MANUAL DEL USUARIO DE AUDIRISK

Versin 2012

ETAPA 2: COMPRESION/ FAMILIARIZACION CON EL PROCESO O SISTEMA

OBJETO DE AUDITORIA

SOFTWARE DE AUDITORIA BASADA EN RIESGOS, PARA PROCESOS DE

NEGOCIO Y SISTEMAS DE INFORMACIN

Contenido
ETAPA 2: COMPRENSIN / FAMILIARIZACIN CON EL PROCESO O SISTEMA OBJETO DE AUDITORA.
...................................................................................................................................................... 3
Paso 2.1: Gua Archivo Permanente de la Auditora. ............................................................... 4
PASO 2.2: CARACTERIZACIN DEL PROCESO / APLICACIN................................................... 17
PASO 2.3: DATOS CRTICOS PARA LA AUDITORIA: ................................................................. 20
PASO 2.4: PAPELES DE TRABAJO .......................................................................................... 22
PASO 2.5: ESTADO DE AVANCE DE LA AUDITORIA. ............................................................... 22

ETAPA 2: COMPRENSIN / FAMILIARIZACIN CON EL PROCESO O

SISTEMA OBJETO DE AUDITORA.
El objetivo de esta etapa es asistir al auditor en la comprensin y familiarizacin con el ambiente
tcnico y operativo del proceso o sistema objeto de auditora y su importancia para los objetivos
del negocio o la misin de la empresa. El entendimiento de los objetivos que satisface el proceso
o sistema bajo auditora son indispensables para los dems pasos de la auditoria, puesto que
Nadie podr realizar una buena auditoria sin conocer el contexto del proceso que ser auditado.
Para ingresar a esta opcin, haga clic sobre Comprensin Familiarizacin y el software mostrar la
pantalla de la figura 2.31

Figura 2.31: Men de la Etapa 2, Comprensin / Familiarizacin.

Las funcionalidades del software en esta etapa se presentan en cinco (5) opciones:
1) Gua Archivo Permanente de la Auditoria.
2) Caracterizacin del proceso o sistema a evaluar (obligatorio).
3) Cifras Crticas para la Auditoria
4) Papeles de trabajo
5) Control de Avance de la Auditoria.

Paso 2.1: Gua Archivo Permanente de la Auditora.

Por cada auditoria que se realice con AUDIRISK, deber elaborarse o actualizarse un archivo
permanente o expediente continuo de la auditora. Este contiene la informacin vital del proceso
o sistema objeto de auditora, que sirve como fuente permanente de consulta y referencia
archivstica de los antecedentes y el estado de funcionamiento del proceso o sistema.
De acuerdo con el tipo de auditora que se est ejecutando (procesos del modelo de operacin,
aplicaciones de computador, infraestructura de TI o Procesos TI), el software presentar una
pantalla con la lista de elementos de informacin incluidos en el mdulo de parametrizacin,
opcin Parmetros de la Metodologa, Mantenimiento de Tablas Bsicas, en la tabla de
requerimientos de informacin del archivo permanente.
La tabla de requerimientos archivo permanente contiene una lista de tems que deberan
obtenerse y analizarse con el fin de comprender la esencia del proceso o sistema objeto de la
auditoria. La lista de elementos elegibles para elaborar el archivo permanente se indica a
continuacin:

No

Requerimientos Contenido del Archivo Permanente

(1)

(2)

(3)

(4)

Objetivos del proceso o sistema

2.

Salidas / productos

3.

Actividades macro

Entradas / insumos

Antecedentes

6.

reas organizacionales
informacin

Terceros que intervienen

8.

Tipo de Procesos que soporta (estratgicos, misionales o de

soporte).

que intervienen en el manejo de la

No

Requerimientos Contenido del Archivo Permanente

(1)

(2)

(3)

(4)

Personal clave en el manejo del proceso / sistema

10

Estructura de organizacin que soporta el funcionamiento del

proceso

11

Descripcin de Funciones o de puestos de trabajo

12

Factores crticos de xito

13

Documentacin existente

14.

Indicadores de gestin

15.

Diseo de Archivos de E/S

16

Recursos de Hardware

17.

Recursos de Software

18

Recursos de Informacin clave

19

Normas legales que rigen el funcionamiento

20

Otros recursos / activos

(*) Los nmeros entre parntesis indican el tipo de auditora al que aplica el requerimiento. Estos son: (1) Procesos del Modelo de
Operacin de la Empresa; (2) Aplicaciones de computador; (3) Infraestructura de TI y (4) Procesos de TI (COBIT e ISO 27001).

Paso 2.1.1 requerimientos archivo permanente

Haga clic sobre el submen Seleccionar Requerimientos Archivo Permanente, y el software
presenta la pantalla de la figura 2.32. Al lado izquierdo se muestra la lista de Requerimientos
Elegibles. De estos, el auditor seleccionar los que apliquen y utilizando la opcin de
Mantenimiento requerimientos archivo permanente, podr modificar el contenido de la lista o
adicionar nuevos elementos.

Figura 2.32: Seleccionar requerimientos de Archivo Permanente.

Para seleccionar los requerimientos aplicables que integrarn el Archivo Permanente de la

auditoria que se est realizando, posicione el cursor sobre el checkbox colocado a la izquierda del
elemento elegible y haga clic sobre la flecha que apunta a la derecha; si desea reversar algn
requerimiento seleccionado, mrquelo con el cursor en la caja de chequeo de los requerimientos
elegidos y haga clic sobre flecha hacia la izquierda

Mantenimiento Requerimientos Archivo Permanente.

Si desea adicionar requerimientos o modificar los existentes, haga clic en el botn de
Mantenimiento Requerimientos Archivo Permanente. El software presenta la pantalla que se
muestra a continuacin en la figura 2.34

Figura 2.34: Mantenimiento requerimientos del archivo permanente.

Para adicionar requerimientos, haga clic sobre el botn Agregar y el software presenta la pantalla
de la figura 2.34a, para que ingrese los datos en los campos descripcin y descripcin detallada.

Figura 2.34a: Mantenimiento de requerimientos del archivo permanente.

Para grabar los datos ingresados, haga clic sobre el botn Aceptar. Para salir sin grabar los datos
digitados, haga clic en el botn Cancelar.

Para Modificar los requerimientos existentes, en la pantalla 2.34 haga clic sobre la accin
Modificar que corresponda al requerimiento deseado y el software mostrar los campos de datos
que pueden modificarse. Ingrese los cambios y para grabarlos, haga clic sobre el botn Aceptar.

Reporte.
Haga clic sobre el botn impresin y el software genera el reporte de la lista del contenido del
archivo permanente de la auditoria, mostrando el requerimiento, el medio en que se encuentra y
la localizacin del mismo.

Figura 2.34b: Mantenimiento requerimientos del archivo permanente.

Paso 2.1.2: Incluir Referencia a los Archivos Permanentes

En la pantalla de la figura 2.33, haga clic sobre el submen Incluir Referencia a Archivo
Permanente y el software muestra la pantalla de la figura 2.35.

Figura 2.35: Mantenimiento requerimientos del archivo permanente.

El objetivo de este submen es incluir la referencia o identificacin del papel o medio magntico
que contiene la informacin de cada uno de los requerimientos seleccionados para integrar el
archivo permanente.

Por cada requerimiento, la pantalla presenta los siguientes encabezados de columna:

Id requerimiento.
Nombre del requerimiento.
Medio (Papel o Medio magntico).
Referencia.
Accin (Agregar Ver).

Para incluir las referencias por cada requerimiento:

a) Haga clic sobre la accin Agregar en la pantalla de la figura 2.35 y el software muestra la
pantalla de la figura 2.36. Posicinese en la caja de seleccin a la derecha de la palabra
Medio.

Figura 2.36: Agregar la referencia del papel de trabajo.

b) Si la informacin del requerimiento est en medio magntico, seleccione Magntico; a
continuacin, haga clic sobre el botn Examinar y el software muestra la lista de archivos
y carpetas del disco duro del PC o servidor; seleccione la ruta del archivo que contiene la
informacin del requerimiento y haga clic sobre el botn Abrir. Entonces, en el botn
Referencia se visualizar la ruta en donde se encuentra el archivo con la informacin del
elemento (requerimiento) del archivo permanente de la auditora. Haga clic sobre el
botn Guardar para grabar la informacin ingresada y regresar a la pantalla 2.35.
c) Si la informacin del requerimiento est en papel, en la pantalla de la figura 2.36
seleccione Papel; a continuacin el software muestra la pantalla de la figura 2.36b. En el
campo Referencia, ingrese el nombre del papel o papeles que contienen la informacin
de este elemento (requerimiento) del archivo permanente.

Figura 2.36b: Referencias de papeles de trabajo en Papel.

Haga clic sobre el botn Guardar para grabar la informacin ingresada y regresar a la pantalla
2.35.
Botn Ver.
En la figura 2.35, haga clic sobre la accin Ver correspondiente al requerimiento deseado y el
software muestra la pantalla de la figura 2.36c. En la parte inferior de esta pantalla el software
muestran:

El nombre del requerimiento,

Id

La referencia ingresada por el auditor.

Figura 2.36c: Ver Referencias de papeles de trabajo en Papel o Medio Magntico.

Botn TO Dos
En las pantallas de las figuras 2.35 o 2.36, haga clic sobre el botn TO Dos y el software muestra
la pantalla de la figura 2.37.

Figura 2.37: Activacin del Botn TO DOs Pendientes por hacer.

Cuando este botn est inactivo, aparece con color Verde. nicamente puede ser activado por el
perfil de nivel Supervisor. Cuando est activo aparece con color Rojo y contiene comentarios o
notas del supervisor, dirigidas al Auditor o Analista de Auditoria.
Para activar el botn TO Dos, en la figura 2.37 haga clic sobre el botn Agregar. El software
muestra la pantalla de la figura 2.37a.

Figura 2.37a: Activacin de TO DOs Pendientes por hacer por parte del Supervisor.

El supervisor selecciona el auditor a quin est dirigido el TO DO e ingresa las instrucciones

correspondientes. Entonces, hace clic sobre el botn Aceptar para grabar los datos ingresados y
el software muestra la pantalla de la figura 2.37b.

Figura 2.37b: TO DOs Pendientes por hacer, ingresados por parte del Supervisor.

Haga clic sobre el botn Agregar de la figura 2.37b y el software muestra la pantalla 2.37c en la
que se ve activado el botn TO DOs, con color rojo.

Figura 2.37c: Botn TO DOs Activado.

Mantenimiento de TO DOs.
Los TO DOs pueden ser modificados por el Supervisor. Haga clic sobre el botn TO DOs y el
software mostrar la pantalla de la figura 2.37d.

Figura 2.37d: Mantenimiento de TO DOs por el Supervisor.

Haga clic sobre la Accin Modificar y el software en una pantalla como la figura 2.37a, habilita al
supervisor para modificar el TO DO.

Atencin de TO DOs por parte del Analista de Auditoria.

El Analista de Auditoria a quien corresponda atender el TO DO en color Rojo, pendiente de
atencin, procede como se indica a continuacin:
Haga clic sobre el botn de la figura 2.37c, en color rojo, y el software muestra la pantalla 2.38.

Figura 2.38: Atencin de TO DOs Pendientes por hacer, por parte del Analista de Auditora.
En esta pantalla se muestran los siguientes encabezados de columna:

Id del TO DO;

Descripcin del TO DO;

Estado del TO DO (por responder);

Comentarios, y

Accin Atender.

Haga clic sobre la accin Atender y el software muestra la pantalla de la figura 2.38a, en la que el
Analista de Auditoria escribe sus comentarios para indicar la accin emprendida para atender el
TO DO.

Figura 2.38a: Descripcin Accin de Atencin de TO DOs por el Analista de Auditora.

Despus de escribir los comentarios, haga clic sobre el botn Atender. Entonces el software
presenta la pantalla de la figura 2.38b, con la descripcin de la accin ejecutada en la columna
Comentarios.

Figura 2.38b: TO DO atendido por el Analista de Auditoria.

Reporte Referencias Contenido del Archivo Permanente.

Sobre la pantalla de la figura 2.35 y 2.36a, haga clic sobre el botn Reporte y el software presenta
el reporte de la figura 2.39.

Figura 2.39: Reporte Referencias Contenido del Archivo Permanente.

PASO 2.2: CARACTERIZACIN DEL PROCESO / APLICACIN.

La Caracterizacin del proceso o sistema objeto de auditora, tiene como propsito documentar
las caractersticas claves del proceso o del sistema, que lo hacen diferente de cualquier otro. Este
documento sirve para definir el marco de referencia dentro del cual se efectuar la auditoria.
El software ofrece funcionalidades que ayudan a elaborar este documento. Si la Empresa tiene
implantado el Sistema de Gestin de Calidad SGC- , los datos requeridos estarn disponibles en
ese sistema.
Para ingresar a esta opcin del men, en el men de la etapa Comprensin / familiarizacin haga
clic sobre Caracterizacin y el software muestra la pantalla de la figura 2.40.

Figura 2.40: Caracterizacin del Proceso o sistema objeto de Auditoria.

Dependiendo del tipo de auditora que se est adelantando, el formato de caracterizacin es
diferente. Para Procesos del Modelo de Operacin de la Empresa y Procesos de Tecnologa de
Informacin, el software solicita la siguiente informacin:

Nombre y objetivo del proceso.

Alcance del proceso (donde inicia y donde termina).

Entradas y salidas del proceso.

Proveedores y Clientes del proceso.

Actividades Macro del proceso.

Dependencias que intervienen en el proceso.

Requisitos por cumplir con clientes, legales y con la empresa.

Indicadores, recursos y mtodos de seguimiento.

Procesos soportados en dicho proceso.

Recursos / Activos que se utilizan en el proceso.

Documentacin aplicable.

Para Sistemas de informacin (aplicaciones de computador), se debe documentar la siguiente

informacin:

Nombre y objetivo de la aplicacin.

Alcance de la aplicacin (donde inicia y donde termina).

Procesos de negocio que se apoyan en la aplicacin.

Entradas y salidas de la aplicacin.

Proveedores y Clientes de la aplicacin.

Informacin que maneja la aplicacin para fines estratgico, tctico y operativo.

Escenarios de riesgo (actividades) de la aplicacin.

Dependencias y terceros que interviene en el manejo de la aplicacin.

Normatividad interna y externa que rige su funcionamiento.

Indicadores de gestin de la aplicacin.

De todos los datos mencionados, son obligatorios (estn marcados con *) los siguientes:
a) El nombre del proceso objeto de auditora que se est desarrollando.
b) Las actividades macro o subprocesos que integran el proceso o las actividades del ciclo de
procesamiento de los datos en un sistema de informacin (si es una aplicacin). Estos
elementos constituyen los Escenarios de Riesgo que sern revisados por la auditoria.
La base de conocimientos de la Empresa tiene predefinidas las actividades o escenarios de
riesgo para los siguientes tipos de auditora: aplicaciones de computador, Tecnologa de
Informacin e Infraestructura de TI. Por consiguiente, est lista de escenarios est disponible
para seleccionar los que sean aplicables.

Para las auditorias de procesos del Modelo de Operacin de la Empresa (estratgico, misional,
de apoyo o de control) y de Procesos COBIT, es necesario crear / adicionar los escenarios de
riesgo a utilizar.

c) Las dependencias o reas organizacionales que intervienen en el proceso o en el manejo de

las aplicaciones de computador. Estas dependencias puede ser seleccionadas de las que se
poblaron en la base de conocimientos de empresa (tabla de Dependencias). Durante el
desarrollo de las auditorias, el software permite adicionar reas organizacionales
(dependencias de la empresa) o terceros a la base de empresa.

La definicin de los Recursos / Activos utilizados por el proceso o aplicacin, merece especial
atencin dentro del enfoque de Auditoria Basada en Riesgos, puesto que son la base y punto de
partida para identificar los riesgos del proceso o sistema objeto de la auditoria.

Reporte de la Caracterizacin.
Haga clic sobre el botn de impresin, se obtiene un reporte con los datos del proceso ingresados
en este paso.

PASO 2.3: DATOS CRTICOS PARA LA AUDITORIA:

En este formulario se registran los datos crticos o cifras crticas para el examen de la auditoria.
Estos datos se refieren a informacin de activos susceptibles a errores o malos manejos.
Para acceder a esta opcin del men, haga clic sobre Cifras Crticas y el software muestra la
pantalla de la figura 2.41.

Figura 2.41: Cifras Crticas para el Examen de la Auditoria.

Para ingresar cifras crticas haga clic sobre el botn Agregar y el software muestra la pantalla de la
figura 2.41a, con espacios para ingresar los siguientes datos:

Figura 2.41a: Mantenimiento de Cifras Crticas para el Examen de la Auditoria.

Descripcin: el nombre de la cifra que representa activos controlados por el proceso o sistema.
Detalle: campo para ampliar la descripcin de la cifra crtica.
Tipo de Dato: Seleccione uno de los siguientes:

Calculado: la cifra es producto de operaciones aritmticas.

Asumido: la cifra o dato es asumido automticamente por el software que soporta las
operaciones del proceso.

Ingresado por el dueo del proceso: la cifra se ingresa a los registros del proceso.

Haga clic sobre el botn Guardar para grabar los datos ingresados.
Este procedimiento se repite por cada cifra crtica que se ingrese a AUDIRISK.
La pantalla de la figura 2.41 tambin ofrece botones para generar Reporte de cifras crticas para la
auditoria y activar los TO Dos.

PASO 2.4: PAPELES DE TRABAJO

Por cada etapa de la auditoria, el software ofrece funcionalidades para generar reportes con los
papeles de trabajo ms importantes producidos en la etapa, exportarlos a otros formatos y
almacenarlos en carpetas creadas por el auditor, por fuera del control del software AUDIRISK.
Haga clic sobre Papeles de Trabajo y el software muestra la pantalla de la figura 2.42, en la cual
se muestra una lista con el nombre de los principales papeles de trabajo generados en esta etapa
de la auditoria.

Figura 2.42: Papeles de trabajo relevantes, generados la Etapa Comprensin / Familiarizacin

Para visualizar el reporte de cada papel de trabajo de la lista, haga clic sobre la accin Ver.
Estos reportes pueden ser exportados al formato deseado y guardarse en una carpeta con
nombre asignado por el auditor (se sugiere el nombre de la auditoria seguido de la Etapa; por
ejemplo PT Talento Humano 2011, Etapa 2.

PASO 2.5: ESTADO DE AVANCE DE LA AUDITORIA.

Este paso consta de tres (3) tareas que se visualizan cuando se posiciona el cursor sobre Estado de
Avance de la Auditoria.

Figura 2.43: Men de Estado de Avance de la Auditoria

Las tareas son:

Control de Tiempo de Auditoria por Etapas.

Control de Tiempo de la Auditoria por Auditores.

Control de tiempo acumulado de la Auditoria.

Los procedimientos para desarrollar esta tarea, son los mismos que se describieron para la etapa 1
en los siguientes numerales:
1.3.1: Control de tiempo de la Auditoria por Etapas
1.3.2 Control de tiempo de la auditoria por auditores
1.3.3 Control de tiempo Acumulado en la Auditoria, por Auditores.