Documentos de Académico
Documentos de Profesional
Documentos de Cultura
856-1 (CO)
DUNS 88-042-4937 (US)
TITANIO II AUDITORIA
MANUAL DE USUARIO
VERSION II REV 2007-03
(2.2007.R3)
PRESENTACION
Este manual de usuario introduce al lector en el uso y manejo del Sistema de Informacin
para la Gestin de Auditoria basado en normas y metodologas nacionales (Audite 3.0) e
internacionales (ISO 19011) con enfoque en Auditoria Informtica - TITANIO AUDITORIA.
Para lograrlo se ha organizado una secuencia lgica de aprendizaje y desenvolvimiento del
usuario, guindole de manera sistmica de forma que pueda seguirlo paso a paso tal
como se hiciera en una instalacin sin datos, creando una base comn de conocimiento
que posteriormente permita un mejor entendimiento de temas mas complejos.
En su orden, partiendo del ciclo PHVA, se tiene:
La interfaz de usuario.
Acceso al sistema de informacin.
Uso general del sistema de informacin.
P
rea de PARMETROS
rea de TIPOLOGAS (Tipos de elementos a auditar).
rea de OBJETOS (Objetos de auditoria).
rea de PLANEACIN de la auditoria.
H
rea de REALIZACIN de la auditoria.
V/A
rea de PLANEACIN de las acciones pertinentes.
1.
LA INTERFAZ DE USUARIO
La aplicacin opera en entorno Web y puede ser ejecutada tanto en ambientes Intranet,
Extranet o Internet segn las especificaciones de seguridad del usuario final. Al ser de
este entorno requiere de un browser o navegador de Internet para acceder a ella.
Ejemplos de estos browsers estn el Internet Explorer 6/7, el Netscape 7/8, Mozilla, Opera,
entre las versiones ms populares, todos stos de acceso y licenciamiento gratuito a
travs de Internet y disponibles en diversos sistemas operativos cliente.
Como puede verse en la figura 1. se tienen las siguientes partes:
Barra de reas: Situada en el extremo superior y permite acceder a las diversas reas de
informacin de la aplicacin.
Zona principal: Situada debajo de la barra de reas visualiza y permite la adicin / edicin
de informacin del tema del rea principal.
Zona auxiliar: Cada rea tiene un grupo de elementos de informacin que le
complementan, definen o detallan. Estos son listados en esta zona y cuando se le solicita
al software la adicin o edicin de cualquier elemento de estos el trabajo de actualizacin
sucede en la zona principal.
Barra lateral: Situada al lado izquierdo de la ventana, incluye botones de control de sesin
y de usuario, acceso a reportes e conos de acceso rpido a la pgina inicial, de solicitud
de reporte y de visualizacin de la licencia de uso.
2.
Siendo una aplicacin Web para acceder a ella debe previamente conocerse el nombre del
servidor Web que la aloja y seguir los siguientes pasos:
a. Abrir el browser o navegador, bien sea Internet Explorer, Netscape Navigator (o
Mozilla) o Opera, segn el que tenga instalado, a travs del men inicio o de los conos
de acceso ubicados en el escritorio:
b. En la parte superior debajo de los botones del navegador aparece una barra de
direccin en la cual se teclea http://servidor/t2audit/index.php donde servidor es el
nombre del servidor Web donde est montado el sistema de informacin.
c. Una vez abierto el sistema de informacin abre la siguiente pgina de acceso:
3.
Actualizacin de informacin:
Informacin principal:
Al seleccionar un documento, se da clic en los botones de Aadir, Editar o Borrar
para realizar las correspondientes acciones. Los botones de Editar y de Borrar
aparecen cuando se ha seleccionado previamente un documento.
Estas opciones no aparecern en el rea de informacin de referencia pues todo este
contenido es tratado como informacin complementario.
Informacin complementaria:
Una vez seleccionada la informacin complementaria a actualizar, aparece un listado de
datos en forma tabular, en el cual la primera columna aparece un cuadro de seleccin y
la siguiente columna resaltada en azul.
a. Para aadir de clic en el botn aadir.
b. Para editar de clic en el texto resaltado.
c. Para borrar selecciona el cuadro de seleccin y presione el botn borrar.
Grabacin de informacin:
En ambos casos, al seleccionar la adicin o edicin de datos, aparece un formulario en el
cual aparecen los diversos campos a ser diligenciados:
c. Botn Cancelar, que termina la operacin sin afectar los datos. Equivale a dar
clic en la barra de reas en cualquiera de sus conos.
d. Cuadro de seleccin Registrar mas informacin, el cual puede seleccionar antes
de presionar el botn de Grabar para que vuelva al formulario de actualizacin de
datos y no a la ventana de navegacin. Esta opcin es til cuando se est
realizando una labor de digitacin en masa.
Cierre de sesin:
a. Al terminar su trabajo se recomienda dar clic en el botn Salir, esto cierra la sesin
y previene que algn usuario malintencionado realice labores en nombre suyo.
b. A su vez, el botn de personalizar permite cambiar la clave del usuario.
4.
AREA DE PARAMETRIZACION
4.1.
PARAMETROS DE AUDITORIA
4.1.1.
Participantes
Fuentes
Norma tcnica
Modalidad
Grupos evaluacin
Tipo de participacin
Parte de auditoria
Enfoque de auditoria
Procedimientos de auditoria
Actividades de planeacin
Actividades de auditoria
Documentos de auditoria
Registros de auditoria
Tipo de requisitos
PARTICIPANTES
La realizacin del proceso auditor implica la participacin activa (auditor, auditado, etc.) y
pasiva (expertos, asesores, etc.) de diversas personas naturales y jurdicas las cuales
deben estar registradas en el sistema de informacin:
4.1.2.
FUENTES
4.1.3.
NORMA TCNICA
4.1.4.
MODALIDAD
4.1.5.
GRUPOS EVALUACIN
Como mecanismo de organizacin de datos, los criterios pueden ser organizados segn la
tipologa objeto de la auditoria:
4.1.6.
TIPO DE PARTICIPACIN
De la misma forma que se registran los participantes del proceso auditor, los tipos de
participacin definen la forma como estos participantes intervienen en las actividades de la
auditoria:
4.1.7.
PARTE DE AUDITORIA
4.1.8.
ENFOQUE DE AUDITORIA
El enfoque de la auditoria explica el fin principal que se persigue con el proceso auditor, el
cual puede varias desde un prctico control y evaluacin del estado de un sistema de
gestin o uno de sus componentes hasta la consecucin de certificaciones:
4.1.9.
PROCEDIMIENTOS DE AUDITORIA
Segn el ciclo PHVA (Planear, Hacer, Verificar y Actuar), el cual va de la mano con el ciclo
SHVA (Estandarizar, Hacer, Verificar, Ajustar):
DOCUMENTACIN
REGISTROS
REGISTROS
ESPECIALES
DE
AUDITORIA
De acuerdo con lo definido en las normas ISO 9001:2000, NTCGP 1000:2004 y la ISO
19011:2002, se tiene el siguiente esquema de requisitos a cumplir:
LEGALES
IMPLCITOS
TCNICOS
EXPLICITOS
(CLIENTE)
4.2.
4.2.1.
4.2.2.
RESPUESTA AL RIESGO
Las estrategias de administracin y manejo del riesgo que incluye varias respuestas, desde
la mitigacin y reduccin del riesgo hasta asumirlo en parte o completamente.
El anlisis de riesgo es un paso fundamental y necesario para la auditoria enfocada a la
vulnerabilidad de riesgos.
La descripcin de la respuesta incluye:
4.3.
4.3.1.
Tipos de datos.
Tipos tabulares
TIPOS DE DATOS
Seala los tipos de datos que pueden ser recogidos en las actividades de campo de la
auditoria:
4.3.2.
Algunos de esos datos pueden tomar valores predefinidos los cuales deben listarse a fin
de delimitar los resultados a los valores vlidos segn el tipo de datos:
5.
Las tipologas describen de forma general los objetos, sistemas, sistemas de gestin,
mecanismos que pueden ser objeto de auditoria
Las tipologas pueden ser analizadas, o mejor, auditadas, bajo diversos facetas, esto es
bajo la lupa del anlisis de riesgos (vulnerabilidad), del ajuste a caractersticas planteadas
o del cumplimiento o conformidad de requisitos (en lo normativo, tcnico, implcito y/o
explcito), tanto de forma inicial como en actividades de seguimiento, por lo cual es
indispensable listar los posibles riesgos (riesgos factibles), las caractersticas que describen
la tipologa as como los requisitos que aplican sobre el mismo, a partir de un anlisis serio
previo a cualquier actividad de trabajo en campo:
Riesgos Factibles.
Caractersticas.
Requisitos
5.1.
LA TIPOLOGIA
Los objetos auditados (procesos, tecnologas, herramientas, sistemas, entre otros) pueden
ser clasificados de forma general lo cual facilita el identificar los elementos comunes y por
ende de sus caractersticas compartidas.
El registro de tipologas, incluye:
5.2.
5.3.
CARACTERSTICAS
5.4.
REQUISITOS
Segn se present en el numeral 4.1.14 tipos de requisitos la tipologa requiere listar los
posibles requisitos legales o normativos, tcnicos, implcitos y explcitos (del cliente o del
contrato) que sern objeto del proceso de auditor en cuanto a la revisin de conformidad
de los requisitos.
Antes de auditar se debe analizar a profundidad los diversos requisitos que aplican en la
descripcin de la tipologa, incluyendo no solo los normativos sino los otros indicados.
La informacin a describir en cada caso es:
6.
Anlisis de vulnerabilidades.
Caractersticas.
6.1.
EL OBJETO
6.2.
6.3.
7.
AREA DE AUDITORIA
Esta rea permite el registro de las actividades de auditoria. Estas actividades incluyen las
pruebas, ensayos, inspecciones, comparaciones y verificaciones que se realicen bajo los
criterios de auditoria definidos para cada tipologa auditable.
7.1.
LA AUDITORIA
7.2.
EVALUACIN DE CRITERIOS
7.3.
7.4.
SOPORTES
7.5.
7.6.
7.7.
7.8.
De igual forma que los soportes describen que material acompaa al proceso auditor, los
anexos permiten mantener de forma electrnica los soportes que hayan sido entregados
en forma digital o que hayan sido escaneados para una gil consulta:
7.9.
Este aparte busca relacionar y de paso verificar la realizacin de todas las actividades
necesarias para el proceso auditor dentro del ciclo PHVA, incluyendo, la aplicacin de
auditoria en diversas pruebas y mecanismos, ensayos, inspecciones y dems.
8.
8.1.
EL PLAN DE AUDITORIA
8.2.
El ejercicio de la auditoria requiere especificar cuales son los criterios de la misma, pues a
partir de ellos es que se determinan los hallazgos y posibles no conformidades. Siguiendo
la norma tcnica, todo aquello que no est planteado como criterio de auditoria no puede
ser auditado y mucho menos determinarse como hallazgo, salvo aquellas situaciones de
alto riesgo y que sean evidentes:
8.3.
REQUERIMIENTOS
El pan de auditoria debe estar alineado con el cumplimiento de requisitos, bien sean stos
de tipo normativo, tcnico, implcito o explcito, para lo cual deben identificarse y
relacionarse en el sistema de informacin, segn las caractersticas indicadas:
8.4.
8.5.
PARTICIPANTES
9.
9.1.
EL PLAN DE MEJORA
9.2.
9.3.
Cada no conformidad tiene como respuesta una o varias acciones, las cuales debe
enlazarse para entender la causalidad de las acciones y su resultado e impacto, frente a la
no conformidad encontrada.
9.4.
Para poder evaluar que la accin vaya por el camino planteado, se deben definir sendos
indicadores que permitan evaluar el avance del mismo y que su resultado sirva como base
para posteriores auditorias. Los indicadores incluyen:
9.5.
METAS
Cada indicador debe tener una meta, como mecanismo vlido para asegurar que se ha
cumplido la accin. Cada meta contiene:
10.
AREA DE USUARIOS
Forma de lectura
Forma de actualizacin
Al aadir o actualizar un usuario, dando clic en los botones ACTUALIZAR, AADIR o clic en
el enlace del usuario, se presenta la forma de actualizacin, donde se puede ingresar:
TABLA DE CONTENIDO
1. LA INTERFAZ DE USUARIO
2. ACCESO AL SISTEMA DE INFORMACION
3. USO DEL SISTEMA DE INFORMACION
4. AREA DE PARAMETRIZACION
4.1. PARAMETROS DE AUDITORIA
4.1.1.
PARTICIPANTES
4.1.2.
FUENTES
4.1.3. NORMA TCNICA
4.1.4.
MODALIDAD
4.1.5.
GRUPOS EVALUACIN
4.1.6.
TIPO DE PARTICIPACIN
4.1.7.
PARTE DE AUDITORIA
4.1.8.
ENFOQUE DE AUDITORIA
4.1.9.
PROCEDIMIENTOS DE AUDITORIA
4.1.10. ACTIVIDADES DE PLANEACIN
4.1.11. ACTIVIDADES DE AUDITORIA
4.1.12. DOCUMENTOS DE AUDITORIA
4.1.13. REGISTROS DE AUDITORIA
4.1.14. TIPO DE REQUISITOS
4.2. PARAMETROS DE ANALISIS DE RIESGO
4.2.1.
NIVEL DEL RIESGO
4.2.2.
RESPUESTA AL RIESGO
4.3. PARAMETROS DE TIPOS DE DATOS
4.3.1.
TIPOS DE DATOS
4.3.2.
TIPOS TABULARES DE DATOS
5. AREA DE TIPOLOGIAS AUDITABLES
5.1. LA TIPOLOGIA
5.2. RIESGOS FACTIBLES
5.3. CARACTERSTICAS
5.4. REQUISITOS
6. AREA DE OBJETOS AUDITABLES
6.1. EL OBJETO
6.2. VULNERABILIDADES
6.3. CARACTERSTICAS
7. AREA DE AUDITORIA
7.1. LA AUDITORIA
7.2. EVALUACIN DE CRITERIOS
7.3. PARTICIPANTES
7.4. SOPORTES
7.5. HALLAZGOS
7.6. NO CONFORMIDADES
7.7. RELACION DE HALLAZGOS
1
3
4
7
7
8
8
9
9
10
10
10
11
11
12
12
13
13
14
15
15
16
17
17
18
19
20
20
21
22
23
24
24
25
26
27
28
28
29
29
30
30
7.8.
7.9.
8.
8.1.
8.2.
8.3.
8.4.
8.5.
9.
9.1.
9.2.
9.3.
9.4.
9.5.
10.
ANEXOS
ACTIVIDADES
AREA DE PLANEACIN DE LA AUDITORIA
EL PLAN DE AUDITORIA
CRITERIOS DE AUDITORIA
REQUERIMIENTOS
ACTIVIDADES
PARTICIPANTES
AREA DE ACCIONES PROPUESTAS PARA MEJORA
EL PLAN DE MEJORA
ACCIONES
ACCIONES POR NO CONFORMIDAD
INDICADORES
METAS
AREA DE USUARIOS
31
31
33
34
35
35
36
37
38
39
39
40
40
41
42