MANUAL DEL USUARIO DE AUDIRISK

Versin 2012

ETAPA 2: COMPRESION/ FAMILIARIZACION CON EL PROCESO O SISTEMA

OBJETO DE AUDITORIA

SOFTWARE DE AUDITORIA BASADA EN RIESGOS, PARA PROCESOS DE

NEGOCIO Y SISTEMAS DE INFORMACIN

Contenido

ETAPA 2: COMPRENSIN / FAMILIARIZACIN CON EL PROCESO O SISTEMA OBJETO DE AUDITORA. ...................................................................................................................................................... 3

Paso 2.1: Gua Archivo Permanente de la Auditora. ............................................................... 4

PASO 2.2: CARACTERIZACIN DEL PROCESO / APLICACIN. .................................................. 17

PASO 2.3: DATOS CRTICOS PARA LA AUDITORIA: ................................................................. 20

PASO 2.4: PAPELES DE TRABAJO .......................................................................................... 22

PASO 2.5: ESTADO DE AVANCE DE LA AUDITORIA. ............................................................... 22

ETAPA 2: COMPRENSIN / FAMILIARIZACIN CON EL PROCESO O SISTEMA OBJETO DE AUDITORA.

El objetivo de esta etapa es asistir al auditor en la comprensin y familiarizacin con el ambiente

tcnico y operativo del proceso o sistema objeto de auditora y su importancia para los objetivos

del negocio o la misin de la empresa. El entendimiento de los objetivos que satisface el proceso

o sistema bajo auditora son indispensables para los dems pasos de la auditoria, puesto que

Nadie podr realizar una buena auditoria sin conocer el contexto del proceso que ser auditado.

Para ingresar a esta opcin, haga clic sobre Comprensin Familiarizacin y el software mostrar la

pantalla de la figura 2.31

Figura 2.31: Men de la Etapa 2, Comprensin / Familiarizacin.

Las funcionalidades del software en esta etapa se presentan en cinco (5) opciones:

1) Gua Archivo Permanente de la Auditoria.

2) Caracterizacin del proceso o sistema a evaluar (obligatorio).

3) Cifras Crticas para la Auditoria

4) Papeles de trabajo

5) Control de Avance de la Auditoria.

Paso 2.1: Gua Archivo Permanente de la Auditora.

Por cada auditoria que se realice con AUDIRISK, deber elaborarse o actualizarse un archivo

permanente o expediente continuo de la auditora. Este contiene la informacin vital del proceso

o sistema objeto de auditora, que sirve como fuente permanente de consulta y referencia

archivstica de los antecedentes y el estado de funcionamiento del proceso o sistema.

De acuerdo con el tipo de auditora que se est ejecutando (procesos del modelo de operacin,

aplicaciones de computador, infraestructura de TI o Procesos TI), el software presentar una

pantalla con la lista de elementos de informacin incluidos en el mdulo de parametrizacin,

opcin Parmetros de la Metodologa, Mantenimiento de Tablas Bsicas, en la tabla de

requerimientos de informacin del archivo permanente.

La tabla de requerimientos archivo permanente contiene una lista de tems que deberan

obtenerse y analizarse con el fin de comprender la esencia del proceso o sistema objeto de la

auditoria. La lista de elementos elegibles para elaborar el archivo permanente se indica a

continuacin:

No

Requerimientos Contenido del Archivo Permanente

(1)

(2)

(3)

(4)

1 Objetivos del proceso o sistema x X X X

2. Salidas / productos x X X X

3. Actividades macro x X X X

4 Entradas / insumos x X X X

5 Antecedentes x X X X

6. reas organizacionales que intervienen en el manejo de la informacin

x X X X

7 Terceros que intervienen x X X x

8. Tipo de Procesos que soporta (estratgicos, misionales o de soporte).

x X X x

No

Requerimientos Contenido del Archivo Permanente

(1)

(2)

(3)

(4)

9 Personal clave en el manejo del proceso / sistema x X X X

10 Estructura de organizacin que soporta el funcionamiento del proceso

x X X X

11 Descripcin de Funciones o de puestos de trabajo

12 Factores crticos de xito

13 Documentacin existente x X X X

14. Indicadores de gestin x X X X

15. Diseo de Archivos de E/S X

16 Recursos de Hardware x X X X

17. Recursos de Software x X X X

18 Recursos de Informacin clave x X X X

19 Normas legales que rigen el funcionamiento x X X x

20 Otros recursos / activos

(*) Los nmeros entre parntesis indican el tipo de auditora al que aplica el requerimiento. Estos son: (1) Procesos del Modelo de Operacin de la Empresa; (2) Aplicaciones de computador; (3) Infraestructura de TI y (4) Procesos de TI (COBIT e ISO 27001).

Paso 2.1.1 requerimientos archivo permanente

Haga clic sobre el submen Seleccionar Requerimientos Archivo Permanente, y el software

presenta la pantalla de la figura 2.32. Al lado izquierdo se muestra la lista de Requerimientos

Elegibles. De estos, el auditor seleccionar los que apliquen y utilizando la opcin de

Mantenimiento requerimientos archivo permanente, podr modificar el contenido de la lista o

adicionar nuevos elementos.

Figura 2.32: Seleccionar requerimientos de Archivo Permanente.

Para seleccionar los requerimientos aplicables que integrarn el Archivo Permanente de la

auditoria que se est realizando, posicione el cursor sobre el checkbox colocado a la izquierda del

elemento elegible y haga clic sobre la flecha que apunta a la derecha; si desea reversar algn

requerimiento seleccionado, mrquelo con el cursor en la caja de chequeo de los requerimientos

elegidos y haga clic sobre flecha hacia la izquierda .

Mantenimiento Requerimientos Archivo Permanente.

Si desea adicionar requerimientos o modificar los existentes, haga clic en el botn de

Mantenimiento Requerimientos Archivo Permanente. El software presenta la pantalla que se

muestra a continuacin en la figura 2.34

Figura 2.34: Mantenimiento requerimientos del archivo permanente.

Para adicionar requerimientos, haga clic sobre el botn Agregar y el software presenta la pantalla

de la figura 2.34a, para que ingrese los datos en los campos descripcin y descripcin detallada.

Figura 2.34a: Mantenimiento de requerimientos del archivo permanente.

Para grabar los datos ingresados, haga clic sobre el botn Aceptar. Para salir sin grabar los datos

digitados, haga clic en el botn Cancelar.

Para Modificar los requerimientos existentes, en la pantalla 2.34 haga clic sobre la accin

Modificar que corresponda al requerimiento deseado y el software mostrar los campos de datos

que pueden modificarse. Ingrese los cambios y para grabarlos, haga clic sobre el botn Aceptar.

Reporte.

Haga clic sobre el botn impresin y el software genera el reporte de la lista del contenido del

archivo permanente de la auditoria, mostrando el requerimiento, el medio en que se encuentra y

la localizacin del mismo.

Figura 2.34b: Mantenimiento requerimientos del archivo permanente.

Paso 2.1.2: Incluir Referencia a los Archivos Permanentes

En la pantalla de la figura 2.33, haga clic sobre el submen Incluir Referencia a Archivo

Permanente y el software muestra la pantalla de la figura 2.35.

Figura 2.35: Mantenimiento requerimientos del archivo permanente.

El objetivo de este submen es incluir la referencia o identificacin del papel o medio magntico

que contiene la informacin de cada uno de los requerimientos seleccionados para integrar el

archivo permanente.

Por cada requerimiento, la pantalla presenta los siguientes encabezados de columna:

Id requerimiento. Nombre del requerimiento. Medio (Papel o Medio magntico). Referencia. Accin (Agregar Ver).

Para incluir las referencias por cada requerimiento:

a) Haga clic sobre la accin Agregar en la pantalla de la figura 2.35 y el software muestra la

pantalla de la figura 2.36. Posicinese en la caja de seleccin a la derecha de la palabra

Medio.

Figura 2.36: Agregar la referencia del papel de trabajo.

b) Si la informacin del requerimiento est en medio magntico, seleccione Magntico; a

continuacin, haga clic sobre el botn Examinar y el software muestra la lista de archivos

y carpetas del disco duro del PC o servidor; seleccione la ruta del archivo que contiene la

informacin del requerimiento y haga clic sobre el botn Abrir. Entonces, en el botn

Referencia se visualizar la ruta en donde se encuentra el archivo con la informacin del

elemento (requerimiento) del archivo permanente de la auditora. Haga clic sobre el

botn Guardar para grabar la informacin ingresada y regresar a la pantalla 2.35.

c) Si la informacin del requerimiento est en papel, en la pantalla de la figura 2.36

seleccione Papel; a continuacin el software muestra la pantalla de la figura 2.36b. En el

campo Referencia, ingrese el nombre del papel o papeles que contienen la informacin

de este elemento (requerimiento) del archivo permanente.

Figura 2.36b: Referencias de papeles de trabajo en Papel.

Haga clic sobre el botn Guardar para grabar la informacin ingresada y regresar a la pantalla

2.35.

Botn Ver.

En la figura 2.35, haga clic sobre la accin Ver correspondiente al requerimiento deseado y el

software muestra la pantalla de la figura 2.36c. En la parte inferior de esta pantalla el software

muestran:

El nombre del requerimiento,

Id

La referencia ingresada por el auditor.

Figura 2.36c: Ver Referencias de papeles de trabajo en Papel o Medio Magntico.

Botn TO Dos

En las pantallas de las figuras 2.35 o 2.36, haga clic sobre el botn TO Dos y el software muestra

la pantalla de la figura 2.37.

Figura 2.37: Activacin del Botn TO DOs Pendientes por hacer.

Cuando este botn est inactivo, aparece con color Verde. nicamente puede ser activado por el

perfil de nivel Supervisor. Cuando est activo aparece con color Rojo y contiene comentarios o

notas del supervisor, dirigidas al Auditor o Analista de Auditoria.

Para activar el botn TO Dos, en la figura 2.37 haga clic sobre el botn Agregar. El software

muestra la pantalla de la figura 2.37a.

Figura 2.37a: Activacin de TO DOs Pendientes por hacer por parte del Supervisor.

El supervisor selecciona el auditor a quin est dirigido el TO DO e ingresa las instrucciones

correspondientes. Entonces, hace clic sobre el botn Aceptar para grabar los datos ingresados y

el software muestra la pantalla de la figura 2.37b.

Figura 2.37b: TO DOs Pendientes por hacer, ingresados por parte del Supervisor.

Haga clic sobre el botn Agregar de la figura 2.37b y el software muestra la pantalla 2.37c en la

que se ve activado el botn TO DOs, con color rojo.

Figura 2.37c: Botn TO DOs Activado.

Mantenimiento de TO DOs.

Los TO DOs pueden ser modificados por el Supervisor. Haga clic sobre el botn TO DOs y el

software mostrar la pantalla de la figura 2.37d.

Figura 2.37d: Mantenimiento de TO DOs por el Supervisor.

Haga clic sobre la Accin Modificar y el software en una pantalla como la figura 2.37a, habilita al

supervisor para modificar el TO DO.

Atencin de TO DOs por parte del Analista de Auditoria.

El Analista de Auditoria a quien corresponda atender el TO DO en color Rojo, pendiente de

atencin, procede como se indica a continuacin:

Haga clic sobre el botn de la figura 2.37c, en color rojo, y el software muestra la pantalla 2.38.

Figura 2.38: Atencin de TO DOs Pendientes por hacer, por parte del Analista de Auditora.

En esta pantalla se muestran los siguientes encabezados de columna:

Id del TO DO;

Descripcin del TO DO;

Estado del TO DO (por responder);

Comentarios, y

Accin Atender.

Haga clic sobre la accin Atender y el software muestra la pantalla de la figura 2.38a, en la que el

Analista de Auditoria escribe sus comentarios para indicar la accin emprendida para atender el

TO DO.

Figura 2.38a: Descripcin Accin de Atencin de TO DOs por el Analista de Auditora.

Despus de escribir los comentarios, haga clic sobre el botn Atender. Entonces el software

presenta la pantalla de la figura 2.38b, con la descripcin de la accin ejecutada en la columna

Comentarios.

Figura 2.38b: TO DO atendido por el Analista de Auditoria.

Reporte Referencias Contenido del Archivo Permanente.

Sobre la pantalla de la figura 2.35 y 2.36a, haga clic sobre el botn Reporte y el software presenta

el reporte de la figura 2.39.

Figura 2.39: Reporte Referencias Contenido del Archivo Permanente.

PASO 2.2: CARACTERIZACIN DEL PROCESO / APLICACIN.

La Caracterizacin del proceso o sistema objeto de auditora, tiene como propsito documentar

las caractersticas claves del proceso o del sistema, que lo hacen diferente de cualquier otro. Este

documento sirve para definir el marco de referencia dentro del cual se efectuar la auditoria.

El software ofrece funcionalidades que ayudan a elaborar este documento. Si la Empresa tiene

implantado el Sistema de Gestin de Calidad SGC- , los datos requeridos estarn disponibles en

ese sistema.

Para ingresar a esta opcin del men, en el men de la etapa Comprensin / familiarizacin haga

clic sobre Caracterizacin y el software muestra la pantalla de la figura 2.40.

Figura 2.40: Caracterizacin del Proceso o sistema objeto de Auditoria.

Dependiendo del tipo de auditora que se est adelantando, el formato de caracterizacin es

diferente. Para Procesos del Modelo de Operacin de la Empresa y Procesos de Tecnologa de

Informacin, el software solicita la siguiente informacin:

Nombre y objetivo del proceso.

Alcance del proceso (donde inicia y donde termina).

Entradas y salidas del proceso.

Proveedores y Clientes del proceso.

Actividades Macro del proceso.

Dependencias que intervienen en el proceso.

Requisitos por cumplir con clientes, legales y con la empresa.

Indicadores, recursos y mtodos de seguimiento.

Procesos soportados en dicho proceso.

Recursos / Activos que se utilizan en el proceso.

Documentacin aplicable.

Para Sistemas de informacin (aplicaciones de computador), se debe documentar la siguiente

informacin:

Nombre y objetivo de la aplicacin.

Alcance de la aplicacin (donde inicia y donde termina).

Procesos de negocio que se apoyan en la aplicacin.

Entradas y salidas de la aplicacin.

Proveedores y Clientes de la aplicacin.

Informacin que maneja la aplicacin para fines estratgico, tctico y operativo.

Escenarios de riesgo (actividades) de la aplicacin.

Dependencias y terceros que interviene en el manejo de la aplicacin.

Normatividad interna y externa que rige su funcionamiento.

Indicadores de gestin de la aplicacin.

De todos los datos mencionados, son obligatorios (estn marcados con *) los siguientes:

a) El nombre del proceso objeto de auditora que se est desarrollando.

b) Las actividades macro o subprocesos que integran el proceso o las actividades del ciclo de

procesamiento de los datos en un sistema de informacin (si es una aplicacin). Estos

elementos constituyen los Escenarios de Riesgo que sern revisados por la auditoria.

La base de conocimientos de la Empresa tiene predefinidas las actividades o escenarios de

riesgo para los siguientes tipos de auditora: aplicaciones de computador, Tecnologa de

Informacin e Infraestructura de TI. Por consiguiente, est lista de escenarios est disponible

para seleccionar los que sean aplicables.

Para las auditorias de procesos del Modelo de Operacin de la Empresa (estratgico, misional,

de apoyo o de control) y de Procesos COBIT, es necesario crear / adicionar los escenarios de

riesgo a utilizar.

c) Las dependencias o reas organizacionales que intervienen en el proceso o en el manejo de

las aplicaciones de computador. Estas dependencias puede ser seleccionadas de las que se

poblaron en la base de conocimientos de empresa (tabla de Dependencias). Durante el

desarrollo de las auditorias, el software permite adicionar reas organizacionales

(dependencias de la empresa) o terceros a la base de empresa.

La definicin de los Recursos / Activos utilizados por el proceso o aplicacin, merece especial

atencin dentro del enfoque de Auditoria Basada en Riesgos, puesto que son la base y punto de

partida para identificar los riesgos del proceso o sistema objeto de la auditoria.

Reporte de la Caracterizacin.

Haga clic sobre el botn de impresin, se obtiene un reporte con los datos del proceso ingresados

en este paso.

PASO 2.3: DATOS CRTICOS PARA LA AUDITORIA:

En este formulario se registran los datos crticos o cifras crticas para el examen de la auditoria.

Estos datos se refieren a informacin de activos susceptibles a errores o malos manejos.

Para acceder a esta opcin del men, haga clic sobre Cifras Crticas y el software muestra la

pantalla de la figura 2.41.

Figura 2.41: Cifras Crticas para el Examen de la Auditoria.

Para ingresar cifras crticas haga clic sobre el botn Agregar y el software muestra la pantalla de la

figura 2.41a, con espacios para ingresar los siguientes datos:

Figura 2.41a: Mantenimiento de Cifras Crticas para el Examen de la Auditoria.

Descripcin: el nombre de la cifra que representa activos controlados por el proceso o sistema.

Detalle: campo para ampliar la descripcin de la cifra crtica.

Tipo de Dato: Seleccione uno de los siguientes:

Calculado: la cifra es producto de operaciones aritmticas.

Asumido: la cifra o dato es asumido automticamente por el software que soporta las

operaciones del proceso.

Ingresado por el dueo del proceso: la cifra se ingresa a los registros del proceso.

Haga clic sobre el botn Guardar para grabar los datos ingresados.

Este procedimiento se repite por cada cifra crtica que se ingrese a AUDIRISK.

La pantalla de la figura 2.41 tambin ofrece botones para generar Reporte de cifras crticas para la

auditoria y activar los TO Dos.

PASO 2.4: PAPELES DE TRABAJO

Por cada etapa de la auditoria, el software ofrece funcionalidades para generar reportes con los

papeles de trabajo ms importantes producidos en la etapa, exportarlos a otros formatos y

almacenarlos en carpetas creadas por el auditor, por fuera del control del software AUDIRISK.

Haga clic sobre Papeles de Trabajo y el software muestra la pantalla de la figura 2.42, en la cual

se muestra una lista con el nombre de los principales papeles de trabajo generados en esta etapa

de la auditoria.

Figura 2.42: Papeles de trabajo relevantes, generados la Etapa Comprensin / Familiarizacin

Para visualizar el reporte de cada papel de trabajo de la lista, haga clic sobre la accin Ver.

Estos reportes pueden ser exportados al formato deseado y guardarse en una carpeta con

nombre asignado por el auditor (se sugiere el nombre de la auditoria seguido de la Etapa; por

ejemplo PT Talento Humano 2011, Etapa 2.

PASO 2.5: ESTADO DE AVANCE DE LA AUDITORIA.

Este paso consta de tres (3) tareas que se visualizan cuando se posiciona el cursor sobre Estado de

Avance de la Auditoria.

Figura 2.43: Men de Estado de Avance de la Auditoria

Las tareas son:

Control de Tiempo de Auditoria por Etapas.

Control de Tiempo de la Auditoria por Auditores.

Control de tiempo acumulado de la Auditoria.

Los procedimientos para desarrollar esta tarea, son los mismos que se describieron para la etapa 1

en los siguientes numerales:

1.3.1: Control de tiempo de la Auditoria por Etapas

1.3.2 Control de tiempo de la auditoria por auditores

1.3.3 Control de tiempo Acumulado en la Auditoria, por Auditores.