MANUAL DEL USUARIO DE AUDIRISK

Versin 2012

ETAPA 2: COMPRESION/ FAMILIARIZACION CON EL PROCESO O SISTEMA

OBJETO DE AUDITORIA

SOFTWARE DE AUDITORIA BASADA EN RIESGOS, PARA PROCESOS DE

NEGOCIO Y SISTEMAS DE INFORMACIN

CONTENIDO

1.7 Etapa 4: contexto de riesgos de la auditoria. _______________________________________ 3

Paso 4.1: Matriz Escenarios Areas Organizacionales _______________________________________ 5
Paso 4.2: Matriz Escenarios Vs Categoras de Riesgo _______________________________________ 7
Paso 4.3: Matriz Areas Organizacionales - Categoras de Riesgo_______________________________ 9
Paso 4.4: Matrices de amenazas de Riesgo ______________________________________________ 12
Paso 4.4.1: Localizacin de Amenazas en Matrices Escenarios - Areas Organizacionales ________ 13
Paso 4.4.2: Localizacin de Amenazas en Matriz Escenarios - Categoras de Riesgo ___________ 16
Paso 4.4.3: Localizacin de Amenazas en Matriz Areas Organizacionales - Categoras de Riesgo _ 18
Paso 4.5: Asignar Escenarios a Objetivos de Control _______________________________________ 22
Paso 4.6: Asignar Amenazas a Objetivos de Control _______________________________________ 26
Paso 4.7: Papeles de trabajo _________________________________________________________ 30
Paso 4.8: Estado de Avance de la Auditoria. _____________________________________________ 31

Etapa 4: contexto de riesgos de la auditoria.

Esta etapa tiene como objetivos:

a) Generar el Cubo de Riesgos de la Auditoria, como se indica en la figura 4a (clases de
riesgo crticas, escenarios de riesgo y reas de la organizacin o terceros que intervienen
en el manejo del proceso);
b) Identificar objetivos de control aplicables a los escenarios de riesgo o actividades del
proceso o sistema objeto de la auditoria.
c) Relacionar los objetivos de control con las amenazas de riesgo; y
d) Generar reportes de la valoracin de riesgos inherentes para los tres componentes del
cubo de riesgos.

Figura 4a Cubo de Riesgo de la Auditora

Para ingresar a este paso, haga clic sobre Contexto de Riesgos de la Auditoria y el software
presenta la pantalla de la figura 4b.

Esta etapa consta de ocho (8) pasos, varios de los cuales son automticos y por consiguiente solo
requieren hacer clic sobre ellos para ver los resultados.

Figura 4b: Men de la Etapa 4 Contexto de Riesgo de la Auditora

Los pasos

4.1 a 4.4 son opcionales y se

ejecutan automticamente por el software. Por

consiguiente, el auditor tendr la libertad de ingresar o no a estas opciones para visualizar la

distribucin (relacin) de las amenazas en las tres caras del cubo (Escenarios de Riesgo, Areas
Organizacionales y Categoras de Riesgo).
Estas relaciones se crearon en el paso 3.6, Documentacin de Amenazas, entre Escenarios de
Riesgo, Areas de la Organizacin y Categoras de Riesgo, como se muestra a continuacin en la
figura 4c.

Figura 4c: Relacin de Amenazas con Escenarios y Areas Organizacionales

PASO 4.1: MATRIZ ESCENARIOS AREAS ORGANIZACIONALES

Al dar clic sobre Matriz de Escenarios Areas Organizacionales, el software muestra la pantalla
de la figura 4.1 donde se visualiza la matriz de Escenarios - Areas organizacionales y dentro
de las celdas de la matriz, el link Documentar Ocurrencia para incluir un texto que describa el rol
de cada dependencia en los escenarios de riesgo del proceso o sistema objeto de auditora.

Figura 4.1: Matriz Escenarios Areas Organizacionales

Las celdas con el link Documentar Ocurrencia, sealan las Areas de la Organizacin que
intervienen en los Escenarios de Riesgo (actividades del proceso).

Si el usuario desea documentar cada una de las intersecciones que se visualizan en la figura 4.1,
haga clic sobre el link Documentar Ocurrencia e inmediatamente el software muestra la
ventana donde el usuario podr ingresar la descripcin del rol de las dependencias en cada una
de las actividades del proceso (escenarios de Riesgo) en las que interviene, como se visualiza en la
figura 4.1.1.

Nota: Este paso es opcional, es decir el usuario podr incluir o no la documentacin del rol de las
dependencias que intervienen en el proceso o sistema objeto de la auditoria y el software permitir
continuar con el desarrollo de la auditoria.

Figura 4.1.1: Documentar el Rol de las Areas organizacionales

Reporte:
Al dar clic sobre este botn Reporte en la pantalla de la figura 4.1, el software genera el reporte
como se visualiza en pantalla de la figura 4.1.2, Matriz de Escenarios de Riesgos - Areas
Organizacionales.

Figura 4.1.2: Reporte de Matriz Relacin Escenarios Vs Areas Organizacionales

PASO 4.2: MATRIZ ESCENARIOS VS CATEGORAS DE RIESGO

Al dar clic sobre Matriz Escenarios Vs Categoras de Riesgo, el software muestra una pantalla de
la figura 4.2 donde el usuario podr visualizar la matriz y en link Documentar Ocurrencia, para
describir la forma como las categoras de riesgo pueden ocurrir en los escenarios de riesgo.

Las celdas con el link Documentar Ocurrencia, sealan las categoras de riesgo que pueden
presentarse en cada uno de los Escenarios de Riesgo (actividades del proceso).

Figura 4.2: Matriz Escenarios de Riesgo Categoras

Si el usuario desea documentar la ocurrencia para las intersecciones que se visualizan en la figura
4.2, haga clic sobre el link Documentar Ocurrencia e inmediatamente el software muestra la
ventana donde el usuario podr ingresar la informacin para describir la forma como se presenta
la categora de riesgo en las actividades del proceso (escenarios de Riesgo), como se visualiza en la
figura 4.2.1.

Nota: Este paso es opcional, es decir el usuario podr realiza o no la documentacin de la

ocurrencia y el software permitir continuar con el desarrollo de la auditoria.

Figura 4.2.1: Documentar Ocurrencia de las Categoras de Riesgo en los escenarios de riesgo.

PASO 4.3: MATRIZ AREAS ORGANIZACIONALES - CATEGORAS DE RIESGO

Al dar clic sobre Matriz Areas Organizacionales - Categoras de Riesgo, el software muestra una
pantalla de la figura 4.3 donde el usuario podr visualizar la matriz y dentro de las celdas el link
documentar Ocurrencia

para describir la forma como se pueden presentar las categoras de

riesgo en las reas organizacionales.

Figura 4.3: Matriz Areas Organizacionales Vs Categoras de Riesgo

Con el link Documentar Ocurrencia se sealan las categoras que podran ocurrir en lass reas
organizacionales o terceros que intervienen en el proceso o sistema objeto de auditora.

Si el usuario desea documentar la ocurrencia para cada una de las intersecciones que se visualizan
en la figura 4.3, haga clic sobre el link Documentar Ocurrencia e inmediatamente el software
muestra la ventana donde el usuario podr ingresar informacin para describir la forma como se
podra presentar la categora de riesgo en cada una de las Areas Organizacionales, como se
visualiza en la figura 4.3.1.

Figura 4.3.1: Documentar ocurrencia de las categoras de riesgo en las Areas Organizacionales
Nota: Este paso es opcional, es decir, el usuario podr documentar o no la ocurrencia y el
software permitir continuar con el desarrollo de la auditoria.

Ejemplo
Suponga que en la documentacin de amenazas (etapa 3) se establecen las siguientes relaciones:
Clases de riesgo

Riesgo Critico 1

Amenazas

Amenaza 1

Escenarios
donde puede
presentarse
E1, E2

Dependencias
donde puede
presentarse
D1, D3

Riesgo Critico 2

Riesgo Crtico 3

Amenaza 2

E1, E3

D2, D3

Amenaza 3

E2, E3

D1, D3

Amenaza 4

E1, E2

D2

Amenaza 5

E1

D2, D3

Amenaza 6

E1, E2

D2

Amenaza 3

E2, E3

D1, D3

Amenaza 4

E1, E2

D2

Amenaza 6

E1, E2

D2

Con base en estas relaciones, la etapa 4 de AUDIRISK presentara las siguientes Matrices:
Escenarios en los que
intervienen las Areas
Organizacionales
Escenarios /Actividades del D1
proceso

D2

D3

E1

E2

E3

Escenarios donde pueden presentarse las

Categoras de Riesgos Crticos
Escenarios

R1

R2

R3

E1

E2

E3

Areas Organizacionales donde

pueden presentarse las Categoras de
Riesgos Crticos
Areas
organizacionales

R1

R2

R3

D1

D2

D3

PASO 4.4: MATRICES DE AMENAZAS DE RIESGO

Haga clic sobre Matrices de Riesgo en la figura de la pantalla de la figura 4.4. Esta opcin se
ejecuta automticamente. El usuario debe ingresar a la opcin y salir para cambiar su estado a
TERMINADO. Permite visualizar las mismas matrices presentadas en las 3 opciones anteriores, solo
que en vez de presentar el link Documentar ocurrencia en las celdas donde existe relacin,
muestra los Id de las Amenazas de Riesgo crticas que estn relacionadas a las filas y columnas de
cada matriz.

Figura 4.4 Matrices de Riesgo.

PASO 4.4.1: LOCALIZACIN DE AMENAZAS EN MATRICES ESCENARIOS - AREAS

ORGANIZACIONALES
Al dar clic en esta opcin, el usuario podr visualizar la pantalla de la figura 4.4.1. Dentro de las
celdas relacionadas (intersecciones entre Areas y Escenarios de riesgo), se visualizan los Id de las
amenazas que podran presentarse.
Si el usuario desea visualizar en la descripcin detallada de la amenaza, en la parte inferior de la
pantalla, haga clic sobre el recuadro (checkbox) localizado a la izquierda de la descripcin corta de
cada amenaza e inmediatamente el software muestra la descripcin detallada, en el recuadro
ubicado debajo de la lista de amenazas.

Figura 4.4.1: Amenazas en las celdas de la matriz e Escenarios - Areas Organizacionales

Reportes.
Haga clic sobre la flecha en la caja de seleccin colocada a la izquierda del botn reporte, para
seleccionar uno de los dos reportes.
a) Localizacin de amenazas agrupadas por Escenarios y Areas Organizacionales.
b) Amenazas agrupadas por Escenarios y Areas Organizacionales

Reporte Localizacin de amenazas agrupadas por Escenarios y Areas Organizacionales.

Al generar este reporte el usuario visualiza la figura 4.4.1.1 con la matriz en la que se localizan los
Id de las amenazas en cada celda.

Figura 4.4.1.1: Reporte Localizacin de amenazas en Matriz Escenarios - Areas Organizacionales

Reporte de Amenazas agrupadas por Escenarios y Areas Organizacional:

En este reporte, como se muestra en la figura 4.4.1.2, por cada escenario de riesgo se visualizan
las amenazas (descripcin corta y detallada) que podran presentarse, agrupadas por rea
organizacional.

Figura 4.4.1.2: Reporte Amaneazas agrupadas por Escenario de Riesgo y Area Organizacional

PASO 4.4.2: LOCALIZACIN DE AMENAZAS EN MATRIZ ESCENARIOS - CATEGORAS

DE RIESGO

Al dar clic en esta opcin, el usuario podr visualizar la pantalla de la figura 4.4.2. Dentro de cada
una de las celdas relacionadas (intersecciones entre Categoras de Riesgo y Escenarios de riesgo),
se visualizan los Id de las amenazas que podran presentarse.
Si el usuario desea visualizar en la descripcin detallada de la amenaza, haga clic sobre el recuadro
localizado al inicio de cada descripcin corta de cada amenaza e inmediatamente el software
muestra en el recuadro ubicado debajo de la lista de amenazas la descripcin detallada.

Figura 4.4.2: Iterraciones entre Escenarios y Categoras de Riesgo

Reportes.
Haga clic sobre la flecha en la caja de seleccin colocada a la izquierda del botn reporte, para
seleccionar uno de los dos reportes.
a) Localizacin de amenazas agrupadas por Escenarios y Categoras de Riesgo.
b) Amenazas agrupadas por Escenarios y Categoras de Riesgo

Reporte de localizacin de amenazas agrupadas por Escenarios y Categoras de Riesgo:

Al generar este reporte, como se muestra en la pantalla 4.4.2.1, el usuario visualiza la matriz con
la ubicacin de los Id de las amenazas que podran presentarse en cada una de las celdas de la
matriz Escenarios - Categoras de Riesgo Crticas.

Figura 4.4.2.1: Reporte Localizacin de amenazas en Matriz Escenarios Vs Categoras de Riesgo

Reporte de Amenazas agrupadas por Escenarios y Categoras de Riesgo:

Al generar este reporte, como se muestra en la figura 4.4.2.2, por cada escenario de riesgo se
visualizan las amenazas (descripcin corta y detallada) agrupadas por categora de riesgo.

Figura 4.4.2.2: Reporte Amenazas agrupadas por Escenario de Riesgo y Categora de Riesgo

PASO 4.4.3: LOCALIZACIN DE AMENAZAS EN MATRIZ AREAS ORGANIZACIONALES

- CATEGORAS DE RIESGO
Al dar clic en esta opcin, el usuario podr visualizar la pantalla de la figura 4.4.3. Dentro de cada
una de las celdas relacionadas (intersecciones

entre Categoras de Riesgo

y Areas

Organizacionales), se visualizan los Id de las amenazas que podran presentarse.

Si el usuario desea visualizar la descripcin detallada de la amenaza, haga clic sobre el recuadro
localizado al inicio de cada descripcin corta de cada amenaza e inmediatamente el software
muestra en el recuadro ubicado debajo de la lista de amenazas la descripcin detallada.

Figura 4.4.3: Iterraciones entre Areas Organizacionales y Categoras de Riesgo

Reportes.
Haga clic sobre la flecha en la caja de seleccin colocada a la izquierda del botn reporte, para
seleccionar uno de los dos reportes.
a) Localizacin de amenazas agrupadas por Areas Organizacionales y Categoras de Riesgo.
b) Amenazas agrupadas por Areas Organizacionales y Categoras de Riesgo

Reporte de localizacin de amenazas agrupadas por rea Organizacional y Categoras de Riesgo:

Al generar este reporte, en la pantalla de la figura 4.3.1 el usuario visualiza la matriz con la
ubicacin de las amenazas que podran presentarse en las intersecciones

Figura 4.4.3.1: Reporte Localizacin de amenazas en Areas Organizacionales y Categoras de Riesgo

Reporte de Amenazas agrupadas por rea Organizacional y Categoras de Riesgo:

Al generar este reporte, en la pantalla de la figura 4.3.2 el usuario visualiza las amenazas
(descripcin corta y detallada) agrupada por rea organizacional y Categoras de Riesgo

Figura 4.4.3.2: Reporte de amenazas agrupadas por Areas Organizacionales y Categoras de

Riesgo

Ejemplo.
Segn los datos del ejemplo del paso 4-3 las matrices tendran los siguientes datos:
Dependencias
Escenarios

D1

D2

D3

E1

Am1

Am2, Am4, Am5, Am6

Am1, Am2, Am5

E2

Am1, Am3

Am4, Am6

Am1, Am3

E3

Am3

Am2

Am2, Am3

Categoras de Riesgo Crticas

Escenarios

R1

R2

R3

E1

Am1, Am2

Am4, Am5, Am6

Am4, Am6

E2

Am1, Am3

Am4, Am6

Am3, Am4, Am6

E3

Am2, Am3

Dependencias

Am3

Categoras de Riesgo Crticas

R1

R2

R3

D1

Am1, Am3

Am3

D2

Am2

Am4, Am5, Am6

Am4, Am6

D3

Am1, Am2, Am3

Am5

Am3

PASO 4.5: ASIGNAR ESCENARIOS A OBJETIVOS DE CONTROL

Los objetivos de control

se refieren al propsito a ser alcanzado por los controles. Por

consiguiente, los objetivos deben estar orientados (apuntar) a mitigar las amenazas que pueden
presentarse en los escenarios de riesgo del proceso o sistema que se est auditando.
Se debe tener en cuenta que el objetivo de los controles es asegurar que los actos de la
organizacin se realicen correctamente, de acuerdo a lo previsto. No es detectar errores e
irregularidades.
Para acceder a esta opcin, haga clic sobre la opcin Asignar Escenarios a Objetivos de Control y
el software muestra la pantalla del figura 4.5

Figura 4.5: Asignar Objetivos de control a Escenarios de Riesgos

En la pantalla se presentan los siguientes encabezados:

Id: Identificacin del escenario de riesgo.

Escenario: Descripcin corta o nombre del escenario.

Existe Relacin: Aqu se escriben las silabas SI o NO para indicar si ya se estableci o no la

relacin entre el escenario y los objetivos de control.

Accin: El link Establecer Relacin para acceder a la pantalla en donde se asignan

objetivos a los escenarios de riesgo.

Para asignar objetivos a un escenario, haga clic sobre Establecer Relacin al lado derecho del
escenario y el software muestra la pantalla de la figura 4.5.1

Figura 4.5.1: Establecer Relacin e Asignar Objetivos de control a Escenarios de Riesgos

En la parte izquierda de la pantalla se muestran la lista de objetivos de control elegibles, que

estn cargados en la base de conocimientos de la empresa. Estos solo estn disponibles para
escenarios de riesgo de las aplicaciones de computador, los 31 procesos COBIT, los once dominios
de seguridad de la informacin (ISO 27001) y los escenarios de riesgo de la infraestructura de TI.
Para los procesos del modelo de operacin de la empresa, es necesario crear los objetivos y
asociarlos a las actividades del proceso. Esto se hace accediendo a los botones Mantenimiento de
Objetivos y Mantenimiento de Relaciones.
Para seleccionar objetivos elegibles y asociarlos a un escenario de riesgo, sobre la pantalla de la
figura 4.5.1 proceda as:

Marque el objetivo elegible en el checkbox colocado a la izquierda del objetivo.

Para trasladar el objetivo elegido al lado derecho, objetivos de Control seleccionados,

haga clic sobre la flecha sencilla orientada hacia la derecha.

Para trasladar varios objetivos al lado derecho, mrquelos y haga clic sobre la flecha doble
orientada hacia la derecha.

Para deshacer una seleccin, utilice las flechas orientadas a la izquierda.

El software valida que se asigne al menos un objetivo de control por cada escenario de riesgo.
Cuando este requisito no se satisface, el software presentar un mensaje informando que hay
objetivos de control o amenazas pendientes de relacionar.
La asignacin de objetivos a escenarios de riesgo termina cuando todos los escenarios de riesgo
tenga la silaba SI en la columna Existe Relacin.

Mantenimiento de Objetivos de Control.

Al dar clic sobre este botn, el software muestra la pantalla de la figura 4.5.2 con la lista de
objetivos de control existentes en la base empresa y los link para modificar y eliminar.

Figura 4.5.2: Mantenimiento de Objetivos de Control

Para adicionar un objetivo de control, haga clic sobre el botn Agregar y el software muestra la
ventana de la figura 4.5.3 para ingresar los datos (descripcin corta y detallada), seleccionar el
tipo de modelo (TI, APLICACIONES, IT, ISO 27001) y dar clic en el botn Guardar.

Figura 4.5.3: Adicin de Objetivos de Control

Reporte.
Al dar clic sobre esta opcin el software genera el reporte de los objetivos de control relacionados
por escenario de riesgo.

Mantenimiento de Relaciones.
Mediante esta opcin, el auditor puede

establecer relaciones entre objetivos de control

existentes en la base de conocimientos y los Escenarios de Riesgo del proceso o sistema objeto
de auditoria.
Haga clic sobre el botn Mantenimiento de Relaciones y el software muestra en la pantalla de la
figura 4.5.4 la lista de Objetivos de Control existentes en la base empresa para que el usuario
realice la bsqueda y relacione los que apliquen al escenario.

Figura 4.5.4: Establecer Relacin de Objetivos de Control con Escenarios de Riesgo

Para establecer la relacin, haga clic sobre el link Establecer Relacin y de esta manera queda
relacionado el objetivo de control con el escenario, como se visualiza en la figura 4.5.4.

PASO 4.6: ASIGNAR AMENAZAS A OBJETIVOS DE CONTROL

El objetivo de este paso es relacionar las amenazas de riesgo identificadas para el proceso, con
los objetivos de control asignados a los escenarios de riesgo (actividades) del proceso o sistema
objeto de la auditora.

Figura 4.6: Relacionar Amenazas con Objetivos de Control, por escenarios de riesgo
En la parte superior de la pantalla se presenta una caja de seleccin con la lista de escenarios de
riesgo del proceso. Por cada escenario seleccionado, el software muestra la lista de objetivos de
control asignados al escenario, con los siguientes encabezados:

Id: Identificacin del objetivo de control.

Escenario: Descripcin corta del objetivo de control.

Existe Relacin: Aqu se escriben las silabas SI o NO para indicar si ya se estableci o no la

relacin entre el objetivo de control con las amenazas del escenario de riesgo.

Accin: El link Establecer Relacin para acceder a la pantalla en donde se asignan

amenazas a objetivos de control.

Para relacionar un objetivo de control con las amenazas del escenario de riesgo, en la pantalla de
la figura 6.6 haga clic sobre el link Establecer Relacin, colocado a la derecha del objetivo que
desea relacionar con amenazas. El software muestra la pantalla de la figura 4.7.

Figura 4.7: Asignar amenazas a objetivos de control.

En el lado izquierdo de la pantalla se muestran la lista de amenazas elegibles, las cuales
corresponden al escenario de riesgo seleccionado en la figura 4.6. De estas, el auditor selecciona
las amenazas que pueden ser neutralizadas por el objetivo de control y las traslada al lado
derecho haciendo clic sobre la flecha que apunta a la derecha.
Para visualizar la descripcin detallada una amenaza en la parte inferior de la pantalla, marque el
checkbox a la izquierda de la amenaza.
Cada vez que se termina la asignacin de amenazas a los objetivos de control de un escenario de
riesgo, el estado del escenario en la pantalla de la figura 4.6 cambia a Terminado. Este paso
termina cuando todos los escenarios de riesgo tengan estado Terminado.
Importante: El software valida que todas las amenazas se encuentran relacionadas al menos con
un objetivo de control y que cada objetivo de control tenga relacionada al menos una amenaza de
riesgo.
Reportes.
En la pantalla de la figura 4.6 haga clic sobre la flecha en la caja de seleccin colocada a la
izquierda del botn reporte, para seleccionar uno de los dos reportes.
a) Objetivos de Control por Escenarios de Riesgo y
b) Estadsticas de Objetivos de Control por Escenarios de Riesgo

Reporte de Objetivos de Control por Escenarios:

Al dar clic sobre esta opcin, el software genera el reporte de los escenarios de riesgo con el
objetivo de control que se relacion en la opcin anterior Relacionar objetivos de control a
escenarios.

Figura 4.8.1: Reporte de Objetivos de Control por Escenario

Reporte de Estadsticas de Objetivos de Control por Escenarios:

Al dar clic sobre esta opcin, el software genera el reporte de estadsticas de Escenarios Vs
objetivos de control relacionados.

Figura 4.8.2: Reporte de Estadsticas Objetivos de Control por Escenarios.

PASO 4.7: PAPELES DE TRABAJO

Por cada etapa de la auditoria, el software ofrece funcionalidades para generar reportes con los
papeles de trabajo ms importantes producidos en la etapa, exportarlos a otros formatos y
almacenarlos en carpetas creadas por el auditor, por fuera del control del software AUDIRISK.
Haga clic sobre Papeles de Trabajo y el software muestra la pantalla de la figura 4.9, en la cual se
muestra una lista con el nombre de los principales papeles de trabajo generados en esta etapa de
la auditoria.

Figura 4.9: Papeles de trabajo relevantes, generados la Contexto de Riesgo de la Auditora

Para visualizar el reporte de cada papel de trabajo de la lista, haga clic sobre la accin Ver.
Estos reportes pueden ser exportados al formato deseado y guardarse en una carpeta con
nombre asignado por el auditor (se sugiere el nombre de la auditoria seguido de la Etapa; por
ejemplo PT Talento Humano 2011, Etapa 4.

PASO 4.8: ESTADO DE AVANCE DE LA AUDITORIA.

Este paso consta de tres (3) tareas que se visualizan cuando se posiciona el cursor sobre Estado de
Avance de la Auditoria.

Figura 4.10: Men de Estado de Avance de la Auditoria

Las tareas son:

Control de Tiempo de Auditoria por Etapas.

Control de Tiempo de la Auditoria por Auditores.

Control de tiempo acumulado de la Auditoria.

Los procedimientos para desarrollar esta tarea, son los mismos que se describieron para la etapa 1
en los siguientes numerales:
1.3.1: Control de tiempo de la Auditoria por Etapas
1.3.2 Control de tiempo de la auditoria por auditores
1.3.3 Control de tiempo Acumulado en la Auditoria, por Auditores.