para la evaluación de riesgos basada en las metodologías “RISK ANALISYS”, que se fundamenta en el estudio de los posibles riesgos desde el punto de vista de la probabilidad

11


de que los mismos sucedan. Piattini define el riesgo como la probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad que afectará el entorno informático y el impacto como la evaluación del efecto del riesgo y que se puede reducir mediante la implementación de controles apropiadamente diseñados [8].

iii. resultados

Un proyecto es un esfuerzo temporal que se lleva a cabo para crear un producto, servicio o resultado único [9] y surge como respuesta a una idea que busca la solución de un problema o la manera de aprovechar una oportunidad de negocio [10].

Así mismo, el diseño y desarrollo de proyectos comprende técnicas de definición de objetivos a largo y medio plazo, así como de evaluación de resultados y modificación del entorno de operación de la entidad para conseguir dichos objetivos [11].

La dirección de proyectos es la aplicación de conocimientos, habilidades, herramientas y técnicas a las actividades del proyecto para cumplir con los requisitos del mismo y se logra mediante la aplicación e integración adecuadas de los 42 procesos de la dirección de proyectos, agrupados lógicamente, que conforman los 5 grupos de procesos: Iniciación, Planificación, Ejecución, Seguimiento y Control, Cierre [9].

Los Grupos de Procesos de la Dirección de Proyectos se vinculan entre sí a través de los resultados que producen. Los grupos de procesos rara vez son eventos diferenciados o únicos; son actividades superpuestas que tienen lugar a lo largo de todo el proyecto. La salida de un proceso normalmente se convierte en la entrada para otro proceso o es un entregable del proyecto. El Grupo del Proceso de Planificación suministra al Grupo del Proceso de Ejecución el Plan para la Dirección del Proyecto y los documentos del proyecto y, conforme el proyecto avanza, a menudo exige actualizar el plan para la dirección del proyecto y dichos documentos (Anexo 1).

La metodología propuesta incluye los procesos de Inicio, Planeación, Ejecución, Seguimiento y Control y Cierre de un Proyecto de Auditoría Informática.

A. Diseño de la metodología del proceso de Inicio de proyectos de auditoría informática

El proceso de inicio de los proyectos de Auditoría Informática incluye la elaboración del Acta Constitutiva

y la Identificación de Involucrados, para el cual se han desarrollado las plantillas correspondientes a cada una.

Desarrollar el Acta Constitutiva es el proceso que consiste en desarrollar un documento que autoriza formalmente un proyecto o una fase y documentar los requisitos iniciales que satisfacen las necesidades y expectativas de los interesados [9].

Mediante el Acta de Constitución (Anexo 2) se inicia formalmente el proyecto, se establece al responsable de la auditoría en la empresa (patrocinador), se designa al Auditor Líder, así mismo se establece el tiempo de duración de las actividades de auditoría y permite definir los objetivos y alcances de la auditoría, relacionando los involucrados y las posibles restricciones y/o limitaciones que se puedan presentar en las actividades de auditoría con el fin de prevenirlas y cumplir exitosamente el desarrollo de la misma.

En la Identificación de Involucrados (Anexo 3) se especifica cada uno de los involucrados o personas que participan en los diferentes procesos y la importancia en el proyecto que puede ser Alta, Media o Baja.

B. Diseño de la metodología del proceso de Planificación de proyectos de auditoría informática

El Grupo del Proceso de Planificación lo conforman aquellos procesos realizados para establecer el alcance total del esfuerzo, definir y refinar los objetivos, y desarrollar la línea de acción requerida para alcanzar dichos objetivos. Los procesos de planificación desarrollan el plan para la dirección del proyecto y los documentos del proyecto que se utilizarán para llevarlo a cabo [9]. El intentar realizar un proyecto sin un plan es como intentar armar la bicicleta de un niño sin leer primero las instrucciones. Las personas que piensan que la planeación es innecesaria o que es una pérdida de tiempo, invariablemente después, necesitarán dedicar más tiempo para volver a hacer las cosas [12].

En este proceso se diseñaron las plantillas de Definición del Alcance, Estructura Desglosada de Tareas (EDT), programación de las Actividades, Aseguramiento de la Calidad, Capacitación del recurso humano y el sistema de comunicaciones que se empleará para garantizar el flujo de la información.

La fase de Planificación inicia con la Definición del Alcance (Anexo 4), la cual es una herramienta que garantizará

12


la verificación adecuada de los procesos y subprocesos a evaluar mediante la incorporación de los criterios de aceptación y de los riesgos o amenazas que se pueden presentar y que pueden poner en peligro el funcionamiento de las diferentes áreas de la empresa auditada. Para cada uno de los riesgos, se describen las causas y el respectivo plan de mitigación.

El siguiente paso en la Planificación es crear la EDT que es el proceso que consiste en subdividir los entregables y el trabajo del proyecto en componentes más pequeños y más fáciles de manejar [9]. La tabla I presenta la EDT para la metodología propuesta.

Una vez definida la EDT se procede a la Programación de las Actividades de la Auditoría apoyándose en el juicio experto del Auditor Líder a cargo de la misma. Para el caso de Auditorías especializadas, las actividades y fechas de realización son proporcionadas generalmente por la empresa que contrata. Se recomienda elaborar la programación de las actividades en el software Microsoft Project ya que facilita la programación y posteriormente se utiliza para el control en el cumplimiento de las mismas.

Tabla I. Plantilla de EDT genérico de una Auditoría Informática.

Metodología para la gestión de proyectos de Auditoría Informática bajo el enfoque PMI

PROYECTO <colocar el nombre del proyecto>

1. Metodología Proceso de Inicio de Auditoría Acta Constitutiva Identificar los Involucrados

2. Metodología Proceso de Planeación de Auditorías Definición del Alcance Creación de EDT Programación de las Actividades Aseguramiento de la Calidad Capacitación Recursos Humanos Elaboración sistema de Comunicaciones

3. Metodología Proceso de Ejecución de Auditorías Administración Proceso de Auditoría Administración Sistema de Comunicación Administración Control de Cambios Administración de la Calidad

4. Metodología Proceso de Seguimiento y Control de Auditorías Control de Cronograma Control de la Calidad Control de Cambios Control de Comunicaciones Control de Capacitaciones/Entrenamientos

5. Metodología de Cierre de Auditorías Cierre de la Auditoría Lecciones Aprendidas

En la tabla se visualiza un modelo de programación de actividades del Proyecto para el proceso de Inicio de la Auditoría, donde FI significa Fecha de Inicio de la Actividad y FF significa Fecha de Finalización de la misma (Anexo 5).

Realizar el Aseguramiento de la calidad del proyecto es el proceso que consiste en auditar los requisitos de calidad y los resultados de las medidas de control de calidad, para asegurar que se utilicen las normas de calidad apropiadas y las definiciones operacionales [9]. En la plantilla propuesta (Anexo 6) para cada una de las áreas de hardware, software, seguridad informática, documentación, comunicaciones, personal e instalaciones se identificarán los riesgos, las causas, las consecuencias, el impacto que genera, la probabilidad de ocurrencia y los criterios de aceptación.

En la planificación es importante diseñar programas de Capacitación del Recurso Humano para lo cual se recomienda al Coordinador de Proyectos, realizar anualmente un Diagnóstico de necesidades, con el fin de propiciar mejores niveles de desempeño. Posterior al diagnóstico se aplica el documento Plan de Desarrollo para cada colaborador (Anexo 7), el cual permitirá a la Gerencia conocer a futuro, el avance en las temáticas desarrolladas.

Los proyectos de auditoría deben contar con un sistema de comunicaciones (Anexo 8) que facilite la interacción entre los miembros de la empresa y los clientes.

C. Metodología del proceso de Ejecución de proyectos de auditoría informática

Este grupo de proceso implica coordinar personas y recursos, así como integrar y realizar las actividades del proyecto de conformidad con el plan para la dirección del proyecto. Mientras se está realizando el proyecto, es necesario supervisar el avance para asegurar que todo vaya de acuerdo al plan. Esto incluye medir el progreso real y compararlo con el planeado [12].

El primer paso en este proceso es la Administración del Proceso de Auditorías, para lo cual el Auditor Líder verificará el % de cumplimiento de las actividades planeadas en el cuadro de Programación de Actividades explicado en el proceso de Planificación. Si alguna de las actividades tiene un desfase mayor del 10%, el Auditor Líder establecerá los correctivos necesarios para cumplir efectivamente con el cronograma.

13


Así mismo, se recomienda establecer el Comité administrativo que será el encargado de declarar una situación de contingencia y que estará conformado por los siguientes miembros:

• PersonaqueactúacomoPatrocinadorporpartedela empresa: Líder de Auditoría

• Funcionariosdeapoyotécnicodelaempresaquecontrata el servicio.

En el proceso de ejecución es importante establecer la Administración del Sistema de Comunicaciones, para lo cual el Coordinador de Proyectos será el encargado de solicitar el informe de Estado de Auditoría (Anexo 9), el cual será diligenciado por el Auditor Líder y quien será el responsable de emitir los Informes de Auditoría que permitirán a los interesados del proyecto conocer la información relevante de los procesos auditados.

La Administración del Control de Cambios apoya los requisitos de calidad de los procesos auditados, facilita la trazabilidad y el seguimiento de las solicitudes de cambio al ambiente productivo, las cuales se pueden originar por modificación en el alcance, en el presupuesto, en el cronograma, en las adquisiciones, en los recursos, en la calidad o en las comunicaciones.

El primer paso en la administración del Control de Cambios es gestionar el documento Solicitud de Cambios, el cual será enviado al Auditor Líder del proyecto, quien se encargará de estudiar la viabilidad de la misma y procederá a la fase de autorización, en la cual asignará un número consecutivo y revisará el motivo del cambio solicitado. Si es viable, asignará el Status de Aprobada a la solicitud y se enviará una notificación vía correo electrónico a las personas involucradas en la solicitud, en caso contrario, el Status será de Rechazada y se notificará vía correo electrónico a las personas involucradas en la solicitud para que se le hagan los respectivos ajustes y vuelva a ser estudiada en la etapa de Autorización.

Posteriormente se inicia la fase de Preparación en la cual se revisa la documentación. En el caso de que la solicitud no cumpla con los requisitos de documentación establecidos, el responsable de la Preparación anotará los comentarios sobre la solicitud y los enviará al Auditor Líder, quien se encargará de analizarlos y avalará la decisión mediante el diligenciamiento de la sección de Cierre del documento Control de Cambios (Anexo 10) descrito en la metodología del Proceso de Control y Seguimiento.

La finalización a satisfacción de los proyectos de Auditoría Informática radica en la neutralización exitosa de los posibles riesgos que se puedan presentar durante el desarrollo de los mismos, para ello se diseñó la plantilla para el Plan de Contingencias (Anexo 11), como elemento fundamental en la Administración de la Calidad. El Plan de Contingencias es una estrategia planificada constituida por: un conjunto de recursos de respaldo, una organización de emergencia y unos procedimientos de actuación encaminada a conseguir una restauración progresiva y ágil de los servicios de negocio afectados por una paralización total o parcial de la capacidad operativa de la empresa [13].

D. Metodología del proceso de Seguimiento y Control de proyectos de auditoría informática

Este grupo de procesos permite supervisar, analizar y regular el progreso y el desempeño del proyecto, para identificar áreas en las que el plan requiera cambios y para iniciar los cambios correspondientes. Con el fin de realizar el seguimiento de los proyectos de Auditoría Informática se diseñaron las plantillas de Control de la Programación (Anexo 12), Control de la Calidad, Control de Cambios, Control de Comunicaciones y Control de Capacitaciones/ Entrenamientos.

Control de la Programación. Este control se desarrollará mediante el seguimiento de las actividades programadas en MS Project, el cual será enviado semanalmente por el Auditor Líder al Coordinador de Proyectos de Consultoría y Asesoría.

El Coordinador de Proyectos de Consultoría y Asesoría realizará el seguimiento a las actividades desarrolladas por el Líder de Auditoría revisando que la Duración Real no esté desfasada con relación a la Duración Prevista y que la demora permisible no sea mayor de 3 días. Seguidamente verificará que el porcentaje completado de cada tarea sea cercano al 100% para cada una de las actividades ejecutadas. Si hay un desfase mayor del 10%, el Director de Proyectos de Consultoría establecerá los correctivos necesarios para cumplir efectivamente con el desarrollo de cada uno de los entregables.

Control de la calidad. Mediante la Lista de Chequeo de Riesgos Informáticos (Anexo 13) el Auditor Líder seleccionará SI, en el caso de que se evidencien los controles o criterios de aceptación señalados, NO, en caso contrario, o N/A (No Aplica), en los casos en los

14


que no es necesaria la aplicación del control en el criterio evaluado.

Control de cambios. Una vez aprobada la Solicitud de Cambio al proyecto, el Auditor Líder monitoreará la ejecución efectiva de los cambios propuestos. Para ello se sugiere el cumplimiento de las fases de Prueba, Implantación y Cierre. Cada una de las fases nombradas requiere el monitoreo de la persona responsable de avalar cada una, el cual diligenciará el formato de Control de Cambios (Anexo 14).

• Fase de Prueba: Permite verificar la funcionalidad del cambio realizado, registrar la fecha de la prueba, las observaciones y el estatus que se le dará al cambio, ya sea de Aprobado o Rechazado.

• Fase de Implantación: Consiste en migrar el cambio al ambiente productivo. Una vez que el cambio fue probado exitosamente, el Auditor Líder asignará un responsable de la implantación del cambio, al cual se le enviará una notificación.

• Fase de Cierre: En esta fase el Patrocinador verificará que la modificación ha sido implantada satisfactoriamente en el ambiente de Producción. Finalizada la verificación, procederá a diligenciar el formato de Control de Cambios en la sección de Cierre. En el caso de que el Patrocinador apruebe el cambio, el Auditor Líder firmará el documento y colocará el sello de “Procesada” a la Solicitud que generó el cambio y procederá a archivarla. En caso contrario, el control de cambio retornará a la fase de Implantación.

Control de comunicaciones. Permite establecer los documentos que se enviarán, quién los gestionará, la periodicidad y el destinatario del documento enviado. Los miembros del equipo del proyecto utilizarán el correo electrónico como medio para el envío de la información. Para controlar las comunicaciones del proyecto se hará uso de la Matriz de Comunicaciones (Anexo 15) la cual se utiliza para mantener informados a los involucrados y asegurar una comunicación efectiva. Incluye los reportes de avance, los documentos de planeación relevantes, la periodicidad y los medios de la distribución de la información, así como el responsable de emitir el reporte [1].

Control de Capacitaciones / Entrenamientos: Es importante que el Gerente o su encargado controle mensualmente que las capacitaciones y entrenamientos programados por

la Coordinación de Proyectos, se cumplan a cabalidad, para lo cual se registrarán los entrenamientos requeridos por cada trabajador en el formato de Seguimiento al Plan de Desarrollo Individual (Anexo 16). Si la temática revisada presenta un estatus de Atrasada se establecerá el correctivo necesario, con el fin de garantizar la terminación a tiempo de las actividades programadas.

E. Metodología del proceso de Cierre de proyectos de auditoría informática

Los grupos de procesos de cierre son dos: los ligados con el cierre del propio proyecto o fase, y los relacionados con el cierre de los procesos de adquisición de bienes y servicios [14]. El Líder de Auditoría es el responsable de la elaboración de los siguientes documentos de Cierre: Informe de la Auditoría (Anexo 17), Relación de Activos de Procesos generados en el Proyecto de Auditoría (Anexo 18), Lecciones Aprendidas del Proyecto (Anexo 19) y Acta de Cierre del Proyecto de Auditoría (Anexo 20).

Cada proyecto debe ser considerado diferente del anterior y lo que se puede obtener de él es una serie de “lecciones aprendidas”, que permitan hacer mejor el trabajo actual [15].

iV. conclusiones

Con el desarrollo de la propuesta se vió la importancia del proceso de la planeación para la terminación exitosa de los proyectos, dicho proceso de planeación se constituirá en un soporte para el Líder de Auditoría, durante la ejecución de los proyectos a cargo.

La metodología abarca los procedimientos y plantillas que diligenciará el equipo de auditoría en los cinco grupos de procesos de la dirección de proyectos: Iniciación, Planificación, Ejecución, Seguimiento y control y Cierre. En el proceso de Iniciación, se diseñó el Acta de Constitución, el cual formaliza el proyecto y se establece el equipo que participará en los procesos objeto de la auditoría.

En el proceso de Planificación se elaboraron las plantillas para definir el Alcance, crear la EDT, programar las Actividades, asegurar la Calidad, diagnosticar las necesidades de capacitación del equipo del proyecto y establecer el sistema de Comunicaciones, las cuales serán de gran ayuda en la administración de las actividades del proyecto a ejecutar.

15


En el proceso de Ejecución, la metodología incorpora plantillas para la administración de las actividades de la Auditoría, del Sistema de Comunicaciones, del Control de Cambios y de la Calidad de los entregables del proyecto.

Como aspecto fundamental se destacan las herramientas utilizadas en el proceso de Seguimiento y control a los subprocesos del cronograma, de la calidad de los entregables, de los cambios solicitados y de las Capacitaciones/Entrenamientos planeadas.

Así mismo, en el proceso de Cierre se diseñaron las plantillas: Informe de Auditoría, Relación de Activos de Procesos, Lecciones Aprendidas y el Checklist de Cierre del Proyecto, las cuales permiten culminar a satisfacción de los interesados la ejecución del mismo.

Para concluir, pongo a disposición la metodología propuesta, la cual se constituye en una herramienta de apoyo para la gestión de los proyectos en las empresas, centros y grupos de investigación que brinden servicios de Auditoría Informática.

referencias

[1] Y. Chamoun, Administración Profesional de Proyectos: La Guía. México: McGraw-Hill, 2002.

[2] R. Graham & R. Englund, Administración de Proyectos Exitosos. México: Pearson Educación, 1999.

[3] M. Piattini, Auditoría Informática: Un enfoque práctico. Madrid: Alfaomega, 2001, p. 28.

[4] C. Méndez, Metodología Guía para Elaborar Diseños de Investigación en Ciencias Económicas, Contables y Administrativas. Bogotá: McGraw-Hill, 2003.

[5] J. Echenique, Auditoría en Informática. México: McGraw-Hill, 2001.

[6] J. Pinilla, Auditoría Informática: Aplicaciones en Producción. Bogotá: ECOE, 1997.



[9] Project Management Institute. Guía de los Fundamentos de la Dirección de Proyectos. Pennsylvannia: PMI Publications, 2008.

[10] N. Sapag & R. Sapag. Preparación y Evaluación de Proyectos. México: McGraw-Hill, 2008.

[11] A. Drudis. Gestión de Proyectos. Barcelona: Gestión 2000, 2002.

[12] G. Clements. Administración exitosa de proyectos. Ed. México: Thomson Editores, 2003.

[13] M. Piattini, Auditoría Informática: Un enfoque práctico. Ed. Madrid: Alfaomega, 2001, p. 60.

[14] R. Fonseca. (2009, Septiembre). Buenas prácticas en administración de proyectos: los grupos de procesos. Revista Construir. [Online] Available: http://www.revistaconstruir.com/administracion-de-proyectos/48-buenas-practicas-en-administracion-de-proyectos-los-grupos-de-procesos.html.

[15] R. Fonseca. (2009, Marzo). La necesidad de la Administración de Proyectos como disciplina profesional. Revista Construir. [Online] Available: http://www.revistaconstruir.com/administracion-de-proyectos/50-la-administracion-de-proyectos-como-disciplina-profesional.html.

autora

Sara María Romero

Auditora externa del Centro de Investigación CIDLISUIS en el proyecto PMT II de la Registraduría Nacional del Estado Civil y de la empresa JAHV McGregor en el proceso electoral 2010. Miembro principal del Comité de Desarrollo Empresarial y creadora de la estrategia de Responsabilidad Social Empresarial de Fundación Coomeva.

Magister en Administración de Proyectos de la Universidad para la Cooperación Internacional de Costa Rica UCI, Ingeniera de Sistemas, docente investigadora del grupo GISOFT de la Universidad de

Santander – UDES- y miembro del Sistema de Evaluadores Reconocidos del Sistema Nacional de Ciencia y Tecnología.e-mail: [email protected].

16


anexos

Anexo 1. Figura que relaciona la interacción de los grupos de procesos en una fase o proyecto. Esta gráfica ha sido tomada del PMBOK [9].

Anexo 2. Plantilla Acta Constitutiva de la Auditoría.

ACTA CONSTITUTIVA DE LA AUDITORÍA PROYECTO <colocar el nombre del proyecto>

INFORMACIÓN PRELIMINAR

Fecha: Nombre de la Auditoría:

Patrocinador: Auditor Líder:

Fecha de inicio: Fecha de finalización:

Objetivos (General y Específicos):

DESCRIPCIÓN GENERAL DE LAS ACTIVIDADES DE AUDITORÍA

RESTRICCIONES Y/O LIMITACIONES

IDENTIFICACIÓN DE GRUPOS DE INTERÉS (STAKEHOLDERS)

FECHA DE ENTREGA DE INFORMES PARCIALES

Fecha Hora Proceso / actividad Personal auditado

Elaborado: Aprobado

17


Anexo 3. Plantilla Identificación de Involucrados.

IDENTIFICACIÓN DE INVOLUCRADOSPROYECTO <colocar el nombre del proyecto>

INVOLUCRADO PROCESOS EN LOS QUE PARTICIPA IMPORTANCIA

Anexo 4. Plantilla para la Definición del Alcance del Proyecto.

DEFINICIÓN DEL ALCANCE DE LA AUDITORÍAPROYECTO <colocar el nombre del proyecto>

Fecha: Nombre de la Auditoría

Objetivo General de la Auditoría:

Entregables y criterios de aceptación

Entregable Descripción Criterios de aceptación

Riesgos inherentes a los entregables

Nombre del riesgo Causas de Riesgo Plan de mitigación

Anexo 5. Plantilla Programación de actividades proceso de Inicio.

PROGRAMACIÓN DE ACTIVIDADES PROCESO DE INICIOPROYECTO <colocar el nombre del proyecto>

Id Nombre de la tarea Duración Comienzo Fin Predeces.

1 Cronograma de actividades del proyecto X N días FI FF

2 Fase de Inicio del proyecto N días FI FF

3 Elaborar y enviar la propuesta N días FI FF

4 Realizar reunión con funcionarios de la empresa contratante N días FI FF 3

5 Elaborar el Acta Constitutiva N días FI FF 4

6 Identificar los Involucrados N días FI FF 5

18


Anexo 6. Plantilla Matriz de Aseguramiento de la Calidad del proyecto.

MATRIZ DE ASEGURAMIENTO DE LA CALIDADPROYECTO <colocar el nombre del proyecto>

ÁreaEvaluación Riesgos Inherentes Criterios de

Aceptación

Riesgo Causas Consecuencias Impacto Probabilidad

Anexo 7. Plantilla Plan de Desarrollo Individual.

PLAN DE DESARROLLO INDIVIDUAL

Nombre del Colaborador:

Fecha:

Temáticas Tiempo para lograrlo Entrenamiento requerido

Temática1 N meses Lista de Temas

Temática2 N meses Lista de Temas

Anexo 8 La figura representa el Sistema de Comunicaciones propuesto para Proyectos de Auditoría Informática.

Sistema de Comunicaciones

Comunicación Interna

Coordinador de Proyectos

Documenta y controla el Plan de

Capacitación

Establece los mecanismos de

interacción

Revisa informe Estado de Auditoria

Líder de Auditoria

Establece el proceso para distribución de

comunicaciones

Comunicación Externa

Coordinador de Proyectos

Aprueba los informes de: Ac�vos de

Procesos y Lecciones Aprendidas

Líder de Auditoria

Elabora informes de Auditoría

Ges�ón de Solicitudes de Cambio

19


Anexo 9. Plantilla Informe de Estado de Auditoría.

INFORME DE ESTADO DE AUDITORÍAPROYECTO <colocar el nombre del proyecto>

Para: <nombre de la persona o personas a quienes va dirigido el informe>De: <nombre de la persona que envía el informe>Fecha: <fecha de emisión del informe>

Alcance <Indicar estatus actual del alcance>

Cronograma <Indicar estado actual del cronograma: Atrasado/Adelantado/A tiempo>

Desarrollo de Actividades

<Indicar porcentaje de avance de las actividades>

Observaciones

Anexo 10. Plantilla Solicitud de cambios.

SOLICITUD DE CAMBIOSPROYECTO <colocar el nombre del proyecto>

Persona (s) que solicita(n) el cambio: Fecha de la solicitud: Solicitud Número:

Tipo de Cambio

Alcance

Presupuesto

Cronograma

Adquisiciones

Recursos

Calidad

Comunicaciones

Riesgos

Otros

Razón del cambio:

Solicitud del cliente

Errores u omisiones

Condiciones inesperadas

Oportunidad de ahorro

Orden de cambio

Descripción del cambio:

Efecto en el costo:

Efecto en el cronograma:

Observaciones:

20


Anexo 11. Plantilla Plan de Contingencias.

PLAN DE CONTINGENCIASPROYECTO <colocar el nombre del proyecto>

RIESGO CAUSAS CONSECUENCIAS ALTERNATIVA1 ALTERNATIVA2 ALTERNATIVA3 RESPONSABLE

Anexo 12. Plantilla Control de la Programación.

CONTROL DE LA PROGRAMACIÓNPROYECTO <colocar el nombre del proyecto>

Id Nombre de la tarea

Duración Real

Duración Prevista

% Completado

Variación de Duración Comienzo Fin Demora

Permisible

Anexo 13. Plantilla Lista de Chequeo.

LISTA DE CHEQUEO RIESGOS INFORMÁTICOSPROYECTO <colocar el nombre del proyecto>

ÁREA RIESGO CRITERIO DE ACEPTACIÓNCUMPLIMIENTO

OBSERVACIONESSI NO N/A

Anexo 14. Plantilla de Control de Cambios.

CONTROL DE CAMBIOSPROYECTO <colocar el nombre del proyecto>

FASEFECHA

<Registrar la fecha>

OBSERVACIONES<Registrar las evidencias que soportan el cambio>

ESTATUS <Aprobado/Rechazado>

RESPONSABLE<Persona que aprueba

la modificación>

NOMBRE CARG O

Solicitud

Autorización

Preparación

Pruebas

Implantación

Cierre

Auditor Líder: Firma Auditor Líder:

21


Anexo 15 Plantilla Matriz de Comunicaciones.

MATRIZ DE COMUNICACIONESPROYECTO <colocar el nombre del proyecto>

InvolucradoInforme de

TiempoInforme de Actividades

Solicitud Patrocinador

Solicitud de Cambios

Reuniones Internas

Informes de Inicio

Informes de Cierre

Auditor Líder SC SC RC IP FP

Coordinador de Proyectos RM

Patrocinador RA RM

Miembros del Equipo

RP RA

Simbología utilizada:Frecuencia de envío del Informe Destinatario del InformeSemanal (S) Auditor Líder (A)Al inicio de la auditoría (I) Coordinador de Proyectos (C) Al finalizar la auditoría (F) Patrocinador (P)Cuando sea requerido (R) Miembros del Equipo (M)

Anexo 16. Plantilla Seguimiento al Plan de Desarrollo Individual.

SEGUIMIENTO AL PLAN DE DESARROLLO INDIVIDUAL

Nombre del Colaborador:

Fecha:

TemáticasTiempo

para lograrloEntrenamiento

requeridoEstatus del entrenamiento

<A tiempo/Atrasado>Fecha

de revisiónComentarios

Anexo 17. Plantilla Informe de Auditoría.

INFORME DE AUDITORÍAPROYECTO: <colocar el nombre del proyecto>

PATROCINADOR: AUDITOR LÍDER:

OBJETIVO GENERAL DE LA AUDITORÍA:

PROCESOS AUDITADOS FECHA LUGAR

ÁREA CRITERIO DE ACEPTACIÓNCUMPLE

HALLAZGO RECOMENDACIONESSI NO NA

ELABORADO <Auditor Líder> APROBADO <Patrocinador>

22


Anexo 18. Relación de Activos de los Procesos generados en el Proyecto de Auditoría.

RELACIÓN DE ACTIVOS DE PROCESOSPROYECTO: <colocar el nombre del proyecto>

Código del Activo

Nombre DescripciónFecha de

AlmacenamientoLugar de

almacenamientoObservaciones

ELABORADO <Auditor Líder> APROBADO <Coordinador de Proyectos>

Anexo 19 Lecciones Aprendidas en el Proyecto de Auditoría.

RELACIÓN DE LECCIONES APRENDIDASPROYECTO: <colocar el nombre del proyecto>

Código de Lección Aprendida

Entregable afectado

Descripción y Causa del problema

Acción Correctiva

Resultado obtenido

Lección Aprendida

ELABORADO <Auditor Líder> APROBADO <Coordinador de Proyectos>

23


Anexo 20. Informe de Cierre del proyecto de Auditoría.

INFORME DE CIERRE DEL PROYECTOPROYECTO: <colocar el nombre del proyecto>

Rol Nombre

Patrocinador

Líder de Auditoría

Miembros de apoyo del equipo

EVALUACIÓN DE LOS OBJETIVOS DEL PROYECTO

Objetivo General ¿Cumple? Observaciones

OBJETIVO GENERAL:<Escribir el Objetivo General del Proyecto>

SI / NO<Cumple parcialmente, ¿por qué?

/ No cumple, ¿por qué?>

Objetivos Específicos ¿Cumple? Observaciones

<Escribir los Objetivos Específicos del Proyecto> SI / NO<Cumple parcialmente, ¿por qué?

/ No cumple, ¿por qué?>

EVALUACIÓN DE LOS ENTREGABLES

Entregable ¿Cumple? Observaciones

<Detallar lista de entregables> SI / NO

Cumplimiento en la realización de cada uno de los entregables declarados en la Definición del alcance de la auditoría.

Si durante el desarrollo del proyecto, no se cumplió con algún entregable, indicar las dificultades presentadas.

ELABORADO <Auditor Líder> APROBADO <Patrocinador>

metodologia auditoria pmi

Documents

gestin de proyectos

biotica maestra

and cost and

the company image

assure the quality

psicologa maestra

salud pblica maestra

get the competitive