Cceres Meza.

Metodologa propuesta para la auditora de normas de calidad

Metodologa Propuesta Para La Auditora De Normas De Calidad Que Apoyen La Gestin de Clientes En Una Empresa Proveedora de Internet
Jack Daniel Cceres Mezai Facultad de Ingeniera Electrnica y Elctrica, Universidad Nacional Mayor de San Marcos, Lima, Per

Resumen Este trabajo apoya la tesis Propuesta Para La Implementacin De Normas De Calidad Que Apoyen La Gestin De Clientes En Una Empresa Proveedora De Internet para optar el grado de magster, y trata especficamente la metodologa que se seguir para auditar empresas de tamao medio que proveen servicios de Internet. En general, una empresa debe justificar la inversin que realiza en tecnologa, en trminos de eficacia y eficiencia, y debe asegurar adems que los objetivos estratgicos de sus sistemas de informacin estn alineados con sus propios objetivos estratgicos, en todo momento. Para esto necesita una auditora. El objetivo de este trabajo es proveer una metodologa apropiada de auditora para el entorno de las telecomunicaciones, enfocada en la gestin de clientes, y no solo utilizar una de las muchas metodologas existentes que se enfocan exclusivamente en los sistemas de informacin. Abstract- This work supports the thesis "Proposed implementation of Quality Standards to support client management in an Internet provider ", for the degree of Master, and specifically addresses the methodology to be used to audit mid-sized companies that provide Internet services. In general, a company must justify the investment made in technology, in terms of effectiveness and efficiency, and should also ensure that the strategic objectives of its information systems are aligned with its strategic objectives at all times. For this you need an audit. The aim of this paper is to provide an appropriate audit methodology for the telecommunications environment, focusing on customer management, and not just use one of the many methodologies that focus exclusively on information systems. Palabras clave imparcialidad, competencia, proceso, auditora, sistema de gestin, calidad, efectividad, mejora continua, buenas prcticas en las TIC, seguridad de la informacin.
i

Keywords- impartiality, competence, process, audit, management system, quality, effectiveness, continuous improvement, best practices in ICT, information security.

I.

INTRODUCCIN

na parte importante de la infraestructura de un proveedor de servicios Internet -ISP- se relaciona con su gestin, control y mejora, as como la manera en que se solucionan problemas y se provee seguridad a la informacin. En este contexto, la infraestructura fsica (Telco 1.01) o virtual (Telco 2.02) que provee los servicios crticos entregados a los usuarios es gestionada por reas tcnicas especializadas. En estas reas es particularmente importante -sino obligatoria en la actualidad- la aplicacin de buenas prcticas en la industria y normativas internacionales como ISO, para garantizar la calidad del servicio prestado, as como su efectividad. Las Telco 1.0 han seguido estndares que, en muchos casos, son diferentes a los que utilizamos en el mbito de las Tecnologas de la Informacin y las Comunicaciones -TIC; sin embargo, conforme anota Nolle [1], la aplicacin de buenas prcticas y normas internacionales del mundo de las TIC es perfectamente pertinente en el mundo de las telecomunicaciones porque la fusin de las infraestructuras de red con las tecnologas de la informacin es un hecho natural ya que todo equipo moderno se basa en estndares de la arquitectura orientada a servicios SOA. Y as lo confirma la norma ISO 27011 [2] al establecer que

Jack Daniel Cceres Meza, e-mail: jack_caceres@hotmail.com. Este trabajo ha sido desarrollado sobre la base de informacin recolectada en la Red Cientfica Peruana.

1 2

Empresas operadoras. Empresas que sub arriendan infraestructura fsica a las Telco 1.0 y entregan servicios de valor agregado.

Cceres Meza. Metodologa propuesta para la auditora de normas de calidad

para las empresas de telecomunicaciones, la informacin y los procesos de apoyo, instalaciones de telecomunicaciones, redes y lneas son activos importantes del negocio; por tanto, la gestin de la seguridad de la informacin es sumamente necesaria con la finalidad de que las empresas de telecomunicaciones puedan manejar estos activos del negocio de manera apropiada, y continuar con sus actividades de forma correcta y satisfactoria. En general, una empresa debe justificar la inversin que realiza en tecnologa, en trminos de eficacia y eficiencia, y debe asegurar adems que los objetivos estratgicos de sus sistemas de informacin estn alineados con sus propios objetivos estratgicos, en todo momento. Para esto la empresa necesita una auditora. El resto de este trabajo est organizado de la manera descrita a continuacin. En la seccin 2 se desarrolla el Marco Terico respectivo, donde diferenciamos el tipo de auditora que deseamos establecer para una empresa de telecomunicaciones de la empleada para los sistemas de informacin. La seccin 3 describe el Mtodo que se seguir. La Metodologa se muestra en la seccin 4. Finalmente, en la seccin 5 se encuentran las Conclusiones.

El Instituto de Auditores Internos [6] ha definido a la auditora interna como: Una actividad de consultora independiente, que establece una confianza objetiva, y que est diseada para aadir valor y mejorar las operaciones de una organizacin. Apoya a que una organizacin logre sus objetivos, al brindar un acercamiento sistemtico y disciplinado para evaluar y mejorar la eficacia del riesgo administrativo, el control y los procesos de gobierno 1) Auditora de telecomunicaciones Una auditora de telecomunicaciones es una evaluacin del ambiente de telecomunicaciones de una organizacin. Sus objetivos son: la seguridad; cumplimiento de la poltica establecida; eficiencia de procesos; eficacia de costos; efectividad del servicio; apoyo de las telecomunicaciones a los objetivos del negocio; cumplimiento legal y regulatorio; comprobacin del cumplimiento de las condiciones de uso; otros. Una apropiada auditora de telecomunicaciones debera incluir todos los tipos de telecomunicaciones: voz, vdeo, y datos, y abarcar todo el equipo de telecomunicaciones, servicios, seguridad, polticas, planes de desarrollo y capacidad, poltica de continuidad del negocio, gastos utilizados por la organizacin, otros. 2) Auditora en Informtica En Informtica una auditora implica la revisin y evaluacin de los procesos, controles (preventivos, de deteccin, correctivos, alternativos o compensatorios), sistemas, procedimientos de informtica, seguridad de datos y de la red, continuidad, aplicaciones, disponibilidad, confidencialidad e integridad de los datos, mapeo de datos, anlisis de necesidades, inventario de los equipos de cmputo, gestin, utilizacin y eficiencia, que participan en el procesamiento de la informacin de la organizacin a fin de que, una vez evaluado el nivel de exposicin (cuantitativa y cualitativamente), por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones. 3) Auditora de la calidad La auditora de la calidad es una herramienta de gestin empleada para verificar y evaluar las

II.

MARCO TERICO

A. Definicin de auditora La auditora constituye una herramienta de control y supervisin que contribuye a la creacin de una cultura de la disciplina de la organizacin, al ocuparse fundamentalmente del conjunto de medidas, polticas y procedimientos establecidos en las empresas para proteger el activo, minimizar las posibilidades de fraude, incrementar la eficiencia operativa y optimizar la calidad de la informacin en general Morell [3]. Segn Hevia [4], ayuda a la organizacin a cumplir sus objetivos aportando un enfoque sistemtico y disciplinado para evaluar y mejorar la efectividad de los procesos de gestin de riesgos, control y direccin. La norma internacional conjunta sobre auditoras de calidad y del ambiente NTP 19011 [5], define auditora como: Un proceso sistemtico, independiente y documentado para obtener evidencia capaz de ser interpretada y evaluada objetivamente para determinar la extensin en la que el criterio auditor ha sido cumplido.

Cceres Meza. Metodologa propuesta para la auditora de normas de calidad

actividades relacionadas con la calidad en el seno de una organizacin (gestionempresarial.info). Se audita el Sistema de calidad de una empresa3. Desde el punto de vista del aseguramiento de la calidad, se deber auditar la observacin de las siguientes disciplinas, saber hacer y hacer bien las cosas: Documentar las tareas que se realizan, ya que si no estamos en capacidad de describir claramente un trabajo, difcilmente podremos mejorarlo de forma consistente. Realizar las tareas conforme a lo documentado, ya que tenemos una referencia; si algo cambia en la ejecucin, sta se debe documentar y, por tanto, se debe actualizar la documentacin original. Registrar lo realizado, con la finalidad de examinar la calidad de lo ejecutado e identificar las causas de los problemas, si hubieran. Verificar, de modo peridico, que se estn alcanzando los objetivos previstos por la organizacin. Actuar sobre la diferencia es decir, cuando detectemos un problema, existente o potencial, se acta sobre l4. 4) Otros conceptos de auditora La International Civil Aviation Organization ICAO- [7], ordena los tipos de auditoras enfocados en las recomendaciones internacionales: las auditoras internas, denominadas como auditoras de primera parte; y las auditoras externas, o auditoras de segunda y tercera parte. De Di Bello [8] y otros autores, podemos resumir que toda auditora interna: Debe agregar valor: capacidad para aportar comentarios que permitan a nuestras organizaciones ganar en productividad, mejorar

procesos, disminuir costos, mejorar los servicios para contar con clientes satisfechos y aumentar la relacin riesgo/retorno. Debe ser pro-activa: compromiso con un doble propsito de prevencin y docencia; prevencin a travs de la docencia. Tiene el propsito de prevencin: al asegurar5 a la empresa que sus colaboradores no ocasionen dao o prdida patrimonial o sean objeto de instancias disciplinarias por desconocimiento de normativas legales y /o reglamentarias, o de otra ndole. Es una actividad de consultora: asesora y provee servicios relacionados, de naturaleza y alcances diversos, previamente acordados y dirigidos a aadir valor y a mejorar las operaciones, los procesos de gobierno y gestin de riesgos. Es una responsabilidad de todo el personal de la organizacin. El auditor interno solo evala la efectividad de los sistemas de control de la organizacin.

III. MTODO Se desarrollar una metodologa que permita a la empresa de telecomunicaciones una adecuada auditora interna de cumplimiento, con miras a una futura certificacin. La metodologa abarcar los procesos, polticas, normas y procedimientos internos que hayan sido desarrollados empleando las normas peruanas NTP ISO 9001:2000 [5], Gestin de la mejora continua; NTP ISO/IEC 27002 [5], Gestin de la seguridad de la informacin, y la aplicacin especfica ISO/IEC 27011:2008, Directrices de seguridad de la informacin para empresas de telecomunicaciones teniendo como base la norma ISO/IE 27002 [2]; NTP ISO/IEC 20000 2 [5], Gestin de servicios de TI; y sistemas de gestin como ISO/IEC 27001 [2] e ISO/IEC 20000-1 [2]. Con la finalidad de asegurar los aspectos de imparcialidad, competencia y proceso de la auditora, utilizaremos los lineamientos establecidos por la norma internacional ISO/IEC 17021:2006 [2], Requisitos para los organismos que realizan la 6 auditora y la certificacin de sistemas de gestin .
5

Este Sistema de calidad es un conjunto de la estructura, responsabilidades, actividades, recursos y procedimientos de la organizacin de una empresa, que sta establece para llevar a cabo la gestin de la calidad. El sistema se basa en dos manuales: el manual de calidad, que sintetiza la poltica de la empresa en cuanto a la calidad; y el manual de procedimientos, que detalla los procedimientos operativos con actores, correccin, precisin, claridad, complecin, pertinencia. Se investigan las causas y se registra el resultado de la investigacin. Se toman medidas para solucionarlo y para evitar que se repita, se comprueba la eficacia de las medidas correctivas, y se apropia y difunde clara y detalladamente el proceso completo incorporndolo a la documentacin como lecciones aprendidas.

El aseguramiento debe darse, entre otras opciones, mediante induccin, definicin clara de funciones y mtodo de evaluacin del desempeo, difusin y capacitacin continua, apropiada, clara, correcta, suficiente, y completa con manuales y procedimientos de los procesos y operativa de la empresa. De acuerdo con Bureau Veritas Mxico [9], esta norma est diseada para tratar los tres principales temas de preocupacin particular para

Cceres Meza. Metodologa propuesta para la auditora de normas de calidad

Es ms, podemos identificar algunos atributos importantes para esta norma que estn directamente relacionados con la calidad del servicio prestado y son los siguientes: responsabilidad; transparencia; confidencialidad; receptividad; y respuesta oportuna a las reclamaciones. Para ejecutar la auditora propuesta emplearemos la norma NTP 19011:2003, Directrices para la auditora de los sistemas de gestin [5], aplicable a todas las organizaciones que tienen que realizar auditoras internas o externas de sistemas de gestin o que gestionan un programa de auditora.

lgica que permita luego realizar una crtica objetiva del hecho o rea examinada. A continuacin se expone la metodologa sugerida para ejecutar la auditora interna en empresas de telecomunicaciones:
1 2 2.1 2.2 Inicio de la auditora. Preparacin y planificacin: Designacin del lder del equipo auditor. Definicin de los objetivos, mbito, alcance (lo que estar comprendido y lo que no estar comprendido), y los criterios de auditora. Determinacin de la viabilidad de la auditora. Determinacin de los recursos que puedan ser requeridos y cundo intervendrn. Se debe tener en cuanta las limitaciones de los recursos, disponibilidad, seguridad, acuerdos, convenios laborales, causas de escasez, otros. Anlisis crtico de documentos pertinentes al Sistema de Gestin de la Seguridad de la Informacin -SGSI, incluyendo registros, y determinando su adecuacin con respeto al criterio de la auditora. Revisin de la documentacin referida a la norma ISO 27000 como: Responsabilidad de la Direccin. Auditora interna del SGSI. Revisin por la Direccin del SGSI. Mejora del SGSI. Objetivos de control y controles. Anlisis crtico de documentos pertinentes al Sistema de Gestin de la Calidad -SGC, incluyendo registros, y determinando su adecuacin con respeto al criterio de la auditora. Verificar que se ha establecido en la empresa las recomendaciones de la norma ISO 9000 tal que permita: Identificar los procesos necesarios y la aplicacin de estos procesos en toda la empresa. Determinar la secuencia e interaccin de los procesos. Determinar los criterios y mtodos de operacin y control de los procesos. Asegurar la disponibilidad de los recursos y la informacin que respalda los procesos, y el seguimiento de estos procesos. Examinar, medir y analizar estos procesos. Establecer acciones para lograr los resultados planeados y el mejoramiento continuo. Establecer medidas correctivas y gestionar el conocimiento de las mismas en la forma de lecciones aprendidas que alimentan la documentacin existente.

2.3 2.4

IV. METODOLOGA PROPUESTA

Las auditoras deben ser llevadas a cabo por personal calificado con experiencia demostrada. Las cualidades personales fundamentales de un auditor de proyectos de acuerdo con las normas UNE 166.000 y UNE 166.001 [10] son: tico (imparcial, sincero, honesto, discreto, prudente, reservado). Diplomtico (relaciones con las personas). Observador (activamente consciente del entorno fsico y las actividades). Perceptivo (instintivamente consciente y capaz de entender las situaciones). Verstil (para adaptarse a diferentes situaciones). Tenaz (consecucin de objetivos). Decidido (conclusiones basadas en el anlisis y razonamientos lgicos). De mentalidad abierta (puntos de vista alternativos). Seguro de s mismo (acta y funciona independiente a la vez que se relaciona eficazmente con otros). Como se puede inferir, la auditora es la bsqueda de la verdad, y sta debe buscarse cientficamente; por tanto, no es extraa la siguiente frase entre auditores: en Dios confo; del resto, dudo. Tambin se suele decir que el auditor es un fotgrafo y no el arquitecto. La evaluacin es cientfica por tanto involucra un proceso de medicin y comprobacin de los principios y prcticas reconocidas en el cual se utilice una serie de pasos realizados en forma sistemtica, ordenada y
los gobiernos y autoridades reglamentarias a nivel internacional: imparcialidad; competencia; y proceso.

2.5

2.5.1 2.5.1.1 2.5.1.2 2.5.1.3 2.5.1.4 2.5.1.5 2.6

2.6.1

2.6.1.1 2.6.1.2 2.6.1.3 2.6.1.4

2.6.1.5 2.6.1.6 2.6.1.7

Cceres Meza. Metodologa propuesta para la auditora de normas de calidad 2.6.1.8 Si los procesos son subcontratados, se encuentran estos procesos controlados e identificados? Posee la empresa un manual de calidad? Dicho manual deber incluir: El alcance del SGC y justificaciones y detalles de cualquier exclusin. Los procedimientos documentados del SGC o una referencia a ellos. Una descripcin de las interacciones entre los procesos y el SGC. Una clasificacin de la estructura de responsabilidades, con autoridades. Se verifica que la alta direccin7 est comprometida con el SGC y su mejora continua? Este compromiso se puede verificar si la alta direccin ha, de manera comprobada y visible: Establecido su enfoque en la importancia de los clientes. Establecido su Poltica de Calidad. Definido sus objetivos de calidad. Revisado el sistema de calidad. Proporcionado los recursos adecuados. Demostrado su el grado en que se involucra con el SGC y su mejora continua y consistente. Comunicado a la organizacin la importancia del cumplimiento de los requisitos. Posee la empresa un procedimiento formal con respecto al control de los documentos? Este procedimiento deber incluir: La aprobacin de los documentos antes de su publicacin. La revisin, actualizacin y nueva aprobacin de los documentos cuando sea necesario. La identificacin de los cambios y el estado de revisin de cada documento. La distribucin adecuada de la versin vigente de los documentos relevantes en el lugar en que se usan. Los criterios de legibilidad y los procesos de identificacin de los documentos. La forma de identificacin de documentos de origen externo y el control de su distribucin. Un mecanismo que evite el uso involuntario de documentos obsoletos. Posee la empresa un procedimiento formal para el control de los registros de calidad? Estos registros de calidad debern ser: Legibles. Fcilmente identificables. 2.6.5.3 2.6.6 2.6.6.1 2.6.6.2 2.6.6.3 2.6.6.4 2.6.6.5 2.6.6.6 2.6.6.7 2.6.6.8 2.6.6.9 2.6.6.10 2.7 Fcilmente recuperables. El procedimiento para los registros de calidad, debe incluir instrucciones sobre su: Identificacin. Registro. Almacenamiento. Proteccin, fsica y lgica. Permiso de acceso. Nivel de acceso. Competencia de uso. Recuperacin. Tiempo de retencin. Destruccin. Preparacin de las actividades de auditora en el sitio para lo cual, a partir de la informacin anterior, se debe identificar los sistemas o procesos que se van a auditar. Preparacin del plan de auditora, el cual: Debe ser previamente aprobado por la empresa. Debe ser comunicado a el(los) auditor(es) asignado(s) y al auditado. Elaboracin del calendario de las auditoras. Seleccin del equipo auditor de acuerdo con las recomendaciones planteadas en la norma ISO 17021. Por cada integrante, mediante entrevista, observacin y examen, se deber: Evaluar su independencia en relacin con el motivo de la auditora. Identificar la experiencia necesaria (evaluacin cuantitativa): aos experiencia, nmero de auditoras realizadas, horas de formacin en auditora. Considerar competencias (evaluacin cualitativa): demostradas cualidades personales, conocimientos o desempeo de las habilidades en formacin o en el lugar de trabajo. Debe poder ser capaz de, entre otras competencias: Elaborar y utilizar instrumentos de diagnstico para identificar reas crticas y de riesgo institucional, en el marco de la normativa, las definiciones estratgicas, las caractersticas de la organizacin y los procedimientos internos. Disear matrices de riesgo, para detectar y priorizar reas institucionales crticas. Incorporar al diagnstico de la organizacin metas y exigencias de gestin institucionales. Disear un plan de auditora considerando, al menos, el diagnstico y requerimientos gubernamentales, regulatorios e institucionales. Verificar y promover la existencia y generacin de sistemas de informacin confiables y oportunos.

2.6.2 2.6.2.1 2.6.2.2 2.6.2.3 2.6.2.4 2.6.3

2.6.3.1 2.6.3.2 2.6.3.3 2.6.3.4 2.6.3.5 2.6.3.6 2.6.3.7 2.6.4

2.8 2.8.1 2.8.2 2.9 2.10

2.10.1 2.10.2

2.6.4.1 2.6.4.2 2.6.4.3 2.6.4.4

2.10.3

2.10.3.1

2.6.4.5 2.6.4.6 2.6.4.7 2.6.5

2.10.3.2 2.10.3.3 2.10.3.4

2.6.5.1 2.6.5.2
7

2.10.3.5

Persona o grupo de personas que dirigen y controlan al ms alto nivel una organizacin (3.2.7 ISO 9000:2005).

Cceres Meza. Metodologa propuesta para la auditora de normas de calidad 2.10.3.6 Entregar peridicamente informes de recomendaciones y seguimiento a los responsables de los controles internos del Servicio, recomendando medidas para su mejoramiento. 2.10.3.7 Organizar a los usuarios internos en torno a reuniones y/o presentaciones programadas peridicamente como adems, solicitar reuniones extraordinarias en el caso que sea necesario. 2.11 Asignacin de responsabilidades y autoridad. 2.12 Asignacin de las tareas al equipo auditor. 2.13 Preparacin de los documentos de trabajo. 2.14 Papel y responsabilidades de los guas y observadores. 2.15 Establecer los requisitos necesarios de confidencialidad. 3 Reunin de presentacin: 3.1 La premisa fundamental es desarrollar una atmsfera de confianza. 3.2 Aclarar desde el comienzo, si es necesario, los conceptos bsicos de auditora8: 3.2.1 Lo que es la auditora: evaluar un sistema. 3.2.2 Lo que no es la auditora: evaluar los actores del sistema. 3.3 Presentar a los participantes. 3.4 Confirmar objeto y alcance de la auditora. 3.5 Confirmar el plan que se va a iniciar. 3.6 Presentar la metodologa de la auditora. 3.7 Validar los medios logsticos que sern requeridos antes, durante y despus de la auditora, aclarando concreta y correctamente oportunidad de uso, forma, cantidad, asignacin, responsabilidad, entrega. 3.8 Acordar la reunin de cierre. 4 Ejecucin de la auditora: 4.1 Realizacin de las actividades de auditora en el sitio. 4.2 En las entrevistas, el auditor debe: 4.2.1 Presentarse, buscar inspirar confianza y calma, mostrar respeto. 4.2.2 Explicar el objetivo. 4.2.3 Explicar el mtodo. 4.2.4 Ayudar a hablar al auditado. 4.2.5 Permitir hablar al auditado. 4.2.6 Ayuda a explicar al auditado. 4.2.7 Ayudar a resumir al auditado. 4.2.8 Escuchar, comprender, no juzgar, consagrar el tiempo necesario, permitir hablar al auditado de s mismo, de su trabajo. 4.2.9 4.2.10 4.2.11 4.2.12 4.3 Formular nuevamente, discutir, no polemizar, no ser agresivo. Escribir. Ponerse a disposicin. Agradecer. En las entrevistas el auditor puede emplear diferentes tcnicas para formular preguntas, entre las que se pueden citar las siguientes: Preguntas abiertas. Preguntas cerradas. Preguntas emocionales. Preguntas engaosas. Preguntas capciosas. Preguntas hipotticas. Preguntas sistemticas. Preguntas mltiples. Peticiones. Comunicacin durante la auditora: Las decisiones deben quedar por escrito y ser comunicadas. Se debe proveer informacin sobre el progreso. Se ha de definir cual es la informacin que se comunicar formalmente, periodicidad de la comunicacin, establecer la prioridad de la comunicacin, los medios y formatos utilizados, as como la frecuencia de la comunicacin. Recopilacin y verificacin de la informacin que permita verificar que se cumple con lo siguiente: Lo establecido en los procedimientos documentados y las instrucciones de trabajo contenidos en ellos. Se realizan mejoras a los procesos, de manera consistente. Se conducen auditoras internas de manera peridica, de modo que se pueda verificar el ciclo completo PHVA. Se realizan revisiones frecuentes por parte de la gerencia, lo que demuestra su grado de compromiso. Se monitorea la consecucin de los objetivos mediante, por ejemplo, resultados de encuestas; desempeo de los procesos y conformidad del producto; situacin de las acciones correctivas y preventivas; seguimiento de las acciones derivadas de las revisiones anteriores de la direccin. Se mantienen registros que se generan en los procesos, como evidencia. Practicar el examen por muestreo de evidencias objetivas referidas a lo siguiente: Los equipos de comunicaciones como las PBX, sistemas de correo de voz, y los IVR, y otros

4.3.1 4.3.2 4.3.3 4.3.4 4.3.5 4.3.6 4.3.7 4.3.8 4.3.9 4.4 4.4.1 4.4.2 4.4.3

4.5

4.5.1

4.5.2 4.5.3

4.5.4

4.5.5

4.5.6 4.6 4.6.1

Se independiza el resultado de las actividades de la habilidad.

Cceres Meza. Metodologa propuesta para la auditora de normas de calidad servicios de valor aadido que se provean, para determinar si se satisfacen las actuales exigencias del negocio y si se debera considerar posibles soluciones alternativas. El proceso de compras de modo que satisfacen los requerimientos formulados, de la formulacin de necesidades, precio, conveniencia, oportunidad, puntualidad en las entregas, conformidad de la entrega con las especificaciones requeridas, cantidad, capacidad, calidad del producto/servicio, suficiencia, garanta y trmite de garantas, apoyo tcnico y de reclamaciones. Las contrataciones de personal, subcontratacin de servicios y proveedores de modo que satisfacen los acuerdos de nivel de servicio acordados, evaluacin y seleccin, experiencia, seguridad, disponibilidad, responsabilidad, y otros atributos como dedicacin, concienciacin y confidencialidad (durante y despus de haber terminado la relacin contractual). Los servicios de comunicaciones como lneas telefnicas, lneas arrendadas, servicios CENTREX y servicios contestadores, establecimiento de rutas para llamadas a telfonos fijos y mviles, y de larga distancia, tanto nacional como internacional, y otros servicios de consultora o gestin, para determinar si los niveles de servicio y los precios satisfacen los objetivos de la organizacin, y si otras soluciones potenciales deben ser evaluadas para sustituir los actuales servicios. El apoyo tcnico, fsico, lgico y administrativo para los servicios prestados, con la finalidad de comprobar el grado de satisfaccin del cliente, acuerdos de nivel de servicio, definicin de mbito, alcances, inclusiones y exclusiones del servicio, mtricas de servicio, cumplimiento de las condiciones de uso, indicadores, otros. La gestin de la seguridad de la red, monitoreo y control, gestin de los requerimientos del negocio para el control de acceso, tanto fsico como lgico, a las aplicaciones y sistemas, y control criptogrfico. Definicin, preparacin, mantenimiento de reas seguras y protegidas, y seguridad de los equipos, as como la gestin de su seguridad, personalizada por usuario. La fiabilidad de la interconexin con otros operadores, sealizacin y conmutacin, escalamiento de problemas. Respaldo de datos y proteccin del medio, tecnologa o mtodo empleado. Planeamiento del crecimiento en infraestructura en relacin con incremento en el nmero de clientes y los nuevos requerimientos de stos. 4.6.11 Cambios en la tecnologa subyacente, y su apropiado registro y actualizacin de la documentacin pertinente. Estos cambios pueden referirse a modificaciones en las configuraciones, actualizaciones de software por funcionalidad o seguridad. Tambin pueden darse como resultado de una vigilancia tecnolgica9 en la empresa. 4.6.12 Con respecto a la seguridad de la informacin (ISO 27001:2005), se debe evaluar que en los sistemas de informacin y servicios implantados, en general, se satisface la: 4.6.12.1 Confidencialidad, propiedad por la cual la informacin no est disponible ni sea divulgada a individuos, organismos o procesos no autorizados. El nfasis de la norma ISO 27011 en empresas de telecomunicaciones es: La Informacin relacionada con organizaciones de telecomunicaciones debera ser protegida de una revelacin no autorizada. Esto implica el secreto de las comunicaciones en trminos de existencias, contenido, fuente, destino, as como en la fecha y hora de la informacin comunicada. Es crtico que las empresas de telecomunicaciones aseguren que su implementacin del secreto de las comunicaciones no sea violada. Las personas encargadas por la empresa de telecomunicaciones deberan mantener la confidencialidad de cualquier informacin que aade a terceros y que haya sido de su conocimiento durante el desempeo de sus labores. 4.6.12.2 Integridad, propiedad de proteger la precisin y la totalidad de los activos. El nfasis de la norma ISO 27011 en empresas de telecomunicaciones es: La instalacin y uso de las instalaciones de telecomunicaciones deberan ser controladas, para asegurar su autenticidad, exactitud y entereza de la informacin transmitida, reenviada o recibida, y a sea por medios almbricos, inalmbricos u otros mtodos. 4.6.12.3 Disponibilidad, propiedad de estar accesible y ser utilizable a demanda por parte de un organismo autorizado. El nfasis de la norma ISO 27011 en empresas de telecomunicaciones es: Solo se debera proporcionar acceso autorizado cuando sea necesario a la informacin de telecomunicaciones, instalaciones y el medio utilizado para la provisin de los servicios de telecomunicaciones ya sea que stos se provean por medio almbrico, radio, o cualquier otro mtodo. Como una extensin a la disponibilidad, las empresas de telecomunicaciones deberan brindar prioridad a las comunicaciones

4.6.2

4.6.3

4.6.4

4.6.5

4.6.6

4.6.7

4.6.8

4.6.9 4.6.10

Forma organizada, selectiva y permanente de captar informacin del exterior sobre tecnologa, analizarla y convertirla en conocimiento para tomar decisiones con menor riesgo y poder anticiparse a los cambios.

Cceres Meza. Metodologa propuesta para la auditora de normas de calidad esenciales en caso de emergencia y satisfacer los requerimientos del organismo regulador. Autenticidad, imposibilidad de rechazo, consistencia, aislamiento, auditora de los datos. Autenticacin, provisin de seguridad de que es correcta la supuesta caracterstica de una entidad. Rendicin de cuentas (accountability). No repudio, habilidad de probar la ocurrencia de un supuesto evento o accin, y sus entidades originales, con la finalidad de resolver disputas sobre la ocurrencia o no ocurrencia de un evento o accin y la particin de entidades en el evento. Fiabilidad, propiedad de obtener un comportamiento y resultados predeterminados de manera consistente. Medidas y contra medidas, fsicas, lgicas, administrativas o legales, adoptadas para identificar y reducir vulnerabilidades y/o amenazas de manera efectiva. Estas vulnerabilidades y/o amenazas pueden ser tanto tcnicas, humanas o de cdigo malicioso. Gestin de incidentes o debilidades, efectividad del sistema de reclamaciones. Gestin de la continuidad del negocio, con la participacin general y comprometida de todos los colaboradores, colaboracin y confianza mutua, capacidad y valores de todas las personas. Establecimiento de polticas y medidas de seguridad y continuidad del negocio en caso de desastres naturales. Las evidencias pueden existir en cualquier tipo de soporte o medio, ya sea fsico, electrnico o digital, audible o visual. Ejemplos de evidencias son: Polticas: orientacin directiva de la empresa Real Academia Espaola (RAE). Normas: reglas de cumplimiento obligado -RAE. Manuales: libro que recoge lo esencial o bsico de una materia -RAE- (operacin). Procedimientos: mtodo o sistema estructurado para ejecutar algunas cosas -RAE- (instalacin, configuracin, mantenimiento, verificacin). Registros: libro, a manera de ndice, donde se apuntan noticias o datos -RAE- (controles, alarmas, implementaciones, modificaciones, actualizaciones, rdenes de compra o servicio, listados de proveedores y productos). Contratos: pacto o convenio, oral o escrito, entre partes que se obligan sobre una materia o cosa determinada -RAE- (acuerdos de nivel de servicio adems). 4.7.7 Indicadores10 [12]: datos o conjunto de datos que ayudan a medir objetivamente la evolucin de un proceso o de una actividad. Mediciones [12]. Medicin es la accin y efecto de medir, de comparar una cantidad con su respectiva unidad, con el fin de averiguar cuntas veces la segunda est contenida en la primera. Aprobaciones (visto bueno). Tres ejes de observacin sobre la informacin: La forma: Conformidad con el procedimiento de la empresa. Identificacin clara y correcta del material, documentacin, otros. El fondo: Cubrimiento del tema con suficiencia, propiedad, correccin, exactitud, oportunidad, claridad. Conciencia del contexto11 [11] de modo tal que se obtenga informacin relevante de la tarea y/o servicios12. Exactitud de las referencias a otros documentos. Secuencia adecuada. Coherencia. Actualizada. Aprobaciones. La aplicacin: Difusin correcta, completa, pertinente, oportuna, autorizada. Implementacin efectiva. Tres criterios de evaluacin: La existencia (de los registros y material de comprobacin necesarios). La prctica (la ejecucin de tareas siguiendo los procedimientos escritos correspondientes). La apropiacin (grado en que la empresa ha hecho suya el proceso en su totalidad). Finalizacin de la auditora. Reunin de clausura y cierre. Elaboracin del informe:

4.6.12.4 4.6.12.5 4.6.12.6 4.6.12.7

4.7.8

4.7.9 4.8 4.8.1 4.8.1.1 4.8.1.2 4.8.2 4.8.2.1 4.8.2.2

4.6.12.8

4.6.13

4.6.14 4.6.15

4.8.2.3 4.8.2.4 4.8.2.5 4.8.2.6 4.8.2.7 4.8.3 4.8.3.1 4.8.3.2 4.9 4.9.1 4.9.2 4.9.3 5 6 7

4.7

4.7.1 4.7.2 4.7.3 4.7.4

4.7.5

10

4.7.6

Los indicadores son necesarios para poder mejorar. Lo que no se mide no se puede controlar, y lo que no se controla no se puede gestionar. Si no medimos, trabajamos en base a sensaciones, y las decisiones tomadas sin la informacin necesaria es fcil que conduzcan a equivocaciones. Se emplea la herramienta 5W-1H para definir un indicador. Segn Dey & Abowd [11], cualquier informacin que puede ser usada caracterizar la situacin de una entidad, donde una entidad puede ser una persona, el lugar, o el objeto fsico o computacional. Por ejemplo, podramos preguntarnos cul es el contexto?, quien podra beneficiarse de conocer el contexto?, el contexto de qu o quin es importante para quin, o que?, dnde puede ser explotado el contexto? cundo es til?, por qu son tiles? para, finalmente preguntarnos cmo ponemos en prctica la conciencia de contexto de modo que nosotros podamos desarrollar usos conscientes del contexto?

11

12

Cceres Meza. Metodologa propuesta para la auditora de normas de calidad 7.1 7.2 Generacin de hallazgos del auditor. Preparacin del informe de la auditora. Este informe traduce fielmente las conclusiones de la reunin de cierre y contiene: El alcance y el objetivo de la auditora. La fecha de la auditora. La conformacin del equipo auditor. Los documentos de referencia. Las observaciones realizadas13. Las no conformidades detectadas14. Los defectos encontrados15. Los puntos fuertes de la actividad. Una solicitud de accin correctiva. Aprobacin y distribucin del informe de la auditora. Presentacin y comunicacin de los resultados. Preparacin de las conclusiones de la auditora: Resumen de los puntos fuertes y dbiles del sistema auditado. Formula una opinin sobre las acciones prioritarias que hay que iniciar. Es la nica parte subjetiva del informe. Preparacin, aprobacin y distribucin del informe de la auditora. Comprobacin y seguimiento: El auditor: Acuerda la fecha de la auditora de seguimiento. Desarrolla la auditora de seguimiento de acuerdo con las acciones correctivas y preventivas propuestas. Presenta el informe de auditora. El auditado: Propone y desarrolla las acciones correctivas y preventivas, de acuerdo con las no conformidades detectadas durante la auditora. Establece la fecha de implantacin de acciones. Desarrolla las acciones correctivas correspondientes. Evaluacin posterior del desempeo del auditor.

V. CONCLUSIONES
Apreciaremos que pasamos de un enfoque tradicional que se vea como algo negativo por la fiscalizacin inherente, a la imagen actual de la auditora como una actividad consultiva y docente que aade valor a la empresa. Sin equivocacin, la conclusin ms importante de este trabajo es que la auditora interna debe ser visualizada como un socio estratgico de la direccin [8]. Comprobamos que los objetivos de las auditoras internas son evaluar el grado de adecuacin entre los objetivos trazados, las disposiciones adoptadas y los resultados obtenidos. Su finalidad es validar el sistema de gestin y mejorarlo en caso de problemas. En cambio, los objetivos de las auditoras externas son evaluar la aptitud para la prevencin y reduccin de riesgos; y verificar la aplicacin de disposiciones contractuales. Su finalidad es reconocer la aptitud para satisfacer los requisitos especificados; efectuar auditoras de seguimiento; certificar una organizacin. Podemos resumir entonces que las auditoras internas nos ayudan a mejorar mientras que las auditoras externas nos ayudan a reconocer la organizacin. Ambas pueden emplearse como base para mantener una vigilancia tecnolgica en la empresa. Puede comprobarse tambin un principio importante de la seguridad en informtica y es que la seguridad no se consigue a travs de la oscuridad -como tampoco la calidad, podemos aadir. Es conveniente puntualizar que la sola implementacin de las recomendaciones tratadas en el presente trabajo proporciona beneficios y ventajas importantes a toda organizacin. En resumen, la metodologa de auditora presentada permite asegurar la confidencialidad, integridad y disponibilidad de los servicios o implementaciones de telecomunicaciones con bajo riesgo para los clientes y con un incremento en la confianza que stos depositan en los servicios que contratan, confianza que representa una ventaja competitiva. Todo lo anterior se traduce en posibilidades de nuevos y mejores negocios.

7.2.1 7.2.2 7.2.3 7.2.4 7.2.5 7.2.6 7.2.7 7.2.8 7.2.9 7.3 8 8.1 8.1.1 8.1.2 8.1.3 8.2 9 9.1 9.1.1 9.1.2

9.1.3 9.2 9.2.1

9.2.2 9.2.3 9.3

13

Una observacin es una situacin especfica que no implica desviacin ni incumplimiento de requisitos, pero que constituye una oportunidad de mejora. Una no conformidad es el incumplimiento de un requisito (ISO 9000:2005) y no se presupone que el producto o servicio tenga defectos. Un defecto es el incumplimiento de un requisito asociado a un uso previsto o especificado (ISO 9000:2005).

14

REFERENCIAS
[1] Nolle, Tom, Las cinco primeras tendencias de la industria de las telecomunicaciones para

15

Cceres Meza. Metodologa propuesta para la auditora de normas de calidad

10

2010: transformacin del mercado, CIMI Corp. Disponible: http://searchtelecom.techtarget.com/tip/0,28948 3,sid103_gci1375736,00.html?track=NL847&a d=742979&asrc=EM_NLN_10564497&uid=39 6338. [2] [3] ISO. Disponible: http://www.iso.org/. Morell Gonzlez, Luisa Mara, Manual de Auditora Interna. Una herramienta indispensable para el auditor, 2005. Disponible: http://www.monografias.com/trabajos27/manual -auditoria/manual-auditoria.shtml Hevia, E., Concepto moderno de Auditora Interna. Revista Partida Doble. Espaa: Nmero 139. 2da quincena Abril, 1999. INDECOPI. Disponible: http://www.indecopi.gob.pe. The Institute of Internal Auditors. Disponible: http://www.theiia.org/guidance/standards-andguidance/ippf/definition-of-internal-auditing/ ICAO. Disponible: http://www.icao.int/. Di Bello, Marcelo, La Auditora Interna como socio estratgico de la Direccin, Instituto Uruguayo de Auditora Interna. Disponible: http://www.theiia.org/chapters/index.cfm/view. download/fileid/5822/cid/263 [9] Bureau Veritas. Disponible: http://www.bureauveritas.com.mx/

[4]

[5] [6]

[7] [8]

[10] UNE166000:2006, Gestin de la I+D+i: Terminologa y definiciones de las actividades de I+D+i. Disponible: http://www.aenor.es [11] Dey, A.K. & Abowd, G.D. Towards a better understanding of context and contextawareness. GVU Technical Report GIT-GVU99-22, College of Computing, Georgia Institute of Technology. 1999. Disponible: ftp://ftp.cc.gatech.edu/pub/gvu/tr/1999/9922.pdf. [12] UNE 66175:2003, Sistemas de gestin de la calidad. Gua para la implantacin de sistemas de indicadores, 3.6. Disponible: http://www.aenor.es.