Upload
lekien
View
214
Download
0
Embed Size (px)
Citation preview
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información .
AUDIRISK WebSoftware de Auditoría Basada en
Riesgos Críticos
AUDIRISK WebSoftware de Auditoría Basada en
Riesgos Críticos
Versión 5.0
Presentación del Software
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información.
Agenda• AudiRisk: Qué es y para Qué Sirve?.• Características del Software AudiRisk que agregan
valor a las Organizaciones y las Auditorías.• Especificaciones Técnicas del Software AudiRisk.• Requerimientos de Hardware y Software y
Modalidades de Licenciamiento.• Entregables que recibe el Usuario de AUDIRISK.• Presentación detallada de los Módulos Componentes
del Software AudiRisk.• Beneficios de Utilizar AudiRisk.• Usuarios del software AudiRisk.
2
Estado Actual deLa Auditoría Estado Deseable - AUDIRISK
1) Enfoque Reactivo – Detrás de loshechos conocidos ó riesgos ocurridos.
2) Sin herramientas de software deAuditoría Especializadas.
3) Auditoría a las operaciones, “PorAreas” (oficinas).
4) Auditoría “No basada en Riesgos” osin considerar los riesgos críticos.
5) Solo Pruebas de Cumplimiento ySustantivas.
6) Cumplimiento limitado (parcial) deNormas de Auditoría (NAGAs, NIAs,IIA, ISACA,.
1) Enfoque Reactivo – Detrás de loshechos conocidos ó riesgos ocurridos.
2) Sin herramientas de software deAuditoría Especializadas.
3) Auditoría a las operaciones, “PorAreas” (oficinas).
4) Auditoría “No basada en Riesgos” osin considerar los riesgos críticos.
5) Solo Pruebas de Cumplimiento ySustantivas.
6) Cumplimiento limitado (parcial) deNormas de Auditoría (NAGAs, NIAs,IIA, ISACA,.
1) Enfoque Proactivo – Preventivo: Advierte ala Gerencia propensión a los riesgos antesque estos se presenten.
2) Uso de herramientas de software deAuditoría Especializadas.
3) Auditorías a las Operaciones “por procesos(del modelo de operación, procesos de TICy servicios automatizados)”.
4) Planeación y Desarrollo de la Auditoría“Basada en Riesgos Críticos”.
5) Evalúa efectividad de los ControlesExistentes como base para diseñar lasPruebas de Cumplimiento y Sustantivas.
6) Se planea y ejecuta de acuerdo conestándares de auditoría internacionalesvigentes.
1) Enfoque Proactivo – Preventivo: Advierte ala Gerencia propensión a los riesgos antesque estos se presenten.
2) Uso de herramientas de software deAuditoría Especializadas.
3) Auditorías a las Operaciones “por procesos(del modelo de operación, procesos de TICy servicios automatizados)”.
4) Planeación y Desarrollo de la Auditoría“Basada en Riesgos Críticos”.
5) Evalúa efectividad de los ControlesExistentes como base para diseñar lasPruebas de Cumplimiento y Sustantivas.
6) Se planea y ejecuta de acuerdo conestándares de auditoría internacionalesvigentes.
Ayuda a Modernizar enfoque y procedimientos de Auditoría.
El Software AUDIRISK
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información.
Estado Actual deLa Auditoría Estado Deseable - AUDIRISK
7) Auditoría sin utilizar el computadorcomo herramienta - Alrededor delComputador
8) Poco Enfasis a los servicios deSistemas de la Empresa (TICs).
9) Papeles de trabajo tradicionales –Hard Copy.
10) Seguimiento Manual a los hallazgos yrecomendaciones de la Auditoría.
11) Débiles conocimientos en Gestión deRiesgos y Diseño de controles
7) Auditoría sin utilizar el computadorcomo herramienta - Alrededor delComputador
8) Poco Enfasis a los servicios deSistemas de la Empresa (TICs).
9) Papeles de trabajo tradicionales –Hard Copy.
10) Seguimiento Manual a los hallazgos yrecomendaciones de la Auditoría.
11) Débiles conocimientos en Gestión deRiesgos y Diseño de controles
7) Auditoría “Con y a Través del Computador. -Asistida por computador”.
8) Enfasis en los Servicios Automatizados. Loscontroles automatizados son el corazón delcontrol interno
9) Papeles de trabajo Electrónicos.
10) Seguimiento electrónico de hallazgos deauditoría.
11) Conocimientos sobresalientes en Gestión deRiesgos y Diseño de Controles
7) Auditoría “Con y a Través del Computador. -Asistida por computador”.
8) Enfasis en los Servicios Automatizados. Loscontroles automatizados son el corazón delcontrol interno
9) Papeles de trabajo Electrónicos.
10) Seguimiento electrónico de hallazgos deauditoría.
11) Conocimientos sobresalientes en Gestión deRiesgos y Diseño de Controles
Ayuda a Modernizar enfoque y procedimientos de Auditoría.
El Software AUDIRISK
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información.
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información . 5
El Software AUDIRISK
Es un software en tecnología WEB (Cloud Computing) para conducir lassiguientes actividades de Auditorías Internas y Externas, con un enfoquePROACTIVO Y PREVENTIVO:1) Elaborar el Plan Anual de Auditoría, basado en la “Valoración de la
Propensión a Riesgos” de los componentes del Universo Auditable(las operaciones misionales, administrativas y de TI de la Empresa).
2) Desarrollar Auditorías “Basada en Riesgos Críticos” a los procesosdel Modelo de Operación y los Servicios de Sistemas de la Empresa(Procesos del Área de TICs y Aplicaciones de Computador).
3) Generar Informes con Indicadores de Gestión de la Auditoría.De conformidad con las normas y procedimientos de auditoría generalmente aceptados, lasnormas de auditoría interna del Instituto de Auditores Internos (IIA) y las normas deauditoría de sistemas de la Asociación de Control y Auditoría de Sistemas (ISACA).
Qué es y para que sirve?
Elaboración del Plan Anual de AuditoríaInterna “Basado en Riesgos”
6
PLANANUAL DE
AUDITORÍAINTERNAAÑO 2017
DeterminarUniverso
Auditable yUniverso de
Categorías deriesgo Aplicables
Medir(Estimar)
Propensión ariesgos
DeterminarPanoramas deRiesgo en elUniverso de
AuditoríaSeleccionar
Componentes delUniverso para elPlan Anual de
Auditoría.
DefinirAuditorías arealizar para
Componentes
Definir recursosy Alternativaspara Ejecutar elPlan Anual de
Auditoría
AUDIRISK: Conduce la elaboración del
Plan de trabajo Anual de laauditoría interna basado enuna evaluación de riesgosdocumentada, realizada almenos anualmente.
Ayuda en la Comunicacióny Aprobación del plan y losrequerimientos de recursospara la actividad deAuditoría Interna.
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información .
Planeación Anual de la Auditoría “Basada en Riesgos”Articulación del Plan Anual con el Desarrollo de Auditorías Basada en Riesgos.
Planeación AnualBasada en Riesgos.
Auditorias a realizar en el año. Categorías de riesgo críticas
por componente..
Proceso de Auditoría “Basada en Riesgos Críticos”
Planeacióndetallada y
Familiarización
Memorandodeplaneación.
Actualización de archivopermanente
Identificación yAnálisis Riesgos
Inherentes.Eventos/Amenazas
que puedenpresentarse (20-30)
Cubo deriesgos
Cubo deriesgos
E: ExtremoA: Alto
M: Moderado
B: Bajo
EjecuciónAuditoría
Evaluacióncontrol Interno.
Pruebas deCumplimiento
Pruebassustantivas.
Informes conResultados de la
Auditoria. Evaluación
control Interno. Pruebas de
Cumplimiento Pruebas
sustantivas.
Seguimiento ahallazgos de
Auditoría Evaluación
controlInterno.
Pruebas deCumplimiento
Pruebassustantivas.
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información .
AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información8
Qué es “Auditoría Basada en Riesgos Críticos”
Desarrollo de Auditorías “Basadasen Riesgos Críticos”
“Es una forma de conducir auditorías internaso externas de diferentes tipos (operativa, deestados financieros, de sistemas deinformación, de sistemas de gestión), CONENFOQUE PROACTIVO Y PREVENTIVO,basando su planeación y desarrollo en larevisión de una muestra de eventos de riesgonegativos considerados críticos por laAuditoría, que pudieran impactarnegativamente los procesos o sistemas y laactividad económica de una organización,para confirmar si éstos se ajustan a lo fijadopor las leyes, las reglas del negocio y lasbuenas y mejores prácticas de control internoy seguridad”.
“Es una forma de conducir auditorías internaso externas de diferentes tipos (operativa, deestados financieros, de sistemas deinformación, de sistemas de gestión), CONENFOQUE PROACTIVO Y PREVENTIVO,basando su planeación y desarrollo en larevisión de una muestra de eventos de riesgonegativos considerados críticos por laAuditoría, que pudieran impactarnegativamente los procesos o sistemas y laactividad económica de una organización,para confirmar si éstos se ajustan a lo fijadopor las leyes, las reglas del negocio y lasbuenas y mejores prácticas de control internoy seguridad”.
Por cada auditoría, la revisión de lamuestra de eventos negativos incluye:
Identificación y Análisis de riesgosInherentes que pueden generar lascategorías de riesgo críticas,
Evaluación del diseño y efectividadde controles establecidos,
Diseño y ejecución de pruebas deauditoría (de cumplimiento ysustantivas),
Generación de informes con losresultados de la auditoría y
Seguimiento a Hallazgos deAuditoría y al Plan deMejoramiento.
Por cada auditoría, la revisión de lamuestra de eventos negativos incluye:
Identificación y Análisis de riesgosInherentes que pueden generar lascategorías de riesgo críticas,
Evaluación del diseño y efectividadde controles establecidos,
Diseño y ejecución de pruebas deauditoría (de cumplimiento ysustantivas),
Generación de informes con losresultados de la auditoría y
Seguimiento a Hallazgos deAuditoría y al Plan deMejoramiento.
9
Desarrollo de Auditorías “Basadas enRiesgos Críticos”
1. Por cada auditoría, para revisar la muestra de eventos de riesgoinherentes (por ejemplo, 30 eventos), el software AUDIRISKconduce el desarrollo de las fases, etapas y pasos del proceso estándarde Auditoría.
• Planeación Detallada Basada en Riesgos.• Evaluación del Control Interno.• Pruebas de Cumplimiento.• Pruebas Sustantivas.• Generar los Informes con los resultados de la Auditoría – 4 informes.• Seguimiento a hallazgos de la auditoría.
2. Elaborar los papeles de trabajo de la auditoría – formato electrónico.Mantener disponible y Actualizada la Base de Datos de“Conocimientos de Auditoría de la Empresa”.
3. Controlar el tiempo asignado, por cada auditoría y auditor.
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información 10
Desarrollo de AuditoríasBasadas en Riesgos Críticos
Riesgos Inherentes: Eventos negativos (amenazas) que pueden presentarse enlas actividades y servicios del proceso o sistema y obstruir la consecución de losobjetivos estratégicos y de las operaciones de negocio de la Organización. En laestimación de su SEVERIDAD no se tienen en cuenta los controles establecidos.Punto de partida de la Auditoría: Verificar que la empresa está protegidaadecuadamente para una muestra de riesgos inherentes que podríanpresentarse.
Riesgo Residual: Riesgo que permanece o persiste después de Evaluación deControl Interno y Pruebas de Auditoría, para la muestra de eventos negativos(amenazas) críticos seleccionados por la auditoría.Punto de llegada de la Auditoría: Determinar si el riesgo residual asumido por laempresa es aceptable.
Considera dos (2) Estados de los Riesgos para una Muestrade Riesgos Inherentes seleccionados por la Auditoría.
Desarrollo de Auditorías Basadasen Riesgos Críticos
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información 11
Ejemplo: Dos Estados de los Riesgos, por Evento de Riesgo Negativo(Amenaza).
Evento de Riesgo (Amenaza): “Ingresar fecha que no corresponde a la lógica de lasoperaciones”.Severidad Riesgo Inherente (Potencial): Riesgo antes de Controles y Pruebas de Auditoría.
Severidad: E - Extremo.Acciones de Respuesta: Reducir (mitigar) el riesgo.
Controles:• Preventivos: La fecha debe tener el formato dd/mm/aaaa; El día debe se menor o igual que 31; mes menor o igual que
12; año debe ser el actual.• Detectivos: Validar que la fecha satisfaga los estándares – Los controles preventivos; Informar cuando no coinciden –
“Error Fecha , Fecha No válida”; Disparar Alarma cuando se detecta una desviación respecto al “debería ser”; Bloquea – nodeja continuar hasta que la fecha sea válida
• Correctivos: Debe volver a ingresar la fecha (Obliga); vuelve a validar los estándares y si no coinciden se emitemensaje, bloquea y exige que se ingrese nuevamente la fecha.
Severidad Riesgo Residual: Riesgo que permanece o subsiste después de Evaluación del ControlInterno y Pruebas de Auditoría. Severidad del Riesgo no protegido o no cubierto por los controlesverificados . Severidad : B - Bajo (Tolerable).
Desarrollo de Auditorías Basadasen Riesgos Críticos
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información12
Pre- auditoría ComprensiónProceso o Sistema
Cubo deRiesgos de la
Auditoría
Id. y Análisis deRiesgos
1 23
4
Memorando dePlaneación
Caracterización
Muestra de RiesgosInherentes Críticos
Contexto deRiesgos de la
AuditoríaArchivoPermanente
Programa deTrabajo
Mapa de RiesgosInherentes
FASE 1: PLANEACIÓN BASADA EN RIESGOSFASE 1: PLANEACIÓN BASADA EN RIESGOS
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información 13
Metodología de Auditoría “Basadaen Riesgos Críticos”
Evaluar ControlesEstablecidos
Pruebas deCumplimiento
Informe EstadoAcciones de Mejora
PruebasSustantivas
5
6 7
8
Evaluar Diseñoy Efectividad
Informes Pruebasde Cumplimiento
A ExactitudCifras Claves
SeguimientoHallazgos Informes
de Auditoría% Cumplim. Cont.y Proced. Claves
Medir / evaluarRiesgo Residual
Informes PruebasSustantivas
Informe –Evaluación Control
Interno
FASES 2, 3 y 4: EJECUCION E INFORME DE LA AUDITORIAFASES 2, 3 y 4: EJECUCION E INFORME DE LA AUDITORIA
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información14
Metodología de Auditoría “Basadaen Riesgos Críticos”
15
El Software AUDIRISK
Generar Informescon indicadores de
Gestión de laAuditoría.
Generar Informescon indicadores de
Gestión de laAuditoría.
Informes de Gestión de laAuditoría. Estadísticas y gráficos deAuditorías realizadas:
• Hallazgos de Auditoría: ControlInterno (CI), pruebas deCumplimiento (PC) y pruebasSustantivas (PS).
• Recomendaciones Emitidas: CI;PC; PS.
• Estado de las Recomendaciones.• Auditorías Programadas y
Ejecutadas.• Horas Cargables por Auditoría y
Auditor.• Costos por Auditoría y Auditor.
Informes de Gestión de laAuditoría. Estadísticas y gráficos deAuditorías realizadas:
• Hallazgos de Auditoría: ControlInterno (CI), pruebas deCumplimiento (PC) y pruebasSustantivas (PS).
• Recomendaciones Emitidas: CI;PC; PS.
• Estado de las Recomendaciones.• Auditorías Programadas y
Ejecutadas.• Horas Cargables por Auditoría y
Auditor.• Costos por Auditoría y Auditor.
Qué es y para que sirve?
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información . 16
El Software AUDIRISK
Módulos del Software AUDIRISK.Consta de cinco (5) módulos interrelacionados:1) Administración de Usuarios.2) Parametrización / Configuración del Software.3) Planeación Anual de la Auditoría (Interna ó Externa) Basada en
Valoración de la Exposición a Riesgos.4) Desarrollo de Auditorías “Basadas en Riesgos Críticos” para
procesos y Servicios de Sistemas de Información.5) Gestión de Resultados de la Auditoría.
Qué es y para que sirve?
17
El Software AUDIRISK
Módulos del Software AUDIRISK
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información.
MODULO 1: Administración de Usuarios
Asignar Perfiles de acceso.Asignar Perfiles de acceso.
Asignación de Auditores a Auditorías.Asignación de Auditores a Auditorías.
Cambio / inactivación de password.Cambio / inactivación de password.
Copias de Seguridad (Backups).Copias de Seguridad (Backups).
• Gerente de Auditoría.• Administrador de Usuarios.• Supervisor de Auditoría.• Analista de Auditoría (Auditor de Procesos o de
Aplicaciones).• Auditor Regional.• Solo Consulta.• Auditores de Gestión .
Perfiles deacceso alSoftwareAUDIRISK
Perfiles deacceso alSoftwareAUDIRISK
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información. 18
El Software AUDIRISK
19
Módulo 2: Parametrización delSoftware
1. Dar Mantenimiento a la Base de Datos de “Conocimientosde Auditoría” suministrada por el proveedor (AUDISIS), antesde iniciar uso del software.
• Categorías de Riesgo.• Eventos de Riesgo Inherentes por categoría de riesgo.• Controles por Evento de riesgo inherente.• Técnicas de auditoría.• Otras.
2. Cargar o poblar tablas con información privada específica dela Empresa licenciataria.
3. Definir parámetros para CALIFICAR (medir) la severidad delriesgo, efectividad de los controles, los resultados de pruebasde auditoría, severidad de los hallazgos de auditoría y otros.
Objetivos:
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
MODULO 2: Parametrización del SoftwareConfiguración de los estándares de trabajo de las Auditorías Basadas en Riesgos.Configuración de los estándares de trabajo de las Auditorías Basadas en Riesgos.
Para Evaluar la efectividad de los controles establecidos.Para Evaluar la efectividad de los controles establecidos.
Para evaluar resultados de pruebas de cumplimiento y sustantivas.Para evaluar resultados de pruebas de cumplimiento y sustantivas.
Para Evaluación satisfacción de los siete (7) criterios de la información de negocios (eficacia,eficiencia, integridad, disponibilidad, confidencialidad, confiabilidad y cumplimiento).Para Evaluación satisfacción de los siete (7) criterios de la información de negocios (eficacia,eficiencia, integridad, disponibilidad, confidencialidad, confiabilidad y cumplimiento).
• Los responsables de implantar, supervisar laimplantación y hacer seguimiento a las acciones demejora por hallazgos de control interno.
• Responsables de implantar, supervisar laimplantación y hacer seguimiento a las acciones demejora por hallazgos de Pruebas de Cumplimiento.
• Responsables de implantar, supervisar laimplantación y hacer seguimiento a las acciones demejora por hallazgos de Pruebas Sustantivas.
• Responsables de implantar, supervisar laimplantación y hacer seguimiento a las acciones demejora por hallazgos de Auditorías efectuadas porTerceros.
AudiRisk proveefuncionalidades paraconfigurar el correo
electrónico corporativode la Auditoría y enviar
automáticamentemensajes de
recordatorio dirigidos a:
AudiRisk proveefuncionalidades paraconfigurar el correo
electrónico corporativode la Auditoría y enviar
automáticamentemensajes de
recordatorio dirigidos a:
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información. 20
El Software AUDIRISK
1. Definir las auditorías (nombre y alcance) que se ejecutarán durante el año, utilizandocomo criterio de selección el “Nivel de Exposición a Riesgos” de los componentes delUniverso de Auditoría, es decir:
a) De los procesos del modelo de operación de la empresa;b) De los procesos de la infraestructura de TIC, yc) De las Aplicaciones de Computador (módulos de ERPs) que soportan las
operaciones criticas de la Empresa.
2. Definir los recursos de personal, tiempo, financieros y tecnológicos necesarios paraejecutar y cumplir el plan Anual de la Auditoría.
3. Generar “documentos soportes de la Planeación Anual de la Auditoría”, paraconsideración y aprobación de la Alta Dirección y el Comité de Auditoría.
Módulo 3: Planeación Anual de laAuditoría, Basada en Valoración de Riesgos
Objetivos:
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información. 21
• Seleccionar Trabajos que se incluirán en elPlan Anual de Auditoría, los trabajos seseleccionarán de acuerdo al nivel deexposición a Riesgos.
• Programar Trabajos de Auditoría.• Generar el Plan Anual de Auditoría.
Elaborar PlanAnual de laAuditoría :
Elaborar PlanAnual de laAuditoría :
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información.22
El Software AUDIRISKMODULO 3: Planeación Anual de la Auditoría, Basada en Valoración
de la Exposición a Riesgos.
Crear Ambiente de Trabajo.
Procesar Cuestionarios.
Elaborar Plan Anual de la Auditoría.Elaborar Plan Anual de la Auditoría.
Efectuar Seguimiento al desarrollo del Plan Anual.
Entregables de la Planeación Anual de la AuditoríaInterna.
1) Universo de Trabajos de Auditoría requeridos en la Empresa: lista oinventario de procesos del modelo de operación, lista de procesos de TI, listade aplicaciones de computador y otros.
2) Universo de Categorías de Riesgos que pueden presentarse en lasoperaciones de la Empresa. Por ejemplo: SARO, SARLAFT, MECI.
SARO (7 categorías): Fraude interno, fraude externo, daños a activos físicos, fallas en atencióna los clientes, problemas laborales, fallas tecnológicas y errores en la ejecución del proceso.MECI (6 categorías): Estratégicos, Financieros, Operativos, de Corrupción, Fallas Tecnológicas yDe Cumplimento.
23AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información
Planeación Anual de la Auditoría, Basadaen Valoración de Riesgos – Auditoría
Interna
Entregables de la Planeación Anual de la AuditoríaInterna – Modelo - Cont.
3) Cuestionarios para Valorar la Exposición a riesgos potenciales en el Universode Auditoría – Con Factores de Riesgo (preguntas) y Opciones de respuesta.
• TRES (3) cuestionarios: Procesos del Modelo de Operación, Procesos de lainfraestructura de TI y Aplicaciones de Computador o ERPs.
• Resultados del Procesamiento de Respuestas – Un puntaje entre 0 y 100 porcada proceso o sistema.
24
Planeación Anual de la Auditoría, Basadaen Valoración de Riesgos – Auditoría
Interna
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información
Entregables de la Planeación Anual de la AuditoríaInterna – Modelo - Cont.
4) Panoramas de Riesgo para los procesos del Modelo de Operación de laEmpresa (Estratégicos, Misionales, de Soporte):
a) Priorización de los procesos según puntajes de Exposición a RiesgosPotenciales (Puntajes de seguridad requerida).
b) Panorama de Riesgos Nivel 1: Priorización de las categorías de riesgo dentrode los procesos del modelo de operación, según puntajes obtenidos por cadacategoría.
c) Panorama de Riesgos Nivel 2: Priorización de las categorías de riesgo dentrode cada proceso, según puntajes de exposición a riesgos.
d) Perfiles de Riesgo.
25
Planeación Anual de la Auditoría, Basadaen Valoración de Riesgos – Auditoría
Interna
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información
Entregables de la Planeación Anual de la AuditoríaInterna – Modelo - Cont.
5) Panoramas de Riesgo para los procesos de la Infraestructura de TIC dela Empresa.
6) Panoramas de Riesgo para las Aplicaciones de Computador de laEmpresa.
7) Lista de Procesos, Sistemas y Categorías de Riesgo seleccionadospara el Plan Anual de Auditoría, según NIVEL DE EXPOSICIÓN ARIESGOS: del modelo de operación, de TIC y Aplicaciones de Computador.
26AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información
Planeación Anual de la Auditoría, Basadaen Valoración de Riesgos – Auditoría
Interna
Entregables de la Planeación Anual de la AuditoríaInterna – Modelo - Cont.
8) Programación de Auditorías por cada proceso o sistema incluido en elplan Anual de Auditoría:
a) Auditorías de Control Interno.b) Pruebas de Cumplimiento.c) Pruebas sustantivas.d) Auditoría completa (control interno + pruebas de cumplimiento + pruebas
sustantivas).
9) Gráfico de Barras – Gantt con la programación anual de auditorías a realizar.10) Seguimiento a la Ejecución del Plan Anual
27AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información
Planeación Anual de la Auditoría, Basadaen Valoración de Riesgos – Auditoría
Interna
28
Módulo 4: Desarrollo de AuditoríasBasadas en Riesgos
1. Para una muestra de eventos de riesgo inherentes (por ejemplo, 30eventos), conducir el desarrollo de las fases, etapas y pasos delproceso de auditoría a los procesos del modelo de operación de laempresa, los procesos de la infraestructura de TI y las Aplicaciones deComputador.
• Planeación Basada en Riesgos.• Evaluación del Control Interno.• Pruebas de Cumplimiento.• Pruebas Sustantivas.• Generar los Informes con los resultados de la Auditoría – 4 informes.• Seguimiento a hallazgos de la auditoría.
2. Elaborar los papeles de trabajo de la auditoría – formato electrónico.
3. Controlar el tiempo asignado, por cada auditoría.
Objetivos:
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información 29
Desarrollo de AuditoríasBasadas en Riesgos
AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información30
Concepto de “Auditoría Basada en Riesgos Críticos”
La auditoría es el examen crítico y sistemático que realiza una persona o grupo depersonas independientes del sistema auditado.
La Auditoría Basada en Riesgos Críticos es una forma de conducir auditoríasinternas o externas de diferentes tipos (operativa, de estados financieros, desistemas de información, de sistemas de gestión), con enfoque proactivo ypreventivo, basando su planeación y desarrollo en la revisión de una muestra deeventos de riesgo negativos “considerados críticos por la Auditoría”, quepudieran impactar negativamente los procesos o sistemas y la actividadeconómica de una organización, para confirmar si se ajustan a lo fijado por lasleyes, las reglas del negocio y las buenas y mejores prácticas de control interno yseguridad.
Módulo 4: Desarrollo deAuditorías Basadas en Riesgos
31
El Enfoque Proactivo / Preventivo de laAuditoría Basada en Riesgos
El objetivo principal de la Auditoría NO ES: “Detectar los errores e irregularidades quepodrían presentarse en la operación de los procesos y sistemas de la organización - Noes detectar o descubrir eventos de riesgo ocurridos”.
El objetivo de la Auditoría PROACTIVA - PREVENTIVA es evaluar y verificar que losprocesos y sistemas de la empresa funcionan de manera eficaz, eficiente y segura yestán protegidos adecuadamente contra los riesgos críticos que pudieran presentarse enlas operaciones. Anticiparse a la ocurrencia de los eventos de riesgos para ayudar aprevenirlos.
El tiempo de la Auditoría es menor o igual que el tiempo de los eventos de riesgo.
AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información
Módulo 4: Desarrollo deAuditorías Basadas en Riesgos
Riesgos Inherentes: Eventos negativos (amenazas) que pueden presentarse enlas actividades y servicios del proceso o sistema y obstruir la consecución de losobjetivos estratégicos y de las operaciones de negocio de la Organización. En laestimación de su SEVERIDAD no se tienen en cuenta los controles establecidos.Punto de partida de la Auditoría: Verificar que la empresa está protegidaadecuadamente para una muestra de riesgos inherentes que podríanpresentarse.
Riesgo Residual: Riesgo que permanece o persiste después de Evaluación deControl Interno y Pruebas de Auditoría, para la muestra de eventos negativos(amenazas) críticos seleccionados por la auditoría.Punto de llegada de la Auditoría: Determinar si el riesgo residual asumido por laempresa es aceptable.
Considera dos (2) Estados de los Riesgos para una Muestrade Riesgos Inherentes seleccionados por la Auditoría.
Módulo 4: Desarrollo deAuditorías Basadas en Riesgos
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información 32
Ejemplo: Dos Estados de los Riesgos, por Evento de RiesgoNegativo (Amenaza).Evento de Riesgo (Amenaza): “Ingresar fecha que no corresponde a la lógica delas operaciones”.Severidad Riesgo Inherente (Potencial): Riesgo antes de Controles y Pruebas deAuditoría.
Severidad: E - Extremo.Acciones de Respuesta: Reducir (mitigar) el riesgo.
Controles:• Preventivos: La fecha debe tener el formato dd/mm/aaaa; El día debe se menor o igual que 31; mes menor o
igual que 12; año debe ser el actual.• Detectivos: Validar que la fecha satisfaga los estándares – Los controles preventivos; Informar cuando no
coinciden – “Error Fecha , Fecha No válida”; Disparar Alarma cuando se detecta una desviación respecto al“debería ser”; Bloquea – no deja continuar hasta que la fecha sea válida
• Correctivos: Debe volver a ingresar la fecha (Obliga); vuelve a validar los estándares y si no coinciden seemite mensaje, bloquea y exige que se ingrese nuevamente la fecha.
Severidad Riesgo Residual: Riesgo que permanece o subsiste después de Evaluacióndel Control Interno y Pruebas de Auditoría. Severidad del Riesgo no protegido o nocubierto por los controles verificados . Severidad : B - Bajo (Tolerable).
Módulo 4: Desarrollo deAuditorías Basadas en Riesgos
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información33
Pre- auditoría ComprensiónProceso o Sistema
Cubo deRiesgos de la
Auditoría
Id. y Análisis deRiesgos
1 23
4
Memorando dePlaneación
Caracterización
Muestra de RiesgosInherentes Críticos
Contexto deRiesgos de la
AuditoríaArchivoPermanente
Programa deTrabajo
Mapa de RiesgosInherentes
FASE 1: PLANEACIÓN BASADA EN RIESGOSFASE 1: PLANEACIÓN BASADA EN RIESGOS
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información 34
Metodología de Auditoría “Basadaen Riesgos Críticos”
Evaluar ControlesEstablecidos
Pruebas deCumplimiento
Informe EstadoAcciones de Mejora
PruebasSustantivas
5
6 7
8
Evaluar Diseñoy Efectividad
Informes Pruebasde Cumplimiento
A ExactitudCifras Claves
SeguimientoHallazgos Informes
de Auditoría% Cumplim. Cont.y Proced. Claves
Medir / evaluarRiesgo Residual
Informes PruebasSustantivas
Informe –Evaluación Control
Interno
FASES 2, 3 y 4: EJECUCION E INFORME DE LA AUDITORIAFASES 2, 3 y 4: EJECUCION E INFORME DE LA AUDITORIA
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información35
Metodología de Auditoría “Basadaen Riesgos Críticos”
Entregables de la Auditoría Basada en RiesgosCríticos, “por cada proceso o Sistema”.
1) Memorando de Planeación de la Auditoría.2) Comprensión del Contexto Interno y Externo del Proceso.3) Categorías de Riesgo Críticas Aplicables al Proceso.4) Cuestionario de Eventos de Riesgo que pueden generar las Categorías de Riesgo
Críticas. – Muestra para el desarrollo de la Auditoría – Máximo 30, mínimo 18.5) Resultados del Análisis de los Eventos de Riesgo de la Muestra de Auditoría – De al
menos 7 Elementos del riesgo.6) Mapas de Riesgos Inherentes y reportes de Análisis de Riesgos.7) Cubo de Riesgos de la Auditoría del proceso.8) Objetivos de control que deben satisfacerse para el proceso.9) Opciones de manejo de riesgo para los eventos de riesgo de la muestra de auditoría
(asumir, evitar, mitigar, transferir, distribuir).
Módulo 4: Desarrollo deAuditorías Basadas en Riesgos
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información 36
Entregables de la Auditoría Basada en RiesgosCríticos, “por cada proceso o sistema” (Cont).
10) Cuestionario de Controles “Que deberían Existir” para los eventos de riesgo de lamuestra de auditoría.
11) Identificación de Controles “Establecidos ó existentes”, para los eventos de riesgo dela muestra de auditoría.
12) Tablas y reportes con resultados de la Evaluación de la Efectividad de los controlesestablecidos por Evento de Riesgo. – Incluye los Hallazgos de Auditoría.
13) Mapa de Riesgos Residuales, después de evaluar EFECTIVIDAD de los controles.14) Informe con los Resultados de la Auditoría de Control Interno del proceso o sistema.15) Checklists de Controles para efectuar pruebas de Cumplimiento, por sitios de
prueba, (para eventos que tienen controles apropiados).16) Tablas y reportes de resultados de las pruebas de cumplimiento - – Incluye los
Hallazgos de Auditoría.
Módulo 4: Desarrollo deAuditorías Basadas en Riesgos
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información 37
Entregables de la Auditoría Basada en RiesgosCríticos,“por cada proceso o sistema” (Cont).
17) Mapa de Riesgos Residuales – Antes y Después de pruebas de cumplimiento.18) Informe con los Resultados de las Pruebas de Cumplimiento, por sitios de prueba y
consolidados por áreas organizacionales-19) Checklists de Datos para Ejecutar Pruebas Sustantivas (para eventos que tienen
debilidades de control).20) Tablas y reportes de resultados de las pruebas Sustantivas . Incluye Hallazgos de la
Auditoría.21) Mapa de Riesgos Residuales – Antes y Después de pruebas sustantivas.22) Informe con los Resultados de las Pruebas Sustantivas, por sitios de prueba y
consolidados por áreas organizacionales.
Módulo 4: Desarrollo deAuditorías Basadas en Riesgos
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información 38
Entregables de la Auditoría “por cada proceso osistema” (Cont).
23) Informe con Resultados de la Evaluación de los siete (7) criterios que debe satisfacerla información de negocios.
24) Plan de Mejoramiento para atender los hallazgos de Auditoría. (de Control Interno,Pruebas de Cumplimiento y Pruebas Sustantivas).
25) Planeación del Seguimiento al Plan.26) Correos Electrónicos de Recordatorio a responsables de implantar acciones de
mejora.27) Informe con los Resultados del Seguimiento.
Módulo 4: Desarrollo deAuditorías Basadas en Riesgos
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información 39
AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información.40
Auditoría Proactiva Basada en Riesgos- Análisis de los 7 Elementos del Riesgo
2. Eventos/Amenazas Explotan
4. Vulnerabilidades
Que resultan en ?
5. Exposición
Que es ?6. RiesgoOcurrido(Consecuencias)
Que es mitigado por ?
7. Salvaguardas(Controles)
Que protegen ?
Que son dañados por ?
1. Activos
3. AgentesGeneradores
AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información . 41
El enfoque Proactivo / Preventivo de la AuditoríaBasada en Riesgos
Por cada evento de riesgo inherente (amenaza) de la “muestra de eventosseleccionada por la Auditoría”, que pudiera presentarse en las operaciones de unproceso o sistema (Máximo 30, Mínimo 18), el análisis de la auditoría enfatiza almenos en siete (7) elementos del riesgo:
Activos impactados – Tangibles e intangibles.Vulnerabilidades que crean el ambiente propicio para que las amenazas se materialicen.Agentes generadores y factores de riesgo: personas y actos de la naturaleza.Severidad o Nivel Exposición al riesgo (Combina frecuencia estimada de ocurrencia anual e impactofinanciero y operacional).Consecuencias que tendría que afrontar la organización en caso de ocurrir.Fuentes del riesgo (actividades del proceso y áreas organizacionales o terceros).La efectividad y cumplimiento de los controles establecidos, para reducir o disminuir la severidad de losriesgos inherentes a niveles de riesgo residual aceptables - Apetito de riesgos, yLa información del proceso o sistema que pudiera ser impactada por los riesgos inherentes.
Módulo 4: Desarrollo deAuditorías Basadas en Riesgos
Mapa de Riesgos InherentesMapa de Riesgos Inherentes
AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información . 42
Escala para evaluar Severidadde los Riesgos
43
Niveles deSeveridad del
Riesgo(Inherente oResidual )
Consecuencias en caso de Presentarse
1: BajoLa ocurrencia del evento (amenaza) tendría consecuencias leves, tolerables por laorganización. Se puede gestionar mediante procedimiento de rutina. En caso depresentarse no desestabiliza a la organización.
2: ModeradoEn caso de presentarse ocasionaría consecuencias que superan el nivel de toleranciade la organización. Requiere atención de la Gerencia. Debe ser gestionado concontroles para disminuir su impacto o la frecuencia de ocurrencia.
3: AltoEn caso de presentarse ocasionaría consecuencias financieras y operacionales deimpacto severo o significativo para la organización. Es necesaria la atención inmediatade la Gerencia. Debe gestionarse con acciones para transferir el riesgo a terceros,dispersar el riesgo y reducir su impacto o la frecuencia de ocurrencia.
4: ExtremoSu ocurrencia ocasionaría consecuencias financieras y operacionales de impactocatastrófico para la organización. Es necesaria la atención inmediata de la Gerencia.Debe gestionarse con mecanismos para evitar su ocurrencia o transferir el riesgo aterceros, dispersar el riesgo y reducir su impacto o la frecuencia de ocurrencia.
AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información .
Auditoría Basada en RiesgosCríticos
Auditoría Basada en RiesgosCríticos
Aplica tres (3) criterios para “Evaluar la Efectividad (eficacia +eficiencia)” de los Controles establecidos, por cada evento deriesgo inherente (amenaza).
Para la Eficacia de los Controles Se utiliza Enfoque de los 3 niveles o anillos de Seguridad o Líneas de
Defensa ? – Al menos 3 controles que hagan SINERGIA. CriterioObligatorio.
Es significativo el Grado de Automatización y Discrecionalidad de losControles ?. Calificación promedio > 3.5.
Para la Eficiencia de los Controles. El Costo / Beneficio esRAZONABLE (Máximo 10% del valor de los activos protegidos por loscontroles)?.
Evaluación de la Efectividad de los Controles –Protección Existente.
AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información .44
Módulo 4: Desarrollo deAuditorías Basadas en Riesgos
Enfoque de las Tres Anillos Seguridad oLíneas de Defensa
AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información .45
EVENTOSDE RIESGOINHERENTE(Amenazas)
A2
A3
A2
A3
A3BARRERA
PREVENTIVABARRERA
DETECTIVABARRERA
CORRECTIVA
A1
FEEDBACK
ORGANIZACIÓN
PERSONAS
HW - SW
FINANCIEROS
INSTALACIONES
DATOS
Clases de Controles CalificaciónAutomáticos no discrecionales (Clase A). Los
controles son automatizados y se aplican sin excepciones a
todo el universo.
5.0 puntos
Automáticos discrecionales (Clase B). Los controles
son automáticos y aplican solo a una parte del Universo.
4.5 puntos
Manuales no discrecionales(Clase C). Los controles
son manuales y se aplican sin excepciones a todo el universo.
4.0 puntos
Manuales discrecionales(Clase D). Los controles son
manuales y aplican solo a una parte del Universo.
3.5 puntos
Grado de Automatización /Discrecionalidad de los Controles
Criterio de Aceptación:La calificación promedio de los controles por clase, por cada amenaza,deberá ser mayor que 3.5
46AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información .
Eficiencia de los controles por Amenaza:Según el costo / beneficio del conjunto de controles que actúan sobre cadaamenaza.
Eficiencia
Bene
ficio
s
Alto 5: Muy Alta 4: Alta3:
Moderada
Moderado 4: Alta3:
Moderada 2: Baja
Bajo 3: Moderada 2: Baja 1: Muy Baja
Bajo Moderado AltoCostos
RAZONABLE (R )NO RAZONABLE (NR)
Criterio de Aceptación:La calificación promedio de la eficiencia de los controles, por cadaamenaza, deberá ser mayor o igual a 4.0 (Razonable)
Etapa 5: Evaluación del ControlInterno Existente
Etapa 5: Evaluación del ControlInterno Existente
47AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información .
Criterios para Evaluar la Efectividad de los ControlesEstablecidos
Niveles deEfectividad delos Controles
Criterios de Evaluación / Significado de la Efectividad de los ControlesEstablecidos por cada Evento de Riesgo Inherente (Amenaza)
1: ApropiadaLos controles establecidos son efectivos (eficaces y eficientes) para reducir losriesgos potenciales a nivel aceptable o tolerable de riesgo residual.Satisfacen los 3 anillos de seguridad y el nivel de automatización es aceptableo el costo beneficio es razonable.
2: MejorableLos controles satisfacen los 3 anillos de seguridad (preventivo, detectivo ycorrectivo), pero no son eficientes o tienen bajo nivel de automatización
3:Insuficiente
Los controles utilizados no satisfacen los tres anillos de seguridad. Senecesitan controles adicionales.
4: DeficienteLos controles utilizados no satisfacen los tres anillos de seguridad y no soneficientes o tienen bajo nivel de automatización. Se necesitan controlesadicionales
5: MuyDeficiente
No existen controles o los que se utilizan no sirven para controlar los riesgospotenciales.
Auditoría Basada en RiesgosCríticos
Auditoría Basada en RiesgosCríticos
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información 48
Evento (Amenaza): Robo de dinero en cajero automático (ATM), por suplantación delpropietario de la tarjeta.
Riesgo Potencial (Inherente): Evento de riesgo al que se expone el Banco (usuario), de acuerdo conla naturaleza y modo de operación del cajero automático . En su evaluación no se tienen en cuentalos controles establecidos.
Evaluación Severidad, antes de Controles : E - Extremo.Acciones de Respuesta: Reducir (mitigar) el riesgo.
Controles:• Preventivos: Uso de tarjeta y PIN. Políticas de seguridad para uso de cajero automático.• Detectivos: Validar que tarjeta y PIN coincidan. Informar desviación (mensaje) y bloquear.• Correctivos: Reemplazar la tarjeta bloqueada y asignar nuevo PIN.
Efectividad de los Controles. 1: Apropiada.Riesgo Residual: Riesgo que permanece después de Evaluación de Controles y Pruebas deAuditoría. Riesgo no protegido o no cubierto por los controles establecidos. Evaluación Severidad:B - Bajo (Tolerable).
Aplicación del enfoque de los (3) Anillos deSeguridad o Líneas de Defensa - Ejemplo.
AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información . 49
Ries
go In
here
nte 4: Extremo Bajo Moderado. Alto. Extremo Extremo
3: Alto Bajo Moderado. Alto. Alto. Alto.
2: Moderado Bajo Moderado. Moderado. Moderado. Moderado.
1: Bajo Bajo Bajo Bajo Bajo Bajo
1: Apropiada 2: Mejorable 3: Insuficiente 4: Deficiente 5: MuyDeficiente
Efectividad de los Controles (ProtecciónExistente)
Medición de Riesgos Residuales, después de evaluar y verificarlos Controles Establecidos - MODELO "AUDISIS“
Auditoría Basada en RiesgosCríticos
Auditoría Basada en RiesgosCríticos
AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información . 50
51
Selección de Eventos de Riesgo(Amenazas) para Pruebas de Auditoría
Selección de Amenazas para Pruebas de Auditoría, segúnresultados de la Evaluación del Control Interno.
Eventos de Riesgo Inherentes(Amenazas)
RiesgoInherente
Efectividad ControlesEstablecidos - Etapa 5
Pruebas deCumplimiento
Etapa 6
Controles averificar
PruebasSustantivas -
Etapa 7Datos a Verificar
Omitir InvestigaciónAntecedentes del cliente E: Extremo 1: Apropiada Si 1,3,10, 12
Girar Cheques con una sola firma A: Alto 2: Mejorable Si 3,5,8
Omitir cifras de cuadre diario E: Extremo 3: Insuficiente Si Vr Efectivo recibido; VrEfectivo pagado
Alterar cifras registradas en labase de datos de cuentascorrientes
A: Alto 4: Deficiente Si Saldo disponible; vrcheques pagados
Alterar registros de Soporte deIngresos M: Moderado 5: Muy deficiente Si Vr depósitos recibidos;
Falsificar firmas en los cheques M: Moderado 2: Mejorable Si 1,2,3,5
Falsificar comprobantes dedepósito M: Moderado 3: Insuficiente Si Saldo disponible
Falsificar Cheques A: Alto 1: Apropiada Si4,7,9
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
52
Estructura de Checklists de Pruebas deCumplimiento y Sustantivas.
Se Generan por Sitios de Prueba, técnicas de auditoría y amenazas. El software genera Checklist con cuatro Opciones de Respuesta que
tienen puntajes asociados:5: Siempre (Satisfactorio).4: Casi Siempre (Con excepciones no significativas).3: Algunas Veces (con excepciones significativas.0: Nunca (No satisfactorio).
Espacios para: Ref a PT, Fecha ejecución y Comentarios del auditor.
Pruebas de Cumplimiento ySustantivas
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
53
EjecuciónPruebas de Cumplimiento
Evaluación de Resultados de las Pruebas, por Amenaza
Amenaza: Alteración de los datos de los datos registrados en documentosfuente.
% Cumplimiento
Riesgo Residual 22.86%
77.14%
1 Control 1
5
3
No CONTROLES ESTABLECIDOS 5:Siempre
4: CasiSiempre
3: AlgunasVeces REF A PTTecnica de
Verificacion Hallazgos de Auditoria
Control 3
4 Control 4
Control 5
x6 Control 6
7 Control 7
0:Nunca
x
2 Control 2 x
x
x
x
x
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
54
Criterios para Evaluar los resultados de lasPruebas de Auditoría.
Rangos % de Puntaje Obtenido
(PO)
Protección Existente (PE)Según Cumplimiento /Exactitud de la Información
Riesgo Residual – RR-(después de Pruebas )
1 Mayor del 80 % 1: Apropiada 1: Aceptable
2 Entre 60 y 80% 2: Mejorable 2: Moderado
3 Entre 40 y 60% 3: Insuficiente 3: Alto
4 Entre 20 y 40% 4: Deficiente 4: Extremo
5 Menor del 20% 5: Muy deficiente 5: Extremo
Resultados de las Pruebas de Auditoría- De Cumplimiento y Sustantivas
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
55
Comprende las actividades de Generación, validación y emisión de tres (3)Informes:
De la Evaluación de Control Interno Existente – Etapa 5. Paralas 3 dimensiones del Cubo de Riesgos.De las Pruebas de cumplimiento – Etapa 6.• Por sitios de prueba.• Por Áreas Organizacionales – varios sitios de prueba.• Consolidado del proceso a nivel organización.
De las Pruebas Sustantivas – Etapa 7.• Por sitios de prueba.• Por Áreas Organizacionales – varios sitios de prueba.• Consolidado del proceso a nivel organización.• Para las 7 características de la información de negocios.
Fase III: Comunicación de Resultados de laAuditoría.
Auditorías PROACTIVAS Basadas enRiesgos Críticos
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información 56
Fase IV: Seguimiento a Hallazgos de Auditoría yAcciones de Mejoramiento.
Comprende actividades de planeación (elaborar plan),ejecución de seguimiento e informe de seguimiento de tres (3)Informes:
De Control Interno Existente – Etapa 5.De Pruebas de cumplimiento – Etapa 6.De Pruebas Sustantivas – Etapa 7.
Auditorías PROACTIVAS Basadas enRiesgos Críticos
AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información 57
Fase IV: Seguimiento a Hallazgos de Auditoría yAcciones de Mejoramiento.
• Se realiza por Sitios de Prueba, en diferentes fechas de corte.• Generación y envío automático de Correos Electrónicos de
Recordatorio, a responsables de implantar, supervisar y hacerseguimiento a acciones de mejora.
• Genera estadísticas del estado de implantación de lasrecomendaciones y acciones de mejora (implantadas, enproceso, pendientes de atender, anulados).
Desarrollo de AuditoríasPROACTIVAS Basadas en Riesgos
Críticos
58
El Software AUDIRISK
MODULO 5:Gestión de la
Auditoría.
MODULO 5:Gestión de la
Auditoría.
Informes de Gestión de laAuditoría. Estadísticas y gráficos deAuditorías realizadas:
• Hallazgos de Auditoría: ControlInterno (CI), pruebas deCumplimiento (PC) y pruebasSustantivas (PS).
• Recomendaciones Emitidas: CI;PC; PS.
• Estado de las Recomendaciones.• Auditorías Programadas y
Ejecutadas.• Horas Cargables por Auditoría y
Auditor.• Costos por Auditoría y Auditor.
Informes de Gestión de laAuditoría. Estadísticas y gráficos deAuditorías realizadas:
• Hallazgos de Auditoría: ControlInterno (CI), pruebas deCumplimiento (PC) y pruebasSustantivas (PS).
• Recomendaciones Emitidas: CI;PC; PS.
• Estado de las Recomendaciones.• Auditorías Programadas y
Ejecutadas.• Horas Cargables por Auditoría y
Auditor.• Costos por Auditoría y Auditor.
Qué es y para que sirve?
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información.
Agenda
• AudiRisk: Qué es y para Qué Sirve?.• Características del Software AudiRisk que agregan
valor a las Organizaciones y las Auditorías.• Especificaciones Técnicas del Software AudiRisk.• Requerimientos de Hardware y Software para instalar
AUDIRISK.• Productos que recibe el Usuario de AUDIRISK.• Beneficios de Utilizar AudiRisk.• Usuarios del software AudiRisk.
59
60
AUDIRISK está alineado y es compatible conestándares internacionales y nacionales vigentes deauditoría, gestión de riesgos, control interno yseguridad.
Normas de Auditoría de Aceptación General. Normas de Auditoria Interna del IIA. Normas de Auditoría de Sistemas de ISACA. Modelos de Control Interno COSO 2013, COBIT Y MECI. Gestión de Seguridad de la Información: Normas ISO 27001. ISO 20000: Gestión de Servicios de TI. Otras ISO 9126, ISO 12207 e ISO 38500 (Gobierno de TI). Marcos de Referencia para Gestión de Riesgos: ISO 31000,
ERM, SARO, SARLAFT, DAFP, SALUD.
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
El Software AUDIRISK
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información.
Agenda
• AudiRisk: Qué es y para Qué Sirve?.• Características del Software AudiRisk que agregan
valor a las Organizaciones y las Auditorías.• Especificaciones Técnicas del Software AudiRisk.• Requerimientos de Hardware y Software para instalar
AUDIRISK.• Productos que recibe el Usuario de AUDIRISK.• Beneficios de Utilizar AudiRisk.• Usuarios del software AudiRisk.
61
1) Provee una metodología sencilla y efectiva para conducir la elaboración delPlan Anual de Auditoría, “basado en la valoración de la exposición ariesgos” en los componentes del Universo de Auditoría.
2) Conduce el desarrollo del enfoque “Proactivo y preventivo de la Auditoría”,en lugar del enfoque “Reactivo o detrás de los hechos conocidos”. La Auditoríaes más un control Preventivo / Proactivo que un control detectivo o aposteriori. Se anticipa a la ocurrencia de los eventos de riesgos inherentesque pueden presentarse, para ayudar a prevenirlos.
3) Por cada auditoría, planea y desarrolla las fases del proceso de auditoría para“una muestra de eventos de riesgo inherentes Críticos”, seleccionados acriterio de la auditoría, los cuales representan los riesgos de mayor impactopara la organización (materialidad e importancia relativa).
Valor Percibido que genera para las Empresas
Propuesta de valor delSoftware AUDIRISK.
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información 62
4) Evalúa y verifica que los procesos y sistemas satisfacen los objetivos deempresa y que los controles establecidos y en operación, para “la muestrade riesgos inherentes seleccionados por la auditoría”, son efectivos parareducir los riesgos inherentes a niveles aceptables de riesgo residual.
5) Como apoyo para la planeación y desarrollo de las auditorías, provee una Basede Datos de Conocimientos de Auditoría, con numerosas “best practices”universales de gestión de riesgos, controles, procedimientos y técnicas deauditoría. Esta Base de Conocimientos crece continuamente con los resultadosde las auditorías realizadas en la organización.
6) Verifica que las políticas, normas y procedimientos de Gestión de Riesgos dela organización, utilicen el enfoque proactivo ó “A priori” de los controles, esdecir, que los controles se diseñan, implantan y actúan antes depresentarse los riesgos inherentes.
Propuesta de valor delSoftware AUDIRISK.
Valor Percibido que genera para las Empresas
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información 63
64
7. Provee funcionalidades para elaborar cuestionarios y Checklists(CSAs: Control Self Assessment). Estos no son insumos, sonproductos de AudiRisk: Para estimar la exposición a riesgos de los procesos y sistemas de la
organización – Del Universo de Auditoría. Para identificar y seleccionar los eventos de riesgos inherentes (amenazas) para
las tres o cuatro categorías de riesgos críticas, que serán considerados por elalcance de las auditorías.
Para identificar los controles que “deberían existir” y los “controles establecidos”para los eventos de riesgo (amenazas) considerados en alcance de las auditorías
Para verificar los controles (pruebas de cumplimiento) de amenazas que tienenprotección apropiada.
Para verificar la exactitud de la información (pruebas sustantivas) a cifrasimpactadas por eventos de riesgo (amenazas) con debilidades de control.
Para evaluar la satisfacción de las siete (7) características de las información denegocios.
7. Provee funcionalidades para elaborar cuestionarios y Checklists(CSAs: Control Self Assessment). Estos no son insumos, sonproductos de AudiRisk: Para estimar la exposición a riesgos de los procesos y sistemas de la
organización – Del Universo de Auditoría. Para identificar y seleccionar los eventos de riesgos inherentes (amenazas) para
las tres o cuatro categorías de riesgos críticas, que serán considerados por elalcance de las auditorías.
Para identificar los controles que “deberían existir” y los “controles establecidos”para los eventos de riesgo (amenazas) considerados en alcance de las auditorías
Para verificar los controles (pruebas de cumplimiento) de amenazas que tienenprotección apropiada.
Para verificar la exactitud de la información (pruebas sustantivas) a cifrasimpactadas por eventos de riesgo (amenazas) con debilidades de control.
Para evaluar la satisfacción de las siete (7) características de las información denegocios.
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
Propuesta de valor delSoftware AUDIRISK.
Valor Percibido que genera para las Empresas
8) Cada auditoría evalúa el estado de la “Cultura de Riesgos y Controles”existente en la Empresa y estimula (potencia) a los auditores para actuarcomo “Agentes de Cambio” de la cultura existente.
9) Verifica que los controles por cada evento de riesgo inherente, satisfagan dosrequisitos para ser eficaces: a) Eliminan las vulnerabilidades y b) bloquean oneutralizan los agentes generadores del riesgo.
10) Aplica y promueve la implantación del enfoque de los “tres anillos deseguridad o Líneas de defensa” y del nivel de automatización y nodiscrecionalidad de los controles, como criterios para evaluar la EFICACIAde los controles establecidos sobre los riesgos inherentes.
11) Evalúa que sea RAZONABLE la relación COSTO /BENEFICIO de los controlesestablecidos por cada evento de riesgo inherente, como criterio para evaluar laEFICIENCIA de los controles.
Propuesta de valor delSoftware AUDIRISK.
Valor Percibido que genera para las Empresas
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información 65
12) Lo que no se puede medir, no se puede administrar. Utiliza una escalanumérica para CALIFICAR la Efectividad (Eficacia + eficiencia) de loscontroles por evento de riesgo inherente, en Evaluación del Control Interno yPruebas de auditoría: 1- Apropiada, 2-Mejorable, 3-Insufiicente, 4-Deficiente y 5- Muy deficiente.
13) Lo que no se puede medir, no se puede administrar. Utiliza una escalapara CALIFICAR el Riesgo Residual por evento de riesgo inherente,después de realizar la Evaluación del Control Interno y Ejecutar las Pruebas deAuditoría: 1- Bajo (Tolerable), 2-Moderado, 3- Alto y 4: Extremo.
14) Diseña y Ejecuta las pruebas de cumplimiento y sustantivas de acuerdo conlos resultados de la Evaluación de Control Interno (Aplica la Segunda Normade Auditoría relativa a la Ejecución del Trabajo).
Propuesta de valor delSoftware AUDIRISK.
Valor Percibido que genera para las Empresas
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información 66
15) Con los resultados de las pruebas de cumplimiento y sustantivas, la auditoríamide porcentualmente (%) el cumplimiento de los controlesestablecidos y de la exactitud de la información, por cada riesgo inherentede la muestra de auditoría, para presentar el estado de severidad real de losriesgos residuales que esta asumiendo la organización.
16) Provee funcionalidades para generar y conservar todos los papeles detrabajo de las auditorías en formato electrónico (archivos permanentes yarchivos corrientes).
17) Provee funcionalidades para elaborar el plan de mejoramiento que resulta delos hallazgos de las auditorías, planear su implantación y ejecutar elseguimiento. Genera correos electrónicos recordatorios para losresponsables de implantar, supervisar la implantación y efectuar elseguimiento a las acciones de mejora.
Propuesta de valor delSoftware AUDIRISK.
Valor Percibido que genera para las Empresas
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información 67
18) El enfoque Basada en Riesgos, facilita la transición de los auditores, delestado “ser y actuar como consumidores de conocimientos” a convertirse en“generadores de conocimiento y de valor para las organizaciones”.
19) El enfoque Basada en Riesgos, contribuye a superar algunas Críticas a laAuditoría.
a) Históricamente se les conoce por su habilidad para encontrar fallas en el trabajo delos auditados – El Auditor Investigador y Acusador.
b) Promueve la Cultura de priorización en la Auditoría. “Por estar cuidando las hormigas,se dejan pasar los Elefantes…” POR QUE?.
c) Desestimula la Controlitis Aguda. Evalúa el diseño y el C/B (la eficiencia) de losControles, cuando se recomiendan controles.
d) Desestimula la Inoportunidad de las Recomendaciones: Las revisiones y consejosllegan tarde – Después de la ocurrencia de los riesgos / problemas.
e) Desestimula el enfoque Reactivo de la Auditoría: Algunas veces, los Auditoresactúan como los “Bomberos”.
Propuesta de valor delSoftware AUDIRISK.
Valor Percibido que genera para las Empresas
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información 68
20) Utiliza modelos Universales de “clases o categorías de riesgo”como base para determinar el “Universo de Riesgos de laEmpresa”, planear y desarrollar las Auditorías.
Sistema de Administración de Riesgo Operativo- SARO. Sistema de Administración de Riesgos de Lavado de Activos y Financiación del
Terrorismo - SARLAFT. MECI (Modelo Estándar de Control Interno para las Entidades del Estado
Colombiano). Riesgos en el Sector Salud - Res 1740 de 2008 MPS. AUDIRISK. Otros Modelos ( Basilea en Sector financiero y Sector Salud).
69AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
Propuesta de valor delSoftware AUDIRISK.
Valor Percibido que genera para las Empresas
70
21) “Lo que no se mide, no se puede administrar / Controlar”.Por cada Auditoría: Evalúa y Mide la Efectividad de los Controles Existentes, por Evento
de Riesgo Inherente (Amenaza), categorías de riesgo, actividades, áreasorganizacionales y objetivos de control. 1: Apropiada, 2: Mejorable; 3:Insuficiente; 4: Deficiente y 5: Muy deficiente
En las pruebas de Cumplimiento, mide el % de Cumplimiento de losControles Establecidos, por amenazas, categorías de riesgo,actividades, áreas organizacionales.
En las Pruebas Sustantivas, mide el % de Exactitud de las Cifrasverificadas, por amenazas, categorías de riesgo, actividades, áreasorganizacionales.
Mide porcentualmente la satisfacción de los siete (7) criterios de lainformación de negocios.
21) “Lo que no se mide, no se puede administrar / Controlar”.Por cada Auditoría: Evalúa y Mide la Efectividad de los Controles Existentes, por Evento
de Riesgo Inherente (Amenaza), categorías de riesgo, actividades, áreasorganizacionales y objetivos de control. 1: Apropiada, 2: Mejorable; 3:Insuficiente; 4: Deficiente y 5: Muy deficiente
En las pruebas de Cumplimiento, mide el % de Cumplimiento de losControles Establecidos, por amenazas, categorías de riesgo,actividades, áreas organizacionales.
En las Pruebas Sustantivas, mide el % de Exactitud de las Cifrasverificadas, por amenazas, categorías de riesgo, actividades, áreasorganizacionales.
Mide porcentualmente la satisfacción de los siete (7) criterios de lainformación de negocios.
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información.
Propuesta de valor delSoftware AUDIRISK.
Valor Percibido que genera para las Empresas
71
22) Otras características del software que generan valor. Es una aplicación WEB que se puede instalar en la Nube (Cloud
Computing), servidores de la empresa y equipos stand alone. Produce Papeles de Trabajo en formato electrónico. Ofrece ayudas de Supervisión de los Auditores (TO DOs o pendientes
por hacer). Por cada auditoría genera 5 tipos informes de Auditoria: Evaluación de
control interno, pruebas de cumplimiento, pruebas sustantivas,satisfacción de las siete (7) características de la información denegocios y del seguimiento a los hallazgos de auditoría.
Deja Rastros de las actividades ejecutadas por los Auditores. Genera indicadores de Gestión de la Auditoría.
22) Otras características del software que generan valor. Es una aplicación WEB que se puede instalar en la Nube (Cloud
Computing), servidores de la empresa y equipos stand alone. Produce Papeles de Trabajo en formato electrónico. Ofrece ayudas de Supervisión de los Auditores (TO DOs o pendientes
por hacer). Por cada auditoría genera 5 tipos informes de Auditoria: Evaluación de
control interno, pruebas de cumplimiento, pruebas sustantivas,satisfacción de las siete (7) características de la información denegocios y del seguimiento a los hallazgos de auditoría.
Deja Rastros de las actividades ejecutadas por los Auditores. Genera indicadores de Gestión de la Auditoría.
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
Propuesta de valor delSoftware AUDIRISK.
Valor Percibido que genera para las Empresas
72
Satisface necesidades de diferentesmodalidades de Auditoría. Auditores de Sistemas. Auditores Operativos. Auditores de Procesos. Auditorías Integrales. Revisores Fiscales.
Satisface necesidades de diferentesmodalidades de Auditoría. Auditores de Sistemas. Auditores Operativos. Auditores de Procesos. Auditorías Integrales. Revisores Fiscales.
El software AUDIRISKEl software AUDIRISK
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información.
Agenda• AudiRisk: Qué es y para Qué Sirve?.• Características del Software AudiRisk que agregan valor a
las Organizaciones y las Auditorías.• Especificaciones Técnicas del Software AudiRisk.• Requerimientos de Hardware y Software para instalar
AUDIRISK.• Productos que recibe el Usuario de AUDIRISK.• Presentación de Módulos Componentes del Software
AudiRisk.• Beneficios de Utilizar AudiRisk.• Usuarios del software AudiRisk.
73
74
Especificaciones Técnicas delSoftware AUDIRISK
Especificaciones Técnicas delSoftware AUDIRISK
• Herramienta de Desarrollo: .NET, Visual Studio.• Sistema Operacional: Windows Server 2008 a 2012.
Windows Vista, 7, 8 Y 10. Excepto las versionesHome.
• Motor de Base de datos: SQL Server.• Memoria RAM: 4GB en servidor.• Disco Duro: 16 GB.• Navegadores: Internet Explorer 8.0 o superiores,
Google Chrome, Firefox y Opera.
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
75
Por la compra de Licencias del Software
Licenciamiento a perpetuidad, por equipo (servidor) y cantidad deusuarios concurrentes con perfiles Gerente de Auditoría, Supervisor,Analista de Auditoría y Auditor Regional.
La licencia hasta de 10 usuarios concurrentes, incluye el derecho deacceso para dos (2) usuarios adicionales, sin costo: uno (1) con perfil“Administrador” y otro con perfil “Solo Lectura”.
Por cada 10 usuarios concurrentes adicionales, de perfiles diferentes deAdministrador y Solo Consulta, se adicionan dos (2) usuarios de perfil“solo consulta”, sin costo.
Modalidades deLicenciamiento del Software
Modalidades deLicenciamiento del Software
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
76
Por Arrendamiento de Licencias delSoftware El software se instalará en un Hosting de la Empresa ó Comercial contratado
por la empresa que adquiere el servicio de arrendamiento del software.
El arrendamiento se pacta por cantidad de usuarios concurrentes con perfilesGerente de Auditoría, Supervisor, Analista de Auditoría y Auditor Regional.
El Arrendamiento hasta de 10 usuarios concurrentes, incluye el derecho deacceso para dos (2) usuarios adicionales, sin costo: uno (1) con perfil“Administrador” y otro con perfil “Solo Lectura”.
Por cada 10 usuarios concurrentes adicionales, de perfiles diferentes deAdministrador y Solo Consulta, se adicionan dos (2) usuarios de perfil “soloconsulta”, sin costo.
Modalidades deLicenciamiento del Software
Modalidades deLicenciamiento del Software
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
77
Por la compra de Licencias del Software
Manual del Usuario del Software (E-book). Software ejecutable (CD). Bases de datos de conocimientos estándar. Licencia de uso a perpetuidad, por servidor y cantidad de
usuarios concurrentes. Acceso a la Empresa ITF “Morraos de Colombia”, para consultar
dos (2) Ejemplos de Auditorías Basadas en Riesgos Críticos yrealizar pruebas con fines de capacitación y entrenamiento .
Derecho a recibir soporte técnico y actualizaciones del softwarey la metodología durante un año.
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
Entregables que recibe elUsuario de AUDIRISK
Entregables que recibe elUsuario de AUDIRISK
78
Por el Arrendamiento de Licencias delSoftware
Manual del Usuario del Software (E-book). Acceso utilizar el Software ejecutable (CD) como empresa
Licenciataria. Acceso a Bases de datos de conocimientos estándar. Acceso a la Empresa ITF “Morraos de Colombia”, para consultar
dos (2) Ejemplos de Auditorías Basadas en Riesgos Críticos yrealizar pruebas con fines de capacitación y entrenamiento .
Derecho a recibir soporte técnico y actualizaciones del softwarey la metodología durante un año.
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
Entregables que recibe elUsuario de AUDIRISK
Entregables que recibe elUsuario de AUDIRISK
Servicios Complementarios. Consultoría - Acompañamiento para Integrar el Software al
proceso de la Auditoría Interna. Por cada tema principaldel software, consta de 3 sesiones:
Sesión 1: Capacitación para el uso de la metodología y elsoftware, por parte del Consultor.
Sesión 2: Trabajo de campo por los auditores de la Empresa,en Ejecución de Auditorías a procesos y sistemas.
Sesión 3: Retroalimentación por el consultor.
Servicio Anual de Actualización y Soporte Técnico.79AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
Entregables que recibe elUsuario de AUDIRISK
Entregables que recibe elUsuario de AUDIRISK
Agenda
• AudiRisk: Qué es y para Qué Sirve?.• Características del Software AudiRisk que agregan
valor a las Organizaciones y las Auditorías.• Especificaciones Generales y Técnicas del Software
AudiRisk.• Presentación Detallada de Módulos Componentes
del Software AudiRisk.• Beneficios de Utilizar AudiRisk.• Usuarios del software AudiRisk.
80AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
81
Módulo 3:
Planeación Anual de la Auditoría,Basada en Valoración de Riesgos
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
82
Planeación Anual de las AuditoríasPlaneación Anual de las Auditorías
Alineada con los Pronunciamientos del Instituto de Auditores Internosde USA (IIA) y de la Asociación de Control y Auditoría de Sistemas deInformación (ISACA) y la materialidad o significancia de los riesgos alos que se exponen las Empresas.
La base de planeación es el Universo de Riesgos de la Empresa:las categorías o clases de riesgo que podrían presentarse en lasoperaciones de organización. Por ejemplo: SARO+ SARLAFT+RIESGO ESTRATEGICO.
Para las Auditorías Internas y Externas, el Plan Anual se elaborabasándose en los resultados de la valorar la “exposición a riesgos delos procesos del modelo de operación y los servicios de sistemas dela Empresa”. Un puntaje entre 0 y 100.
Basada en “Valoración de la Exposición a RiesgosRiesgos”.
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
83
Planeación Anual de las AuditoríasPlaneación Anual de las Auditorías
Para Auditorías Internas / Oficinas de Control Interno.
Provee Cuestionarios con Factores de Riesgo, por tiposde auditoría (procesos del modelo de operación, procesosde TIC y otros servicios de sistemas )
Estima la Exposición a Riesgos de los trabajos deauditoría, por Categorías de Riesgo y por tipos deauditoría.
Prioriza los trabajos de auditoría por tipos de auditoría. Elaborar cronograma anual de la auditoría. Permite realizar seguimiento al plan.
Basada en “Valoración de la Exposición aRiesgos”.
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
84
Planeación Anual de las AuditoríasPlaneación Anual de las Auditorías
Para Auditorías Externas y Organismos de Control delEstado Elabora y controla el plan anual de auditoría por sector y
empresas, según su nivel de exposición a riesgos :
Provee Cuestionarios con Factores de Riesgo, por sectores Estima Exposición a Riesgos de las Empresas dentro de
cada sector, por empresa y categorías de riesgo. Elaborar cronograma anual de la auditoría por Sector. Define trabajos a realizar por empresa.
Permite hacer seguimiento al Plan Anual.
Basada en “Valoración de la Exposición aRiesgos”.
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
85
Planeación Anual de la AuditoríaBasada en Valoración de Riesgos
AUDIRISK elabora el plan anual de auditoría y controla su ejecución,a través de los siguientes pasos:
1. Por cada tipo de auditoría (revisiones), permite priorizar lostrabajos candidatos a ser auditados, de acuerdo con el nivel deExposición a Riesgos:Tipos de Auditorías: A Procesos del modelo de operación de la empresa. A Procesos de tecnología de información (TI). A Aplicaciones de computador ó Módulos de ERPs. Seguimientos a auditorías efectuadas por terceros. Otros tipos de revisiones.
Planeación Anual de la Auditoría Interna.
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
86
Módulo 3: Planeación Anual de laAuditoría Basada en Riesgos
AUDIRISK elabora el plan anual de auditoría y controla su ejecución,a través de los siguientes pasos:
2. Por cada tipo de auditoría (revisiones), permite generarpanoramas de riesgo a nivel Corporativo:
Por Tipos de Auditorías Priorización de Categorías de Riesgos en los procesos del modelo
de operación de la empresa. Priorización de Categorías de Riesgos en los procesos de
tecnología de información. Priorización de Categorías de Riesgos en las Aplicaciones de
computador.
Planeación Anual de la Auditoría Interna.
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
87
Módulo 3: Planeación Anual de laAuditoría Basada en Riesgos
AUDIRISK elabora el plan anual de auditoría y controla su ejecución,a través de los siguientes pasos:
3. Elaborar programación de auditorías a realizar durante el año, deacuerdo con las prioridades asignadas por tipos de auditorías opor clases de riesgo.
4. Efectuar seguimiento al plan anual de la auditoría / Evaluar lagestión de la auditoría de acuerdo al cumplimiento del plan anual.
5. Generar reportes de planeación, seguimiento y control del plananual de auditoría.
Planeación Anual de la Auditoría Interna.
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
88
Módulo 3: Planeación Anual de laAuditoría Basada en Riesgos
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
89
Módulo 4
Desarrollo de Auditorías Basadas enRiesgos Críticos, a procesos y
sistemas de información
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
90
Desarrollo de AuditoríasPROACTIVAS Basadas en Riesgos
Críticos
1. A los procesos del Modelo de Operación de la Empresa(estratégicos, misionales, de soporte y de supervisión ycontrol).
2. A los procesos de Tecnología de Información yComunicaciones (por ejemplo, los procesos COBIT, ITIL, ISO27001).
3. A las aplicaciones de computador en producción (ó módulosde ERPs), y
4. A los componentes clave de la Infraestructura de Tecnologíade Información.
Tipos de Auditorías que soporta AUDIRISK
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
91
Módulo 4: Desarrollo de AuditoríasBasadas en Riesgos
1. Para una muestra de eventos de riesgo inherentes (por ejemplo, 30eventos), conducir el desarrollo de las fases, etapas y pasos delproceso de auditoría a los procesos del modelo de operación de laempresa, los procesos de la infraestructura de TI y las Aplicaciones deComputador.
• Planeación Basada en Riesgos.• Evaluación del Control Interno.• Pruebas de Cumplimiento.• Pruebas Sustantivas.• Generar los Informes con los resultados de la Auditoría – 4 informes.• Seguimiento a hallazgos de la auditoría.
2. Elaborar los papeles de trabajo de la auditoría – formato electrónico.3. Controlar el tiempo asignado por cada auditoría.
Objetivos:
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
92
Cómo Iniciar el desarrollo deAuditorías con AUDIRISK ?
Cómo Iniciar el desarrollo deAuditorías con AUDIRISK ?
Parametrización: Crear y conocer Ambiente deTrabajo.
Poblar tablas privadas de la Empresa en Base de Conocimientos de laEmpresa.
Conocer parámetros establecidos en el software con estándares deauditoría a emplear en la Empresa.1. Para evaluación de riesgos – inherentes y residuales.2. Para Evaluación del Control Interno Existente.3. Para Medición del cumplimiento de controles y exactitud de la información
(cifras que pudieran ser impactadas por amenazas con debilidades decontrol).
4. Estados de Auditoría.5. Estado de las Recomendaciones.6. Correos electrónicos y mensajes de Recordatorio.
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
93
Cómo iniciar o Continuar unaAuditoría con el Software AUDIRISK
Cómo iniciar o Continuar unaAuditoría con el Software AUDIRISK
Para Iniciar una Auditoría.
Crear en AUDIRISK la auditoría que será ejecutada.
Programada en el Plan Anual No Programada en el Plan Anual. A partir de la última auditoría ejecutada. A partir de estudios de gestión de riesgos desarrollados con el
software CONTROLRISK.
Seleccionar Auditoría.
Ingresar al tablero de control “Etapas de la Metodología de laAuditoría”.
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
94
Cómo iniciar o Continuar unaAuditoría con el Software AUDIRISK
Cómo iniciar o Continuar unaAuditoría con el Software AUDIRISK
Para Continuar el desarrollo de una Auditoría yaIniciada.
Ingresar al menú principal. Seleccionar empresa. Seleccionar Módulo 4 – “Auditorías Basadas en Riesgos”. Seleccionar Auditoría. Ingresar al tablero de control “Etapas de la Metodología de la
Auditoría”. Continuar con la primera etapa donde el menú se visualice
“Activo” (prendido o iluminado).
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
95
Fases del Proceso de AuditoríaBasada en Riesgos Críticos
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
96
Preauditoría
Comprensión
Cubo de laAuditoría
Id., y Análisisde Riesgos
12
3
4
MemorandoPlaneación
Caracterización
RiesgosInherentes
Críticos
Contexto deRiesgos de la
AuditoríaArchivoPermanente
Programa deTrabajo
Mapas deRiesgos Pot.
Fases y Etapas de las Auditorías con AUDIRISKFASE 1: PLANEACIÓN BASADA EN RIESGOS
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
97
Evaluar ControlesEstablecidos Pruebas de
CumplimientoPruebas
Sustantivas
56
7
8Medir Efectividadde los controles
A ExactitudDatos Claves
SeguimientoInformes Aud.
A ControlesClaves
Medir / evaluarRiesgo Residual
Hallazgos deAuditoría
Hallazgos deAuditoría
Fases y Etapas de las Auditorías con AUDIRISKFASES 2 Y 3 : EJECUCION E INFORMES DE LA AUDITORÍAFASES 2 Y 3 : EJECUCION E INFORMES DE LA AUDITORÍA
Informe de Auditoría
Informe de Auditoría
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
Hallazgos deAuditoría
Informe de Auditoría
Informe de Auditoría
AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información 98
Fase I: Planificación de la Auditoría Basada enRiesgo.
La base para la planificación y desarrollo de las Auditorías es laimportancia relativa o materialidad de las clases de riesgos del Universode Riesgos de la Empresa, a las que se expone cada proceso o sistema deinformación de la organización. Por ejemplo, en un proceso de compraspueden presentarse las siete (7) clases de riesgo del SARO y de estas solotres (3) son CRITICAS porque podrían producir las mayores pérdidas a laorganización, estimadas en el horizonte de un año (pérdida anual estimada,PAE).
Desarrollo de AuditoríasPROACTIVAS Basadas en Riesgos
Críticos
AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información 99
Fase I: Planificación de la Auditoría Basada enRiesgo.
Comprende:
1) Pre-auditoría: Definición del Memorando de Planeación de la Auditoría:objetivos, alcance y recursos, puntos de énfasis y recursos requeridos.
2) Comprensión o Entendimiento del Contexto Interno del proceso o sistema objetode la Auditoría. Elaborar Archivo Permanente o Expediente continuo de laAuditoría.
3) Identificación y Análisis de cada evento de riesgo inherente de la Muestra deEventos seleccionados por la Auditoría.
4) Elaboración del Cubo de Riesgos de la Auditoría .
Desarrollo de AuditoríasPROACTIVAS Basadas en Riesgos
Críticos
Priorizar las Clases de Riesgo- Técnica Delphy
AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información 100
AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información 101
AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información 102
103
Provee una Base de Datos de Conocimientos de Gestiónde Riesgos y procedimientos de auditoría, con “bestpractices” universales:
Clases o Categorías de Riesgos (SARO, SARLAFT, MECI, SECTOR SALUD). Cuestionarios para evaluar la “Exposición a riesgos” en los procesos y sistemas de la empresa. Eventos de riesgo Inherentes (amenazas) que podrían presentarse. Objetivos de Auditoría. Tipos y clases de Auditorías. Objetivos de control. Controles Aplicables, Cuestionarios y Checklists de Controles (CSA: Control Self Assessment). Tipos de Hallazgos de Auditoría. Técnicas de auditoría. Cuestionarios para evaluar satisfacción de criterios de la información de negocios (de calidad,
seguridad, confiabilidad y cumplimiento). Modelos de Procesos de TIC (COBIT, ISO 27001) y Escenarios de Riesgo aplicables a TICs según
marcos de referencia universales vigentes (Controles Generales y Controles de Aplicaciones decomputador).
El software AUDIRISK
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
104
Suministrada por AUDISIS
Bases deConocimientoEstándar
AUDIRISK
• Categorías Riesgos: SARO,SARLAFT, MECI, AUDIRISK.
• Eventos de Riesgo (amenazas).
* Controles.
* Escenarios de riesgo: de TI,aplicaciones y a la medida.
* Técnicas de auditoria.
* Objetivos de Control.
• Modelos de evaluación deriesgos y Controles.
Best Practices sobre
* Riesgos – Amenazas de Riesgo.
* Amenazas de Riesgo – Controles.
• Escenarios - Objetivos de Control.
Articulaciones entre
Base de Conocimientos Estándar
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
105
Por cada Auditoría “Basada en Riesgos Críticos”realizada con AudiRisk:INPUT
Base de Datos de Conocimientos de Gestión de Riesgos y Auditoríasuministrada con AUDIRISK. Punto de partida para la planeación y desarrollo de lasauditorías Basadas en Riesgos Críticos en la Empresa.
OUTPUT
1. Papeles de Trabajo de la Auditoría: Elementos de la base de conocimientosaplicables al proceso o sistema objeto de auditoría, incrementada con elementosparticulares de las operaciones de cada proceso o sistema.
2. Base de Conocimientos Actualizada: “Best Practices” de la Base deConocimientos de entrada, incrementada con prácticas especificas utilizadas porla Empresa, identificadas en el desarrollo de la auditoría realizada con AUDIRISK.
El software AUDIRISK
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
106
Bases de Conocimientos con Resultadosde las Auditorías
Base de laEmpresa- Antesde la Auditoria
Proceso deNegocio
Base de Datos de la Empresaincrementada con Riesgos,Amenazas, Controles,técnicas de auditoria y otraspracticas utilizadas.
BC de la Empresa
Base de Trabajo
Cubo de Riesgos para la Auditoría.
Guías de Control personalizadas.
Evaluación de Controles Existentes.
Diseño de Pruebas deCumplimiento y Sustantivas.
Hallazgos de Auditoría.
Informe de la Auditoría.
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
Riesgos Inherentes: Eventos negativos (amenazas) que pueden presentarse enlas actividades y servicios del proceso o sistema y obstruir la consecución de losobjetivos estratégicos y de las operaciones de negocio de la Organización. En laestimación de su SEVERIDAD no se tienen en cuenta los controles establecidos.Punto de partida de la Auditoría: Verificar que la empresa está protegidaadecuadamente para una muestra de riesgos inherentes que podríanpresentarse.
Riesgo Residual: Riesgo que permanece o persiste después de Evaluación deControl Interno y Pruebas de Auditoría, para la muestra de eventos negativos(amenazas) críticos seleccionados por la auditoría.Punto de llegada de la Auditoría: Determinar si el riesgo residual asumido por laempresa es aceptable.
Auditoría Basada en Riesgos a losProcesos y Sistemas de la Empresa
Considera dos (2) Estados de los Riesgos para una Muestrade Riesgos Inherentes seleccionados por la Auditoría.
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información 107
Medición Severidad del RiesgoInherente
Medición Severidad del RiesgoInherente
AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información . 108
Escala para evaluar Severidadde los Riesgos
109
Niveles deSeveridad del
Riesgo(Inherente oResidual )
Consecuencias en caso de Presentarse
1: BajoLa ocurrencia del evento (amenaza) tendría consecuencias leves, tolerables por laorganización. Se puede gestionar mediante procedimiento de rutina. En caso depresentarse no desestabiliza a la organización.
2: ModeradoEn caso de presentarse ocasionaría consecuencias que superan el nivel de toleranciade la organización. Requiere atención de la Gerencia. Debe ser gestionado concontroles para disminuir su impacto o la frecuencia de ocurrencia.
3: AltoEn caso de presentarse ocasionaría consecuencias financieras y operacionales deimpacto severo o significativo para la organización. Es necesaria la atención inmediatade la Gerencia. Debe gestionarse con acciones para transferir el riesgo a terceros,dispersar el riesgo y reducir su impacto o la frecuencia de ocurrencia.
4: ExtremoSu ocurrencia ocasionaría consecuencias financieras y operacionales de impactocatastrófico para la organización. Es necesaria la atención inmediata de la Gerencia.Debe gestionarse con mecanismos para evitar su ocurrencia o transferir el riesgo aterceros, dispersar el riesgo y reducir su impacto o la frecuencia de ocurrencia.
AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información .
Auditoría Basada en RiesgosCríticos
Auditoría Basada en RiesgosCríticos
AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información 110
Fase II: Ejecución de la Auditoría Basada en RiesgosCríticos.
Para los eventos de riesgo inherentes seleccionados en lamuestra de auditoría, comprende:1) Evaluación del Diseño y Efectividad de los Controles Existentes: por cada evento
de riesgo inherente.2) Diseño, Planeación y Ejecución de Pruebas de Cumplimiento, para los controles
de los eventos de riesgo que ofrecen protección APROPIADA.3) Diseño, Planeación y Ejecución de Pruebas Sustantivas, a los datos impactados
por los eventos de riesgo que presentan DEBILIDADES DE CONTROL.4) Generación de informes con los resultados de la Auditoría.
Desarrollo de AuditoríasPROACTIVAS Basadas en Riesgos
Críticos
Criterios para Evaluar la Efectividad de los ControlesEstablecidos
Niveles deEfectividad delos Controles
Criterios de Evaluación / Significado de la Efectividad de los ControlesEstablecidos por cada Evento de Riesgo Inherente (Amenaza)
1: ApropiadaLos controles establecidos son efectivos (eficaces y eficientes) para reducir losriesgos potenciales a nivel aceptable o tolerable de riesgo residual.Satisfacen los 3 anillos de seguridad y el nivel de automatización es aceptableo el costo beneficio es razonable.
2: MejorableLos controles satisfacen los 3 anillos de seguridad (preventivo, detectivo ycorrectivo), pero no son eficientes o tienen bajo nivel de automatización
3:Insuficiente
Los controles utilizados no satisfacen los tres anillos de seguridad. Senecesitan controles adicionales.
4: DeficienteLos controles utilizados no satisfacen los tres anillos de seguridad y no soneficientes o tienen bajo nivel de automatización. Se necesitan controlesadicionales
5: MuyDeficiente
No existen controles o los que se utilizan no sirven para controlar los riesgospotenciales.
Auditoría Basada en RiesgosCríticos
Auditoría Basada en RiesgosCríticos
AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información 111
Ries
go In
here
nte 4: Extremo Bajo Moderado. Alto. Extremo Extremo
3: Alto Bajo Moderado. Alto. Alto. Alto.
2: Moderado Bajo Moderado. Moderado. Moderado. Moderado.
1: Bajo Bajo Bajo Bajo Bajo Bajo
1: Apropiada 2: Mejorable 3: Insuficiente 4: Deficiente 5: MuyDeficiente
Efectividad de los Controles (ProtecciónExistente)
Medición de Riesgos Residuales, después de evaluar y verificarlos Controles Establecidos - MODELO "AUDISIS“
Auditoría Basada en RiesgosCríticos
Auditoría Basada en RiesgosCríticos
AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información . 112
Evento (Amenaza): Robo de dinero en cajero automático (ATM), por suplantación delpropietario de la tarjeta.
Riesgo Potencial (Inherente): Evento de riesgo al que se expone el Banco (usuario), de acuerdocon la naturaleza y modo de operación del cajero automático . En su evaluación no se tienen encuenta los controles establecidos.
Evaluación Severidad, antes de Controles : E - Extremo.Acciones de Respuesta: Reducir (mitigar) el riesgo.
Controles:• Preventivos: Uso de tarjeta y PIN. Políticas de seguridad para uso de cajero automático.
• Detectivos: Validar que tarjeta y PIN coincidan. Informar desviación (mensaje) y bloquear.• Correctivos: Reemplazar la tarjeta bloqueada y asignar nuevo PIN.
Efectividad de los Controles. 1: Apropiada.Riesgo Residual: Riesgo que permanece después de Evaluación de Controles yPruebas de Auditoría. Riesgo no protegido o no cubierto por los controles establecidos.Evaluación Severidad: B - Bajo (Tolerable).
Aplicación del enfoque de los (3) Anillos deSeguridad o Líneas de Defensa - Ejemplo.
AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información . 113
114
El conjunto de controles que actúan sobre cada evento de riesgo inherente,deberá satisfacer dos de los tres siguientes criterios de Efectividad:
Eficacia:Los controles se orientan a reducir el riesgo (eliminan las vulnerabilidades yagentes generados que pudieran explotar esas vulnerabilidades y materializar elevento de riesgo crítico?. Se dispone al menos una vez los tres anillos de control: Preventivo,
Detectivo y Correctivo?. Al menos 3 controles que hagan SINERGIA.Criterio Obligatorio. Calificación Promedio nivel de automatización (por clase) y discrecionalidad
es superior a 3.5?.Eficiencia
Relación C / B. Beneficios mayores que los costos?. : Calificación: Razonable(R) o No Razonable (NR).El costo de los controles por amenaza es máximo el 10% del valor de losactivos que pudieran ser impactados por el evento de riesgos
Efectividad: Eficacia + Eficiencia.
Criterios para Evaluar Efectividadde los Controles Establecidos
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
Enfoque de las Tres Anillos de Seguridad oLíneas de Defensa para los Eventos de Riesgo
115AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
Los tres (3) Anillos de Seguridad o Líneas deDefensa.Los controles actúan sobre los eventos de riesgo inherentes de tresmaneras, interdependientes: Como control Preventivo. Condicionan los actos de la organización
para asegurar que ocurran de manera preestablecida – Sonestándares de actuación.
Como control Detectivo. Para detectar, registrar e informar laocurrencia de la amenaza (son alarmas que se disparan cuando sedetecta que está presentándose la amenaza). Refuerzan y validanel control preventivo. Hacen pareja con el control preventivo.
Como control Correctivo. Obligan a tomar acción correctiva pararesolver el problema detectado por los controles detectivos. Hacenpareja con los controles detectivos.
116AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
Etapa 5: Evaluación del ControlInterno Existente
Etapa 5: Evaluación del ControlInterno Existente
El enfoque de los 3 Anillos deSeguridad ó Líneas de Defensa
117AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
Escala para Evaluar Efectividad de losControles
118
Efectividad delos Controles
Significado de la Efectividad de los Controles Establecidos por cada Amenaza(riesgo potencial)
1: ApropiadaLos controles establecidos son efectivos (eficaces y eficientes) para reducir losriesgos potenciales a nivel aceptable o tolerable de riesgo residual.Satisfacen los 3 anillos de seguridad y el nivel de automatización es aceptableo el costo beneficio es razonable.
2: MejorableLos controles satisfacen los 3 anillos de seguridad (preventivo, detectivo ycorrectivo), pero no son eficientes o tienen bajo nivel de automatización
3:Insuficiente
Los controles utilizados no satisfacen los tres anillos de seguridad. Senecesitan controles adicionales.
4: DeficienteLos controles utilizados no satisfacen los tres anillos de seguridad y no soneficientes o tienen bajo nivel de automatización. Se necesitan controlesadicionales
5: MuyDeficiente
No existen controles o los que se utilizan no sirven para controlar los riesgospotenciales.
AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información .
Etapa 5: Evaluación del ControlInterno Existente
Etapa 5: Evaluación del ControlInterno Existente
Clases de Controles CalificaciónAutomáticos no discrecionales (Clase A). Los
controles son automatizados y se aplican sin excepciones a
todo el universo.
5.0 puntos
Automáticos discrecionales (Clase B). Los controles
son automáticos y aplican solo a una parte del Universo.
4.5 puntos
Manuales no discrecionales(Clase C). Los controles
son manuales y se aplican sin excepciones a todo el universo.
4.0 puntos
Manuales discrecionales(Clase D). Los controles son
manuales y aplican solo a una parte del Universo.
3.5 puntos
Grado de Automatización /Discrecionalidad de los Controles
Criterio de Aceptación:La calificación promedio de los controles por clase, por cada amenaza,deberá ser mayor que 3.5
119AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información .
Eficiencia de los controles por Amenaza:Según el costo / beneficio del conjunto de controles que actúan sobre cadaamenaza.
Eficiencia
Bene
ficio
s
Alto 5: Muy Alta 4: Alta3:
Moderada
Moderado 4: Alta3:
Moderada 2: Baja
Bajo 3: Moderada 2: Baja 1: Muy Baja
Bajo Moderado AltoCostos
RAZONABLE (R )NO RAZONABLE (NR)
Criterio de Aceptación:La calificación promedio de la eficiencia de los controles, por cadaamenaza, deberá ser mayor o igual a 4.0 (Razonable)
Etapa 5: Evaluación del ControlInterno Existente
Etapa 5: Evaluación del ControlInterno Existente
120AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información .
Ries
go In
here
nte 4: Extremo Bajo Moderado. Alto. Extremo Extremo
3: Alto Bajo Moderado. Alto. Alto. Alto.
2: Moderado Bajo Moderado. Moderado. Moderado. Moderado.
1: Bajo Bajo Bajo Bajo Bajo Bajo
1: Apropiada 2: Mejorable 3: Insuficiente 4: Deficiente 5: MuyDeficiente
Efectividad de los Controles (ProtecciónExistente)
Mapas de Riesgos Residuales, después de evaluar efectividad(o de verificar) los Controles Establecidos
121AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
Etapa 5: Evaluación del ControlInterno Existente
Etapa 5: Evaluación del ControlInterno Existente
Evaluación Efectividad / Protecciónde los Controles, por Amenaza
Protección existente (PE)- Método AUDISIS
Satisfacción de los Criterios de EvaluaciónEfectividad
RI - Antes de ControlesEstandar AS/NZ e ISO 31000
RR - Despues deControles
1: APROPIADA
Se satisfacen los 3 anillos de control y por lo menosuno de los otros dos criterios (C/B = Razonable y/oCalificación promedio de los controles superior a 3.5puntos)
4: Extremo 1: Tolerable3: Alto 1: Tolerable2: Moderado 1: Tolerable1: Bajo (Tolerable) 1: Tolerable
2: MEJORABLE Se satisfacen los 3 anillos de control, únicamente
4: Extremo 2: Moderado3: Alto 2: Moderado2: Moderado 2: Moderado1: Bajo (Tolerable) 1: Bajo
4: INSUFICIENTEÚnicamente se satisfacen los dos criterios diferentesde los 3 anillos (C/B = Razonable y/o Calificaciónpromedio de los controles superior a 3.5 puntos)
4: Extremo 3: Alto3: Alto 3: Alto2: Moderado 2: Moderado1: Bajo (Tolerable) 1: Tolerable
4: DEFICIENTE
Se satisface únicamente uno de los dos criteriosdiferentes de los 3 anillos (C/B = Razonable y/oCalificación promedio de los controles superior a 3.5puntos)
4: Extremo 4: Extremo3: Alto 3: Alto2: Moderado 2: Moderado1: Bajo (Tolerable) 1: Bajo (Tolerable)
5: MUY DEFICIENTE No existen controles
4: Extremo 4: Extremo3: Alto 3: Alto2: Moderado 2: Moderado1: Bajo (Tolerable) 1: Bajo (Tolerable)
122AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
123
Informe con los Resultados de la Auditoría -Evaluación de Efectividad de los Controles Existentes / Establecidos
Ejemplo: Evaluación Efectividad de los Controles porEscenario de riesgo.
Amenazas RiesgoInherente
EfectividadControles
Establecidos -Etapa 5
RiesgoResidual
Hallazgos deAuditoría
Omitir Investigación Antecedentesdel cliente E: Extremo 1: Apropiada B: Bajo / Tolerable
Girar Cheques con una sola firma A: Alto 2: Mejorable M: Moderado 1
Omitir cifras de cuadre diario E: Extremo 3: Insuficiente A: Alto 2,3Alterar cifras registradas en labase de datos de cuentascorrientes
A: Alto 4: Deficiente A: Alto4,5
Alterar registros de Soporte deIngresos M: Moderado 5: Muy deficiente M: Moderado 6
Falsificar firmas en los cheques M: Moderado 2: Mejorable B: Bajo / Tolerable
Falsificar comprobantes dedepósito M: Moderado 3: Insuficiente M: Moderado 7
Falsificar Cheques A: Alto 1: Apropiada B: Bajo / Tolerable
Promedio en el Escenario A: Alto 3: Insuficiente 2: Moderado
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
124
Selección de Eventos de Riesgo(Amenazas) para Pruebas de Auditoría
Selección de Amenazas para Pruebas de Auditoría, segúnresultados de la Evaluación del Control Interno.
Eventos de Riesgo Inherentes(Amenazas)
RiesgoInherente
Efectividad ControlesEstablecidos - Etapa 5
Pruebas deCumplimiento
Etapa 6
Controles averificar
PruebasSustantivas -
Etapa 7Datos a Verificar
Omitir InvestigaciónAntecedentes del cliente E: Extremo 1: Apropiada Si 1,3,10, 12
Girar Cheques con una sola firma A: Alto 2: Mejorable Si 3,5,8
Omitir cifras de cuadre diario E: Extremo 3: Insuficiente Si Vr Efectivo recibido; VrEfectivo pagado
Alterar cifras registradas en labase de datos de cuentascorrientes
A: Alto 4: Deficiente Si Saldo disponible; vrcheques pagados
Alterar registros de Soporte deIngresos M: Moderado 5: Muy deficiente Si Vr depósitos recibidos;
Falsificar firmas en los cheques M: Moderado 2: Mejorable Si 1,2,3,5
Falsificar comprobantes dedepósito M: Moderado 3: Insuficiente Si Saldo disponible
Falsificar Cheques A: Alto 1: Apropiada Si4,7,9
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
125
• Estas pruebas se realizan por SITIO DE PRUEBA.• Una dependencia (área organizacional o tercero) puede tener varios Sitios de
Prueba.• Por cada amenaza se mide el porcentaje (%) de cumplimiento de los controles
establecidos y el Riesgo Residual (RR).• Por cada amenaza que tenga porcentaje de cumplimiento de los controles inferior
al 80%, se generan hallazgos de auditoría.• Por cada Sitio de Prueba se produce informe con los resultados de la Verificación
del Cumplimiento de los Controles establecidos (Informes ejecutivo y detallado).• Los informes de los sitios de prueba se consolidan por Dependencias.
Pruebas de Cumplimiento
Etapa 6: Logística para su Ejecución.
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
126
Resultados de las Pruebas deCumplimiento de los Controles y Riesgo
Residual
COMPARACION DE PROTECCION EXISTENTE (PE) ANTES Y DESPUES DE PRUEBAS DE LOSCONTROLES
Amenazas
Riesgo I.Antes de
Controles-Etapa 2
PE SegúnEval de
Controles-Etapa 5
% Puntaje Obtenidoen Pruebas deCumplimiento-
Etapa 6
CumplimientoSegún Pruebas
Etapa 6
PE Despuésde
Pruebas-Etapa 6
RR Despuésde Pruebas-
Etapa 6
Amenaza1
1:Extremo
1:Apropiada
83% Satisfactorio1:Apropiada
1: Tolerable
Amenaza2
2: Alto1:
Apropiada70%
NoSatisfactorio
2:Mejorable
2:Moderado
Amenaza3
5:Extremo
2:Mejorable
65%NoSatisfactorio
3:Insuficiente
3: Alto
Amenaza4
4: Alto1:
Apropiada48%
NoSatisfactorio
4:Deficiente
4: Alto
Amenaza5
4: Alto1:
Apropiada18%
NoSatisfactorio
5: MuyDeficiente
4: Alto
Ejemplo.
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
127
Criterios para Evaluar los resultados de lasPruebas de Auditoría.
Rangos % de Puntaje Obtenido
(PO)
Protección Existente (PE)Según Cumplimiento /Exactitud de la Información
Riesgo Residual – RR-(después de Pruebas )
1 Mayor del 80 % 1: Apropiada 1: Aceptable
2 Entre 60 y 80% 2: Mejorable 2: Moderado
3 Entre 40 y 60% 3: Insuficiente 3: Alto
4 Entre 20 y 40% 4: Deficiente 4: Extremo
5 Menor del 20% 5: Muy deficiente 5: Extremo
Resultados de las Pruebas de Auditoría- De Cumplimiento y Sustantivas
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
128
• Objetivo: Verificar (obtener evidencia) la exactitud de la información quemaneja el proceso, que pudiera ser impactada por amenazas con lasdebilidades o deficiencias de control en etapas 5 y 6.
• Diseño centralizado. Se diseñan y planean por técnica de auditoría,para datos que pudieran ser impactados por amenazas con debilidadesde control interno (protección NO APROPIADA en etapa 5) o que enetapa 6 (pruebas de cumplimiento) se comprueba que no cumplensatisfactoriamente los controles establecidos.
• Ejecución Descentralizada. El plan de pruebas se aplica en múltiplesSitios de Prueba de las dependencias (Áreas organizacionales o terceros)seleccionados a criterio del auditor.
Pruebas Sustantivas
Etapa 7: Logística para su Ejecución.
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
129
Productos a Obtener. Resumen Evaluación de la Exactitudde la Información (EI) y el Riesgo Residual (RR) por ÁreasOrganizacionales / Sitios de Prueba.
Sitio 1 83.6 % 1: Satisfactorio 1: AceptableSitio2 74% 2: Mejorable 2: Moderado 1Sitio 3 32% 4: Deficiente 4: Extremo 2,3Sitio 4 61% 3: Insuficiente 3: Alto 4Promedio 41,75% 3: Insuficiente 3: Alto
Hallazgos deAuditoria
PuntajeObtenido
EI Despues dePruebas Sustantivas
Riesgo Residualdespues de Pruebas
Areas /Sitios de
Aplicar Pruebas Sustantivas
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
130
Comprende las actividades de Generación, validación y emisión de tres (3)Informes:
De la Evaluación de Control Interno Existente – Etapa 5. Paralas 3 dimensiones del Cubo de Riesgos.De las Pruebas de cumplimiento – Etapa 6.• Por sitios de prueba.• Por Áreas Organizacionales – varios sitios de prueba.• Consolidado del proceso a nivel organización.
De las Pruebas Sustantivas – Etapa 7.• Por sitios de prueba.• Por Áreas Organizacionales – varios sitios de prueba.• Consolidado del proceso a nivel organización.
Fase III: Comunicación de Resultados de laAuditoría.
Desarrollo de AuditoríasPROACTIVAS Basadas en Riesgos
Críticos
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información 131
Fase IV: Seguimiento a Hallazgos de Auditoría yAcciones de Mejoramiento.
Comprende actividades de planeación (elaborar plan),ejecución de seguimiento e informe de seguimiento de tres (3)Informes:
De Control Interno Existente – Etapa 5.De Pruebas de cumplimiento – Etapa 6.De Pruebas Sustantivas – Etapa 7.
Desarrollo de AuditoríasPROACTIVAS Basadas en Riesgos
Críticos
AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información 132
Fase IV: Seguimiento a Hallazgos de Auditoría yAcciones de Mejoramiento.
• Se realiza por Sitios de Prueba, en diferentes fechas de corte.• Generación y envío automático de Correos Electrónicos de
Recordatorio, a responsables de implantar, supervisar y hacerseguimiento a acciones de mejora.
• Genera estadísticas del estado de implantación de lasrecomendaciones y acciones de mejora (implantadas, enproceso, pendientes de atender, anulados).
Desarrollo de AuditoríasPROACTIVAS Basadas en Riesgos
Críticos
Módulo 5:Gestión de Resultados de
la Auditoría
133AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
134
Genera estadísticas y gráficos sobre las auditoríasrealizadas con AUDIRISK durante un periodo de tiempo.
Auditorías Planeadas Vs Auditorias Ejecutadas.
Estadísticas de Hallazgos informados en el periodo, por auditorías ytipos de Auditorías (Procesos del Modelo de Operación, Procesos de TI,Aplicaciones de Computador).
• Cantidad y Porcentaje de Hallazgos de Auditoría sobre Diseño de ControlesInternos.
• Cantidad y Porcentajes de Hallazgos de Auditoría sobre Pruebas deCumplimiento.
• Cantidad y Porcentajes de Hallazgos de Auditoría sobre Pruebas Sustantivas.
Módulo 5:Gestión de Resultados de la Auditoría
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
135
Genera estadísticas y gráficos sobre las Auditoríasrealizadas con AUDIRISK durante un periodo de tiempo.
Estadísticas sobre cantidad y porcentaje de recomendacionesemitidas en el periodo, por auditoría, tipos de auditorías y Sitiosde Prueba.
• Recomendaciones sobre Efectividad (Diseño) de ControlesInternos.
• Recomendaciones sobre Pruebas de Cumplimiento.• Recomendaciones sobre Pruebas Sustantivas.
Módulo 5:Gestión de Resultados de la Auditoría
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
136
Genera estadísticas y gráficos sobre las auditoríasdesarrolladas con AUDIRISK durante un periodo detiempo.
Estadísticas sobre el Estado de Atención de lasrecomendaciones emitidas en el periodo, por auditoría, tipos deauditorías y Sitios de Prueba.
• Recomendaciones de Auditoría sobre Efectividad (Diseño) deControles Internos.
• Recomendaciones de Auditoría sobre Pruebas de Cumplimiento.• Recomendaciones de Auditoría sobre Pruebas de Cumplimiento.
Módulo 5Gestión de Resultados de la Auditoría
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
137
Genera estadísticas y gráficos sobre las auditoríasdesarrolladas con AUDIRISK durante un periodo detiempo.
Estados de Atención de las recomendaciones emitidas porla Auditoría, en el periodo.
• Implantada.• En Proceso.• Pendiente (por iniciar implantación).• Anulada.
Módulo 5:Gestión de Resultados de la Auditoría
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
138
Módulo 5:Informes de Gestión de la Auditoría
2015
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
139
Beneficios de UtilizarAUDIRISK?
Beneficios de UtilizarAUDIRISK?
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
140
Beneficios CorporativosBeneficios CorporativosCon el Enfoque Proactivo y Preventivo deAUDIRISK:
Se incrementa la calidad, confiabilidad y eficiencia delos servicios de auditoría.
La auditoría ofrece mayor valor agregado a la empresa.
Promueve el mejoramiento de la cultura de mediciónde efectividad, eficiencia y cumplimiento de loscontroles internos.
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
141
Beneficios para las Dependenciasque manejan las Operaciones
Beneficios para las Dependenciasque manejan las Operaciones
Recibirán informes de auditoría más proactivos yasesores.
Los resultados de la auditoría servirán comoapoyo para promover la eficiencia y efectividaddel monitoreo de los controles que debenrealizar los propietarios de la información denegocios.
Recibirán informes de auditoría más proactivos yasesores.
Los resultados de la auditoría servirán comoapoyo para promover la eficiencia y efectividaddel monitoreo de los controles que debenrealizar los propietarios de la información denegocios.
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
Con el Enfoque Proactivo y Preventivo deAUDIRISK:
142
Beneficios para el Departamentode Auditoría
Beneficios para el Departamentode Auditoría
Se facilita un cambio real en la imagen del departamentodentro de la organización, basado en: Auditorías más proactivas y preventivas que
reactivas y a posteriori. Imagen del auditor “asesor-consultor” de la
Organización. Incrementa productividad, eficiencia y efectividad de
la auditoría.
Se facilita un cambio real en la imagen del departamentodentro de la organización, basado en: Auditorías más proactivas y preventivas que
reactivas y a posteriori. Imagen del auditor “asesor-consultor” de la
Organización. Incrementa productividad, eficiencia y efectividad de
la auditoría.
AUDIRISK: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información.
Con el Enfoque Proactivo y Preventivo deAUDIRISK:
143
Estandariza los procedimientos y prácticas de auditoría(planeación, ejecución, informes y seguimiento) en las revisionesde los procesos de negocio o sistemas de información sujetos aauditoría.
Automatiza los procedimientos y prácticas de auditoría paraevaluación de riesgos, evaluación y verificación de controles,verificación de exactitud de la información y seguimiento arecomendaciones de la auditorías.
Beneficios para elDepartamento de Auditoría
Beneficios para elDepartamento de Auditoría
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
Con el Enfoque Proactivo y Preventivo deAUDIRISK:
144
Beneficios para el Departamentode Auditoría
Beneficios para el Departamentode Auditoría
Automatiza la actualización y consulta de bases deconocimientos que contienen las “best practices” deadministración de riesgos, control interno y auditoríautilizadas por la empresa en sus procesos de negocio y detecnología de información.
Automatiza la actualización y consulta de bases deconocimientos que contienen las “best practices” deadministración de riesgos, control interno y auditoríautilizadas por la empresa en sus procesos de negocio y detecnología de información.
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
Con el Enfoque Proactivo y Preventivo deAUDIRISK:
145
Beneficios para el AuditorBeneficios para el Auditor
Motiva cambios importantes en la imagen y credibilidadde los auditores:
Mejorar su imagen, efectividad y credibilidaddentro de la organización.
Obtener mayor credibilidad y aceptación en lacomunidad profesional.
Motiva cambios importantes en la imagen y credibilidadde los auditores:
Mejorar su imagen, efectividad y credibilidaddentro de la organización.
Obtener mayor credibilidad y aceptación en lacomunidad profesional.
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
Con el Enfoque Proactivo y Preventivo deAUDIRISK:
146
Beneficios para el AuditorBeneficios para el Auditor
Los auditores crecen profesionalmente con latransferencia tecnológica que reciben.
Los auditores actúan más como asesores quecomo investigadores.
Los auditores crecen profesionalmente con latransferencia tecnológica que reciben.
Los auditores actúan más como asesores quecomo investigadores.
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
Con el Enfoque Proactivo y Preventivo deAUDIRISK:
147
En Colombia.
Sector Industrial.
• Petróleos del Norte . PETRONORTE.• Caracol TV.• Oleoducto Central de Colombia- OCENSA.• Lafayette S.A.• G y J Ferreterías.• Alambres y Mallas.• Consorcio Metalúrgico Nacional Colmena Ltda.• Monómeros Colombo Venezolanos.
Usuarios de AUDIRISK enColombia y el Exterior
Usuarios de AUDIRISK enColombia y el Exterior
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
148
En Colombia.
Sector Financiero.• Acciones y Valores S.A. Comisionistas.• Crezcamos – Ahorro y Crédito. Bucaramanga.• Financiera Andina - Finandina S. A.• Fundación Mundial de la Mujer – Bucaramanga.• FINAGRO.• Crediservir – Cooperativa de Ahorro y Crédito – Ocaña.
Sector Salud.• Salud Vida – EPS – Auditoría Interna.• Famisanar – EPS – Auditoría Interna.
Usuarios de AUDIRISK enColombia y el Exterior
Usuarios de AUDIRISK enColombia y el Exterior
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
149
En Colombia.
Cajas de Compensación Familiar.
• Comfenalco Tolima.• Caja de Compensación Comfamiliares Caldas.• Caja de Compensación Familiar de Arauca - COMFIAR.• Compensar.
Usuarios de AUDIRISK enColombia y el Exterior
Usuarios de AUDIRISK enColombia y el Exterior
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
150
En Colombia.
Entidades del Sector Público.• Policía Nacional• Empresa Electrificadora de Santander - ESSA.• Contraloría General de la República• Armada Nacional.• Instituto Nacional de Vías – INVIAS.• Instituto Agustín Codazzi.• Secretaría de Hacienda – Bogotá.
Usuarios de AUDIRISK enColombia y el Exterior
Usuarios de AUDIRISK enColombia y el Exterior
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
151
En Colombia.Sector Educativo
• Universidad Militar Nueva Granada.• Universidad Pedagógica y Tecnologíca de Colombia.• Universidad La Gran Colombia – Bogotá.• Universidad de Ibagué – Coruniversitaria.• Universidad Autónoma de Cali.• Universidad Jorge Tadeo Lozano.• Universidad EAFIT.• Universidad Santo Tomás de Bucaramanga.• Universidad Católica de Colombia.
Usuarios de AUDIRISK enColombia y el Exterior
Usuarios de AUDIRISK enColombia y el Exterior
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
152
Firmas de Auditores.
• MGI Páez y Asociados Auditores y Consultores.• Nexia Montes y Asociados.• Colombian Consulting Group.• Datos y Procesos (Pasto).
Usuarios de AUDIRISK enColombia y el Exterior
Usuarios de AUDIRISK enColombia y el Exterior
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
153
En el Exterior.
• Cooperativa Sagrada Familia- Tegucigalpa – Honduras.• Universidad Peruana Unión (UPEU).• Banco Central de la República Dominicana.• Banco Central del Ecuador.• Banco Centroamericano de Integración Económica
(BCIE) - Honduras.• Banco Santacruz – Bolivia.• Cervecería de Costa Rica.• Instituto Nacional de Seguros (Costa Rica).
Usuarios de AUDIRISK en Colombiay el Exterior (cont.)
Usuarios de AUDIRISK en Colombiay el Exterior (cont.)
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
154
En el Exterior.
• Auditoría General de Bancos (Costa Rica).• Banco Nacional de Costa Rica.• Cía. Nal. de Fuerza y Luz (Costa Rica).
Usuarios de AUDIRISK enColombia y el Exterior (cont.)
Usuarios de AUDIRISK enColombia y el Exterior (cont.)
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.
155
Gracias por su Atención
Hasta Pronto !
Para conocer el software ingrese a www.softwareaudisis.com
AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.