Vous êtes sur la page 1sur 46

NIT. 804.011.

856-1 (CO)
DUNS 88-042-4937 (US)

TITANIO II AUDITORIA
MANUAL DE USUARIO
VERSION II REV 2007-03
(2.2007.R3)

1998-2007. SOLUTIONS - Juan Carlos Angarita C.

PRESENTACION
Este manual de usuario introduce al lector en el uso y manejo del Sistema de Informacin
para la Gestin de Auditoria basado en normas y metodologas nacionales (Audite 3.0) e
internacionales (ISO 19011) con enfoque en Auditoria Informtica - TITANIO AUDITORIA.
Para lograrlo se ha organizado una secuencia lgica de aprendizaje y desenvolvimiento del
usuario, guindole de manera sistmica de forma que pueda seguirlo paso a paso tal
como se hiciera en una instalacin sin datos, creando una base comn de conocimiento
que posteriormente permita un mejor entendimiento de temas mas complejos.
En su orden, partiendo del ciclo PHVA, se tiene:
La interfaz de usuario.
Acceso al sistema de informacin.
Uso general del sistema de informacin.
P
rea de PARMETROS
rea de TIPOLOGAS (Tipos de elementos a auditar).
rea de OBJETOS (Objetos de auditoria).
rea de PLANEACIN de la auditoria.
H
rea de REALIZACIN de la auditoria.
V/A
rea de PLANEACIN de las acciones pertinentes.
1.

LA INTERFAZ DE USUARIO

La aplicacin opera en entorno Web y puede ser ejecutada tanto en ambientes Intranet,
Extranet o Internet segn las especificaciones de seguridad del usuario final. Al ser de
este entorno requiere de un browser o navegador de Internet para acceder a ella.
Ejemplos de estos browsers estn el Internet Explorer 6/7, el Netscape 7/8, Mozilla, Opera,
entre las versiones ms populares, todos stos de acceso y licenciamiento gratuito a
travs de Internet y disponibles en diversos sistemas operativos cliente.
Como puede verse en la figura 1. se tienen las siguientes partes:
Barra de reas: Situada en el extremo superior y permite acceder a las diversas reas de
informacin de la aplicacin.
Zona principal: Situada debajo de la barra de reas visualiza y permite la adicin / edicin
de informacin del tema del rea principal.
Zona auxiliar: Cada rea tiene un grupo de elementos de informacin que le
complementan, definen o detallan. Estos son listados en esta zona y cuando se le solicita
al software la adicin o edicin de cualquier elemento de estos el trabajo de actualizacin
sucede en la zona principal.
Barra lateral: Situada al lado izquierdo de la ventana, incluye botones de control de sesin
y de usuario, acceso a reportes e conos de acceso rpido a la pgina inicial, de solicitud
de reporte y de visualizacin de la licencia de uso.

DISEO DE LA INTERFAZ DE USUARIO

2.

ACCESO AL SISTEMA DE INFORMACION

Siendo una aplicacin Web para acceder a ella debe previamente conocerse el nombre del
servidor Web que la aloja y seguir los siguientes pasos:
a. Abrir el browser o navegador, bien sea Internet Explorer, Netscape Navigator (o
Mozilla) o Opera, segn el que tenga instalado, a travs del men inicio o de los conos
de acceso ubicados en el escritorio:

b. En la parte superior debajo de los botones del navegador aparece una barra de
direccin en la cual se teclea http://servidor/t2audit/index.php donde servidor es el
nombre del servidor Web donde est montado el sistema de informacin.
c. Una vez abierto el sistema de informacin abre la siguiente pgina de acceso:

d. Se ingresa el usuario y clave y se le da clic en Login. Si el usuario y la clave no son


acertadas el software vuelve a esta ventana. EL botn Limpiar reestablece los campos
a contenido vaco.

3.

USO DEL SISTEMA DE INFORMACION

Navegacin del sitio:


a. Para acceder a cualquiera de las reas de trabajo se ubica el puntero del ratn en
la barra de reas y se da clic en cualquiera de los conos distintivos de rea.
b. Para buscar informacin acerca de un documento, se da clic en el filtro principal y
se busca el elemento deseado.
c. Para buscar informacin complementaria de documentos, se ubica el elemento de
informacin complementaria y luego se da clic en el botn ubicado a la derecha del
listado de informacin complementaria, identificado como >>.
d. Para buscar informacin de parmetros, diseo o procesos, segn el rea, se da
clic en el grupo de informacin pertinente, el cual mostrar un listado de opciones,
luego clic en el selector de datos complementarios, se ubica el elemento de
informacin complementaria y luego se da clic en el botn ubicado a la derecha del
listado de informacin complementaria, identificado como >>.
e. Para acceder a los reportes en la barra lateral izquierda se revisa el listado de
reportes y se selecciona el que se requiera en el botn etiquetado como >>.

Actualizacin de informacin:
Informacin principal:
Al seleccionar un documento, se da clic en los botones de Aadir, Editar o Borrar
para realizar las correspondientes acciones. Los botones de Editar y de Borrar
aparecen cuando se ha seleccionado previamente un documento.
Estas opciones no aparecern en el rea de informacin de referencia pues todo este
contenido es tratado como informacin complementario.
Informacin complementaria:
Una vez seleccionada la informacin complementaria a actualizar, aparece un listado de
datos en forma tabular, en el cual la primera columna aparece un cuadro de seleccin y
la siguiente columna resaltada en azul.
a. Para aadir de clic en el botn aadir.
b. Para editar de clic en el texto resaltado.
c. Para borrar selecciona el cuadro de seleccin y presione el botn borrar.

Grabacin de informacin:
En ambos casos, al seleccionar la adicin o edicin de datos, aparece un formulario en el
cual aparecen los diversos campos a ser diligenciados:

En este formulario se distinguen los siguientes elementos:


a. Cuadro de texto, el cual recibe informacin de texto, nmeros (expresados sin
comas, solo punto decimal) as como de fechas en el formato YYYY/MM/DD.
b. Cuadros de seleccin, para indicar si se cumple o no cierta condicin.
c. Combos, que incluye un listado de valores, previamente configurados, del cual se
debe seleccionar el que corresponda al registro a actualizar. Si el combo no tiene
informacin de origen este aparece vaco y debe dirigirse a la fuente de esa
informacin y complementar la informacin pertinente, casi siempre en el rea de
referencia.
En la parte inferior aparecen los siguientes elementos:
a. Botn Grabar, que realiza la operacin de actualizacin. Una vez grabe vuelve al
modo normal del sistema de informacin.
b. Botn Limpiar, que borra el contenido de los campos del formulario (no el
registro si est en modo de edicin)

c. Botn Cancelar, que termina la operacin sin afectar los datos. Equivale a dar
clic en la barra de reas en cualquiera de sus conos.
d. Cuadro de seleccin Registrar mas informacin, el cual puede seleccionar antes
de presionar el botn de Grabar para que vuelva al formulario de actualizacin de
datos y no a la ventana de navegacin. Esta opcin es til cuando se est
realizando una labor de digitacin en masa.
Cierre de sesin:
a. Al terminar su trabajo se recomienda dar clic en el botn Salir, esto cierra la sesin
y previene que algn usuario malintencionado realice labores en nombre suyo.
b. A su vez, el botn de personalizar permite cambiar la clave del usuario.

4.

AREA DE PARAMETRIZACION

Comprende la determinacin de parmetros funcionales y operativos del sistema de


informacin organizada en los siguientes grupos temticos:

4.1.

PARAMETROS DE AUDITORIA

Incluye las siguientes entidades de informacin:

4.1.1.

Participantes
Fuentes
Norma tcnica
Modalidad
Grupos evaluacin
Tipo de participacin
Parte de auditoria
Enfoque de auditoria
Procedimientos de auditoria
Actividades de planeacin
Actividades de auditoria
Documentos de auditoria
Registros de auditoria
Tipo de requisitos
PARTICIPANTES

La realizacin del proceso auditor implica la participacin activa (auditor, auditado, etc.) y
pasiva (expertos, asesores, etc.) de diversas personas naturales y jurdicas las cuales
deben estar registradas en el sistema de informacin:

Nombre: Nombre del participante.


o Razn social: para personas jurdicas
o Apellidos, Nombre: para personas naturales
Cdigo: Identificacin del participante.
Notas: Notas o descripcin sobre el participante y la razn de ser de su participacin.

4.1.2.

FUENTES

La relacin de fuentes de informacin indica las fuentes fsicas, formales o institucionales


de las cuales se extrae informacin preliminar para la auditoria o para su realizacin.

Nombre: Nombre de la fuente.


Cdigo: Opcional, cdigo de la fuente.
Notas: Opcional, Notas generales.

4.1.3.

NORMA TCNICA

Dentro del anlisis de auditoria uno de los elementos frecuentemente auditados es el de


cumplimiento de normas tcnicas, las cuales deben estar relacionados segn se describe:

Nombre: Nombre de la norma tcnica.


Cdigo: Opcional, cdigo de la norma.
Versin: Versin de la norma.
Referencia: Referencias normativas.
Notas: Opcional, Notas generales.

4.1.4.

MODALIDAD

La modalidad de la auditoria obedece al esquema que genera la auditoria, es decir, si est


centrada en un solo componente, en todo el sistema de gestin o si es de seguimiento,
entre otros casos. El Audite 3.0 establece las diferencias del caso:

Nombre: Nombre de la modalidad.


Cdigo: Opcional, cdigo de la modalidad.
Descripcin: Opcional, Notas generales.

4.1.5.

GRUPOS EVALUACIN

Como mecanismo de organizacin de datos, los criterios pueden ser organizados segn la
tipologa objeto de la auditoria:

Nombre: Nombre del grupo.


Cdigo: Cdigo del grupo.
Tipologa: Tipo del objeto a auditar (Ver tipologas).
Notas: Opcional, Notas generales.

4.1.6.

TIPO DE PARTICIPACIN

De la misma forma que se registran los participantes del proceso auditor, los tipos de
participacin definen la forma como estos participantes intervienen en las actividades de la
auditoria:

Nombre: Nombre del tipo de participacin.


Cdigo: Opcional, cdigo del tipo de participacin.
Descripcin: Opcional, Notas generales.

4.1.7.

PARTE DE AUDITORIA

Dependiendo de quien realice la auditoria, es decir, la misma empresa, un tercero, un ente


certificador o de forma conjunta, es como se denomina el tipo de parte de auditoria,
segn se define en la norma ISO 19011

Nombre: Nombre del tipo de parte de auditoria.


Cdigo: Opcional, cdigo del tipo de parte de auditoria.
Descripcin: Opcional, Notas generales.

4.1.8.

ENFOQUE DE AUDITORIA

El enfoque de la auditoria explica el fin principal que se persigue con el proceso auditor, el
cual puede varias desde un prctico control y evaluacin del estado de un sistema de
gestin o uno de sus componentes hasta la consecucin de certificaciones:

Nombre: Nombre del enfoque de auditoria.


Cdigo: Opcional, cdigo del enfoque de auditoria.
Descripcin: Opcional, Notas generales.

4.1.9.

PROCEDIMIENTOS DE AUDITORIA

La auditoria como componente fundamental del proceso de medicin, control y


seguimiento, y proveedor del proceso de mejora continua, debe estar definida segn el
ciclo PHVA en procedimientos de auditoria segn lo exige la norma ISO 19011:2000.
Estos procedimientos deben estar documentados y adoptados en la unidad administrativa
que tiene a su cargo la realizacin de las auditorias, contemplando la totalidad del ciclo de
la mejora continua PHVA bajo el enfoque de la planeacin o el ciclo SHVA bajo el enfoque
de cumplimiento.

Nombre: Nombre del procedimiento.


Cdigo: Opcional, cdigo del procedimiento.
Descripcin: Opcional, Notas generales.

4.1.10. ACTIVIDADES DE PLANEACIN

Segn el ciclo PHVA (Planear, Hacer, Verificar y Actuar), el cual va de la mano con el ciclo
SHVA (Estandarizar, Hacer, Verificar, Ajustar):

La auditoria posee actividades de planeacin as como de realizacin, verificacin y accin.


En este aparte se deben listar todas aquellas relacionadas con la planeacin del proceso
auditor para su posterior seguimiento:

Nombre: Nombre de la actividad de planeacin.


Cdigo: Opcional, cdigo de la actividad de planeacin.
Descripcin: Opcional, Notas generales.

4.1.11. ACTIVIDADES DE AUDITORIA

De igual forma, en esta seccin se registran las actividades de realizacin, verificacin y


accin del proceso auditor en s, sin incluir las de los objetos auditados:

Nombre: Nombre de la actividad de auditoria.


Cdigo: Opcional, cdigo de la actividad de auditoria.
Descripcin: Opcional, Notas generales.

4.1.12. DOCUMENTOS DE AUDITORIA

Partiendo de los tres tipos principales de documentacin, la documentacin referenciada


en el numeral 4.2.1. y 4.2.2. de la norma NTCGP 1000:2004 e ISO 9001:2000, los
registros expresados en el numeral 4.2.4. de las mismas normas as como los Registros
especiales de auditoria indicados en el numeral 5.5. de la norma ISO 19011:2002, se
deben determinar con claridad cuales son las posibles fuentes de obtencin de datos para
el proceso auditor segn se ilustra en el tringulo de los documentos:

DOCUMENTACIN

REGISTROS

REGISTROS
ESPECIALES
DE
AUDITORIA

Nombre: Nombre del tipo de certificacin.


Cdigo: Opcional, cdigo del tipo de certificacin.
Descripcin: Opcional, Notas generales.

Nota: La definicin de documentos (4.1.12) y registros (4.1.13) de auditoria est ligada a


la identificacin de fuentes de datos del proceso auditor.
4.1.13. REGISTROS DE AUDITORIA

La ejecucin de las actividades de auditoria, tanto en planeacin como en su realizacin y


la posterior mejora continua, se evidencia mediante los registros producidos, los cuales se
describen en esta seccin como base para su posterior diligenciamiento:

Nombre: Nombre del registro de auditoria.


Cdigo: Opcional, cdigo del registro de auditoria.
Descripcin: Opcional, Notas generales.

4.1.14. TIPO DE REQUISITOS

De acuerdo con lo definido en las normas ISO 9001:2000, NTCGP 1000:2004 y la ISO
19011:2002, se tiene el siguiente esquema de requisitos a cumplir:

LEGALES

IMPLCITOS

TCNICOS

Para describirlos, se requiere registrar:

Nombre: Nombre del tipo de requisito.


Cdigo: Opcional, cdigo del tipo de requisito.
Descripcin: Opcional, Notas generales.

EXPLICITOS
(CLIENTE)

4.2.

PARAMETROS DE ANALISIS DE RIESGO

Incluye las entidades de informacin relativas al manejo de riesgos:

4.2.1.

Nivel del riesgo.


Respuesta al riesgo.

NIVEL DEL RIESGO

Presenta la escala de posibles valores del nivel del riesgo:

Nombre: Nombre del nivel de riesgo.


Cdigo: Opcional, cdigo del nivel de riesgo.
Descripcin: Opcional, Notas generales.

4.2.2.

RESPUESTA AL RIESGO

Las estrategias de administracin y manejo del riesgo que incluye varias respuestas, desde
la mitigacin y reduccin del riesgo hasta asumirlo en parte o completamente.
El anlisis de riesgo es un paso fundamental y necesario para la auditoria enfocada a la
vulnerabilidad de riesgos.
La descripcin de la respuesta incluye:

Nombre: Nombre de la respuesta al riesgo.


Cdigo: Opcional, cdigo de la respuesta al riesgo.
Descripcin: Opcional, Notas generales.

4.3.

PARAMETROS DE TIPOS DE DATOS

Incluye las entidades de informacin relativas a los datos manejados:

4.3.1.

Tipos de datos.
Tipos tabulares

TIPOS DE DATOS

Seala los tipos de datos que pueden ser recogidos en las actividades de campo de la
auditoria:

Nombre: Nombre del tipo de dato.


Cdigo: Opcional, cdigo del tipo de dato.
Descripcin: Opcional, Notas generales.

4.3.2.

TIPOS TABULARES DE DATOS

Algunos de esos datos pueden tomar valores predefinidos los cuales deben listarse a fin
de delimitar los resultados a los valores vlidos segn el tipo de datos:

Nombre: Nombre del tipo tabular.


Cdigo: Opcional, cdigo del tipo tabular.
Descripcin: Opcional, Notas generales.

5.

AREA DE TIPOLOGIAS AUDITABLES

Las tipologas describen de forma general los objetos, sistemas, sistemas de gestin,
mecanismos que pueden ser objeto de auditoria

Las tipologas pueden ser analizadas, o mejor, auditadas, bajo diversos facetas, esto es
bajo la lupa del anlisis de riesgos (vulnerabilidad), del ajuste a caractersticas planteadas
o del cumplimiento o conformidad de requisitos (en lo normativo, tcnico, implcito y/o
explcito), tanto de forma inicial como en actividades de seguimiento, por lo cual es
indispensable listar los posibles riesgos (riesgos factibles), las caractersticas que describen
la tipologa as como los requisitos que aplican sobre el mismo, a partir de un anlisis serio
previo a cualquier actividad de trabajo en campo:

Riesgos Factibles.
Caractersticas.
Requisitos

5.1.

LA TIPOLOGIA

Los objetos auditados (procesos, tecnologas, herramientas, sistemas, entre otros) pueden
ser clasificados de forma general lo cual facilita el identificar los elementos comunes y por
ende de sus caractersticas compartidas.
El registro de tipologas, incluye:

5.2.

Nombre: Nombre de la tipologa.


Cdigo: Codificacin de la tipologa.
Referencia: Referencia por la cual surge la tipologa.
Descripcin: Descripcin detallada de la tipologa.
Notas: Opcional, Notas generales.
RIESGOS FACTIBLES

En anlisis de riesgos incluye el identificar y valorar los riesgos segn la probabilidad de


ocurrencia y su impacto en la organizacin, lo cual l clasifica en un nivel de riesgo dado:

Nombre: Nombre del riesgo.


Cdigo: Codificacin del riesgo.
Probabilidad: Nivel de Probabilidad de ocurrencia.
Impacto: Nivel de Impacto del riesgo en la organizacin.
Causas: Posibles causas del riesgo.
Acciones: Acciones propuestas de forma preliminar (plan de contingencia).
Controles: De que forma se controla el riesgo.
Interno: Indica si el riesgo parte desde dentro de la organizacin o del sistema.
Nivel de riesgo: Catalogacin del riesgo.
Tipologas: Tipologa a la cual aplica el riesgo.
Descripcin: Descripcin detallada del riesgo.
Notas: Opcional, Notas generales.

5.3.

CARACTERSTICAS

Cada tipologa tiene un conjunto de caractersticas fsicas, tcnicas, funcionales, de


seguridad, que le son propias y le definen, como por ejemplo velocidad de procesador
para la tipologa equipo de cmputo, la cual en el objeto equipo de cmputo 1001 tendr
una velocidad de 2.4 Ghz
Las caractersticas se describen segn los siguientes campos:

Nombre: Nombre de la caracterstica


Cdigo: Codificacin de la caracterstica
Tipo de datos: Tipo de datos de la caracterstica enunciada
Tipologas: Tipologa a la cual aplica la caracterstica enunciada
Referencia: Referencia de la caracterstica.
Descripcin: Opcional, Notas generales.

5.4.

REQUISITOS

Segn se present en el numeral 4.1.14 tipos de requisitos la tipologa requiere listar los
posibles requisitos legales o normativos, tcnicos, implcitos y explcitos (del cliente o del
contrato) que sern objeto del proceso de auditor en cuanto a la revisin de conformidad
de los requisitos.
Antes de auditar se debe analizar a profundidad los diversos requisitos que aplican en la
descripcin de la tipologa, incluyendo no solo los normativos sino los otros indicados.
La informacin a describir en cada caso es:

Nombre: Nombre del requisito


Cdigo: Codificacin del requisito
Cumple: Indica si se debe evaluar su cumplimiento
Desde: Fecha desde la cual aplica o es vigente el requisito
Hasta: Fecha hasta la cual aplica o es vigente el requisito. Si est activo, se debe
colocar la misma fecha de inicio.
Requerimiento: Requerimiento por el cual el requisito debe aplicar.
Referencia: Referencia de la caracterstica.
Tipo de requisito: Segn la clasificacin de requisitos.
Norma: Norma de referencia.
Tipologas: Tipologa a la cual aplica el requisito
Descripcin: Opcional, Notas generales.

6.

AREA DE OBJETOS AUDITABLES

Define de forma explcita el elemento (procesos, personas, herramientas, tecnologas,


polticas documentacin, sistemas de gestin) que es objeto del proceso auditor, de tal
forma que se identifiquen de forma explcita las caractersticas y riesgos (vulnerabilidades)
del objeto en particular.
Lo anterior puede ilustrarse de la siguiente forma en el caso de software: la tipologa
puede hacer referencia a sistemas de informacin, y el objeto a un sistema de informacin
de tipo financiero.

La declaracin de objetos permite a su vez usar la siguiente informacin complementaria:

Anlisis de vulnerabilidades.
Caractersticas.

6.1.

EL OBJETO

La declaracin de objetos incluye:

6.2.

Nombre: Nombre del objeto.


Cdigo: Codificacin del objeto.
Tipologa: Tipologa a la cual pertenece.
Referencia: Referencia que ilustra el objeto (por ejemplo la norma principal).
Localizacin: Sitio en el cual se ubica o se centra el objeto.
Notas: Opcional, Notas generales.
VULNERABILIDADES

Segn el anlisis de riesgo planteado en la tipologa, se puede contemplar el registro de


vulnerabilidades presentes o estimadas en el objeto:

La vulnerabilidad podemos caracterizarla de la siguiente forma:

6.3.

Causas: Causas planteadas para que la vulnerabilidad est presente.


Acciones: Acciones especficas planteadas para atender tal vulnerabilidad.
Controles: Controles presentes frente a la vulnerabilidad.
Elemento de riesgo: A que elemento de riesgo pertenece la vulnerabilidad.
Objeto auditado: Objeto al cual pertenece la vulnerabilidad.
Notas: Opcional, Notas generales.
CARACTERSTICAS

As como se plantean caractersticas generales de la tipologa (por ejemplo capacidad) se


pueden definir caractersticas especficas del objeto (capacidad de proceso, capacidad de
concurrencia, capacidad de los campos de datos, capacidad de registros) como dato
puntual que describe (y puede ser auditado) al objeto.

Las caractersticas se describen segn los siguientes campos:

Caracterstica: Caracterstica tipo (de la tipologa) de la cual se deriva la caracterstica


a registrar.
Nombre: Nombre de la caracterstica
Cdigo: Codificacin de la caracterstica
Referencia: Referencia de la caracterstica.
Objeto auditado: Objeto al cual pertenece la caracterstica.
Descripcin: Opcional, Notas generales.

7.

AREA DE AUDITORIA

Esta rea permite el registro de las actividades de auditoria. Estas actividades incluyen las
pruebas, ensayos, inspecciones, comparaciones y verificaciones que se realicen bajo los
criterios de auditoria definidos para cada tipologa auditable.

Una vez registrada la auditoria, se debe incorporar la siguiente informacin:

Evaluacin de criterios, consistente en la aplicacin de la auditoria misma.


Participantes, relacionando quienes participan en el proceso auditor.
Soportes, sobre que documentos acompaan la actividad.
Hallazgos, que hallazgo surgen de la no conformidad de los criterios.
No conformidades, Verificados los hallazgos cuales se convierten en No conformidad.
Relacin de hallazgos, relaciona que hallazgos pertenecen a una no conformidad.
Anexos, documentos cargados.
Actividades, sobre las actividades realizadas en la auditoria bajo el enfoque PHVA.

7.1.

LA AUDITORIA

El registro de la actividad de auditoria rene la informacin general y administrativa de


realizacin de la misma, en buena parte procedente de los resultados de la planificacin
de la actividad de auditoria, segn se especifica a continuacin:

Fecha de realizacin: Fecha en la cual se inici la auditoria.


Fecha de reporte: Fecha en la cual se inform sobre los resultados de la auditoria.
Objeto auditado: Indica que objeto fue auditado.
Objetivos: Informa sobre los objetivos especficos de la actividad de auditoria.
Auditor lder: Informa sobre quien estuvo a cargo del proceso auditor.
Plan de auditoria: Relaciona la actividad de auditoria con la planeacin realizada.
Modalidad de auditoria: Segn la modalidad planteada en el rea de parmetros.
Parte de auditoria: Informa sobre que tipo de organismo realiza la auditoria.
Lugar: Describe la localizacin del objeto auditado.
Referencia: Habla sobre las referencias principales (requisitos y en especial los de tipo
normativo) tenidas en cuenta para la actividad de auditoria
Notas: Notas sobre la actividad.

7.2.

EVALUACIN DE CRITERIOS

La actividad de auditoria est ligada a la confrontacin de los criterios de auditoria frente


al objeto a ser auditado. Estos criterios, definidos de forma previa, informan sobre la
conformidad referente a uno o varios requisitos:

7.3.

Objeto: Nombre del objeto auditado.


Lista de chequeo: Criterio que est siendo evaluado.
Fuente: Lugar del cual surge la informacin.
Auditoria: Refiere a la actividad de auditoria en curso.
Evaluacin criterio: Resultado de la evaluacin del criterio.
Notas: Opcional, Notas generales.
PARTICIPANTES

Cada actividad de auditoria implica la participacin de varias personas naturales o jurdicas,


como auditados o auditores, expertos y dems, segn se haya parametrizado.

La informacin de los participantes, previamente registrados, incluye:

Participacin: Informa sobre el tipo de participacin.


Participante: Refiere a la persona que participa
Participacin: Indica desde que fecha inicia su participacin.
Referencia: Referencia de la participacin (nombramiento, delegacin, autorizacin).
Descripcin: Opcional, Notas generales.

7.4.

SOPORTES

Dentro de la actividad de auditoria es comn el acompaar la evaluacin de criterios con


documentos que proporcionen evidencia sobre la conformidad o no de ciertos aspectos.
En este caso debe relacionarse cada uno de los soportes entregados:

7.5.

Requisito: Requisito al cual apunta el soporte


Tipo de registro: Refiere al tipo documental del soporte
Nombre: Nombre completo del soporte (ttulo del mismo)
Cdigo: Codificacin del soporte (si la tiene)
Fecha: Fecha del soporte.
Anexo: Indica si est anexo a la actividad de auditoria
Auditoria: Actividad de Auditoria a la cual pertenece el soporte.
Descripcin: Opcional, Notas generales.
HALLAZGOS

Cuando uno o varios criterios de auditoria no se cumplen, se puede establecer un hallazgo


el cual debe relacionarse segn la informacin que se describe:

7.6.

Nombre: Nombre del hallazgo


Cdigo: Codificacin del hallazgo
Fecha activacin: Fecha desde la cual est activo el hallazgo
Fecha solucin: Fecha hasta la cual est activo el hallazgo, si an est activo debe
colocarse la misma fecha de activacin.
Estado: Indica en forma textual en que estado se encuentra el hallazgo (solucin).
Descripcin: Opcional, Notas generales.
Referencia: Referencia del hallazgo, especialmente que requisitos no se cumplen.
Auditoria: Actividad de auditoria en la cual se dio el hallazgo.
Notas: Notas generales tanto del hallazgo como de su solucin
NO CONFORMIDADES

La agrupacin de uno o varios hallazgos, frente a un requisito o grupo de requisitos


comunes determina la aparicin de una no conformidad la cual debe ser registrada as:

7.7.

Nombre: Nombre de la no conformidad


Cdigo: Codificacin de la no conformidad
Estado: Estado de la no conformidad
Fecha activacin: Fecha desde la cual est activa la no conformidad
Fecha solucin: Fecha hasta la cual est activa la no conformidad, si an est activa
debe colocarse la misma fecha de activacin.
Descripcin: Opcional, Notas generales.
Referencia: Referencia de la no conformidad, especialmente de los requisitos.
Notas: Notas generales tanto de la no conformidad como de su solucin
RELACION DE HALLAZGOS

Debido a que las no conformidades surgen a partir de hallazgos, debemos relacionarlos de


forma que se pueda conocer en todo momento el origen tcnico de la no conformidad:

7.8.

Hallazgo: Nombre del hallazgo.


No conformidad: Nombre de la no conformidad
Notas: Opcional, Notas generales.
ANEXOS

De igual forma que los soportes describen que material acompaa al proceso auditor, los
anexos permiten mantener de forma electrnica los soportes que hayan sido entregados
en forma digital o que hayan sido escaneados para una gil consulta:

7.9.

Tipo de documento: Segn las tipologas documentales definidas.


Ubicacin: Localizacin del archivo a ser cargado
Principal: Indica si el anexo es de tipo fundamental o es de tipo secundario.
Fecha: Fecha del documento.
Descripcin: Opcional, Notas generales.
Auditoria: Actividad de auditoria a la cual pertenece el anexo.
Notas: Notas generales tanto de la no conformidad como de su solucin
ACTIVIDADES

Este aparte busca relacionar y de paso verificar la realizacin de todas las actividades
necesarias para el proceso auditor dentro del ciclo PHVA, incluyendo, la aplicacin de
auditoria en diversas pruebas y mecanismos, ensayos, inspecciones y dems.

Estas actividades requieren relacionar lo siguiente:

Tipo de actividad: Tipo de actividad referente a la auditoria segn se defini


Fecha: Fecha de realizacin de la actividad
Lugar: Lugar en el cual se llevo a cabo la actividad
Recursos: Recursos involucrados en dicha actividad.
Participantes: Quienes participaron en la actividad.
Resultados: Resumen de los resultados.
Auditoria: Auditoria a la cual estn ligadas las actividades
Descripcin: Opcional, Notas generales.

8.

AREA DE PLANEACIN DE LA AUDITORIA

La planeacin de la auditoria es un paso necesario y fundamental, segn el ciclo PHVA,


para garantizar el cumplimiento de objetivos de la misma.

La planificacin de la auditoria exige en trminos generales la determinacin de los


siguientes componentes de informacin:

Criterios de auditoria. Sobre como evaluar la conformidad o no frente a los


requisitos aplicables al objeto a ser auditado.
Requerimientos. Que requisitos aplican sobre el objeto a ser auditado.
Actividades. Relacionando el desarrollo de todas aquellas actividades propias de
la planificacin y de la entrega de resultados.
Participantes. Donde se relacionan todos aquellos que participan en el proceso
auditor en las formas establecidas en el rea de parametrizacin del sistema de
informacin.

8.1.

EL PLAN DE AUDITORIA

El plan de auditoria requiere registrar la siguiente informacin administrativa como punto


de partida para la realizacin del proceso auditor.

Cdigo: Codificacin del plan de auditoria.


Fecha: Fecha de aprobacin del plan de auditoria.
Objetivos: Lista de los objetivos del plan.
Duracin: Duracin prevista de la auditoria
Enfoque: especifica hacia donde est enfocada la auditoria.
Alcance: Indica el cubrimiento y la exclusin de la actividad.
Frecuencia: Seala el nmero de actividades de evaluacin a realizar por ao

8.2.

Informacin del cliente: Informacin general del cliente.


Informacin de la locacin: Indica la informacin del lugar donde se encuentra el
objeto a ser auditado.
Informacin corporativa: Rene en un solo sitio la informacin del cliente, tanto a nivel
orgnico, estructural como de forma especfica en el objeto a auditar.
Datos anteriores: Especialmente de anteriores auditorias.
Recursos requeridos: Donde se relacionan los recursos fsicos, humanos, tcnicos y
tecnolgicos, as como los financieros, necesarios para el desarrollo de la actividad.
Referencia: Referencia normativa principal del plan.
Notas: Opcional, Notas generales.
CRITERIOS DE AUDITORIA

El ejercicio de la auditoria requiere especificar cuales son los criterios de la misma, pues a
partir de ellos es que se determinan los hallazgos y posibles no conformidades. Siguiendo
la norma tcnica, todo aquello que no est planteado como criterio de auditoria no puede
ser auditado y mucho menos determinarse como hallazgo, salvo aquellas situaciones de
alto riesgo y que sean evidentes:

8.3.

Concepto: Criterio de auditoria.


Tipos de datos: Tipos de datos.
Grupo: Agrupacin del criterio de auditoria.
Plan de auditoria: Plan de auditoria en el cual est inscrito el criterio.
Requisito a evaluar: Requisito principal a evaluar.
Referencia: Referencias normativas (requisitos) relacionados.
Notas: Opcional, Notas generales.

REQUERIMIENTOS

El pan de auditoria debe estar alineado con el cumplimiento de requisitos, bien sean stos
de tipo normativo, tcnico, implcito o explcito, para lo cual deben identificarse y
relacionarse en el sistema de informacin, segn las caractersticas indicadas:

8.4.

Elemento de chequeo: Elemento relacionado con el requerimiento a evaluar


Nombre: Nombre del requisito
Cdigo: Cdigo del requerimiento
Referencia: Referencia de la caracterstica.
Descripcin: Opcional, Notas generales.
ACTIVIDADES

Como ya se ha planteado, el plan de auditoria incluye la realizacin de diversas auditorias


dentro del ciclo PHVA o SHVA, donde deben relacionarse todas aquellas referentes a la
planeacin (P) o la Verificacin (V) y Actuacin (A). Estas actividades poseen el siguiente
formato a ser diligenciado:

Tipo de actividad: Tipo de actividad segn la clasificacin previamente definida.


Fecha: Fecha de realizacin de la actividad.
Lugar: Lugar de realizacin de la actividad.
Recursos: Recursos necesarios para la realizacin de la actividad.
Participantes: Participantes involucrados en la realizacin de la actividad.
Resultados: Resultados de la actividad.
Plan de auditoria: Plan al cual pertenecen las actividades.
Descripcin: Opcional, Notas generales.

8.5.

PARTICIPANTES

La planificacin requiere de la participacin de diversas partes en todas sus actividades,


las cuales deben estar registradas en el sistema de informacin:

Participacin: Informa sobre el tipo de participacin.


Participante: Refiere a la persona que participa
Plan de auditoria: Plan en el cual sucede la participacin.
Referencia: Referencia de la participacin (nombramiento, delegacin, autorizacin).
Descripcin: Opcional, Notas generales.

9.

AREA DE ACCIONES PROPUESTAS PARA MEJORA

Uno de los efectos de la auditoria es la proposicin de acciones correctivas o preventivas


dentro de lo que se conoce como plan de mejora (mejora continua)

La mejora continua desde el punto de vista de la auditoria incluye la definicin de


aspectos relacionados tales como:

Acciones. Acciones propuestas


Acciones por no conformidad. Relacin de acciones por cada no conformidad
de modo que se puedan establecer causa efecto entre cada caso y examinar
posteriormente si la accin fue efectiva para resolver la no conformidad.
Indicadores. Mecanismo de medicin de la accin.
Metas. Metas propuestas en cantidad y tiempo

9.1.

EL PLAN DE MEJORA

El plan de mejora contiene la siguiente informacin administrativa:

9.2.

Nombre: Nombre del plan de mejora.


Cdigo: Codificacin del plan de mejora.
Fecha de inicio: Fecha desde la cual est vigente el plan.
Fecha vencimiento: Fecha hasta la cual est vigente el plan.
Referencia: Referencia del plan de mejora.
Descripcin: Descripcin del plan.
Notas: Opcional, Notas generales.
ACCIONES

El plan de mejora se lleva a la prctica mediante acciones que se relacionan as:

Nombre: Nombre de la accin.


Cdigo: Codificacin de la accin.
Estado: Estado de la accin.
Descripcin: Descripcin de la accin.
Fecha de activacin: Fecha en la cual debe activarse la accin.
Fecha de inicio: Fecha desde la cual debe iniciar la accin.
Fecha solucin: Fecha para la cual la accin debe haber resuelto la no conformidad.
Plan de mejora: Dentro del cual se encuentra la accin.
Tipo de respuesta: Que enfoque asume la organizacin frente a la no conformidad.
Responsable: Titular y responsable de la accin.
Notas: Opcional, Notas generales.

9.3.

ACCIONES POR NO CONFORMIDAD

Cada no conformidad tiene como respuesta una o varias acciones, las cuales debe
enlazarse para entender la causalidad de las acciones y su resultado e impacto, frente a la
no conformidad encontrada.

9.4.

No conformidad: Nombre de la no conformidad que se necesita resolver


Accin: Accin propuesta.
Descripcin: Opcional, Notas generales.
INDICADORES

Para poder evaluar que la accin vaya por el camino planteado, se deben definir sendos
indicadores que permitan evaluar el avance del mismo y que su resultado sirva como base
para posteriores auditorias. Los indicadores incluyen:

Nombre: Nombre del indicador


Cdigo: Codificacin del indicador
Descripcin: Descripcin del indicador
Referencia: Referencia (normativa o tcnica) del indicador

9.5.

Valido desde: Fecha desde la cual es vlido el indicador.


Valido hasta: Fecha hasta la cual es vlido el indicador.
Accin de origen: Accin que se pretende medir.
Tipo de dato: Tipo de dato del indicador
Descripcin: Opcional, Notas generales.

METAS

Cada indicador debe tener una meta, como mecanismo vlido para asegurar que se ha
cumplido la accin. Cada meta contiene:

Indicador: Indicador bajo evaluacin


Desde: Fecha desde la cual aplica la meta
Hasta: Fecha hasta la cual aplica la meta y se debe conseguir la misma
Meta: Definicin de la meta
Desempeo: Desempeo esperado
Notas: Notas generales.

10.

AREA DE USUARIOS

Forma de lectura

Forma de actualizacin

La administracin de usuarios es labor exclusiva del administrador del sistema. Sin


embargo es potestad de cualquier usuario cambiar su login y clave en cualquier momento.
Para acceder a la administracin de usuarios, se da clic en MI SITIO, desde donde se
accede a la forma de lectura. Si se tienen derechos de administrador, se mostrarn los
permisos y la lista de usuarios registrados, como informacin auxiliar, pudiendo aadir,
modificar y borrar usuarios.

Al aadir o actualizar un usuario, dando clic en los botones ACTUALIZAR, AADIR o clic en
el enlace del usuario, se presenta la forma de actualizacin, donde se puede ingresar:

Usuario: Que identifica al usuario al momento de ingresar.


Activo: Indica si es activo o inactivo. Un usuario puede inactivarse en lugar de borrar.
Clave repetir clave: Informacin del password.
Nombre: Nombre general del usuario.
Permisos: Cadena de permisos que se le desea asignar al usuario por rea y funcin.

TABLA DE CONTENIDO
1. LA INTERFAZ DE USUARIO
2. ACCESO AL SISTEMA DE INFORMACION
3. USO DEL SISTEMA DE INFORMACION
4. AREA DE PARAMETRIZACION
4.1. PARAMETROS DE AUDITORIA
4.1.1.
PARTICIPANTES
4.1.2.
FUENTES
4.1.3. NORMA TCNICA
4.1.4.
MODALIDAD
4.1.5.
GRUPOS EVALUACIN
4.1.6.
TIPO DE PARTICIPACIN
4.1.7.
PARTE DE AUDITORIA
4.1.8.
ENFOQUE DE AUDITORIA
4.1.9.
PROCEDIMIENTOS DE AUDITORIA
4.1.10. ACTIVIDADES DE PLANEACIN
4.1.11. ACTIVIDADES DE AUDITORIA
4.1.12. DOCUMENTOS DE AUDITORIA
4.1.13. REGISTROS DE AUDITORIA
4.1.14. TIPO DE REQUISITOS
4.2. PARAMETROS DE ANALISIS DE RIESGO
4.2.1.
NIVEL DEL RIESGO
4.2.2.
RESPUESTA AL RIESGO
4.3. PARAMETROS DE TIPOS DE DATOS
4.3.1.
TIPOS DE DATOS
4.3.2.
TIPOS TABULARES DE DATOS
5. AREA DE TIPOLOGIAS AUDITABLES
5.1. LA TIPOLOGIA
5.2. RIESGOS FACTIBLES
5.3. CARACTERSTICAS
5.4. REQUISITOS
6. AREA DE OBJETOS AUDITABLES
6.1. EL OBJETO
6.2. VULNERABILIDADES
6.3. CARACTERSTICAS
7. AREA DE AUDITORIA
7.1. LA AUDITORIA
7.2. EVALUACIN DE CRITERIOS
7.3. PARTICIPANTES
7.4. SOPORTES
7.5. HALLAZGOS
7.6. NO CONFORMIDADES
7.7. RELACION DE HALLAZGOS

1
3
4
7
7
8
8
9
9
10
10
10
11
11
12
12
13
13
14
15
15
16
17
17
18
19
20
20
21
22
23
24
24
25
26
27
28
28
29
29
30
30

7.8.
7.9.
8.
8.1.
8.2.
8.3.
8.4.
8.5.
9.
9.1.
9.2.
9.3.
9.4.
9.5.
10.

ANEXOS
ACTIVIDADES
AREA DE PLANEACIN DE LA AUDITORIA
EL PLAN DE AUDITORIA
CRITERIOS DE AUDITORIA
REQUERIMIENTOS
ACTIVIDADES
PARTICIPANTES
AREA DE ACCIONES PROPUESTAS PARA MEJORA
EL PLAN DE MEJORA
ACCIONES
ACCIONES POR NO CONFORMIDAD
INDICADORES
METAS
AREA DE USUARIOS

31
31
33
34
35
35
36
37
38
39
39
40
40
41
42