Manual T2 Auditoria
46
NIT. 804.011.856-1 (CO) DUNS 88-042-4937 (US) TITANIO II AUDITORIA MANUAL DE USUARIO VERSION II REV 2007-03 (2.2007.R3) © 1998-2007. SOLUTIONS - Juan Carlos Angarita C.
-
Upload
juan-carlos-angarita-c -
Category
Documents
-
view
224 -
download
0
description
Manual T2 Auditoria
Transcript of Manual T2 Auditoria
NIT
. 804.0
11.8
56-1
(CO
) D
UN
S 8
8-0
42-4
937 (U
S)
TITANIO II AUDITORIA
MANUAL DE USUARIO
VERSION II REV 2007-03 (2.2007.R3)
© 1998-2007. SOLUTIONS - Juan Carlos Angarita C.
1
PRESENTACION Este manual de usuario introduce al lector en el uso y manejo del Sistema de Información para la Gestión de Auditoria basado en normas y metodologías nacionales (Audite 3.0) e internacionales (ISO 19011) con enfoque en Auditoria Informática - TITANIO AUDITORIA. Para lograrlo se ha organizado una secuencia lógica de aprendizaje y desenvolvimiento del usuario, guiándole de manera sistémica de forma que pueda seguirlo paso a paso tal como se hiciera en una instalación sin datos, creando una base común de conocimiento que posteriormente permita un mejor entendimiento de temas mas complejos. En su orden, partiendo del ciclo PHVA, se tiene:
P
La interfaz de usuario. Acceso al sistema de información. Uso general del sistema de información. Área de PARÁMETROS Área de TIPOLOGÍAS (Tipos de elementos a auditar). Área de OBJETOS (Objetos de auditoria). Área de PLANEACIÓN de la auditoria.
H Área de REALIZACIÓN de la auditoria.
V/A Área de PLANEACIÓN de las acciones pertinentes. 1. LA INTERFAZ DE USUARIO La aplicación opera en entorno Web y puede ser ejecutada tanto en ambientes Intranet, Extranet o Internet según las especificaciones de seguridad del usuario final. Al ser de este entorno requiere de un browser o navegador de Internet para acceder a ella. Ejemplos de estos browsers están el Internet Explorer 6/7, el Netscape 7/8, Mozilla, Opera, entre las versiones más populares, todos éstos de acceso y licenciamiento gratuito a través de Internet y disponibles en diversos sistemas operativos cliente. Como puede verse en la figura 1. se tienen las siguientes partes: Barra de áreas: Situada en el extremo superior y permite acceder a las diversas áreas de información de la aplicación. Zona principal: Situada debajo de la barra de áreas visualiza y permite la adición / edición de información del tema del área principal. Zona auxiliar: Cada área tiene un grupo de elementos de información que le complementan, definen o detallan. Estos son listados en esta zona y cuando se le solicita al software la adición o edición de cualquier elemento de estos el trabajo de actualización sucede en la zona principal. Barra lateral: Situada al lado izquierdo de la ventana, incluye botones de control de sesión y de usuario, acceso a reportes e íconos de acceso rápido a la página inicial, de solicitud de reporte y de visualización de la licencia de uso.
2
DISEÑO DE LA INTERFAZ DE USUARIO
2. ACCESO AL SISTEMA DE INFORMACION Siendo una aplicación Web para acceder a ella debe previamente conocerse el nombre del servidor Web que la aloja y seguir los siguientes pasos: a. Abrir el browser o navegador, bien sea Internet Explorer, Netscape Navigator (o
Mozilla) o Opera, según el que tenga instalado, a través del menú inicio o de los íconos de acceso ubicados en el escritorio:
b. En la parte superior debajo de los botones del navegador aparece una barra de
dirección en la cual se teclea http://servidor/t2audit/index.php donde servidor es el nombre del servidor Web donde está montado el sistema de información.
c. Una vez abierto el sistema de información abre la siguiente página de acceso:
d. Se ingresa el usuario y clave y se le da clic en Login. Si el usuario y la clave no son acertadas el software vuelve a esta ventana. EL botón Limpiar reestablece los campos a contenido vacío.
3. USO DEL SISTEMA DE INFORMACION Navegación del sitio:
a. Para acceder a cualquiera de las áreas de trabajo se ubica el puntero del ratón en la barra de áreas y se da clic en cualquiera de los íconos distintivos de área.
b. Para buscar información acerca de un documento, se da clic en el filtro principal y se busca el elemento deseado.
c. Para buscar información complementaria de documentos, se ubica el elemento de información complementaria y luego se da clic en el botón ubicado a la derecha del listado de información complementaria, identificado como “>>”.
d. Para buscar información de parámetros, diseño o procesos, según el área, se da
clic en el grupo de información pertinente, el cual mostrará un listado de opciones, luego clic en el selector de datos complementarios, se ubica el elemento de información complementaria y luego se da clic en el botón ubicado a la derecha del listado de información complementaria, identificado como “>>”.
e. Para acceder a los reportes en la barra lateral izquierda se revisa el listado de
reportes y se selecciona el que se requiera en el botón etiquetado como “>>”.
Actualización de información:
Información principal: Al seleccionar un documento, se da clic en los botones de “Añadir”, “Editar” o “Borrar” para realizar las correspondientes acciones. Los botones de “Editar” y de “Borrar” aparecen cuando se ha seleccionado previamente un documento.
Estas opciones no aparecerán en el área de información de referencia pues todo este contenido es tratado como información complementario. Información complementaria: Una vez seleccionada la información complementaria a actualizar, aparece un listado de datos en forma tabular, en el cual la primera columna aparece un “cuadro de selección” y la siguiente columna resaltada en azul.
a. Para añadir de clic en el botón añadir. b. Para editar de clic en el texto resaltado. c. Para borrar selecciona el cuadro de selección y presione el botón borrar.
Grabación de información: En ambos casos, al seleccionar la adición o edición de datos, aparece un formulario en el cual aparecen los diversos campos a ser diligenciados:
En este formulario se distinguen los siguientes elementos:
a. Cuadro de texto, el cual recibe información de texto, números (expresados sin comas, solo punto decimal) así como de fechas en el formato YYYY/MM/DD.
b. Cuadros de selección, para indicar si se cumple o no cierta condición. c. Combos, que incluye un listado de valores, previamente configurados, del cual se
debe seleccionar el que corresponda al registro a actualizar. Si el combo no tiene información de origen este aparece vacío y debe dirigirse a la fuente de esa información y complementar la información pertinente, casi siempre en el área de referencia.
En la parte inferior aparecen los siguientes elementos:
a. Botón “Grabar”, que realiza la operación de actualización. Una vez grabe vuelve al modo normal del sistema de información.
b. Botón “Limpiar”, que borra el contenido de los campos del formulario (no el registro si está en modo de edición)
c. Botón “Cancelar”, que termina la operación sin afectar los datos. Equivale a dar clic en la barra de áreas en cualquiera de sus íconos.
d. Cuadro de selección “Registrar mas información”, el cual puede seleccionar antes de presionar el botón de “Grabar” para que vuelva al formulario de actualización de datos y no a la ventana de navegación. Esta opción es útil cuando se está realizando una labor de digitación en masa.
Cierre de sesión:
a. Al terminar su trabajo se recomienda dar clic en el botón Salir, esto cierra la sesión y previene que algún usuario malintencionado realice labores en nombre suyo.
b. A su vez, el botón de personalizar permite cambiar la clave del usuario.
4. AREA DE PARAMETRIZACION Comprende la determinación de parámetros funcionales y operativos del sistema de información organizada en los siguientes grupos temáticos:
4.1. PARAMETROS DE AUDITORIA
Incluye las siguientes entidades de información:
Participantes Fuentes Norma técnica Modalidad Grupos evaluación Tipo de participación Parte de auditoria Enfoque de auditoria Procedimientos de auditoria Actividades de planeación Actividades de auditoria Documentos de auditoria Registros de auditoria Tipo de requisitos
4.1.1. PARTICIPANTES La realización del proceso auditor implica la participación activa (auditor, auditado, etc.) y pasiva (expertos, asesores, etc.) de diversas personas naturales y jurídicas las cuales deben estar registradas en el sistema de información:
Nombre: Nombre del participante.
o Razón social: para personas jurídicas o Apellidos, Nombre: para personas naturales
Código: Identificación del participante. Notas: Notas o descripción sobre el participante y la razón de ser de su participación. 4.1.2. FUENTES
La relación de fuentes de información indica las fuentes físicas, formales o institucionales de las cuales se extrae información preliminar para la auditoria o para su realización. Nombre: Nombre de la fuente. Código: Opcional, código de la fuente. Notas: Opcional, Notas generales. 4.1.3. NORMA TÉCNICA
Dentro del análisis de auditoria uno de los elementos frecuentemente auditados es el de cumplimiento de normas técnicas, las cuales deben estar relacionados según se describe: Nombre: Nombre de la norma técnica. Código: Opcional, código de la norma. Versión: Versión de la norma. Referencia: Referencias normativas. Notas: Opcional, Notas generales. 4.1.4. MODALIDAD
La modalidad de la auditoria obedece al esquema que genera la auditoria, es decir, si está centrada en un solo componente, en todo el sistema de gestión o si es de seguimiento, entre otros casos. El Audite 3.0 establece las diferencias del caso:
Nombre: Nombre de la modalidad. Código: Opcional, código de la modalidad. Descripción: Opcional, Notas generales.
4.1.5. GRUPOS EVALUACIÓN
Como mecanismo de organización de datos, los criterios pueden ser organizados según la tipología objeto de la auditoria:
Nombre: Nombre del grupo. Código: Código del grupo. Tipología: Tipo del objeto a auditar (Ver tipologías). Notas: Opcional, Notas generales.
4.1.6. TIPO DE PARTICIPACIÓN
De la misma forma que se registran los participantes del proceso auditor, los tipos de participación definen la forma como estos participantes intervienen en las actividades de la auditoria:
Nombre: Nombre del tipo de participación. Código: Opcional, código del tipo de participación. Descripción: Opcional, Notas generales.
4.1.7. PARTE DE AUDITORIA
Dependiendo de quien realice la auditoria, es decir, la misma empresa, un tercero, un ente certificador o de forma conjunta, es como se denomina el tipo de parte de auditoria, según se define en la norma ISO 19011
Nombre: Nombre del tipo de parte de auditoria. Código: Opcional, código del tipo de parte de auditoria. Descripción: Opcional, Notas generales.
4.1.8. ENFOQUE DE AUDITORIA
El enfoque de la auditoria explica el fin principal que se persigue con el proceso auditor, el cual puede varias desde un práctico control y evaluación del estado de un sistema de gestión o uno de sus componentes hasta la consecución de certificaciones:
Nombre: Nombre del enfoque de auditoria. Código: Opcional, código del enfoque de auditoria. Descripción: Opcional, Notas generales.
4.1.9. PROCEDIMIENTOS DE AUDITORIA
La auditoria como componente fundamental del proceso de medición, control y seguimiento, y proveedor del proceso de mejora continua, debe estar definida según el ciclo PHVA en procedimientos de auditoria según lo exige la norma ISO 19011:2000. Estos procedimientos deben estar documentados y adoptados en la unidad administrativa que tiene a su cargo la realización de las auditorias, contemplando la totalidad del ciclo de la mejora continua PHVA bajo el enfoque de la planeación o el ciclo SHVA bajo el enfoque de cumplimiento.
Nombre: Nombre del procedimiento. Código: Opcional, código del procedimiento. Descripción: Opcional, Notas generales.
4.1.10. ACTIVIDADES DE PLANEACIÓN
Según el ciclo PHVA (Planear, Hacer, Verificar y Actuar), el cual va de la mano con el ciclo SHVA (Estandarizar, Hacer, Verificar, Ajustar):
A P
V H
A P
V H
La auditoria posee actividades de planeación así como de realización, verificación y acción. En este aparte se deben listar todas aquellas relacionadas con la planeación del proceso auditor para su posterior seguimiento:
Nombre: Nombre de la actividad de planeación. Código: Opcional, código de la actividad de planeación. Descripción: Opcional, Notas generales.
4.1.11. ACTIVIDADES DE AUDITORIA
De igual forma, en esta sección se registran las actividades de realización, verificación y acción del proceso auditor en sí, sin incluir las de los objetos auditados:
Nombre: Nombre de la actividad de auditoria. Código: Opcional, código de la actividad de auditoria. Descripción: Opcional, Notas generales.
4.1.12. DOCUMENTOS DE AUDITORIA
Partiendo de los tres tipos principales de documentación, la documentación referenciada en el numeral 4.2.1. y 4.2.2. de la norma NTCGP 1000:2004 e ISO 9001:2000, los registros expresados en el numeral 4.2.4. de las mismas normas así como los Registros especiales de auditoria indicados en el numeral 5.5. de la norma ISO 19011:2002, se deben determinar con claridad cuales son las posibles fuentes de obtención de datos para el proceso auditor según se ilustra en el triángulo de los documentos:
DOCUMENTACIÓN
REGISTROS
REGISTROSESPECIALES
DEAUDITORIA
Nombre: Nombre del tipo de certificación. Código: Opcional, código del tipo de certificación. Descripción: Opcional, Notas generales. Nota: La definición de documentos (4.1.12) y registros (4.1.13) de auditoria está ligada a la identificación de fuentes de datos del proceso auditor.
4.1.13. REGISTROS DE AUDITORIA
La ejecución de las actividades de auditoria, tanto en planeación como en su realización y la posterior mejora continua, se evidencia mediante los registros producidos, los cuales se describen en esta sección como base para su posterior diligenciamiento:
Nombre: Nombre del registro de auditoria. Código: Opcional, código del registro de auditoria. Descripción: Opcional, Notas generales.
4.1.14. TIPO DE REQUISITOS
De acuerdo con lo definido en las normas ISO 9001:2000, NTCGP 1000:2004 y la ISO 19011:2002, se tiene el siguiente esquema de requisitos a cumplir:
IMPLÍCITOSEXPLICITOS(CLIENTE)
TÉCNICOS
LEGALES
TÉCNICOS
LEGALES
Para describirlos, se requiere registrar:
Nombre: Nombre del tipo de requisito. Código: Opcional, código del tipo de requisito. Descripción: Opcional, Notas generales.
4.2. PARAMETROS DE ANALISIS DE RIESGO
Incluye las entidades de información relativas al manejo de riesgos:
Nivel del riesgo. Respuesta al riesgo.
4.2.1. NIVEL DEL RIESGO
Presenta la escala de posibles valores del nivel del riesgo: Nombre: Nombre del nivel de riesgo. Código: Opcional, código del nivel de riesgo. Descripción: Opcional, Notas generales. 4.2.2. RESPUESTA AL RIESGO
Las estrategias de administración y manejo del riesgo que incluye varias respuestas, desde la mitigación y reducción del riesgo hasta asumirlo en parte o completamente. El análisis de riesgo es un paso fundamental y necesario para la auditoria enfocada a la vulnerabilidad de riesgos. La descripción de la respuesta incluye:
Nombre: Nombre de la respuesta al riesgo. Código: Opcional, código de la respuesta al riesgo. Descripción: Opcional, Notas generales.
4.3. PARAMETROS DE TIPOS DE DATOS
Incluye las entidades de información relativas a los datos manejados:
Tipos de datos. Tipos tabulares
4.3.1. TIPOS DE DATOS
Señala los tipos de datos que pueden ser recogidos en las actividades de campo de la auditoria:
Nombre: Nombre del tipo de dato. Código: Opcional, código del tipo de dato. Descripción: Opcional, Notas generales.
4.3.2. TIPOS TABULARES DE DATOS
Algunos de esos datos pueden tomar valores predefinidos los cuales deben listarse a fin de delimitar los resultados a los valores válidos según el tipo de datos:
Nombre: Nombre del tipo tabular. Código: Opcional, código del tipo tabular. Descripción: Opcional, Notas generales.
5. AREA DE TIPOLOGIAS AUDITABLES Las tipologías describen de forma general los objetos, sistemas, sistemas de gestión, mecanismos que pueden ser objeto de auditoria
Las tipologías pueden ser analizadas, o mejor, auditadas, bajo diversos facetas, esto es bajo la lupa del análisis de riesgos (vulnerabilidad), del ajuste a características planteadas o del cumplimiento o conformidad de requisitos (en lo normativo, técnico, implícito y/o explícito), tanto de forma inicial como en actividades de seguimiento, por lo cual es indispensable listar los posibles riesgos (riesgos factibles), las características que describen la tipología así como los requisitos que aplican sobre el mismo, a partir de un análisis serio previo a cualquier actividad de trabajo en campo:
Riesgos Factibles. Características. Requisitos
5.1. LA TIPOLOGIA
Los objetos auditados (procesos, tecnologías, herramientas, sistemas, entre otros) pueden ser clasificados de forma general lo cual facilita el identificar los elementos comunes y por ende de sus características compartidas. El registro de tipologías, incluye:
Nombre: Nombre de la tipología. Código: Codificación de la tipología. Referencia: Referencia por la cual surge la tipología. Descripción: Descripción detallada de la tipología. Notas: Opcional, Notas generales.
5.2. RIESGOS FACTIBLES
En análisis de riesgos incluye el identificar y valorar los riesgos según la probabilidad de ocurrencia y su impacto en la organización, lo cual l clasifica en un nivel de riesgo dado:
Nombre: Nombre del riesgo. Código: Codificación del riesgo. Probabilidad: Nivel de Probabilidad de ocurrencia. Impacto: Nivel de Impacto del riesgo en la organización. Causas: Posibles causas del riesgo. Acciones: Acciones propuestas de forma preliminar (plan de contingencia). Controles: De que forma se controla el riesgo. Interno: Indica si el riesgo parte desde dentro de la organización o del sistema. Nivel de riesgo: Catalogación del riesgo. Tipologías: Tipología a la cual aplica el riesgo. Descripción: Descripción detallada del riesgo. Notas: Opcional, Notas generales.
5.3. CARACTERÍSTICAS
Cada tipología tiene un conjunto de características físicas, técnicas, funcionales, de seguridad, que le son propias y le definen, como por ejemplo “velocidad de procesador” para la tipología equipo de cómputo, la cual en el objeto equipo de cómputo 1001 tendrá una velocidad de 2.4 Ghz Las características se describen según los siguientes campos:
Nombre: Nombre de la característica Código: Codificación de la característica Tipo de datos: Tipo de datos de la característica enunciada Tipologías: Tipología a la cual aplica la característica enunciada Referencia: Referencia de la característica. Descripción: Opcional, Notas generales.
5.4. REQUISITOS
Según se presentó en el numeral 4.1.14 “tipos de requisitos” la tipología requiere listar los posibles requisitos legales o normativos, técnicos, implícitos y explícitos (del cliente o del contrato) que serán objeto del proceso de auditor en cuanto a la revisión de conformidad de los requisitos. Antes de auditar se debe analizar a profundidad los diversos requisitos que aplican en la descripción de la tipología, incluyendo no solo los normativos sino los otros indicados. La información a describir en cada caso es:
Nombre: Nombre del requisito Código: Codificación del requisito Cumple: Indica si se debe evaluar su cumplimiento Desde: Fecha desde la cual aplica o es vigente el requisito Hasta: Fecha hasta la cual aplica o es vigente el requisito. Si está activo, se debe
colocar la misma fecha de inicio. Requerimiento: Requerimiento por el cual el requisito debe aplicar. Referencia: Referencia de la característica. Tipo de requisito: Según la clasificación de requisitos. Norma: Norma de referencia. Tipologías: Tipología a la cual aplica el requisito Descripción: Opcional, Notas generales.
6. AREA DE OBJETOS AUDITABLES Define de forma explícita el elemento (procesos, personas, herramientas, tecnologías, políticas documentación, sistemas de gestión) que es objeto del proceso auditor, de tal forma que se identifiquen de forma explícita las características y riesgos (vulnerabilidades) del objeto en particular. Lo anterior puede ilustrarse de la siguiente forma en el caso de software: la tipología puede hacer referencia a sistemas de información, y el objeto a un sistema de información de tipo financiero.
La declaración de objetos permite a su vez usar la siguiente información complementaria:
Análisis de vulnerabilidades. Características.
6.1. EL OBJETO
La declaración de objetos incluye: Nombre: Nombre del objeto. Código: Codificación del objeto. Tipología: Tipología a la cual pertenece. Referencia: Referencia que ilustra el objeto (por ejemplo la norma principal). Localización: Sitio en el cual se ubica o se centra el objeto. Notas: Opcional, Notas generales.
6.2. VULNERABILIDADES
Según el análisis de riesgo planteado en la tipología, se puede contemplar el registro de vulnerabilidades presentes o estimadas en el objeto:
La vulnerabilidad podemos caracterizarla de la siguiente forma:
Causas: Causas planteadas para que la vulnerabilidad esté presente. Acciones: Acciones específicas planteadas para atender tal vulnerabilidad. Controles: Controles presentes frente a la vulnerabilidad. Elemento de riesgo: A que elemento de riesgo pertenece la vulnerabilidad. Objeto auditado: Objeto al cual pertenece la vulnerabilidad. Notas: Opcional, Notas generales.
6.3. CARACTERÍSTICAS
Así como se plantean características generales de la tipología (por ejemplo capacidad) se pueden definir características específicas del objeto (capacidad de proceso, capacidad de concurrencia, capacidad de los campos de datos, capacidad de registros…) como dato puntual que describe (y puede ser auditado) al objeto.
Las características se describen según los siguientes campos:
Característica: Característica tipo (de la tipología) de la cual se deriva la característica a registrar.
Nombre: Nombre de la característica Código: Codificación de la característica Referencia: Referencia de la característica. Objeto auditado: Objeto al cual pertenece la característica. Descripción: Opcional, Notas generales.
7. AREA DE AUDITORIA Esta área permite el registro de las actividades de auditoria. Estas actividades incluyen las pruebas, ensayos, inspecciones, comparaciones y verificaciones que se realicen bajo los criterios de auditoria definidos para cada tipología auditable.
Una vez registrada la auditoria, se debe incorporar la siguiente información:
Evaluación de criterios, consistente en la aplicación de la auditoria misma. Participantes, relacionando quienes participan en el proceso auditor. Soportes, sobre que documentos acompañan la actividad. Hallazgos, que hallazgo surgen de la no conformidad de los criterios. No conformidades, Verificados los hallazgos cuales se convierten en No conformidad. Relación de hallazgos, relaciona que hallazgos pertenecen a una no conformidad. Anexos, documentos cargados. Actividades, sobre las actividades realizadas en la auditoria bajo el enfoque PHVA.
7.1. LA AUDITORIA
El registro de la actividad de auditoria reúne la información general y administrativa de realización de la misma, en buena parte procedente de los resultados de la planificación de la actividad de auditoria, según se especifica a continuación: Fecha de realización: Fecha en la cual se inició la auditoria. Fecha de reporte: Fecha en la cual se informó sobre los resultados de la auditoria. Objeto auditado: Indica que objeto fue auditado. Objetivos: Informa sobre los objetivos específicos de la actividad de auditoria. Auditor líder: Informa sobre quien estuvo a cargo del proceso auditor. Plan de auditoria: Relaciona la actividad de auditoria con la planeación realizada. Modalidad de auditoria: Según la modalidad planteada en el área de parámetros. Parte de auditoria: Informa sobre que tipo de organismo realiza la auditoria. Lugar: Describe la localización del objeto auditado. Referencia: Habla sobre las referencias principales (requisitos y en especial los de tipo
normativo) tenidas en cuenta para la actividad de auditoria Notas: Notas sobre la actividad.
7.2. EVALUACIÓN DE CRITERIOS
La actividad de auditoria está ligada a la confrontación de los criterios de auditoria frente al objeto a ser auditado. Estos criterios, definidos de forma previa, informan sobre la conformidad referente a uno o varios requisitos:
Objeto: Nombre del objeto auditado. Lista de chequeo: Criterio que está siendo evaluado. Fuente: Lugar del cual surge la información. Auditoria: Refiere a la actividad de auditoria en curso. Evaluación criterio: Resultado de la evaluación del criterio. Notas: Opcional, Notas generales.
7.3. PARTICIPANTES
Cada actividad de auditoria implica la participación de varias personas naturales o jurídicas, como auditados o auditores, expertos y demás, según se haya parametrizado.
La información de los participantes, previamente registrados, incluye:
Participación: Informa sobre el tipo de participación. Participante: Refiere a la persona que participa Participación: Indica desde que fecha inicia su participación. Referencia: Referencia de la participación (nombramiento, delegación, autorización). Descripción: Opcional, Notas generales.
7.4. SOPORTES
Dentro de la actividad de auditoria es común el acompañar la evaluación de criterios con documentos que proporcionen evidencia sobre la conformidad o no de ciertos aspectos. En este caso debe relacionarse cada uno de los soportes entregados:
Requisito: Requisito al cual apunta el soporte Tipo de registro: Refiere al tipo documental del soporte Nombre: Nombre completo del soporte (título del mismo) Código: Codificación del soporte (si la tiene) Fecha: Fecha del soporte. Anexo: Indica si está anexo a la actividad de auditoria Auditoria: Actividad de Auditoria a la cual pertenece el soporte. Descripción: Opcional, Notas generales.
7.5. HALLAZGOS
Cuando uno o varios criterios de auditoria no se cumplen, se puede establecer un hallazgo el cual debe relacionarse según la información que se describe:
Nombre: Nombre del hallazgo Código: Codificación del hallazgo Fecha activación: Fecha desde la cual está activo el hallazgo Fecha solución: Fecha hasta la cual está activo el hallazgo, si aún está activo debe
colocarse la misma fecha de activación. Estado: Indica en forma textual en que estado se encuentra el hallazgo (solución). Descripción: Opcional, Notas generales. Referencia: Referencia del hallazgo, especialmente que requisitos no se cumplen. Auditoria: Actividad de auditoria en la cual se dio el hallazgo. Notas: Notas generales tanto del hallazgo como de su solución
7.6. NO CONFORMIDADES
La agrupación de uno o varios hallazgos, frente a un requisito o grupo de requisitos comunes determina la aparición de una no conformidad la cual debe ser registrada así:
Nombre: Nombre de la no conformidad Código: Codificación de la no conformidad Estado: Estado de la no conformidad Fecha activación: Fecha desde la cual está activa la no conformidad Fecha solución: Fecha hasta la cual está activa la no conformidad, si aún está activa
debe colocarse la misma fecha de activación. Descripción: Opcional, Notas generales. Referencia: Referencia de la no conformidad, especialmente de los requisitos. Notas: Notas generales tanto de la no conformidad como de su solución
7.7. RELACION DE HALLAZGOS
Debido a que las no conformidades surgen a partir de hallazgos, debemos relacionarlos de forma que se pueda conocer en todo momento el origen técnico de la no conformidad:
Hallazgo: Nombre del hallazgo. No conformidad: Nombre de la no conformidad Notas: Opcional, Notas generales.
7.8. ANEXOS
De igual forma que los soportes describen que material acompaña al proceso auditor, los anexos permiten mantener de forma electrónica los soportes que hayan sido entregados en forma digital o que hayan sido escaneados para una ágil consulta:
Tipo de documento: Según las tipologías documentales definidas. Ubicación: Localización del archivo a ser cargado Principal: Indica si el anexo es de tipo fundamental o es de tipo secundario. Fecha: Fecha del documento. Descripción: Opcional, Notas generales. Auditoria: Actividad de auditoria a la cual pertenece el anexo. Notas: Notas generales tanto de la no conformidad como de su solución
7.9. ACTIVIDADES
Este aparte busca relacionar y de paso verificar la realización de todas las actividades necesarias para el proceso auditor dentro del ciclo PHVA, incluyendo, la aplicación de auditoria en diversas pruebas y mecanismos, ensayos, inspecciones y demás.
Estas actividades requieren relacionar lo siguiente:
Tipo de actividad: Tipo de actividad referente a la auditoria según se definió Fecha: Fecha de realización de la actividad Lugar: Lugar en el cual se llevo a cabo la actividad Recursos: Recursos involucrados en dicha actividad. Participantes: Quienes participaron en la actividad. Resultados: Resumen de los resultados. Auditoria: Auditoria a la cual están ligadas las actividades Descripción: Opcional, Notas generales.
8. AREA DE PLANEACIÓN DE LA AUDITORIA La planeación de la auditoria es un paso necesario y fundamental, según el ciclo PHVA, para garantizar el cumplimiento de objetivos de la misma.
La planificación de la auditoria exige en términos generales la determinación de los siguientes componentes de información:
Criterios de auditoria. Sobre como evaluar la conformidad o no frente a los requisitos aplicables al objeto a ser auditado.
Requerimientos. Que requisitos aplican sobre el objeto a ser auditado. Actividades. Relacionando el desarrollo de todas aquellas actividades propias de
la planificación y de la entrega de resultados. Participantes. Donde se relacionan todos aquellos que participan en el proceso
auditor en las formas establecidas en el área de parametrización del sistema de información.
8.1. EL PLAN DE AUDITORIA
El plan de auditoria requiere registrar la siguiente información administrativa como punto de partida para la realización del proceso auditor. Código: Codificación del plan de auditoria. Fecha: Fecha de aprobación del plan de auditoria. Objetivos: Lista de los objetivos del plan. Duración: Duración prevista de la auditoria Enfoque: especifica hacia donde está enfocada la auditoria. Alcance: Indica el cubrimiento y la exclusión de la actividad. Frecuencia: Señala el número de actividades de evaluación a realizar por año
Información del cliente: Información general del cliente. Información de la locación: Indica la información del lugar donde se encuentra el
objeto a ser auditado. Información corporativa: Reúne en un solo sitio la información del cliente, tanto a nivel
orgánico, estructural como de forma específica en el objeto a auditar. Datos anteriores: Especialmente de anteriores auditorias. Recursos requeridos: Donde se relacionan los recursos físicos, humanos, técnicos y
tecnológicos, así como los financieros, necesarios para el desarrollo de la actividad. Referencia: Referencia normativa principal del plan. Notas: Opcional, Notas generales.
8.2. CRITERIOS DE AUDITORIA
El ejercicio de la auditoria requiere especificar cuales son los criterios de la misma, pues a partir de ellos es que se determinan los hallazgos y posibles no conformidades. Siguiendo la norma técnica, todo aquello que no esté planteado como criterio de auditoria no puede ser auditado y mucho menos determinarse como hallazgo, salvo aquellas situaciones de alto riesgo y que sean evidentes:
Concepto: Criterio de auditoria. Tipos de datos: Tipos de datos. Grupo: Agrupación del criterio de auditoria. Plan de auditoria: Plan de auditoria en el cual está inscrito el criterio. Requisito a evaluar: Requisito principal a evaluar. Referencia: Referencias normativas (requisitos) relacionados. Notas: Opcional, Notas generales.
8.3. REQUERIMIENTOS
El pan de auditoria debe estar alineado con el cumplimiento de requisitos, bien sean éstos de tipo normativo, técnico, implícito o explícito, para lo cual deben identificarse y relacionarse en el sistema de información, según las características indicadas:
Elemento de chequeo: Elemento relacionado con el requerimiento a evaluar Nombre: Nombre del requisito Código: Código del requerimiento Referencia: Referencia de la característica. Descripción: Opcional, Notas generales.
8.4. ACTIVIDADES
Como ya se ha planteado, el plan de auditoria incluye la realización de diversas auditorias dentro del ciclo PHVA o SHVA, donde deben relacionarse todas aquellas referentes a la planeación (P) o la Verificación (V) y Actuación (A). Estas actividades poseen el siguiente formato a ser diligenciado:
Tipo de actividad: Tipo de actividad según la clasificación previamente definida. Fecha: Fecha de realización de la actividad. Lugar: Lugar de realización de la actividad. Recursos: Recursos necesarios para la realización de la actividad. Participantes: Participantes involucrados en la realización de la actividad. Resultados: Resultados de la actividad. Plan de auditoria: Plan al cual pertenecen las actividades. Descripción: Opcional, Notas generales.
8.5. PARTICIPANTES
La planificación requiere de la participación de diversas partes en todas sus actividades, las cuales deben estar registradas en el sistema de información:
Participación: Informa sobre el tipo de participación. Participante: Refiere a la persona que participa Plan de auditoria: Plan en el cual sucede la participación. Referencia: Referencia de la participación (nombramiento, delegación, autorización). Descripción: Opcional, Notas generales.
9. AREA DE ACCIONES PROPUESTAS PARA MEJORA Uno de los efectos de la auditoria es la proposición de acciones correctivas o preventivas dentro de lo que se conoce como plan de mejora (mejora continua)
La mejora continua desde el punto de vista de la auditoria incluye la definición de aspectos relacionados tales como:
Acciones. Acciones propuestas Acciones por no conformidad. Relación de acciones por cada no conformidad
de modo que se puedan establecer causa efecto entre cada caso y examinar posteriormente si la acción fue efectiva para resolver la no conformidad.
Indicadores. Mecanismo de medición de la acción. Metas. Metas propuestas en cantidad y tiempo
9.1. EL PLAN DE MEJORA
El plan de mejora contiene la siguiente información administrativa: Nombre: Nombre del plan de mejora. Código: Codificación del plan de mejora. Fecha de inicio: Fecha desde la cual está vigente el plan. Fecha vencimiento: Fecha hasta la cual está vigente el plan. Referencia: Referencia del plan de mejora. Descripción: Descripción del plan. Notas: Opcional, Notas generales.
9.2. ACCIONES
El plan de mejora se lleva a la práctica mediante acciones que se relacionan así:
Nombre: Nombre de la acción. Código: Codificación de la acción. Estado: Estado de la acción. Descripción: Descripción de la acción. Fecha de activación: Fecha en la cual debe activarse la acción. Fecha de inicio: Fecha desde la cual debe iniciar la acción. Fecha solución: Fecha para la cual la acción debe haber resuelto la no conformidad. Plan de mejora: Dentro del cual se encuentra la acción. Tipo de respuesta: Que enfoque asume la organización frente a la no conformidad. Responsable: Titular y responsable de la acción. Notas: Opcional, Notas generales.
9.3. ACCIONES POR NO CONFORMIDAD
Cada no conformidad tiene como respuesta una o varias acciones, las cuales debe enlazarse para entender la causalidad de las acciones y su resultado e impacto, frente a la no conformidad encontrada.
No conformidad: Nombre de la no conformidad que se necesita resolver Acción: Acción propuesta. Descripción: Opcional, Notas generales.
9.4. INDICADORES
Para poder evaluar que la acción vaya por el camino planteado, se deben definir sendos indicadores que permitan evaluar el avance del mismo y que su resultado sirva como base para posteriores auditorias. Los indicadores incluyen:
Nombre: Nombre del indicador Código: Codificación del indicador Descripción: Descripción del indicador Referencia: Referencia (normativa o técnica) del indicador
Valido desde: Fecha desde la cual es válido el indicador. Valido hasta: Fecha hasta la cual es válido el indicador. Acción de origen: Acción que se pretende medir. Tipo de dato: Tipo de dato del indicador Descripción: Opcional, Notas generales.
9.5. METAS
Cada indicador debe tener una meta, como mecanismo válido para asegurar que se ha cumplido la acción. Cada meta contiene:
Indicador: Indicador bajo evaluación Desde: Fecha desde la cual aplica la meta Hasta: Fecha hasta la cual aplica la meta y se debe conseguir la misma Meta: Definición de la meta Desempeño: Desempeño esperado Notas: Notas generales.
10. AREA DE USUARIOS Forma de lectura
Forma de actualización
La administración de usuarios es labor exclusiva del administrador del sistema. Sin embargo es potestad de cualquier usuario cambiar su login y clave en cualquier momento.
Para acceder a la administración de usuarios, se da clic en MI SITIO, desde donde se accede a la forma de lectura. Si se tienen derechos de administrador, se mostrarán los permisos y la lista de usuarios registrados, como información auxiliar, pudiendo añadir, modificar y borrar usuarios.
Al añadir o actualizar un usuario, dando clic en los botones ACTUALIZAR, AÑADIR o clic en el enlace del usuario, se presenta la forma de actualización, donde se puede ingresar:
Usuario: Que identifica al usuario al momento de ingresar. Activo: Indica si es activo o inactivo. Un usuario puede inactivarse en lugar de borrar. Clave – repetir clave: Información del password. Nombre: Nombre general del usuario. Permisos: Cadena de permisos que se le desea asignar al usuario por área y función.
TABLA DE CONTENIDO 1. LA INTERFAZ DE USUARIO 1 2. ACCESO AL SISTEMA DE INFORMACION 3 3. USO DEL SISTEMA DE INFORMACION 4 4. AREA DE PARAMETRIZACION 7 4.1. PARAMETROS DE AUDITORIA 7 4.1.1. PARTICIPANTES 8 4.1.2. FUENTES 8 4.1.3. NORMA TÉCNICA 9 4.1.4. MODALIDAD 9 4.1.5. GRUPOS EVALUACIÓN 10 4.1.6. TIPO DE PARTICIPACIÓN 10 4.1.7. PARTE DE AUDITORIA 10 4.1.8. ENFOQUE DE AUDITORIA 11 4.1.9. PROCEDIMIENTOS DE AUDITORIA 11 4.1.10. ACTIVIDADES DE PLANEACIÓN 12 4.1.11. ACTIVIDADES DE AUDITORIA 12 4.1.12. DOCUMENTOS DE AUDITORIA 13 4.1.13. REGISTROS DE AUDITORIA 13 4.1.14. TIPO DE REQUISITOS 14 4.2. PARAMETROS DE ANALISIS DE RIESGO 15 4.2.1. NIVEL DEL RIESGO 15 4.2.2. RESPUESTA AL RIESGO 16 4.3. PARAMETROS DE TIPOS DE DATOS 17 4.3.1. TIPOS DE DATOS 17 4.3.2. TIPOS TABULARES DE DATOS 18 5. AREA DE TIPOLOGIAS AUDITABLES 19 5.1. LA TIPOLOGIA 20 5.2. RIESGOS FACTIBLES 20 5.3. CARACTERÍSTICAS 21 5.4. REQUISITOS 22 6. AREA DE OBJETOS AUDITABLES 23 6.1. EL OBJETO 24 6.2. VULNERABILIDADES 24 6.3. CARACTERÍSTICAS 25 7. AREA DE AUDITORIA 26 7.1. LA AUDITORIA 27 7.2. EVALUACIÓN DE CRITERIOS 28 7.3. PARTICIPANTES 28 7.4. SOPORTES 29 7.5. HALLAZGOS 29 7.6. NO CONFORMIDADES 30 7.7. RELACION DE HALLAZGOS 30
7.8. ANEXOS 31 7.9. ACTIVIDADES 31 8. AREA DE PLANEACIÓN DE LA AUDITORIA 33 8.1. EL PLAN DE AUDITORIA 34 8.2. CRITERIOS DE AUDITORIA 35 8.3. REQUERIMIENTOS 35 8.4. ACTIVIDADES 36 8.5. PARTICIPANTES 37 9. AREA DE ACCIONES PROPUESTAS PARA MEJORA 38 9.1. EL PLAN DE MEJORA 39 9.2. ACCIONES 39 9.3. ACCIONES POR NO CONFORMIDAD 40 9.4. INDICADORES 40 9.5. METAS 41 10. AREA DE USUARIOS 42
