SOFTWARE DE AUDITORÍA BASADA EN RIESGOS CRITICOS

Tamaño: px
Comenzar la demostración a partir de la página:

Download "SOFTWARE DE AUDITORÍA BASADA EN RIESGOS CRITICOS"

Transcripción

1 Versión 2015 SOFTWARE DE AUDITORÍA BASADA EN RIESGOS CRITICOS Derechos de autor reservados por AUDISIS PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Servicios Orientados a la Prevención y Reducción de Riesgos, Seguridad y Auditoría de Sistemas. Calle 53 No Oficina 602 Tels.: , PBX: Bogotá, D.C. Colombia web site: AUDISIS: Fundada en 1.988

2 Contenido QUÉ PUEDE HACER USTED CON LA POTENCIA DE AUDIRISK?... 4 MÓDULO 1: PLANEACIÓN ANUAL DE LA AUDITORÍA BASADA EN VALORACION DE LA EXPOSICIÓN RIESGOS MÓDULO 2: AUDITORÍAS BASADAS EN RIESGOS CRÍTICOS A PROCESOS Y SISTEMAS DE INFORMACION MÓDULO 3: SEGUIMIENTO A HALLAZGOS DE AUDITORÍAS EFECTUADAS POR TERCEROS MÓDULO 4: AUDITORÍAS A SISTEMAS DE GESTIÓN MÓDULO 5: GESTIÓN DE RESULTADOS DE LA AUDITORÍA MÓDULO 6: ADMINISTRACIÓN DE USUARIOS PARAMETRIZACIÓN DEL SOFTWARE MODULO 1: PLANEACION ANUAL DE LA AUDITORÍA BASADA EN VALORACIÓN DE RIESGOS MODULO 2: AUDITORÍAS BASADAS EN RIESGOS CRITICOS A PROCESOS Y SISTEMAS DE INFORMACIÓN MODULO 3: SEGUIMIENTO A HALLZAGOS DE AUDITORÍAS EFECTUADAS POR TERCEROS MODULO 4: GESTION DE RESULTADOS DE LA AUDITORÍA MODULO 5: AUDITORÍAS A SISTEMAS DE GESTION MODULO 6: ADMINISTRACION DE USUARIOS PARAMETRIZACIÓN DEL SOFTWARE A QUIENES SIRVE LA METODOLOGIA Y EL SOFTWARE AUDIRISK? ELEMENTOS QUE RECIBE EL USUARIO DE AUDIRISK SERVICIOS DE SOPORTE TÉCNICO Y ACTUALIZACION REQUERIMIENTOS DE HARDWARE Y SOFTWARE PARA INSTALAR EL SOFTWARE AUDIRISK PERFIL DEL PROVEEDOR DE AUDIRISK

3 EMPRESAS QUE UTILIZAN EL SOFTWARE AUDIRISK

4 AUDIRISK QUÉ PUEDE HACER USTED CON LA POTENCIA DE AUDIRISK? AUDIRISK es un software en tecnología Web (Cloud Computing) para asistir a los auditores en el desarrollo de las siguientes actividades: a) Elaboración y Seguimiento del Plan Anual de la Auditoría; este plan se elabora con base en los resultados de la valoración de la exposición a riesgos de los procesos del modelo de operación y los sistemas de información de la empresa ; b) Planeación y desarrollo de auditorías con enfoque Basadas en Riesgos Críticos (comprende la planeación detallada basada en riesgos, evaluación de la efectividad del control interno existente, diseño y ejecución pruebas de cumplimiento y sustantivas, comunicación de resultados de la auditoría y seguimiento a los hallazgos de la auditoría); c) Seguimiento a los hallazgos de Auditorías efectuadas por terceros (elaboración del plan de mejoramiento y su seguimiento); d) Gestionar los Resultados de la Auditoría por periodos anuales; y e) Programación y ejecución de Auditorías de Sistemas de Gestión (de calidad, de seguridad de la información, ambiental, Seguridad y salud ocupacional, gestión de continuidad del negocio). El software AUDIRISK puede ser instalado en ambientes WEB (Cloud Computing), en una red interna o en computadores stand alone. Figura 1: Módulos del software AUDIRISK El software AUDIRISK consta de seis (6) módulos interrelacionados: a) Planeación Anual de la Auditoría; b) Auditorías basadas en Riesgos Críticos; c) Gestión de resultados de la auditoría; d) 4

5 Seguimiento a informes de auditorías efectuadas por terceros; e) Auditorías de Sistemas de Gestión (de calidad, de seguridad de la información, ambiental y de salud ocupacional) y f) Administración de Usuarios. La Auditoría Basada en Riesgos Críticos es una forma de conducir las auditorías de diferentes tipos (de procesos, de sistemas de información, operativa, de estados financieros, etc), basando su planeación y desarrollo en los riesgos que pudieran causar el mayor impacto negativo en la organización (empresa), para confirmar si el manejo de las operaciones y de la información se realizan de conformidad con las buenas y mejores prácticas de control interno y seguridad, las reglas del negocio y lo establecido en las leyes y regulaciones aplicables. Como punto de partida y apoyo para planear y desarrollar las auditorías, AUDIRISK provee una base de datos de conocimientos que contiene numerosas mejores y buenas prácticas sobre clases de riesgos (por ejemplo, fraude interno, fallas tecnológicas, etc.), definiciones de eventos de riesgo negativos ó amenazas (para las clases de riesgo de SARO, SARLAFT, MECI y AUDIRISK), vulnerabilidades, agentes generadores de riesgo, controles aplicables a los eventos de riesgo negativos, factores de exposición a riesgos y objetivos de control, las cuales están disponibles permanentemente para ser utilizadas por los auditores. El software AUDIRISK, estandariza el desarrollo de las auditorías, utilizando funcionalidades que están alineadas con las normas y procedimientos de auditoría generalmente aceptados, con las normas de auditoría interna emitidas por el IIA, las normas de auditoría de sistemas emitidas por ISACA y con estándares nacionales e internacionales de Control Interno Organizacional (COSO, COBIT, MECI, ISO 27001, ISO 22301) y de Gestión de Riesgos Empresariales (ISO 31000, ERM, AS/NZ 4361). MÓDULO 1: PLANEACIÓN ANUAL DE LA AUDITORÍA BASADA EN VALORACION DE LA EXPOSICIÓN RIESGOS. La base para la planificación y desarrollo de las Auditorías es la importancia relativa o materialidad del impacto que podrían causar las clases de riesgos a las que se expone cada proceso del modelo de operación o sistema de información de la organización. Por ejemplo, en un proceso de compras pueden presentarse las siete (7) clases de riesgo del SARO y de estas solo tres (3) son CRITICAS porque podrían producir las mayores pérdidas a la organización, estimadas en el horizonte de un año (pérdida anual estimada, PAE). Las Auditorías se planean y desarrollan para revisar las actividades, procedimientos, controles e información que pudieran ser impactados por las clases de riesgos críticas del proceso. Por ejemplo, para un proceso de cartera las clases de riesgos críticos pueden ser: Fraude Interno, Fraude Externo y fallas tecnológicas. AUDIRISK asiste en las actividades de elaboración de Planes de Trabajo Anuales de las auditorías internas y externas, con base en resultados de la valoración de la exposición a riesgos efectuada por los auditores a cada uno de los trabajos candidatos a ser auditados. 5

6 Elaboración del Plan anual de la Auditoría Interna. Para las Auditorías Internas y de Sistemas de Información, el software satisface las exigencias de los estándares de auditoría del Instituto de Auditores Internos de los Estados Unidos (IIA) e ISACA (la asociación de Control y Auditoría de Sistemas de Información), los cuales establecen que el plan anual de la auditoría debe realizarse con un enfoque basado en valoración de riesgos. Por cada grupo de trabajos candidatos a ser auditados, el software ofrece funcionalidades y el apoyo de la base de conocimientos de AUDIRISK para diseñar, contestar y procesar cuestionarios con factores de riesgo, estimar la exposición a riesgos (necesidades de seguridad) de cada una de trabajos candidatos a ser auditados y elaborar un panorama de riesgos de la Empresa con la estimación de la exposición a las clases o categorías de riesgo del modelo de riesgos aplicable a la Empresa (SARO, SARLAFT, MECI, AUDISIS o combinación de las anteriores). Para las auditorías internas, AUDIRISK asiste la asignación de prioridades según la exposición a riesgos y la programación anual de trabajos para tres tipos de auditoría: los procesos del modelo de operación de la empresa, los procesos de tecnología de información y las aplicaciones de computador en producción. Como resultado, por cada grupo de trabajos candidatos a ser auditados, el software produce la matriz de planeación anual de la auditoría con dos alternativas para decidir las actividades a auditar: a) por el nivel de exposición a riesgos de los procesos y aplicaciones de computador candidatas a ser auditadas, y b) por el nivel de exposición de los procesos y aplicaciones de computador a cada una de las clases o categorías de riesgo. También permite incluir en la planeación anual de la Auditoría Interna, la programación de auditorías a sistemas de gestión (calidad, ISO y otras), auditorias de seguimiento a informes de auditorías realizadas y otros trabajos que sean asignados a la Auditoría Interna. Elabora cronograma anual y asiste en el seguimiento a la ejecución del plan anual de la Auditoría Interna. Elaboración del Plan anual de Auditorías Externas. Para las auditorías externas, AUDIRISK asiste las actividades de valoración de riesgos de las empresas según el sector de la economía al que correspondan, priorizar las entidades o empresas que serán auditadas en el año por sectores, la programación de las auditorías y asignación de recursos de tiempo, personal y financieros. Elabora cronograma anual y asiste en el seguimiento a la ejecución del plan anual de auditorías externas. 6

7 MÓDULO 2: AUDITORÍAS BASADAS EN RIESGOS CRÍTICOS A PROCESOS Y SISTEMAS DE INFORMACION. Este módulo de AUDIRISK ofrece funcionalidades para desarrollar cuatro (4) tipos de auditorías basadas en riesgos críticos : 1) A los procesos del modelo de operación de la Empresa (procesos estratégicos, misionales, de soporte y de supervisión y control); 2) A los procesos de Tecnología de Información y Comunicaciones (por ejemplo, los procesos COBIT e ITIL); 3) A las aplicaciones de computador en producción (ó módulos de ERPs), y 4) A los componentes clave de la Infraestructura de Tecnología de Información. Por cada auditoría basada en riesgos, el software ofrece funcionalidades con procedimientos, guías y formatos para desarrollar las (4) cuatro fases del proceso de auditoría: 1) Planeación, 2) Ejecución, 3) Comunicación de resultados y 4) Seguimiento a los hallazgos de auditoría y planes de mejoramiento. La figura 2, ilustra el enfoque de las auditorías realizadas con AUDIRISK. Figura 2: Las 4 Fases de la Auditoría En la fase I, Planeación detallada de la Auditoría, por cada proceso o sistema AUDIRISK construye un Cubo de Riesgos Críticos como base para ejecutar la auditoría. El cubo incluye el mapeo de los riesgos potenciales (amenazas) que podrían presentarse en tres (3) dimensiones: a) las actividades del proceso o sistema (escenarios de riesgo); b) las áreas organizacionales y terceros que intervienen en el proceso; y c) las categorías o clases de riesgos críticos. La suma de los 7

8 cubos de riesgo de los procesos auditados es una aproximación a la auditoria del cubo de Control Interno de COSO y ERM (Enterprise Risk Management). En la fase 2, Ejecución de la Auditoría, por cada proceso o sistema sujeto a auditoría, este módulo de AUDIRISK asiste a los auditores en la consecución de dos grandes objetivos: el primero es evaluar la efectividad del control interno establecido como estándar del proceso o sistema en toda la empresa, es decir, la capacidad de los controles establecidos para reducir los riesgos potenciales críticos a niveles aceptables de riesgo residual; esta evaluación es la base para determinar la naturaleza y extensión de las pruebas de auditoría necesarias. Esta evaluación se realiza por cada una de las actividades del proceso o sistema. El segundo objetivo es ejecutar pruebas de cumplimiento para los controles asociados a riesgos que tienen controles apropiados y pruebas sustantivas a la información que pudiera ser impactada por los riesgos que presentan debilidades de control. Estas pruebas se realizan por cada una de las áreas organizacionales y terceros que intervengan en el proceso o sistema objeto de la auditoría y que requieran pruebas. Etapas de la Metodología para el desarrollo de las Auditorías Basadas en Riesgos Críticos. Por cada auditoría, el software AUDIRISK ofrece funcionalidades para asistir el desarrollo de procedimientos de auditoría de aceptación general, organizadas en un menú de ocho (8) etapas que se muestran a continuación y en el menú de la figura 3. Figura 3: Etapas del proceso de Auditoría Basada en Riesgos críticos Etapa 1: Pre auditoría. Definición de objetivos, alcance, recursos a emplear programa de trabajo de la Auditoría. y Etapa 2: Comprensión del proceso o sistema (Familiarización). Elaboración de archivo permanente o expediente contínuo de la auditoría y caracterización del proceso o sistema sujeto a auditoría. Etapa 3: Identificar y analizar los Riesgos Inherentes Críticos (Eventos de riesgo Negativos). Identificar las 3 ó 4 categorías de riesgos críticos para el proceso o sistema sujeto a auditoría; identificar, analizar y documentar las amenazas ó eventos negativos que podrían generar las categorías de riesgo críticas; generar mapa de riesgos inherentes (amenazas) que serán considerados para el desarrollo de la auditoría; generación de papeles de trabajo corrientes. El análisis de los riesgos inherentes se realiza para las amenazas ó eventos negativos que pueden generar la materialización de las clases 8

9 de riesgo críticos, en el ambiente real de las operaciones del proceso. Por ejemplo, en el proceso de cartera se identifican y analizan diez (10) amenazas por cada una de las tres (3) clases de riesgos críticos: Fraude Interno, Fraude Externo y fallas tecnológicas. Por cada amenaza, la exposición al riesgo se mide con una de las siguientes cuatro (4) calificaciones: E: Extremo (Color rojo); A: Alto (color naranja); M: Moderado (color amarillo) y B: Bajo o dentro del apetito de riesgos de la Gerencia (color verde). Las amenazas calificadas se ubican en el Mapa de Riesgos Inherentes (una matriz de 5x5) y se despliegan organizadamente para las tres (3) dimensiones del Cubo de Riesgos del proceso que se está auditando: a) por categorías de riesgo críticas, b) por Dependencias (áreas de la estructura de organización o terceros) y c) por actividades del proceso. Etapa 4: Definir Contexto de Riesgos de la Auditoría. Desplegar o desdoblar el Cubo de riesgos de la auditoría, generar matrices de riesgo y definir objetivos de control que debería satisfacer el proceso o sistema sujeto a auditoría. Etapa 5: Evaluar Efectividad del Control Interno Existente. Por cada amenaza la auditoría evalúa la efectividad o capacidad de los controles para reducir la exposición de las amenazas a un nivel de riesgo residual aceptable. La efectividad de los controles se mide con una escala de 5 calificaciones: 1- apropiada (color verde); 2- mejorable (color amarillo); 3- Insuficiente (color naranja); 4: Deficiente (color rojo) y 5- Muy Deficiente (color rojo). Los resultados obtenidos por amenaza, se articulan y presentan en las tres dimensiones del cubo de riesgos en las cuales podría materializarse: en las clases de riesgo críticas, en las actividades del proceso y en las dependencias (áreas de la organización y terceros) que intervienen en el proceso. Con los resultados de la evaluación de la efectividad de los controles establecidos, el software produce el primer informe con los resultados de la Auditoría, el que mayor valor agregado genera para los auditados y la administración. Etapa 6: Pruebas de Cumplimiento. Diseño de las pruebas requeridas a los controles según los resultados de la evaluación de los controles establecidos, generación de checklists de controles a verificar por sitio de prueba, procesamiento de respuestas de los checklists, generación y análisis de hallazgos de auditoría, generación de informes (ejecutivo y detallado) con los resultados de las pruebas de cumplimiento. Las pruebas de cumplimiento de los controles se realizan en las dependencias que intervienen en el proceso, para las amenazas que presentan significativa exposición al riesgo inherente (E: Extremo; A: Alto o M: Moderado) y los controles establecidos, que según la evaluación de la auditoría, son eficaces y eficientes (con efectividad 1- apropiada ó 2 - Mejorable). Los resultados de estas pruebas se miden con una escala de cinco calificaciones, dependiendo del porcentaje de cumplimiento de los controles establecidos, así: 1- Apropiada (cumplimiento superior al 80%); 2- Mejorable (cumplimiento entre el 60% y 80%), 3- Insuficiente (cumplimiento entre 40% y 60%): 4: Deficiente (cumplimiento entre 20% y 40%); y 5- Muy deficiente (cumplimiento entre 0% y 20%). Estos resultados se comparan con los de la evaluación de control interno para mostrar las diferencias entre los controles formalmente establecidos y los que realmente se cumplen. Con los resultados de estas pruebas, el software genera el segundo informe con los resultados de la auditoría. Etapa 7: Pruebas Sustantivas. Diseño de las pruebas requeridas a la información según los resultados de la evaluación de controles existentes y de las pruebas de cumplimiento, 9

10 generación de checklists de datos (cifras) a verificar por sitio de prueba, procesamiento de respuestas de los checklists, generación y procesamiento de checklists para evaluar la satisfacción de los siete (7) criterios o elementos de la información de negocios; generación y análisis de hallazgos de auditoría, generación de informes (ejecutivo y detallado) con los resultados de las pruebas de auditoría. Las Pruebas Sustantivas o pruebas a la Exactitud de la Información que procesa y produce el proceso, se realizan en las dependencias que intervienen en el proceso, para las amenazas que presentan debilidades de control interno (efectividad 3- insuficiente, 4- Deficiente y 5- muy deficiente) y presentan significativa exposición al riesgo inherente (E: Extremo; A: Alto o M: Moderado). Su propósito es verificar el impacto que pudieran tener esas debilidades de control en la integridad de la información de la empresa. Los resultados de estas pruebas se miden con una escala de cinco calificaciones, dependiendo del porcentaje de exactitud de los datos verificados por la auditoría, así: 1- Apropiada (exactitud superior al 80%); 2- Mejorable (exactitud entre el 60% y 80%), 3- Insuficiente (exactitud entre 40% y 60%): 4: Deficiente (exactitud entre 20% y 40%); y Muy deficiente (exactitud en entre 0% y 20%). Con los resultados de las pruebas sustantivas, el software produce el tercer informe con los resultados de la auditoría. Etapa 8: Seguimiento a Hallazgos y Recomendaciones de la Auditoría. Como paso final, por cada auditoría basada en riesgos AUDIRISK ofrece opciones para planear y ejecutar seguimiento a los acciones de mejoramiento que se diseñen en la empresa para atender los hallazgos de control interno, pruebas de cumplimiento y pruebas sustantivas. El software tiene funcionalidades para generar y enviar recordatorios por correo electrónico a los responsables de implantar y supervisar la implantación de las acciones de mejora y a los auditores asignados a su seguimiento. Este módulo también ofrece funcionalidades para iniciar auditorias nuevas, a partir de los papeles de trabajo electrónicos de auditorías anteriores realizadas con AUDIRISK. Esta facilidad genera ahorros de tiempo y productividad en las auditorias. MÓDULO 3: SEGUIMIENTO A HALLAZGOS DE AUDITORÍAS EFECTUADAS POR TERCEROS. AUDIRISK ofrece funcionalidades para asistir el registro (ingreso) de hallazgos, planeación y ejecución del seguimiento a las acciones de mejoramiento institucional que resultan de los hallazgos e informes de auditorías realizadas por terceros (Auditores Externos, Revisores Fiscales, Organismos de Control y Supervisión del Estado). Para este fin, el software ofrece opciones para el mantenimiento de las entidades auditoras y por cada auditoría de terceros ingresar los hallazgos de auditoría, ingresar información sobre las metas definidas para implantar las acciones de mejora por hallazgo (fechas de compromiso, responsables de implantar, supervisar implantación y hacer seguimiento), planear fechas del seguimiento y ejecutar el seguimiento. El software ofrece funcionalidades para generar recordatorios por correo electrónico a los responsables de implantar y supervisar las acciones de mejora y a los auditores asignados para su seguimiento. 10

11 MÓDULO 4: AUDITORÍAS A SISTEMAS DE GESTIÓN. AUDIRISK asiste a los auditores internos en las actividades de programación, planeación, ejecución, informe y seguimiento de auditorías internas de gestión (Por ejemplo: de calidad, de gestión de seguridad de la información - ISO , gestión ambiental y seguridad y salud ocupacional). Estas auditorías se ejecutan de conformidad con la norma ISO MÓDULO 5: GESTIÓN DE RESULTADOS DE LA AUDITORÍA. Este módulo genera informes con estadísticas y gráficos sobre los resultados de las auditorías desarrolladas con AUDIRISK durante un periodo de tiempo, dentro del año fiscal. El software ofrece funcionalidades para generar entre otros los siguientes informes de Gestión: Estadísticas sobre auditorías desarrolladas en el periodo, programadas y no programadas. Estado de ejecución de Auditorías Programadas en el periodo. Estadísticas por tipos de hallazgos emitidos (de control interno, pruebas de cumplimiento y pruebas sustantivas), para las auditorías realizadas en el periodo. Estadísticas de tipos de hallazgos de auditoría emitidos (de control interno, pruebas de cumplimiento y pruebas sustantivas), clasificados por tipos de auditoría (a procesos del modelo de operación, a procesos de TI, sistemas de información). Estadísticas por tipos de hallazgos (de control interno, pruebas de cumplimiento y pruebas sustantivas) sobre el estado de implementación de las acciones de mejora definidas por cada auditoría. Estadísticas sobre el estado de implementación de las acciones de mejora (pendientes, en proceso, implantadas, etc) definidas para atender los hallazgos de la auditoría. Se produce por tipos de auditorías realizadas y por dependencias (áreas organizacionales de la Empresa) encargadas de implantarlas. Comparación horas programadas y ejecutadas por los auditores asignados, por auditoría y tipos de auditoría. Comparación de Costos de personal y otros gastos en la Auditoría, por Auditoría y Tipos de Auditoría. MÓDULO 6: ADMINISTRACIÓN DE USUARIOS. Este módulo ofrece las funcionalidades necesarias para administrar los usuarios con derechos de acceso a los diferentes módulos. Permite adicionar, modificar e inactivar usuarios y establecer el perfil y los privilegios de acceso a cada uno de los módulos de AUDIRISK. El software maneja los siguientes perfiles: Gerente de Auditoría. Administrador de Usuarios. Supervisor de Auditoría. Analista de Auditoría (Auditor de Procesos o de aplicaciones). Auditor Regional. Solo Consulta. Auditores de Gestión. 11

12 PARAMETRIZACIÓN DEL SOFTWARE. AUDIRISK presenta funcionalidades para parametrizar los estándares de auditoría basadas en riesgos, en las actividades de evaluación de riesgos, evaluación de la efectividad de los controles, generación de checklist de pruebas de cumplimiento y sustantivas, evaluación de resultados de las pruebas de auditoría y evaluación de los siete (7) criterios que debe satisfacer la información de negocios (eficacia, eficiencia, integridad, disponibilidad, confidencialidad, confiabilidad y cumplimiento). También ofrece ayudas para poblar la base de conocimientos de AUDIRISK y obtener copias de respaldo de esta base y de los papeles de trabajo electrónicos de las auditorías realizadas. MODULO 1: PLANEACION ANUAL DE LA AUDITORÍA BASADA EN VALORACIÓN DE RIESGOS. La base para la planificación y desarrollo de las Auditorías es la importancia relativa o materialidad de las clases de riesgos a las que se expone cada proceso del modelo de operación o sistema de información de la organización. Por ejemplo, en un proceso de compras pueden presentarse las siete (7) clases de riesgo del SARO y de estas solo tres (3) son CRITICAS porque podrían producir las mayores pérdidas a la organización, estimadas en el horizonte de un año (pérdida anual estimada, PAE). Las Auditorías se planean y desarrollan para revisar actividades, procedimientos, controles e información que pudieran ser impactados por las clases de riesgos críticas del proceso. Por ejemplo, para un proceso de cartera las clases de riesgos críticos pueden ser: Fraude Interno, Fraude Externo y fallas tecnológicas. Este módulo del software asiste la elaboración del Plan Anual de las auditorías internas y externas, de acuerdo con el nivel de exposición a riesgos. Para las Auditorías Internas y de Sistemas satisface las exigencias de los estándares de auditoría del Instituto de Auditores de los Estados Unidos (IIA) e ISACA (la asociación de Control y Auditoría de Sistemas de Información), los cuales establecen que el plan anual de la auditoría debe realizarse con un enfoque basado en valoración de riesgos. PLANEACION ANUAL AUDITORIAS INTERNAS. AUDIRISK ofrece funcionalidades para asistir la elaboración del plan anual de auditorías, basado en la valoración de la exposición a riesgos para tres tipos de auditoria: los procesos del modelo de operación de la Empresa (Mapa de Procesos), los procesos de Tecnología de Información (por ejemplo los de COBIT e ITIL) y las Aplicaciones de Computador (módulos de ERPs) que soportan la operación de los procesos. Por cada grupo de trabajos de auditoría, el software ofrece funcionalidades y apoyo de la base de conocimientos para diseñar, contestar y procesar cuestionarios con factores de riesgo, estimar las necesidades de seguridad de cada uno de los trabajos candidatos a ser auditadas y estimar la exposición a las clases o categorías de riesgo del modelo adoptado por la Empresa (SARO, SARLAFT, AUDISIS o combinación de las anteriores). 12

13 Como resultado, por cada grupo de trabajos, el software produce la matriz de planeación anual de la auditoría con dos alternativas para decidir las actividades a auditar: a) por el nivel de exposición a riesgos de los procesos y aplicaciones de computador candidatas a ser auditadas, y b) por el nivel de exposición a cada una de las clases o categorías de riesgo. Figura 2: Priorización de procesos para el Plan Anual de Auditoría Después de priorizar los trabajos candidatos a ser auditados por cada tipo de auditoría, el software ofrece funcionalidades para elaborar la programación anual de las auditorías; por cada auditoría ayuda a definir objetivos, alcance y asignar recursos requeridos, generar el cronograma anual (grafico de barras), y efectuar el seguimiento a la ejecución de las auditorías programadas. 13

14 PLANEACION ANUAL AUDITORIAS EXTERNAS. Para entidades de control del Estado (Contraloría y Superintendencias) y Firmas de Auditoria. AUDIRISK ofrece funcionalidades para elaborar el plan anual de auditoría basado en valoración de riesgos y controlar su ejecución a través de los siguientes pasos: 1. Priorizar por su nivel de exposición a riesgos, las empresas candidatas a ser auditadas en los diferentes sectores a los que correspondan las entidades vigiladas (comercial, industrial, servicios, financiero y otros). Por cada sector, el software ofrece funcionalidades para diseñar y procesar cuestionarios con factores de riesgo, estimar las necesidades de seguridad de cada una de las empresas candidatas a ser auditadas y estimar la exposición a las clases o categorías de riesgo del modelo adoptado por la Empresa auditora (SARO, SARLAFT, AUDIRISK o combinación de las anteriores). 14

15 2. Como resultado, por cada empresa candidata a ser auditada, el software produce la matriz de planeación anual de la auditoría con dos alternativas para decidir las actividades a auditar: a) por el nivel de exposición a riesgos de las empresas candidatas a ser auditadas, y b) por el nivel de exposición a cada una de las clases o categorías de riesgo. Figura 2: Priorización de Empresas candidatas para el Plan Anual de Auditoría. 3. Elaborar la programación de visitas de las empresas candidatas a ser auditadas a realizar durante el año, de acuerdo con las prioridades asignadas por sector o por clases de riesgo. Genera un cronograma (grafico de barras) con la planeación anual. 15

16 4. Efectuar seguimiento al plan anual de la auditoría / Evaluar la gestión de la auditoría de acuerdo al cumplimiento del plan anual. 5. Generar reportes de planeación, seguimiento y control del plan anual de auditoría MODULO 2: AUDITORÍAS BASADAS EN RIESGOS CRITICOS A PROCESOS Y SISTEMAS DE INFORMACIÓN. AUDIRISK ofrece funcionalidades para ejecutar auditorías basadas en riesgos críticos a los procesos del modelo de operación de la empresa, los procesos de tecnología de información (por 16

17 ejemplo, de los modelos COBIT e ITIL) y los sistemas de información (aplicaciones de computador) de la Empresa, programados en el plan anual de auditoría con el módulo 1 de AUDIRISK. También ofrece opciones para crear y ejecutar auditorías que no están en el Plan Anual y para iniciar auditorías a partir de los papeles de trabajo electrónicos de auditorías anteriores ejecutadas con AUDIRISK (por ejemplo, efectuar auditoria al proceso Gestión de Talento Humano 2014, a partir de los papeles de trabajo de la auditoría al mismo proceso en el año 2013). Por cada auditoría basada en riesgos, el software ofrece funcionalidades con procedimientos, guías y formatos para desarrollar las (4) cuatro fases del proceso de auditoría: 1) Planeación, 2) Ejecución, 3) Comunicación de resultados y 4) Seguimiento a los hallazgos de auditoría y planes de mejoramiento. La figura 3, ilustra el enfoque de las auditorías realizadas con AUDIRISK. Figura 3: Las 4 Fases de la Auditoría FUNCIONALIDADES DE AUDIRISK PARA EL DESARROLLO DE LAS AUDITORÍAS BASADAS EN RIESGOS. Por cada auditoría, el software AUDIRISK ofrece funcionalidades para aplicar procedimientos de auditoría de aceptación general, organizadas en OCHO (8) etapas que se muestran a continuación y en el menú de la figura 4. 17

18 Figura 4: Etapas del proceso de Auditoría Basada en Riesgos críticos Etapa 1: Pre auditoría. Definición de objetivos, alcance, recursos a emplear programa de trabajo de la Auditoría. y Etapa 2: Comprensión del proceso o sistema (Familiarización). Elaboración de archivo permanente de la auditoría y caracterización del proceso o sistema sujeto a auditoría. Etapa 3: Identificar y analizar los Riesgos Inherentes Críticos (Eventos de riesgo Negativos). Identificar las 3 ó 4 categorías de riesgos críticos para el proceso o sistema sujeto a auditoría; identificar, analizar y documentar las amenazas ó eventos negativos que podrían generar las categorías de riesgo críticas; generar mapa de riesgos inherentes (amenazas) que serán considerados para el desarrollo de la auditoría; generación de papeles de trabajo corrientes. El análisis de los riesgos inherentes se realiza para las amenazas ó eventos negativos que pueden generar la materialización de las clases de riesgo críticos, en el ambiente real de las operaciones del proceso. Por ejemplo, en el proceso de cartera se identifican y analizan diez (10) amenazas por cada una de las tres (3) clases de riesgos críticos: Fraude Interno, Fraude Externo y fallas tecnológicas. Por cada amenaza, la exposición al riesgo se mide con una de las siguientes cuatro (4) calificaciones: E: Extremo (Color rojo); A: Alto (color naranja); M: Moderado (color amarillo) y B: Bajo o dentro del apetito de riesgos de la Gerencia (color verde). Las amenazas calificadas se ubican en el Mapa de Riesgos Inherentes (una matriz de 5x5) y se despliegan organizadamente para las tres (3) dimensiones del Cubo de Riesgos del proceso que se está auditando: a) por categorías de riesgo críticas, b) por Dependencias (áreas de la estructura de organización o terceros) y c) por actividades del proceso. Etapa 4: Definir Contexto de Riesgos de la Auditoría. Desplegar o desdoblar el Cubo de riesgos de la auditoría, generar matrices de riesgo y definir objetivos de control que debería satisfacer el proceso o sistema sujeto a auditoría. Etapa 5: Evaluar Efectividad del Control Interno Existente. Por cada amenaza la auditoría evalúa la efectividad o capacidad de los controles para reducir la exposición de las amenazas a un nivel de riesgo residual aceptable. La efectividad de los controles se mide con una escala de 5 calificaciones: 1- apropiada (color verde); 2- mejorable (color amarillo); 3- Insuficiente (color naranja); 4: Deficiente (color rojo) y 5- Muy Deficiente (color rojo). Los resultados de la evaluación obtenidos por amenaza, se articulan y presentan en las tres dimensiones del cubo de riesgos en las cuales podría materializarse: en las clases de riesgo críticas, en las actividades del proceso y en las dependencias (áreas de la organización y terceros) que intervienen en el proceso. Con los resultados de la evaluación de la efectividad de los controles establecidos, el software produce el primer informe con los resultados de la Auditoría, el que mayor valor agregado genera para los auditados y la administración. 18

19 Etapa 6: Pruebas de Cumplimiento. Diseño de las pruebas requeridas a los controles según los resultados de la evaluación de los controles establecidos, generación de checklists de controles a verificar por sitio de prueba, procesamiento de respuestas de los checklists, generación y análisis de hallazgos de auditoría, generación de informes (ejecutivo y detallado) con los resultados de las pruebas de cumplimiento. Las pruebas de cumplimiento de los controles se realizan en las dependencias que intervienen en el proceso, para las amenazas que presentan significativa exposición al riesgo inherente (E: Extremo; A: Alto o M: Moderado) y los controles establecidos, que según la evaluación de la auditoría, son eficaces y eficientes (con efectividad 1- apropiada ó 2 - Mejorable). Los resultados de estas pruebas se miden con una escala de cinco calificaciones, dependiendo del porcentaje de cumplimiento de los controles establecidos, así: 1- Apropiada (cumplimiento superior al 80%); 2- Mejorable (cumplimiento entre el 60% y 80%), 3- Insuficiente (cumplimiento entre 40% y 60%): 4: Deficiente (cumplimiento entre 20% y 40%); y 5- Muy deficiente (cumplimiento entre 0% y 20%). Estos resultados se comparan con los de la evaluación de control interno para mostrar las diferencias entre los controles formalmente establecidos y los que realmente se cumplen. Con los resultados de estas pruebas, el software genera el segundo informe con los resultados de la auditoría. Etapa 7: Pruebas Sustantivas. Diseño de las pruebas requeridas a la información según los resultados de la evaluación de controles existentes y de las pruebas de cumplimiento, generación de checklists de datos (cifras) a verificar por sitio de prueba, procesamiento de respuestas de los checklists, generación y procesamiento de checklists para evaluar la satisfacción de los siete (7) criterios o elementos de la información de negocios; generación y análisis de hallazgos de auditoría, generación de informes (ejecutivo y detallado) con los resultados de las pruebas de auditoría. Las Pruebas Sustantivas o pruebas a la Exactitud de la Información que procesa y produce el proceso, se realizan en las dependencias que intervienen en el proceso, para las amenazas que presentan debilidades de control interno (efectividad 3- insuficiente, 4- Deficiente y 5- muy deficiente) y presentan significativa exposición al riesgo inherente (E: Extremo; A: Alto o M: Moderado). Su propósito es verificar el impacto que pudieran tener esas debilidades de control en la integridad de la información de la empresa. Los resultados de estas pruebas se miden con una escala de cinco calificaciones, dependiendo del porcentaje de exactitud de los datos verificados por la auditoría, así: 1- Apropiada (exactitud superior al 80%); 2- Mejorable (exactitud entre el 60% y 80%), 3- Insuficiente (exactitud entre 40% y 60%): 4: Deficiente (exactitud entre 20% y 40%); y Muy deficiente (exactitud en entre 0% y 20%). Con los resultados de las pruebas sustantivas, el software produce el tercer informe con los resultados de la auditoría. Etapa 8: Seguimiento a Hallazgos y Recomendaciones de la Auditoría. Como paso final, por cada auditoría basada en riesgos AUDIRISK ofrece opciones para planear y ejecutar seguimiento a los acciones de mejoramiento que se diseñen en la empresa para atender los hallazgos de control interno, pruebas de cumplimiento y pruebas sustantivas. El software tiene funcionalidades para generar y enviar recordatorios por correo electrónico a los responsables de implantar, supervisar y ejecutar acciones de mejora. 19

20 Este módulo también ofrece funcionalidades para iniciar auditorías nuevas, a partir de los papeles de trabajo electrónicos de auditorías anteriores realizadas con AUDIRISK. Esta facilidad genera ahorros de tiempo y productividad en las auditorías. FASE I: PLANEACIÓN DE LA AUDITORÍA BASADA EN RIESGOS Esta fase de la auditoría comprende la ejecución de las cuatro primeras etapas de la metodología. Etapa 1: Pre-auditoría. Figura 5: Opciones Menu Etapa 1- Preauditoría 1. AUDIRISK asiste la elaboración del memorando de planeación de la auditoría, el programa de trabajo y la definición de los recursos requeridos de tiempo, personal y financieros. Las figuras 5 y 6 muestran las ayudas ofrecidas por el software. Figura 6: Memorando de Planeación de la Auditoría 2. AUDIRISK asiste al Auditor en la definición del cronograma para el desarrollo de la auditoría (para las primeras siete etapas y por auditor), conformación del equipo de trabajo y la asignación de otros recursos requeridos. 20

Versión 2015 SOFTWARE DE ADMINISTRACIÓN INTEGRAL DE RIESGOS Y DISEÑO DE CONTROLES PRESENTACION DEL PRODUCTO

Versión 2015 SOFTWARE DE ADMINISTRACIÓN INTEGRAL DE RIESGOS Y DISEÑO DE CONTROLES PRESENTACION DEL PRODUCTO Versión 2015 SOFTWARE DE ADMINISTRACIÓN INTEGRAL DE RIESGOS Y DISEÑO DE CONTROLES PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Servicios Orientados a la Prevención

Más detalles

PRESENTACION DEL PRODUCTO

PRESENTACION DEL PRODUCTO Versión 2014 SOFTWARE DE AUDITORÍA BASADA EN RIESGOS PARA PROCESOS Y SISTEMAS DE INFORMACION PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Servicios Orientados

Más detalles

SOFTWARE DE AUDITORÍA BASADA EN RIESGOS

SOFTWARE DE AUDITORÍA BASADA EN RIESGOS Versión 2012 SOFTWARE DE AUDITORÍA BASADA EN RIESGOS PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Calle 53 No. 27-33 Oficina 602 Tels.: 2556717 2556757 2556816,

Más detalles

Software de Administración Integral de Riesgos y Diseño de Controles

Software de Administración Integral de Riesgos y Diseño de Controles Software de Administración Integral de Riesgos y Diseño de Controles Versión 2015 Contenido ControlRisk: Qué es y para Qué Sirve?. Características del Software ControlRisk. Especificaciones Técnicas del

Más detalles

Software de Administración Integral de Riesgos y Diseño de Controles

Software de Administración Integral de Riesgos y Diseño de Controles Software de Administración Integral de Riesgos y Diseño de Controles Versión 2015 Contenido ControlRisk: Qué es y para Qué Sirve?. Características del Software ControlRisk. Especificaciones Técnicas del

Más detalles

Auditoria de Sistemas Basada en Riesgos

Auditoria de Sistemas Basada en Riesgos Las Auditorías de Sistemas, internas ó externas, realizan un examen sistemático, objetivo e independiente de la eficiencia, eficacia y seguridad en los procesos y operaciones de tecnología de información,

Más detalles

SOFTWARE PARA AUDITORÍA Y GESTIÓN DE RIESGOS

SOFTWARE PARA AUDITORÍA Y GESTIÓN DE RIESGOS SOFTWARE PARA AUDITORÍA Y GESTIÓN DE RIESGOS Por qué utilizar Software de Auditoría? Contenido: AUDIRISK IDEA 2 3 SMART ANALYZER FINANCIAL 4 EXAMINER 4 SMART EXPORTER 4 WORKING PAPERS 4 El uso de software

Más detalles

GESTIÓN DE RIESGO. Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C.

GESTIÓN DE RIESGO. Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C. GESTIÓN DE RIESGO Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C. MARCO NORMATIVO Con el propósito de desarrollar un sistema eficiente para la gestión de riesgos, el Ministerio

Más detalles

AUDITORIA BASADA EN RIESGOS

AUDITORIA BASADA EN RIESGOS SEMINARIO TALLER Marzo 24, 25 y 26 DE 2.010 CONTENIDO Beneficios 2 Objetivos 3 A quién esta Dirigido? Temas del Seminario 3-4 Instructores 5 Metodología 5 Valor Inversión y forma de pago Nuestros Servicios

Más detalles

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO Código: DG-D-008 - Versión: 03 - Fecha Emisión: 01/03/2013 1/14 Contenido 1. OBJETIVOS....3 2. ALCANCE....4 3. REFERENCIAS NORMATIVAS....4 4. TERMINOS Y DEFINICIONES...5

Más detalles

POLITICA DE ADMINISTRACION DEL RIESGO

POLITICA DE ADMINISTRACION DEL RIESGO POLITICA DE ADMINISTRACION DEL RIESGO 2014 POLÍTICA DE ADMINISTRACIÓN DEL RIESGO DE LA COMISIÓN DE REGULACIÓN DE ENERGÍA Y GAS -CREG- La Comisión de Regulación de Energía y Gas, CREG, implementa como Política

Más detalles

INSTRUCTIVO ELABORACION MAPA DE RIESGOS

INSTRUCTIVO ELABORACION MAPA DE RIESGOS Código :EV-EV- IN01 Página: 1 de 18 ADMINISTRACIÓN DEL RIESGO La Administración del Riesgo se construye para identificar, evaluar y controlar los eventos que pueden impedir el logro de los objetivos institucionales.

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Sistema de Administración del Riesgos Empresariales

Sistema de Administración del Riesgos Empresariales Sistema de Administración del Riesgos Empresariales Si tomas riesgos podrías fallar. Si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada Roberto Goizueta CEO Coca-Cola

Más detalles

MANUAL DE POLITICAS DE RIESGO ESTRATEGICO

MANUAL DE POLITICAS DE RIESGO ESTRATEGICO MANUAL DE POLITICAS DE RIESGO ESTRATEGICO REGISTRO DE CAMBIOS Y REVISIONES Fecha Descripción del cambio o revisión Versión Responsable 26.05.2014 Manual de Políticas de Riesgo Estratégico 1.0 Carlos Zapata

Más detalles

www.datasec-soft.com metodología de evaluación y control de riesgos

www.datasec-soft.com metodología de evaluación y control de riesgos El Gobierno de la TI es una parte importante de la Gobernabilidad Empresarial que apunta a desarrollar procesos, estructuras organizacionales y liderazgo para asegurar que la Tecnología de la Información

Más detalles

Audire V.3 FECHA DEL BOLETÍN BOLETIN 15

Audire V.3 FECHA DEL BOLETÍN BOLETIN 15 Audire V.3 FECHA DEL BOLETÍN BOLETIN 15 INTRODUCCION En los últimos años los sistemas de información han venido aportando a los procesos de las empresas una gran ayuda en la recopilación y administración

Más detalles

Norma ISO 31000:2009, ges ón de riesgos - principios y direc- trices,

Norma ISO 31000:2009, ges ón de riesgos - principios y direc- trices, Este seminario presentará un marco de referencia y metodológico seguro y eficiente para implantar la ges- ón de riesgos empresariales, específicamente para idenficar, documentar, evaluar, controlar, monitorear,

Más detalles

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación

Más detalles

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA PLAN DE MANEJO DE RIESGOS Contenido PLAN DE MANEJO DE RIESGOS.... 3 Elaboración del mapa de riesgos... 3 Monitoreo... 4 Autoevaluación... 4 Metodología... 7

Más detalles

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité

Más detalles

ARMONIZACIÓN MECI-CALIDAD

ARMONIZACIÓN MECI-CALIDAD ANTES DE INICIAR ARMONIZACIÓN MECI-CALIDAD CONTENIDO 1. Objetivos de la Sesión 2. Marco Legal para ambos sistemas 3. Generalidades 4. Conceptualización sobre la armonización 5. Elementos de articulación

Más detalles

CONTROL INTERNO ALCALDIA MUNICIPAL DE HERVEO- TOLIMA

CONTROL INTERNO ALCALDIA MUNICIPAL DE HERVEO- TOLIMA INFORME ANUAL DE EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO CONTABLE ALCALDIA MUNICIPAL DE HERVEO- TOLIMA VIGENCIA 2013 OFICINA DE CONTROL INTERNO INGRID PAOLA NAVARRO VARGAS Jefe de Control interno Herveo,

Más detalles

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

SUPERINTENDENCIA FINANCIERA DE COLOMBIA Página 1 CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERATIVO Consideraciones generales En desarrollo de sus operaciones, las entidades sometidas a la inspección y vigilancia de la

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

Información del Proyecto en http://colombia.casals.com

Información del Proyecto en http://colombia.casals.com ENTIDADES DE LA ALIANZA PROGRAMA EFICIENCIA Y RENDICIÓN DE CUENTAS EN EL ESTADO COLOMBIANO Información del Proyecto en http://colombia.casals.com 1 MODELO ESTÁNDAR DE CONTROL INTERNO MECI- CAPACITACIÓN

Más detalles

Tema: Manual de Auditoría de Gestión a las Tecnologías de Información y Comunicaciones.

Tema: Manual de Auditoría de Gestión a las Tecnologías de Información y Comunicaciones. CORTE DE CUENTAS DE LA REPÚBLICA El Salvador, C.A. XIV Concurso Anual de Investigación de OLACEFs 2011, denominado Auditoria de Gestión a las Tecnologías de Información y Comunicaciones. Tema: Manual de

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

ADMINISTRACIÓN DEL RIESGO

ADMINISTRACIÓN DEL RIESGO PÁGINA: 1 DE 8 REVISÓ JEFE DE OFICINA DE CONTROL INTERNO APROBÓ REPRESENTANTE DE LA DIRECCIÓN PÁGINA: 2 DE 8 1. OBJETIVO Definir las actividades para la identificación, análisis, valoración y calificación

Más detalles

POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A.

POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. 1. ÁMBITO DE APLICACIÓN El presente documento establece los lineamientos generales mínimos que deben observar los administradores y

Más detalles

Subsistema de Control Estratégico Avances

Subsistema de Control Estratégico Avances BANCO DE COMERCIO EXTERIOR DE COLOMBIA BANCOLDEX INFORME CUATRIMESTRAL DEL ESTADO DE CONTROL INTERNO (Estatuto anticorrupción Ley 1474 de 2011) PERÍODO: NOV-2012 A FEB-2013 Subsistema de Control Estratégico

Más detalles

PROCEDIMIENTO AUDITORIAS INTERNAS INTEGRALES DEL PROCESO SEGUIMIENTO, CONTROL Y EVALUACION DEL SIG.

PROCEDIMIENTO AUDITORIAS INTERNAS INTEGRALES DEL PROCESO SEGUIMIENTO, CONTROL Y EVALUACION DEL SIG. Página:1 1. OBJETIVO Y CAMPO DE APLICACIÓN Aplicando las técnicas de auditoría universalmente aceptadas y con base en un plan de auditoría, se busca medir el grado de eficiencia y eficacia con que se manejan

Más detalles

TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO AUDITORIAS INTERNAS PÁGINA: 1 de 7

TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO AUDITORIAS INTERNAS PÁGINA: 1 de 7 PROCESO CONTROL INTERNO CÓDIGO SUBPROCESO CONTROL INTERNO 1.1.2-CI-001 TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO PÁGINA: 1 de 7 1.OBJETIVO Proporcionar metodología para realizar las s internas

Más detalles

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Índice Pág. Metodología para la Autoevaluación del Sistema de Control Interno Institucional. 2 Elementos

Más detalles

DOCUMENTO TÉCNICO N 71 Versión 0.1 ASEGURAMIENTO AL PROCESO DE GESTIÓN DE RIESGOS EN EL SECTOR PÚBLICO

DOCUMENTO TÉCNICO N 71 Versión 0.1 ASEGURAMIENTO AL PROCESO DE GESTIÓN DE RIESGOS EN EL SECTOR PÚBLICO DOCUMENTO TÉCNICO N 71 Versión 0.1 ASEGURAMIENTO AL PROCESO DE GESTIÓN DE RIESGOS EN EL SECTOR PÚBLICO Este documento está orientado a entregar directrices a los auditores internos para el aseguramiento

Más detalles

Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com

Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com Contenido Objetivos de la charla. Motivación de la charla. Repaso a COSO

Más detalles

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA Implementando COBIT Por: Víctor Julio Zúñiga.MBA 1 LOS MODELOS DE MEJORES PRÁCTICAS Y LAS METAS DE TI tiempo 2 Alineado Soporte al Negocio Controlados Mejor seguros Calidad del Servicio Riesgos De TI tiempo

Más detalles

Normas de Auditoría de Tecnologías de la Información y la Comunicación

Normas de Auditoría de Tecnologías de la Información y la Comunicación Normas de Auditoría de Tecnologías de la Información y la Comunicación Resolución CGE/094/2012 27 de agosto de 2012 NE/CE-017 N O R M A D E C O N T R O L E X T E R N O NORMAS DE AUDITORÍA DE TECNOLOGÍAS

Más detalles

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria Deloitte Training Riesgos de tecnología de información implicaciones y retos para la auditoria Definición del universo auditable y valoración de riesgos de TI Presentado por Mauricio Solano Redondo, Director

Más detalles

I. Información General del Procedimiento

I. Información General del Procedimiento PR-DGSE-5 Octubre 211 I. Información General del Objetivo: Describir los pasos a seguir para la realización de las al Sistema de Gestión de Calidad de la, del MINERD. Alcance: Este procedimiento aplica

Más detalles

COSO II ERM y el Papel del Auditor Interno

COSO II ERM y el Papel del Auditor Interno COSO II ERM y el Papel del Auditor Interno Rafael Ruano Diez Socio - PricewaterhouseCoopers TEMARIO DE LA SESIÓN Introducción a COSO II ERM Enterprise Risk Management Premisas fundamentales Preguntas claves

Más detalles

Para cumplimiento con esta misión, los objetivos marcados para esta Función son los siguientes:

Para cumplimiento con esta misión, los objetivos marcados para esta Función son los siguientes: Enero 5 de 2015 GESTIÓN Y CONTROL DE RIESGOS Helm Fiduciaria S.A., como parte integrante del Grupo Corpbanca, está soportada por la infraestructura que el Grupo ha diseñado para controlar y gestionar los

Más detalles

JULIO 2011 DIFUSIÓN DEL SISTEMA DE GESTIÓN DE LA CALIDAD ISO 9001:2008

JULIO 2011 DIFUSIÓN DEL SISTEMA DE GESTIÓN DE LA CALIDAD ISO 9001:2008 JULIO 2011 DIFUSIÓN DEL SISTEMA DE GESTIÓN DE LA CALIDAD ISO 9001:2008 AGENDA Objetivo de la Sesión de Trabajo Aspectos normativos del SGC (ISO 9001:2008) Estructura Documental OBJETIVO DE LA SESIÓN Involucrar

Más detalles

MACROPROCESO DE APOYO PROCESO GESTIÓN CALIDAD PROCEDIMIENTO ADMINISTRACION DEL RIESGO

MACROPROCESO DE APOYO PROCESO GESTIÓN CALIDAD PROCEDIMIENTO ADMINISTRACION DEL RIESGO PAGINA: 1 de 7 OBJETIVO Identificar los riesgos, realizar el análisis y valoración de los mismos, con el fin de determinar las acciones de mitigación, que permitan intervenir los eventos internos y externos,

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

RESOLUCIÓN. Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES,

RESOLUCIÓN. Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES, RESOLUCIÓN Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES, En uso de sus atribuciones legales, reglamentarias, y en especial las conferidas por el

Más detalles

Soluciones Integrales de Tecnología para su Empresa SISTEMA DE GESTION INTEGRAL DE PROCESOS & BALANCED SCORECARD

Soluciones Integrales de Tecnología para su Empresa SISTEMA DE GESTION INTEGRAL DE PROCESOS & BALANCED SCORECARD Soluciones Integrales de Tecnología para su Empresa SISTEMA DE GESTION INTEGRAL DE PROCESOS & BALANCED SCORECARD Marzo 2010 RESUMEN CBM ASOCIADOS CIA. LTDA. 9 años en el mercado del software nacional Computer

Más detalles

METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP

METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP La metodología recomendada en este documento para el desarrollo de un plan de recuperación ante desastres o DRP para los sistemas

Más detalles

Modelo de Supervisión Basada en Riesgos (SBR) SISTEMA DE EVALUACIÓN DE RIESGOS Y ORIENTACIÓN DE LA ACTITUD DE SUPERVISIÓN

Modelo de Supervisión Basada en Riesgos (SBR) SISTEMA DE EVALUACIÓN DE RIESGOS Y ORIENTACIÓN DE LA ACTITUD DE SUPERVISIÓN Modelo de Supervisión Basada en Riesgos (SBR) SISTEMA DE EVALUACIÓN DE RIESGOS Y ORIENTACIÓN DE LA ACTITUD DE SUPERVISIÓN Superintendencia de Pensiones Junio de 2010 Índice de Contenidos LA SUPERINTENDENCIA

Más detalles

Matriz de Riesgo, Evaluación y Gestión de Riesgos

Matriz de Riesgo, Evaluación y Gestión de Riesgos Matriz de Riesgo, Evaluación y Gestión de Riesgos Cualquier actividad que el ser humano realice está expuesta a riesgos de diversa índole los cuales influyen de distinta forma en los resultados esperados.

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Qué es la Auditoria en Sistemas de Información?

Qué es la Auditoria en Sistemas de Información? Qué es la Auditoria en Sistemas de Información? Es el examen objetivo, crítico, sistemático, posterior y selectivo que se hace a la administración informática de una organización, con el fin de emitir

Más detalles

IT Project Portfolio Management y su vinculación con la Estrategia Corporativa

IT Project Portfolio Management y su vinculación con la Estrategia Corporativa IT Project Portfolio Management y su vinculación con la Estrategia Corporativa Norberto Figuerola Mayo 2014 IT Management Los CIO deben gestionar eficazmente la entrega de los servicios de TI para lograr

Más detalles

HERRAMIENTAS DE EVALUACION DEL CONTROL INTERNO

HERRAMIENTAS DE EVALUACION DEL CONTROL INTERNO Contenido HERRAMIENTAS DE EVALUACION DEL CONTROL INTERNO C.P. Sonia M. Montoya O. (Contadora pública U. de A. Especialista en Control Organizacional Eafit Especialista en GestiónTributaria U. de A.) Contenido

Más detalles

ESTRUCTURA DEL DEPARTAMENTO DE AUDITORIA INTERNA AUDITORIA INTERNA

ESTRUCTURA DEL DEPARTAMENTO DE AUDITORIA INTERNA AUDITORIA INTERNA ESTRUCTURA DEL DEPARTAMENTO DE AUDITORIA INTERNA AUDITORIA INTERNA Introducción Esta estructura juega un papel importante para la utilizacion de los servicios de auditores internos por instituciones privadas

Más detalles

Herramientas de Software para auditoria

Herramientas de Software para auditoria Herramientas de Software para auditoria Presentado a: Carlos Hernán Gómez Juan David Delgado Ramírez Alexander Cardona Grisales WINAUDIT Instalación El software no necesita instalación Navegación Menú

Más detalles

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 Antecedentes Ante la necesidad de crear y fortalecer el ambiente

Más detalles

MANUAL DE ADMINISTRACION DEL RIESGOS

MANUAL DE ADMINISTRACION DEL RIESGOS MANUAL DE ADMINISTRACION DEL RIESGOS Página 1 de 15 MANUAL DE ADMINISTRACION DEL RIESGOS Versión 1 del 23 de Junio de 20 TABLA DE CONTENIDO MANUAL DE ADMINISTRACION DEL RIESGOS Página 2 de 15 TABLA DE

Más detalles

GESTIÓN DE RIESGOS. Oficina de Planeación 2013

GESTIÓN DE RIESGOS. Oficina de Planeación 2013 GESTIÓN DE RIESGOS Oficina de Planeación 2013 AGENDA 1. QUÉ ES LA GESTIÓN DE RIESGOS? 2. ETAPAS DE LA GESTIÓN DEL RIESGO 3. CLASES DE RIESGOS 4. CATEGORIAS DE RIESGOS 5. CAUSAS Y EFECTOS ASOCIADAS A LOS

Más detalles

RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA. José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM.

RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA. José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. Introducción Antecedentes CONTENIDO Evolución de la Gestión

Más detalles

PROCESO ADMINISTRACIÓN DEL SIG PROCEDIMIENTO GESTIÓN DE RIESGOS

PROCESO ADMINISTRACIÓN DEL SIG PROCEDIMIENTO GESTIÓN DE RIESGOS Página: 1 de 14 1. Objetivo Definir el marco de referencia y la metodología para la Administración de Riesgos de la entidad, facilitando el cumplimiento de sus objetivos y las funciones propias del Ministerio

Más detalles

DOCUMENTO TECNICO PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN (PMG) PROGRAMA MARCO AÑO 2013

DOCUMENTO TECNICO PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN (PMG) PROGRAMA MARCO AÑO 2013 DOCUMENTO TECNICO PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN (PMG) PROGRAMA MARCO AÑO 2013 Agosto 2012 VERSIÓN N 01- PMB 2013 AGOSTO 2012 1 de 18 DOCUMENTO ELABORADO POR EL DEPTO. DE GESTIÓN DE LA DIVISIÓN

Más detalles

DEPARTAMENTO DEL META MUNICIPIO DE PUERTO LLERAS NIT 892.099.309-2 CONTROL INTERNO INFORME SEGUIMIENTO MAPA DE RIESGOS

DEPARTAMENTO DEL META MUNICIPIO DE PUERTO LLERAS NIT 892.099.309-2 CONTROL INTERNO INFORME SEGUIMIENTO MAPA DE RIESGOS PROCESO AREA AUDITADA: MAPA DE RIESGOS DIRECTIVO RESPONSABLE: Secretaria de Planeación Responsables de los Procesos FECHA DE ELABORACION: Marzo de 2014 DESTINATARIO: Alcaldesa Secretarios de Despacho ASPECTOS

Más detalles

EQUIPO CONSULTOR Y EQUIPO DE MEJORA CONTINUA PREPARADO POR: REVISADO POR: APROBADO POR: VERSIÓN Nº: FECHA DE EMISIÓN: 15/09/07

EQUIPO CONSULTOR Y EQUIPO DE MEJORA CONTINUA PREPARADO POR: REVISADO POR: APROBADO POR: VERSIÓN Nº: FECHA DE EMISIÓN: 15/09/07 SERVICIOS DE AUDITORÍA MINISTERIO DE SALUD DE COSTA RICA - NIVEL INTRAINSTITUCIONAL ÁREA DE GESTIÓN: SOPORTE LOGÍSTICO Y ADMINISTRATIVO PREPARADO POR: VALIDADO POR : EQUIPO CONSULTOR Y EQUIPO DE MEJORA

Más detalles

Por tanto, en base a las disposiciones legales antes señaladas, el Consejo Directivo de la Superintendencia de Valores ACUERDA emitir la siguiente:

Por tanto, en base a las disposiciones legales antes señaladas, el Consejo Directivo de la Superintendencia de Valores ACUERDA emitir la siguiente: Considerando: I- Que el artículo 5 de la Ley Orgánica de la Superintendencia de Valores, establece como uno de los deberes de esta Superintendencia, facilitar el desarrollo del mercado de valores, tanto

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Estándares de Información Primaria, Secundaria, Sistemas de Información. Estándares de Macroprocesos, Procesos y Procedimientos Diseñados.

Estándares de Información Primaria, Secundaria, Sistemas de Información. Estándares de Macroprocesos, Procesos y Procedimientos Diseñados. GUÍA 43 Diagnóstico Comunicación Institucional Descripción La comunicación Institucional se da al interior de la entidad y se orienta al cumplimiento de los principios de economía, eficiencia y eficacia,

Más detalles

DOCUMENTO DE REFERENCIA MECI Y CALIDAD SISTEMA INTEGRADO DE GESTIÓN CONTENIDO INTRODUCCIÓN... 2

DOCUMENTO DE REFERENCIA MECI Y CALIDAD SISTEMA INTEGRADO DE GESTIÓN CONTENIDO INTRODUCCIÓN... 2 CONTENIDO INTRODUCCIÓN... 2 COMPATIBILIDAD ENTRE EL SISTEMA DE GESTIÒN DE LA CALIDAD DEL CENTRO DE GESTIÓN ADMINISTRATIVA, NORMA TÈCNICA DE CALIDAD EN LA GESTIÓN PÚBLICA (NTCGP 1000:2009)... 3 2. Objeto

Más detalles

Preparándose para una Auditoría Integrada Auditoría de TI dentro de una Auditoría Financiera Externa

Preparándose para una Auditoría Integrada Auditoría de TI dentro de una Auditoría Financiera Externa Preparándose para una Auditoría Integrada Auditoría de TI dentro de una Auditoría Financiera Externa Ing. José Luis Mauro Vera, CISA Manager Advisory CIGR A S Página 2 de 41 Expectativas de la presentación

Más detalles

COOPERATIVO PARAGUAYO MARCOS RODRIGUEZ

COOPERATIVO PARAGUAYO MARCOS RODRIGUEZ GESTION DE RIESGOS EN EL SISTEMA COOPERATIVO PARAGUAYO MARCOS RODRIGUEZ 2 Participación en el Mercado Financiero, según ACTIVOS. Cooperativas, 21% Financieras, 3,50% Bancos, 75,50% Los activos que poseen

Más detalles

ISO 9001 Auditing Practices Group Guidance on:

ISO 9001 Auditing Practices Group Guidance on: International Organization for Standardization Forum International Accreditation ISO 9001 Auditing Practices Group Guidance on: Auditando sistemas de gestión en base electrónica (EBMS) 1. Introducción

Más detalles

MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 1 TABLA DE CONTENIDO 1. OBJETIVO... 3 2. PRESENTACIÓN DE LA EMPRESA... 3 3. ALCANCE... 4 4. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 5 4.1

Más detalles

INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO - LEY 1474 DE 2011 Jefe de Control Interno, o quien haga sus veces: Martha Cecilia Mora Correa

INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO - LEY 1474 DE 2011 Jefe de Control Interno, o quien haga sus veces: Martha Cecilia Mora Correa INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO - LEY 1474 DE 2011 Jefe de Control Interno, o quien haga sus veces: Martha Cecilia Mora Correa Período evaluado: NOVIEMBRE 2011 FEBRERO DE 2012 Fecha

Más detalles

Mtro. Carlos Eugenio Ruíz Hernández Rector. Dr. José Radamed Vidal Alegría Secretario Académico

Mtro. Carlos Eugenio Ruíz Hernández Rector. Dr. José Radamed Vidal Alegría Secretario Académico Con fundamento en la Ley Orgánica de la Universidad Autónoma de Chiapas (Artículo 4 Fracción I, Artículo 18, Fracción III y V, Artículo 25, Fracción XIV), se expide el presente documento, el cual tiene

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

SISTEMA NACIONAL DE GESTION DE LA PREVENCION (SGP)

SISTEMA NACIONAL DE GESTION DE LA PREVENCION (SGP) SISTEMA NACIONAL DE GESTION DE LA PREVENCION (SGP) El Instituto Ecuatoriano de Seguridad Social-IESS y el Ministerio de Relaciones Laborales, suscribieron el convenio "Sistema Nacional de Gestión de Prevención

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

Importancia de la administración de riesgos

Importancia de la administración de riesgos Importancia de la administración de riesgos Una de las definiciones más interesantes acerca de esta teoría es la presentada por McConnell (1997), quien se refiere a la administración de riesgos de la siguiente

Más detalles

PROGRAMA ANUAL DE AUDITORIAS DE CALIDAD INSTRUCTIVO Para elaborar el Programa Anual de Auditorías de Calidad, se deberá aplicar el formato R001 y

PROGRAMA ANUAL DE AUDITORIAS DE CALIDAD INSTRUCTIVO Para elaborar el Programa Anual de Auditorías de Calidad, se deberá aplicar el formato R001 y PROGRAMA ANUAL DE AUDITORIAS DE CALIDAD INSTRUCTIVO Para elaborar el Programa Anual de Auditorías de Calidad, se deberá aplicar el formato R001 y registrar en los espacios correspondientes la información

Más detalles

PROCEDIMIENTO DE AUDITORIA INTERNAS DE CALIDAD

PROCEDIMIENTO DE AUDITORIA INTERNAS DE CALIDAD GG-PRD-007 Página 1 de 9 1. OBJETIVO: Establecer las responsabilidades y los requisitos necesarios para la planeación y ejecución de auditorías internas al sistema de gestión de (S.G.C.) de la Cámara de

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

GERENCIA DE RIESGOS. Capacitación en el sistema de administración de riesgos operacionales

GERENCIA DE RIESGOS. Capacitación en el sistema de administración de riesgos operacionales SISTEMA DE ADMINISTRACIÓN DE RIESGOS OPERACIONALES SARO Cartilla de Riesgo Operativo 1 GERENCIA DE RIESGOS Capacitación en el sistema de administración de riesgos operacionales Compañía Aseguradora de

Más detalles

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a 5. METODOLOGIAS COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio

Más detalles

MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005

MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005 MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005 SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1. INTRODUCCIÓN 1.1 GENERALIDADES Al Presidente de

Más detalles

Guía para la Administración del Riesgo v3 Departamento Administrativo de la Función Pública

Guía para la Administración del Riesgo v3 Departamento Administrativo de la Función Pública Guía para la Administración del Riesgo v3 Departamento Administrativo de la Función Pública Dirección de Control Interno y Racionalización de Trámites Bogotá, D.C., Octubre de 2014 Índice Cómo interpretar

Más detalles

Administrador Riesgo Opera1vo. Administrador Riesgo de Crédito

Administrador Riesgo Opera1vo. Administrador Riesgo de Crédito VERDADERO ROL DEL ADMINISTRADOR DE RIESGO Administrador Riesgo Opera1vo Administrador Riesgo de Crédito DUEÑOS DE PROCESOS realizan la Ges4ón del Riesgo (Ejecutan procesos y controles) Administrador Riesgo

Más detalles

1 PRINCIPIOS GENERALES DE AUDITORÍA DE SEGURIDAD VIAL. 3 2 PROCEDIMIENTOS DE AUDITORÍA. 7

1 PRINCIPIOS GENERALES DE AUDITORÍA DE SEGURIDAD VIAL. 3 2 PROCEDIMIENTOS DE AUDITORÍA. 7 LINEAMIENTOS GENERALES PARA LA ESTRUCTURACIÓN DE UN DOCUMENTO PARA EL ASEGURAMIENTO DE LA CALIDAD EN LA APLICACIÓN DE LAS AUDITORÍAS DE SEGURIDAD VIAL EN COLOMBIA 1 PRINCIPIOS GENERALES DE AUDITORÍA DE

Más detalles

PROCEDIMIENTO ACCIONES CORRECTIVAS, PREVENTIVAS Y/O DE MEJORA ADMINISTRACIÓN DEL SISTEMA DE GESTIÓN INTEGRADA

PROCEDIMIENTO ACCIONES CORRECTIVAS, PREVENTIVAS Y/O DE MEJORA ADMINISTRACIÓN DEL SISTEMA DE GESTIÓN INTEGRADA UNIDAD NACIONAL DE PROTECCIÓN Página: 1 de 8 PROPOSITO Definir acciones o actividades requeridas para identificar, analizar y eliminar las causas de no conformidades reales o potenciales dentro de un proceso,

Más detalles

PROCEDIMIENTO DE AUDITORIA INTERNA

PROCEDIMIENTO DE AUDITORIA INTERNA VERSIÓN: 2.0 Página 1 de 17 INDICE Página INDICE...1 1. OBJETIVO DEL PROCEDIMIENTO...3 2. DESARROLLO DE LA AUDITORÍA INTERNA...3 2.1 OBJETIVO GENERAL...3 2.2 OBJETIVOS ESPECÍFICOS...3 2.3 FASES...4 2.

Más detalles

SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993

SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1 SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1. INTRODUCCIÓN 1.1 GENERALIDADES Al Presidente de la República, con sujeción a lo dispuesto en las Leyes 87 de 1993 y 489

Más detalles

GLOSARIO DE TÉRMINOS

GLOSARIO DE TÉRMINOS GLOSARIO DE TÉRMINOS A Alcance de la auditoría. El marco o límite de la auditoría y las materias, temas, segmentos o actividades que son objeto de la misma. Auditores externos. Profesionales facultados

Más detalles

Condiciones para que la Gerencia de Seguridad de. permanezca vigente.

Condiciones para que la Gerencia de Seguridad de. permanezca vigente. Condiciones para que la Gerencia de Seguridad de la Información permanezca vigente. AGENDA 1. Foco metodológico. 2. Modelo de Seguridad. 3. Ubicación de la Seguridad de la Información en la organización.

Más detalles

www.unjhana.com Unjhana @unjhana

www.unjhana.com Unjhana @unjhana Quiénes somos Somos una empresa que cuenta un equipo de trabajo con más de diez (10) años de experiencia en Gerencia de Proyectos y Gestión de Mantenimiento, relacionados con Telecomunicaciones y Tecnologías

Más detalles

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12 Código:DAP-PM-01 Versión: 1 Página 1 de 12 PLAN DE MEJORA REGULATORIA RACSA 2015 1 Código: DAP-PM-001 Versión: 1 Página 2 de 12 Contenido 1. INTRODUCCIÓN... 3 2. MARCO LEGAL... 3 3. MARCO DE REFERENCIA

Más detalles

GUÍA 33 Diseño de Controles y Análisis de Efectividad. Descripción. Requerimientos. Responsables

GUÍA 33 Diseño de Controles y Análisis de Efectividad. Descripción. Requerimientos. Responsables GUÍA 33 Diseño de Controles y Análisis de Efectividad Descripción El diseño de los controles se realiza a base de las políticas de operación de la institución, el análisis y la evaluación de los riesgos

Más detalles

Metodología de Administración de Riesgos - Procesos

Metodología de Administración de Riesgos - Procesos Metodología de Administración de Riesgos - Procesos Contenido Metodología de Administración de Riesgos... 3 Conceptos y Acrónimos... 3 Introducción... 3 Principios de Administración Integral de Riesgos...

Más detalles

Procedimiento de gestión de auditorias internas de calidad

Procedimiento de gestión de auditorias internas de calidad Procedimiento de gestión de auditorias internas de calidad Procedimiento de gestión de auditorias internas de calidad Procedimiento de gestión de auditorias internas de calidad PROCEDIMIENTO DE GESTIÓN

Más detalles

14-A NOTA 17 CONTROLES DE LEY Durante los ejercicios comprendidos entre el 1 de enero y el 31 de diciembre de 2011 y 2010, la Compañía ha dado debido cumplimiento a los controles de ley que le son aplicables,

Más detalles

PROCEDIMIENTO PARA EFECTUAR LA REVISIÓN POR LA DIRECCIÓN NTC ISO 9001: 2000. VERSIÓN No. 3.0. Fecha:

PROCEDIMIENTO PARA EFECTUAR LA REVISIÓN POR LA DIRECCIÓN NTC ISO 9001: 2000. VERSIÓN No. 3.0. Fecha: NTC ISO 9001: 2000 Fecha: ELABORADO POR: Profesional Universitario ANA ESTHER TOVAR PORRAS Dirección de Planeación CARGO NOMBRE FIRMA REVISADO POR: Contralor Auxiliar ERNESTO TUTA ALARCON CARGO NOMBRE

Más detalles

GESTIÓN DE RIESGOS CORPORATIVOS ERM ( COSO 2 )

GESTIÓN DE RIESGOS CORPORATIVOS ERM ( COSO 2 ) GESTIÓN DE RIESGOS CORPORATIVOS MARCO INTEGRADO ERM ( COSO 2 ) Cayetano Mora 1 GESTIÓN DE RIESGOS CORPORATIVOS RELACIÓN ENTRE COSO y ERM Cayetano Mora 2 Derivación del Informe COSO COSO I: Control Interno

Más detalles