AUDIRISK Web Software de Auditoría Basada en Riesgos

Transcripción

1 AUDIRISK Web Software de Auditoría Basada en Riesgos Versión AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información. 1

2 Contenido AudiRisk: Qué es y para Qué Sirve?. Características del Software AudiRisk. Especificaciones Generales y Técnicas del Software AudiRisk. Presentación de Módulos Componentes del Software AudiRisk. Beneficios de Utilizar AudiRisk. Usuarios del software AudiRisk. AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información. 2

3 El Software AUDIRISK Qué es y para que sirve? Es una aplicación WEB(Cloud Computing) para asistir a los Auditores en la administración y realización de Auditorías Basadas en Riesgos Críticos, Auditorías de Sistemas de Gestión y el seguimiento a Informes de Auditorías realizadas por terceros. Consta de seis (6) módulos interrelacionados: Módulo 1: Planeación Anual de la Auditoría (Interna ó Externa) Basada en Valoración de la Exposición a Riesgos. Módulo 2: Auditorías Basadas en Riesgos Críticos para procesos y sistemas de información. Módulo 3: Seguimiento a Informes de Auditorías efectuadas por terceros. Módulo4:InformesdeGestióndelaAuditoría. Módulo5: AuditoríasdeSistemasdeGestión -NormaISO Módulo 6: Administración de Usuarios. AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información. 3

4 El Software AUDIRISK El software AUDIRISK consta de 6 módulos: AUDIRISK : Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 4

5 El Software AUDIRISK? Qué es y para que sirve? AUDIRISK asiste la administración y realización de cuatro (4) tipos de Auditorías Basadas en Riesgos: A Procesos del modelo de operación de la Empresa (estratégicos, misionales, de apoyo y de evaluación), A Procesos de Tecnología de Información (modelos COBIT, ITIL), A la Infraestructura de Tecnología de Información y Comunicaciones(TICs). A Sistemas de Información Automatizados (Aplicaciones de Computador) en desarrollo o en producción o módulos de ERPs. AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información. 5

6 El Software AUDIRISK? Qué es y para que sirve? AUDIRISK asiste la administración y realización de Auditorías de Sistemas de Gestión: GestióndelaCalidad. Gestión de Seguridad de la Información (ISO 27001). Gestión Ambiental. Gestión de Seguridad y Salud Ocupacional (OHSAS). Gestión de Continuidad del Negocio. Gestión de Servicios. AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información. 6

7 El Software AUDIRISK MODULO 1: Planeación Anual de la Auditoría Interna, Basada en Valoración de la Exposición a Riesgos. Crear Ambiente de Trabajo. Procesar Cuestionarios. Elaborar Plan Anual de la Auditoria. Efectuar Seguimiento al desarrollo del Plan Anual. Crear Ambiente de Trabajo Ingresar Trabajos Candidatos a ser Auditados, por tipo de auditoría. Crear / Generar Cuestionarios con Factores de Riesgo, por tipo de auditoría. Seleccionar Categorías de Riesgo aplicables. Asignar Impacto de las categorías de riesgos a los factores de riesgo, por tipo de auditoría. 7 AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información.

8 El Software AUDIRISK MODULO 1: Planeación Anual de la Auditoría, Basada en Valoración de la Exposición a Riesgos. Crear Ambiente de Trabajo. Procesar Cuestionarios Por tipo de Auditoría. Elaborar Plan Anual de la Auditoria. Efectuar Seguimiento al desarrollo del Plan Anual. Procesar Cuestionarios por tipo de Auditoría: Ingresar respuestas por cada trabajo de auditoría. Priorizar trabajos según exposición a riesgos (nivel de seguridad requerida). Identificar Categorías de Riesgo Críticas por cada trabajo. Identificar factores de riesgo críticos por cada trabajo Elaborar Matriz de Planeación Anual. Trabajos de Auditoría priorizados Vs. Exposición a riesgos. Priorización de la Exposición a Riesgos por Categorías de Riesgo. AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información. 8

9 El Software AUDIRISK Qué es y para que sirve? MODULO 2: Auditorías Basadas en Riesgos Críticos a procesos y sistemas de información automatizados Planeación detallada, - Identificación y evaluación de Riesgos inherentes. Evaluación Efectividad del Control Interno Existente, para los riesgos inherentes críticos. Pruebas de Auditoría - De cumplimiento y sustantivas. Para los riesgos críticos que las requieran Comunicación de Resultados Informes de Auditoría. Seguimiento a los Hallazgos de la Auditoria. AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información. 9

10 El Software AUDIRISK Qué es y para que sirve? MODULO 2: Desarrollo / Ejecución de Auditorías Individuales Basadas en Riesgos Críticos a procesos y sistemas de información. Etapa 1: Pre auditoría: Objetivos, alcance, recursos a emplear y programa de trabajo de la Auditoría. Etapa 2: Comprensión del proceso o sistema (Familiarización). Etapa 3:Identificar, documentar y Evaluar Riesgos Inherentes Críticos. Etapa 4: Definir Contexto de Riesgos de la Auditoría (Cubo de riesgos). Etapa 5: Evaluar Efectividad del Control InternoExistente Informe de Auditoría. Etapa 6: Pruebas de Cumplimiento: diseño, evaluación e informe de auditoría. Etapa 7: Pruebas Sustantivas: diseño, evaluación e informe de auditoría. Etapa 8: Seguimiento a Hallazgos y Recomendaciones de la Auditoria. AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información. 10

11 Desarrollo de Auditorías Basadas en Riesgos AUDIRISK : Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información 11

12 El Software AUDIRISK MODULO 3: Informes sobre Gestión de la Auditoría en un periodo de tiempo. Informes de Gestión de la Auditoría. Estadísticas y gráficos de Auditorías realizadas en periodos de tiempo: Hallazgos de Auditoría: Control Interno (CI), pruebas de Cumplimiento (PC) y pruebas Sustantivas (PS). Recomendaciones Emitidas: CI; PC; PS. Estado de las Recomendaciones. Auditorias Programadas y Ejecutadas. Horas Cargables por Auditoría y Auditor. Costos por Auditoria y Auditor. AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información 12

13 El Software AUDIRISK Qué es y para que sirve? MODULO 4: Seguimiento a Hallazgos y Recomendaciones de Auditorías efectuadas por terceros. Revisorías Fiscales. Auditorías Financieras Externas efectuadas por Firmas de Contadores Públicos. Otras Auditorias Externas Especializadas (de Sistemas, de Seguridad, de calidad, etc,). Auditorias efectuadas por organismos de control del Estado (Contralorías, Superintendencias, etc). AUDIRISK: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información. 13

14 MODULO 5: El Software AUDIRISK Qué es y para que sirve? Auditorías de Sistemas de Gestión Planeación de la Auditoría. Ejecución de la Auditoría. Informe con resultados de la auditoría. Seguimiento al plan de mejoramiento. AUDIRISK : Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información. 14

15 El Software AUDIRISK Qué es y para que sirve? MODULO 6: Administración de Usuarios Asignar Perfiles de acceso. Asignación de Auditores a Auditorías. Cambio / Inactivación de passwords. Copias de Seguridad (Backups). 15

16 El software AUDIRISK Qué significa Basada en Riesgos? La auditoría utiliza como criterio de Selectividad, los RIESGOS INHERENTES CRITICOS. Las Auditorías se planean y desarrollan para revisar procedimientos, controles e información relacionada con los riesgos inherentes críticos (E: Extremo; A: Alto, M: Moderado) de los procesos del modelo de operación de la empresa, los procesos de TI o las aplicaciones de computador. El examen de la Auditoría tiene un enfoque más proactivo y preventivo, que reactivo o a posteriori. La revisión de la auditoría considera siete (7) elementos del riesgo: activos impactados, amenazas (eventos negativos), vulnerabilidades, agentes generadores, exposición, consecuencias y controles establecidos. AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información. 16

17 El software AUDIRISK Qué significa Basada en Riesgos? Las Auditorías se planean y desarrollan para revisar procedimientos, controles e información relacionada con los riesgos inherentes críticos (E: Extremo; A: Alto, M: Moderado) de los procesos del modelo de operación de la empresa, los procesos de TI o las aplicaciones de computador. El examen de la Auditoría tiene un enfoque más proactivo y preventivo, que reactivo o a posteriori. La revisión de la auditoría considera siete (7) elementos del riesgo: activos impactados, amenazas (eventos negativos), vulnerabilidades, agentes generadores, exposición, consecuencias y controles establecidos. AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información. 17

18 Los 7 Elementos del Riesgo Que son dañados por? 2. Amenazas Explotan 3. Agentes Generadores 1. Activos Que protegen? 7. Salvaguardas (Controles) 4. Vulnerabilidades Que resultan en? 5. Exposiciones Que es mitigado por? 6. Riesgo Que es? AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información. 18

19 Medición del Riesgo Inherente - Estándares ISO AS/ NZ NTC 5254 AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información. 19

20 Mapa de Riesgos Inherentes- Estándares ISO y AS/ NZ 4360 (NTC 5254) Evaluación de la Exposición a Riesgos Niveles de Riesgo (Inherente o Residual ) 1: Bajo 2: Moderado 3: Alto 4: Extremo Consecuencias en caso de Presentarse La ocurrencia del evento (amenaza) tendría consecuencias leves, tolerables por la organización. Se puede gestionar mediante procedimiento de rutina. En caso de presentarse no desestabiliza a la organización. En caso de presentarse ocasionaría consecuencias que superan el nivel de tolerancia de la organización. Requiere atención de la Gerencia. Debe ser gestionado con controles para disminuir su impacto o la frecuencia de ocurrencia. En caso de presentarse ocasionaría consecuencias financieras y operacionales de impacto severo o significativo para la organización. Es necesaria la atención inmediata de la Gerencia. Debe gestionarse con acciones para transferir el riesgo a terceros, dispersar el riesgo y reducir su impacto o la frecuencia de ocurrencia. Su ocurrencia ocasionaría consecuencias financieras y operacionales de impacto catastrófico para la organización. Es necesaria la atención inmediata de la Gerencia. Debe gestionarse con mecanismos para evitar su ocurrencia o transferir el riesgo a terceros, dispersar el riesgo y reducir su impacto o la frecuencia de ocurrencia. AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información. 20

21 Auditoría Basada en Riesgos Críticos Considera Dos (2) Estados de los Riesgos Riesgo Potencial (Inherente): asociado con eventos negativos (amenazas) que podrían presentarse, según la naturaleza de los activos y la forma como se desarrollan las operaciones de negocio. En su estimación (E: Extremo; A: Alto, M: Moderado; B: Bajo) no se tienen en cuenta los controles establecidos. Punto de partida de la Auditoría: Su identificación y evaluación son el punto de referencia para evaluar la efectividad de los controles establecidos y diseñar las pruebas de auditoría. Riesgo Residual: Riesgo no protegido por los controles establecidos, asociado con los eventos negativos (amenazas) que podrían presentarse. Punto de llegada de la Auditoría: su evaluación es el punto de referencia para identificar los hallazgos y diseñar las recomendaciones de la auditoría. AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información. 21

22 Auditoría Basada en Riesgos Críticos Medición de Riesgos Residuales, después de evaluar y verificar los Controles Establecidos - MODELO "AUDISIS Riesgo Inh herente 4: Extremo Bajo Moderado. Alto. Extremo Extremo 3: Alto Bajo Moderado. Alto. Alto. Alto. 2: Moderado Bajo Moderado. Moderado. Moderado. Moderado. 1: Bajo Bajo Bajo Bajo Bajo Bajo 1: Apropiada 2: Mejorable 3: Insuficiente 4: Deficiente 5: Muy Deficiente Efectividad de los Controles (Protección Existente) AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información. 22

23 Evaluación del Control Interno Evaluación Efectividad de los Controles Efectividad de los Controles 1: Apropiada 2: Mejorable Significado de la Efectividad de los Controles Establecidos por cada Amenaza (riesgo potencial) Los controles establecidos son efectivos (eficaces y eficientes) para reducir los riesgos potenciales a nivel aceptable o tolerable de riesgo residual. Satisfacen los 3 anillos de seguridad y el nivel de automatización es aceptable o el costo beneficio es razonable. Los controles satisfacen los 3 anillos de seguridad (preventivo, detectivo y correctivo), pero no son eficientes o tienen bajo nivel de automatización 3: Insuficiente 4: Deficiente 5: Muy Deficiente Los controles utilizados no satisfacen los tres anillos de seguridad. Se necesitan controles adicionales. Los controles utilizados no satisfacen los tres anillos de seguridad y no son eficientes o tienen bajo nivel de automatización. Se necesitan controles adicionales No existen controles o los que se utilizan no sirven para controlar los riesgos potenciales. AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información. 23

24 Estándares que utiliza AUDIRISK AUDIRISK está alineado y es compatible con estándares internacionales y nacionales vigentes de auditoría, gestión de riesgos, control interno y seguridad. Normas de Auditoría de Aceptación General IIA e ISACA. Modelos de Control Interno COSO ERM, COBIT Y MECI. Normas ISO 27002, ISO 27001, ISO 9126, ISO Normas ISO 9001, ISO e ISO Modelos de Gestión de Riesgos ISO 31000, SARO, SARLAFT, MECI, AUDIRISK. Circulares Externas 052 de 2007, 014 de 2009 y 038 de 2009 de la SFC y CE 023 de 2010 de la SSF. AUDIRISK : Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 24

25 El Software AUDIRISK Utiliza modelos conocidos de clases o categorías de riesgo, como base para planear y desarrollar las Auditorías. Sistema de Administración de Riesgo Operativo- SARO. Sistema de Administración de Riesgos de Lavado de Activos y Financiación del Terrorismo - SARLAFT. MECI (Modelo Estándar de Control Interno para las Entidades del Estado Colombiano). Riesgos en el Sector Salud - Res 1740 de 2008 MPS. AUDIRISK. Otros Modelos ( Basilea en Sector financiero y Sector Salud). AUDIRISK : Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 25

26 Modelos de Clases o Categorías de Riesgo Clases de Eventos de Riesgo Operativo SARO Clases de Riesgos De LA / FT SARLAFT 1. Fraude Interno. 2. Fraude Externo. 3. Fallas en la Atención a los Clientes. 4. Daños a Activos Físicos. 5. Fallas en Relaciones Laborales. 6. Fallas Tecnológicas. 7. Errores en Administración y Ejecución de Procesos. 1. Riesgo Reputacional. 2. Riesgo Legal. 3. Riesgo Operativo. 4. Riesgo de Contagio AUDIRISK : Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información. 26

27 Clases de Riesgo Modelo MECI: 1. Estratégico. 2. Operativo. 3. Financiero. Modelos de Clases o Categorías de Riesgo 4. De cumplimiento. 5. De Tecnología. Clases de Riesgo Modelo AUDIRISK 1. Hurto / Fraude. 2. Sanciones Legales. 3. Pérdida de Credibilidad Pública. 4. Desventaja Competitiva. 5. Costos Excesivos. 6. Pérdida de Ingresos. 7. Daño / Destrucción de Activos. 8. Decisiones Erróneas. AUDIRISK : Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información. 27

28 Relación entre Clases de Riesgo y Amenazas RIESGO CLASES DE RIESGOS SARO SARLAFT MECI AUDIRISK AMENAZAS DE RIESGO (Eventos que generan las Clases de Riesgo) Costo ó Valor de las Pérdidas Originadas por Eventos no deseables denominados Riesgos / Amenazas Sanciones Legales. Pérdida de Ingresos. Costos Excesivos. Pérdida de Credibilidad Pública. Desventaja ante la Competencia. Daño - Destrucción de Activos. Decisiones Erróneas. Fraude Robo. Agentes Generadores de Amenazas. Personas, Fallas de los Equipos ( Energía, Aire Acondicionado), Actos mal intencionados, Desastres Naturales o provocados. Vulnerabilidades Debilidades de seguridad UNIDAD MINIMA DE ANALISIS A M B Frecuencia (Probabilidad) de Ocurrencia. Impacto ( Estimación de las Pérdidas por cada ocurrencia). AUDIRISK : Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información. 28

29 El software AUDIRISK Provee Bases de Conocimientos que contienen best practices universales sobre clases de riesgos, amenazas, objetivos de control, controles y técnicas de auditoría. 1. Base de Conocimientos Estándar suministrada por AUDISIS, con Best Practices universales sobre riesgos, amenazas, controles, técnicas de auditoría. Punto de partida para poblar la base de empresa. 2. Base de Conocimientos de la Empresa: Best Practices suministradas en la base estándar, incrementadas con prácticas especificas utilizadas por la Empresa, identificadas en el desarrollo de las auditorías realizadas con AUDIRISK. 3. Base de Conocimientos de Trabajo con los resultados de cada auditoría Papeles de trabajo de cada auditoria realizada con AUDIRISK. 29

30 Base de Conocimientos Estándar Suministrada por AUDISIS AUDIRISK Bases de Conocimiento Estándar Best Practices sobre Categorías Riesgos: SARO, SARLAFT, MECI, AUDIRISK. Amenazas de Riesgo * Controles * Escenarios de riesgo: de TI, aplicaciones y a la medida * Técnicas de auditoria. * Objetivos de Control Modelos de evaluación de riesgos y Controles Articulaciones entre * Riesgos Amenazas de Riesgo * Amenazas de Riesgo - Controles Escenarios - Objetivos de Control AUDIRISK: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información. 30

31 Bases de Conocimientos con Resultados de las Auditorias BC de la Empresa Proceso de Negocio Base de la Empresa- Antes de la Auditoria Base de Datos de la Empresa incrementada con Riesgos, Amenazas, Controles, técnicas de auditoria y otras practicas utilizadas. Base de Trabajo Cubo de Riesgos para la Auditoria Guías de Control personalizadas Evaluación de Controles Existentes. Diseño de Pruebas de Cumplimiento y Sustantivas. Hallazgos de Auditoría Informe de la Auditoría AUDIRISK : Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información. 31

32 El software AUDIRISK Otras Características Lo que no se mide, no se puede administrar / Controlar. Mide la Efectividad de los Controles Existentes, por Amenazas, categorías de riesgo, actividades, áreas organizacionales y objetivos de control. 1: Apropiada, 2: Mejorable; 3: Insuficiente; 4: Deficiente y 5: Muy deficiente Mide el % de Cumplimiento de los Controles Establecidos, por amenazas, categorías de riesgo, actividades, áreas organizacionales. Mide el % de Exactitud de las Cifras verificadas (Pruebas Sustantivas), por amenazas, categorías de riesgo, actividades, áreas organizacionales. AUDIRISK : Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información. 32

33 El software AUDIRISK Otras Características Provee funcionalidades para elaborar cuestionarios (no son insumos, son productos de AudiRisk): De Factores de Riesgo y Criterios para evaluar exposición a riesgos por tipos de auditoría En Planeación Anual. Para identificar controles que deberían existir para mitigar las amenazas de riesgo. Para verificar los controles (pruebas de cumplimiento) de amenazas que tienen protección apropiada. Para verificar la exactitud de la información (pruebas sustantivas) a cifras impactadas por amenazas de riesgo con debilidades de control. De criterios para evaluar la satisfacción de las siete (7) características de las información de negocios. 33

34 El software AUDIRISK Otras Características Es una aplicación WEB que se puede instalar en la Nube (Cloud Computing), servidores de la empresa y equipos stand alone. Produce Papeles de Trabajo en formato electrónico. Ofrece ayudas de Supervisión de los Auditores (TO DOs o pendientes por hacer). Por cada auditoria genera 5 tipos informes de Auditoria: Evaluación de control interno, pruebas de cumplimiento, pruebas sustantivas, satisfacción de las siete (7) características de la información de negocios y del seguimiento a los hallazgos de auditoría. Software Multicompañías. Deja Rastros de las actividades ejecutadas por los Auditores. 34

35 El software AudiRisk Otras Características Perfiles de Acceso establecidos en el software. Gerente de Auditoria. Administrador de Usuarios. Supervisor. Analista de Auditoría. Auditor Regional. Solo Consulta. 35

36 El software AUDIRISK Satisface necesidades de diferentes modalidades de Auditoría. Auditores de Sistemas. Auditores Operativos. Auditores de Procesos. Auditorías Integrales. Revisores Fiscales. 36

37 Especificaciones Técnicas para ejecutar el Software AUDIRISK Motores de Bases de datos: SQL Server y Oracle. Sistema Operacional: Windows Server 2008 a Windows Vista, 7 y 8. Excepto las versiones Home. Memoria RAM: 4GB en servidor. Disco Duro: 16 GB. Internet Explorer 8.0 o superiores. 37

38 Productos que recibe el Usuario de AUDIRISK Por la compra del Software Manual del Usuario del Software (E-book). Software ejecutable (CD). Bases de datos de conocimientos estándar. Licencia de uso por tiempo indefinido. Derecho a recibir soporte técnico y actualizaciones del software y la metodología durante un año. 38

39 Módulo 1: Planeación Anual de la Auditoría, Basada en Valoración de Riesgos 39

40 Planeación Anual de las Auditorías Desarrolla el enfoque de Planeación Anual de Auditoría Basada en Valoración de Riesgos. De acuerdo con Pronunciamientos del Instituto de Auditores Internos de USA (IIA) y de la Asociación de Control y Auditoría de Sistemas de Información (ISACA). Para Auditorías Internas / Oficinas de Control Interno. Elabora y controla ejecución del Plan Anual de Auditoria, según su nivel de exposición a riesgos. Provee Cuestionarios con Factores de Riesgo, por tipos de auditoría. Estima la Exposición a Riesgos de los trabajos de auditoría, por Categorías de Riesgo y por tipos de auditoría. Prioriza los trabajos de auditoría por tipos de auditoría. Elaborar cronograma anual de la auditoría. Permite realizar seguimiento al plan. 40 la

41 Planeación Anual de las Auditorías Desarrolla el enfoque de Planeación Anual de Auditoría Basada en Valoración de Riesgos. la Para Auditorías Externas y Organismos de Control del Estado Elabora y controla el plan anual de auditoría por sector y empresas, según su nivel de exposición a riesgos : Provee Cuestionarios con Factores de Riesgo, por sectores Estima Exposición a Riesgos de las Empresas dentro de cada sector, por empresa y categorías de riesgo. Elaborar cronograma anual de la auditoría por Sector. Define trabajos a realizar por empresa. Permite hacer seguimiento al Plan Anual. 41

42 Planeación Anual de la Auditoría Basada en Valoración de Riesgos Planeación Anual de la Auditoría Interna. Ofrece funcionalidades para elaborar el plan anual de auditoría y controlar su ejecución, a través de los siguientes pasos: 1. Por cada tipo de auditoría (revisiones), permite priorizar los trabajos candidatos a ser auditados, de acuerdo con el nivel de Exposición a Riesgos: Tipos de Auditorías: A Procesos del modelo de operación de la empresa. A Procesos de tecnología de información (TI). A Aplicaciones de computador ó Módulos de ERPs. Seguimientos a auditorías efectuadas por terceros. Otros tipos de revisiones. 42

43 Módulo 1: Planeación Anual de la Auditoría Basada en Riesgos Planeación Anual de la Auditoría Interna. Ofrece funcionalidades para elaborar el plan anual de auditoría y controlar su ejecución, a través de los siguientes pasos: 2. Por cada tipo de auditoría (revisiones), permite generar panoramas de riesgo a nivel Corporativo: Por Tipos de Auditorías Priorización de Categorías de Riesgos en los procesos del modelo de operación de la empresa. Priorización de Categorías de Riesgos en los procesos de tecnología de información. Priorización de Categorías de Riesgos en las computador. Aplicaciones de 43

44 Módulo 1: Planeación Anual de la Auditoría Basada en Riesgos Planeación Anual de la Auditoría Interna. Ofrece funcionalidades para elaborar el plan anual de auditoría y controlar su ejecución, a través de los siguientes pasos: 3. Elaborar programación de auditorías a realizar durante el año, de acuerdo con las prioridades asignadas por tipos de auditorías o por clases de riesgo. 4. Efectuar seguimiento al plan anual de la auditoria / Evaluar la gestión de la auditoría de acuerdo al cumplimiento del plan anual. 5. Generar reportes de planeación, seguimiento y control del plan anual de auditoría. 44

45 Módulo 1: Planeación Anual de la Auditoría Basada en Riesgos AUDIRISK: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 45

46 Módulo 2: Desarrollo de Auditorías Basadas en Riesgos Críticos, a procesos y sistemas de información AUDIRISK: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 46

47 Desarrollo de Auditorías Basadas en Riesgos Críticos Tipos de Auditorías que soporta AUDIRISK 1. A procesos del Modelo de Operación de la Empresa (estratégicos, misionales y de apoyo). 2. A procesos de Tecnología de Información (COBIT, ITIL, ISO 27001). 3. A actividades clave de la Infraestructura Informática de la Empresa. 4. A sistemas de información automatizados (Aplicaciones de Computador ó módulos de ERPs). 47

48 Desarrollo de Auditorías Basadas en Riesgos Críticos AUDIRISK: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 48

49 1 Preauditoría Memorando Planeación Programa de Trabajo Fases y Etapas de las Auditorías con AUDIRISK FASE 1: PLANEACIÓN BASADA EN RIESGOS 2 Comprensión Archivo Permanente Caracterización 3 Id., y Medición de Riesgos Riesgos Inherentes Críticos Mapas de Riesgos Pot. 4 Contexto de Riesgos de la Auditoría Cubo de la Auditoría AUDIRISK: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 49

50 5 Evaluar Controles Establecidos Medir Efectividad de los controles Medir / evaluar Riesgo Residual Hallazgos de Auditoría Informe de Auditoría Fases y Etapas de las Auditorías con AUDIRISK FASES 2 Y 3 : EJECUCION E INFORME DE LA AUDITORÍA 6 Pruebas de Cumplimiento A Controles Claves Hallazgos de Auditoría Informe de Auditoría 7 Pruebas Sustantivas A Exactitud Datos Claves Hallazgos de Auditoría Informes de Auditoría 8 Seguimiento Informes Aud. Informe de la Auditoría AUDIRISK: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 50

51 Evaluación de la Efectividad de los Controles Seleccionados El conjunto de controles que actúan sobre cada Amenaza, deberán satisfacer dos de los tres criterios siguientes: Eficacia: Los controles sirven para reducir el riesgo? Se dispone al menos una vez los tres anillos de control: Preventivo, Detectivo y Correctivo?. Calificación Promedio nivel de automatización (por clase) es superior a 3.5?. Eficiencia Relación C / B. Beneficios mayores que los costos?. : Calificación: Razonable (R) o No Razonable (NR). El costo de los controles por amenaza es máximo el 10% del valor del riesgo. Efectividad: Eficacia + Eficiencia. AUDIRISK: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 51

52 Enfoque de las Tres Barreras o Anillos de Seguridad para las Amenazas de Riesgo ORGANIZACIÓN INSTALACIONES A1 AMENAZAS DE RIESGO A2 BARRERA PREVENTIVA A2 BARRERA DETECTIVA A3 BARRERA CORRECTIVA PERSONAS A3 A3 DATOS HW - SW FEEDBACK FINANCIEROS AUDIRISK: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 52

53 El enfoque de los 3 Anillos de Seguridad AUDIRISK: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 53

54 Auditoría Basada en Riesgos Críticos Medición de Riesgos Residuales, después de evaluar y verificar los Controles Establecidos - MODELO "AUDISIS Riesgo Inh herente 4: Extremo Bajo Moderado. Alto. Extremo Extremo 3: Alto Bajo Moderado. Alto. Alto. Alto. 2: Moderado Bajo Moderado. Moderado. Moderado. Moderado. 1: Bajo Bajo Bajo Bajo Bajo Bajo 1: Apropiada 2: Mejorable 3: Insuficiente 4: Deficiente 5: Muy Deficiente Efectividad de los Controles (Protección Existente) AUDIRISK: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información. 54

55 Evaluación Efectividad / Protección de los Controles, por Amenaza Protección existente (PE) Satisfacción de los Criterios de Evaluación - Método AUDISIS Efectividad 1: APROPIADA Se satisfacen los 3 anillos de control y por lo menos uno de los otros dos criterios (C/B = Razonable y/o Calificación promedio de los controles superior a 3.5 puntos) RI - Antes de Controles Estandar AS/NZ e ISO : Extremo 1: Tolerable 3: Alto 1: Tolerable 2: Moderado 1: Tolerable 1: Bajo (Tolerable) 1: Tolerable RR - Despues de Controles 2: MEJORABLE Se satisfacen los 3 anillos de control, únicamente 4: Extremo 2: Moderado 3: Alto 2: Moderado 2: Moderado 2: Moderado 1: Bajo (Tolerable) 1: Bajo 4: INSUFICIENTE Únicamente se satisfacen los dos criterios diferentes de los 3 anillos (C/B = Razonable y/o Calificación promedio de los controles superior a 3.5 puntos) 4: Extremo 3: Alto 3: Alto 3: Alto 2: Moderado 2: Moderado 1: Bajo (Tolerable) 1: Tolerable 4: DEFICIENTE Se satisface únicamente uno de los dos criterios diferentes de los 3 anillos (C/B = Razonable y/o Calificación promedio de los controles superior a 3.5 puntos) 4: Extremo 4: Extremo 3: Alto 3: Alto 2: Moderado 2: Moderado 1: Bajo (Tolerable) 1: Bajo (Tolerable) 5: MUY DEFICIENTE No existen controles 4: Extremo 4: Extremo 3: Alto 3: Alto 2: Moderado 2: Moderado 1: Bajo (Tolerable) 1: Bajo (Tolerable) 55

56 Cómo Iniciar una Auditoría con AUDIRISK? Crear Ambiente de Trabajo. Crear Base de Conocimientos de la Empresa. Parametrizar software con estándares de auditoría a emplear en la Empresa. 1. Para evaluación de riesgos inherentes y residuales. 2. Para Evaluación del Control Interno Existente. 3. Para Medición del cumplimiento de controles y exactitud de la información (cifras que pudieran ser impactadas por amenazas con debilidades de control). 4. Estados de Auditoría. 5. Estado de las Recomendaciones. 6. Correos electrónicos y mensajes de Recordatorio AUDIRISK: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 56

57 Cómo iniciar o Continuar una Auditoría con el Software AUDIRISK Para Iniciar una Auditoría. Crear en AUDIRISK la auditoría que será ejecutada. Programada en el Plan Anual No Programada en el Plan Anual. A partir de la última auditoría ejecutada. Crear en AUDIRISK la Base de Conocimientos de Trabajo que retendrá los resultados de la auditoría del proceso de negocio o sistema. Para Continuar una Auditoría ya Iniciada. Seleccionar Auditoría. Ingresar al tablero de control Etapas de la Metodología de la Auditoría. Continuar con la primera etapa donde el menú se visualice Activo. AUDIRISK: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 57

58 Módulo 3: Informes de Gestión de la Auditoría AUDIRISK: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 58

59 Módulo 3: Informes de Gestión de la Auditoría Genera estadísticas y gráficos sobre las auditorías realizadas con AUDIRISK durante un periodo de tiempo. Auditorias Planeadas Vs Auditorias Ejecutadas. Estadísticas de Hallazgos informados en el periodo, por auditorías y tipos de Auditorías (Procesos del Modelo de Operación, Procesos de TI, Aplicaciones de Computador). Cantidad y Porcentaje de Hallazgos de Auditoría sobre Diseño de Controles Internos. Cantidad y Porcentajes de Hallazgos de Auditoría sobre Pruebas de Cumplimiento. Cantidad y Porcentajes de Hallazgos de Auditoría sobre Pruebas Sustantivas. 59

60 Módulo 3: Informes de Gestión de la Auditoría Genera estadísticas y gráficos sobre las auditorías realizadas con AUDIRISK durante un periodo de tiempo. Estadísticas sobre cantidad y porcentaje de recomendaciones emitidas en el periodo, por auditoría, tipos de auditorías y Sitios de Prueba. Recomendaciones sobre Efectividad (Diseño) de Controles Internos. Recomendaciones sobre Pruebas de Cumplimiento. Recomendaciones sobre Pruebas Sustantivas. AUDIRISK: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 60

61 Módulo 3: Informes de Gestión de la Auditoría Genera estadísticas y gráficos sobre las auditorías desarrolladas con AUDIRISK durante un periodo de tiempo. Estadísticas sobre el Estado de Atención de las recomendaciones emitidas en el periodo, por auditoría, tipos de auditorías y Sitios de Prueba. Recomendaciones de Auditoría sobre Efectividad (Diseño) de Controles Internos. Recomendaciones de Auditoría sobre Pruebas de Cumplimiento. Recomendaciones de Auditoría sobre Pruebas de Cumplimiento. AUDIRISK: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 61

62 Módulo 3: Informes de Gestión de la Auditoría Genera estadísticas y gráficos sobre las auditorías desarrolladas con AUDIRISK durante un periodo de tiempo. Estados de Atención de las recomendaciones emitidas por la Auditoría, en el periodo. Implantada. En Proceso. Pendiente (por iniciar implantación). Anulada. 62

63 Módulo 3: Informes de Gestión de la Auditoría 63

64 Módulo 3: Informes de Gestión de la Auditoría 64

65 Módulo 3: Informes de Gestión de la Auditoría Estado de Implementación de las recomendaciones de auditoría, por tipos de auditoría. 65

66 Módulo 4: Seguimiento a Hallazgos de Auditorías Efectuadas por Terceros 66

67 Qué es AUDIRISK? El software AUDIRISK consta de 6 módulos: 67

68 Módulo 4: Seguimiento a Hallazgos de Auditorías Efectuadas por Terceros Este módulo permite planear, ejecutar e informar resultados del seguimiento a los hallazgos de auditorías realizadas por terceros o de auditorías no realizadas con AUDIRISK. 68

69 Seguimiento a hallazgos de Auditorías Efectuadas por Terceros AUDIRISK provee funcionalidades para efectuar Seguimiento a Hallazgos y Recomendaciones de Auditoría emitidos por: Revisorías Fiscales. Auditorías Financieras Externas efectuadas por Firmas de Contadores Públicos. Otras Auditorías Externas Especializadas (de Sistemas, de Seguridad, de calidad, etc,),). Auditorías efectuadas por organismos de control del Estado (Contralorías, Superintendencias, etc). 69

70 Seguimiento a Hallazgos de Auditorías Efectuadas por Terceros Funcionalidades ofrecidas por AUDIRISK. Mantenimiento Datos Básicos de los terceros que efectúan las Auditorías. Mantenimiento Datos básicos de las Auditorías Realizadas por terceros. Ingreso de Hallazgos. Ingreso de Recomendaciones. Planeación del seguimiento. Ejecución del Seguimiento. Informes con los resultados del Seguimiento. 70

71 Seguimiento a Hallazgos de Auditorías Efectuadas por Terceros Por cada recomendación maneja : Metas. Fecha de Compromiso para implantar acción de mejoramiento. Fecha de Seguimiento. Cargos responsables de implantar recomendación, supervisar implantación y de efectuar seguimiento. Diseño de Recordatorios en fechas determinadas por el auditor. Emisión automática de Recordatorios por correo electrónico. Informes de seguimientos efectuados. 71

72 Seguimiento a hallazgos de Auditorías Efectuadas por Terceros Menú Administrador 72

73 Seguimiento a Hallazgos de Auditorías Efectuadas por Terceros 73

74 Seguimiento a Hallazgos de Auditorías Efectuadas por Terceros 74

75 Seguimiento a Hallazgos de Auditorías Efectuadas por Terceros 75

76 Módulo 5: Seguridad y Administración de Usuarios 76

77 El software AUDIRISK Permite asignar perfiles de acceso de los Auditores: Por Módulo. Por Empresa. Por Auditorías. Por actividades de la Auditoría. Deja Rastros de las actividades ejecutadas por los Auditores. Ofrece ayudas de Supervisión de los Auditores (TO DOs o pendientes por hacer). 77

78 El software AUDIRISK Perfiles de Acceso establecidos en software. Administrador General. Gerente de Auditoría. Supervisor. Analista. Auditor Regional. Solo Consulta. Uso de Password Fuertes. Cambios de Password Obligatorios. Copias de Seguridad (Backups). 78

79 Beneficios de Utilizar AUDIRISK? 79

80 Beneficios Corporativos Con el uso de AUDIRISK: Se incrementa la calidad, confiabilidad y eficiencia de los servicios de auditoría. La auditoría ofrece mayor valor agregado a la empresa. Promueve el mejoramiento de la cultura de medición y monitoreo de los riesgos potenciales, de la protección existente y del riesgo residual. 80

81 Beneficios para las Dependencias que manejan las Operaciones Con el uso de AUDIRISK: Recibirán informes de auditoría más proactivos y asesores. Recibirán mayor valor agregado de la Auditoría en asuntos de prevención y mitigación de riesgos. Los resultados de la auditoría servirán como apoyo para promover la eficiencia y efectividad del monitoreo de los controles que deben realizar los propietarios de la información de negocios. 81

82 Beneficios para el Departamento de Auditoría AUDIRISK: Facilita un cambio real en la imagen del departamento dentro de la organización, basado en: Auditorías más proactivas y preventivas que reactivas y a posteriori. Imagen del auditor asesor-consultor de la Organización. Incrementa productividad, eficiencia y efectividad de la auditoría. 82

83 AUDIRISK: Beneficios para el Departamento de Auditoría Estandariza los procedimientos y prácticas de auditoría (planeación, ejecución, informes y seguimiento) en las revisiones de los procesos de negocio o sistemas de información sujetos a auditoría. Automatiza los procedimientos y prácticas de auditoría para evaluación de riesgos, evaluación y verificación de controles, verificación de exactitud de la información y seguimiento a recomendaciones de la auditorías. 83

84 Beneficios para el Departamento de Auditoría AUDIRISK: Automatiza la actualización y consulta de bases de conocimientos que contienen las best practices de administración de riesgos, control interno y auditoría utilizadas por la empresa en sus procesos de negocio y de tecnología de información. 84

85 Beneficios para el Auditor AUDIRISK: Motiva cambios importantes en la imagen y credibilidad de los auditores: Mejorar su imagen, efectividad y credibilidad dentro de la organización. Obtener mayor credibilidad y aceptación en la comunidad profesional. 85

86 Beneficios para el Auditor Con AUDIRISK: Los auditores crecen profesionalmente con la transferencia tecnológica que reciben. Los auditores actúan más como asesores que como investigadores. 86

87 En Colombia. Usuarios de AUDIRISK en Colombia y el Exterior Sector Industrial. Petróleos del Norte. PETRONORTE. Caracol TV. Oleoducto Central de Colombia- OCENSA. Lafayette S.A. G y J Ferreterías. Alambres y Mallas. Consorcio Metalúrgico Nacional Colmena Ltda. Monómeros Colombo Venezolanos. 87

88 En Colombia. Usuarios de AUDIRISK en Colombia y el Exterior Sector Financiero. Crezcamos Ahorro y Crédito. Bucaramanga. Financiera Andina - Finandina S. A. Fundación Mundial de la Mujer Bucaramanga. FINAGRO. Crediservir Cooperativa de Ahorro y Crédito Ocaña. Sector Salud. Salud Vida EPS Auditoría Interna. 88

89 En Colombia. Usuarios de AUDIRISK en Colombia y el Exterior Cajas de Compensación Familiar. Comfenalco Tolima. Caja de Compensación Comfamiliares Caldas. Caja de Compensación Familiar de Arauca - COMFIAR. Compensar. 89

90 En Colombia. Usuarios de AUDIRISK en Colombia y el Exterior Entidades del Sector Público. Policía Nacional Empresa Electrificadora de Santander - ESSA. Contraloría General de la República Armada Nacional. Instituto Nacional de Vías INVIAS. Instituto Agustín Codazzi. Secretaría de Hacienda Bogotá. 90

91 En Colombia. Sector Educativo Usuarios de AUDIRISK en Colombia y el Exterior Universidad Militar Nueva Granada. Universidad Pedagógica y Tecnologíca de Colombia. Universidad La Gran Colombia Bogotá. Universidad de Ibagué Coruniversitaria. Universidad Autónoma de Cali. Universidad Jorge Tadeo Lozano. Universidad EAFIT. Universidad Santo Tomás de Bucaramanga. Universidad Católica de Colombia. 91

92 Usuarios de AUDIRISK en Colombia y el Exterior Firmas de Auditores. MGI Páez y Asociados Auditores y Consultores. Nexia Montes y Asociados. Colombian Consulting Group. Datos y Procesos (Pasto). 92

93 Usuarios de AUDIRISK en Colombia y el Exterior (cont.) En el Exterior. Cooperativa Sagrada Familia- Tegucigalpa Honduras. Universidad Peruana Unión (UPEU). Banco Central de la República Dominicana. Banco Central del Ecuador. Banco Centroamericano de Integración Económica (BCIE) - Honduras. Banco Santacruz Bolivia. Cervecería de Costa Rica. Instituto Nacional de Seguros (Costa Rica). 93

94 En el Exterior. Usuarios de AUDIRISK en Colombia y el Exterior (cont.) Auditoría General de Bancos (Costa Rica). Banco Nacional de Costa Rica. Cía. Nal. de Fuerza y Luz (Costa Rica). 94

95 Gracias por su Atención Hasta Pronto! Para conocer el software ingrese a 95