Auditoría Basada en Riesgos riesgos crí!cos Auditoría Interna Basadas en Riesgos Crí!cos el primero segundo obje!vo es

Transcripción

1 La Auditoría Basada en Riesgos es una forma de conducir auditorías internas y externas de diferentes!pos (de procesos, de sistemas de información, opera!va, de sistemas de ges!ón o de estados financieros), basando su planeación y desarrollo en los riesgos crí!cos, es decir, los que pudieran causar el mayor impacto nega!vo en la consecución de los obje!vos de la organización (estratégicos, operacionales, de información y cumplimiento), para confirmar si las operaciones y los productos o servicios se ajustan a lo establecido en las reglas del negocio, las buenas y mejores prác!cas de control interno y seguridad y las normas legales aplicables. La Auditoría Interna Basadas en Riesgos Crí!cos evalúa y verifica que los procesos o sistemas auditados sa!sfagan los obje!vos y necesidades de la organización de manera eficaz, eficiente y segura, enfa!zando en que los ac!vos y recursos u!lizados en las operaciones del negocio estén provistos de los controles y seguridades necesarias para reducir los riesgos inherentes a niveles aceptables de riesgo residual. Estas auditorías también revisan la efec!vidad y eficiencia de las operaciones (ac!vidades), verifican la calidad de los productos o servicios y la seguridad de la información (integridad, disponibilidad y confidencialidad) de la empresa y de los clientes. La auditorías internas basadas en riesgos sa!sfacen dos grandes obje!vos: el primero es evaluar la efec!vidad del control interno en los procesos del modelo de operación de la organización, los procesos de TIC y las aplicaciones de computador que soportan el core del negocio, asumiendo que estos funcionan estandarizados en todas las si!os de operación de la empresa, es decir, determinar la capacidad de los controles establecidos para reducir los riesgos potenciales crí!cos a niveles aceptables de riesgo residual; los resultados de esta evaluación son la base para determinar la naturaleza y extensión de las pruebas de auditoría necesarias (de cumplimiento y sustan!vas). El segundo obje!vo es verificar el cumplimiento de los controles para los riesgos crí!cos que presenten efec!vidad Apropiada (pruebas de cumplimiento) y verificar la información que pudiera ser impacta por los eventos de riesgo que presentan debilidades de control (pruebas sustan!vas). Las pruebas se realizan individualmente para una muestra de las áreas organizacionales y terceros que intervengan en el proceso y que requieran pruebas.

2 Este seminario presentará el marco de referencia para planear y desarrollar auditorías internas basadas en riesgos crí!cos, alineadas con las normas de auditoría de aceptación general, las normas para el desarrollo de la auditoria interna según el IIA, las normas de Auditoría de Sistemas promulgadas por ISACA y con estándares internacionales de control interno (COSO, COBIT, MECI), seguridad de TIC, ges!ón de riesgos (ISO y ERM), ges!ón de servicios de Tecnología de Información (ISO 20000), gesón de seguridad de la información (ISO 27001), ITIL y la Ley Sarbanes Oxley. Algunos interrogantes que podrán resolver los par!cipantes en este seminario son: Cómo establecer el universo de riesgos de la empresa que servirán como base para la planeación y desarrollo de las auditorias basadas en riesgos?. Cómo elaborar el plan anual de auditoría interna (procesos del modelo de operación de la empresa, procesos de TIC, Aplicaciones de computador y otros), basándose en los resultados de la valoración de la exposición a riesgos potenciales en el contexto interno y externo de la organización?. Como seleccionar las categorías de riesgo crí!cas por cada auditoría y los eventos de riesgo que serán auditados?. En qué consiste el papel del auditor interno como agente de cambio en la organización?. Cómo iden!ficar, analizar y documentar los eventos de riesgo nega!vos (amenazas) sobre los que enfa!zará la planeación detallada y el desarrollo de cada auditoría?. Cómo evaluar la efec!vidad (eficacia y eficiencia) de los controles internos establecidos para los eventos de riesgo crí!cos?. Cómo diseñar y ejecutar pruebas de auditoria (de cumplimiento y sustan!vas), basándose en los resultados de la evaluación de la efec!vidad del control interno existente para los eventos de riesgo nega!vos (amenazas) revisados por la auditoría? Como elaborar informes eficaces y proac!vos con los resultados de las Auditorías Basadas en Riesgos Crí!cos al Control Interno Existente y de las pruebas de auditoría (de cumplimiento y sustan!vas)? Cómo elaborar y concertar con el auditado el plan de acciones de mejora para atender los hallazgos de la auditoría? OBJETIVOS DEL SEMINARIO Presentar y analizar el marco de referencia para planear y desarrollar Auditorías Internas basadas en riesgos crí!cos, mediante el uso de estándares y procedimientos de auditoría internacionales generalmente aceptados, especialmente los promulgados por el Ins!tuto de Auditores Internos (IIA) y la Asociación de Control y Auditoria de Sistemas de Información (ISACA). Capacitar a los auditores para desempeñarse como AGENTES DE CAMBIO de la cultura de control y seguridad de las organizaciones. Desarrollar habilidades en los par!cipantes para aplicar conceptos claves que conducen a incrementar el valor agregado, la efec!vidad y eficiencia de las Auditorías Internas a los procesos del modelo de operación de la empresa, los procesos de tecnología de información y las aplicaciones de computador.

3 A QUIENES ESTA DIRIGIDO? A funcionarios de las áreas de Auditoría Interna, Auditoría de Sistemas, Control Interno Organizacional, Oficinas de Control Interno en el sector público, Auditores Opera"vos y Auditores de ges"ón y resultados. TEMAS DEL SEMINARIO 1. MARCO DE REFERENCIA PARA LA AUDITORIA INTERNA BASADA EN RIESGOS CRITI- COS 2 horas. Enfoque Proacvo y prevenvo de la Auditoría. El Auditor como Agente de Cambio en las organizaciones. El modelo de Mejoramiento de Procesos aplicado a la Auditoria. Caracteríscas del Enfoque de Auditoria Basada en Riesgos. Etapas de la metodología para desarrollar Auditorías Basadas en Riesgos Crícos. Logísca para el desarrollo de las Auditorias Basadas en Riesgos. 2. PLANEACION ANUAL DE LA AUDITORIA INTERNA, BASADA EN VALORACIÓN DE RIES- GOS - 4 horas. Fundamentos del IIA e ISACA sobre Planeación de la Auditoría basada en valoración de riesgos. Definición del Universo de Riesgos Aplicable a la Empresa. Definición del Universo de trabajos de Auditoría Interna. Diseño y configuración de cues"onarios con factores de riesgo para determinar la exposición a riesgos de los procesos del modelo de operación, según el l contexto interno y externo de la organización. Taller - Valoración de la Exposición a Riesgos del Universo de Auditoría y elaboración del Panorama de riesgos para Planeación de la Auditoría. Elaboración del Plan Anual de Auditoria Interna. 3. METODOLOGÍA PARA EL DESARROLLO DE AUDITORIAS INTERNAS BASADAS EN RIESGOS CRITICOS Parte 1 (6 horas) Pre-auditoría: Planeación detallada y elaboración del plan Programa de trabajo. Entendimiento / Comprensión del contexto interno y externo del proceso o sistema objeto de la auditoria. Elaboración archivo permanente de la auditoría. Iden"ficación, análisis y priorización de los eventos de riesgos inherentes (amenazas) crí"cos que serán revisados por la auditoria Taller: iden"ficación y análisis de eventos de riesgos crí"cos (amenazas) Mapeo de los eventos de riesgo inherentes en el Cubo de Riesgos de la Auditoría. Definición de Obje"vos de Control que debería sa"sfacer el proceso auditado.

4 4. METODOLOGÍA PARA EL DESARROLLO DE AUDITORIAS INTERNAS BASADAS EN RIESGOS CRITICOS Parte 2, Evaluación del Control Interno Existente (4 horas). El Enfoque Proacvo / prevenvo de los controles. Criterios para determinar la eficacia y eficiencia de los controles por cada uno de los eventos de riesgos crí cos (amenazas) objeto de la auditoria. Metodología de Evaluación del diseño y efec vidad de los Controles establecidos para mi gar las amenazas de riesgos crí cos. Taller: Evaluación de la efec vidad de los controles por evento de riesgo inherente (amenaza). Taller: Análisis y documentación de los Hallazgos de Auditoria en la Evaluación del Control Interno. Elaboración de Mapas de Riesgos Residuales, con los resultados de la Evaluación de los controles establecidos y mapeo en las 3 dimensiones del cubo de riesgos de la auditoría (categorías de riesgo, áreas que intervienen en el proceso y por ac vidades del proceso). Elaboración del Informe de Auditoría con los Resultados de la Evaluación del Control Interno 5. METODOLOGÍA PARA EL DESARROLLO DE AUDITORIAS INTERNAS BASADAS EN RIESGOS CRITICOS Parte 3, Pruebas de Cumplimiento (4 horas) Diseño, planeación y ejecución de Pruebas de Cumplimiento para los eventos de riesgo crí cos, basadas en los resultados de la evaluación de controles existentes. Iden ficación de eventos de riesgo crí cos (amenazas) que requieren pruebas de cumplimiento. Selección de Si os de Prueba y Controles / procedimientos a verificar. Selección de Técnicas de Auditoria a Emplear. Elaboración de checklists de controles por si o de prueba (listas de verificación o Guías de Autoaseguramiento CSA). Planeación, Diseño, Aplicación y evaluación de resultados de las Pruebas. Taller: Análisis y documentación de hallazgos de pruebas de Cumplimiento. Taller: Análisis de hallazgos de pruebas de cumplimiento. Informes de Auditoría con los resultados de las Pruebas de Cumplimiento. 6. METODOLOGÍA PARA EL DESARROLLO DE AUDITORIAS INTERNAS BASADAS EN RIESGOS CRITICOS Parte 4, Pruebas Sustantivas (4 horas) Diseño, planeación y ejecución de Pruebas Sustan vas, basadas en los resultados de la evaluación del control interno y las pruebas de cumplimiento. Iden ficación de eventos de riesgo (amenazas) que requieren pruebas sustan vas. Selección de Si os de Prueba y de las Cifras / Datos a verificar. Selección de Técnicas de Auditoria a Emplear. Elaboración de checklists o listas de verificación de la exac tud de la información, por si os de prueba. Planeación, Diseño y Aplicación de las Pruebas. Evaluación y análisis de los Resultados de las Pruebas de Sustan vas Taller: Análisis y documentación de hallazgos de pruebas sustan vas. Informes de Auditoría con los resultados de las Pruebas Sustan vas.

5 Página 5 7. METODOLOGÍA PARA EL DESARROLLO DE AUDITORIAS INTERNAS BASADAS EN RIESGOS CRITICOS Parte 5, Seguimiento a los Hallazgos de la Auditoria (4 horas). Elaboración del plan de Mejoramiento concertado con los auditados. Planeación del Seguimiento al plan de mejoramiento. Ejecución de Seguimientos. Informes con los Resultados del Seguimiento. 8. SOFTWARE DISPONIBLE EN EL MERCADO PARA APOYAR LA PLANEA- CION Y DESARROLLO DE AUDITORIAS BASADAS EN RIESGOS CRITICOS - 2 horas METODOLOGIA Presentación de los temas por parte del conferencista ulizando filminas y ejemplos del mundo real. El desarrollo de los temas se ejecutará paralelamente con la realización de un taller de auditoría basada en riesgos para un proceso de la organización. MATERIAL PARA LOS PARTICIPANTES Se entregará material escrito en medio magnéco con las ayudas ulizadas por los expositores, formatos de papeles de trabajo de la auditoría, enunciados de los talleres y casos de estudio. CERTIFICACIÓN DE ASISTENCIA A los parcipantes que parcipen en el 80% o más de las sesiones del seminario se entregará cerficación de asistencia. REQUISITOS DE CONOCIMIENTOS Y HERRAMIENTAS DE COMPUTADOR Obligatorios: Conocimientos básicos de auditoria, riesgos y controles. Deseables: Disponer de computadores (Sistema operacional Windows) y so!ware de hojas electrónicas para realizar los talleres.

6 INSTRUCTOR Euclides Cubillos M. Gerente de Auditoría / Consultoría de AUDISIS., Ingeniero de Sistemas. MBA- Maestría en Dirección y Administración de Empresas. Título de Posgrado en Auditoría de Sistemas, Cer!ficaciones CISA (Cer!fied Informa!on Systems Auditor), COBIT, Auditor ISO 27001, Auditor Líder de Calidad. Experto en Ges!ón de Riesgos, Seguridad y Auditoría de sistemas. Autor de dos herramientas de so#ware para asis!r las ac!vidades de ges!ón de riesgos y auditoría: CONTROLRISK (Ges!ón integral de riesgos y diseño de controles) y AUDIRISK (Auditoria basada en riesgos para procesos y sistemas de información). 35 años de experiencia profesional. Ex presidente de la Asociación Colombiana de Auditores de Sistemas (ACDAS) y fundador y ex presidente del ISACA Capítulo de Bogotá. Fue fundador y Director de la Especialización en Auditoría de Sistemas de la Universidad Católica de Colombia y catedrá!co en Postgrados de Auditoría Interna, Control Interno, Revisoría Fiscal y Gerencia de Sistemas en las Universidades Nacional de Colombia, Central de Bogotá, Antonio Nariño, El Rosario, Santo Tomás de Aquino (Bucaramanga), Universidad Militar, UNAB, FUNDEMA (Manizales), San!ago de Cali, Libre de Colombia (Bogota y Cali), Jorge Tadeo Lozano y Corporación Universitaria de la Costa (Barranquilla). Autor de varias publicaciones sobre Controles y Auditoría de Sistemas. Ha sido conferencista invitado a las Jornadas de ISACA y al LATINCACS de México. FECHA Y LUGAR FORMA DE PAGO LUGAR: Bogotá, D.C. Si!o Por Confirmar. FECHAS: Marzo 9, 10 y 11 del Sep!embre y 26 del DURACIÓN: 24 Horas. HORARIO: Tres días, en el horario de 8:00 AM a 12:00 MD y de 1:00 PM a 5:00 PM. En cheque a nombre de AUDISIS, Transferencia de fondos a la cuenta corriente número del Banco de Bogotá, Sucursal Galerías. Nota: AUDISIS se reserva el derecho de cancelar el seminario en caso de no completarse el número mínimo de par-!cipantes requerido. El valor de la inscripción incluye memorias del seminario, material de trabajo, almuerzos, refrigerios y cer!ficación de asistencia. VALOR INVERSIÓN POR PARTICIPANTE Pagos antes del Seminario Pagos después del Seminario $ IVA. $ IVA. Descuentos por inscripciones de la misma Empresa Hasta 3 participantes 5% 4 y 5 participantes 7.5% Más de 6 participantes 10% Estudiantes 15%

7 PLAZO PARA ANULAR O CANCELAR INSCRIPCIONES Se acepta anulación de inscripciones por escrito, hasta 4 días hábiles antes de la realización del seminario. Después de esta fecha, únicamente se aceptará el cambio de par!cipantes inscritos. DESARROLLO DEL SEMINARIO PARA SU EMPRESA Ofrecemos la posibilidad de desarrollar el seminario para grupos de funcionarios de su empresa, en sus instalaciones o en el si!o que la empresa seleccione.