PRESENTACION DEL PRODUCTO

Tamaño: px
Comenzar la demostración a partir de la página:

Download "PRESENTACION DEL PRODUCTO"

Transcripción

1 Versión 2014 SOFTWARE DE AUDITORÍA BASADA EN RIESGOS PARA PROCESOS Y SISTEMAS DE INFORMACION PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Servicios Orientados a la Prevención,Reducción de Riesgos y mejoramiento en la cultura de control. Calle 53 No Oficina 602 Tels.: , PBX: Bogotá, D.C. Colombia web site: AUDISIS: Fundada en 1.988

2 Contenido QUÉ PUEDE HACER USTED CON LA POTENCIA DE AUDIRISK?... 3 MODULO 1: PLANEACION ANUAL DE LA AUDITORÍA BASADA EN VALORACIÓN DE RIESGOS MODULO 2: AUDITORÍAS BASADAS EN RIESGOS CRITICOS A PROCESOS Y SISTEMAS DE INFORMACION MODULO 3: SEGUIMIENTO A INFORMES DE AUDITORÍAS EFECTUADAS POR TERCEROS.. 30 MODULO 4: GESTION DE RESULTADOS DE LA AUDITORÍA MODULO 5: AUDITORIAS A SISTEMAS DE GESTION (MÓDULO EN CONSTRUCCIÓN) MODULO 6: ADMINISTRACION DE USUARIOS A QUIENES SIRVE LA METODOLOGIA Y EL SOFTWARE AUDIRISK? ELEMENTOS QUE RECIBE EL USUARIO DE AUDIRISK SERVICIOS DE SOPORTE TÉCNICO Y ACTUALIZACION REQUERIMIENTOS DE HARDWARE Y SOFTWARE PARA INSTALAR EL SOFTWARE AUDIRISK PERFIL DEL PROVEEDOR DE AUDIRISK EMPRESAS QUE UTILIZAN AUDIRISK Software de Auditoria Basada en Riesgos - AUDIRISK

3 AUDIRISK QUÉ PUEDE HACER USTED CON LA POTENCIA DE AUDIRISK? AUDIRISK es un software en tecnología WEB (Cloud Computing), para asistir a los auditores internos y externos en la administración y realización de Auditorías Basadas en Riesgos (a procesos del modelo de operación de la empresa y sistemas de información automatizados), Auditorías a Sistemas de Gestión (de calidad, de seguridad de la información, ambiental, Seguridad y salud ocupacional, gestión de continuidad del negocio) y el Seguimiento a Informes de Auditorías efectuadas por terceros. El software puede ser accedido vía web, en una red interna o en computadores stand alone. El software AUDIRISK, estandariza el desarrollo de las auditorías y los papeles de trabajo, utilizando funcionalidades que están alineadas con las normas y procedimientos de auditoría generalmente aceptados y con estándares nacionales e internacionales de administración de riesgos y control interno (ISO 31000, ISO 27001, COSO, ERM, ITIL, COBIT y MECI). Como punto de partida y apoyo para ejecutar las auditorías, AUDIRISK provee una base de datos de conocimientos que contiene mejores y buenas prácticas sobre clases de riesgos (por ejemplo, fraude interno, fallas tecnológicas, etc.), amenazas (eventos de riesgo potenciales), vulnerabilidades, agentes generadores de riesgo, controles, factores de exposición a riesgos y objetivos de control, las cuales están disponibles permanentemente para ser utilizadas por los auditores. Figura 1: Módulos del software AUDIRISK Software de Auditoria Basada en Riesgos - AUDIRISK

4 El software AUDIRISK consta de seis (6) módulos interrelacionados: a) Planeación Anual de la Auditoría; b) Auditorías basadas en Riesgos Críticos; c) Gestión de resultados de la auditoría; d) Seguimiento a informes de auditorías efectuadas por terceros; e) Auditorías de Sistemas de Gestión (de calidad, de seguridad de la información, ambiental y de salud ocupacional) y f) Administración de Usuarios. 1) Módulo 1: Planeación Anual de la Auditoría. AUDIRISK asiste en las actividades de elaboración de Planes de Trabajo Anuales de las auditorías internas y externas, con base en resultados de la valoración de la exposición a riesgos efectuada por los auditores a cada uno de los trabajos candidatos a ser auditados. Para las Auditorías Internas y de Sistemas de Información, el software satisface las exigencias de los estándares de auditoría del Instituto de Auditores Internos de los Estados Unidos (IIA) e ISACA (la asociación de Control y Auditoría de Sistemas de Información), los cuales establecen que el plan anual de la auditoría debe realizarse con un enfoque basado en valoración de riesgos. Por cada grupo de trabajos candidatos a ser auditados, el software ofrece funcionalidades y el apoyo de la base de conocimientos de AUDIRISK para diseñar, contestar y procesar cuestionarios con factores de riesgo, estimar la exposición a riesgos (necesidades de seguridad) de cada una de trabajos candidatos a ser auditados y elaborar un panorama de riesgos de la Empresa con la estimación de la exposición a las clases o categorías de riesgo del modelo de riesgos aplicable a la Empresa (SARO, SARLAFT, MECI, AUDISIS o combinación de las anteriores). Para las auditorías internas, AUDIRISK asiste la asignación de prioridades según la exposición a riesgos y la programación anual de trabajos para tres tipos de auditoría: los procesos del modelo de operación de la empresa, los procesos de tecnología de información y las aplicaciones de computador en producción. Como resultado, por cada grupo de trabajos candidatos a ser auditados, el software produce la matriz de planeación anual de la auditoría con dos alternativas para decidir las actividades a auditar: a) por el nivel de exposición a riesgos de los procesos y aplicaciones de computador candidatas a ser auditadas, y b) por el nivel de exposición de los procesos y aplicaciones de computador a cada una de las clases o categorías de riesgo. También permite incluir en la planeación anual de la Auditoría Interna, la programación de auditorías a sistemas de gestión (calidad, ISO y otras), auditorías de seguimiento a informes de auditorías realizadas y otros trabajos que sean asignados a la Auditoría Interna. Elabora cronograma anual y asiste en el seguimiento a la ejecución del plan anual de la Auditoría Interna. Para las auditorías externas, AUDIRISK asiste las actividades de valoración de riesgos de las empresas según el sector de la economía al que correspondan, priorizar las entidades o empresas que serán auditadas en el año por sectores, la programación de las auditorías y asignación de recursos de tiempo, personal y financieros. Elabora cronograma anual y asiste en el seguimiento a la ejecución del plan anual de auditorías externas. 4

5 2) Módulo 2: Auditorías Basadas en Riesgos Críticos. AUDIRISK ofrece funcionalidades para desarrollar cuatro (4) tipos de auditorías basadas en riesgos: a) A los procesos del modelo de operación de la Empresa (mapa de procesos); b) A los procesos de Tecnología de Información y Comunicaciones (por ejemplo, los procesos COBIT e ITIL); c) A las aplicaciones de computador en producción (ó módulos de ERPs) y d) A la Infraestructura de Tecnología de Información. Por cada proceso o sistema sujeto a auditoría, este módulo de AUDIRISK asiste a los auditores en la consecución de dos grandes objetivos: el primero es evaluar la efectividad del control interno establecido como estándar del proceso o sistema en toda la empresa, es decir, la capacidad de los controles establecidos para reducir los riesgos potenciales críticos a niveles aceptables de riesgo residual; esta evaluación es la base para determinar la naturaleza y extensión de las pruebas de auditoría necesarias. Esta evaluación se realiza por cada una de las actividades del proceso o sistema. El segundo objetivo es ejecutar pruebas de cumplimiento para los controles asociados a riesgos que tienen controles apropiados y pruebas sustantivas a la información que pudiera ser impactada por los riesgos que presentan debilidades de control. Estas pruebas se realizan por cada una de las áreas organizacionales y terceros que intervengan en el proceso o sistema objeto de la auditoría y que requieran pruebas. Por cada proceso o sistema objeto de auditoría, AUDIRISK construye un Cubo de Riesgos Críticos como base para ejecutar la auditoría. El cubo incluye el mapeo de los riesgos potenciales (amenazas) que podrían presentarse en: a) las actividades del proceso o sistema (escenarios de riesgo); b) las áreas organizacionales y terceros que intervienen en el proceso; y c) las categorías o clases de riesgos críticos. La suma de los cubos de riesgo de los procesos auditados es una aproximación a la auditoria del cubo de Control Interno de COSO y ERM (Enterprise Risk Management). Este módulo también ofrece funcionalidades para iniciar auditorias nuevas, a partir de los papeles de trabajo electrónicos de auditorías anteriores realizadas con AUDIRISK. Esta facilidad genera ahorros de tiempo y productividad en las auditorias. Como paso final, por cada auditoría basada en riesgos AUDIRISK ofrece opciones para elaborar, planear y ejecutar seguimiento a los planes de mejoramiento que se elaboren en la empresa para atender los hallazgos de control interno, pruebas de cumplimiento y pruebas sustantivas. El software tiene funcionalidades para generar recordatorios por correo electrónico a los responsables de implantar, supervisar y ejecutar acciones de mejora. 3) Módulo 3: Seguimiento a Informes de Auditorías Efectuadas por Terceros. AUDIRISK ofrece funcionalidades para realizar seguimiento a los planes de mejoramiento que surgen de informes de auditorías internas y externas efectuadas por terceros (por ejemplo, de los organismos de control del Estado, la Revisoría Fiscal y las empresas de auditoría externa). Para este fin, el software ofrece opciones para mantenimiento de las entidades auditoras, ingresar hallazgos y recomendaciones de los informes de auditoría, elaborar el 5

6 plan de mejoramiento y planear y ejecutar los seguimientos. El software tiene funcionalidades para generar recordatorios por correo electrónico a los responsables de implantar, supervisar y ejecutar acciones de mejora. 4) Módulo 4: Auditorías a Sistemas de Gestión (módulo en Construcción). AUDIRISK asiste a los auditores internos en las actividades de planeación, ejecución, informe y seguimiento de auditorías internas de gestión (Por ejemplo: de calidad, de gestión de seguridad de la información - ISO , gestión ambiental y seguridad y salud ocupacional). Estas auditorías se ejecutan de conformidad con la norma ISO ) Módulo 5: Gestión de Resultados de la Auditoría. Este módulo genera informes y gráficos sobre los resultados de trabajos de auditoría desarrolladas con AUDIRISK durante un periodo de tiempo, dentro del año fiscal. El software ofrece funcionalidades para generar entre otros los siguientes informes de Gestión: Estadísticas por auditoria y estado de las recomendaciones de auditoría generadas en el periodo (pendientes, implantadas, etc), por auditorías y por dependencias. Estadísticas de hallazgos de auditoría por tipo de auditoría. Estado de Implementación de las acciones de mejora recomendadas, por tipos de auditoría. Ejecución de auditorías planeadas y no planeadas. Horas hombre de auditores asignados, por tipos de auditoría. Costos de personal y otros gastos en la Auditoria. 6) Módulo 6: Administración de Usuarios. Este módulo ofrece las funcionalidades necesarias para administrar los usuarios con derechos de acceso a los diferentes adicionar, modificar e inactivar usuarios y establecer el perfil y los privilegios de acceso de cada uno módulos de AUDIRISK. Permite. El software maneja los siguientes perfiles: Gerente de Auditoría. Administrador de Usuarios. Supervisor de Auditoría. Analista de Auditoría (Auditor de Procesos o de aplicaciones). Auditor Regional. Solo Consulta. Auditores de Gestión. Parametrización del Software. AUDIRISK presenta funcionalidades para parametrizar los estándares de auditoría basadas en riesgos, en las actividades de evaluación de riesgos, evaluación de la efectividad de los controles, generación de checklist de pruebas de cumplimiento y sustantivas, evaluación de resultados de las pruebas de auditoría y evaluación de los siete (7) criterios que debe satisfacer la información de negocios (eficacia, eficiencia, integridad, disponibilidad, confidencialidad, confiabilidad y cumplimiento ). También ofrece ayudas para poblar la base de conocimientos de AUDIRISK y obtener copias de respaldo de esta base y de los papeles de trabajo electrónicos de las auditorías realizadas. 6

7 MODULO 1: PLANEACION ANUAL DE LA AUDITORÍA BASADA EN VALORACIÓN DE RIESGOS. Este módulo del software asiste la elaboración del Plan Anual de las auditorías internas y externas, de acuerdo con el nivel de exposición a riesgos. Para las Auditorías Internas y de Sistemas satisface las exigencias de los estándares de auditoría del Instituto de Auditores de los Estados Unidos (IIA) e ISACA (la asociación de Control y Auditoría de Sistemas de Información), los cuales establecen que el plan anual de la auditoría debe realizarse con un enfoque basado en valoración de riesgos. PLANEACION ANUAL AUDITORIAS INTERNAS. AUDIRISK ofrece funcionalidades para asistir la elaboración del plan anual de auditorías, basado en la valoración de la exposición a riesgos para tres tipos de auditoria: los procesos del modelo de operación de la Empresa (Mapa de Procesos), los procesos de Tecnología de Información (por ejemplo los de COBIT e ITIL) y las Aplicaciones de Computador (módulos de ERPs) que soportan la operación de los procesos. Por cada grupo de trabajos de auditoría, el software ofrece funcionalidades y apoyo de la base de conocimientos para diseñar, contestar y procesar cuestionarios con factores de riesgo, estimar las necesidades de seguridad de cada uno de los trabajos candidatos a ser auditadas y estimar la exposición a las clases o categorías de riesgo del modelo adoptado por la Empresa (SARO, SARLAFT, AUDISIS o combinación de las anteriores). Como resultado, por cada grupo de trabajos, el software produce la matriz de planeación anual de la auditoría con dos alternativas para decidir las actividades a auditar: a) por el nivel de exposición a riesgos de los procesos y aplicaciones de computador candidatas a ser auditadas, y b) por el nivel de exposición a cada una de las clases o categorías de riesgo. Figura 2: Priorización de procesos para el Plan Anual de Auditoría 7

8 Después de priorizar los trabajos candidatos a ser auditados por cada tipo de auditoría, el software ofrece funcionalidades para elaborar la programación anual de las auditorías; por cada auditoria ayuda a definir objetivos, alcance y asignar recursos requeridos, generar el cronograma anual (grafico de barras), y efectuar el seguimiento a la ejecución de las auditorías programadas. PLANEACION ANUAL AUDITORIAS EXTERNAS. Para entidades de control del Estado (Contraloría y Superintendencias) y Firmas de Auditoría. AUDIRISK ofrece funcionalidades para elaborar el plan anual de auditoría basado en valoración de riesgos y controlar su ejecución a través de los siguientes pasos: 1. Priorizar por su nivel de exposición a riesgos, las empresas candidatas a ser auditadas en los diferentes sectores a los que correspondan las entidades vigiladas (comercial, industrial, servicios, financiero y otros). Por cada sector, el software ofrece funcionalidades para diseñar y procesar cuestionarios con factores de riesgo, estimar las necesidades de seguridad de cada una de las empresas candidatas a ser auditadas y estimar la exposición a las clases o categorías de riesgo del modelo adoptado por la Empresa auditora (SARO, SARLAFT, AUDIRISK o combinación de las anteriores). 8

9 2. Como resultado, por cada empresa candidata a ser auditada, el software produce la matriz de planeación anual de la auditoría con dos alternativas para decidir las actividades a auditar: a) por el nivel de exposición a riesgos de las empresas candidatas a ser auditadas, y b) por el nivel de exposición a cada una de las clases o categorías de riesgo. Figura 2: Priorización de Empresas candidatas para el Plan Anual de Auditoría. 3. Elaborar la programación de visitas de las empresas candidatas a ser auditadas a realizar durante el año, de acuerdo con las prioridades asignadas por sector o por clases de riesgo. Genera un cronograma (grafico de barras) con la planeación anual. 9

10 4. Efectuar seguimiento al plan anual de la auditoría / Evaluar la gestión de la auditoría de acuerdo al cumplimiento del plan anual. 5. Generar reportes de planeación, seguimiento y control del plan anual de auditoría MODULO 2: AUDITORÍAS BASADAS EN RIESGOS CRITICOS A PROCESOS Y SISTEMAS DE INFORMACIÓN. AUDIRISK ofrece funcionalidades para ejecutar auditorías basadas en riesgos a los procesos del modelo de operación de la empresa, los procesos de tecnología de información (por ejemplo, de los modelos COBIT e ITIL) y los sistemas de información (aplicaciones de computador) de la Empresa, programados en el plan anual de auditoría con el módulo 1 de AUDIRISK. También ofrece opciones para 10

11 crear y ejecutar auditorías que no están en el Plan Anual y para iniciar auditorías a partir de los papeles de trabajo electrónicos de auditorías anteriores ejecutadas con AUDIRISK (por ejemplo, efectuar auditoría al proceso Gestión de Talento Humano 2014, a partir de los papeles de trabajo de la auditoría al mismo proceso en el año 2013). Por cada auditoría basada en riesgos, el software ofrece funcionalidades con procedimientos, guías y formatos para desarrollar las (4) cuatro fases del proceso de auditoría: 1) Planeación, 2) Ejecución, 3) Comunicación de resultados y 4) Seguimiento a los hallazgos de auditoría y planes de mejoramiento. La figura 3, ilustra el enfoque de las auditorías realizadas con AUDIRISK. Figura 3: Las 4 Fases de la Auditoría FUNCIONALIDADES DE AUDIRISK PARA EL DESARROLLO DE LAS AUDITORÍAS BASADAS EN RIESGOS. Por cada auditoría, el software AUDIRISK ofrece funcionalidades para aplicar procedimientos de auditoría de aceptación general, organizadas en OCHO (8) etapas que se muestran a continuación y en el menú de la figura 4. Etapa 1: Pre auditoría: Definición de objetivos, alcance, recursos a emplear y programa de trabajo de la Auditoría. Etapa 2: Comprensión del proceso o sistema (Familiarización). Etapa 3: Identificar, documentar y Evaluar Riesgos Inherentes Críticos. Etapa 4: Definir Contexto de Riesgos de la Auditoría (Cubo de riesgos). Etapa 5: Evaluar Efectividad del Control Interno Existente Informe de Auditoría. 11

12 Etapa 6: Pruebas de Cumplimiento: Diseño, evaluación e informe de auditoría. Etapa 7: Pruebas Sustantivas: Diseño, evaluación e informe de auditoría. Etapa 8: Seguimiento a Hallazgos y Recomendaciones de la Auditoría. Figura 4: Etapas del proceso de Auditoría Basada en Riesgos críticos FASE I: PLANEACIÓN DE LA AUDITORÍA BASADA EN RIESGOS Esta fase de la auditoría comprende la ejecución de las cuatro primeras etapas de la metodología. Etapa 1: Pre-auditoría. Figura 5: Opciones Menu Etapa 1- Preauditoría 1. AUDIRISK asiste la elaboración del memorando de planeación de la auditoría, el programa de trabajo y la definición de los recursos requeridos de tiempo, personal y financieros. Las figuras 5 y 6 muestran las ayudas ofrecidas por el software. Figura 6: Memorando de Planeación de la Auditoría 12

13 2. AUDIRISK asiste al Auditor en la definición del cronograma para el desarrollo de la auditoría (para las primeras siete etapas y por auditor), conformación del equipo de trabajo y la asignación de otros recursos requeridos. Figura 7: Asignación de Recursos para la Auditoría 3. Ofrece opciones para visualizar los Papeles de Trabajo de la etapa y generar TO DOs (aspectos por hacer) por el supervisor de la auditoría, como se muestra en la figura 8. Al final de cada etapa, AUDIRISK muestra la lista de Papeles de Trabajo (los archivos de papeles corrientes que se pueden listar, imprimir y exportar a formato PDF (para que sean entregados a los entes reguladores que lo requieran) y muestra el reporte de los TO DOs (Notas para el asistente de Auditoría realizadas por el supervisor) ingresados durante el desarrollo de la etapa. 4. Estado Avance de la Auditoría (figura 7). Al final de cada etapa, AUDIRISK muestra información gráfica y numérica con el comparativo entre los tiempos planeados y realmente gastados, por etapa y por auditor. De igual manera compara los acumulados de tiempos requerido y gastado hasta la última etapa ejecutada. 13

14 Figura 8: Control avance de la Auditoría Etapa 1 Etapa 2: Comprensión del Proceso o Sistema sujeto a auditoría. Por cada tipo de trabajo de auditoría basada en riesgos críticos (procesos del modelo de operación de la empresa, procesos de tecnología de información, aplicaciones de computador y otros), el software presenta funcionalidades para asistir la obtención y registro en el archivo permanente o Expediente Continuo de la Auditoría, de la información vital para comprender las características y el ambiente administrativo, operativo y técnico del proceso o sistema sujeto a auditoría (figura 9). Figura 9: Menú principal de la Etapa 2 5. Caracterización. Para organizar la información que describe al proceso, sistema o actividad sujeta a auditoría, AUDIRISK ofrece formatos y listas de datos para ingresar los objetivos que satisface en la organización, actividades 14

15 que comprende, entradas, salidas y otros datos importantes, como se muestra en la figura 10. Figura 10: Caracterización del proceso o sistema Etapa 3: Identificación, Priorización y Evaluación de Riesgos Potenciales. En esta etapa el software ofrece funcionalidades para identificar, evaluar y priorizar los riesgos inherentes al proceso o sistema sujeto a auditoría (Categorías de Riesgo aplicables y amenazas o eventos negativos potenciales asociados a cada categoría). Si la auditoría está en el Plan Anual, se omiten las actividades de identificación y priorización de las categorías de riesgo aplicables al proceso o sistema objeto de la auditoría y se utilizan las 3 categorías de riesgo críticas obtenidas en el panorama de riesgos del proceso o sistema elaborado en la planeación anual de la auditoría. El software ofrece la posibilidad de utilizar las clases o categorías de eventos de riesgo 1 consideradas por los modelos SARO, SARLAFT, MECI y AUDIRISK o una combinación de los anteriores. Las clases de riesgo aplicables al proceso o sistema sujeto a auditoría se priorizan, para seleccionar las que pueden causar el mayor impacto financiero y operacional a la organización. Estas se denominan categorías de riesgo críticas. Para priorizarlas se aplican los principios de Pareto y del Poder del 3. 1 Clases o Categorías de Eventos de Riesgo: Son nombres genéricos bajo los cuales se agrupan las amenazas o eventos accidentales o intencionales que pueden causar daños o pérdidas a los activos de la organización Por ejemplo, bajo la denominación de FRAUDE INTERNO se incluyen entre otras, las siguientes amenazas: robo por suplantación electrónica de usuarios, omitir registro de transacciones de ingreso. 15

16 Figura 11: Pasos de la Etapa 3 - Identificar y evaluar riesgos potenciales 6. La priorización de las categorías de riesgos el software ofrece dos métodos: Delphy (Delphos) y clasificación por el sistema de Puntajes (Scoring o Churman Ackoff)- La figura 12, muestra la ayuda que ofrece el software para aplicar la técnica Delphy en la priorización de las clases de riesgo según su impacto y seleccionar las tres (3) más importantes. Figura 12: Priorización de las categorías de riesgo aplicables 7. Por cada una de las clases de riesgo críticas, AUDIRISK ayuda a identificar y documentar las amenazas 2 que podrían originarse en el desarrollo de la operación del proceso o sistema sujeto a auditoría. Como apoyo para identificar las amenazas, AUDIRISK ofrece una lista de más de una centena de amenazas típicas aplicables a procesos del modelo de operación y tecnología de 2 Amenaza: corresponde al concepto de eventos de riesgo negativos, considerado por el componente identificación de eventos del modelo COSO ERM. Equivale al concepto de riesgo potencial utilizado por los estándares ISO 31000, AS/NZ 4360 y el MECI. Se refiere a cualquier evento accidental o intencional que en caso de presentarse genera daños a uno o más activos y pérdidas a la organización. Una categoría de Riesgo agrupa a varias amenazas. 16

17 información en la mayoría de las organizaciones, asociadas a las categorías de riesgo de los modelos SARO, SARLAFT, MECI y AUDISIS. 8. Por cada amenaza, AUDIRISK ofrece funcionalidades para documentar los siete (7) elementos del riesgo: activos impactados; agentes generadores de riesgo (factores de riesgo), vulnerabilidades, frecuencia de ocurrencia, impacto (rangos de valor de las pérdidas estimadas por ocurrencia y otros tipos de impacto operacional), actividades del proceso en las que puede originarse, Dependencias de la empresa y de terceros en las cuales puede generarse. Los valores de medición cualitativa del riesgo inherente utilizada por AUDIRISK se muestran a continuación en la figura 13. Riesgo Inherente 1: Bajo (Tolerable) 2: Moderado 3: Alto (Importante) 4: Extremo (Inaceptable) Significado El riesgo es TOLERABLE para la organización, es decir, su ocurrencia puede causar pérdidas no significativas. Estos riesgos pueden aceptarse (asumirse) o tratarse con acciones de control para reducirlo (disminuir probabilidad de ocurrencia o su impacto). El riesgo es MODERADO para la organización. Su ocurrencia podría causar pérdidas de alguna consideración. Requiere acciones de respuesta para reducirlo. El riesgo es SIGNIFICATIVO para la organización, requiere de acciones de respuesta para reducirlo y transferirlo. Su ocurrencia podría causar pérdidas severas a la organización. El riesgo es INACEPTABLE o CATASTROFICO para la organización, es decir, en caso de ocurrir sus consecuencias desestabilizarían a la entidad. Requiere de acciones de respuesta para evitarlo o reducirlo y transferirlo. Figura 13: Escala de medición del Riesgo Inherente 9. AUDIRISK, con base en los valores de frecuencia anual de ocurrencia y de impacto, ingresados en el paso anterior, evalúa la exposición al riesgo inherente por cada amenaza (E: Extremo; A: Alto; M: Moderado y B: Baja). La figura 14 muestra la imagen de la evaluación de amenazas antes de controles, que realiza el software AUDIRISK. 17

18 Figura 14: Evaluación de Amenazas antes de controles, por Área Organizacional Etapa 4: Definición del Cubo de Riesgos de la Auditoría (figura 15) En esta etapa AUDIRISK ofrece funcionalidades para elaborar el cubo de riesgos de la auditoría, seleccionar objetivos de control aplicables y relacionar estos objetivos con las amenazas o eventos de riesgo identificados para el proceso o sistema sujeto a auditoría. En la figura 15 se muestran los pasos que deben ejecutarse en esta etapa. Figura 15: Definición del Cubo de Riesgos de la Auditoría 10. Para elaborar el Cubo de Riesgos de la Auditoría AUDIRISK utiliza tres variables: a) las actividades del proceso (subprocesos o escenarios de riesgo); b) las dependencias o áreas organizacionales de la empresa y terceros que intervienen en el manejo del proceso y c) las categorías o clases de riesgos críticos del proceso. 18

19 Figura 16: Matriz de Escenarios Vs. Areas Organizacionales 11. AUDIRISK genera tres matrices de riesgo (desdoblamiento del cubo) en las que muestran las amenazas que pueden presentarse en los escenarios de riesgo y las áreas organizacionales que intervienen en el proceso o sistema sujeto a auditoría. Estas matrices definen el contexto de riesgos para cada auditoría. 12. AUDIRISK ofrece funcionalidades para asignar objetivos de control aplicables a los escenarios de riesgo y relacionarlos con las amenazas del proceso o sistema objeto de la auditoría. FASE II: EJECUCION RESULTADOS. DE LA AUDITORIA Y COMUNICACIÓN DE Etapa 5: Evaluar Efectividad del Sistema de Control Interno Existente En esta etapa AUDIRISK ayuda a identificar y documentar los controles establecidos en todo el proceso o sistema bajo auditoría y evalúa su efectividad (capacidad de los controles para reducir el riesgo inherente a niveles aceptables de riesgo residual), es decir, genera mediciones de la protección que ofrecen y del riesgo después de controles (riesgo residual). Esta evaluación se realiza asumiendo que los controles establecidos en el proceso o sistema, son estándares que se aplican en todos los puntos de operación de la empresa, es decir, en todas las oficinas, localizaciones y regionales. Los pasos que se ejecutan en esta etapa se muestran en la figura

20 Figura 17: Pasos de la Etapa 5, Evaluación del sistema de Control Interno 13. Identificar Controles Establecidos en la Organización. El software y la base de conocimientos de AUDIRISK asisten a los auditores en la construcción de cuestionarios de control con las best practices universales de control aplicables para mitigar las amenazas o eventos de riesgo del proceso o sistema sujeto a auditoría. El cuestionario se construye a la medida de las necesidades de la empresa apoyándose en la base de conocimientos de AUDIRISK y se utiliza como herramienta para identificar los controles establecidos, en entrevistas con los responsables del proceso o sistema. 15. Evaluar la Efectividad de los Controles Establecidos. AUDIRISK ofrece ayudas para informar al sistema los controles del cuestionario que están implantados por cada amenaza y aplica tres criterios para evaluar la efectividad (eficacia + eficiencia) de tales controles: a) Que se utilice al menos una vez los tres anillos o niveles de control (preventivo, detectivo y correctivo); b) Que el promedio del nivel de automatización y discrecionalidad de los controles sea aceptable (promedio mayor que 3.5) y c) que el costo / beneficio de los controles se razonable (no mayor del 5% de los activos impactados por la amenaza). Con base en los controles informados, AUDIRISK evalúa la efectividad de los controles (la protección existente - PE) y el riesgo residual (RR) por cada amenaza, escenario de riesgo (subproceso), área organizacional y categoría de riesgo, como se muestra en la Figura 18. Figura 18: Criterios de Evaluación de Efectividad de los Controles por Amenaza 20

21 16. Con los resultados de la evaluación del control interno existente, AUDIRISK genera Mapas de Riesgo Residual en los que se indica la Situación Actual de Protección Existente (figura 19), localizando los códigos de las amenazas en celdas de colores amarillo, naranja y rojo cuando tienen protección 2- mejorable, 3-insuficiente, 4- deficiente y 5-muy deficiente, respectivamente. En color verde se localizan las amenazas que tienen protección 1-apropiada. Estos mapas se generan por categorías de riesgo, actividades del proceso (escenarios de riesgo) y áreas organizacionales. Figura 19: Situación actual de protección existente por Escenario de Riesgo 16. Análisis de Hallazgos e Informe de Auditoría con los resultados de la Evaluación del Control Interno (figura 20). AUDIRISK ofrece funcionalidades y ayudas para analizar las deficiencias y debilidades de control interno identificadas para amenazas con efectividad diferente de APROPIADA y generar el informe de auditoría con los resultados de la evaluación de control interno existente y acciones de mejora requeridas (texto y gráficos). 21

22 Figura 20: Desarrollo de Hallazgos de Control Interno 17. AUDIRISK genera el informe de la auditoría con los resultados de la evaluación de control interno existente. Este informe contiene objetivos y alcance de evaluación y la evaluación por cada escenario de riesgo (actividad) del proceso, indicando por cada amenaza: nombre de la amenaza, calificación del riesgo inherente, calificación de la protección existente, calificación del riesgo residual y el código de los hallazgos que describen la debilidad o deficiencia identificada por la auditoría. Figura 21: Informe de Auditoría con los resultados de la Evaluación del Control Interno Existente 22

23 18. El informe también se presenta en tres columnas, los hallazgos de auditoría y sus causas, la descripción y calificación del impacto que podrían tener las debilidades de control y las acciones de mejora que los criterios de evaluación señalen para conducir la efectividad de los controles al nivel 1-APROPIADA. Se producen dos informes (detallado y ejecutivo) y la carta de envío a la Administración. Estos informes son exportables a Word, PDF y otros formatos. En la figura 21 se visualiza la pantalla de cómo el software genera el informe detallado con los resultados de la evaluación del control interno existente. Etapa 6: Pruebas de Cumplimiento a los Controles Establecidos. El software AUDIRISK ofrece funcionalidades para diseñar, planear y asistir la ejecución de pruebas de cumplimiento a los controles claves de las amenazas que tienen protección 1-APROPIADA, para las dependencias o áreas organizacionales que intervienen en el proceso o sistema sujeto a auditoría. La figura 22 muestra el menú del software para realizar las pruebas de cumplimiento. Figura 22: Menú Etapa 6 - Pruebas de Cumplimiento 18. AUDIRISK ofrece ayudas y criterios para seleccionar los controles clave que serán verificados, las técnicas de prueba a emplear y los sitios de prueba (áreas organizacionales y oficinas que dependan de éstas). La figura 23 muestra la pantalla de selección de los controles a verificar. 23

24 Figura 23: Selección de controles a verificar 19. Generación y procesamiento de listas de Comprobación. Con los controles seleccionados, AUDIRISK genera checklists de controles por sitios de prueba y ofrece funcionalidades para ingresar y procesar las respuestas. Como resultado, el software mide porcentualmente el cumplimiento de los controles establecidos por cada amenaza y los compara contra la protección existente obtenida en la evaluación del control interno (etapa 5); la figura 24 muestra estos resultados. Figura 24: Resultados de pruebas de cumplimiento por Dependencias 20. Análisis de Hallazgos y Generación de informes de Auditoría con los resultados de las Pruebas de Cumplimiento. Para las amenazas con cumplimiento de los controles inferior al 80%, el software ofrece formatos y ayudas para registrar y analizar los hallazgos de la auditoría y generar el informe de auditoría con los resultados de estas pruebas. Para los controles con 24

25 respuestas en el checklist diferentes de SIEMPRE, el software solicita ingresar los motivos del incumplimiento y generar estadísticas por sitio de prueba, área organizacional y consolidadas del proceso. En la figura 25 se muestra el formulario que ofrece el software para analizar los hallazgos de las pruebas de cumplimiento y generar el correspondiente informe de auditoría. Figura 25: Desarrollo de los Hallazgos de Pruebas de Cumplimiento AUDIRISK genera el informe de la auditoría con los resultados de las pruebas de cumplimiento realizadas por sitio de prueba. Por cada amenaza cuyos controles se verificaron, el software muestra: descripción de la amenaza, protección existente en evaluación de control interno (antes de pruebas), % de cumplimiento, protección existente después de pruebas, riesgo residual después de pruebas y los códigos de hallazgos que describen y analizan la NO CONFORMIDAD cuando el cumplimiento los controles es inferior al 80%. Etapa 7: Pruebas Sustantivas (pruebas a la exactitud de la información) El software AUDIRISK ofrece funcionalidades para diseñar, planear y asistir la ejecución de Pruebas Sustantivas a la información del proceso que pudiera ser impactada por amenazas que en la evaluación de control interno (etapa 5) tienen protección 3-INSUFICIENTE, 4-DEFICIENTE y 5-MUY DEFICIENTE en las dependencias o áreas organizacionales que intervienen en el proceso o sistema sujeto a auditoría. Estas pruebas también se aplican sobre amenazas que en las pruebas de cumplimiento presentan porcentaje de cumplimiento inferior al 80%. La figura 26, muestra el menú de opciones para realizar pruebas sustantivas. 25

26 Figura 26: Etapa 7 Pruebas sustantivas 21. El software AUDIRISK ayuda a seleccionar los datos que podrían ser impactados por las amenazas que presentaron protección diferente de Apropiada y Mejorable en la evaluación de control interno (etapa 5) o que las pruebas de cumplimiento presentan porcentaje (%) de cumplimiento de controles inferior al 80%. La figura 27, muestra el formato de pantalla para seleccionar las cifras sobre los que se realizan pruebas sustantivas. Figura 27: Identificación de Cifras Críticas a Verificar 22. Por cada uno de los datos seleccionados para pruebas sustantivas, AUDIRISK ofrece formatos y ayudas para asignar técnicas de verificación a emplear, elaborar el plan y programar su ejecución en los sitios de prueba. 23. Generación y procesamiento de listas de Comprobación. Con los datos seleccionados que podrían ser impactados por cada amenaza, AUDIRISK genera checklists de Exactitud de la Información por sitios de prueba y ofrece funcionalidades para ingresar y procesar las respuestas. Como resultado, el software mide porcentualmente la exactitud de la información verificada por cada amenaza y los compara contra la protección existente obtenida en la evaluación del control interno (etapa 5); la figura 28 muestra los checklist de pruebas sustantivas. 26

27 Figura 28: Ingreso de resultados a los datos 24. Análisis de Hallazgos y Generación de informes de Auditoría con los resultados de las Pruebas Sustantivas. El software presenta un formato similar al descrito en evaluación del control interno y las pruebas de cumplimiento, para registrar y analizar los hallazgos o no conformidades identificadas y generar el correspondiente informe de auditoría. 25. Evaluación de Satisfacción de Criterios de Información de Negocios. El software ofrece funcionalidades para evaluar la satisfacción de los siete (7) criterios COBIT que debe cumplir la información de negocios generada por el proceso o sistema auditado, figura

28 Figura 28: Funcionalidades para evaluar satisfacción de los 7 criterios COBIT FASE IV: SEGUIMIENTO AL INFORME CON LOS RESULTADOS DE LA AUDITORÍA. Etapa 8: Seguimiento a Informes con los Resultados de la Auditoría El software ofrece funcionalidades para planear, ejecutar, analizar e informar los resultados del seguimiento a los hallazgos y recomendaciones de la auditoría. producidos en la evaluación del control interno (etapa 5), pruebas de cumplimiento (Etapa 6) y pruebas sustantivas (Etapa 7), utilizando el menú de la figura

29 Figura 29: Menú de la Etapa 8: Seguimiento 26. Planeación del Seguimiento. El software ofrece ayudas para planear el seguimiento a los hallazgos y recomendaciones incluidas en el informe con los resultados de la auditoría. Por cada recomendación se define la prioridad, responsable de implantar las acciones de mejoramiento, fechas de compromiso y fechas de seguimiento. Incluye opciones para generar recordatorios por correo electrónico dirigidos a los auditados (figura 30). Figura 30: Planeación del seguimiento a recomendaciones 28. Ejecución y Resultados del Seguimiento. El software asiste el ingreso de los resultados del seguimiento y la generación de reportes con los resultados del seguimiento efectuado por la auditoría, como los que se muestran en las figura

30 Figura 31: Estado de Atención de las recomendaciones de la auditoría MODULO 3: SEGUIMIENTO A INFORMES DE AUDITORÍAS EFECTUADAS POR TERCEROS. AUDIRISK ofrece funcionalidades para realizar seguimiento a los planes de mejoramiento institucional e informes de auditorías internas y externas no realizadas con AUDIRISK. Para este fin, el software ofrece opciones para mantenimiento de las entidades auditoras, ingresar hallazgos y recomendaciones de los informes de auditoría, planear y ejecutar los seguimientos. Las opciones de este módulo se muestran en las figura 32 y 33. Figura 32: Ambiente de trabajo para seguimientos a Auditorías no realizadas con AUDIRISK. AUDIRISK ofrece formatos y opciones para ingresar hallazgos, recomendaciones y metas por recomendación, planear seguimiento, generar recordatorios y producir informes del seguimiento, como se muestra en el menú de la figura

SOFTWARE DE AUDITORÍA BASADA EN RIESGOS CRITICOS

SOFTWARE DE AUDITORÍA BASADA EN RIESGOS CRITICOS Versión 2015 SOFTWARE DE AUDITORÍA BASADA EN RIESGOS CRITICOS Derechos de autor reservados por AUDISIS PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Servicios

Más detalles

SOFTWARE DE AUDITORÍA BASADA EN RIESGOS

SOFTWARE DE AUDITORÍA BASADA EN RIESGOS Versión 2012 SOFTWARE DE AUDITORÍA BASADA EN RIESGOS PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Calle 53 No. 27-33 Oficina 602 Tels.: 2556717 2556757 2556816,

Más detalles

Versión 2015 SOFTWARE DE ADMINISTRACIÓN INTEGRAL DE RIESGOS Y DISEÑO DE CONTROLES PRESENTACION DEL PRODUCTO

Versión 2015 SOFTWARE DE ADMINISTRACIÓN INTEGRAL DE RIESGOS Y DISEÑO DE CONTROLES PRESENTACION DEL PRODUCTO Versión 2015 SOFTWARE DE ADMINISTRACIÓN INTEGRAL DE RIESGOS Y DISEÑO DE CONTROLES PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Servicios Orientados a la Prevención

Más detalles

Auditoria de Sistemas Basada en Riesgos

Auditoria de Sistemas Basada en Riesgos Las Auditorías de Sistemas, internas ó externas, realizan un examen sistemático, objetivo e independiente de la eficiencia, eficacia y seguridad en los procesos y operaciones de tecnología de información,

Más detalles

AUDITORIA BASADA EN RIESGOS

AUDITORIA BASADA EN RIESGOS SEMINARIO TALLER Marzo 24, 25 y 26 DE 2.010 CONTENIDO Beneficios 2 Objetivos 3 A quién esta Dirigido? Temas del Seminario 3-4 Instructores 5 Metodología 5 Valor Inversión y forma de pago Nuestros Servicios

Más detalles

Software de Administración Integral de Riesgos y Diseño de Controles

Software de Administración Integral de Riesgos y Diseño de Controles Software de Administración Integral de Riesgos y Diseño de Controles Versión 2015 Contenido ControlRisk: Qué es y para Qué Sirve?. Características del Software ControlRisk. Especificaciones Técnicas del

Más detalles

Software de Administración Integral de Riesgos y Diseño de Controles

Software de Administración Integral de Riesgos y Diseño de Controles Software de Administración Integral de Riesgos y Diseño de Controles Versión 2015 Contenido ControlRisk: Qué es y para Qué Sirve?. Características del Software ControlRisk. Especificaciones Técnicas del

Más detalles

SOFTWARE PARA AUDITORÍA Y GESTIÓN DE RIESGOS

SOFTWARE PARA AUDITORÍA Y GESTIÓN DE RIESGOS SOFTWARE PARA AUDITORÍA Y GESTIÓN DE RIESGOS Por qué utilizar Software de Auditoría? Contenido: AUDIRISK IDEA 2 3 SMART ANALYZER FINANCIAL 4 EXAMINER 4 SMART EXPORTER 4 WORKING PAPERS 4 El uso de software

Más detalles

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO Código: DG-D-008 - Versión: 03 - Fecha Emisión: 01/03/2013 1/14 Contenido 1. OBJETIVOS....3 2. ALCANCE....4 3. REFERENCIAS NORMATIVAS....4 4. TERMINOS Y DEFINICIONES...5

Más detalles

MANUAL DE POLITICAS DE RIESGO ESTRATEGICO

MANUAL DE POLITICAS DE RIESGO ESTRATEGICO MANUAL DE POLITICAS DE RIESGO ESTRATEGICO REGISTRO DE CAMBIOS Y REVISIONES Fecha Descripción del cambio o revisión Versión Responsable 26.05.2014 Manual de Políticas de Riesgo Estratégico 1.0 Carlos Zapata

Más detalles

Auditorías basadas en datos

Auditorías basadas en datos Las Tecnologías de Información y comunicaciones (TICs), al tiempo que plantean retos a los auditores (internos, externos y Revisores Fiscales) para evaluar el control interno y la seguridad de las empresas,

Más detalles

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación

Más detalles

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

GESTIÓN DE RIESGO. Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C.

GESTIÓN DE RIESGO. Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C. GESTIÓN DE RIESGO Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C. MARCO NORMATIVO Con el propósito de desarrollar un sistema eficiente para la gestión de riesgos, el Ministerio

Más detalles

Norma ISO 31000:2009, ges ón de riesgos - principios y direc- trices,

Norma ISO 31000:2009, ges ón de riesgos - principios y direc- trices, Este seminario presentará un marco de referencia y metodológico seguro y eficiente para implantar la ges- ón de riesgos empresariales, específicamente para idenficar, documentar, evaluar, controlar, monitorear,

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

CONTROL INTERNO ALCALDIA MUNICIPAL DE HERVEO- TOLIMA

CONTROL INTERNO ALCALDIA MUNICIPAL DE HERVEO- TOLIMA INFORME ANUAL DE EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO CONTABLE ALCALDIA MUNICIPAL DE HERVEO- TOLIMA VIGENCIA 2013 OFICINA DE CONTROL INTERNO INGRID PAOLA NAVARRO VARGAS Jefe de Control interno Herveo,

Más detalles

METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP

METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP La metodología recomendada en este documento para el desarrollo de un plan de recuperación ante desastres o DRP para los sistemas

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

Herramientas de Software para auditoria

Herramientas de Software para auditoria Herramientas de Software para auditoria Presentado a: Carlos Hernán Gómez Juan David Delgado Ramírez Alexander Cardona Grisales WINAUDIT Instalación El software no necesita instalación Navegación Menú

Más detalles

MANUAL ESPECÍFICO DE FUNCIONES Y DE COMPETENCIAS LABORALES I. IDENTIFICACIÓN

MANUAL ESPECÍFICO DE FUNCIONES Y DE COMPETENCIAS LABORALES I. IDENTIFICACIÓN GRUPO INTERNO DE TRABAJO DE CONTROL INTERNO MANUAL ESPECÍFICO DE FUNCIONES Y DE COMPETENCIAS LABORALES I. IDENTIFICACIÓN Nivel: Profesional Denominación del Empleo: Profesional Especializado Código: 2028

Más detalles

Sistema de Administración del Riesgos Empresariales

Sistema de Administración del Riesgos Empresariales Sistema de Administración del Riesgos Empresariales Si tomas riesgos podrías fallar. Si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada Roberto Goizueta CEO Coca-Cola

Más detalles

POLITICA DE ADMINISTRACION DEL RIESGO

POLITICA DE ADMINISTRACION DEL RIESGO POLITICA DE ADMINISTRACION DEL RIESGO 2014 POLÍTICA DE ADMINISTRACIÓN DEL RIESGO DE LA COMISIÓN DE REGULACIÓN DE ENERGÍA Y GAS -CREG- La Comisión de Regulación de Energía y Gas, CREG, implementa como Política

Más detalles

INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO - LEY 1474 DE 2011 Jefe de Control Interno, o quien haga sus veces: Martha Cecilia Mora Correa

INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO - LEY 1474 DE 2011 Jefe de Control Interno, o quien haga sus veces: Martha Cecilia Mora Correa INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO - LEY 1474 DE 2011 Jefe de Control Interno, o quien haga sus veces: Martha Cecilia Mora Correa Período evaluado: NOVIEMBRE 2011 FEBRERO DE 2012 Fecha

Más detalles

VENTAJAS Y RIESGOS DE LA TECNOLOGÍA INFORMÁTICA Y COMUNICACIONES (TIC), EN EL EJERCICIO DE LA REVISORÍA FISCAL.

VENTAJAS Y RIESGOS DE LA TECNOLOGÍA INFORMÁTICA Y COMUNICACIONES (TIC), EN EL EJERCICIO DE LA REVISORÍA FISCAL. VENTAJAS Y RIESGOS DE LA TECNOLOGÍA INFORMÁTICA Y COMUNICACIONES (TIC), EN EL EJERCICIO DE LA REVISORÍA FISCAL. MIGUEL HUGO CAMARGO MARTINEZ RESUMEN RESPONSABILIDAD DEL REVISOR FISCAL EN EL CONTROL INTERNO

Más detalles

BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA

BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA Señor usuario a continuación le daremos a conocer nuestro protocolo de seguridad para garantizarle un servicio de calidad

Más detalles

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA PLAN DE MANEJO DE RIESGOS Contenido PLAN DE MANEJO DE RIESGOS.... 3 Elaboración del mapa de riesgos... 3 Monitoreo... 4 Autoevaluación... 4 Metodología... 7

Más detalles

Casos de negocios INTRODUCCION PLANTEAMIENTO DEL PROBLEMA DESARROLLO DEL PROYECTO ELABORACION DE LAS TABLAS DE RETENCION DOCUMENTAL

Casos de negocios INTRODUCCION PLANTEAMIENTO DEL PROBLEMA DESARROLLO DEL PROYECTO ELABORACION DE LAS TABLAS DE RETENCION DOCUMENTAL INTRODUCCION PLANTEAMIENTO DEL PROBLEMA DESARROLLO DEL PROYECTO ELABORACION DE LAS TABLAS DE RETENCION DOCUMENTAL AIRE: AUTOMATIZACION DE LAS TABLAS DE RETENCION DOCUMENTAL + El Catálogo Tablas de Retención

Más detalles

Descripción de las posiciones del área de sistemas

Descripción de las posiciones del área de sistemas Descripción de posiciones del área de Sistemas Operador/Data Entry Entrar y verificar datos provenientes de distintas vías de ingreso. Monitorear procesos, programas y resultados. Seguir los formatos apropiados

Más detalles

Diseño dinámico de arquitecturas de información

Diseño dinámico de arquitecturas de información Diseño dinámico de arquitecturas de información CARACTERISTICAS DEL SISTEMA Las organizaciones modernas basan su operación en la gestión del conocimiento, es decir, en el manejo de información que se presenta

Más detalles

DEPARTAMENTO DEL META MUNICIPIO DE PUERTO LLERAS NIT 892.099.309-2 CONTROL INTERNO INFORME SEGUIMIENTO MAPA DE RIESGOS

DEPARTAMENTO DEL META MUNICIPIO DE PUERTO LLERAS NIT 892.099.309-2 CONTROL INTERNO INFORME SEGUIMIENTO MAPA DE RIESGOS PROCESO AREA AUDITADA: MAPA DE RIESGOS DIRECTIVO RESPONSABLE: Secretaria de Planeación Responsables de los Procesos FECHA DE ELABORACION: Marzo de 2014 DESTINATARIO: Alcaldesa Secretarios de Despacho ASPECTOS

Más detalles

Audire V.3 FECHA DEL BOLETÍN BOLETIN 15

Audire V.3 FECHA DEL BOLETÍN BOLETIN 15 Audire V.3 FECHA DEL BOLETÍN BOLETIN 15 INTRODUCCION En los últimos años los sistemas de información han venido aportando a los procesos de las empresas una gran ayuda en la recopilación y administración

Más detalles

PROCEDIMIENTO AUDITORIAS INTERNAS INTEGRALES DEL PROCESO SEGUIMIENTO, CONTROL Y EVALUACION DEL SIG.

PROCEDIMIENTO AUDITORIAS INTERNAS INTEGRALES DEL PROCESO SEGUIMIENTO, CONTROL Y EVALUACION DEL SIG. Página:1 1. OBJETIVO Y CAMPO DE APLICACIÓN Aplicando las técnicas de auditoría universalmente aceptadas y con base en un plan de auditoría, se busca medir el grado de eficiencia y eficacia con que se manejan

Más detalles

establecimiento, implementación, operación, evaluación y mejora de un BCM de acuerdo a la

establecimiento, implementación, operación, evaluación y mejora de un BCM de acuerdo a la Contenido: Objetivos 3 A quién esta Dirigido? Temas del Seminario 4 Instructores 5 Metodología 6 Valor Inversión 6 Nuestros Productos y Servicios Profesionales 7 La Gestión de Continuidad del Negocio (BCM

Más detalles

3- Sensibilizar y capacitar al grupo de trabajo definido por el FNA, para el acompañamiento en las actividades del proyecto.

3- Sensibilizar y capacitar al grupo de trabajo definido por el FNA, para el acompañamiento en las actividades del proyecto. REQUERIMIENTOS TECNICOS Contratar los servicios de una firma que realice la implantación del Sistema de Costos por Actividad Costeo ABC del FONDO NACIONAL DE AHORRO. Incluye análisis, diseño, implementación,

Más detalles

La U.A.E.A.C. debe contar con el Software en producción y actualizado para:

La U.A.E.A.C. debe contar con el Software en producción y actualizado para: 1. DESCRIPCION DE LA NECESIDAD QUE LA ENTIDAD PRETENDE SATISFACER CON LA CONTRATACIÓN Para la Unidad Administrativa Especial de Aeronáutica Civil que ofrece servicios aeronáuticos, aeroportuarios, informáticos

Más detalles

RESOLUCIÓN. Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES,

RESOLUCIÓN. Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES, RESOLUCIÓN Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES, En uso de sus atribuciones legales, reglamentarias, y en especial las conferidas por el

Más detalles

TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO AUDITORIAS INTERNAS PÁGINA: 1 de 7

TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO AUDITORIAS INTERNAS PÁGINA: 1 de 7 PROCESO CONTROL INTERNO CÓDIGO SUBPROCESO CONTROL INTERNO 1.1.2-CI-001 TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO PÁGINA: 1 de 7 1.OBJETIVO Proporcionar metodología para realizar las s internas

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

SUPERINTENDENCIA FINANCIERA DE COLOMBIA Página 1 CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERATIVO Consideraciones generales En desarrollo de sus operaciones, las entidades sometidas a la inspección y vigilancia de la

Más detalles

Subsistema de Control Estratégico Avances

Subsistema de Control Estratégico Avances BANCO DE COMERCIO EXTERIOR DE COLOMBIA BANCOLDEX INFORME CUATRIMESTRAL DEL ESTADO DE CONTROL INTERNO (Estatuto anticorrupción Ley 1474 de 2011) PERÍODO: NOV-2012 A FEB-2013 Subsistema de Control Estratégico

Más detalles

INSTRUCTIVO ELABORACION MAPA DE RIESGOS

INSTRUCTIVO ELABORACION MAPA DE RIESGOS Código :EV-EV- IN01 Página: 1 de 18 ADMINISTRACIÓN DEL RIESGO La Administración del Riesgo se construye para identificar, evaluar y controlar los eventos que pueden impedir el logro de los objetivos institucionales.

Más detalles

Por tanto, en base a las disposiciones legales antes señaladas, el Consejo Directivo de la Superintendencia de Valores ACUERDA emitir la siguiente:

Por tanto, en base a las disposiciones legales antes señaladas, el Consejo Directivo de la Superintendencia de Valores ACUERDA emitir la siguiente: Considerando: I- Que el artículo 5 de la Ley Orgánica de la Superintendencia de Valores, establece como uno de los deberes de esta Superintendencia, facilitar el desarrollo del mercado de valores, tanto

Más detalles

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para

Más detalles

PLAN ANUAL DE AUDITORIA VIGENCIA 2014 ALCALDIA MUNICIPAL DE CHAPARRAL OFICINA DE CONTROL INTERNO. Hugo Fernando Arce Hernández Alcalde

PLAN ANUAL DE AUDITORIA VIGENCIA 2014 ALCALDIA MUNICIPAL DE CHAPARRAL OFICINA DE CONTROL INTERNO. Hugo Fernando Arce Hernández Alcalde PLAN ANUAL DE AUDITORIA VIGENCIA 2014 ALCALDIA MUNICIPAL DE CHAPARRAL OFICINA DE CONTROL INTERNO Hugo Fernando Arce Hernández Alcalde Marisel Suarez Perdomo Jefe de Control Interno CHAPARRAL TOLIMA Enero

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

www.datasec-soft.com metodología de evaluación y control de riesgos

www.datasec-soft.com metodología de evaluación y control de riesgos El Gobierno de la TI es una parte importante de la Gobernabilidad Empresarial que apunta a desarrollar procesos, estructuras organizacionales y liderazgo para asegurar que la Tecnología de la Información

Más detalles

POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A.

POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. 1. ÁMBITO DE APLICACIÓN El presente documento establece los lineamientos generales mínimos que deben observar los administradores y

Más detalles

RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA. José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM.

RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA. José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. Introducción Antecedentes CONTENIDO Evolución de la Gestión

Más detalles

ENCARGADO /A AREA DE AUDITORÍA

ENCARGADO /A AREA DE AUDITORÍA ENCARGADO /A AREA DE AUDITORÍA NATURALEZA DEL TRABAJO Participación en la planeación, dirección, coordinación, supervisión y ejecución de labores profesionales, técnicas y administrativas de alguna dificultad

Más detalles

Estándares de Información Primaria, Secundaria, Sistemas de Información. Estándares de Macroprocesos, Procesos y Procedimientos Diseñados.

Estándares de Información Primaria, Secundaria, Sistemas de Información. Estándares de Macroprocesos, Procesos y Procedimientos Diseñados. GUÍA 43 Diagnóstico Comunicación Institucional Descripción La comunicación Institucional se da al interior de la entidad y se orienta al cumplimiento de los principios de economía, eficiencia y eficacia,

Más detalles

Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com

Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com Contenido Objetivos de la charla. Motivación de la charla. Repaso a COSO

Más detalles

COBIT. www.datasec-soft.com

COBIT. www.datasec-soft.com COBIT metodología de evaluación y control de riesgos El software MEYCOR COBIT CSA ha sido desarrollado por DATASEC y constituye una herramienta con características únicas a nivel mundial, ya que en su

Más detalles

CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3

CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3 DE RIESGOS Página 1 de 21 CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3 3.1 Metodología de Análisis de Riesgos... 3 3.2 Valoración de Activos... 6 3.3

Más detalles

EVALUACIÓN DEL CONTROL INTERNO CONTABLE VIGENCIA 2013

EVALUACIÓN DEL CONTROL INTERNO CONTABLE VIGENCIA 2013 EVALUACIÓN DEL CONTROL INTERNO CONTABLE VIGENCIA 2013 En cumplimiento de las funciones asignadas a la Oficina de Control Interno, desarrollamos los procedimientos de auditoría que se indican más adelante,

Más detalles

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO DESCRIPCION La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un marco de trabajo de las buenas

Más detalles

Gestión de riesgo operacional

Gestión de riesgo operacional Gestión de riesgo operacional Vicente Lazen J. Jefe División Custodia y Liquidación de Valores Superintendencia de Valores y Seguros Chile Presentación y Taller sobre el Estudio del Registro, Compensación

Más detalles

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA Implementando COBIT Por: Víctor Julio Zúñiga.MBA 1 LOS MODELOS DE MEJORES PRÁCTICAS Y LAS METAS DE TI tiempo 2 Alineado Soporte al Negocio Controlados Mejor seguros Calidad del Servicio Riesgos De TI tiempo

Más detalles

ISO 9001 Auditing Practices Group Guidance on:

ISO 9001 Auditing Practices Group Guidance on: International Organization for Standardization Forum International Accreditation ISO 9001 Auditing Practices Group Guidance on: Auditando sistemas de gestión en base electrónica (EBMS) 1. Introducción

Más detalles

PERFILES OCUPACIONALES

PERFILES OCUPACIONALES PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan

Más detalles

ARTESANIAS DE COLOMBIA S.A

ARTESANIAS DE COLOMBIA S.A ARTESANIAS DE COLOMBIA S.A Sistema integrado de Gestión de Calidad ISO 9001 NTCGP 1000 MECI 1000 DESCRIPCIÓN GENERAL DEL PROCESO DE GESTION ADMINISTRATIVA Y FINANCIERA CARACTERIZACIÓN PROCESO GESTION ADMINISTRATIVA

Más detalles

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG. METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP Bogotá Colombia A continuación haremos una descripción detallada de los pasos con que cuenta nuestra metodología de análisis de riesgo, la

Más detalles

Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO

Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO CONTENIDO 1. ANTECEDENTES E INTRODUCCIÓN 2. OBJETIVOS 3. CARACTERISTICAS 4. ESTRUCTURA 5. ELEMENTOS DEL CONTROL INTERNO

Más detalles

MANUAL ESPECIFICO DE FUNCIONES, REQUISITOS, COMPETENCIAS LABORALES EMPLEOS PLANTA DE PERSONAL FNA TOMO II APROBADO MEDIANTE RESOLUCION 056 DE 2015

MANUAL ESPECIFICO DE FUNCIONES, REQUISITOS, COMPETENCIAS LABORALES EMPLEOS PLANTA DE PERSONAL FNA TOMO II APROBADO MEDIANTE RESOLUCION 056 DE 2015 MANUAL ESPECIFICO DE FUNCIONES, REQUISITOS, COMPETENCIAS LABORALES EMPLEOS PLANTA DE PERSONAL FNA TOMO II VERSION: 5 CODIGO: GH-MN- FUN.REQ.COMP GESTION HUMANA FECHA: 11/May/2015 APROBADO MEDIANTE RESOLUCION

Más detalles

CONVOCATORIA PROYECTO 75077 SEPTIEMBRE 22 DE 2014 1. CONVOCATORIA EXTERNA

CONVOCATORIA PROYECTO 75077 SEPTIEMBRE 22 DE 2014 1. CONVOCATORIA EXTERNA CONVOCATORIA PROYECTO 75077 SEPTIEMBRE 22 DE 2014 1. CONVOCATORIA EXTERNA La Dirección de Regalías del Departamento Nacional de Planeación y el Programa de Naciones Unidas para el Desarrollo PNUD, en el

Más detalles

Normas de Auditoría de Tecnologías de la Información y la Comunicación

Normas de Auditoría de Tecnologías de la Información y la Comunicación Normas de Auditoría de Tecnologías de la Información y la Comunicación Resolución CGE/094/2012 27 de agosto de 2012 NE/CE-017 N O R M A D E C O N T R O L E X T E R N O NORMAS DE AUDITORÍA DE TECNOLOGÍAS

Más detalles

El Comité de Auditoría (en adelante el Comité) apoya al Directorio en revisar:

El Comité de Auditoría (en adelante el Comité) apoya al Directorio en revisar: COMITÉ DE AUDITORÍA ESTATUTO DEL COMITÉ DE AUDITORÍA 1. Marco referencia. La aplicación de cualquier otro tema no incluido en el presente Estatuto, se realizará con sujeción al Marco Internacional para

Más detalles

LA IMPORTANCIA DE LOS TABLEROS DE CONTROL. Conocido también como Cuadro de Mando Integral (CMI) o tablero de comando o balanced scorecard.

LA IMPORTANCIA DE LOS TABLEROS DE CONTROL. Conocido también como Cuadro de Mando Integral (CMI) o tablero de comando o balanced scorecard. LA IMPORTANCIA DE LOS TABLEROS DE CONTROL Jack Fleitman Conocido también como Cuadro de Mando Integral (CMI) o tablero de comando o balanced scorecard. La mayoría de las empresas grandes lo utilizan para

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

ARMONIZACIÓN MECI-CALIDAD

ARMONIZACIÓN MECI-CALIDAD ANTES DE INICIAR ARMONIZACIÓN MECI-CALIDAD CONTENIDO 1. Objetivos de la Sesión 2. Marco Legal para ambos sistemas 3. Generalidades 4. Conceptualización sobre la armonización 5. Elementos de articulación

Más detalles

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria Deloitte Training Riesgos de tecnología de información implicaciones y retos para la auditoria Definición del universo auditable y valoración de riesgos de TI Presentado por Mauricio Solano Redondo, Director

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

Principio Básico de Seguros IAIS No. 10 Control Interno. Experiencia Peruana. Superintendencia de Banca, Seguros y AFP Abril 2010.

Principio Básico de Seguros IAIS No. 10 Control Interno. Experiencia Peruana. Superintendencia de Banca, Seguros y AFP Abril 2010. Principio Básico de Seguros IAIS No. 10 Control Interno Experiencia Peruana Tomás Wong-Kit Superintendencia de Banca, Seguros y AFP Abril 2010 Contenido Definición de PBS IAIS No. 10 Objetivos exposición

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

REGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A

REGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A REGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A Bogotá D.C. 2011 CONTENIDO I. Aspectos Generales 1.1 Objetivo del Comité de Auditoría 1.2 Normatividad Vigente para el Comité de Auditoría

Más detalles

Sistemas de Pagos de Latinoamérica y el Caribe

Sistemas de Pagos de Latinoamérica y el Caribe Continuidad de Negocio en los Sistemas de Pagos de Latinoamérica y el Caribe Evaluación del estado actual Banco de México Septiembre, 2008 Agradecimientos El Banco de México agradece a los Bancos Centrales

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

GUIA PARA LA IMPLEMENTACION Y SEGUIMIENTO DE PLANES DE MEJORAMIENTO

GUIA PARA LA IMPLEMENTACION Y SEGUIMIENTO DE PLANES DE MEJORAMIENTO GUIA PARA LA IMPLEMENTACION Y SEGUIMIENTO DE PLANES DE MEJORAMIENTO 1 METODOLOGIA PARA LA IMPLEMENTACION Y SEGUIMIENTO DE PLANES DE MEJORAMIENTO INES SIERRA RUIZ JEFE OFICINA Bucaramanga, 2008 2 CONTENIDO

Más detalles

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN Página 1 de 19 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC CONTENIDO Número Tema Página Hoja de aprobación 3 Organigrama de la 4 133000 5 133100 Gerencia

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

1.8 TECNOLOGÍA DE LA INFORMACIÓN

1.8 TECNOLOGÍA DE LA INFORMACIÓN Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación

Más detalles

LINEAMIENTOS PARA AUDITORÍAS INTERNAS Y LAS AUDITORÍAS INTERNAS DE CALIDAD

LINEAMIENTOS PARA AUDITORÍAS INTERNAS Y LAS AUDITORÍAS INTERNAS DE CALIDAD Departamento Nacional de Planeación Bogotá, 2015 PAGINA: 2 de 15 TABLA DE CONTENIDO 1 INTRODUCCIÓN... 3 2 OBJETIVO... 3 3 ALCANCE... 3 4 REFERENCIAS NORMATIVAS... 3 5 DEFINICIONES... 4 6 DOCUMENTOS ASOCIADOS...

Más detalles

PROCEDIMIENTO DE AUDITORIA INTERNAS DE CALIDAD

PROCEDIMIENTO DE AUDITORIA INTERNAS DE CALIDAD GG-PRD-007 Página 1 de 9 1. OBJETIVO: Establecer las responsabilidades y los requisitos necesarios para la planeación y ejecución de auditorías internas al sistema de gestión de (S.G.C.) de la Cámara de

Más detalles

Para cumplimiento con esta misión, los objetivos marcados para esta Función son los siguientes:

Para cumplimiento con esta misión, los objetivos marcados para esta Función son los siguientes: Enero 5 de 2015 GESTIÓN Y CONTROL DE RIESGOS Helm Fiduciaria S.A., como parte integrante del Grupo Corpbanca, está soportada por la infraestructura que el Grupo ha diseñado para controlar y gestionar los

Más detalles

Información del Proyecto en http://colombia.casals.com

Información del Proyecto en http://colombia.casals.com ENTIDADES DE LA ALIANZA PROGRAMA EFICIENCIA Y RENDICIÓN DE CUENTAS EN EL ESTADO COLOMBIANO Información del Proyecto en http://colombia.casals.com 1 MODELO ESTÁNDAR DE CONTROL INTERNO MECI- CAPACITACIÓN

Más detalles

JULIO 2011 DIFUSIÓN DEL SISTEMA DE GESTIÓN DE LA CALIDAD ISO 9001:2008

JULIO 2011 DIFUSIÓN DEL SISTEMA DE GESTIÓN DE LA CALIDAD ISO 9001:2008 JULIO 2011 DIFUSIÓN DEL SISTEMA DE GESTIÓN DE LA CALIDAD ISO 9001:2008 AGENDA Objetivo de la Sesión de Trabajo Aspectos normativos del SGC (ISO 9001:2008) Estructura Documental OBJETIVO DE LA SESIÓN Involucrar

Más detalles

Washington Deza - Lima, Setiembre 2011 GESTION DEL RIESGO OPERACIONAL

Washington Deza - Lima, Setiembre 2011 GESTION DEL RIESGO OPERACIONAL Washington Deza - Lima, Setiembre 2011 GESTION DEL RIESGO OPERACIONAL RIESGO OPERATIVO Riesgo de Mercado Riesgo de Crédito Reputacion al Riesgo Operacion al Riesgo de Liquidez Riesgo Legal Lavado de Activos

Más detalles

Bogotá D.C., Octubre de 2010. Señor (es) Clientes Convenio de Cooperación ACH Colombia-Móvil Store Ciudad. Respetados señores:

Bogotá D.C., Octubre de 2010. Señor (es) Clientes Convenio de Cooperación ACH Colombia-Móvil Store Ciudad. Respetados señores: Bogotá D.C., Octubre de 2010 Señor (es) Clientes Convenio de Cooperación ACH Colombia-Móvil Store Ciudad Respetados señores: La globalización de las industrias y el comercio ha provocado la proliferación

Más detalles

Seminario Internacional. Cooperativas de Ahorro y Crédito

Seminario Internacional. Cooperativas de Ahorro y Crédito Seminario Internacional Cooperativas de Ahorro y Crédito Gobierno de TI 24 de octubre de 2012 Agenda Gobierno Corporativo de TI y CobiT I. Resultados de la normativa CobiT de SUGEF (14-09) Principales

Más detalles

INFORME DEL RESULTADO DE AUDITORIAS INTERNAS -SIG- PRIMER TRIMESTRE 2015

INFORME DEL RESULTADO DE AUDITORIAS INTERNAS -SIG- PRIMER TRIMESTRE 2015 INFORME DEL RESULTADO DE AUDITORIAS INTERNAS -SIG- PRIMER TRIMESTRE 2015 Oficina de Control Interno Superintendencia del Subsidio Calle 45 A # 9-46 Teléfonos: 3487777 - PBX: 3487800 www.ssf.gov.co - e-mail:

Más detalles

MODELO ESTANDAR DE CONTROL INTERNO - MECI

MODELO ESTANDAR DE CONTROL INTERNO - MECI 1 de 14 25/11/2015 06:02 a.m. MODELO ESTANDAR DE CONTROL INTERNO - MECI A. ENTORNO DE CONTROL A1 La entidad: Pregunta a. ha organizado el equipo MECI. b. Ha identificado sus funciones acorde con la normatividad

Más detalles

Figura 3.1 Implementación de ITIL

Figura 3.1 Implementación de ITIL C apí t u l o III IMPLEMENTACIÓN DE ITIL Existen distintos métodos para la implementación de ITIL, sin embargo cualquier organización puede alinearse a este marco de trabajo sin importar su tamaño o complejidad.

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

14-A NOTA 17 CONTROLES DE LEY Durante los ejercicios comprendidos entre el 1 de enero y el 31 de diciembre de 2011 y 2010, la Compañía ha dado debido cumplimiento a los controles de ley que le son aplicables,

Más detalles

La auditoría operativa cae dentro de la definición general de auditoría y se define:

La auditoría operativa cae dentro de la definición general de auditoría y se define: AUDITORIA DE SISTEMAS DE INFORMACIÓN Definición de auditoría: Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas los actos

Más detalles

Matriz de Riesgo, Evaluación y Gestión de Riesgos

Matriz de Riesgo, Evaluación y Gestión de Riesgos Matriz de Riesgo, Evaluación y Gestión de Riesgos Cualquier actividad que el ser humano realice está expuesta a riesgos de diversa índole los cuales influyen de distinta forma en los resultados esperados.

Más detalles

SIT - Sistemas Informáticos. Lavalle 391 4º "E" Ciudad A. de Buenos Aires. República Argentina. Tel.: 54(011) 4313-4148 - E-mail: info@sitsoft.com.

SIT - Sistemas Informáticos. Lavalle 391 4º E Ciudad A. de Buenos Aires. República Argentina. Tel.: 54(011) 4313-4148 - E-mail: info@sitsoft.com. Cambie el tiempo de tareas administrativas de sus auditores por tiempo de auditoria. Obtenga mediante tableros de control, información de gestión de riesgo, tareas de auditorias y seguimiento de observaciones,

Más detalles

PROCESO ADMINISTRACIÓN DEL SIG PROCEDIMIENTO GESTIÓN DE RIESGOS

PROCESO ADMINISTRACIÓN DEL SIG PROCEDIMIENTO GESTIÓN DE RIESGOS Página: 1 de 14 1. Objetivo Definir el marco de referencia y la metodología para la Administración de Riesgos de la entidad, facilitando el cumplimiento de sus objetivos y las funciones propias del Ministerio

Más detalles

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005 Librería Interamericana.com S.A.C. Av. La Encalada # 1587, Tienda A-215, C. C. El Polo Santiago de Surco, Lima, Perú Tlf. (511) 250 0773 Fax (511) 436 6144 www.libreriainteramericana.com Análisis del Riesgo

Más detalles