PRESENTACION DEL PRODUCTO

Tamaño: px
Comenzar la demostración a partir de la página:

Download "PRESENTACION DEL PRODUCTO"

Transcripción

1 Versión 2014 SOFTWARE DE AUDITORÍA BASADA EN RIESGOS PARA PROCESOS Y SISTEMAS DE INFORMACION PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Servicios Orientados a la Prevención,Reducción de Riesgos y mejoramiento en la cultura de control. Calle 53 No Oficina 602 Tels.: , PBX: Bogotá, D.C. Colombia web site: AUDISIS: Fundada en 1.988

2 Contenido QUÉ PUEDE HACER USTED CON LA POTENCIA DE AUDIRISK?... 3 MODULO 1: PLANEACION ANUAL DE LA AUDITORÍA BASADA EN VALORACIÓN DE RIESGOS MODULO 2: AUDITORÍAS BASADAS EN RIESGOS CRITICOS A PROCESOS Y SISTEMAS DE INFORMACION MODULO 3: SEGUIMIENTO A INFORMES DE AUDITORÍAS EFECTUADAS POR TERCEROS.. 30 MODULO 4: GESTION DE RESULTADOS DE LA AUDITORÍA MODULO 5: AUDITORIAS A SISTEMAS DE GESTION (MÓDULO EN CONSTRUCCIÓN) MODULO 6: ADMINISTRACION DE USUARIOS A QUIENES SIRVE LA METODOLOGIA Y EL SOFTWARE AUDIRISK? ELEMENTOS QUE RECIBE EL USUARIO DE AUDIRISK SERVICIOS DE SOPORTE TÉCNICO Y ACTUALIZACION REQUERIMIENTOS DE HARDWARE Y SOFTWARE PARA INSTALAR EL SOFTWARE AUDIRISK PERFIL DEL PROVEEDOR DE AUDIRISK EMPRESAS QUE UTILIZAN AUDIRISK Software de Auditoria Basada en Riesgos - AUDIRISK

3 AUDIRISK QUÉ PUEDE HACER USTED CON LA POTENCIA DE AUDIRISK? AUDIRISK es un software en tecnología WEB (Cloud Computing), para asistir a los auditores internos y externos en la administración y realización de Auditorías Basadas en Riesgos (a procesos del modelo de operación de la empresa y sistemas de información automatizados), Auditorías a Sistemas de Gestión (de calidad, de seguridad de la información, ambiental, Seguridad y salud ocupacional, gestión de continuidad del negocio) y el Seguimiento a Informes de Auditorías efectuadas por terceros. El software puede ser accedido vía web, en una red interna o en computadores stand alone. El software AUDIRISK, estandariza el desarrollo de las auditorías y los papeles de trabajo, utilizando funcionalidades que están alineadas con las normas y procedimientos de auditoría generalmente aceptados y con estándares nacionales e internacionales de administración de riesgos y control interno (ISO 31000, ISO 27001, COSO, ERM, ITIL, COBIT y MECI). Como punto de partida y apoyo para ejecutar las auditorías, AUDIRISK provee una base de datos de conocimientos que contiene mejores y buenas prácticas sobre clases de riesgos (por ejemplo, fraude interno, fallas tecnológicas, etc.), amenazas (eventos de riesgo potenciales), vulnerabilidades, agentes generadores de riesgo, controles, factores de exposición a riesgos y objetivos de control, las cuales están disponibles permanentemente para ser utilizadas por los auditores. Figura 1: Módulos del software AUDIRISK Software de Auditoria Basada en Riesgos - AUDIRISK

4 El software AUDIRISK consta de seis (6) módulos interrelacionados: a) Planeación Anual de la Auditoría; b) Auditorías basadas en Riesgos Críticos; c) Gestión de resultados de la auditoría; d) Seguimiento a informes de auditorías efectuadas por terceros; e) Auditorías de Sistemas de Gestión (de calidad, de seguridad de la información, ambiental y de salud ocupacional) y f) Administración de Usuarios. 1) Módulo 1: Planeación Anual de la Auditoría. AUDIRISK asiste en las actividades de elaboración de Planes de Trabajo Anuales de las auditorías internas y externas, con base en resultados de la valoración de la exposición a riesgos efectuada por los auditores a cada uno de los trabajos candidatos a ser auditados. Para las Auditorías Internas y de Sistemas de Información, el software satisface las exigencias de los estándares de auditoría del Instituto de Auditores Internos de los Estados Unidos (IIA) e ISACA (la asociación de Control y Auditoría de Sistemas de Información), los cuales establecen que el plan anual de la auditoría debe realizarse con un enfoque basado en valoración de riesgos. Por cada grupo de trabajos candidatos a ser auditados, el software ofrece funcionalidades y el apoyo de la base de conocimientos de AUDIRISK para diseñar, contestar y procesar cuestionarios con factores de riesgo, estimar la exposición a riesgos (necesidades de seguridad) de cada una de trabajos candidatos a ser auditados y elaborar un panorama de riesgos de la Empresa con la estimación de la exposición a las clases o categorías de riesgo del modelo de riesgos aplicable a la Empresa (SARO, SARLAFT, MECI, AUDISIS o combinación de las anteriores). Para las auditorías internas, AUDIRISK asiste la asignación de prioridades según la exposición a riesgos y la programación anual de trabajos para tres tipos de auditoría: los procesos del modelo de operación de la empresa, los procesos de tecnología de información y las aplicaciones de computador en producción. Como resultado, por cada grupo de trabajos candidatos a ser auditados, el software produce la matriz de planeación anual de la auditoría con dos alternativas para decidir las actividades a auditar: a) por el nivel de exposición a riesgos de los procesos y aplicaciones de computador candidatas a ser auditadas, y b) por el nivel de exposición de los procesos y aplicaciones de computador a cada una de las clases o categorías de riesgo. También permite incluir en la planeación anual de la Auditoría Interna, la programación de auditorías a sistemas de gestión (calidad, ISO y otras), auditorías de seguimiento a informes de auditorías realizadas y otros trabajos que sean asignados a la Auditoría Interna. Elabora cronograma anual y asiste en el seguimiento a la ejecución del plan anual de la Auditoría Interna. Para las auditorías externas, AUDIRISK asiste las actividades de valoración de riesgos de las empresas según el sector de la economía al que correspondan, priorizar las entidades o empresas que serán auditadas en el año por sectores, la programación de las auditorías y asignación de recursos de tiempo, personal y financieros. Elabora cronograma anual y asiste en el seguimiento a la ejecución del plan anual de auditorías externas. 4

5 2) Módulo 2: Auditorías Basadas en Riesgos Críticos. AUDIRISK ofrece funcionalidades para desarrollar cuatro (4) tipos de auditorías basadas en riesgos: a) A los procesos del modelo de operación de la Empresa (mapa de procesos); b) A los procesos de Tecnología de Información y Comunicaciones (por ejemplo, los procesos COBIT e ITIL); c) A las aplicaciones de computador en producción (ó módulos de ERPs) y d) A la Infraestructura de Tecnología de Información. Por cada proceso o sistema sujeto a auditoría, este módulo de AUDIRISK asiste a los auditores en la consecución de dos grandes objetivos: el primero es evaluar la efectividad del control interno establecido como estándar del proceso o sistema en toda la empresa, es decir, la capacidad de los controles establecidos para reducir los riesgos potenciales críticos a niveles aceptables de riesgo residual; esta evaluación es la base para determinar la naturaleza y extensión de las pruebas de auditoría necesarias. Esta evaluación se realiza por cada una de las actividades del proceso o sistema. El segundo objetivo es ejecutar pruebas de cumplimiento para los controles asociados a riesgos que tienen controles apropiados y pruebas sustantivas a la información que pudiera ser impactada por los riesgos que presentan debilidades de control. Estas pruebas se realizan por cada una de las áreas organizacionales y terceros que intervengan en el proceso o sistema objeto de la auditoría y que requieran pruebas. Por cada proceso o sistema objeto de auditoría, AUDIRISK construye un Cubo de Riesgos Críticos como base para ejecutar la auditoría. El cubo incluye el mapeo de los riesgos potenciales (amenazas) que podrían presentarse en: a) las actividades del proceso o sistema (escenarios de riesgo); b) las áreas organizacionales y terceros que intervienen en el proceso; y c) las categorías o clases de riesgos críticos. La suma de los cubos de riesgo de los procesos auditados es una aproximación a la auditoria del cubo de Control Interno de COSO y ERM (Enterprise Risk Management). Este módulo también ofrece funcionalidades para iniciar auditorias nuevas, a partir de los papeles de trabajo electrónicos de auditorías anteriores realizadas con AUDIRISK. Esta facilidad genera ahorros de tiempo y productividad en las auditorias. Como paso final, por cada auditoría basada en riesgos AUDIRISK ofrece opciones para elaborar, planear y ejecutar seguimiento a los planes de mejoramiento que se elaboren en la empresa para atender los hallazgos de control interno, pruebas de cumplimiento y pruebas sustantivas. El software tiene funcionalidades para generar recordatorios por correo electrónico a los responsables de implantar, supervisar y ejecutar acciones de mejora. 3) Módulo 3: Seguimiento a Informes de Auditorías Efectuadas por Terceros. AUDIRISK ofrece funcionalidades para realizar seguimiento a los planes de mejoramiento que surgen de informes de auditorías internas y externas efectuadas por terceros (por ejemplo, de los organismos de control del Estado, la Revisoría Fiscal y las empresas de auditoría externa). Para este fin, el software ofrece opciones para mantenimiento de las entidades auditoras, ingresar hallazgos y recomendaciones de los informes de auditoría, elaborar el 5

6 plan de mejoramiento y planear y ejecutar los seguimientos. El software tiene funcionalidades para generar recordatorios por correo electrónico a los responsables de implantar, supervisar y ejecutar acciones de mejora. 4) Módulo 4: Auditorías a Sistemas de Gestión (módulo en Construcción). AUDIRISK asiste a los auditores internos en las actividades de planeación, ejecución, informe y seguimiento de auditorías internas de gestión (Por ejemplo: de calidad, de gestión de seguridad de la información - ISO , gestión ambiental y seguridad y salud ocupacional). Estas auditorías se ejecutan de conformidad con la norma ISO ) Módulo 5: Gestión de Resultados de la Auditoría. Este módulo genera informes y gráficos sobre los resultados de trabajos de auditoría desarrolladas con AUDIRISK durante un periodo de tiempo, dentro del año fiscal. El software ofrece funcionalidades para generar entre otros los siguientes informes de Gestión: Estadísticas por auditoria y estado de las recomendaciones de auditoría generadas en el periodo (pendientes, implantadas, etc), por auditorías y por dependencias. Estadísticas de hallazgos de auditoría por tipo de auditoría. Estado de Implementación de las acciones de mejora recomendadas, por tipos de auditoría. Ejecución de auditorías planeadas y no planeadas. Horas hombre de auditores asignados, por tipos de auditoría. Costos de personal y otros gastos en la Auditoria. 6) Módulo 6: Administración de Usuarios. Este módulo ofrece las funcionalidades necesarias para administrar los usuarios con derechos de acceso a los diferentes adicionar, modificar e inactivar usuarios y establecer el perfil y los privilegios de acceso de cada uno módulos de AUDIRISK. Permite. El software maneja los siguientes perfiles: Gerente de Auditoría. Administrador de Usuarios. Supervisor de Auditoría. Analista de Auditoría (Auditor de Procesos o de aplicaciones). Auditor Regional. Solo Consulta. Auditores de Gestión. Parametrización del Software. AUDIRISK presenta funcionalidades para parametrizar los estándares de auditoría basadas en riesgos, en las actividades de evaluación de riesgos, evaluación de la efectividad de los controles, generación de checklist de pruebas de cumplimiento y sustantivas, evaluación de resultados de las pruebas de auditoría y evaluación de los siete (7) criterios que debe satisfacer la información de negocios (eficacia, eficiencia, integridad, disponibilidad, confidencialidad, confiabilidad y cumplimiento ). También ofrece ayudas para poblar la base de conocimientos de AUDIRISK y obtener copias de respaldo de esta base y de los papeles de trabajo electrónicos de las auditorías realizadas. 6

7 MODULO 1: PLANEACION ANUAL DE LA AUDITORÍA BASADA EN VALORACIÓN DE RIESGOS. Este módulo del software asiste la elaboración del Plan Anual de las auditorías internas y externas, de acuerdo con el nivel de exposición a riesgos. Para las Auditorías Internas y de Sistemas satisface las exigencias de los estándares de auditoría del Instituto de Auditores de los Estados Unidos (IIA) e ISACA (la asociación de Control y Auditoría de Sistemas de Información), los cuales establecen que el plan anual de la auditoría debe realizarse con un enfoque basado en valoración de riesgos. PLANEACION ANUAL AUDITORIAS INTERNAS. AUDIRISK ofrece funcionalidades para asistir la elaboración del plan anual de auditorías, basado en la valoración de la exposición a riesgos para tres tipos de auditoria: los procesos del modelo de operación de la Empresa (Mapa de Procesos), los procesos de Tecnología de Información (por ejemplo los de COBIT e ITIL) y las Aplicaciones de Computador (módulos de ERPs) que soportan la operación de los procesos. Por cada grupo de trabajos de auditoría, el software ofrece funcionalidades y apoyo de la base de conocimientos para diseñar, contestar y procesar cuestionarios con factores de riesgo, estimar las necesidades de seguridad de cada uno de los trabajos candidatos a ser auditadas y estimar la exposición a las clases o categorías de riesgo del modelo adoptado por la Empresa (SARO, SARLAFT, AUDISIS o combinación de las anteriores). Como resultado, por cada grupo de trabajos, el software produce la matriz de planeación anual de la auditoría con dos alternativas para decidir las actividades a auditar: a) por el nivel de exposición a riesgos de los procesos y aplicaciones de computador candidatas a ser auditadas, y b) por el nivel de exposición a cada una de las clases o categorías de riesgo. Figura 2: Priorización de procesos para el Plan Anual de Auditoría 7

8 Después de priorizar los trabajos candidatos a ser auditados por cada tipo de auditoría, el software ofrece funcionalidades para elaborar la programación anual de las auditorías; por cada auditoria ayuda a definir objetivos, alcance y asignar recursos requeridos, generar el cronograma anual (grafico de barras), y efectuar el seguimiento a la ejecución de las auditorías programadas. PLANEACION ANUAL AUDITORIAS EXTERNAS. Para entidades de control del Estado (Contraloría y Superintendencias) y Firmas de Auditoría. AUDIRISK ofrece funcionalidades para elaborar el plan anual de auditoría basado en valoración de riesgos y controlar su ejecución a través de los siguientes pasos: 1. Priorizar por su nivel de exposición a riesgos, las empresas candidatas a ser auditadas en los diferentes sectores a los que correspondan las entidades vigiladas (comercial, industrial, servicios, financiero y otros). Por cada sector, el software ofrece funcionalidades para diseñar y procesar cuestionarios con factores de riesgo, estimar las necesidades de seguridad de cada una de las empresas candidatas a ser auditadas y estimar la exposición a las clases o categorías de riesgo del modelo adoptado por la Empresa auditora (SARO, SARLAFT, AUDIRISK o combinación de las anteriores). 8

9 2. Como resultado, por cada empresa candidata a ser auditada, el software produce la matriz de planeación anual de la auditoría con dos alternativas para decidir las actividades a auditar: a) por el nivel de exposición a riesgos de las empresas candidatas a ser auditadas, y b) por el nivel de exposición a cada una de las clases o categorías de riesgo. Figura 2: Priorización de Empresas candidatas para el Plan Anual de Auditoría. 3. Elaborar la programación de visitas de las empresas candidatas a ser auditadas a realizar durante el año, de acuerdo con las prioridades asignadas por sector o por clases de riesgo. Genera un cronograma (grafico de barras) con la planeación anual. 9

10 4. Efectuar seguimiento al plan anual de la auditoría / Evaluar la gestión de la auditoría de acuerdo al cumplimiento del plan anual. 5. Generar reportes de planeación, seguimiento y control del plan anual de auditoría MODULO 2: AUDITORÍAS BASADAS EN RIESGOS CRITICOS A PROCESOS Y SISTEMAS DE INFORMACIÓN. AUDIRISK ofrece funcionalidades para ejecutar auditorías basadas en riesgos a los procesos del modelo de operación de la empresa, los procesos de tecnología de información (por ejemplo, de los modelos COBIT e ITIL) y los sistemas de información (aplicaciones de computador) de la Empresa, programados en el plan anual de auditoría con el módulo 1 de AUDIRISK. También ofrece opciones para 10

11 crear y ejecutar auditorías que no están en el Plan Anual y para iniciar auditorías a partir de los papeles de trabajo electrónicos de auditorías anteriores ejecutadas con AUDIRISK (por ejemplo, efectuar auditoría al proceso Gestión de Talento Humano 2014, a partir de los papeles de trabajo de la auditoría al mismo proceso en el año 2013). Por cada auditoría basada en riesgos, el software ofrece funcionalidades con procedimientos, guías y formatos para desarrollar las (4) cuatro fases del proceso de auditoría: 1) Planeación, 2) Ejecución, 3) Comunicación de resultados y 4) Seguimiento a los hallazgos de auditoría y planes de mejoramiento. La figura 3, ilustra el enfoque de las auditorías realizadas con AUDIRISK. Figura 3: Las 4 Fases de la Auditoría FUNCIONALIDADES DE AUDIRISK PARA EL DESARROLLO DE LAS AUDITORÍAS BASADAS EN RIESGOS. Por cada auditoría, el software AUDIRISK ofrece funcionalidades para aplicar procedimientos de auditoría de aceptación general, organizadas en OCHO (8) etapas que se muestran a continuación y en el menú de la figura 4. Etapa 1: Pre auditoría: Definición de objetivos, alcance, recursos a emplear y programa de trabajo de la Auditoría. Etapa 2: Comprensión del proceso o sistema (Familiarización). Etapa 3: Identificar, documentar y Evaluar Riesgos Inherentes Críticos. Etapa 4: Definir Contexto de Riesgos de la Auditoría (Cubo de riesgos). Etapa 5: Evaluar Efectividad del Control Interno Existente Informe de Auditoría. 11

12 Etapa 6: Pruebas de Cumplimiento: Diseño, evaluación e informe de auditoría. Etapa 7: Pruebas Sustantivas: Diseño, evaluación e informe de auditoría. Etapa 8: Seguimiento a Hallazgos y Recomendaciones de la Auditoría. Figura 4: Etapas del proceso de Auditoría Basada en Riesgos críticos FASE I: PLANEACIÓN DE LA AUDITORÍA BASADA EN RIESGOS Esta fase de la auditoría comprende la ejecución de las cuatro primeras etapas de la metodología. Etapa 1: Pre-auditoría. Figura 5: Opciones Menu Etapa 1- Preauditoría 1. AUDIRISK asiste la elaboración del memorando de planeación de la auditoría, el programa de trabajo y la definición de los recursos requeridos de tiempo, personal y financieros. Las figuras 5 y 6 muestran las ayudas ofrecidas por el software. Figura 6: Memorando de Planeación de la Auditoría 12

13 2. AUDIRISK asiste al Auditor en la definición del cronograma para el desarrollo de la auditoría (para las primeras siete etapas y por auditor), conformación del equipo de trabajo y la asignación de otros recursos requeridos. Figura 7: Asignación de Recursos para la Auditoría 3. Ofrece opciones para visualizar los Papeles de Trabajo de la etapa y generar TO DOs (aspectos por hacer) por el supervisor de la auditoría, como se muestra en la figura 8. Al final de cada etapa, AUDIRISK muestra la lista de Papeles de Trabajo (los archivos de papeles corrientes que se pueden listar, imprimir y exportar a formato PDF (para que sean entregados a los entes reguladores que lo requieran) y muestra el reporte de los TO DOs (Notas para el asistente de Auditoría realizadas por el supervisor) ingresados durante el desarrollo de la etapa. 4. Estado Avance de la Auditoría (figura 7). Al final de cada etapa, AUDIRISK muestra información gráfica y numérica con el comparativo entre los tiempos planeados y realmente gastados, por etapa y por auditor. De igual manera compara los acumulados de tiempos requerido y gastado hasta la última etapa ejecutada. 13

14 Figura 8: Control avance de la Auditoría Etapa 1 Etapa 2: Comprensión del Proceso o Sistema sujeto a auditoría. Por cada tipo de trabajo de auditoría basada en riesgos críticos (procesos del modelo de operación de la empresa, procesos de tecnología de información, aplicaciones de computador y otros), el software presenta funcionalidades para asistir la obtención y registro en el archivo permanente o Expediente Continuo de la Auditoría, de la información vital para comprender las características y el ambiente administrativo, operativo y técnico del proceso o sistema sujeto a auditoría (figura 9). Figura 9: Menú principal de la Etapa 2 5. Caracterización. Para organizar la información que describe al proceso, sistema o actividad sujeta a auditoría, AUDIRISK ofrece formatos y listas de datos para ingresar los objetivos que satisface en la organización, actividades 14

15 que comprende, entradas, salidas y otros datos importantes, como se muestra en la figura 10. Figura 10: Caracterización del proceso o sistema Etapa 3: Identificación, Priorización y Evaluación de Riesgos Potenciales. En esta etapa el software ofrece funcionalidades para identificar, evaluar y priorizar los riesgos inherentes al proceso o sistema sujeto a auditoría (Categorías de Riesgo aplicables y amenazas o eventos negativos potenciales asociados a cada categoría). Si la auditoría está en el Plan Anual, se omiten las actividades de identificación y priorización de las categorías de riesgo aplicables al proceso o sistema objeto de la auditoría y se utilizan las 3 categorías de riesgo críticas obtenidas en el panorama de riesgos del proceso o sistema elaborado en la planeación anual de la auditoría. El software ofrece la posibilidad de utilizar las clases o categorías de eventos de riesgo 1 consideradas por los modelos SARO, SARLAFT, MECI y AUDIRISK o una combinación de los anteriores. Las clases de riesgo aplicables al proceso o sistema sujeto a auditoría se priorizan, para seleccionar las que pueden causar el mayor impacto financiero y operacional a la organización. Estas se denominan categorías de riesgo críticas. Para priorizarlas se aplican los principios de Pareto y del Poder del 3. 1 Clases o Categorías de Eventos de Riesgo: Son nombres genéricos bajo los cuales se agrupan las amenazas o eventos accidentales o intencionales que pueden causar daños o pérdidas a los activos de la organización Por ejemplo, bajo la denominación de FRAUDE INTERNO se incluyen entre otras, las siguientes amenazas: robo por suplantación electrónica de usuarios, omitir registro de transacciones de ingreso. 15

16 Figura 11: Pasos de la Etapa 3 - Identificar y evaluar riesgos potenciales 6. La priorización de las categorías de riesgos el software ofrece dos métodos: Delphy (Delphos) y clasificación por el sistema de Puntajes (Scoring o Churman Ackoff)- La figura 12, muestra la ayuda que ofrece el software para aplicar la técnica Delphy en la priorización de las clases de riesgo según su impacto y seleccionar las tres (3) más importantes. Figura 12: Priorización de las categorías de riesgo aplicables 7. Por cada una de las clases de riesgo críticas, AUDIRISK ayuda a identificar y documentar las amenazas 2 que podrían originarse en el desarrollo de la operación del proceso o sistema sujeto a auditoría. Como apoyo para identificar las amenazas, AUDIRISK ofrece una lista de más de una centena de amenazas típicas aplicables a procesos del modelo de operación y tecnología de 2 Amenaza: corresponde al concepto de eventos de riesgo negativos, considerado por el componente identificación de eventos del modelo COSO ERM. Equivale al concepto de riesgo potencial utilizado por los estándares ISO 31000, AS/NZ 4360 y el MECI. Se refiere a cualquier evento accidental o intencional que en caso de presentarse genera daños a uno o más activos y pérdidas a la organización. Una categoría de Riesgo agrupa a varias amenazas. 16

17 información en la mayoría de las organizaciones, asociadas a las categorías de riesgo de los modelos SARO, SARLAFT, MECI y AUDISIS. 8. Por cada amenaza, AUDIRISK ofrece funcionalidades para documentar los siete (7) elementos del riesgo: activos impactados; agentes generadores de riesgo (factores de riesgo), vulnerabilidades, frecuencia de ocurrencia, impacto (rangos de valor de las pérdidas estimadas por ocurrencia y otros tipos de impacto operacional), actividades del proceso en las que puede originarse, Dependencias de la empresa y de terceros en las cuales puede generarse. Los valores de medición cualitativa del riesgo inherente utilizada por AUDIRISK se muestran a continuación en la figura 13. Riesgo Inherente 1: Bajo (Tolerable) 2: Moderado 3: Alto (Importante) 4: Extremo (Inaceptable) Significado El riesgo es TOLERABLE para la organización, es decir, su ocurrencia puede causar pérdidas no significativas. Estos riesgos pueden aceptarse (asumirse) o tratarse con acciones de control para reducirlo (disminuir probabilidad de ocurrencia o su impacto). El riesgo es MODERADO para la organización. Su ocurrencia podría causar pérdidas de alguna consideración. Requiere acciones de respuesta para reducirlo. El riesgo es SIGNIFICATIVO para la organización, requiere de acciones de respuesta para reducirlo y transferirlo. Su ocurrencia podría causar pérdidas severas a la organización. El riesgo es INACEPTABLE o CATASTROFICO para la organización, es decir, en caso de ocurrir sus consecuencias desestabilizarían a la entidad. Requiere de acciones de respuesta para evitarlo o reducirlo y transferirlo. Figura 13: Escala de medición del Riesgo Inherente 9. AUDIRISK, con base en los valores de frecuencia anual de ocurrencia y de impacto, ingresados en el paso anterior, evalúa la exposición al riesgo inherente por cada amenaza (E: Extremo; A: Alto; M: Moderado y B: Baja). La figura 14 muestra la imagen de la evaluación de amenazas antes de controles, que realiza el software AUDIRISK. 17

18 Figura 14: Evaluación de Amenazas antes de controles, por Área Organizacional Etapa 4: Definición del Cubo de Riesgos de la Auditoría (figura 15) En esta etapa AUDIRISK ofrece funcionalidades para elaborar el cubo de riesgos de la auditoría, seleccionar objetivos de control aplicables y relacionar estos objetivos con las amenazas o eventos de riesgo identificados para el proceso o sistema sujeto a auditoría. En la figura 15 se muestran los pasos que deben ejecutarse en esta etapa. Figura 15: Definición del Cubo de Riesgos de la Auditoría 10. Para elaborar el Cubo de Riesgos de la Auditoría AUDIRISK utiliza tres variables: a) las actividades del proceso (subprocesos o escenarios de riesgo); b) las dependencias o áreas organizacionales de la empresa y terceros que intervienen en el manejo del proceso y c) las categorías o clases de riesgos críticos del proceso. 18

19 Figura 16: Matriz de Escenarios Vs. Areas Organizacionales 11. AUDIRISK genera tres matrices de riesgo (desdoblamiento del cubo) en las que muestran las amenazas que pueden presentarse en los escenarios de riesgo y las áreas organizacionales que intervienen en el proceso o sistema sujeto a auditoría. Estas matrices definen el contexto de riesgos para cada auditoría. 12. AUDIRISK ofrece funcionalidades para asignar objetivos de control aplicables a los escenarios de riesgo y relacionarlos con las amenazas del proceso o sistema objeto de la auditoría. FASE II: EJECUCION RESULTADOS. DE LA AUDITORIA Y COMUNICACIÓN DE Etapa 5: Evaluar Efectividad del Sistema de Control Interno Existente En esta etapa AUDIRISK ayuda a identificar y documentar los controles establecidos en todo el proceso o sistema bajo auditoría y evalúa su efectividad (capacidad de los controles para reducir el riesgo inherente a niveles aceptables de riesgo residual), es decir, genera mediciones de la protección que ofrecen y del riesgo después de controles (riesgo residual). Esta evaluación se realiza asumiendo que los controles establecidos en el proceso o sistema, son estándares que se aplican en todos los puntos de operación de la empresa, es decir, en todas las oficinas, localizaciones y regionales. Los pasos que se ejecutan en esta etapa se muestran en la figura

20 Figura 17: Pasos de la Etapa 5, Evaluación del sistema de Control Interno 13. Identificar Controles Establecidos en la Organización. El software y la base de conocimientos de AUDIRISK asisten a los auditores en la construcción de cuestionarios de control con las best practices universales de control aplicables para mitigar las amenazas o eventos de riesgo del proceso o sistema sujeto a auditoría. El cuestionario se construye a la medida de las necesidades de la empresa apoyándose en la base de conocimientos de AUDIRISK y se utiliza como herramienta para identificar los controles establecidos, en entrevistas con los responsables del proceso o sistema. 15. Evaluar la Efectividad de los Controles Establecidos. AUDIRISK ofrece ayudas para informar al sistema los controles del cuestionario que están implantados por cada amenaza y aplica tres criterios para evaluar la efectividad (eficacia + eficiencia) de tales controles: a) Que se utilice al menos una vez los tres anillos o niveles de control (preventivo, detectivo y correctivo); b) Que el promedio del nivel de automatización y discrecionalidad de los controles sea aceptable (promedio mayor que 3.5) y c) que el costo / beneficio de los controles se razonable (no mayor del 5% de los activos impactados por la amenaza). Con base en los controles informados, AUDIRISK evalúa la efectividad de los controles (la protección existente - PE) y el riesgo residual (RR) por cada amenaza, escenario de riesgo (subproceso), área organizacional y categoría de riesgo, como se muestra en la Figura 18. Figura 18: Criterios de Evaluación de Efectividad de los Controles por Amenaza 20

21 16. Con los resultados de la evaluación del control interno existente, AUDIRISK genera Mapas de Riesgo Residual en los que se indica la Situación Actual de Protección Existente (figura 19), localizando los códigos de las amenazas en celdas de colores amarillo, naranja y rojo cuando tienen protección 2- mejorable, 3-insuficiente, 4- deficiente y 5-muy deficiente, respectivamente. En color verde se localizan las amenazas que tienen protección 1-apropiada. Estos mapas se generan por categorías de riesgo, actividades del proceso (escenarios de riesgo) y áreas organizacionales. Figura 19: Situación actual de protección existente por Escenario de Riesgo 16. Análisis de Hallazgos e Informe de Auditoría con los resultados de la Evaluación del Control Interno (figura 20). AUDIRISK ofrece funcionalidades y ayudas para analizar las deficiencias y debilidades de control interno identificadas para amenazas con efectividad diferente de APROPIADA y generar el informe de auditoría con los resultados de la evaluación de control interno existente y acciones de mejora requeridas (texto y gráficos). 21

22 Figura 20: Desarrollo de Hallazgos de Control Interno 17. AUDIRISK genera el informe de la auditoría con los resultados de la evaluación de control interno existente. Este informe contiene objetivos y alcance de evaluación y la evaluación por cada escenario de riesgo (actividad) del proceso, indicando por cada amenaza: nombre de la amenaza, calificación del riesgo inherente, calificación de la protección existente, calificación del riesgo residual y el código de los hallazgos que describen la debilidad o deficiencia identificada por la auditoría. Figura 21: Informe de Auditoría con los resultados de la Evaluación del Control Interno Existente 22

23 18. El informe también se presenta en tres columnas, los hallazgos de auditoría y sus causas, la descripción y calificación del impacto que podrían tener las debilidades de control y las acciones de mejora que los criterios de evaluación señalen para conducir la efectividad de los controles al nivel 1-APROPIADA. Se producen dos informes (detallado y ejecutivo) y la carta de envío a la Administración. Estos informes son exportables a Word, PDF y otros formatos. En la figura 21 se visualiza la pantalla de cómo el software genera el informe detallado con los resultados de la evaluación del control interno existente. Etapa 6: Pruebas de Cumplimiento a los Controles Establecidos. El software AUDIRISK ofrece funcionalidades para diseñar, planear y asistir la ejecución de pruebas de cumplimiento a los controles claves de las amenazas que tienen protección 1-APROPIADA, para las dependencias o áreas organizacionales que intervienen en el proceso o sistema sujeto a auditoría. La figura 22 muestra el menú del software para realizar las pruebas de cumplimiento. Figura 22: Menú Etapa 6 - Pruebas de Cumplimiento 18. AUDIRISK ofrece ayudas y criterios para seleccionar los controles clave que serán verificados, las técnicas de prueba a emplear y los sitios de prueba (áreas organizacionales y oficinas que dependan de éstas). La figura 23 muestra la pantalla de selección de los controles a verificar. 23

24 Figura 23: Selección de controles a verificar 19. Generación y procesamiento de listas de Comprobación. Con los controles seleccionados, AUDIRISK genera checklists de controles por sitios de prueba y ofrece funcionalidades para ingresar y procesar las respuestas. Como resultado, el software mide porcentualmente el cumplimiento de los controles establecidos por cada amenaza y los compara contra la protección existente obtenida en la evaluación del control interno (etapa 5); la figura 24 muestra estos resultados. Figura 24: Resultados de pruebas de cumplimiento por Dependencias 20. Análisis de Hallazgos y Generación de informes de Auditoría con los resultados de las Pruebas de Cumplimiento. Para las amenazas con cumplimiento de los controles inferior al 80%, el software ofrece formatos y ayudas para registrar y analizar los hallazgos de la auditoría y generar el informe de auditoría con los resultados de estas pruebas. Para los controles con 24

25 respuestas en el checklist diferentes de SIEMPRE, el software solicita ingresar los motivos del incumplimiento y generar estadísticas por sitio de prueba, área organizacional y consolidadas del proceso. En la figura 25 se muestra el formulario que ofrece el software para analizar los hallazgos de las pruebas de cumplimiento y generar el correspondiente informe de auditoría. Figura 25: Desarrollo de los Hallazgos de Pruebas de Cumplimiento AUDIRISK genera el informe de la auditoría con los resultados de las pruebas de cumplimiento realizadas por sitio de prueba. Por cada amenaza cuyos controles se verificaron, el software muestra: descripción de la amenaza, protección existente en evaluación de control interno (antes de pruebas), % de cumplimiento, protección existente después de pruebas, riesgo residual después de pruebas y los códigos de hallazgos que describen y analizan la NO CONFORMIDAD cuando el cumplimiento los controles es inferior al 80%. Etapa 7: Pruebas Sustantivas (pruebas a la exactitud de la información) El software AUDIRISK ofrece funcionalidades para diseñar, planear y asistir la ejecución de Pruebas Sustantivas a la información del proceso que pudiera ser impactada por amenazas que en la evaluación de control interno (etapa 5) tienen protección 3-INSUFICIENTE, 4-DEFICIENTE y 5-MUY DEFICIENTE en las dependencias o áreas organizacionales que intervienen en el proceso o sistema sujeto a auditoría. Estas pruebas también se aplican sobre amenazas que en las pruebas de cumplimiento presentan porcentaje de cumplimiento inferior al 80%. La figura 26, muestra el menú de opciones para realizar pruebas sustantivas. 25

26 Figura 26: Etapa 7 Pruebas sustantivas 21. El software AUDIRISK ayuda a seleccionar los datos que podrían ser impactados por las amenazas que presentaron protección diferente de Apropiada y Mejorable en la evaluación de control interno (etapa 5) o que las pruebas de cumplimiento presentan porcentaje (%) de cumplimiento de controles inferior al 80%. La figura 27, muestra el formato de pantalla para seleccionar las cifras sobre los que se realizan pruebas sustantivas. Figura 27: Identificación de Cifras Críticas a Verificar 22. Por cada uno de los datos seleccionados para pruebas sustantivas, AUDIRISK ofrece formatos y ayudas para asignar técnicas de verificación a emplear, elaborar el plan y programar su ejecución en los sitios de prueba. 23. Generación y procesamiento de listas de Comprobación. Con los datos seleccionados que podrían ser impactados por cada amenaza, AUDIRISK genera checklists de Exactitud de la Información por sitios de prueba y ofrece funcionalidades para ingresar y procesar las respuestas. Como resultado, el software mide porcentualmente la exactitud de la información verificada por cada amenaza y los compara contra la protección existente obtenida en la evaluación del control interno (etapa 5); la figura 28 muestra los checklist de pruebas sustantivas. 26

27 Figura 28: Ingreso de resultados a los datos 24. Análisis de Hallazgos y Generación de informes de Auditoría con los resultados de las Pruebas Sustantivas. El software presenta un formato similar al descrito en evaluación del control interno y las pruebas de cumplimiento, para registrar y analizar los hallazgos o no conformidades identificadas y generar el correspondiente informe de auditoría. 25. Evaluación de Satisfacción de Criterios de Información de Negocios. El software ofrece funcionalidades para evaluar la satisfacción de los siete (7) criterios COBIT que debe cumplir la información de negocios generada por el proceso o sistema auditado, figura

28 Figura 28: Funcionalidades para evaluar satisfacción de los 7 criterios COBIT FASE IV: SEGUIMIENTO AL INFORME CON LOS RESULTADOS DE LA AUDITORÍA. Etapa 8: Seguimiento a Informes con los Resultados de la Auditoría El software ofrece funcionalidades para planear, ejecutar, analizar e informar los resultados del seguimiento a los hallazgos y recomendaciones de la auditoría. producidos en la evaluación del control interno (etapa 5), pruebas de cumplimiento (Etapa 6) y pruebas sustantivas (Etapa 7), utilizando el menú de la figura

29 Figura 29: Menú de la Etapa 8: Seguimiento 26. Planeación del Seguimiento. El software ofrece ayudas para planear el seguimiento a los hallazgos y recomendaciones incluidas en el informe con los resultados de la auditoría. Por cada recomendación se define la prioridad, responsable de implantar las acciones de mejoramiento, fechas de compromiso y fechas de seguimiento. Incluye opciones para generar recordatorios por correo electrónico dirigidos a los auditados (figura 30). Figura 30: Planeación del seguimiento a recomendaciones 28. Ejecución y Resultados del Seguimiento. El software asiste el ingreso de los resultados del seguimiento y la generación de reportes con los resultados del seguimiento efectuado por la auditoría, como los que se muestran en las figura

30 Figura 31: Estado de Atención de las recomendaciones de la auditoría MODULO 3: SEGUIMIENTO A INFORMES DE AUDITORÍAS EFECTUADAS POR TERCEROS. AUDIRISK ofrece funcionalidades para realizar seguimiento a los planes de mejoramiento institucional e informes de auditorías internas y externas no realizadas con AUDIRISK. Para este fin, el software ofrece opciones para mantenimiento de las entidades auditoras, ingresar hallazgos y recomendaciones de los informes de auditoría, planear y ejecutar los seguimientos. Las opciones de este módulo se muestran en las figura 32 y 33. Figura 32: Ambiente de trabajo para seguimientos a Auditorías no realizadas con AUDIRISK. AUDIRISK ofrece formatos y opciones para ingresar hallazgos, recomendaciones y metas por recomendación, planear seguimiento, generar recordatorios y producir informes del seguimiento, como se muestra en el menú de la figura

SOFTWARE DE AUDITORÍA BASADA EN RIESGOS CRITICOS

SOFTWARE DE AUDITORÍA BASADA EN RIESGOS CRITICOS Versión 2015 SOFTWARE DE AUDITORÍA BASADA EN RIESGOS CRITICOS Derechos de autor reservados por AUDISIS PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Servicios

Más detalles

SOFTWARE DE AUDITORÍA BASADA EN RIESGOS

SOFTWARE DE AUDITORÍA BASADA EN RIESGOS Versión 2012 SOFTWARE DE AUDITORÍA BASADA EN RIESGOS PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Calle 53 No. 27-33 Oficina 602 Tels.: 2556717 2556757 2556816,

Más detalles

Versión 2015 SOFTWARE DE ADMINISTRACIÓN INTEGRAL DE RIESGOS Y DISEÑO DE CONTROLES PRESENTACION DEL PRODUCTO

Versión 2015 SOFTWARE DE ADMINISTRACIÓN INTEGRAL DE RIESGOS Y DISEÑO DE CONTROLES PRESENTACION DEL PRODUCTO Versión 2015 SOFTWARE DE ADMINISTRACIÓN INTEGRAL DE RIESGOS Y DISEÑO DE CONTROLES PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Servicios Orientados a la Prevención

Más detalles

AUDITORIA BASADA EN RIESGOS

AUDITORIA BASADA EN RIESGOS SEMINARIO TALLER Marzo 24, 25 y 26 DE 2.010 CONTENIDO Beneficios 2 Objetivos 3 A quién esta Dirigido? Temas del Seminario 3-4 Instructores 5 Metodología 5 Valor Inversión y forma de pago Nuestros Servicios

Más detalles

Auditoria de Sistemas Basada en Riesgos

Auditoria de Sistemas Basada en Riesgos Las Auditorías de Sistemas, internas ó externas, realizan un examen sistemático, objetivo e independiente de la eficiencia, eficacia y seguridad en los procesos y operaciones de tecnología de información,

Más detalles

Software de Administración Integral de Riesgos y Diseño de Controles

Software de Administración Integral de Riesgos y Diseño de Controles Software de Administración Integral de Riesgos y Diseño de Controles Versión 2015 Contenido ControlRisk: Qué es y para Qué Sirve?. Características del Software ControlRisk. Especificaciones Técnicas del

Más detalles

Software de Administración Integral de Riesgos y Diseño de Controles

Software de Administración Integral de Riesgos y Diseño de Controles Software de Administración Integral de Riesgos y Diseño de Controles Versión 2015 Contenido ControlRisk: Qué es y para Qué Sirve?. Características del Software ControlRisk. Especificaciones Técnicas del

Más detalles

SOFTWARE PARA AUDITORÍA Y GESTIÓN DE RIESGOS

SOFTWARE PARA AUDITORÍA Y GESTIÓN DE RIESGOS SOFTWARE PARA AUDITORÍA Y GESTIÓN DE RIESGOS Por qué utilizar Software de Auditoría? Contenido: AUDIRISK IDEA 2 3 SMART ANALYZER FINANCIAL 4 EXAMINER 4 SMART EXPORTER 4 WORKING PAPERS 4 El uso de software

Más detalles

Norma ISO 31000:2009, ges ón de riesgos - principios y direc- trices,

Norma ISO 31000:2009, ges ón de riesgos - principios y direc- trices, Este seminario presentará un marco de referencia y metodológico seguro y eficiente para implantar la ges- ón de riesgos empresariales, específicamente para idenficar, documentar, evaluar, controlar, monitorear,

Más detalles

Auditorías basadas en datos

Auditorías basadas en datos Las Tecnologías de Información y comunicaciones (TICs), al tiempo que plantean retos a los auditores (internos, externos y Revisores Fiscales) para evaluar el control interno y la seguridad de las empresas,

Más detalles

INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO - LEY 1474 DE 2011 Jefe de Control Interno, o quien haga sus veces: Martha Cecilia Mora Correa

INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO - LEY 1474 DE 2011 Jefe de Control Interno, o quien haga sus veces: Martha Cecilia Mora Correa INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO - LEY 1474 DE 2011 Jefe de Control Interno, o quien haga sus veces: Martha Cecilia Mora Correa Período evaluado: NOVIEMBRE 2011 FEBRERO DE 2012 Fecha

Más detalles

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO Código: DG-D-008 - Versión: 03 - Fecha Emisión: 01/03/2013 1/14 Contenido 1. OBJETIVOS....3 2. ALCANCE....4 3. REFERENCIAS NORMATIVAS....4 4. TERMINOS Y DEFINICIONES...5

Más detalles

GESTIÓN DE RIESGO. Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C.

GESTIÓN DE RIESGO. Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C. GESTIÓN DE RIESGO Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C. MARCO NORMATIVO Con el propósito de desarrollar un sistema eficiente para la gestión de riesgos, el Ministerio

Más detalles

establecimiento, implementación, operación, evaluación y mejora de un BCM de acuerdo a la

establecimiento, implementación, operación, evaluación y mejora de un BCM de acuerdo a la Contenido: Objetivos 3 A quién esta Dirigido? Temas del Seminario 4 Instructores 5 Metodología 6 Valor Inversión 6 Nuestros Productos y Servicios Profesionales 7 La Gestión de Continuidad del Negocio (BCM

Más detalles

Sistema de Administración del Riesgos Empresariales

Sistema de Administración del Riesgos Empresariales Sistema de Administración del Riesgos Empresariales Si tomas riesgos podrías fallar. Si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada Roberto Goizueta CEO Coca-Cola

Más detalles

POLITICA DE ADMINISTRACION DEL RIESGO

POLITICA DE ADMINISTRACION DEL RIESGO POLITICA DE ADMINISTRACION DEL RIESGO 2014 POLÍTICA DE ADMINISTRACIÓN DEL RIESGO DE LA COMISIÓN DE REGULACIÓN DE ENERGÍA Y GAS -CREG- La Comisión de Regulación de Energía y Gas, CREG, implementa como Política

Más detalles

CONTROL INTERNO ALCALDIA MUNICIPAL DE HERVEO- TOLIMA

CONTROL INTERNO ALCALDIA MUNICIPAL DE HERVEO- TOLIMA INFORME ANUAL DE EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO CONTABLE ALCALDIA MUNICIPAL DE HERVEO- TOLIMA VIGENCIA 2013 OFICINA DE CONTROL INTERNO INGRID PAOLA NAVARRO VARGAS Jefe de Control interno Herveo,

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Soluciones Integrales de Tecnología para su Empresa SISTEMA DE GESTION INTEGRAL DE PROCESOS & BALANCED SCORECARD

Soluciones Integrales de Tecnología para su Empresa SISTEMA DE GESTION INTEGRAL DE PROCESOS & BALANCED SCORECARD Soluciones Integrales de Tecnología para su Empresa SISTEMA DE GESTION INTEGRAL DE PROCESOS & BALANCED SCORECARD Marzo 2010 RESUMEN CBM ASOCIADOS CIA. LTDA. 9 años en el mercado del software nacional Computer

Más detalles

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité

Más detalles

PROCEDIMIENTO AUDITORIAS INTERNAS INTEGRALES DEL PROCESO SEGUIMIENTO, CONTROL Y EVALUACION DEL SIG.

PROCEDIMIENTO AUDITORIAS INTERNAS INTEGRALES DEL PROCESO SEGUIMIENTO, CONTROL Y EVALUACION DEL SIG. Página:1 1. OBJETIVO Y CAMPO DE APLICACIÓN Aplicando las técnicas de auditoría universalmente aceptadas y con base en un plan de auditoría, se busca medir el grado de eficiencia y eficacia con que se manejan

Más detalles

PROCEDIMIENTO PLAN ANUAL DE AUDITORÍAS Fecha de aprobación: septiembre 16 de 2010

PROCEDIMIENTO PLAN ANUAL DE AUDITORÍAS Fecha de aprobación: septiembre 16 de 2010 Código: PSI03 Versión: 1 PROCEDIMIENT PLAN ANUAL DE AUDITORÍAS Fecha Aprobación: Septiembre 16 de 2010 Nro. de páginas: 5 PROCEDIMIENTO PLAN ANUAL DE AUDITORÍAS Fecha de aprobación: septiembre 16 de 2010

Más detalles

Herramientas de Software para auditoria

Herramientas de Software para auditoria Herramientas de Software para auditoria Presentado a: Carlos Hernán Gómez Juan David Delgado Ramírez Alexander Cardona Grisales WINAUDIT Instalación El software no necesita instalación Navegación Menú

Más detalles

PROCEDIMIENTO DE AUDITORIA INTERNA

PROCEDIMIENTO DE AUDITORIA INTERNA VERSIÓN: 2.0 Página 1 de 17 INDICE Página INDICE...1 1. OBJETIVO DEL PROCEDIMIENTO...3 2. DESARROLLO DE LA AUDITORÍA INTERNA...3 2.1 OBJETIVO GENERAL...3 2.2 OBJETIVOS ESPECÍFICOS...3 2.3 FASES...4 2.

Más detalles

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Índice Pág. Metodología para la Autoevaluación del Sistema de Control Interno Institucional. 2 Elementos

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación

Más detalles

MANUAL DE POLITICAS DE RIESGO ESTRATEGICO

MANUAL DE POLITICAS DE RIESGO ESTRATEGICO MANUAL DE POLITICAS DE RIESGO ESTRATEGICO REGISTRO DE CAMBIOS Y REVISIONES Fecha Descripción del cambio o revisión Versión Responsable 26.05.2014 Manual de Políticas de Riesgo Estratégico 1.0 Carlos Zapata

Más detalles

GUÍA AUDITORÍA INTERNA GUÍA DE GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA AUDITORÍA INTERNA GUÍA DE GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA AUDITORÍA INTERNA GUÍA DE GOBIERNO CORPORATIVO PARA EMPRESAS SEP Índice 1. Razones para su emisión 2. Principales características 3. Introducción 4. Consideraciones claves 5. Elementos básicos Anexos

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

EQUIPO CONSULTOR Y EQUIPO DE MEJORA CONTINUA PREPARADO POR: REVISADO POR: APROBADO POR: VERSIÓN Nº: FECHA DE EMISIÓN: 15/09/07

EQUIPO CONSULTOR Y EQUIPO DE MEJORA CONTINUA PREPARADO POR: REVISADO POR: APROBADO POR: VERSIÓN Nº: FECHA DE EMISIÓN: 15/09/07 SERVICIOS DE AUDITORÍA MINISTERIO DE SALUD DE COSTA RICA - NIVEL INTRAINSTITUCIONAL ÁREA DE GESTIÓN: SOPORTE LOGÍSTICO Y ADMINISTRATIVO PREPARADO POR: VALIDADO POR : EQUIPO CONSULTOR Y EQUIPO DE MEJORA

Más detalles

Soluciones Estratégicas e Inteligencia Corporativa

Soluciones Estratégicas e Inteligencia Corporativa Soluciones Estratégicas e Inteligencia Corporativa www.interact.com.br Modelo de Gestión Traducir la Visión de futuro de la organización Dividir estrategias en objetivos, metas e iniciativas operacionales

Más detalles

Condiciones para que la Gerencia de Seguridad de. permanezca vigente.

Condiciones para que la Gerencia de Seguridad de. permanezca vigente. Condiciones para que la Gerencia de Seguridad de la Información permanezca vigente. AGENDA 1. Foco metodológico. 2. Modelo de Seguridad. 3. Ubicación de la Seguridad de la Información en la organización.

Más detalles

Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com

Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com Contenido Objetivos de la charla. Motivación de la charla. Repaso a COSO

Más detalles

SIT - Sistemas Informáticos. Lavalle 391 4º "E" Ciudad A. de Buenos Aires. República Argentina. Tel.: 54(011) 4313-4148 - E-mail: info@sitsoft.com.

SIT - Sistemas Informáticos. Lavalle 391 4º E Ciudad A. de Buenos Aires. República Argentina. Tel.: 54(011) 4313-4148 - E-mail: info@sitsoft.com. Cambie el tiempo de tareas administrativas de sus auditores por tiempo de auditoria. Obtenga mediante tableros de control, información de gestión de riesgo, tareas de auditorias y seguimiento de observaciones,

Más detalles

Servicios que ofrece. C O L O M B I A S.A.S International Group of Advising, Audit and Control

Servicios que ofrece. C O L O M B I A S.A.S International Group of Advising, Audit and Control Servicios que ofrece C C O L O M B I A S.A.S International Group of Advising, Audit and Control 1 QUIENES SOMOS Nuestra Misión C-COLOMBIA S.A.S International Group of Advising, Audit and Control Enfoca

Más detalles

ARMONIZACIÓN MECI-CALIDAD

ARMONIZACIÓN MECI-CALIDAD ANTES DE INICIAR ARMONIZACIÓN MECI-CALIDAD CONTENIDO 1. Objetivos de la Sesión 2. Marco Legal para ambos sistemas 3. Generalidades 4. Conceptualización sobre la armonización 5. Elementos de articulación

Más detalles

Tema: Manual de Auditoría de Gestión a las Tecnologías de Información y Comunicaciones.

Tema: Manual de Auditoría de Gestión a las Tecnologías de Información y Comunicaciones. CORTE DE CUENTAS DE LA REPÚBLICA El Salvador, C.A. XIV Concurso Anual de Investigación de OLACEFs 2011, denominado Auditoria de Gestión a las Tecnologías de Información y Comunicaciones. Tema: Manual de

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC Su aliado Estratégico José E. Quintero Forero CISM, CRISC Abril 27 de 2011 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de Servicios

Más detalles

Washington Deza - Lima, Setiembre 2011 GESTION DEL RIESGO OPERACIONAL

Washington Deza - Lima, Setiembre 2011 GESTION DEL RIESGO OPERACIONAL Washington Deza - Lima, Setiembre 2011 GESTION DEL RIESGO OPERACIONAL RIESGO OPERATIVO Riesgo de Mercado Riesgo de Crédito Reputacion al Riesgo Operacion al Riesgo de Liquidez Riesgo Legal Lavado de Activos

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

Información del Proyecto en http://colombia.casals.com

Información del Proyecto en http://colombia.casals.com ENTIDADES DE LA ALIANZA PROGRAMA EFICIENCIA Y RENDICIÓN DE CUENTAS EN EL ESTADO COLOMBIANO Información del Proyecto en http://colombia.casals.com 1 MODELO ESTÁNDAR DE CONTROL INTERNO MECI- CAPACITACIÓN

Más detalles

DEPARTAMENTO DEL META MUNICIPIO DE PUERTO LLERAS NIT 892.099.309-2 CONTROL INTERNO INFORME SEGUIMIENTO MAPA DE RIESGOS

DEPARTAMENTO DEL META MUNICIPIO DE PUERTO LLERAS NIT 892.099.309-2 CONTROL INTERNO INFORME SEGUIMIENTO MAPA DE RIESGOS PROCESO AREA AUDITADA: MAPA DE RIESGOS DIRECTIVO RESPONSABLE: Secretaria de Planeación Responsables de los Procesos FECHA DE ELABORACION: Marzo de 2014 DESTINATARIO: Alcaldesa Secretarios de Despacho ASPECTOS

Más detalles

INFORME CONSOLIDADO DE AUDITORÍAS INTERNAS DE GESTIÓN Y CALIDAD SIG VIGENCIA 2014

INFORME CONSOLIDADO DE AUDITORÍAS INTERNAS DE GESTIÓN Y CALIDAD SIG VIGENCIA 2014 INFORME CONSOLIDADO DE AUDITORÍAS INTERNAS DE GESTIÓN Y CALIDAD SIG VIGENCIA 2014 Oficina de Control Interno Superintendencia del Subsidio Familiar Calle 45 A # 9-46 Teléfonos: 3487777 - PBX: 3487800 www.ssf.gov.co

Más detalles

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria Deloitte Training Riesgos de tecnología de información implicaciones y retos para la auditoria Definición del universo auditable y valoración de riesgos de TI Presentado por Mauricio Solano Redondo, Director

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO AUDITORIAS INTERNAS PÁGINA: 1 de 7

TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO AUDITORIAS INTERNAS PÁGINA: 1 de 7 PROCESO CONTROL INTERNO CÓDIGO SUBPROCESO CONTROL INTERNO 1.1.2-CI-001 TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO PÁGINA: 1 de 7 1.OBJETIVO Proporcionar metodología para realizar las s internas

Más detalles

Normas de Auditoría de Tecnologías de la Información y la Comunicación

Normas de Auditoría de Tecnologías de la Información y la Comunicación Normas de Auditoría de Tecnologías de la Información y la Comunicación Resolución CGE/094/2012 27 de agosto de 2012 NE/CE-017 N O R M A D E C O N T R O L E X T E R N O NORMAS DE AUDITORÍA DE TECNOLOGÍAS

Más detalles

JULIO 2011 DIFUSIÓN DEL SISTEMA DE GESTIÓN DE LA CALIDAD ISO 9001:2008

JULIO 2011 DIFUSIÓN DEL SISTEMA DE GESTIÓN DE LA CALIDAD ISO 9001:2008 JULIO 2011 DIFUSIÓN DEL SISTEMA DE GESTIÓN DE LA CALIDAD ISO 9001:2008 AGENDA Objetivo de la Sesión de Trabajo Aspectos normativos del SGC (ISO 9001:2008) Estructura Documental OBJETIVO DE LA SESIÓN Involucrar

Más detalles

ESTRUCTURA DEL DEPARTAMENTO DE AUDITORIA INTERNA AUDITORIA INTERNA

ESTRUCTURA DEL DEPARTAMENTO DE AUDITORIA INTERNA AUDITORIA INTERNA ESTRUCTURA DEL DEPARTAMENTO DE AUDITORIA INTERNA AUDITORIA INTERNA Introducción Esta estructura juega un papel importante para la utilizacion de los servicios de auditores internos por instituciones privadas

Más detalles

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM Modelo de Control para la Administración de Riesgos de TI MsC. Carlos Zamora Sotelo, CISA, CISM Agenda 1. Objetivo de la Sesión. 2. La Administración de Riesgos en la Estrategia de Negocios. 3. El papel

Más detalles

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12 Código:DAP-PM-01 Versión: 1 Página 1 de 12 PLAN DE MEJORA REGULATORIA RACSA 2015 1 Código: DAP-PM-001 Versión: 1 Página 2 de 12 Contenido 1. INTRODUCCIÓN... 3 2. MARCO LEGAL... 3 3. MARCO DE REFERENCIA

Más detalles

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO DESCRIPCION La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un marco de trabajo de las buenas

Más detalles

DECRETO No. ( ) Por el cual se adopta el Modelo Estándar de Control Interno MECI 1000:2005 en el Municipio de Matanza

DECRETO No. ( ) Por el cual se adopta el Modelo Estándar de Control Interno MECI 1000:2005 en el Municipio de Matanza DECRETO No. ( ) Por el cual se adopta el Modelo Estándar de Control Interno MECI 1000:2005 en el Municipio de Matanza El Alcalde del municipio de Matanza, en uso de sus atribuciones Constitucionales y

Más detalles

RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA. José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM.

RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA. José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. Introducción Antecedentes CONTENIDO Evolución de la Gestión

Más detalles

GERENCIA DE RIESGOS. Capacitación en el sistema de administración de riesgos operacionales

GERENCIA DE RIESGOS. Capacitación en el sistema de administración de riesgos operacionales SISTEMA DE ADMINISTRACIÓN DE RIESGOS OPERACIONALES SARO Cartilla de Riesgo Operativo 1 GERENCIA DE RIESGOS Capacitación en el sistema de administración de riesgos operacionales Compañía Aseguradora de

Más detalles

Encuestas para la autoevaluación del Sistema de Control Interno Institucional

Encuestas para la autoevaluación del Sistema de Control Interno Institucional Encuestas para la autoevaluación del Sistema de Control Interno Institucional 2014 Tabla de contenido Metodología para la Autoevaluación del Sistema de Control Interno Institucional 2 Encuesta para la

Más detalles

Portafolio de Servicios. www.cincodominios.com

Portafolio de Servicios. www.cincodominios.com Portafolio de Servicios www.cincodominios.com Sus aliados en la optimización de la cadena de valor de TIC www.cincodominios.com Nosotros En el año 2007 se constituye Raginwald Consulting Ltda, con el propósito

Más detalles

Qué es la Auditoria en Sistemas de Información?

Qué es la Auditoria en Sistemas de Información? Qué es la Auditoria en Sistemas de Información? Es el examen objetivo, crítico, sistemático, posterior y selectivo que se hace a la administración informática de una organización, con el fin de emitir

Más detalles

Por tanto, en base a las disposiciones legales antes señaladas, el Consejo Directivo de la Superintendencia de Valores ACUERDA emitir la siguiente:

Por tanto, en base a las disposiciones legales antes señaladas, el Consejo Directivo de la Superintendencia de Valores ACUERDA emitir la siguiente: Considerando: I- Que el artículo 5 de la Ley Orgánica de la Superintendencia de Valores, establece como uno de los deberes de esta Superintendencia, facilitar el desarrollo del mercado de valores, tanto

Más detalles

Para cumplimiento con esta misión, los objetivos marcados para esta Función son los siguientes:

Para cumplimiento con esta misión, los objetivos marcados para esta Función son los siguientes: Enero 5 de 2015 GESTIÓN Y CONTROL DE RIESGOS Helm Fiduciaria S.A., como parte integrante del Grupo Corpbanca, está soportada por la infraestructura que el Grupo ha diseñado para controlar y gestionar los

Más detalles

POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A.

POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. 1. ÁMBITO DE APLICACIÓN El presente documento establece los lineamientos generales mínimos que deben observar los administradores y

Más detalles

Auditando con COBIT una Oficina de Gestión de Proyectos (PMO) basada en PMBOK 5. Lic. Franco N. Rigante, CISA,CRISC,PMP

Auditando con COBIT una Oficina de Gestión de Proyectos (PMO) basada en PMBOK 5. Lic. Franco N. Rigante, CISA,CRISC,PMP Auditando con COBIT una Oficina de Gestión de Proyectos (PMO) basada en PMBOK 5 Lic. Franco N. Rigante, CISA,CRISC,PMP Conferencista Biografía Franco Nelson Rigante, CISA, CRISC licenciado en Sistemas

Más detalles

14-A NOTA 17 CONTROLES DE LEY Durante los ejercicios comprendidos entre el 1 de enero y el 31 de diciembre de 2011 y 2010, la Compañía ha dado debido cumplimiento a los controles de ley que le son aplicables,

Más detalles

METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP

METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP La metodología recomendada en este documento para el desarrollo de un plan de recuperación ante desastres o DRP para los sistemas

Más detalles

Diseño dinámico de arquitecturas de información

Diseño dinámico de arquitecturas de información Diseño dinámico de arquitecturas de información CARACTERISTICAS DEL SISTEMA Las organizaciones modernas basan su operación en la gestión del conocimiento, es decir, en el manejo de información que se presenta

Más detalles

Software de Análisis, Extracción de Datos y Automatización de la Auditoría. IDEA: Software para Análisis de Datos y Automatización de la Auditoría 1

Software de Análisis, Extracción de Datos y Automatización de la Auditoría. IDEA: Software para Análisis de Datos y Automatización de la Auditoría 1 IDEA Versión 9.1 Software de Análisis, Extracción de Datos y Automatización de la Auditoría 1 1 Agenda Qué es IDEA?. IDEA y las necesidades del Auditor Alternativas de Trabajo con IDEA. Ambiente de Operación

Más detalles

Guía para la Administración del Riesgo v3 Departamento Administrativo de la Función Pública

Guía para la Administración del Riesgo v3 Departamento Administrativo de la Función Pública Guía para la Administración del Riesgo v3 Departamento Administrativo de la Función Pública Dirección de Control Interno y Racionalización de Trámites Bogotá, D.C., Octubre de 2014 Índice Cómo interpretar

Más detalles

XIV Teleconferencia del CLAIN Riesgos de TI 04/03/2009

XIV Teleconferencia del CLAIN Riesgos de TI 04/03/2009 XIV Teleconferencia del CLAIN Riesgos de TI 04/03/2009 Participantes: - Argentina - Brasil - Colombia - Honduras - Panamá - Uruguay A continuación se resumen las preguntas y respuestas desarrolladas en

Más detalles

La información es el activo más valioso de cualquier organización Sistema de Gestión de seguridad de la infor- mación (SGSI)

La información es el activo más valioso de cualquier organización Sistema de Gestión de seguridad de la infor- mación (SGSI) La información es el activo más valioso de cualquier organización, no precisamente por su valor en los libros de contabilidad (puesto que no está contabilizada), sino por lo que representa. Como sistema

Más detalles

Administrador Riesgo Opera1vo. Administrador Riesgo de Crédito

Administrador Riesgo Opera1vo. Administrador Riesgo de Crédito VERDADERO ROL DEL ADMINISTRADOR DE RIESGO Administrador Riesgo Opera1vo Administrador Riesgo de Crédito DUEÑOS DE PROCESOS realizan la Ges4ón del Riesgo (Ejecutan procesos y controles) Administrador Riesgo

Más detalles

INSTRUCTIVO ELABORACION MAPA DE RIESGOS

INSTRUCTIVO ELABORACION MAPA DE RIESGOS Código :EV-EV- IN01 Página: 1 de 18 ADMINISTRACIÓN DEL RIESGO La Administración del Riesgo se construye para identificar, evaluar y controlar los eventos que pueden impedir el logro de los objetivos institucionales.

Más detalles

3- Sensibilizar y capacitar al grupo de trabajo definido por el FNA, para el acompañamiento en las actividades del proyecto.

3- Sensibilizar y capacitar al grupo de trabajo definido por el FNA, para el acompañamiento en las actividades del proyecto. REQUERIMIENTOS TECNICOS Contratar los servicios de una firma que realice la implantación del Sistema de Costos por Actividad Costeo ABC del FONDO NACIONAL DE AHORRO. Incluye análisis, diseño, implementación,

Más detalles

www.datasec-soft.com metodología de evaluación y control de riesgos

www.datasec-soft.com metodología de evaluación y control de riesgos El Gobierno de la TI es una parte importante de la Gobernabilidad Empresarial que apunta a desarrollar procesos, estructuras organizacionales y liderazgo para asegurar que la Tecnología de la Información

Más detalles

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000 Espiñeira, Sheldon y Asociados * No. 3-2009 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

PROCESO ADMINISTRACIÓN DEL SIG PROCEDIMIENTO GESTIÓN DE RIESGOS

PROCESO ADMINISTRACIÓN DEL SIG PROCEDIMIENTO GESTIÓN DE RIESGOS Página: 1 de 14 1. Objetivo Definir el marco de referencia y la metodología para la Administración de Riesgos de la entidad, facilitando el cumplimiento de sus objetivos y las funciones propias del Ministerio

Más detalles

INFORME DEL RESULTADO DE AUDITORIAS INTERNAS -SIG- PRIMER TRIMESTRE 2015

INFORME DEL RESULTADO DE AUDITORIAS INTERNAS -SIG- PRIMER TRIMESTRE 2015 INFORME DEL RESULTADO DE AUDITORIAS INTERNAS -SIG- PRIMER TRIMESTRE 2015 Oficina de Control Interno Superintendencia del Subsidio Calle 45 A # 9-46 Teléfonos: 3487777 - PBX: 3487800 www.ssf.gov.co - e-mail:

Más detalles

INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO. En cumplimiento de lo preceptuado en la ley 1474 de 2011, artículo 9.

INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO. En cumplimiento de lo preceptuado en la ley 1474 de 2011, artículo 9. INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO A marzo 31 de 2015 En cumplimiento de lo preceptuado en la ley 1474 de 2011, artículo 9. Dirección de Control Interno (Auditoria Interna) 1 Contenido

Más detalles

VENTAJAS Y RIESGOS DE LA TECNOLOGÍA INFORMÁTICA Y COMUNICACIONES (TIC), EN EL EJERCICIO DE LA REVISORÍA FISCAL.

VENTAJAS Y RIESGOS DE LA TECNOLOGÍA INFORMÁTICA Y COMUNICACIONES (TIC), EN EL EJERCICIO DE LA REVISORÍA FISCAL. VENTAJAS Y RIESGOS DE LA TECNOLOGÍA INFORMÁTICA Y COMUNICACIONES (TIC), EN EL EJERCICIO DE LA REVISORÍA FISCAL. MIGUEL HUGO CAMARGO MARTINEZ RESUMEN RESPONSABILIDAD DEL REVISOR FISCAL EN EL CONTROL INTERNO

Más detalles

DOCUMENTO TÉCNICO N 71 Versión 0.1 ASEGURAMIENTO AL PROCESO DE GESTIÓN DE RIESGOS EN EL SECTOR PÚBLICO

DOCUMENTO TÉCNICO N 71 Versión 0.1 ASEGURAMIENTO AL PROCESO DE GESTIÓN DE RIESGOS EN EL SECTOR PÚBLICO DOCUMENTO TÉCNICO N 71 Versión 0.1 ASEGURAMIENTO AL PROCESO DE GESTIÓN DE RIESGOS EN EL SECTOR PÚBLICO Este documento está orientado a entregar directrices a los auditores internos para el aseguramiento

Más detalles

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA Implementando COBIT Por: Víctor Julio Zúñiga.MBA 1 LOS MODELOS DE MEJORES PRÁCTICAS Y LAS METAS DE TI tiempo 2 Alineado Soporte al Negocio Controlados Mejor seguros Calidad del Servicio Riesgos De TI tiempo

Más detalles

Conceptos Básicos de Auditoría Informática

Conceptos Básicos de Auditoría Informática UNIVERSIDAD NACIONAL DE INGENIERÍA Conceptos Básicos de Auditoría Informática MSc. Julio Rito Vargas Avilés Sábado 21 marzo de 2009 AUDITORÍA INFORMÁTICA Tema Objetivos 1. Conceptos básicos Conocer qué

Más detalles

La orientación: indica el objetivo primordial que debe alcanzar el personal en la ejecución de funciones del puesto determinado.

La orientación: indica el objetivo primordial que debe alcanzar el personal en la ejecución de funciones del puesto determinado. MANUAL DE PERFILES DE PUESTOS UNIDAD DE GESTIÓN DEL POTENCIAL HUMANO CONTRALORÍA GENERAL DE LA REPÚBLICA PRESENTACIÓN El reto en las instituciones públicas es enfrentar y adaptarse a un contexto altamente

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

SEGUIMIENTO INSTITUCIONAL Bucaramanga

SEGUIMIENTO INSTITUCIONAL Bucaramanga SEGUIMIENTO INSTITUCIONAL Bucaramanga Enero de 2015 Revisó Director Control Interno y Evaluación de Gestión Aprobó: Rector Página: 2 de 20 Fecha de Aprobación: Marzo 11 de 2009 Resolución Nº 370 CONTENIDO

Más detalles

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA PLAN DE MANEJO DE RIESGOS Contenido PLAN DE MANEJO DE RIESGOS.... 3 Elaboración del mapa de riesgos... 3 Monitoreo... 4 Autoevaluación... 4 Metodología... 7

Más detalles

Metodología de Administración de Riesgos - Procesos

Metodología de Administración de Riesgos - Procesos Metodología de Administración de Riesgos - Procesos Contenido Metodología de Administración de Riesgos... 3 Conceptos y Acrónimos... 3 Introducción... 3 Principios de Administración Integral de Riesgos...

Más detalles

Introduction to Risk Assessment

Introduction to Risk Assessment Introduction to Risk Assessment Agenda Riesgos de Seguridad de la Información Gestión de Riesgos Modelo Pragmático de Riesgo Mitigación de Riesgos y sus componentes Activos Componentes de Riesgos Identificación

Más detalles

COSO II: Enterprise Risk Management Primera Parte

COSO II: Enterprise Risk Management Primera Parte COSO II: Enterprise Risk Management Primera Parte www.nasaudit.com 31/07/2009 COSO II: ENTERPRISE RISK MANAGEMENT PRIMERA PARTE Como lo comentamos en uno de nuestros anteriores boletines, existen en la

Más detalles

Audire V.3 FECHA DEL BOLETÍN BOLETIN 15

Audire V.3 FECHA DEL BOLETÍN BOLETIN 15 Audire V.3 FECHA DEL BOLETÍN BOLETIN 15 INTRODUCCION En los últimos años los sistemas de información han venido aportando a los procesos de las empresas una gran ayuda en la recopilación y administración

Más detalles

SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL

SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL VII JORNADAS RIOPLATENSES DE AUDITORIA INTERNA 2011 MONTEVIDEO - URUGUAY SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL Ricardo Correa F. - CIA, CGAP, CCSA, MCAG

Más detalles

Soluciones Estratégicas e Inteligencia Corporativa

Soluciones Estratégicas e Inteligencia Corporativa Soluciones Estratégicas e Inteligencia Corporativa Portafolio de Productos SA Performance Manager Planeamiento Estratégico Planeamiento Operacional BSC - Balanced Scorecard Indicadores de Performance Proyectos

Más detalles

INFORME -~ÉCNICO PREVIO DE EVALUACION DEL SOFTWARE DE GESTION DE RIESGOS No 009-GT1000

INFORME -~ÉCNICO PREVIO DE EVALUACION DEL SOFTWARE DE GESTION DE RIESGOS No 009-GT1000 INFORME -~ÉCNICO PREVIO DE EVALUACION DEL SOFTWARE DE GESTION DE RIESGOS No 009-GT1000 1. NOMBRE DEL ÁREA Proyecto de Gestión de Riesgos, Gerencia de Tecnologías de Información, Gerencia de Auditoria Interna.

Más detalles

SISTEMA DE GESTIÓN DE RIESGOS

SISTEMA DE GESTIÓN DE RIESGOS SISTEMA DE GESTIÓN DE RIESGOS Como parte del compromiso del Directorio con las buenas prácticas de Gobierno Corporativo, COPEINCA ha implementado un Sistema de Gestión de Riesgos, bajo la metodología COSO

Más detalles

Subsistema de Control Estratégico Avances

Subsistema de Control Estratégico Avances BANCO DE COMERCIO EXTERIOR DE COLOMBIA BANCOLDEX INFORME CUATRIMESTRAL DEL ESTADO DE CONTROL INTERNO (Estatuto anticorrupción Ley 1474 de 2011) PERÍODO: NOV-2012 A FEB-2013 Subsistema de Control Estratégico

Más detalles

ADQUISICIÓN DE LICENCIAS DE PGP PDF MESSENGER PARA 5000 USUARIOS EXTERNOS

ADQUISICIÓN DE LICENCIAS DE PGP PDF MESSENGER PARA 5000 USUARIOS EXTERNOS ADQUISICIÓN DE LICENCIAS DE PGP PDF MESSENGER PARA 5000 USUARIOS EXTERNOS INDICE 1. GENERALIDADES DE LA PROPUESTA... 3 1.1. ANTECEDENTES... 3 1.2. ALCANCE DEL PROYECTO... 3 1.3. ESQUEMA DE CORREO ACTUAL...

Más detalles

MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DE NEGOCIOS INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL EXTERIOR - ICETEX

MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DE NEGOCIOS INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL EXTERIOR - ICETEX Página: 1 de 123 CONTINUIDAD DE NEGOCIOS INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL EXTERIOR - ICETEX Mayo de 2013 Página: 2 de 123 Contenido 1 INTRODUCCION 4 2 OBJETIVOS 4 2.1

Más detalles

ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu.

ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu. ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu.co Por qué es Importante?? La Gestión de Servicios de Tecnología

Más detalles

Dentro del subsistema de control estratégico se tienen establecidos 3 componentes:

Dentro del subsistema de control estratégico se tienen establecidos 3 componentes: INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO - LEY 1474 DE 2011 Jefe de Control Interno, o quien haga sus veces: EDGAR JAIMES MATEUS. Período evaluado: ENERO OCTUBRE DE 2.011 Fecha de elaboración:

Más detalles