SOFTWARE DE AUDITORÍA BASADA EN RIESGOS CRITICOS

Tamaño: px
Comenzar la demostración a partir de la página:

Download "SOFTWARE DE AUDITORÍA BASADA EN RIESGOS CRITICOS"

Transcripción

1 Versión 2015 SOFTWARE DE AUDITORÍA BASADA EN RIESGOS CRITICOS Derechos de autor reservados por AUDISIS PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Servicios Orientados a la Prevención y Reducción de Riesgos, Seguridad y Auditoría de Sistemas. Calle 53 No Oficina 602 Tels.: , PBX: Bogotá, D.C. Colombia web site: AUDISIS: Fundada en 1.988

2 Contenido QUÉ PUEDE HACER USTED CON LA POTENCIA DE AUDIRISK?... 4 MÓDULO 1: PLANEACIÓN ANUAL DE LA AUDITORÍA BASADA EN VALORACION DE LA EXPOSICIÓN RIESGOS MÓDULO 2: AUDITORÍAS BASADAS EN RIESGOS CRÍTICOS A PROCESOS Y SISTEMAS DE INFORMACION MÓDULO 3: SEGUIMIENTO A HALLAZGOS DE AUDITORÍAS EFECTUADAS POR TERCEROS MÓDULO 4: AUDITORÍAS A SISTEMAS DE GESTIÓN MÓDULO 5: GESTIÓN DE RESULTADOS DE LA AUDITORÍA MÓDULO 6: ADMINISTRACIÓN DE USUARIOS PARAMETRIZACIÓN DEL SOFTWARE MODULO 1: PLANEACION ANUAL DE LA AUDITORÍA BASADA EN VALORACIÓN DE RIESGOS MODULO 2: AUDITORÍAS BASADAS EN RIESGOS CRITICOS A PROCESOS Y SISTEMAS DE INFORMACIÓN MODULO 3: SEGUIMIENTO A HALLZAGOS DE AUDITORÍAS EFECTUADAS POR TERCEROS MODULO 4: GESTION DE RESULTADOS DE LA AUDITORÍA MODULO 5: AUDITORÍAS A SISTEMAS DE GESTION MODULO 6: ADMINISTRACION DE USUARIOS PARAMETRIZACIÓN DEL SOFTWARE A QUIENES SIRVE LA METODOLOGIA Y EL SOFTWARE AUDIRISK? ELEMENTOS QUE RECIBE EL USUARIO DE AUDIRISK SERVICIOS DE SOPORTE TÉCNICO Y ACTUALIZACION REQUERIMIENTOS DE HARDWARE Y SOFTWARE PARA INSTALAR EL SOFTWARE AUDIRISK PERFIL DEL PROVEEDOR DE AUDIRISK

3 EMPRESAS QUE UTILIZAN EL SOFTWARE AUDIRISK

4 AUDIRISK QUÉ PUEDE HACER USTED CON LA POTENCIA DE AUDIRISK? AUDIRISK es un software en tecnología Web (Cloud Computing) para asistir a los auditores en el desarrollo de las siguientes actividades: a) Elaboración y Seguimiento del Plan Anual de la Auditoría; este plan se elabora con base en los resultados de la valoración de la exposición a riesgos de los procesos del modelo de operación y los sistemas de información de la empresa ; b) Planeación y desarrollo de auditorías con enfoque Basadas en Riesgos Críticos (comprende la planeación detallada basada en riesgos, evaluación de la efectividad del control interno existente, diseño y ejecución pruebas de cumplimiento y sustantivas, comunicación de resultados de la auditoría y seguimiento a los hallazgos de la auditoría); c) Seguimiento a los hallazgos de Auditorías efectuadas por terceros (elaboración del plan de mejoramiento y su seguimiento); d) Gestionar los Resultados de la Auditoría por periodos anuales; y e) Programación y ejecución de Auditorías de Sistemas de Gestión (de calidad, de seguridad de la información, ambiental, Seguridad y salud ocupacional, gestión de continuidad del negocio). El software AUDIRISK puede ser instalado en ambientes WEB (Cloud Computing), en una red interna o en computadores stand alone. Figura 1: Módulos del software AUDIRISK El software AUDIRISK consta de seis (6) módulos interrelacionados: a) Planeación Anual de la Auditoría; b) Auditorías basadas en Riesgos Críticos; c) Gestión de resultados de la auditoría; d) 4

5 Seguimiento a informes de auditorías efectuadas por terceros; e) Auditorías de Sistemas de Gestión (de calidad, de seguridad de la información, ambiental y de salud ocupacional) y f) Administración de Usuarios. La Auditoría Basada en Riesgos Críticos es una forma de conducir las auditorías de diferentes tipos (de procesos, de sistemas de información, operativa, de estados financieros, etc), basando su planeación y desarrollo en los riesgos que pudieran causar el mayor impacto negativo en la organización (empresa), para confirmar si el manejo de las operaciones y de la información se realizan de conformidad con las buenas y mejores prácticas de control interno y seguridad, las reglas del negocio y lo establecido en las leyes y regulaciones aplicables. Como punto de partida y apoyo para planear y desarrollar las auditorías, AUDIRISK provee una base de datos de conocimientos que contiene numerosas mejores y buenas prácticas sobre clases de riesgos (por ejemplo, fraude interno, fallas tecnológicas, etc.), definiciones de eventos de riesgo negativos ó amenazas (para las clases de riesgo de SARO, SARLAFT, MECI y AUDIRISK), vulnerabilidades, agentes generadores de riesgo, controles aplicables a los eventos de riesgo negativos, factores de exposición a riesgos y objetivos de control, las cuales están disponibles permanentemente para ser utilizadas por los auditores. El software AUDIRISK, estandariza el desarrollo de las auditorías, utilizando funcionalidades que están alineadas con las normas y procedimientos de auditoría generalmente aceptados, con las normas de auditoría interna emitidas por el IIA, las normas de auditoría de sistemas emitidas por ISACA y con estándares nacionales e internacionales de Control Interno Organizacional (COSO, COBIT, MECI, ISO 27001, ISO 22301) y de Gestión de Riesgos Empresariales (ISO 31000, ERM, AS/NZ 4361). MÓDULO 1: PLANEACIÓN ANUAL DE LA AUDITORÍA BASADA EN VALORACION DE LA EXPOSICIÓN RIESGOS. La base para la planificación y desarrollo de las Auditorías es la importancia relativa o materialidad del impacto que podrían causar las clases de riesgos a las que se expone cada proceso del modelo de operación o sistema de información de la organización. Por ejemplo, en un proceso de compras pueden presentarse las siete (7) clases de riesgo del SARO y de estas solo tres (3) son CRITICAS porque podrían producir las mayores pérdidas a la organización, estimadas en el horizonte de un año (pérdida anual estimada, PAE). Las Auditorías se planean y desarrollan para revisar las actividades, procedimientos, controles e información que pudieran ser impactados por las clases de riesgos críticas del proceso. Por ejemplo, para un proceso de cartera las clases de riesgos críticos pueden ser: Fraude Interno, Fraude Externo y fallas tecnológicas. AUDIRISK asiste en las actividades de elaboración de Planes de Trabajo Anuales de las auditorías internas y externas, con base en resultados de la valoración de la exposición a riesgos efectuada por los auditores a cada uno de los trabajos candidatos a ser auditados. 5

6 Elaboración del Plan anual de la Auditoría Interna. Para las Auditorías Internas y de Sistemas de Información, el software satisface las exigencias de los estándares de auditoría del Instituto de Auditores Internos de los Estados Unidos (IIA) e ISACA (la asociación de Control y Auditoría de Sistemas de Información), los cuales establecen que el plan anual de la auditoría debe realizarse con un enfoque basado en valoración de riesgos. Por cada grupo de trabajos candidatos a ser auditados, el software ofrece funcionalidades y el apoyo de la base de conocimientos de AUDIRISK para diseñar, contestar y procesar cuestionarios con factores de riesgo, estimar la exposición a riesgos (necesidades de seguridad) de cada una de trabajos candidatos a ser auditados y elaborar un panorama de riesgos de la Empresa con la estimación de la exposición a las clases o categorías de riesgo del modelo de riesgos aplicable a la Empresa (SARO, SARLAFT, MECI, AUDISIS o combinación de las anteriores). Para las auditorías internas, AUDIRISK asiste la asignación de prioridades según la exposición a riesgos y la programación anual de trabajos para tres tipos de auditoría: los procesos del modelo de operación de la empresa, los procesos de tecnología de información y las aplicaciones de computador en producción. Como resultado, por cada grupo de trabajos candidatos a ser auditados, el software produce la matriz de planeación anual de la auditoría con dos alternativas para decidir las actividades a auditar: a) por el nivel de exposición a riesgos de los procesos y aplicaciones de computador candidatas a ser auditadas, y b) por el nivel de exposición de los procesos y aplicaciones de computador a cada una de las clases o categorías de riesgo. También permite incluir en la planeación anual de la Auditoría Interna, la programación de auditorías a sistemas de gestión (calidad, ISO y otras), auditorias de seguimiento a informes de auditorías realizadas y otros trabajos que sean asignados a la Auditoría Interna. Elabora cronograma anual y asiste en el seguimiento a la ejecución del plan anual de la Auditoría Interna. Elaboración del Plan anual de Auditorías Externas. Para las auditorías externas, AUDIRISK asiste las actividades de valoración de riesgos de las empresas según el sector de la economía al que correspondan, priorizar las entidades o empresas que serán auditadas en el año por sectores, la programación de las auditorías y asignación de recursos de tiempo, personal y financieros. Elabora cronograma anual y asiste en el seguimiento a la ejecución del plan anual de auditorías externas. 6

7 MÓDULO 2: AUDITORÍAS BASADAS EN RIESGOS CRÍTICOS A PROCESOS Y SISTEMAS DE INFORMACION. Este módulo de AUDIRISK ofrece funcionalidades para desarrollar cuatro (4) tipos de auditorías basadas en riesgos críticos : 1) A los procesos del modelo de operación de la Empresa (procesos estratégicos, misionales, de soporte y de supervisión y control); 2) A los procesos de Tecnología de Información y Comunicaciones (por ejemplo, los procesos COBIT e ITIL); 3) A las aplicaciones de computador en producción (ó módulos de ERPs), y 4) A los componentes clave de la Infraestructura de Tecnología de Información. Por cada auditoría basada en riesgos, el software ofrece funcionalidades con procedimientos, guías y formatos para desarrollar las (4) cuatro fases del proceso de auditoría: 1) Planeación, 2) Ejecución, 3) Comunicación de resultados y 4) Seguimiento a los hallazgos de auditoría y planes de mejoramiento. La figura 2, ilustra el enfoque de las auditorías realizadas con AUDIRISK. Figura 2: Las 4 Fases de la Auditoría En la fase I, Planeación detallada de la Auditoría, por cada proceso o sistema AUDIRISK construye un Cubo de Riesgos Críticos como base para ejecutar la auditoría. El cubo incluye el mapeo de los riesgos potenciales (amenazas) que podrían presentarse en tres (3) dimensiones: a) las actividades del proceso o sistema (escenarios de riesgo); b) las áreas organizacionales y terceros que intervienen en el proceso; y c) las categorías o clases de riesgos críticos. La suma de los 7

8 cubos de riesgo de los procesos auditados es una aproximación a la auditoria del cubo de Control Interno de COSO y ERM (Enterprise Risk Management). En la fase 2, Ejecución de la Auditoría, por cada proceso o sistema sujeto a auditoría, este módulo de AUDIRISK asiste a los auditores en la consecución de dos grandes objetivos: el primero es evaluar la efectividad del control interno establecido como estándar del proceso o sistema en toda la empresa, es decir, la capacidad de los controles establecidos para reducir los riesgos potenciales críticos a niveles aceptables de riesgo residual; esta evaluación es la base para determinar la naturaleza y extensión de las pruebas de auditoría necesarias. Esta evaluación se realiza por cada una de las actividades del proceso o sistema. El segundo objetivo es ejecutar pruebas de cumplimiento para los controles asociados a riesgos que tienen controles apropiados y pruebas sustantivas a la información que pudiera ser impactada por los riesgos que presentan debilidades de control. Estas pruebas se realizan por cada una de las áreas organizacionales y terceros que intervengan en el proceso o sistema objeto de la auditoría y que requieran pruebas. Etapas de la Metodología para el desarrollo de las Auditorías Basadas en Riesgos Críticos. Por cada auditoría, el software AUDIRISK ofrece funcionalidades para asistir el desarrollo de procedimientos de auditoría de aceptación general, organizadas en un menú de ocho (8) etapas que se muestran a continuación y en el menú de la figura 3. Figura 3: Etapas del proceso de Auditoría Basada en Riesgos críticos Etapa 1: Pre auditoría. Definición de objetivos, alcance, recursos a emplear programa de trabajo de la Auditoría. y Etapa 2: Comprensión del proceso o sistema (Familiarización). Elaboración de archivo permanente o expediente contínuo de la auditoría y caracterización del proceso o sistema sujeto a auditoría. Etapa 3: Identificar y analizar los Riesgos Inherentes Críticos (Eventos de riesgo Negativos). Identificar las 3 ó 4 categorías de riesgos críticos para el proceso o sistema sujeto a auditoría; identificar, analizar y documentar las amenazas ó eventos negativos que podrían generar las categorías de riesgo críticas; generar mapa de riesgos inherentes (amenazas) que serán considerados para el desarrollo de la auditoría; generación de papeles de trabajo corrientes. El análisis de los riesgos inherentes se realiza para las amenazas ó eventos negativos que pueden generar la materialización de las clases 8

9 de riesgo críticos, en el ambiente real de las operaciones del proceso. Por ejemplo, en el proceso de cartera se identifican y analizan diez (10) amenazas por cada una de las tres (3) clases de riesgos críticos: Fraude Interno, Fraude Externo y fallas tecnológicas. Por cada amenaza, la exposición al riesgo se mide con una de las siguientes cuatro (4) calificaciones: E: Extremo (Color rojo); A: Alto (color naranja); M: Moderado (color amarillo) y B: Bajo o dentro del apetito de riesgos de la Gerencia (color verde). Las amenazas calificadas se ubican en el Mapa de Riesgos Inherentes (una matriz de 5x5) y se despliegan organizadamente para las tres (3) dimensiones del Cubo de Riesgos del proceso que se está auditando: a) por categorías de riesgo críticas, b) por Dependencias (áreas de la estructura de organización o terceros) y c) por actividades del proceso. Etapa 4: Definir Contexto de Riesgos de la Auditoría. Desplegar o desdoblar el Cubo de riesgos de la auditoría, generar matrices de riesgo y definir objetivos de control que debería satisfacer el proceso o sistema sujeto a auditoría. Etapa 5: Evaluar Efectividad del Control Interno Existente. Por cada amenaza la auditoría evalúa la efectividad o capacidad de los controles para reducir la exposición de las amenazas a un nivel de riesgo residual aceptable. La efectividad de los controles se mide con una escala de 5 calificaciones: 1- apropiada (color verde); 2- mejorable (color amarillo); 3- Insuficiente (color naranja); 4: Deficiente (color rojo) y 5- Muy Deficiente (color rojo). Los resultados obtenidos por amenaza, se articulan y presentan en las tres dimensiones del cubo de riesgos en las cuales podría materializarse: en las clases de riesgo críticas, en las actividades del proceso y en las dependencias (áreas de la organización y terceros) que intervienen en el proceso. Con los resultados de la evaluación de la efectividad de los controles establecidos, el software produce el primer informe con los resultados de la Auditoría, el que mayor valor agregado genera para los auditados y la administración. Etapa 6: Pruebas de Cumplimiento. Diseño de las pruebas requeridas a los controles según los resultados de la evaluación de los controles establecidos, generación de checklists de controles a verificar por sitio de prueba, procesamiento de respuestas de los checklists, generación y análisis de hallazgos de auditoría, generación de informes (ejecutivo y detallado) con los resultados de las pruebas de cumplimiento. Las pruebas de cumplimiento de los controles se realizan en las dependencias que intervienen en el proceso, para las amenazas que presentan significativa exposición al riesgo inherente (E: Extremo; A: Alto o M: Moderado) y los controles establecidos, que según la evaluación de la auditoría, son eficaces y eficientes (con efectividad 1- apropiada ó 2 - Mejorable). Los resultados de estas pruebas se miden con una escala de cinco calificaciones, dependiendo del porcentaje de cumplimiento de los controles establecidos, así: 1- Apropiada (cumplimiento superior al 80%); 2- Mejorable (cumplimiento entre el 60% y 80%), 3- Insuficiente (cumplimiento entre 40% y 60%): 4: Deficiente (cumplimiento entre 20% y 40%); y 5- Muy deficiente (cumplimiento entre 0% y 20%). Estos resultados se comparan con los de la evaluación de control interno para mostrar las diferencias entre los controles formalmente establecidos y los que realmente se cumplen. Con los resultados de estas pruebas, el software genera el segundo informe con los resultados de la auditoría. Etapa 7: Pruebas Sustantivas. Diseño de las pruebas requeridas a la información según los resultados de la evaluación de controles existentes y de las pruebas de cumplimiento, 9

10 generación de checklists de datos (cifras) a verificar por sitio de prueba, procesamiento de respuestas de los checklists, generación y procesamiento de checklists para evaluar la satisfacción de los siete (7) criterios o elementos de la información de negocios; generación y análisis de hallazgos de auditoría, generación de informes (ejecutivo y detallado) con los resultados de las pruebas de auditoría. Las Pruebas Sustantivas o pruebas a la Exactitud de la Información que procesa y produce el proceso, se realizan en las dependencias que intervienen en el proceso, para las amenazas que presentan debilidades de control interno (efectividad 3- insuficiente, 4- Deficiente y 5- muy deficiente) y presentan significativa exposición al riesgo inherente (E: Extremo; A: Alto o M: Moderado). Su propósito es verificar el impacto que pudieran tener esas debilidades de control en la integridad de la información de la empresa. Los resultados de estas pruebas se miden con una escala de cinco calificaciones, dependiendo del porcentaje de exactitud de los datos verificados por la auditoría, así: 1- Apropiada (exactitud superior al 80%); 2- Mejorable (exactitud entre el 60% y 80%), 3- Insuficiente (exactitud entre 40% y 60%): 4: Deficiente (exactitud entre 20% y 40%); y Muy deficiente (exactitud en entre 0% y 20%). Con los resultados de las pruebas sustantivas, el software produce el tercer informe con los resultados de la auditoría. Etapa 8: Seguimiento a Hallazgos y Recomendaciones de la Auditoría. Como paso final, por cada auditoría basada en riesgos AUDIRISK ofrece opciones para planear y ejecutar seguimiento a los acciones de mejoramiento que se diseñen en la empresa para atender los hallazgos de control interno, pruebas de cumplimiento y pruebas sustantivas. El software tiene funcionalidades para generar y enviar recordatorios por correo electrónico a los responsables de implantar y supervisar la implantación de las acciones de mejora y a los auditores asignados a su seguimiento. Este módulo también ofrece funcionalidades para iniciar auditorias nuevas, a partir de los papeles de trabajo electrónicos de auditorías anteriores realizadas con AUDIRISK. Esta facilidad genera ahorros de tiempo y productividad en las auditorias. MÓDULO 3: SEGUIMIENTO A HALLAZGOS DE AUDITORÍAS EFECTUADAS POR TERCEROS. AUDIRISK ofrece funcionalidades para asistir el registro (ingreso) de hallazgos, planeación y ejecución del seguimiento a las acciones de mejoramiento institucional que resultan de los hallazgos e informes de auditorías realizadas por terceros (Auditores Externos, Revisores Fiscales, Organismos de Control y Supervisión del Estado). Para este fin, el software ofrece opciones para el mantenimiento de las entidades auditoras y por cada auditoría de terceros ingresar los hallazgos de auditoría, ingresar información sobre las metas definidas para implantar las acciones de mejora por hallazgo (fechas de compromiso, responsables de implantar, supervisar implantación y hacer seguimiento), planear fechas del seguimiento y ejecutar el seguimiento. El software ofrece funcionalidades para generar recordatorios por correo electrónico a los responsables de implantar y supervisar las acciones de mejora y a los auditores asignados para su seguimiento. 10

11 MÓDULO 4: AUDITORÍAS A SISTEMAS DE GESTIÓN. AUDIRISK asiste a los auditores internos en las actividades de programación, planeación, ejecución, informe y seguimiento de auditorías internas de gestión (Por ejemplo: de calidad, de gestión de seguridad de la información - ISO , gestión ambiental y seguridad y salud ocupacional). Estas auditorías se ejecutan de conformidad con la norma ISO MÓDULO 5: GESTIÓN DE RESULTADOS DE LA AUDITORÍA. Este módulo genera informes con estadísticas y gráficos sobre los resultados de las auditorías desarrolladas con AUDIRISK durante un periodo de tiempo, dentro del año fiscal. El software ofrece funcionalidades para generar entre otros los siguientes informes de Gestión: Estadísticas sobre auditorías desarrolladas en el periodo, programadas y no programadas. Estado de ejecución de Auditorías Programadas en el periodo. Estadísticas por tipos de hallazgos emitidos (de control interno, pruebas de cumplimiento y pruebas sustantivas), para las auditorías realizadas en el periodo. Estadísticas de tipos de hallazgos de auditoría emitidos (de control interno, pruebas de cumplimiento y pruebas sustantivas), clasificados por tipos de auditoría (a procesos del modelo de operación, a procesos de TI, sistemas de información). Estadísticas por tipos de hallazgos (de control interno, pruebas de cumplimiento y pruebas sustantivas) sobre el estado de implementación de las acciones de mejora definidas por cada auditoría. Estadísticas sobre el estado de implementación de las acciones de mejora (pendientes, en proceso, implantadas, etc) definidas para atender los hallazgos de la auditoría. Se produce por tipos de auditorías realizadas y por dependencias (áreas organizacionales de la Empresa) encargadas de implantarlas. Comparación horas programadas y ejecutadas por los auditores asignados, por auditoría y tipos de auditoría. Comparación de Costos de personal y otros gastos en la Auditoría, por Auditoría y Tipos de Auditoría. MÓDULO 6: ADMINISTRACIÓN DE USUARIOS. Este módulo ofrece las funcionalidades necesarias para administrar los usuarios con derechos de acceso a los diferentes módulos. Permite adicionar, modificar e inactivar usuarios y establecer el perfil y los privilegios de acceso a cada uno de los módulos de AUDIRISK. El software maneja los siguientes perfiles: Gerente de Auditoría. Administrador de Usuarios. Supervisor de Auditoría. Analista de Auditoría (Auditor de Procesos o de aplicaciones). Auditor Regional. Solo Consulta. Auditores de Gestión. 11

12 PARAMETRIZACIÓN DEL SOFTWARE. AUDIRISK presenta funcionalidades para parametrizar los estándares de auditoría basadas en riesgos, en las actividades de evaluación de riesgos, evaluación de la efectividad de los controles, generación de checklist de pruebas de cumplimiento y sustantivas, evaluación de resultados de las pruebas de auditoría y evaluación de los siete (7) criterios que debe satisfacer la información de negocios (eficacia, eficiencia, integridad, disponibilidad, confidencialidad, confiabilidad y cumplimiento). También ofrece ayudas para poblar la base de conocimientos de AUDIRISK y obtener copias de respaldo de esta base y de los papeles de trabajo electrónicos de las auditorías realizadas. MODULO 1: PLANEACION ANUAL DE LA AUDITORÍA BASADA EN VALORACIÓN DE RIESGOS. La base para la planificación y desarrollo de las Auditorías es la importancia relativa o materialidad de las clases de riesgos a las que se expone cada proceso del modelo de operación o sistema de información de la organización. Por ejemplo, en un proceso de compras pueden presentarse las siete (7) clases de riesgo del SARO y de estas solo tres (3) son CRITICAS porque podrían producir las mayores pérdidas a la organización, estimadas en el horizonte de un año (pérdida anual estimada, PAE). Las Auditorías se planean y desarrollan para revisar actividades, procedimientos, controles e información que pudieran ser impactados por las clases de riesgos críticas del proceso. Por ejemplo, para un proceso de cartera las clases de riesgos críticos pueden ser: Fraude Interno, Fraude Externo y fallas tecnológicas. Este módulo del software asiste la elaboración del Plan Anual de las auditorías internas y externas, de acuerdo con el nivel de exposición a riesgos. Para las Auditorías Internas y de Sistemas satisface las exigencias de los estándares de auditoría del Instituto de Auditores de los Estados Unidos (IIA) e ISACA (la asociación de Control y Auditoría de Sistemas de Información), los cuales establecen que el plan anual de la auditoría debe realizarse con un enfoque basado en valoración de riesgos. PLANEACION ANUAL AUDITORIAS INTERNAS. AUDIRISK ofrece funcionalidades para asistir la elaboración del plan anual de auditorías, basado en la valoración de la exposición a riesgos para tres tipos de auditoria: los procesos del modelo de operación de la Empresa (Mapa de Procesos), los procesos de Tecnología de Información (por ejemplo los de COBIT e ITIL) y las Aplicaciones de Computador (módulos de ERPs) que soportan la operación de los procesos. Por cada grupo de trabajos de auditoría, el software ofrece funcionalidades y apoyo de la base de conocimientos para diseñar, contestar y procesar cuestionarios con factores de riesgo, estimar las necesidades de seguridad de cada uno de los trabajos candidatos a ser auditadas y estimar la exposición a las clases o categorías de riesgo del modelo adoptado por la Empresa (SARO, SARLAFT, AUDISIS o combinación de las anteriores). 12

13 Como resultado, por cada grupo de trabajos, el software produce la matriz de planeación anual de la auditoría con dos alternativas para decidir las actividades a auditar: a) por el nivel de exposición a riesgos de los procesos y aplicaciones de computador candidatas a ser auditadas, y b) por el nivel de exposición a cada una de las clases o categorías de riesgo. Figura 2: Priorización de procesos para el Plan Anual de Auditoría Después de priorizar los trabajos candidatos a ser auditados por cada tipo de auditoría, el software ofrece funcionalidades para elaborar la programación anual de las auditorías; por cada auditoría ayuda a definir objetivos, alcance y asignar recursos requeridos, generar el cronograma anual (grafico de barras), y efectuar el seguimiento a la ejecución de las auditorías programadas. 13

14 PLANEACION ANUAL AUDITORIAS EXTERNAS. Para entidades de control del Estado (Contraloría y Superintendencias) y Firmas de Auditoria. AUDIRISK ofrece funcionalidades para elaborar el plan anual de auditoría basado en valoración de riesgos y controlar su ejecución a través de los siguientes pasos: 1. Priorizar por su nivel de exposición a riesgos, las empresas candidatas a ser auditadas en los diferentes sectores a los que correspondan las entidades vigiladas (comercial, industrial, servicios, financiero y otros). Por cada sector, el software ofrece funcionalidades para diseñar y procesar cuestionarios con factores de riesgo, estimar las necesidades de seguridad de cada una de las empresas candidatas a ser auditadas y estimar la exposición a las clases o categorías de riesgo del modelo adoptado por la Empresa auditora (SARO, SARLAFT, AUDIRISK o combinación de las anteriores). 14

15 2. Como resultado, por cada empresa candidata a ser auditada, el software produce la matriz de planeación anual de la auditoría con dos alternativas para decidir las actividades a auditar: a) por el nivel de exposición a riesgos de las empresas candidatas a ser auditadas, y b) por el nivel de exposición a cada una de las clases o categorías de riesgo. Figura 2: Priorización de Empresas candidatas para el Plan Anual de Auditoría. 3. Elaborar la programación de visitas de las empresas candidatas a ser auditadas a realizar durante el año, de acuerdo con las prioridades asignadas por sector o por clases de riesgo. Genera un cronograma (grafico de barras) con la planeación anual. 15

16 4. Efectuar seguimiento al plan anual de la auditoría / Evaluar la gestión de la auditoría de acuerdo al cumplimiento del plan anual. 5. Generar reportes de planeación, seguimiento y control del plan anual de auditoría MODULO 2: AUDITORÍAS BASADAS EN RIESGOS CRITICOS A PROCESOS Y SISTEMAS DE INFORMACIÓN. AUDIRISK ofrece funcionalidades para ejecutar auditorías basadas en riesgos críticos a los procesos del modelo de operación de la empresa, los procesos de tecnología de información (por 16

17 ejemplo, de los modelos COBIT e ITIL) y los sistemas de información (aplicaciones de computador) de la Empresa, programados en el plan anual de auditoría con el módulo 1 de AUDIRISK. También ofrece opciones para crear y ejecutar auditorías que no están en el Plan Anual y para iniciar auditorías a partir de los papeles de trabajo electrónicos de auditorías anteriores ejecutadas con AUDIRISK (por ejemplo, efectuar auditoria al proceso Gestión de Talento Humano 2014, a partir de los papeles de trabajo de la auditoría al mismo proceso en el año 2013). Por cada auditoría basada en riesgos, el software ofrece funcionalidades con procedimientos, guías y formatos para desarrollar las (4) cuatro fases del proceso de auditoría: 1) Planeación, 2) Ejecución, 3) Comunicación de resultados y 4) Seguimiento a los hallazgos de auditoría y planes de mejoramiento. La figura 3, ilustra el enfoque de las auditorías realizadas con AUDIRISK. Figura 3: Las 4 Fases de la Auditoría FUNCIONALIDADES DE AUDIRISK PARA EL DESARROLLO DE LAS AUDITORÍAS BASADAS EN RIESGOS. Por cada auditoría, el software AUDIRISK ofrece funcionalidades para aplicar procedimientos de auditoría de aceptación general, organizadas en OCHO (8) etapas que se muestran a continuación y en el menú de la figura 4. 17

18 Figura 4: Etapas del proceso de Auditoría Basada en Riesgos críticos Etapa 1: Pre auditoría. Definición de objetivos, alcance, recursos a emplear programa de trabajo de la Auditoría. y Etapa 2: Comprensión del proceso o sistema (Familiarización). Elaboración de archivo permanente de la auditoría y caracterización del proceso o sistema sujeto a auditoría. Etapa 3: Identificar y analizar los Riesgos Inherentes Críticos (Eventos de riesgo Negativos). Identificar las 3 ó 4 categorías de riesgos críticos para el proceso o sistema sujeto a auditoría; identificar, analizar y documentar las amenazas ó eventos negativos que podrían generar las categorías de riesgo críticas; generar mapa de riesgos inherentes (amenazas) que serán considerados para el desarrollo de la auditoría; generación de papeles de trabajo corrientes. El análisis de los riesgos inherentes se realiza para las amenazas ó eventos negativos que pueden generar la materialización de las clases de riesgo críticos, en el ambiente real de las operaciones del proceso. Por ejemplo, en el proceso de cartera se identifican y analizan diez (10) amenazas por cada una de las tres (3) clases de riesgos críticos: Fraude Interno, Fraude Externo y fallas tecnológicas. Por cada amenaza, la exposición al riesgo se mide con una de las siguientes cuatro (4) calificaciones: E: Extremo (Color rojo); A: Alto (color naranja); M: Moderado (color amarillo) y B: Bajo o dentro del apetito de riesgos de la Gerencia (color verde). Las amenazas calificadas se ubican en el Mapa de Riesgos Inherentes (una matriz de 5x5) y se despliegan organizadamente para las tres (3) dimensiones del Cubo de Riesgos del proceso que se está auditando: a) por categorías de riesgo críticas, b) por Dependencias (áreas de la estructura de organización o terceros) y c) por actividades del proceso. Etapa 4: Definir Contexto de Riesgos de la Auditoría. Desplegar o desdoblar el Cubo de riesgos de la auditoría, generar matrices de riesgo y definir objetivos de control que debería satisfacer el proceso o sistema sujeto a auditoría. Etapa 5: Evaluar Efectividad del Control Interno Existente. Por cada amenaza la auditoría evalúa la efectividad o capacidad de los controles para reducir la exposición de las amenazas a un nivel de riesgo residual aceptable. La efectividad de los controles se mide con una escala de 5 calificaciones: 1- apropiada (color verde); 2- mejorable (color amarillo); 3- Insuficiente (color naranja); 4: Deficiente (color rojo) y 5- Muy Deficiente (color rojo). Los resultados de la evaluación obtenidos por amenaza, se articulan y presentan en las tres dimensiones del cubo de riesgos en las cuales podría materializarse: en las clases de riesgo críticas, en las actividades del proceso y en las dependencias (áreas de la organización y terceros) que intervienen en el proceso. Con los resultados de la evaluación de la efectividad de los controles establecidos, el software produce el primer informe con los resultados de la Auditoría, el que mayor valor agregado genera para los auditados y la administración. 18

19 Etapa 6: Pruebas de Cumplimiento. Diseño de las pruebas requeridas a los controles según los resultados de la evaluación de los controles establecidos, generación de checklists de controles a verificar por sitio de prueba, procesamiento de respuestas de los checklists, generación y análisis de hallazgos de auditoría, generación de informes (ejecutivo y detallado) con los resultados de las pruebas de cumplimiento. Las pruebas de cumplimiento de los controles se realizan en las dependencias que intervienen en el proceso, para las amenazas que presentan significativa exposición al riesgo inherente (E: Extremo; A: Alto o M: Moderado) y los controles establecidos, que según la evaluación de la auditoría, son eficaces y eficientes (con efectividad 1- apropiada ó 2 - Mejorable). Los resultados de estas pruebas se miden con una escala de cinco calificaciones, dependiendo del porcentaje de cumplimiento de los controles establecidos, así: 1- Apropiada (cumplimiento superior al 80%); 2- Mejorable (cumplimiento entre el 60% y 80%), 3- Insuficiente (cumplimiento entre 40% y 60%): 4: Deficiente (cumplimiento entre 20% y 40%); y 5- Muy deficiente (cumplimiento entre 0% y 20%). Estos resultados se comparan con los de la evaluación de control interno para mostrar las diferencias entre los controles formalmente establecidos y los que realmente se cumplen. Con los resultados de estas pruebas, el software genera el segundo informe con los resultados de la auditoría. Etapa 7: Pruebas Sustantivas. Diseño de las pruebas requeridas a la información según los resultados de la evaluación de controles existentes y de las pruebas de cumplimiento, generación de checklists de datos (cifras) a verificar por sitio de prueba, procesamiento de respuestas de los checklists, generación y procesamiento de checklists para evaluar la satisfacción de los siete (7) criterios o elementos de la información de negocios; generación y análisis de hallazgos de auditoría, generación de informes (ejecutivo y detallado) con los resultados de las pruebas de auditoría. Las Pruebas Sustantivas o pruebas a la Exactitud de la Información que procesa y produce el proceso, se realizan en las dependencias que intervienen en el proceso, para las amenazas que presentan debilidades de control interno (efectividad 3- insuficiente, 4- Deficiente y 5- muy deficiente) y presentan significativa exposición al riesgo inherente (E: Extremo; A: Alto o M: Moderado). Su propósito es verificar el impacto que pudieran tener esas debilidades de control en la integridad de la información de la empresa. Los resultados de estas pruebas se miden con una escala de cinco calificaciones, dependiendo del porcentaje de exactitud de los datos verificados por la auditoría, así: 1- Apropiada (exactitud superior al 80%); 2- Mejorable (exactitud entre el 60% y 80%), 3- Insuficiente (exactitud entre 40% y 60%): 4: Deficiente (exactitud entre 20% y 40%); y Muy deficiente (exactitud en entre 0% y 20%). Con los resultados de las pruebas sustantivas, el software produce el tercer informe con los resultados de la auditoría. Etapa 8: Seguimiento a Hallazgos y Recomendaciones de la Auditoría. Como paso final, por cada auditoría basada en riesgos AUDIRISK ofrece opciones para planear y ejecutar seguimiento a los acciones de mejoramiento que se diseñen en la empresa para atender los hallazgos de control interno, pruebas de cumplimiento y pruebas sustantivas. El software tiene funcionalidades para generar y enviar recordatorios por correo electrónico a los responsables de implantar, supervisar y ejecutar acciones de mejora. 19

20 Este módulo también ofrece funcionalidades para iniciar auditorías nuevas, a partir de los papeles de trabajo electrónicos de auditorías anteriores realizadas con AUDIRISK. Esta facilidad genera ahorros de tiempo y productividad en las auditorías. FASE I: PLANEACIÓN DE LA AUDITORÍA BASADA EN RIESGOS Esta fase de la auditoría comprende la ejecución de las cuatro primeras etapas de la metodología. Etapa 1: Pre-auditoría. Figura 5: Opciones Menu Etapa 1- Preauditoría 1. AUDIRISK asiste la elaboración del memorando de planeación de la auditoría, el programa de trabajo y la definición de los recursos requeridos de tiempo, personal y financieros. Las figuras 5 y 6 muestran las ayudas ofrecidas por el software. Figura 6: Memorando de Planeación de la Auditoría 2. AUDIRISK asiste al Auditor en la definición del cronograma para el desarrollo de la auditoría (para las primeras siete etapas y por auditor), conformación del equipo de trabajo y la asignación de otros recursos requeridos. 20

Versión 2015 SOFTWARE DE ADMINISTRACIÓN INTEGRAL DE RIESGOS Y DISEÑO DE CONTROLES PRESENTACION DEL PRODUCTO

Versión 2015 SOFTWARE DE ADMINISTRACIÓN INTEGRAL DE RIESGOS Y DISEÑO DE CONTROLES PRESENTACION DEL PRODUCTO Versión 2015 SOFTWARE DE ADMINISTRACIÓN INTEGRAL DE RIESGOS Y DISEÑO DE CONTROLES PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Servicios Orientados a la Prevención

Más detalles

PRESENTACION DEL PRODUCTO

PRESENTACION DEL PRODUCTO Versión 2014 SOFTWARE DE AUDITORÍA BASADA EN RIESGOS PARA PROCESOS Y SISTEMAS DE INFORMACION PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Servicios Orientados

Más detalles

SOFTWARE DE AUDITORÍA BASADA EN RIESGOS

SOFTWARE DE AUDITORÍA BASADA EN RIESGOS Versión 2012 SOFTWARE DE AUDITORÍA BASADA EN RIESGOS PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Calle 53 No. 27-33 Oficina 602 Tels.: 2556717 2556757 2556816,

Más detalles

Software de Administración Integral de Riesgos y Diseño de Controles

Software de Administración Integral de Riesgos y Diseño de Controles Software de Administración Integral de Riesgos y Diseño de Controles Versión 2015 Contenido ControlRisk: Qué es y para Qué Sirve?. Características del Software ControlRisk. Especificaciones Técnicas del

Más detalles

Software de Administración Integral de Riesgos y Diseño de Controles

Software de Administración Integral de Riesgos y Diseño de Controles Software de Administración Integral de Riesgos y Diseño de Controles Versión 2015 Contenido ControlRisk: Qué es y para Qué Sirve?. Características del Software ControlRisk. Especificaciones Técnicas del

Más detalles

SOFTWARE PARA AUDITORÍA Y GESTIÓN DE RIESGOS

SOFTWARE PARA AUDITORÍA Y GESTIÓN DE RIESGOS SOFTWARE PARA AUDITORÍA Y GESTIÓN DE RIESGOS Por qué utilizar Software de Auditoría? Contenido: AUDIRISK IDEA 2 3 SMART ANALYZER FINANCIAL 4 EXAMINER 4 SMART EXPORTER 4 WORKING PAPERS 4 El uso de software

Más detalles

Auditoria de Sistemas Basada en Riesgos

Auditoria de Sistemas Basada en Riesgos Las Auditorías de Sistemas, internas ó externas, realizan un examen sistemático, objetivo e independiente de la eficiencia, eficacia y seguridad en los procesos y operaciones de tecnología de información,

Más detalles

AUDITORIA BASADA EN RIESGOS

AUDITORIA BASADA EN RIESGOS SEMINARIO TALLER Marzo 24, 25 y 26 DE 2.010 CONTENIDO Beneficios 2 Objetivos 3 A quién esta Dirigido? Temas del Seminario 3-4 Instructores 5 Metodología 5 Valor Inversión y forma de pago Nuestros Servicios

Más detalles

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO Código: DG-D-008 - Versión: 03 - Fecha Emisión: 01/03/2013 1/14 Contenido 1. OBJETIVOS....3 2. ALCANCE....4 3. REFERENCIAS NORMATIVAS....4 4. TERMINOS Y DEFINICIONES...5

Más detalles

GESTIÓN DE RIESGO. Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C.

GESTIÓN DE RIESGO. Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C. GESTIÓN DE RIESGO Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C. MARCO NORMATIVO Con el propósito de desarrollar un sistema eficiente para la gestión de riesgos, el Ministerio

Más detalles

Norma ISO 31000:2009, ges ón de riesgos - principios y direc- trices,

Norma ISO 31000:2009, ges ón de riesgos - principios y direc- trices, Este seminario presentará un marco de referencia y metodológico seguro y eficiente para implantar la ges- ón de riesgos empresariales, específicamente para idenficar, documentar, evaluar, controlar, monitorear,

Más detalles

Sistema de Administración del Riesgos Empresariales

Sistema de Administración del Riesgos Empresariales Sistema de Administración del Riesgos Empresariales Si tomas riesgos podrías fallar. Si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada Roberto Goizueta CEO Coca-Cola

Más detalles

POLITICA DE ADMINISTRACION DEL RIESGO

POLITICA DE ADMINISTRACION DEL RIESGO POLITICA DE ADMINISTRACION DEL RIESGO 2014 POLÍTICA DE ADMINISTRACIÓN DEL RIESGO DE LA COMISIÓN DE REGULACIÓN DE ENERGÍA Y GAS -CREG- La Comisión de Regulación de Energía y Gas, CREG, implementa como Política

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA PLAN DE MANEJO DE RIESGOS Contenido PLAN DE MANEJO DE RIESGOS.... 3 Elaboración del mapa de riesgos... 3 Monitoreo... 4 Autoevaluación... 4 Metodología... 7

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

Información del Proyecto en http://colombia.casals.com

Información del Proyecto en http://colombia.casals.com ENTIDADES DE LA ALIANZA PROGRAMA EFICIENCIA Y RENDICIÓN DE CUENTAS EN EL ESTADO COLOMBIANO Información del Proyecto en http://colombia.casals.com 1 MODELO ESTÁNDAR DE CONTROL INTERNO MECI- CAPACITACIÓN

Más detalles

Soluciones Integrales de Tecnología para su Empresa SISTEMA DE GESTION INTEGRAL DE PROCESOS & BALANCED SCORECARD

Soluciones Integrales de Tecnología para su Empresa SISTEMA DE GESTION INTEGRAL DE PROCESOS & BALANCED SCORECARD Soluciones Integrales de Tecnología para su Empresa SISTEMA DE GESTION INTEGRAL DE PROCESOS & BALANCED SCORECARD Marzo 2010 RESUMEN CBM ASOCIADOS CIA. LTDA. 9 años en el mercado del software nacional Computer

Más detalles

MANUAL DE ADMINISTRACION DEL RIESGOS

MANUAL DE ADMINISTRACION DEL RIESGOS MANUAL DE ADMINISTRACION DEL RIESGOS Página 1 de 15 MANUAL DE ADMINISTRACION DEL RIESGOS Versión 1 del 23 de Junio de 20 TABLA DE CONTENIDO MANUAL DE ADMINISTRACION DEL RIESGOS Página 2 de 15 TABLA DE

Más detalles

INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO - LEY 1474 DE 2011 Jefe de Control Interno, o quien haga sus veces: Martha Cecilia Mora Correa

INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO - LEY 1474 DE 2011 Jefe de Control Interno, o quien haga sus veces: Martha Cecilia Mora Correa INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO - LEY 1474 DE 2011 Jefe de Control Interno, o quien haga sus veces: Martha Cecilia Mora Correa Período evaluado: NOVIEMBRE 2011 FEBRERO DE 2012 Fecha

Más detalles

EQUIPO CONSULTOR Y EQUIPO DE MEJORA CONTINUA PREPARADO POR: REVISADO POR: APROBADO POR: VERSIÓN Nº: FECHA DE EMISIÓN: 15/09/07

EQUIPO CONSULTOR Y EQUIPO DE MEJORA CONTINUA PREPARADO POR: REVISADO POR: APROBADO POR: VERSIÓN Nº: FECHA DE EMISIÓN: 15/09/07 SERVICIOS DE AUDITORÍA MINISTERIO DE SALUD DE COSTA RICA - NIVEL INTRAINSTITUCIONAL ÁREA DE GESTIÓN: SOPORTE LOGÍSTICO Y ADMINISTRATIVO PREPARADO POR: VALIDADO POR : EQUIPO CONSULTOR Y EQUIPO DE MEJORA

Más detalles

Tema: Manual de Auditoría de Gestión a las Tecnologías de Información y Comunicaciones.

Tema: Manual de Auditoría de Gestión a las Tecnologías de Información y Comunicaciones. CORTE DE CUENTAS DE LA REPÚBLICA El Salvador, C.A. XIV Concurso Anual de Investigación de OLACEFs 2011, denominado Auditoria de Gestión a las Tecnologías de Información y Comunicaciones. Tema: Manual de

Más detalles

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación

Más detalles

ARMONIZACIÓN MECI-CALIDAD

ARMONIZACIÓN MECI-CALIDAD ANTES DE INICIAR ARMONIZACIÓN MECI-CALIDAD CONTENIDO 1. Objetivos de la Sesión 2. Marco Legal para ambos sistemas 3. Generalidades 4. Conceptualización sobre la armonización 5. Elementos de articulación

Más detalles

Metodología de Administración de Riesgos - Procesos

Metodología de Administración de Riesgos - Procesos Metodología de Administración de Riesgos - Procesos Contenido Metodología de Administración de Riesgos... 3 Conceptos y Acrónimos... 3 Introducción... 3 Principios de Administración Integral de Riesgos...

Más detalles

TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO AUDITORIAS INTERNAS PÁGINA: 1 de 7

TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO AUDITORIAS INTERNAS PÁGINA: 1 de 7 PROCESO CONTROL INTERNO CÓDIGO SUBPROCESO CONTROL INTERNO 1.1.2-CI-001 TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO PÁGINA: 1 de 7 1.OBJETIVO Proporcionar metodología para realizar las s internas

Más detalles

Audire V.3 FECHA DEL BOLETÍN BOLETIN 15

Audire V.3 FECHA DEL BOLETÍN BOLETIN 15 Audire V.3 FECHA DEL BOLETÍN BOLETIN 15 INTRODUCCION En los últimos años los sistemas de información han venido aportando a los procesos de las empresas una gran ayuda en la recopilación y administración

Más detalles

DOCUMENTO TÉCNICO N 71 Versión 0.1 ASEGURAMIENTO AL PROCESO DE GESTIÓN DE RIESGOS EN EL SECTOR PÚBLICO

DOCUMENTO TÉCNICO N 71 Versión 0.1 ASEGURAMIENTO AL PROCESO DE GESTIÓN DE RIESGOS EN EL SECTOR PÚBLICO DOCUMENTO TÉCNICO N 71 Versión 0.1 ASEGURAMIENTO AL PROCESO DE GESTIÓN DE RIESGOS EN EL SECTOR PÚBLICO Este documento está orientado a entregar directrices a los auditores internos para el aseguramiento

Más detalles

INSTRUCTIVO ELABORACION MAPA DE RIESGOS

INSTRUCTIVO ELABORACION MAPA DE RIESGOS Código :EV-EV- IN01 Página: 1 de 18 ADMINISTRACIÓN DEL RIESGO La Administración del Riesgo se construye para identificar, evaluar y controlar los eventos que pueden impedir el logro de los objetivos institucionales.

Más detalles

PROCEDIMIENTO PLAN ANUAL DE AUDITORÍAS Fecha de aprobación: septiembre 16 de 2010

PROCEDIMIENTO PLAN ANUAL DE AUDITORÍAS Fecha de aprobación: septiembre 16 de 2010 Código: PSI03 Versión: 1 PROCEDIMIENT PLAN ANUAL DE AUDITORÍAS Fecha Aprobación: Septiembre 16 de 2010 Nro. de páginas: 5 PROCEDIMIENTO PLAN ANUAL DE AUDITORÍAS Fecha de aprobación: septiembre 16 de 2010

Más detalles

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Índice Pág. Metodología para la Autoevaluación del Sistema de Control Interno Institucional. 2 Elementos

Más detalles

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité

Más detalles

Condiciones para que la Gerencia de Seguridad de. permanezca vigente.

Condiciones para que la Gerencia de Seguridad de. permanezca vigente. Condiciones para que la Gerencia de Seguridad de la Información permanezca vigente. AGENDA 1. Foco metodológico. 2. Modelo de Seguridad. 3. Ubicación de la Seguridad de la Información en la organización.

Más detalles

Administrador Riesgo Opera1vo. Administrador Riesgo de Crédito

Administrador Riesgo Opera1vo. Administrador Riesgo de Crédito VERDADERO ROL DEL ADMINISTRADOR DE RIESGO Administrador Riesgo Opera1vo Administrador Riesgo de Crédito DUEÑOS DE PROCESOS realizan la Ges4ón del Riesgo (Ejecutan procesos y controles) Administrador Riesgo

Más detalles

MANUAL DE POLITICAS DE RIESGO ESTRATEGICO

MANUAL DE POLITICAS DE RIESGO ESTRATEGICO MANUAL DE POLITICAS DE RIESGO ESTRATEGICO REGISTRO DE CAMBIOS Y REVISIONES Fecha Descripción del cambio o revisión Versión Responsable 26.05.2014 Manual de Políticas de Riesgo Estratégico 1.0 Carlos Zapata

Más detalles

Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com

Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com Contenido Objetivos de la charla. Motivación de la charla. Repaso a COSO

Más detalles

ADMINISTRACIÓN DEL RIESGO

ADMINISTRACIÓN DEL RIESGO PÁGINA: 1 DE 8 REVISÓ JEFE DE OFICINA DE CONTROL INTERNO APROBÓ REPRESENTANTE DE LA DIRECCIÓN PÁGINA: 2 DE 8 1. OBJETIVO Definir las actividades para la identificación, análisis, valoración y calificación

Más detalles

Modelo de Supervisión Basada en Riesgos (SBR) SISTEMA DE EVALUACIÓN DE RIESGOS Y ORIENTACIÓN DE LA ACTITUD DE SUPERVISIÓN

Modelo de Supervisión Basada en Riesgos (SBR) SISTEMA DE EVALUACIÓN DE RIESGOS Y ORIENTACIÓN DE LA ACTITUD DE SUPERVISIÓN Modelo de Supervisión Basada en Riesgos (SBR) SISTEMA DE EVALUACIÓN DE RIESGOS Y ORIENTACIÓN DE LA ACTITUD DE SUPERVISIÓN Superintendencia de Pensiones Junio de 2010 Índice de Contenidos LA SUPERINTENDENCIA

Más detalles

CONTROL INTERNO ALCALDIA MUNICIPAL DE HERVEO- TOLIMA

CONTROL INTERNO ALCALDIA MUNICIPAL DE HERVEO- TOLIMA INFORME ANUAL DE EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO CONTABLE ALCALDIA MUNICIPAL DE HERVEO- TOLIMA VIGENCIA 2013 OFICINA DE CONTROL INTERNO INGRID PAOLA NAVARRO VARGAS Jefe de Control interno Herveo,

Más detalles

POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A.

POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. 1. ÁMBITO DE APLICACIÓN El presente documento establece los lineamientos generales mínimos que deben observar los administradores y

Más detalles

PROCEDIMIENTO AUDITORIAS INTERNAS INTEGRALES DEL PROCESO SEGUIMIENTO, CONTROL Y EVALUACION DEL SIG.

PROCEDIMIENTO AUDITORIAS INTERNAS INTEGRALES DEL PROCESO SEGUIMIENTO, CONTROL Y EVALUACION DEL SIG. Página:1 1. OBJETIVO Y CAMPO DE APLICACIÓN Aplicando las técnicas de auditoría universalmente aceptadas y con base en un plan de auditoría, se busca medir el grado de eficiencia y eficacia con que se manejan

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

www.datasec-soft.com metodología de evaluación y control de riesgos

www.datasec-soft.com metodología de evaluación y control de riesgos El Gobierno de la TI es una parte importante de la Gobernabilidad Empresarial que apunta a desarrollar procesos, estructuras organizacionales y liderazgo para asegurar que la Tecnología de la Información

Más detalles

Para cumplimiento con esta misión, los objetivos marcados para esta Función son los siguientes:

Para cumplimiento con esta misión, los objetivos marcados para esta Función son los siguientes: Enero 5 de 2015 GESTIÓN Y CONTROL DE RIESGOS Helm Fiduciaria S.A., como parte integrante del Grupo Corpbanca, está soportada por la infraestructura que el Grupo ha diseñado para controlar y gestionar los

Más detalles

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA Implementando COBIT Por: Víctor Julio Zúñiga.MBA 1 LOS MODELOS DE MEJORES PRÁCTICAS Y LAS METAS DE TI tiempo 2 Alineado Soporte al Negocio Controlados Mejor seguros Calidad del Servicio Riesgos De TI tiempo

Más detalles

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC Su aliado Estratégico José E. Quintero Forero CISM, CRISC Abril 27 de 2011 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de Servicios

Más detalles

Qué es la Auditoria en Sistemas de Información?

Qué es la Auditoria en Sistemas de Información? Qué es la Auditoria en Sistemas de Información? Es el examen objetivo, crítico, sistemático, posterior y selectivo que se hace a la administración informática de una organización, con el fin de emitir

Más detalles

PROCESO ADMINISTRACIÓN DEL SIG PROCEDIMIENTO GESTIÓN DE RIESGOS

PROCESO ADMINISTRACIÓN DEL SIG PROCEDIMIENTO GESTIÓN DE RIESGOS Página: 1 de 14 1. Objetivo Definir el marco de referencia y la metodología para la Administración de Riesgos de la entidad, facilitando el cumplimiento de sus objetivos y las funciones propias del Ministerio

Más detalles

SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL

SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL VII JORNADAS RIOPLATENSES DE AUDITORIA INTERNA 2011 MONTEVIDEO - URUGUAY SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL Ricardo Correa F. - CIA, CGAP, CCSA, MCAG

Más detalles

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

SUPERINTENDENCIA FINANCIERA DE COLOMBIA Página 1 CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERATIVO Consideraciones generales En desarrollo de sus operaciones, las entidades sometidas a la inspección y vigilancia de la

Más detalles

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM Modelo de Control para la Administración de Riesgos de TI MsC. Carlos Zamora Sotelo, CISA, CISM Agenda 1. Objetivo de la Sesión. 2. La Administración de Riesgos en la Estrategia de Negocios. 3. El papel

Más detalles

I. Información General del Procedimiento

I. Información General del Procedimiento PR-DGSE-5 Octubre 211 I. Información General del Objetivo: Describir los pasos a seguir para la realización de las al Sistema de Gestión de Calidad de la, del MINERD. Alcance: Este procedimiento aplica

Más detalles

ESTRUCTURA DEL DEPARTAMENTO DE AUDITORIA INTERNA AUDITORIA INTERNA

ESTRUCTURA DEL DEPARTAMENTO DE AUDITORIA INTERNA AUDITORIA INTERNA ESTRUCTURA DEL DEPARTAMENTO DE AUDITORIA INTERNA AUDITORIA INTERNA Introducción Esta estructura juega un papel importante para la utilizacion de los servicios de auditores internos por instituciones privadas

Más detalles

SISTEMA NACIONAL DE GESTION DE LA PREVENCION (SGP)

SISTEMA NACIONAL DE GESTION DE LA PREVENCION (SGP) SISTEMA NACIONAL DE GESTION DE LA PREVENCION (SGP) El Instituto Ecuatoriano de Seguridad Social-IESS y el Ministerio de Relaciones Laborales, suscribieron el convenio "Sistema Nacional de Gestión de Prevención

Más detalles

GUÍA AUDITORÍA INTERNA GUÍA DE GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA AUDITORÍA INTERNA GUÍA DE GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA AUDITORÍA INTERNA GUÍA DE GOBIERNO CORPORATIVO PARA EMPRESAS SEP Índice 1. Razones para su emisión 2. Principales características 3. Introducción 4. Consideraciones claves 5. Elementos básicos Anexos

Más detalles

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria Deloitte Training Riesgos de tecnología de información implicaciones y retos para la auditoria Definición del universo auditable y valoración de riesgos de TI Presentado por Mauricio Solano Redondo, Director

Más detalles

SISTEMA DE GESTIÓN DE RIESGOS

SISTEMA DE GESTIÓN DE RIESGOS SISTEMA DE GESTIÓN DE RIESGOS Como parte del compromiso del Directorio con las buenas prácticas de Gobierno Corporativo, COPEINCA ha implementado un Sistema de Gestión de Riesgos, bajo la metodología COSO

Más detalles

Conceptos Básicos de Auditoría Informática

Conceptos Básicos de Auditoría Informática UNIVERSIDAD NACIONAL DE INGENIERÍA Conceptos Básicos de Auditoría Informática MSc. Julio Rito Vargas Avilés Sábado 21 marzo de 2009 AUDITORÍA INFORMÁTICA Tema Objetivos 1. Conceptos básicos Conocer qué

Más detalles

Matriz de Riesgo, Evaluación y Gestión de Riesgos

Matriz de Riesgo, Evaluación y Gestión de Riesgos Matriz de Riesgo, Evaluación y Gestión de Riesgos Cualquier actividad que el ser humano realice está expuesta a riesgos de diversa índole los cuales influyen de distinta forma en los resultados esperados.

Más detalles

INFORME CONSOLIDADO DE AUDITORÍAS INTERNAS DE GESTIÓN Y CALIDAD SIG VIGENCIA 2014

INFORME CONSOLIDADO DE AUDITORÍAS INTERNAS DE GESTIÓN Y CALIDAD SIG VIGENCIA 2014 INFORME CONSOLIDADO DE AUDITORÍAS INTERNAS DE GESTIÓN Y CALIDAD SIG VIGENCIA 2014 Oficina de Control Interno Superintendencia del Subsidio Familiar Calle 45 A # 9-46 Teléfonos: 3487777 - PBX: 3487800 www.ssf.gov.co

Más detalles

Portafolio de Servicios. www.cincodominios.com

Portafolio de Servicios. www.cincodominios.com Portafolio de Servicios www.cincodominios.com Sus aliados en la optimización de la cadena de valor de TIC www.cincodominios.com Nosotros En el año 2007 se constituye Raginwald Consulting Ltda, con el propósito

Más detalles

RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA. José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM.

RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA. José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. Introducción Antecedentes CONTENIDO Evolución de la Gestión

Más detalles

SEGUIMIENTO INSTITUCIONAL Bucaramanga

SEGUIMIENTO INSTITUCIONAL Bucaramanga SEGUIMIENTO INSTITUCIONAL Bucaramanga Enero de 2015 Revisó Director Control Interno y Evaluación de Gestión Aprobó: Rector Página: 2 de 20 Fecha de Aprobación: Marzo 11 de 2009 Resolución Nº 370 CONTENIDO

Más detalles

Guía para la Administración del Riesgo v3 Departamento Administrativo de la Función Pública

Guía para la Administración del Riesgo v3 Departamento Administrativo de la Función Pública Guía para la Administración del Riesgo v3 Departamento Administrativo de la Función Pública Dirección de Control Interno y Racionalización de Trámites Bogotá, D.C., Octubre de 2014 Índice Cómo interpretar

Más detalles

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12 Código:DAP-PM-01 Versión: 1 Página 1 de 12 PLAN DE MEJORA REGULATORIA RACSA 2015 1 Código: DAP-PM-001 Versión: 1 Página 2 de 12 Contenido 1. INTRODUCCIÓN... 3 2. MARCO LEGAL... 3 3. MARCO DE REFERENCIA

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

1 CONSTRUIMOS FUTURO

1 CONSTRUIMOS FUTURO CONSTRUIMOS FUTURO 1 Implementación n del SGC en los procesos de apoyo a las actividades misionales de la UIS CONSTRUIMOS FUTURO 3 Enfoque de uditoría Estamos comprometidos con ISO 9001:2000 4 1 Qué es

Más detalles

PROGRAMA ANUAL DE AUDITORIAS DE CALIDAD INSTRUCTIVO Para elaborar el Programa Anual de Auditorías de Calidad, se deberá aplicar el formato R001 y

PROGRAMA ANUAL DE AUDITORIAS DE CALIDAD INSTRUCTIVO Para elaborar el Programa Anual de Auditorías de Calidad, se deberá aplicar el formato R001 y PROGRAMA ANUAL DE AUDITORIAS DE CALIDAD INSTRUCTIVO Para elaborar el Programa Anual de Auditorías de Calidad, se deberá aplicar el formato R001 y registrar en los espacios correspondientes la información

Más detalles

GUÍA 33 Diseño de Controles y Análisis de Efectividad. Descripción. Requerimientos. Responsables

GUÍA 33 Diseño de Controles y Análisis de Efectividad. Descripción. Requerimientos. Responsables GUÍA 33 Diseño de Controles y Análisis de Efectividad Descripción El diseño de los controles se realiza a base de las políticas de operación de la institución, el análisis y la evaluación de los riesgos

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Introduction to Risk Assessment

Introduction to Risk Assessment Introduction to Risk Assessment Agenda Riesgos de Seguridad de la Información Gestión de Riesgos Modelo Pragmático de Riesgo Mitigación de Riesgos y sus componentes Activos Componentes de Riesgos Identificación

Más detalles

ESTRUCTURA ORGANIZACIONAL EN LA GESTION DE RIESGOS

ESTRUCTURA ORGANIZACIONAL EN LA GESTION DE RIESGOS ESTRUCTURA ORGANIZACIONAL EN LA GESTION DE RIESGOS El área de riesgos sirve como soporte en la gestión de los diferentes riesgos al Comité de Riesgos y a la junta directiva, y tiene como objeto identificar,

Más detalles

GERENCIA DE RIESGOS. Capacitación en el sistema de administración de riesgos operacionales

GERENCIA DE RIESGOS. Capacitación en el sistema de administración de riesgos operacionales SISTEMA DE ADMINISTRACIÓN DE RIESGOS OPERACIONALES SARO Cartilla de Riesgo Operativo 1 GERENCIA DE RIESGOS Capacitación en el sistema de administración de riesgos operacionales Compañía Aseguradora de

Más detalles

COOPERATIVO PARAGUAYO MARCOS RODRIGUEZ

COOPERATIVO PARAGUAYO MARCOS RODRIGUEZ GESTION DE RIESGOS EN EL SISTEMA COOPERATIVO PARAGUAYO MARCOS RODRIGUEZ 2 Participación en el Mercado Financiero, según ACTIVOS. Cooperativas, 21% Financieras, 3,50% Bancos, 75,50% Los activos que poseen

Más detalles

Dentro del subsistema de control estratégico se tienen establecidos 3 componentes:

Dentro del subsistema de control estratégico se tienen establecidos 3 componentes: INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO - LEY 1474 DE 2011 Jefe de Control Interno, o quien haga sus veces: EDGAR JAIMES MATEUS. Período evaluado: ENERO OCTUBRE DE 2.011 Fecha de elaboración:

Más detalles

Encuestas para la autoevaluación del Sistema de Control Interno Institucional

Encuestas para la autoevaluación del Sistema de Control Interno Institucional Encuestas para la autoevaluación del Sistema de Control Interno Institucional 2014 Tabla de contenido Metodología para la Autoevaluación del Sistema de Control Interno Institucional 2 Encuesta para la

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

Por tanto, en base a las disposiciones legales antes señaladas, el Consejo Directivo de la Superintendencia de Valores ACUERDA emitir la siguiente:

Por tanto, en base a las disposiciones legales antes señaladas, el Consejo Directivo de la Superintendencia de Valores ACUERDA emitir la siguiente: Considerando: I- Que el artículo 5 de la Ley Orgánica de la Superintendencia de Valores, establece como uno de los deberes de esta Superintendencia, facilitar el desarrollo del mercado de valores, tanto

Más detalles

Normas de Auditoría de Tecnologías de la Información y la Comunicación

Normas de Auditoría de Tecnologías de la Información y la Comunicación Normas de Auditoría de Tecnologías de la Información y la Comunicación Resolución CGE/094/2012 27 de agosto de 2012 NE/CE-017 N O R M A D E C O N T R O L E X T E R N O NORMAS DE AUDITORÍA DE TECNOLOGÍAS

Más detalles

INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO Noviembre de 2014 a febrero de 2015 1. MÓDULO DE CONTROL DE PLANEACIÓN Y GESTIÓN

INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO Noviembre de 2014 a febrero de 2015 1. MÓDULO DE CONTROL DE PLANEACIÓN Y GESTIÓN INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO Noviembre de 2014 a febrero de 2015 En cumplimiento de lo dispuesto en al artículo 9 de la Ley 1474 de 2011, a continuación se presenta el informe del

Más detalles

MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005

MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005 MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005 SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1. INTRODUCCIÓN 1.1 GENERALIDADES Al Presidente de

Más detalles

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000 Espiñeira, Sheldon y Asociados * No. 3-2009 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

PLATAFORMA ERM. [Enterprise Risk Management] Control y Monitoreo en una sola Plataforma ERM. www.girorm.mx

PLATAFORMA ERM. [Enterprise Risk Management] Control y Monitoreo en una sola Plataforma ERM. www.girorm.mx ERM [Enterprise Risk Management] Control y Monitoreo en una sola Plataforma ERM La Plataforma ERM Marco para Gestión de Riesgos Es una aplicación que le permite a las empresas bajo un esquema de trabajo

Más detalles

1 PRINCIPIOS GENERALES DE AUDITORÍA DE SEGURIDAD VIAL. 3 2 PROCEDIMIENTOS DE AUDITORÍA. 7

1 PRINCIPIOS GENERALES DE AUDITORÍA DE SEGURIDAD VIAL. 3 2 PROCEDIMIENTOS DE AUDITORÍA. 7 LINEAMIENTOS GENERALES PARA LA ESTRUCTURACIÓN DE UN DOCUMENTO PARA EL ASEGURAMIENTO DE LA CALIDAD EN LA APLICACIÓN DE LAS AUDITORÍAS DE SEGURIDAD VIAL EN COLOMBIA 1 PRINCIPIOS GENERALES DE AUDITORÍA DE

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993

SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1 SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1. INTRODUCCIÓN 1.1 GENERALIDADES Al Presidente de la República, con sujeción a lo dispuesto en las Leyes 87 de 1993 y 489

Más detalles

Diplomado Gestión de Tecnologías de Información (TI); Incrementa Tu Valor en TI

Diplomado Gestión de Tecnologías de Información (TI); Incrementa Tu Valor en TI Diplomado Gestión de Tecnologías de Información (TI); Incrementa Tu Valor en TI Duración 120 horas Objetivo general: La complejidad de los problemas que enfrenta TI es cada vez mayor. Con demasiada frecuencia,

Más detalles

MAPA DE RIESGO INSTITUCIONAL

MAPA DE RIESGO INSTITUCIONAL MAPA DE RIESGO INSTITUCIONAL SANTOS EDUARDO SUAREZ MONTAÑO 2008-2011 INTRODUCCIÒN La Administración pública introdujo el concepto de administración de riesgo en las entidades del Estado, considerando la

Más detalles

Soluciones Estratégicas e Inteligencia Corporativa

Soluciones Estratégicas e Inteligencia Corporativa Soluciones Estratégicas e Inteligencia Corporativa www.interact.com.br Modelo de Gestión Traducir la Visión de futuro de la organización Dividir estrategias en objetivos, metas e iniciativas operacionales

Más detalles

GESTIÓN DE RIESGOS. Oficina de Planeación 2013

GESTIÓN DE RIESGOS. Oficina de Planeación 2013 GESTIÓN DE RIESGOS Oficina de Planeación 2013 AGENDA 1. QUÉ ES LA GESTIÓN DE RIESGOS? 2. ETAPAS DE LA GESTIÓN DEL RIESGO 3. CLASES DE RIESGOS 4. CATEGORIAS DE RIESGOS 5. CAUSAS Y EFECTOS ASOCIADAS A LOS

Más detalles

METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP

METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP La metodología recomendada en este documento para el desarrollo de un plan de recuperación ante desastres o DRP para los sistemas

Más detalles

MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 1 TABLA DE CONTENIDO 1. OBJETIVO... 3 2. PRESENTACIÓN DE LA EMPRESA... 3 3. ALCANCE... 4 4. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 5 4.1

Más detalles

Análisis de Riesgos Primeros pasos en UTE

Análisis de Riesgos Primeros pasos en UTE Análisis de Riesgos Primeros pasos en UTE Adriana Toscano Fernando Yurisich Diciembre 2005 Agenda Historia. Objetivos. Análisis macro de riesgos. Análisis micro de riesgos. Beneficios. Historia Hasta el

Más detalles

PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B.

PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B. PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B. Agenda de la presentación PLAN DE IMPLEMENTACIÓN SGSI ISO 27001:2013 TFM MISTIC 2014-2015

Más detalles

Herramientas de Software para auditoria

Herramientas de Software para auditoria Herramientas de Software para auditoria Presentado a: Carlos Hernán Gómez Juan David Delgado Ramírez Alexander Cardona Grisales WINAUDIT Instalación El software no necesita instalación Navegación Menú

Más detalles

Estándares de Información Primaria, Secundaria, Sistemas de Información. Estándares de Macroprocesos, Procesos y Procedimientos Diseñados.

Estándares de Información Primaria, Secundaria, Sistemas de Información. Estándares de Macroprocesos, Procesos y Procedimientos Diseñados. GUÍA 43 Diagnóstico Comunicación Institucional Descripción La comunicación Institucional se da al interior de la entidad y se orienta al cumplimiento de los principios de economía, eficiencia y eficacia,

Más detalles

MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DE NEGOCIOS INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL EXTERIOR - ICETEX

MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DE NEGOCIOS INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL EXTERIOR - ICETEX Página: 1 de 123 CONTINUIDAD DE NEGOCIOS INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL EXTERIOR - ICETEX Mayo de 2013 Página: 2 de 123 Contenido 1 INTRODUCCION 4 2 OBJETIVOS 4 2.1

Más detalles

Servicios que ofrece. C O L O M B I A S.A.S International Group of Advising, Audit and Control

Servicios que ofrece. C O L O M B I A S.A.S International Group of Advising, Audit and Control Servicios que ofrece C C O L O M B I A S.A.S International Group of Advising, Audit and Control 1 QUIENES SOMOS Nuestra Misión C-COLOMBIA S.A.S International Group of Advising, Audit and Control Enfoca

Más detalles

establecimiento, implementación, operación, evaluación y mejora de un BCM de acuerdo a la

establecimiento, implementación, operación, evaluación y mejora de un BCM de acuerdo a la Contenido: Objetivos 3 A quién esta Dirigido? Temas del Seminario 4 Instructores 5 Metodología 6 Valor Inversión 6 Nuestros Productos y Servicios Profesionales 7 La Gestión de Continuidad del Negocio (BCM

Más detalles

INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO. En cumplimiento de lo preceptuado en la ley 1474 de 2011, artículo 9.

INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO. En cumplimiento de lo preceptuado en la ley 1474 de 2011, artículo 9. INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO A marzo 31 de 2015 En cumplimiento de lo preceptuado en la ley 1474 de 2011, artículo 9. Dirección de Control Interno (Auditoria Interna) 1 Contenido

Más detalles