presentación audirisk 2012 [modo de compatibilidad] · audirisk 2011: software de auditoria basada...

AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 1

AUDIRISKSoftware de Auditoría Basada en

Riesgos para Procesos y Sistemas de Información.

Versión 2.012

AUDIRISKSoftware de Auditoría Basada en

Riesgos para Procesos y Sistemas de Información.

Versión 2.012


ContenidoContenido

Características Generales y Técnicas deAUDIRISKMódulo 1: Planeación Anual de la AuditoríaBasada en Valoración de Riesgos.Módulo 2: Desarrollo de Auditorías Basadas enRiesgos.Módulo 3: Informes de Gestión de la Auditoría.Módulo 4: Seguimiento de Hallazgos deAuditorías Efectuadas por Terceros.Módulo 5: Administración de UsuariosBeneficios de Utilizar AUDIRISK.Usuarios del software AUDIRISK,


¿Qué es AUDIRISK ?¿Qué es AUDIRISK ?

El software AUDIRISK es una aplicación Web para:

Planeación Anual de las Auditorías, basándose en la“Valoración de riesgos potenciales de los procesos ysistemas de la organización”.Desarrollar las Auditorías con enfoque “Basadas enRiesgos Críticos“ que podrían presentarse en lasoperaciones auditadas.Evaluar la Gestión de la Auditoría y,Efectuar seguimiento a los planes de mejoramientoinstitucional que surgen de auditorías internas y externasrealizadas por terceros en la organización.



El software AUDIRISK es una aplicación Web pararealizar "Auditorías Basadas en Riesgos", a:

Procesos del modelo de operación de la Empresa(estratégicos, misionales, de apoyo y de evaluación),Procesos de tecnología de información (modelos COBIT, ITILe ISO 27001),La Infraestructura de Tecnología de Información.Sistemas de Información Automatizados (Aplicaciones deComputador en desarrollo o en producción o módulos deERPs) y,

AUDIRISK 2011: Software de Auditoria Basada en Riesgos para Procesos y Sistemas de Información 5

Qué significa Basada en Riesgos ?Qué significa Basada en Riesgos ?

Las Auditorías se planean y desarrollan para revisar procedimientos,controles e información relacionada con los riesgosriesgos inherentesinherentes críticoscríticos(E: Extremo; A: Alto, M: Moderado) de los procesos del modelo deoperación de la empresa, los procesos de TI o las aplicaciones decomputador.El examen de la Auditoría tiene un enfoque más “proactivo y preventivo”, que“reactivo o a posteriori”.La revisión de la auditoría considera siete (7) elementos del riesgo:activos impactados, amenazas (eventos negativos), vulnerabilidades,agentes generadores, exposición, consecuencias y controlesestablecidos.

El software AUDIRISKEl software AUDIRISK


Los 7 Elementos del Riesgo2. Amenazas

Explotan

4. Vulnerabilidades

Que resultan en ?

5. Exposiciones

Que es ?6. Riesgo

Que es mitigado por ?

7. Salvaguardas(Controles)

Que protegen ?

Que son dañados por ?

1. Activos

3. AgentesGeneradores

Medición del Riesgo Inherente - Estándares ISO 31000 - AS/ NZ 4360 - NTC 5254


AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información

Evaluación de la Exposición a Riesgos

ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles 8

Mapa de Riesgos Inherentes- Estándares ISO 31000 y AS/ NZ 4360 (NTC 5254)

Mapa de Riesgos Inherentes- Estándares ISO 31000 y AS/ NZ 4360 (NTC 5254)

Niveles de Riesgo

(Inherente o Residual )

Consecuencias en caso de Presentarse

1: BajoLa ocurrencia del evento (amenaza) tendría consecuencias leves, tolerables por laorganización. Se puede gestionar mediante procedimiento de rutina. En caso depresentarse no desestabiliza a la organización.

2: ModeradoEn caso de presentarse ocasionaría consecuencias que superan el nivel de toleranciade la organización. Requiere atención de la Gerencia. Debe ser gestionado concontroles para disminuir su impacto o la frecuencia de ocurrencia.

3: AltoEn caso de presentarse ocasionaría consecuencias financieras y operacionales deimpacto severo o significativo para la organización. Es necesaria la atención inmediatade la Gerencia. Debe gestionarse con acciones para transferir el riesgo a terceros,dispersar el riesgo y reducir su impacto o la frecuencia de ocurrencia.

4: ExtremoSu ocurrencia ocasionaría consecuencias financieras y operacionales de impactocatastrófico para la organización. Es necesaria la atención inmediata de la Gerencia.Debe gestionarse con mecanismos para evitar su ocurrencia o transferir el riesgo aterceros, dispersar el riesgo y reducir su impacto o la frecuencia de ocurrencia.


Auditoría Basada en Riesgos Críticos


Riesgo Potencial (Inherente): Riesgo asociado con lanaturaleza de los procesos u operaciones de negocio. En suestimación no se tienen en cuenta los controles establecidos.Punto de partida de la Auditoría: Su identificación yevaluación son el punto de referencia para evaluar laefectividad de los controles establecidos y diseñar las pruebasde auditoría.

Riesgo Residual: Riesgo no protegido por los controlesestablecidos.Punto de llegada de la Auditoría: su medición es el punto dereferencia para identificar los hallazgos y diseñar lasrecomendaciones de la auditoria.

Considera Dos (2) Estados de los Riesgos

Ries

go In

here

nte 4: Extremo Bajo Moderado. Alto. Extremo Extremo

3: Alto Bajo Moderado. Alto. Alto. Alto.

2: Moderado Bajo Moderado. Moderado. Moderado. Moderado.

1: Bajo Bajo Bajo Bajo Bajo Bajo

1: Apropiada 2: Mejorable 3: Insuficiente 4: Deficiente 5: Muy

Deficiente

Efectividad de los Controles (Protección Existente)

Medición de Riesgos Residuales, después de evaluar y verificar los Controles Establecidos - MODELO "AUDISIS“




Evaluación Efectividad de los Controles

ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles 11

Evaluación del Control InternoEvaluación del Control Interno

Efectividad de los Controles

Significado de la Efectividad de los Controles Establecidos por cada Amenaza (riesgo potencial)

1: ApropiadaLos controles establecidos son efectivos (eficaces y eficientes) para reducir losriesgos potenciales a nivel aceptable o tolerable de riesgo residual.Satisfacen los 3 anillos de seguridad y el nivel de automatización es aceptableo el costo beneficio es razonable.

2: MejorableLos controles satisfacen los 3 anillos de seguridad (preventivo, detectivo ycorrectivo), pero no son eficientes o tienen bajo nivel de automatización

3:Insuficiente

Los controles utilizados no satisfacen los tres anillos de seguridad. Senecesitan controles adicionales.

4: DeficienteLos controles utilizados no satisfacen los tres anillos de seguridad y no soneficientes o tienen bajo nivel de automatización. Se necesitan controlesadicionales

5: MuyDeficiente

No existen controles o los que se utilizan no sirven para controlar los riesgospotenciales.


Estándares que utiliza AUDIRISK

Estándares que utiliza AUDIRISK

AUDIRISKAUDIRISK estáestá alineadoalineado yy eses compatiblecompatible conconestándaresestándares internacionalesinternacionales yy nacionalesnacionales vigentesvigentes dedeauditoría,auditoría, gestióngestión dede riesgos,riesgos, controlcontrol internointerno yyseguridadseguridad..

Normas de Auditoría de Aceptación General – IIA e ISACA. Modelos de Control Interno COSO ERM, COBIT Y MECI. Normas ISO 27002, ISO 27001, ISO 9126, ISO 12207. Normas ISO 9001, ISO 14000 e ISO 18000. Modelos de Gestión de Riesgos ISO 31000, SARO,

SARLAFT, MECI, AUDIRISK. Circulares Externas 052 de 2007, 014 de 2009 y 038 de 2009

de la SFC y CE 023 de 2010 de la SSF.

UtilizaUtiliza modelosmodelos conocidosconocidos dede “clases“clases oo categoríascategoríasdede riesgo”,riesgo”, comocomo basebase parapara planearplanear yy desarrollardesarrollarlaslas AuditoríasAuditorías.. Sistema de Administración de Riesgo Operativo- SARO . Sistema de Administración de Riesgos de Lavado de Activos y

Financiación del Terrorismo - SARLAFT. MECI (Modelo Estándar de Control Interno para las Entidades

del Estado Colombiano). Riesgos en el Sector Salud - Res 1740 de 2008 MPS AUDIRISK Otros Modelos

El Software AUDIRISK


Clases de Eventos Clases de Eventos de Riesgo Operativode Riesgo OperativoSAROSARO

1. Fraude Interno.2. Fraude Externo.3. Fallas en la Atención a los Clientes.4. Daños a Activos Físicos.5. Fallas en Relaciones Laborales.6. Fallas Tecnológicas.7. Errores en Administración y

Ejecución de Procesos.

Clases de RiesgosDe LA / FTSARLAFT

1. Riesgo Reputacional.2. Riesgo Legal.3. Riesgo Operativo.4. Riesgo de Contagio

Modelos de Clases o Categorías de Riesgo


Clases de Riesgo Modelo MECI: 1. Estratégico2. Operativo3. Financiero.

4. De cumplimiento.5. De Tecnología.

1. Hurto / Fraude.2. Sanciones Legales3. Pérdida de Credibilidad

Pública4. Desventaja Competitiva.5. Costos Excesivos

6. Pérdida de Ingresos.7. Daño / Destrucción de

Activos8. Decisiones Erróneas

Clases de Riesgo Modelo AUDIRISK



Administración de Riesgos en Salud: 1. De concentración de riesgos y hechos catastróficos.2 De incrementos inesperados en los índices de Morbilidad y

de costos de atención.3. De cambios permanentes en las condiciones de salud o

cambios tecnológicos.4. De Insuficiencia de reservas técnicas.5. De comportamiento.

Administración de Riesgo Operativo• Riesgo Operativo• Riesgo Legal y Regulatorio.• Riesgo Reputacional

Riesgos en el Sector Salud - Res 1740 de 2008 MPS



Administración de Riesgos Generales del Negocio1. Riesgo Estratégico.2. Riesgo de Crédito.3. Riesgo de Mercado.4. Riesgo de Liquidez.

Otros Requerimientos • Planes de continuidad del negocio.• Registro de Eventos de Riesgo Ocurridos

Riesgos en el Sector Salud - Res 1740 de 2008 PMS



Clasificación de los Riesgos Financieros

Riesgo de Mercado. Riesgo de Crédito. Riesgo de Liquidez. Riesgo Legal. Riesgo Operativo. Riesgo de Reputación.



Provee y genera Bases de Conocimientos quecontienen “best practices” universales sobre clases deriesgos, amenazas, objetivos de control, controles, ytécnicas de auditoría.

1. Base de Conocimientos Estándar suministrada por AUDISIS, conBest Practices Universales. Punto de partida para poblar base deempresa.

2. Base de Conocimientos de Empresa: Best practices de baseestándar, incrementadas con las practicas especificas de la Empresa,identificadas en las auditorías realizadas con AUDIRISK.

3. Base de Conocimientos de Trabajo con los resultados de cadaauditoría.

El software AUDIRISK


Suministrada por AUDISIS

Bases de Conocimiento Estándar

AUDIRISK

• Categorías Riesgos: SARO,SARLAFT, MECI, AUDIRISK.

• Amenazas de Riesgo

* Controles

* Escenarios de riesgo: de TI,aplicaciones y a la medida

* Técnicas de auditoria.

* Objetivos de Control

• Modelos de evaluación deriesgos y Controles

Best Practices sobre

* Riesgos – Amenazas de Riesgo

* Amenazas de Riesgo - Controles

• Escenarios - Objetivos de Control

Articulaciones entre

Base de Conocimientos Estándar


Bases de Conocimientos con Resultados de las Auditorias

Base de la Empresa- Antes de la Auditoria

Proceso de Negocio

Base de Datos de la Empresaincrementada con Riesgos,Amenazas, Controles,técnicas de auditoria y otraspracticas utilizadas.

BC de la Empresa

Base de Trabajo

Cubo de Riesgos para la Auditoria

Guías de Control personalizadas

Evaluación de Controles Existentes.

Diseño de Pruebas deCumplimiento y Sustantivas.

Hallazgos de Auditoría

Informe de la Auditoría


Otras CaracterísticasOtras Características Lo que no se mide, no se puede administrar /

Controlar. Mide la Efectividad del Control Interno existente, por

Amenazas, categorías de riesgo, actividades, áreasorganizacionales y objetivos de control.

Mide el % de Cumplimiento de los Controles Establecidos,por amenazas, categorías de riesgo, actividades, áreasorganizacionales.

Mide el % de Confiabilidad de las Cifras verificadas(Pruebas Sustantivas), por amenazas, categorías deriesgo, actividades, áreas organizacionales .

Otras CaracterísticasOtras Características Lo que no se mide, no se puede administrar /

Controlar. Mide la Efectividad del Control Interno existente, por

Amenazas, categorías de riesgo, actividades, áreasorganizacionales y objetivos de control.

Mide el % de Cumplimiento de los Controles Establecidos,por amenazas, categorías de riesgo, actividades, áreasorganizacionales.

Mide el % de Confiabilidad de las Cifras verificadas(Pruebas Sustantivas), por amenazas, categorías deriesgo, actividades, áreas organizacionales .

El software AUDIRISKEl software AUDIRISKEl software AUDIRISKEl software AUDIRISK


Otras CaracterísticasOtras Características Ayuda a elaborar cuestionarios de factores de

riesgo, controles internos y listas de comprobación. Factores de riesgo para evaluar exposición a riesgos por tipo de

auditoria. Guías para identificar controles que “deberían existir” para mitigar

las amenazas de riesgo. Listas de comprobación de controles para efectuar pruebas de

cumplimiento, para amenazas de riesgo con controles queofrecen protección apropiada..

Listas de comprobación de la exactitud de la información paraefectuar pruebas sustantivas a datos impactados por amenazasde riesgo con debilidades de control.

Listas de criterios para evaluar la satisfacción de las siete (7)características de las información de negocios.

Otras CaracterísticasOtras Características Ayuda a elaborar cuestionarios de factores de

riesgo, controles internos y listas de comprobación. Factores de riesgo para evaluar exposición a riesgos por tipo de

auditoria. Guías para identificar controles que “deberían existir” para mitigar

las amenazas de riesgo. Listas de comprobación de controles para efectuar pruebas de

cumplimiento, para amenazas de riesgo con controles queofrecen protección apropiada..

Listas de comprobación de la exactitud de la información paraefectuar pruebas sustantivas a datos impactados por amenazasde riesgo con debilidades de control.

Listas de criterios para evaluar la satisfacción de las siete (7)características de las información de negocios.



Otras CaracterísticasOtras Características Es una aplicación WEB que se puede instalar en la Nube (Cloud

Computing) Produce Papeles de Trabajo en formato electrónico Ofrece ayudas de Supervisión de los Auditores (TO DOs o

pendientes por hacer) Por cada auditoria genera 5 tipos informes de Auditoria:

Evaluación de control interno, pruebas de cumplimiento,pruebas sustantivas, satisfacción de las siete (7) característicasde la información de negocios y del seguimiento a los hallazgosde auditoría.

Software Multicompañías. Deja Rastros de las actividades ejecutadas por los Auditores.

Otras CaracterísticasOtras Características Es una aplicación WEB que se puede instalar en la Nube (Cloud

Computing) Produce Papeles de Trabajo en formato electrónico Ofrece ayudas de Supervisión de los Auditores (TO DOs o

pendientes por hacer) Por cada auditoria genera 5 tipos informes de Auditoria:

Evaluación de control interno, pruebas de cumplimiento,pruebas sustantivas, satisfacción de las siete (7) característicasde la información de negocios y del seguimiento a los hallazgosde auditoría.

Software Multicompañías. Deja Rastros de las actividades ejecutadas por los Auditores.



Satisface necesidades de diferentes Satisface necesidades de diferentes modalidades de Auditoría.modalidades de Auditoría. Auditores de Sistemas. Auditores Operativos. Auditores de Procesos. Auditorías Integrales. Revisores Fiscales.

Satisface necesidades de diferentes Satisface necesidades de diferentes modalidades de Auditoría.modalidades de Auditoría. Auditores de Sistemas. Auditores Operativos. Auditores de Procesos. Auditorías Integrales. Revisores Fiscales.



Módulos de AUDIRISK Módulos de AUDIRISK El software AUDIRISK consta de 5 módulos:


Módulos Componentes del SoftwareMódulos Componentes del Software

El software AUDIRISKEl software AUDIRISK

1. Planeación Anual de la Auditoría Basada enValoración de Riesgos.

2. Desarrollo de Auditorías Basadas en Riesgos.3. Informes de Gestión de la Auditoría.4. Seguimiento a Hallazgos y recomendaciones de

auditorías efectuadas por terceros.5. Administración de Usuarios.


Especificaciones Técnicas para ejecutar el Software AUDIRISK

Especificaciones Técnicas para ejecutar el Software AUDIRISK

• Motores de Bases de datos: SQL Server y Oracle.• Sistema Operacional: Windows Server 2003 y 2005,

Windows XP, NT, Vista y 7. Excepto las versionesHome.

• Memoria RAM: 2GB en servidor.• Disco Duro: 8 GB• Internet Explorer 6.0 o superiores• Llave de autenticación (Hardware Key): Puerto USB.


PorPor lala compracompra deldel SoftwareSoftware

Manual del Usuario del Software (E-book) Software ejecutable (CD) Bases de datos de conocimientos estándar. Licencia de uso por tiempo indefinido. Una Llave de control de acceso físico -

Hardware Key. Derecho a recibir soporte técnico y actualizaciones

del software y la metodología durante un año.

Productos que recibe el Productos que recibe el Usuario de AUDIRISKUsuario de AUDIRISK

Productos que recibe el Productos que recibe el Usuario de AUDIRISKUsuario de AUDIRISK


Módulo 1:Módulo 1:Planeación Anual de la Auditoría, Basada Planeación Anual de la Auditoría, Basada

en Valoración de Riesgosen Valoración de Riesgos


Planeación Anual de las AuditoríasPlaneación Anual de las AuditoríasPlaneación Anual de las AuditoríasPlaneación Anual de las Auditorías

De acuerdo con Pronunciamientos del Instituto de Auditores Internosde USA (IIA) y de la Asociación de Control y Auditoría de Sistemas deInformación (ISACA).

Para Auditorías Internas. Elabora y controla ejecución del Plan Anualde Auditoria, según su nivel de exposición a riesgos. Provee Cuestionarios con Factores de Riesgo, por tipos de auditoría

(Procesos de negocio, procesos de TI, infraestructura de TI y aplicacionesde computador).

Estima la Exposición a Riegos de los trabajos de auditoría, por Categoríasde Riesgo y por tipos de auditoría.

Prioriza los trabajos de auditoria por tipos de auditoria. Elaborar cronograma anual de la auditoria . Permite realizar seguimiento al plan

DesarrollaDesarrolla elel enfoqueenfoque dede PlaneaciónPlaneación AnualAnual dede lalaAuditoríaAuditoría BasadaBasada enen ValoraciónValoración dede RiesgosRiesgos..


Planeación Anual de las AuditoríasPlaneación Anual de las AuditoríasPlaneación Anual de las AuditoríasPlaneación Anual de las Auditorías

Para Auditorías Externas y Organismos de Control delEstado Elabora y controla el plan anual de auditoria por sector y

empresas, según su nivel de exposición a riesgos :

Provee Cuestionarios con Factores de Riesgo, por sectores Estima Exposición a Riesgos de las Empresas dentro de

cada sector, por empresa y categorías de riesgo. Elaborar cronograma anual de la auditoria por Sector. Define trabajos a realizar por empresa

Permite hacer seguimiento al Plan Anual

DesarrollaDesarrolla elel enfoqueenfoque dede PlaneaciónPlaneación AnualAnual dede lalaAuditoríaAuditoría BasadaBasada enen ValoraciónValoración dede RiesgosRiesgos..


Planeación Anual de la Auditoría Basada en Valoración de Riesgos

Ofrece funcionalidades para elaborar el plan anual de auditoría ycontrolar su ejecución, a través de los siguientes pasos:

1. Por cada tipo de auditoría (revisiones), permite priorizar lostrabajos candidatos a ser auditados, de acuerdo con el nivel deExposición a Riesgos :Tipos de Auditorías A Procesos del modelo de operación de la empresa. A Procesos de tecnología de información, A Aplicaciones de computador, Seguimientos a auditorías efectuadas por terceros Otros tipos de revisiones.

Planeación Anual de la Auditoría Interna.


Módulo 1: Planeación Anual de la Auditoría Basada en Riesgos


2. Por cada tipo de auditoría (revisiones), permite generarpanoramas de riesgo a nivel Corporativo:

Por Tipos de Auditorías Panorama por Categorías de Riesgo. Panorama de Riesgos en los procesos del modelo de operación de

la empresa. Panorama de Riesgos en los procesos de tecnología de información, Panorama de Riesgos en las Aplicaciones de computador,



Módulo 1: Planeación Anual de la Módulo 1: Planeación Anual de la Auditoría Basada en Riesgos Auditoría Basada en Riesgos


3. Elaborar la programación de auditorías a realizar durante el año,de acuerdo con las prioridades asignadas por tipos de actividadeso por clases de riesgo.

4. Efectuar seguimiento al plan anual de la auditoria / Evaluar lagestión de la auditoria de acuerdo al cumplimiento del plan anual.

5. Generar reportes de planeación, seguimiento y control del plananual de auditoria



Módulo 1: Planeación Anual de la Módulo 1: Planeación Anual de la Auditoría Basada en Riesgos Auditoría Basada en Riesgos


Módulo 2:Módulo 2:Desarrollo de Auditorías Basadas en Desarrollo de Auditorías Basadas en

Riesgos a procesos y sistemas de Riesgos a procesos y sistemas de informacióninformación


Desarrollo de Auditorías Basadas Desarrollo de Auditorías Basadas en Riesgos en Riesgos

1. A procesos del Modelo de Operación de laEmpresa (estratégicos, misionales y de apoyo).

2. A procesos de Tecnología de Información (COBIT,ITIL, ISO 27001).

3. A actividades clave de la InfraestructuraInformática de la Empresa.

4. A sistemas de información automatizados(Aplicaciones de Computador ó módulos deERPs).

Tipos de Auditorías que soporta AUDIRISK


Desarrollo de AuditoríasDesarrollo de AuditoríasBasadas en Riesgos Basadas en Riesgos

• Pre-auditoría

• Comprensión

• Identificación y Evaluación

de Riesgos

• Mapa de Riesgos

• Evaluar Control Interno

• Pruebas de Cumplimiento

• Pruebas Sustantivas

• Evaluar Satisfacción de criterios

de información de negocios

Seguimiento a Hallazgos y

Recomendaciones

Planeación

Ejecución

Informe

• Informe Preliminar de la Auditoría

• Informe Definitivo

Auditoría a Procesos y Sistemas:

PLANEACIÓN

Procesos NegocioProcesos TI

Aplicaciones Computador

SGSI

Base Conc. de Empresa:•Categorías de Riesgo,•Amenazas,•Controles,•Objetivos de Control.•Vulnerabilidades•Activos

EJECUCIÓN

COMUNICACIÓN RESULTADOSSEGUIMIENTO

DESARROLLO DE EAUDITORÍAS BASADAS EN RIESGOS


Preauditoria

Comprensión

Cubo de la Auditoria

Id., y Medición de Riesgos

12

3

4Memorando Planeación

Caracterización

Riesgos Inherentes

Críticos

Contexto de Riesgos de la

AuditoriaArchivo

PermanentePrograma de

Trabajo

Mapas de Riesgos Pot.

Fases y Etapas de las Auditorías con AUDIRISKFases y Etapas de las Auditorías con AUDIRISKFASE 1: PLANEACIÓN BASADA EN RIESGOS


Evaluar Controles Establecidos Pruebas de

Cumplimiento

Informe de la Auditoria

Pruebas Sustantivas

56

7

8Medir

Protección Existente

Hallazgos de Auditoria

A Exactitud Datos Claves

SeguimientoA Controles ClavesMedir / evaluar

Riesgo Residual



Fases y Etapas de las Auditorías con AUDIRISKFases y Etapas de las Auditorías con AUDIRISKFASES 2 Y 3 : EJECUCION E INFORME DE LA AUDITORIA

Informe de AuditoríaInforme de Auditoría

Informes de Auditoría


ElEl SoftwareSoftware AUDIRISKAUDIRISK ayudaayuda aa definirdefinir objetivosobjetivos yy alcancealcancedede lala auditoría,auditoría, estimarestimar yy asignarasignar loslos recursosrecursos requeridosrequeridos..

Memorando de Planeación. Objetivos y alcance de la auditoría. Tiempo Asignado a la auditoria (Horas por etapa). Asignar Auditores.

Cronogramas por auditor y por etapa de la metodología. Costos estimados de personal y otros conceptos. Papeles de Trabajo de la Etapa Estado avance de la Auditoría (Hrs planeadas vs Hrs reales) Programa de Trabajo

Etapa 1: Pre- auditoria


44

Caracterización del proceso o sistema. Archivo permanente o expediente continuo de la

auditoría Datos Críticos para la Auditoria. Componentes de Soporte tecnológico utilizados Papeles de Trabajo de la etapa Estado de Avance de la Auditoria (hasta esta etapa)

Etapa 2: Comprensión del Proceso Objeto dela Auditoría.


El software ofrece ayudas para comprender y documentar:


45

Etapa 3: Identificar, documentar, priorizar yMedir Riesgos Potenciales.

Esta etapa tiene como propósito identificar y valorar losriesgos inherentes (potenciales ) sobre los queenfatizará el trabajo de la auditoria.

Riesgos Inherentes: Eventos perjudiciales que podríanpresentarse, de acuerdo con la naturaleza del negocio(servicio) y la forma como se llevan a cabo las operacionesdel proceso o sistema objeto de auditoria




Relación entre Clases de Riesgo y AmenazasCosto ó Valor de las Pérdidas

Originadas por Eventos no deseables denominados Riesgos / Amenazas

• Sanciones Legales• Pérdida de Ingresos• Costos Excesivos • Pérdida de Credibilidad Pública• Desventaja ante laCompetencia

• Daño - Destrucción deActivos

• Decisiones Erróneas• Fraude - Robo

Agentes Generadores de Amenazas.

• Personas, Fallas de los Equipos ( Energía, Aire Acondicionado), Actos mal intencionados, Desastres Naturales o provocados

RIESGO

CLASES DE RIESGOS

UNIDAD MINIMA DE ANALISIS

AMB

* Frecuencia (Probabilidad) de Ocurrencia

* Impacto ( Estimación de las Pérdidas por cada ocurrencia)

AMENAZAS DE RIESGO(Eventos que generan las Clases de Riesgo) Vulnerabilidades – Debilidades de seguridad

SAROSAROSARLAFTSARLAFTMECIMECIAUDIRISKAUDIRISK


Los 7 Elementos del Riesgo2. Amenazas

Explotan

4. Vulnerabilidades

Que resultan en ?

5. Exposiciones

Que es ?6. Riesgo

Que es mitigado por ?

7. Salvaguardas(Controles)

Que protegen ?

Que son dañados por ?

1. Activos

3. AgentesGeneradores

49

Alternativas de Manejo de Riesgos

5: Casi Cierto Zona de Riesgo

Moderada. 5 puntos. Mitigar

Zona de riesgo Alta.10 puntos . Mitigar, transferir, distribuir

Zona de Riesgo Extremo 15 puntos. Evitar,

transferir, mitigar


Mitigar, tranferir


Prevenir, Transferir

4: Probable Zona de Riesgo

Moderada. 4 puntos. Mitigar

Zona de riesgo Alta.8 puntos . Prevenir,

transferir

Zona de riesgo Alta.12 puntos .

Prevenir, transferir

Zona de Riesgo Extremo 16 Puntos. Evitar,

Mitigar, tranferir

Zona de Riesgo Extremo 20 puntos. Evitar

Mitigar, Transferir

3: Posible Zona de Riesgo Baja.

3 puntos. Aceptar, mitigar el

Riesgo

Zona de Riesgo Moderada. 6 puntos.

Mitigar


transferir

Zona de Riesgo Extremo 12 Puntos. Evitar,

Mitigar, tranferir


Mitigar, transferir

2: Poco Probable

Zona de Riesgo Baja. 2 puntos.

Aceptar el Riesgo


Aceptar, mitigar el Riesgo


Mitigar


transferir

Zona de Riesgo Extremo 10 puntos. Evitar ,

Mitigar, transferir

1: Raro Zona de Riesgo Baja.

1 puntos. Aceptar el Riesgo


Aceptar el Riesgo


Mitigar


transferir


transferir

1: Insignificante 2: Menor 3: Moderado 4: Severo 5: Catastrófico

Matriz de Respuesta a Riesgos

Impacto

PROBABILIDAD


Semáforos de Riesgo Inherente – Estándar MECI

PORB

ABI

LID

AD

(F

recu

enci

a) 3: Alta M: Moderado A: Alto

E: Extremo (Inaceptable)

2: ModeradaBajo (Tolerable)

M: ModeradoAlto

B: baja Bajo (Tolerable) Bajo (Tolerable) M: Moderado

5: Leve 10: Moderado 20: Catastrófico

Homologado a Estándares AS/NZ 4360e ISO 31000


51

Etapa 3: Entregables de la evaluación de RiesgosInherentes.

Priorización de las categorías de riesgo aplicables. Identificación de clases o categorías de riesgo críticas. Identificación y documentación de amenazas por categoría de riesgo

crítica. Evaluación del riesgo inherente por amenazas de riesgo. Mapas de Riesgo Inherente por categoría de riesgo, actividad del

proceso y áreas organizacionales. Definición de acciones de respuesta a riesgos requeridas para

administrar los riesgos. Perfiles de riesgo por categoría de riesgo, escenarios de riesgo y área

organizacional.




Las evaluaciones (mediciones) del riesgo inherente,protección existente y riesgo residual, se realizan para los 3componentes del Cubo de la Auditoría de cada proceso osistema sujeto a auditoría:

Las Categorías de Riesgo Críticas identificadas para elproceso o sistema sujeto a auditoría.

Las actividades ó subprocesos que constituyen o componenel proceso o sistema sujeto a auditoría.

Las Areas Organizacionales (dependencias ) y terceros queintervienen en el manejo del proceso o sistema sujeto aauditoría.


Etapa 4: El Cubo de Riesgos de la Auditoría.


Recursos Humanos

Sistemas

Contabilidad

Escenarios de Riesgo(Actividades)

Ingr

eso

deD

atos

Act

ualiz

ació

n B

ase

de D

ato

Rep

orte

s de

A

ctua

lizac

ión

Amenazas de Riesgo

Cos

tos

Exce

sivo

s

Frau

de

Sanc

ione

s Le

gale

s

Cubo de la Auditoria del Proceso o Sistema de Información

Cubo de la Auditoria del Proceso o Sistema de Información


La evaluación se hace de manera “Centralizada” para todo elproceso o sistema que se está auditando, por escenarios de riesgo.

Evalúa la Efectividad de los Controles por amenaza, utilizadosen el proceso o sistema para reducir los riesgos inherentes aniveles aceptables de riesgo residual:

Por cada actividad del proceso (escenario de riesgo). Por Areas organizacionales que intervienen en las operaciones del

proceso. Por Categoría de Riesgo Crítica. Por Actividades del proceso y objetivos de Control.

Genera mapas de Riesgo Residual, reportes y gráficos de barras.


Etapa 5: Evaluación del Control Interno Existente

Criterios para evaluar Efectividad de losControles Establecidos en el proceso osistema.

Efectividad de los Controles. Eficacia de los Controles Aplicar Enfoque de los 3 niveles o anillos de control. Grado de Discrecionalidad y Automatización de los

Controles. Eficiencia de los Controles: Costo / Beneficio.




Enfoque de las Tres Anillos (Barreras o Niveles) de Control para Amenazas contra la

Seguridad

Enfoque de las Tres Anillos (Barreras o Niveles) de Control para Amenazas contra la

SeguridadAMENAZAS DE

RIESGO

BARRERA

DETECTIVA

A1

A2

A3

BARRERA PREVENTIVA

BARRERA

CORRECTIVA

ORGANIZACIÓN

INSTALA-

CIONESA2

A3

A3

PERSONAS

HW - SW

FINANCIEROS

DATOS

FEEDBACK

Los tres (3) Anillos de Seguridad.

Los controles actúan sobre las amenazas de riesgo detres maneras, interdependientes: Como control Preventivo. Condicionan los actos de la organización

para asegurar que ocurran de manera preestablecida – Sonestándares de actuación.

Como control Detectivo. Para detectar, registrar e informar laocurrencia de la amenaza (son alarmas que se disparan cuando sedetecta que está presentándose la amenaza). Refuerzan y validanel control preventivo. Hacen pareja con el control preventivo

Como control Correctivo. Obligan a tomar acción correctiva pararesolver el problema detectado por los controles detectivos. Hacenpareja con los controles detectivos.

Evaluación del Control Interno Existente


El enfoque de los 3 Anillos de Seguridad

El enfoque de los 3 Anillos de Seguridad

Clases de Controles CalificaciónAutomáticos no discrecionales (Clase A). Los

controles son automatizados y se aplican sin excepciones a

todo el universo.

5.0 puntos

Automáticos discrecionales (Clase B). Los controles

son automáticos y aplican solo a una parte del Universo.

4.5 puntos

Manuales no discrecionales(Clase C). Los controles

son manuales y se aplican sin excepciones a todo el universo.

4.0 puntos

Manuales discrecionales(Clase D). Los controles son

manuales y aplican solo a una parte del Universo.

3.5 puntos

Grado de Automatización / Discrecionalidad de los Controles

Criterio de Aceptación:La calificación promedio de los controles por clase, por cada amenaza, deberá ser mayor que 3.5


Eficiencia de los controles por Amenaza:Según el costo / beneficio del conjunto de controles que actúan sobre cadaamenaza.

Eficiencia

Bene

ficio

s

Alto 5: Muy Alta 4: Alta3:

Moderada

Moderado 4: Alta3:

Moderada 2: Baja

Bajo 3: Moderada 2: Baja 1: Muy Baja

Bajo Moderado AltoCostos

RAZONABLE (R )NO RAZONABLE (NR)

Criterio de Aceptación:La calificación promedio de la eficiencia de los controles, por cadaamenaza, deberá ser mayor o igual a 4.0 (Razonable)



Ries

go In

here

nte 4: Extremo Bajo Moderado. Alto. Extremo Extremo

3: Alto Bajo Moderado. Alto. Alto. Alto.

2: Moderado Bajo Moderado. Moderado. Moderado. Moderado.

1: Bajo Bajo Bajo Bajo Bajo Bajo

1: Apropiada 2: Mejorable 3: Insuficiente 4: Deficiente 5: Muy

Deficiente

Efectividad de los Controles (Protección Existente)

Riesgo Residual, después de Evaluar los Controles Establecidos - MODELO "AUDISIS"



62

Efectividad / Protección que ofrecen los Controles, por Amenaza

Desarrollo de Auditorías Desarrollo de Auditorías Basadas en Riesgos Basadas en Riesgos


Protección existente (PE) -Método AUDISIS

Satisfacción de los Criterios de Evaluación Efectividad

RI - Antes de Controles Estandar AS/NZ e ISO 31000

RR - Despues de Controles

1: APROPIADA

Se satisfacen los 3 anillos de control y por lo menos uno de los otros dos criterios (C/B = Razonable y/o Calificación promedio de los controles superior a 3.5 puntos)

4: Extremo 1: Tolerable3: Alto 1: Tolerable2: Moderado 1: Tolerable1: Bajo (Tolerable) 1: Tolerable

2: MEJORABLE Se satisfacen los 3 anillos de control, únicamente

4: Extremo 2: Moderado3: Alto 2: Moderado2: Moderado 2: Moderado1: Bajo (Tolerable) 1: Bajo

4: INSUFICIENTEÚnicamente se satisfacen los dos criterios diferentes de los 3 anillos (C/B = Razonable y/o Calificación promedio de los controles superior a 3.5 puntos)

4: Extremo 3: Alto3: Alto 3: Alto2: Moderado 2: Moderado1: Bajo (Tolerable) 1: Tolerable

4: DEFICIENTE

Se satisface únicamente uno de los dos criterios diferentes de los 3 anillos (C/B = Razonable y/o Calificación promedio de los controles superior a 3.5 puntos)

4: Extremo 4: Extremo3: Alto 3: Alto2: Moderado 2: Moderado1: Bajo (Tolerable) 1: Bajo (Tolerable)

5: MUY DEFICIENTE No existen controles

4: Extremo 4: Extremo3: Alto 3: Alto2: Moderado 2: Moderado1: Bajo (Tolerable) 1: Bajo (Tolerable)

63

Etapa 5: Entregables de la Evaluación deControles Existentes.

Identificación y documentación de los controles establecidos en elproceso o sistema que se está auditando, por amenazas.

Evaluación de la protección existente y el riesgo residual poramenazas de riesgo.

Mapas de Riesgo Residual por categoría de riesgo, actividad delproceso y áreas organizacionales.

Hallazgos de Auditoría para amenazas de riesgo con debilidades deprotección.

Recomendaciones de auditoria para subsanar las debilidades decontrol identificadas.

Informe de Auditoría con los resultados de la Evaluación de ControlInterno.




Las Pruebas de Cumplimiento y Sustantivas se realizan poramenazas, con base en los resultados de la evaluación del controlinterno:

Pruebas de Cumplimiento:Para amenazas que tienen riesgo inherente EXTREMO, ALTO OMODERADO y protección existente APROPIADA ó MEJORABLE

Pruebas Sustantivas: Para amenazas que:a) Tienen riesgo inherente EXTREMO, ALTO O MODERADO y en

evaluación de control interno presentan debilidades de control.b) En Pruebas de Cumplimiento presentan cumplimiento inferior al

80% de los controles y procedimientos establecidos


Etapas 6 y 7: Aplicar Pruebas de Auditoria

65

Estructura de Checklists de Pruebas de Auditoría El producen por Sitios de Prueba, técnicas de auditoria y

amenazas El software genera Checklist con Opciones de Respuesta y

Puntajes Asociados.5: Siempre (Satisfactorio)4: Casi Siempre (Con algunas excepciones).3: Algunas Veces.0: Nunca (No satisfactorio).

Espacios para: Ref a PT, Fecha ejecución y Comentarios delauditor.


Aplicar Pruebas de Auditoría


66

Resultados de las Pruebas de Resultados de las Pruebas de AuditoríaAuditoría

Criterios para Evaluar Riesgo Residualdespués de Pruebas de Auditoría.

Rangos % de Puntaje Obtenido

(PO)

Protección Existente (PE)

Según Cumplimiento

Riesgo Residual – RR-(después de Pruebas a los Controles)

1 Mayor del 80 % 1: Apropiado 1: Aceptable

2 Entre 60 y 80% 2: Mejorable 2: Moderado

3 Entre 40 y 60% 3: Insuficiente 3: Alto

4 Entre 20 y 40% 4: Deficiente 4: Extremo

5 Menor del 20% 5: Muy deficiente 5: Extremo


67

Cuestionarios para evaluar satisfacción de los 7 criteriosde la información de negocios, para el proceso o sistemasujeto a auditoría:

1. Efectividad.2. Eficiencia.3. Confidencialidad.4. Integridad.5. Disponibilidad.6. Cumplimiento con leyes y regulaciones.7. Confiabilidad.

Aplicar Pruebas Sustantivas




Se producen cinco (5) informes:

1. Informe con los Resultados de la Evaluación de Control Interno:Protección Existente y Riesgo Residual para amenazas que tienen riesgoinherente EXTREMO, ALTO O MODERADO

• Detallado :Preliminar y definitivo.• Ejecutivo.• Cartas de Entrega.• Por amenazas.• Por Escenarios de Riesgo y Amenazas.• Por Categorías de Riesgo y Amenazas.• Por Areas Organizacionales y Amenazas.• Por Objetivos de Control.


Informes con los Resultados de la Auditoria.


Se producen cuatro (4) informes:

2. Informe con los Resultados de Pruebas de Cumplimiento: El % decumplimiento de controles establecidos para amenazas que en evaluaciónde control Interno presentaron Riesgo Residual BAJO

• Detallado :Preliminar y definitivo.• Ejecutivo.• Cartas de Entrega.• Por amenazas.• Por Sitios de Prueba y Amenazas.• Por Area Organizacional y Sitios de Prueba.• Consolidado por Areas organizacionales




Se producen cuatro (4) informes:

3. Informe con los Resultados de Pruebas Sustantivas: El % deConfiabilidad de los datos verificados, para amenazas que en evaluaciónde control Interno y en pruebas de cumplimiento presentaron Debilidadesde Control

• Detallado :Preliminar y definitivo.• Ejecutivo.• Cartas de Entrega.• Por amenazas.• Por Sitios de Prueba y Amenazas.• Por Area Organizacional y Sitios de Prueba.• Consolidado por Areas organizacionales




Se producen cinco (5) informes:

4. Informe sobre Nivel de Satisfacción de siete (7) criterios dela Información de Negocios.• % de Satisfacción.• Conclusiones por Criterio.

5. Informe sobre Seguimiento a los Hallazgos yrecomendaciones de la Auditoria.• De hallazgos de Control Interno.• De Hallazgos de Pruebas de Cumplimiento• De hallazgos a pruebas Sustantivas



72

Satisfacción de criterios de la Información de Negocios





El seguimiento a los hallazgos de Auditoría se realiza porEscenarios de Riesgo para las amenazas condebilidades de Control Interno y por Sitios de Pruebapara resultados no satisfactorios en las pruebas deAuditoría:

Planeación del Seguimiento. Ejecución del Seguimiento. Informe de la Auditoria con los resultados del seguimiento.


Etapa 8: Seguimiento a los Hallazgos de la Auditoria.


Planear Seguimiento / Elaborar Plan deMejoramiento concertado.

Por sitios de prueba. Asignación de responsables de implantar y supervisar la

implantación de las acciones de mejora y fechas de compromiso. Asignar auditores responsables de ejecutar seguimiento a la

implantación de acciones de mejora y fechas de compromiso. Generación de reportes de recomendaciones próximas a vencerse. Generación y envío automático de mensajes por correos

electrónicos con “Recordatorios” a los responsables de lasacciones de mejora.


Etapa 8: Seguimiento a los Hallazgos de Auditoria.


Ejecución de Seguimientos por fecha de corte.

Genera Reporte de recomendaciones con fecha deimplantación vencida.

Permite ejecutar “N” seguimientos en diferentes fechas decorte.

Genera informes por sitios de prueba y consolidado, porestado de las recomendaciones: Implantada, en proceso, poriniciar, aplazadas y anuladas.

Genera estadísticas por estado de las recomendaciones ymotivos de incumplimiento, en cada fecha de corte.


Etapa 8: Seguimiento a los Hallazgos de Auditoria.


Cómo Iniciar en AUDIRISK una Cómo Iniciar en AUDIRISK una Auditoria Basada en RiesgosAuditoria Basada en RiesgosCómo Iniciar en AUDIRISK una Cómo Iniciar en AUDIRISK una Auditoria Basada en RiesgosAuditoria Basada en Riesgos

Crear Ambiente de Trabajo.

Crear Base de Conocimientos de la Empresa. Parametrizar software con estándares de auditoria a

emplear en la Empresa1. Para Medición de riesgos.2. Para Evaluación del Control Interno Existente.3. Para Medición del cumplimiento de controles.4. Estados de Auditoria.5. Estado de las Recomendaciones.


Cómo iniciar o Continuar una Cómo iniciar o Continuar una Auditoría con el Software AUDIRISK Auditoría con el Software AUDIRISK

Cómo iniciar o Continuar una Cómo iniciar o Continuar una Auditoría con el Software AUDIRISK Auditoría con el Software AUDIRISK

Para Iniciar una Auditoría. Crear en AUDIRISK el proceso o sistema que será

auditado. Crear en AUDIRISK la Base de Conocimientos de Trabajo

que retendrá los resultados de la auditoría del proceso denegocio o sistema.

Para Continuar una Auditoría ya Iniciada. Seleccionar Empresa. Seleccionar proceso o sistema sujeto a Auditoría. Ingresar a tablero de control “Etapas de la Metodología de

la Auditoría”. Continuar con la primera etapa donde el menú se

visualice “ Activo”

78

Etapas 1 a 5: Pre-auditoría, comprensión, identificación ymedición de riesgos críticos, cubo de la auditoria y Evaluacióndel Control Interno Existente.• Se asume que el funcionamiento del proceso o sistema está o debería estar

estandarizado en toda la organización,• Ejecución centralizada, generalmente en la Dirección General.• Se ejecutan solo una vez, por cada auditoría.• El software genera resultados de la auditoria detallados por amenaza y

consolidados para Categorías de Riesgo, Areas Organizacionales, Escenariosde riesgo y objetivos de control.

• Los soportes o papeles de trabajo se generan por cada uno de losescenarios de riesgo (actividades del proceso o sistema).

Logística para el Desarrollo.



79

Etapas 6 y 7 : Pruebas de Cumplimiento y Sustantivas.

• Se ejecutan para una muestra de Sitios de Prueba (AreasOrganizacionales que intervienen en el proceso o sistema auditado).

• Diseño centralizado por amenazas, único para todas los sitios de prueba• Ejecución descentralizada. Las pruebas se aplican individualmente en los

sitios de prueba• El software genera resultados de las pruebas (informes de auditoría),

detallados por sitios de prueba y consolidados por Area Organizacional• Los soportes o papeles de trabajo se generan por cada uno de los sitios

de prueba

Logística para el Desarrollo .



80

Etapas 8: Seguimiento a los Informes de Hallazgos de la Auditoria.• Se planean y ejecutan para cada uno de los Sitios de Prueba (Areas

Organizacionales que intervienen en el proceso o sistema auditado).• El software genera correos electrónicos con Recordatorios para los

responsables de implantarlas acciones de mejora, supervisarlas yhacerles seguimiento.

• En cada fecha de corte, el software genera resultados del seguimientopor sitios de prueba y consolidados por Area Organizacional

• Los soportes o papeles de trabajo se generan por cada uno de los sitiosde prueba

Logística para el Desarrollo .




Módulo 3:Módulo 3:Informes de Gestión de la Informes de Gestión de la

Auditoría Auditoría


Genera estadísticas y gráficos sobre las auditorías desarrolladascon AUDIRISK durante un periodo de tiempo.

Auditorias Planeadas Vs Auditorias Ejecutadas.

Estadísticas de Hallazgos informados en el periodo, por auditorías ytipos de Auditorias (Procesos del Modelo de Operación, Procesos de TI,Aplicaciones de Computador).

• Cantidad y Porcentaje de Hallazgos de Auditoria sobre Diseño deControles Internos.

• Cantidad y Porcentajes de Hallazgos de Auditoria sobre Pruebasde Cumplimiento.

• Cantidad y Porcentajes de Hallazgos de Auditoria sobre PruebasSustantivas.

Módulo 3:Módulo 3:Informes de Gestión de la AuditoríaInformes de Gestión de la Auditoría



Estadísticas sobre cantidad y porcentaje de recomendacionesemitidas en el periodo, por auditoría, tipos de auditorías ySitios de Prueba.

• Recomendaciones sobre Efectividad (Diseño) de ControlesInternos.

• Recomendaciones sobre Pruebas de Cumplimiento.• Recomendaciones sobre Pruebas Sustantivas.




Estadísticas sobre el Estado de Atención de lasrecomendaciones emitidas en el periodo, por auditoría, tiposde auditorías y Sitios de Prueba.

• Recomendaciones de Auditoria sobre Efectividad (Diseño) deControles Internos.

• Recomendaciones de Auditoria sobre Pruebas de Cumplimiento.• Recomendaciones de Auditoria sobre Pruebas de Cumplimiento.




Estados de Atención de las recomendaciones emitidas porla Auditoría, en el periodo.

• Implantada.• En Proceso.• Pendiente (por iniciar implantación),• Anulada.



Estado de Implementación de las recomendaciones de auditoría, por tipos deauditoria.



Módulo 4:Módulo 4:Seguimiento a Hallazgos de Auditorías Seguimiento a Hallazgos de Auditorías

Efectuadas por TercerosEfectuadas por Terceros


El software AUDIRISK consta de 5 módulos:



Este módulo permite planear, ejecutar e informarresultados del seguimiento a los hallazgos deauditorías realizadas por terceros o de auditoríasno realizadas con AUDIRISK.

Módulo 4: Seguimiento a Hallazgos Módulo 4: Seguimiento a Hallazgos de Auditorías Efectuadas por de Auditorías Efectuadas por

TercerosTerceros


AUDIRISKAUDIRISK proveeprovee funcionalidadesfuncionalidades parapara efectuarefectuarSeguimientoSeguimiento aa HallazgosHallazgos yy RecomendacionesRecomendaciones dedeAuditoriaAuditoria emitidosemitidos porpor:: RevisoríasRevisorías FiscalesFiscales.. AuditoríasAuditorías FinancierasFinancieras ExternasExternas efectuadasefectuadas porpor

FirmasFirmas dede ContadoresContadores PúblicosPúblicos.. OtrasOtras AuditoriasAuditorias ExternasExternas EspecializadasEspecializadas (de(de

Sistemas,Sistemas, dede Seguridad,Seguridad, dede calidad,calidad, etcetc,),) AuditoriasAuditorias efectuadasefectuadas porpor organismosorganismos dede controlcontrol

deldel EstadoEstado (Contralorías,(Contralorías, Superintendencias,Superintendencias, etcetc))..

Seguimiento a hallazgos de Seguimiento a hallazgos de Auditorías Efectuadas por TercerosAuditorías Efectuadas por Terceros


FuncionalidadesFuncionalidades ofrecidasofrecidas porpor AUDIRISKAUDIRISK.. MantenimientoMantenimiento DatosDatos BásicosBásicos dede loslos tercerosterceros queque

efectúanefectúan laslas AuditoriasAuditorias.. MantenimientoMantenimiento DatosDatos básicosbásicos dede laslas AuditoríasAuditorías

RealizadasRealizadas porpor tercerosterceros.. IngresoIngreso dede HallazgosHallazgos.. IngresoIngreso dede RecomendacionesRecomendaciones.. PlaneaciónPlaneación deldel seguimientoseguimiento.. EjecuciónEjecución deldel SeguimientoSeguimiento.. InformesInformes concon loslos resultadosresultados deldel SeguimientoSeguimiento..

Seguimiento a Hallazgos de Seguimiento a Hallazgos de Auditorías Efectuadas por TercerosAuditorías Efectuadas por Terceros


PorPor cadacada recomendaciónrecomendación manejamaneja ::

MetasMetas.. FechaFecha dede CompromisoCompromiso parapara implantarimplantar acciónacción dede

mejoramientomejoramiento.. FechaFecha dede SeguimientoSeguimiento.. CargosCargos responsablesresponsables dede implantarimplantar recomendación,recomendación,

supervisarsupervisar implantaciónimplantación yy dede efectuarefectuar seguimientoseguimiento.. DiseñoDiseño dede RecordatoriosRecordatorios enen fechasfechas determinadasdeterminadas porpor elel

auditorauditor.. EmisiónEmisión automáticaautomática dede RecordatoriosRecordatorios porpor correocorreo electrónicoelectrónico.. InformesInformes dede seguimientosseguimientos efectuadosefectuados..



Menú Administrador

Seguimiento a hallazgos de Seguimiento a hallazgos de Auditorías Efectuadas por TercerosAuditorías Efectuadas por Terceros


Módulo 5:Módulo 5:Seguridad y Administración de UsuariosSeguridad y Administración de Usuarios


Permite asignar perfiles de acceso de losAuditores: Por Módulo. Por Empresa. Por Auditorias. Por actividades de la Auditoria.

Deja Rastros de las actividades ejecutadas porlos Auditores.

Ofrece ayudas de Supervisión de los Auditores(TO DOs o pendientes por hacer)

Permite asignar perfiles de acceso de losAuditores: Por Módulo. Por Empresa. Por Auditorias. Por actividades de la Auditoria.

Deja Rastros de las actividades ejecutadas porlos Auditores.

Ofrece ayudas de Supervisión de los Auditores(TO DOs o pendientes por hacer)



Perfiles de Acceso establecidos en software. Administrador General. Gerente de Auditoría. Supervisor. Analista. Auditor Regional. Solo Consulta.

Uso de Password Fuertes. Cambios de Password Obligatorios.

Perfiles de Acceso establecidos en software. Administrador General. Gerente de Auditoría. Supervisor. Analista. Auditor Regional. Solo Consulta.

Uso de Password Fuertes. Cambios de Password Obligatorios.



Beneficios de Utilizar Beneficios de Utilizar AUDIRISK? AUDIRISK?

Beneficios de Utilizar Beneficios de Utilizar AUDIRISK? AUDIRISK?


Beneficios CorporativosBeneficios CorporativosBeneficios CorporativosBeneficios Corporativos

ConCon elel usouso dede AUDIRISKAUDIRISK::

Se incrementa la calidad, confiabilidad y eficiencia delos servicios de auditoría.

La auditoría ofrece mayor valor agregado a la empresa.

Promueve el mejoramiento de la cultura de mediciónmedición yymonitoreomonitoreo de los riesgos potenciales, de la protecciónexistente y del riesgo residual.


Beneficios para las Dependencias Beneficios para las Dependencias que manejan las Operacionesque manejan las Operaciones

Beneficios para las Dependencias Beneficios para las Dependencias que manejan las Operacionesque manejan las Operaciones

Con el uso de AUDIRISK:Con el uso de AUDIRISK: Recibirán informes de auditoría más proactivos y

asesores. Recibirán mayor valor agregado de la Auditoría

en asuntos de prevención y mitigación deriesgos.

Los resultados de la auditoría servirán comoapoyo para promover la eficiencia y efectividaddel monitoreo de los controles que debenrealizar los propietarios de la información denegocios.

Con el uso de AUDIRISK:Con el uso de AUDIRISK: Recibirán informes de auditoría más proactivos y

asesores. Recibirán mayor valor agregado de la Auditoría

en asuntos de prevención y mitigación deriesgos.

Los resultados de la auditoría servirán comoapoyo para promover la eficiencia y efectividaddel monitoreo de los controles que debenrealizar los propietarios de la información denegocios.


Beneficios para el Departamento Beneficios para el Departamento de Auditoríade Auditoría


AUDIRISKAUDIRISK::Facilita un cambio real en la imagen del departamentodentro de la organización, basado en: Auditorías más proactivas y preventivas que

reactivas y a posteriori. Imagen del auditor “asesor-consultor” de la

Organización. Incrementa productividad, eficiencia y

efectividad de la auditoría.

AUDIRISKAUDIRISK::Facilita un cambio real en la imagen del departamentodentro de la organización, basado en: Auditorías más proactivas y preventivas que

reactivas y a posteriori. Imagen del auditor “asesor-consultor” de la

Organización. Incrementa productividad, eficiencia y

efectividad de la auditoría.


AUDIRISKAUDIRISK:: AutomatizaAutomatiza los procedimientos y prácticas de auditoría

para valoración de riesgos potenciales y residualesasociados con los procesos de negocio o sistemas deinformación sujetos a auditoría.

AutomatizaAutomatiza loslos procedimientos y prácticas de auditoríapara evaluación y verificación de controles yseguridades existentes.

Beneficios para el Beneficios para el Departamento de AuditoríaDepartamento de Auditoría

Beneficios para el Beneficios para el Departamento de AuditoríaDepartamento de Auditoría




AUDIRISKAUDIRISK::

Automatiza la actualización y consulta debases de conocimientos que contienen las“best practices” de administración de riesgos,control interno y auditoría utilizadas por laempresa en sus procesos de negocio y detecnología de información.

AUDIRISKAUDIRISK::

Automatiza la actualización y consulta debases de conocimientos que contienen las“best practices” de administración de riesgos,control interno y auditoría utilizadas por laempresa en sus procesos de negocio y detecnología de información.


Beneficios para el AuditorBeneficios para el AuditorBeneficios para el AuditorBeneficios para el Auditor

AUDIRISKAUDIRISK::Motiva cambios importantes que permiten alauditor

Mejorar su imagen, efectividad ycredibilidad dentro de la organización.

Obtener mayor credibilidad y aceptación enla comunidad profesional.

AUDIRISKAUDIRISK::Motiva cambios importantes que permiten alauditor

Mejorar su imagen, efectividad ycredibilidad dentro de la organización.

Obtener mayor credibilidad y aceptación enla comunidad profesional.


Beneficios para el AuditorBeneficios para el AuditorBeneficios para el AuditorBeneficios para el AuditorConCon AUDIRISKAUDIRISK::

Los auditores crecen profesionalmente con latransferencia tecnológica que reciben.

Los auditores actúan más como asesores quecomo investigadores.

ConCon AUDIRISKAUDIRISK::

Los auditores crecen profesionalmente con latransferencia tecnológica que reciben.

Los auditores actúan más como asesores quecomo investigadores.


En Colombia.• Lafayette S.A.• Comfenalco Tolima.• G y J Ferreterías.• Alambres y Mallas.• Consorcio Metalúrgico Nacional Colmena Ltda• Comisión Nacional de TV.• Instituto Agustín Codazzi.• AVESCO (grupo Kokorico).• Empresa Electrificadora de Santander - ESSA.• Financiera Andina - Finandina S. A.• Contraloría General de la República

Usuarios de AUDIRISK en Usuarios de AUDIRISK en Colombia y el ExteriorColombia y el Exterior



En Colombia.• Caja de Compensación Comfamiliares Caldas.• Caracol TV.• Oleoducto Central de Colombia- OCENSA.• Fundación Mundial de la Mujer – Bucaramanga.• Monómeros Colombo Venezolanos.• Armada Nacional.• FINAGRO .• Instituto Nacional de Vías – INVIAS.• Compensar - Caja de Compensación Familiar




En Colombia.

• Universidad Militar Nueva Granada.• Universidad La Gran Colombia – Bogotá.• Universidad de Ibagué – Coruniversitaria.• Universidad Autónoma de Cali.• Universidad Jorge Tadeo Lozano.• Universidad EAFIT.• Universidad Santo Tomás de Bucaramanga• Universidad Católica de Colombia.




Firmas de Auditores.

• MGI Paez y Asociados Auditores y Consultores.• Cañón y Cañón – Auditores - Asesores Tributarios.• Nexia Montes y Asociados.• Colombian Consulting Group.• Datos y Procesos (Pasto).




En el Exterior.• Banco Central de la República Dominicana.• Banco Central del Ecuador.• Banco Centroamericano de Integración

Económica (BCIE) - Honduras.• Banco Santacruz - Bolivia• Cervecería de Costa Rica• Instituto Nacional de Seguros (Costa Rica)

Usuarios de AUDIRISK en Colombia Usuarios de AUDIRISK en Colombia y el Exterior (cont.)y el Exterior (cont.)

Usuarios de AUDIRISK en Colombia Usuarios de AUDIRISK en Colombia y el Exterior (cont.)y el Exterior (cont.)


En el Exterior.• Auditoría General de Bancos (Costa Rica)• Banco Nacional de Costa Rica• Cía. Nal. de Fuerza y Luz (Costa Rica)

Usuarios de AUDIRISK en Usuarios de AUDIRISK en Colombia y el Exterior (cont.)Colombia y el Exterior (cont.)

Usuarios de AUDIRISK en Usuarios de AUDIRISK en Colombia y el Exterior (cont.)Colombia y el Exterior (cont.)


Gracias por visitarnos

Hasta Pronto !

Para conocer el software ingrese a www.softwareaudisis.com

presentación audirisk 2012 [modo de compatibilidad] · audirisk 2011: software de auditoria basada...

Documents