SOFTWARE DE AUDITORÍA BASADA EN RIESGOS

Transcripción

1 Versión 2012 SOFTWARE DE AUDITORÍA BASADA EN RIESGOS PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Calle 53 No Oficina 602 Tels.: , Fax: A.A Bogotá, D.C. Colombia audisis@audisis.com web site: AUDISIS: Fundada en 1.988

2 Contenido MODULO 1: PLANEACION ANUAL DE LA AUDITORÍA BASADA EN VALORACIÓN DE RIESGOS MODULO 2: AUDITORÍAS BASADAS EN RIESGOS MODULO 3: SEGUIMIENTO A AUDITORÍAS NO REALIZADAS CON AUDIRISK MODULO 4: GESTION DE LA AUDITORÍA MODULO 5: SEGURIDAD Y ADMINISTRACION DE AUDIRISK A QUIENES SIRVE LA METODOLOGIA Y EL SOFTWARE AUDIRISK? ELEMENTOS QUE RECIBE EL USUARIO DE AUDIRISK SERVICIOS DE SOPORTE TÉCNICO Y ACTUALIZACION REQUERIMIENTOS DE HARDWARE Y SOFTWARE PARA INSTALAR EL SOFTWARE AUDIRISK PERFIL DEL PROVEEDOR DE AUDIRISK EMPRESAS QUE UTILIZAN AUDIRISK

3 AUDIRISK AudiRisk es un software en tecnología WEB para desarrollar Auditorías Basadas en Riesgos y efectuar Seguimiento a los hallazgos de auditorías efectuadas por terceros. Consta de cuatro (4) módulos: a) Planeación Anual de la Auditoría, basada en valoración de la exposición a riesgos en los procesos y sistemas de la empresa; b) Desarrollo de Auditorías de procesos y sistemas, basadas en riesgos críticos; c) Gestión de la Auditoría; y d) Seguimiento a Auditorías Efectuadas por Terceros. Puede ser accedido vía web, en una red interna o en computadores stand alone. AudiRisk estandariza el desarrollo de las auditorías de la empresa en una sola aplicación y una única base de datos con los papeles de trabajo de todas las auditorías, alienadas con las normas y procedimientos de auditoría generalmente aceptados y con estándares nacionales e internacionales de administración de riesgos y control interno (ISO 31000, ISO 27001, COSO ERM, ITIL, COBIT y MECI). Como punto de partida y apoyo para los auditores, AudiRisk provee una base de datos de conocimientos con mejores prácticas de clases de riesgos (por ejemplo, fraude interno, fallas tecnológicas, etc.), amenazas, vulnerabilidades, agentes generadores de riesgo, controles y objetivos de control entre otras, listas para ser utilizadas en cualquier auditoría. Figura 1: Módulos del software AUDIRISK 3

4 Para el desarrollo de las auditorías de cada proceso o sistema, AUDIRISK provee las siguientes funcionalidades: a) Planeación detallada de la auditoría; b) comprensión del proceso; c) identificación, evaluación y priorización de riesgos potenciales (amenazas); d) evaluación de la efectividad de los controles establecidos para las amenazas críticas; e) pruebas de cumplimiento para las amenazas que tienen controles apropiados; f) pruebas sustantivas para cifras que pudieran ser impactadas por las debilidades de control; y f) seguimiento a los hallazgos de la auditoría. Además, el software AudiRisk provee ayudas de supervisión (TO DOs) y genera cuestionarios, checklist y cuatro tipos de informes con los resultados auditoría. Los reportes del software son presentados con gráficas comparativas y colores según los niveles de riesgos inherentes y residuales. Por cada proceso o sistema objeto de auditoría, AudiRisk construye un Cubo de Riesgos Críticos como base para ejecutar la auditoría. El cubo incluye el mapeo de las amenazas en: a) las actividades del proceso (escenarios de riesgo); b) las áreas organizacionales y terceros que intervienen en el proceso; y c) las categorías o clases de riesgos críticos. La suma de los cubos de riesgo de los procesos auditados es una aproximación a la auditoria del cubo de Control Interno de ERM (Enterprise Risk Management). 4

5 MODULO 1: PLANEACION ANUAL DE LA AUDITORÍA BASADA EN VALORACIÓN DE RIESGOS. Este módulo del software asiste la elaboración planes de trabajo anual para las auditorías internas y externas, de acuerdo con el nivel de exposición a riesgos. Para las Auditorías Internas y de Sistemas satisface las exigencias de los estándares de auditoría del Instituto de Auditores de los Estados Unidos (IIA) e ISACA (la asociación de Control y Auditoría de Sistemas de Información), los cuales establecen que el plan anual de la auditoría debe realizarse con un enfoque basado en valoración de riesgos. PLANEACION ANUAL AUDIORIAS EXTERNAS. Para entidades de control del Estado (Contraloría y Superintendencias) y Firmas de Auditoria. AUDIRISK ofrece funcionalidades para elaborar el plan anual de auditoría basado en valoración de riesgos y controlar su ejecución a través de los siguientes pasos: 1. Priorizar por su nivel de exposición a riesgos, las empresas candidatas a ser auditadas en los diferentes grupos de sectores (comercial, industrial, servicios, financiero y otros). 2. Identificar las categorías de riesgo críticas dentro de cada una de las empresas candidatas a ser auditadas. 5

6 3. Elaborar la programación de visitas de las empresas candidatas a ser auditadas a realizar durante el año, de acuerdo con las prioridades asignadas por sector o por clases de riesgo. 4. Efectuar seguimiento al plan anual de la auditoría / Evaluar la gestión de la auditoría de acuerdo al cumplimiento del plan anual. 5. Generar reportes de planeación, seguimiento y control del plan anual de auditoría 6

7 Por cada grupo de Sectores, el software ofrece funcionalidades para diseñar y procesar cuestionarios con factores de riesgo, estimar las necesidades de seguridad de cada una de las empresas candidatas a ser auditadas y estimar la exposición a las clases o categorías de riesgo del modelo adoptado por la Empresa auditora (SARO, SARLAFT, AUDIRISK o combinación de las anteriores). Como resultado, por cada factor, el software produce la matriz de planeación anual de la auditoría con dos alternativas para decidir las actividades a auditar: a) por el nivel de exposición a riesgos de las empresas candidatas a ser auditadas, y b) por el nivel de exposición a cada una de las clases o categorías de riesgo. Figura 1: Priorización de Empresas candidatas para el Plan Anual de Auditoría Una vez se ha respondido los cuestionarios de factores de riesgo, AUDIRISK realiza la priorización de las empresas candidatas y de las categorías de riesgo para la entidad auditoras, como se muestra en la figura 2. 7

8 Después de priorizar las empresas candidatas a ser auditadas, el software ofrece funcionalidades para elaborar la programación anual de las auditorías, generar cronogramas y efectuar el seguimiento a la ejecución de las auditorías programadas. PLANEACION ANUAL AUDIORIAS INTERNAS. AUDIRISK ofrece funcionalidades para elaborar el plan anual de auditoría basado en valoración de riesgos y controlar su ejecución, a través de los siguientes pasos: 1) Priorizar por su nivel de exposición a riesgos, las actividades candidatas a ser auditadas en los diferentes grupos de trabajos de auditoría (procesos del modelo de operación de la empresa, procesos de tecnología de información, aplicaciones de computador, seguimientos a auditorías y otros). 2) Identificar las categorías de riesgo críticas dentro de cada trabajo candidato a ser auditado. 3) Elaborar la programación de auditorías a realizar durante el año, de acuerdo con las prioridades asignadas por tipos de actividades o por clases de riesgo. 8

9 4) Efectuar seguimiento al plan anual de la auditoría / Evaluar la gestión de la auditoría de acuerdo al cumplimiento del plan anual. 5) Generar reportes de planeación, seguimiento y control del plan anual de auditoría 9

10 Por cada grupo de trabajos de auditoría, el software ofrece funcionalidades para diseñar y procesar cuestionarios con factores de riesgo, estimar las necesidades de seguridad de cada una de las actividades candidatas a ser auditadas y estimar la exposición a las clases o categorías de riesgo del modelo adoptado por la Empresa (SARO, SARLAFT, AUDIRISK o combinación de las anteriores). Como resultado, por cada grupo de trabajos, el software produce la matriz de planeación anual de la auditoría con dos alternativas para decidir las actividades a auditar: a) por el nivel de exposición a riesgos de las actividades candidatas a ser auditadas, y b) por el nivel de exposición a cada una de las clases o categorías de riesgo. Figura 2: Priorización de procesos para el Plan Anual de Auditoría Una vez se ha respondido los cuestionarios de factores de riesgo, AUDIRISK realiza la priorización de las actividades candidatas y de las categorías de riesgo para la entidad, como se muestra en la figura 2. 10

11 Después de priorizar las actividades candidatas a ser auditadas, el software ofrece funcionalidades para elaborar la programación anual de las auditorías, generar cronogramas y efectuar el seguimiento a la ejecución de las auditorías programadas. MODULO 2: AUDITORÍAS BASADAS EN RIESGOS. AUDIRISK ofrece funcionalidades para ejecutar auditorías basadas en riesgos a procesos y sistemas de información. Por cada auditoría, el software ofrece funcionalidades con procedimientos, guías y formatos para desarrollar las (4) cuatro fases del proceso de auditoría: 1) Planeación, 2) Ejecución, 3) Comunicación de resultados y 4) Seguimiento. La figura 3, ilustra el enfoque de las auditorías realizadas con AUDIRISK. Figura 3: Las 4 Fases de la Auditoría FUNCIONALIDADES DE AUDIRISK PARA EL DESARROLLO DE LAS AUDITORÍAS BASADAS EN RIESGOS. Por cada auditoría, el software AUDIRISK ofrece funcionalidades para aplicar procedimientos de auditoría de aceptación general, organizadas en nueve (9) etapas que se muestran en la figura 4. 11

12 Figura 4: Etapas del proceso de Auditoría FASE I: PLANEACION DE LA AUDITORÍA BASADA EN RIESGOS En esta fase de la auditoría comprende la ejecución de las cuatro primeras etapas de la metodología que se muestran la figura 4. Etapa 1: Pre-auditoría Figura 5: Opciones Menu Etapa 1- Preauditoría 1. AUDIRISK asiste la elaboración del memorando de planeación de la auditoría, el programa de trabajo y la definición de los recursos requeridos de tiempo, personal y financieros. Las figuras 5 y 6 muestran las ayudas ofrecidas por el software. Figura 6: Memorando de Planeación de la Auditoría 2. AUDIRISK asiste al Auditor en la definición del cronograma para el desarrollo de la auditoría (general y por auditor), conformacion del equipo de trabajo y la asignación de otros recursos requeridos. 12

13 Figura 7: Asignación de Recursos para la Auditoría 3. Papeles de Trabajo y TODOS (figura 8). Al final de cada etapa, AUDIRISK muestra la lista de Papeles de Trabajo (los archivos corrientes que se pueden listar, imprimirlos e importarlos a formato PDF para que sean entregados a los entes reguladores que lo requieran) y muestra el reporte de los TODOS (Notas del Auditor realizadas durante la supervisión del desarrollo) ingresados durante el desarrollo de la etapa. 4. Estado Avance de la Auditoría (figura 7). Al final de cada etapa, AUDIRISK muestra información gráfica y numérica con el comparativo entre los tiempos planeado realmente gastado, por etapa y por auditor. De igual manera compara los acumulados de tiempos requerido y gastado hasta la última etapa ejecutada. 13

14 Figura 8: Control avance de la Auditoría Etapa 1 Etapa 2: Comprensión del Proceso o Sistema sujeto a auditoría. Por cada tipo de trabajos de auditoría (procesos del modelo de operación de la empresa, procesos de tecnología de información, aplicaciones de computador y otros), el software presenta funcionalidades para asistir la obtención y registro en papeles de trabajo, de la información necesaria para comprender las características y el ambiente administrativo, operativo y técnico del proceso o sistema sujeto a auditoría (figura 9). Figura 9: Menú principal de la Etapa 2 5. Por cada tipo de trabajos de auditoría el software presenta funcionalidades para asistir la elaboración del archivo permanente o expediente continuo de la auditoría, ingresar los datos de caracterización y los datos sensitivos que maneja el proceso o sistema sujeto a auditoría. 14

15 6. Caracterización. Para organizar la información que describe al proceso, sistema o actividad sujeta a auditoría, AUDIRISK ofrece formatos y listas de datos para ingresar los objetivos que satisface en la organización, actividades que comprende, entradas, salidas y otros datos importantes, como se muestra en la figura 10. Figura 10: Caracterización del proceso o sistema Etapa 3: Identificación, Priorización y Evaluación de Riesgos Potenciales. En esta etapa el software ofrece funcionalidades para identificar, priorizar, documentar y medir los riesgos inherentes al proceso o sistema sujeto a auditoría. Para este fin, el software ofrece la posibilidad de utilizar las clases o categorías de eventos de riesgo 1 consideradas por los modelos SARO, SARLAFT, MECI y AUDIRISK o una combinación de los anteriores. Las clases de riesgo aplicables al proceso o sistema sujeto a auditoría se priorizan, para seleccionar las que pueden causar el mayor impacto financiero y operacional a la organización. Estas se denominan categorías de riesgo críticas. Para priorizarlas se aplican los principios de Pareto y del Poder del 3. 1 Clases o Categorías de Eventos de Riesgo: Son nombres genéricos bajo los cuales se agrupan las amenazas o eventos accidentales o intencionales que pueden originar daños o pérdidas a la organización Por ejemplo, bajo la denominación de FRAUDE INTERNO se incluyen entre otras, las siguientes amenazas: suplantación electrónica de usuarios, omitir registro de transacciones de ingreso. 15

16 Figura 11: Pasos de la Etapa 3 - Identificar y evaluar riesgos potenciales 7. La figura 12, muestra la ayuda que ofrece el software para aplicar la técnica Delphy en la priorización de las clases de riesgo según su impacto y seleccionar las tres (3) más importantes. Figura 12: Priorización de las categorías de riesgo aplicables 8. Por cada una de las clases de riesgo críticas, AUDIRISK ayuda a identificar y documentar las amenazas 2 que podrían originarse en el desarrollo de la operación del proceso o sistema sujeto a auditoría. Como apoyo para identificar las amenazas, AUDIRISK ofrece una lista de más de una centena de amenazas típicas aplicables a procesos del modelo de operación y tecnología de información en la mayoría de las organizaciones. 2 Amenaza: corresponde al concepto de eventos de riesgo negativos, considerado por el componente identificación de eventos del modelo COSO ERM. Equivale al concepto de riesgo utilizado por los estándares ISO 31000, AS/NZ 4360 y el MECI. Se refiere a cualquier evento accidental o intencional que en caso de presentarse genera daños o pérdidas a la organización. Una categoría de Riesgo agrupa a varias amenazas. 16

17 9. Por cada amenaza, AUDIRISK ofrece funcionalidades para documentar los siguientes elementos del riesgo: activos impactados; agentes generadores de riesgo (factores de riesgo), vulnerabilidades, frecuencia de ocurrencia, rango de valor de las pérdidas estimadas por ocurrencia, actividades en las que puede originarse, Dependencias de la empresa y de terceros en donde puede generarse. Los valores de medición cualitativa del riesgo inherente utilizada por AUDIRISK se muestran a continuación en la figura 13. Riesgo Inherente 1: Bajo (Tolerable) 2: Moderado 3: Alto (Importante) 4: Extremo (Inaceptable) Significado El riesgo es TOLERABLE para la organización, es decir, su ocurrencia puede causar pérdidas no significativas. Estos riesgos pueden aceptarse (asumirse) o tratarse con acciones de control para reducirlo (disminuir probabilidad de ocurrencia o su impacto). El riesgo es MODERADO para la organización. Su ocurrencia podría causar pérdidas de alguna consideración. Requiere acciones de respuesta para reducirlo. El riesgo es SIGNIFICATIVO para la organización, requiere de acciones de respuesta para la reducirlo y transferirlo. Su ocurrencia podría causar pérdidas severas a la organización. El riesgo es INACEPTABLE o CATASTROFICO para la organización, es decir, en caso de ocurrir sus consecuencias desestabilizarían a la entidad. Requiere de acciones de respuesta para evitarlo o reducirlo y transferirlo. Figura 13: Escala de medición del Riesgo Inherente 10. AUDIRISK presenta formatos y ayudas para evaluar (medir) la exposición al riesgo inherente por cada amenaza. Para este fin utiliza métodos cualitativos y ofrece dos alternativas: El estándar AS-NZ 4360 y un método basado en el Principio de Pareto. La figura 14 muestra la imagen de la evaluación de amenazas antes de controles, que realiza el software AUDIRISK. 17

18 Figura 14: Evaluación de Amenazas antes de controles, por Área Organizacional Etapa 4: Definición del Cubo de Riesgos de la Auditoría (figura 15) En esta etapa AUDIRISK ofrece funcionalidades para elaborar el cubo de riesgos de la auditoría, seleccionar objetivos de control aplicables y relacionar estos objetivos con las amenazas o eventos de riesgo identificados para el proceso o sistema sujeto a auditoría. En la figura 15 se muestran los pasos que deben ejecutarse en esta etapa. Figura 15: Definición del Cubo de Riesgos de la Auditoría 11. Para elaborar el Cubo de Riesgos de la Auditoría AUDIRISK utiliza tres variables: a) las actividades del proceso (subprocesos o escenarios de riesgo); b) las dependencias o áreas organizacionales de la empresa y terceros que intervienen en el manejo del proceso y c) las categorías o clases de riesgos críticos del proceso. 18

19 Figura 16: Matriz de Escenarios Vs. Areas Organizacionales 11. AUDIRISK genera tres matrices de riesgo (desdoblamiento del cubo) en las que muestran las amenazas que pueden presentarse en los escenarios de riesgo y las áreas organizacionales que intervienen en el proceso o sistema sujeto a auditoría. Estas matrices definen el contexto de riesgos para cada auditoría. 12. AUDIRISK ofrece funcionalidades para asignar objetivos de control aplicables a los escenarios de riesgo y relacionarlos con las amenazas del proceso o sistema objeto de la auditoría. FASE II: EJECUCION Y COMUNICACIÓN DE RESULTADOS DE LA AUDITORÍA Etapa 5: Evaluar el Sistema de Control Interno Existente En esta etapa AUDIRISK ayuda a identificar y documentar los controles establecidos en el proceso o sistema bajo auditoría y evaluar su efectividad para mitigar las amenazas, es decir, genera mediciones de la protección que ofrecen y del riesgo después de controles (riesgo residual). Esta evaluación se realiza asumiendo que los controles establecidos en el proceso o sistema, son estándares que se aplican en todos los puntos de operación de la empresa, es decir, en todas las oficinas, localizaciones y regionales. Los pasos que se ejecutan en esta etapa se muestran en la figura

20 Figura 17: Pasos de la Etapa 5, Evaluación del sistema de Control Interno 13. Identificar Controles Establecidos en la Organización. El software asiste al Auditor en la construcción de cuestionarios de control con las best paractices universales de control que deberían utilizarse para mitigar las amenazas o eventos de riesgo del proceso o sistema sujeto a auditoría. El cuestionario se construye a la medida de las necesidades de la empresa según el criterio del auditor y se utiliza como herramienta para identificar los controles establecidos, en entrevistas con los responsables del proceso o sistema. 15. Evaluación de la Efectividad de los Controles Existentes. AUDIRISK aplica tres criterios para evaluar la efectividad (eficacia + eficiencia) de los controles existentes por cada amenaza de riesgo: a) Que se utilice al menos una vez los tres anillos o niveles de control (preventivo, detectivo y correctivo); b) Que el nivel de automatización de los controles sea representativo y c) que el costo / beneficio de los controles se aceptable. Con base en las respuestas del cuestionario, AUDIRISK mide la efectividad de la protección existente (EPE) y el riesgo residual (RR) por cada amenaza, escenario de riesgo (subproceso), área organizacional y categoría de riesgo, como se muestra en la Figura 18. Figura 18: Criterios de Evaluación de Efectividad de los Controles por Amenaza 20

21 16. Con los resultados de la evaluación del control interno existente, AUDIRISK genera semáforos de Situación Actual de Protección Existente (figura 19), localizando en colores amarillo, naranja y rojo las amenazas que tienen protección mejorable, insuficiente, deficiente y muy deficiente. El color verde representa las amenazas que tienen protección apropiada. Estos semáforos se generan por categorías de riesgo, actividades del proceso (escenarios de riesgo) y áreas organizacionales. Figura 19: Situación actual de protección existente por Escenario de Riesgo 16. Análisis de Hallazgos e Informe de Auditoría con los resultados de la Evaluación del Control Interno (figura 20). AUDIRISK ofrece funcionalidades y ayudas para analizar las deficiencias y debilidades de control interno identificadas y generar el informe de auditoría con los resultados de la evaluación de control interno existente (texto y gráficos). 21

22 Figura 20: Desarrollo de Hallazgos de Control Interno 17. AUDIRISK genera el informe de la auditoría con los resultados de la evaluación de control interno existente, el análisis detallado de los controles y del riesgo residual, con acciones de mejoramiento que contribuyen a incrementar el valor agregado y el posicionamiento de la auditoría en la organización. En la figura 21 se visualiza la pantalla de cómo el software genera el informe detallado con los resultados de la evaluación del control interno existente. Figura 21: Informe de Auditoría con los resultados de la Evaluación del Control Interno Existente 22

23 Etapa 6: Pruebas de Cumplimiento El software AUDIRISK ofrece funcionalidades para diseñar, planear y asistir la ejecución de pruebas de cumplimiento a los controles claves de una muestra de amenazas de riesgo y dependencias o áreas organizacionales que intervienen en el proceso o sistema sujeto a auditoría. La figura 22 muestra el menú del software para realizar las pruebas de cumplimiento. Figura 22: Menú Etapa 6 - Pruebas de Cumplimiento 18. AUDIRISK ofrece ayudas y criterios para seleccionar los controles clave que serán verificados, las técnicas de prueba a emplear y los sitios de prueba. La figura 23 muestra la pantalla de selección de los controles a verificar. Figura 23: Selección de controles a verificar 23

24 19. Generación y procesamiento de listas de Comprobación. Con los controles seleccionados, AUDIRISK genera checklist de controles por sitios de prueba y ofrece funcionalidades para ingresar y procesar las respuestas. Como resultado, el software mide porcentualmente el cumplimiento de los controles establecidos por cada amenaza y los compara contra la protección existente obtenida en la evaluación del control interno (etapa 5); la figura 24 muestra estos resultados. Figura 24: Resultados de pruebas de cumplimiento por Dependencias 20. Análisis de Hallazgos y Generación de informes de Auditoría con los resultados de las Pruebas de Cumplimiento. Para las respuestas del checklist, diferentes de SIEMPRE, el software ofrece formatos y ayudas para registrar y analizar los hallazgos de la auditoría y el informe de auditoría con los resultados de estas pruebas. En la figura 25 se muestra el formulario que ofrece el software para analizar los hallazgos de las pruebas de cumplimiento y generar el correspondiente informe de auditoría. 24

25 Figura 25: Desarrollo de los Hallazgos de Pruebas de Cumplimiento AUDIRISK genera el informe de la auditoría con los resultados de las pruebas de cumplimiento realizadas, el análisis detallado de los controles y del riesgo residual, con acciones de mejoramiento que contribuyen a incrementar el valor agregado y el posicionamiento de la auditoría en la organización. Etapa 7: Pruebas Sustantivas (pruebas a la exactitud de la información) AUDIRISK ofrece funcionalidades para diseñar y planear la ejecución de pruebas sustantivas en sitios de prueba que corresponden a las dependencias o áreas organizacionales que se seleccionaron para realizar las pruebas de cumplimiento en la etapa anterior (etapa 6). La figura 26, muestra el menú de opciones para realizar pruebas sustantivas. Figura 26: Etapa 7 Pruebas sustantivas 21. El software AUDIRISK ayuda a seleccionar los datos que podrían ser impactados por las amenazas que presentaron protección diferente de Apropiada y Mejorable en la evaluación de control interno o que las pruebas 25

26 de cumplimiento el porcentaje (%) de cumplimiento de controles quedó por debajo del 80%. La figura 27, muestra el formato de pantalla para seleccionar las cifras sobre los que se realizan pruebas sustantivas. Figura 27: Identificación de Cifras Críticas a Verificar 22. Por cada uno de los datos seleccionados para pruebas sustantivas, AUDIRISK ofrece formatos y ayudas para asignar técnicas de verificación a emplear, elaborar el plan y programar su ejecución en los sitios de prueba. 23. Ingreso y procesamiento de los resultados de las pruebas. Por cada sitio de prueba, el software ofrece ayudas para ingresar y analizar los resultados de las pruebas efectuadas, como se muestra en la figura

27 Figura 28: Ingreso de resultados a los datos 24. Análisis de Hallazgos y Generación de informes de Auditoría con los resultados de las Pruebas Sustantivas. El software presenta un formato similar al descrito en evaluación del control interno y las pruebas de cumplimiento, para registrar y analizar los hallazgos o no conformidades identificadas y generar el correspondiente informe de auditoría. 25. Evaluación de Satisfacción de Criterios de Información de Negocios. El software ofrece funcionalidades para evaluar la satisfacción de los siete (7) criterios COBIT que debe cumplir la información de negocios generada por el proceso o sistema auditado, figura

28 Figura 28: Funcionalidades para evaluar satisfacción de los 7 criterios COBIT FASE IV: SEGUIMIENTO AL INFORME CON LOS RESULTADOS DE LA AUDITORÍA. Etapa 8: Seguimiento del Informe de la Auditoría El software ofrece funcionalidades para planear, ejecutar, analizar e informar los resultados del seguimiento a los hallazgos y recomendaciones de la auditoría, utilizando el menú de la figura

29 Figura 29: Menú de la Etapa 9: Seguimiento 27. Planeación del Seguimiento. El software ofrece ayudas para planear el seguimiento a los hallazgos y recomendaciones incluidas en el informe con los resultados de la auditoría. Por cada recomendación se define prioridad, responsable de implantar las acciones de mejoramiento, fechas de compromiso y fechas de seguimiento. Incluye opciones para generar recordatorios por correo electrónico dirigidos a los auditados (figura 30). Figura 30: Planeación del seguimiento a recomendaciones 28. Ejecución y Resultados del Seguimiento. El software asiste el ingreso de los resultados del seguimiento y la generación de reportes con los resultados del seguimiento efectuado por la auditoría, como los que se muestran en las figura 31. Figura 31: Estado de Atención de las recomendaciones de la auditoría 29

30 MODULO 3: SEGUIMIENTO A AUDITORÍAS NO REALIZADAS CON AUDIRISK. AUDIRISK ofrece funcionalidades para realizar seguimiento a los planes de mejoramiento institucional e informes de auditorías internas y externas no realizadas con AUDIRISK. Para este fin, el software ofrece opciones para mantenimiento de las entidades auditoras, ingresar hallazgos y recomendaciones de los informes de auditoría, planear y ejecutar los seguimientos. Las opciones de este módulo se muestran en las figura 32 y 33. Figura 32: Ambiente de trabajo para seguimientos a Auditorías no realizadas con AUDIRISK. AUDIRISK ofrece formatos y opciones para ingresar hallazgos, recomendaciones y metas por recomendación, planear seguimiento, generar recordatorios y producir informes del seguimiento, como se muestra en el menú de la figura 33. Figura 33: Menú para realizar seguimiento a auditorías no realizadas con AUDIRISK 30

31 AUDIRISK genera estadísticas del estado de las acciones de mejora de acuerdo al estado de implantación de las mismas, como se muestra en la figura 34. Estas estadísticas también se pueden producir por áreas organizacionales encargadas de la ejecución de la acción de mejora. Figura 34: Estadísticas de recomendaciones por estado de auditorías no realizadas con AUDIRISK MODULO 4: GESTION DE LA AUDITORÍA Este módulo genera informes y gráficos sobre los trabajos de auditoría desarrolladas con AUDIRISK durante un periodo de tiempo, utilizando el módulo de Auditorias Basadas en Riesgos. El software ofrece funcionalidades para generar entre otros los siguientes informes de Gestión: Estadísticas de las recomendaciones de auditoria generadas en el periodo, por auditorías y por dependencias. 31

32 Figura 35: Estadísticas de hallazgos y recomendaciones por entidad Estado de Implementación de las recomendaciones de auditoría, por tipos de auditoria. Figura 36: Estadísticas de recomendaciones y sus estados por Auditoría 32

33 MODULO 5: SEGURIDAD Y ADMINISTRACION DE AUDIRISK Este módulo ofrece todas las funcionalidades necesarias para administrar los usuarios con derechos de acceso a los diferentes módulos de AUDIRISK. Figura 37: Menú principal del Módulo de Seguridad La opción Administrar Usuarios permite adicionar, modificar y retirar usuarios y establecer el perfil y los privilegios de acceso de cada uno. Figura 3: Mantenimiento de Usuarios del Módulo de Seguridad 33

34 A QUIENES AUDIRISK? SIRVE LA METODOLOGIA Y EL SOFTWARE El software AUDIRISK está diseñado para apoyar el trabajo diferentes grupos de auditores que tienen la responsabilidad de evaluar y verificar el funcionamiento, las operaciones, eficacia, eficiencia y confiabilidad de los procesos y sistemas de las empresas: Auditores Internos. Auditores Externos. Auditores de Sistemas Auditores Operativos Auditores Financieros Revisores Fiscales Oficinas de Control Interno Organizacional ELEMENTOS QUE RECIBE EL USUARIO DE AUDIRISK. Por cada licencia monousuario o en red, el usuario de AUDIRISK recibe los siguientes elementos: Un CD-ROM que contiene: El software ejecutable AUDIRISK El manual del Usuario. Las bases de datos de conocimientos estándar Dos ejemplos de auditorías realizadas en AUDIRISK Una dispositivo de hardware key - llave de seguridad de acceso al software. La licencia de uso de la metodología por tiempo indefinido. SERVICIOS DE SOPORTE TÉCNICO Y ACTUALIZACION. AUDISIS, ofrece el servicio anual de soporte técnico, mantenimiento y actualización, el cual incluye soporte telefónico o vía internet al usuario para resolver inquietudes relacionadas con la operación y funcionamiento de la metodología AUDIRISK. Los desarrolladores de AUDIRISK se encuentran en constante interacción con los usuarios, generando nuevas versiones que pueden ser suministradas a los usuarios vía Internet en su página o suministradas en formato CD ROM directamente. El contrato anual de soporte técnico y actualización incluye: Soporte técnico ofrecido por funcionarios de AUDISIS especializados en AUDIRISK. 34

35 Derecho a recibir actualizaciones sin costo adicional, con las nuevas versiones de la metodología cada vez que se produzcan. Por el primer año, contado desde la fecha de compra, el contrato de soporte técnico no tiene costo para el usuario de AUDIRISK. REQUERIMIENTOS DE HARDWARE Y SOFTWARE INSTALAR EL SOFTWARE AUDIRISK. PARA Versión Web. Motor de Bases de Datos: SQL Server versión 2005 y posteriores. Herramienta de Desarrollo: Visual Studio. Idioma español en pantallas y manuales. Sistema Operativo: Windows 2000, XP, NT, Vista, Windows 7. Excepto las versiones home. Memoria RAM: 1 GB. Capacidad de Disco: 20 GB. Internet Explorer PERFIL DEL PROVEEDOR DE AUDIRISK. AUDISIS LTDA, Auditoría Integral y Seguridad de Sistemas de Información Ltda., es una firma de Auditores Consultores Gerenciales, especializada en Seguridad y Auditoría de Sistemas de Información, constituida legalmente el 23 de Septiembre de 1.988, Mediante escritura pública No de la Notaría 4 del círculo de Bogotá, con registro vigente en la Cámara de Comercio de Bogotá bajo el número de matrícula La misión de AUDISIS es ofrecer servicios profesionales especializados y herramientas de productividad y de soporte administrativo, en los campos de administración integral de riesgos, seguridad y auditoría de sistemas de información, desarrollo de software de auditoría, control interno organizacional y auditorías financiera, operativa y de gestión. EMPRESAS QUE UTILIZAN AUDIRISK En Bogotá Plastilene S.A Lafayette S.A. Auditoría Interna. AUDIRISK

36 Comisión Nacional de TV Oficina de Control Interno. AVESCO Kokorico. Contraloría Interna. ARMADA NACIONAL. Oficina de Control Nóminas. Financiera Andina - FINANDINA S.A. Revisoría Fiscal. Grupo Casa Toro. Revisoría Fiscal. Corporación Universitaria Republicana Universidad la Gran Colombia. CARACOL T.V. Gerencia de Contraloría y Auditoría Interna. COMPENSAR. Caja de Compensación Familiar. Auditoría General CONSEJO SUPERIOR DE LA JUDICATURA. Unidad de Auditoría. INSTITUTO NACIONAL DE VIAS INVIAS. Coordinación Área de Desarrollo Informático... CONTRALORIA GENERAL DE LA REPUBLICA. Dirección De Control Interno. OCENSA. Oleoducto Central de Colombia. Dirección de Auditoría Interna. FINAGRO. Dirección de Control de Gestión. Corporación Financiera Colombiana. Auditoría Interna. Fiduciaria la Previsora S.A. Oficina de Control Interno. Colombian Consulting Group. Firma de Auditoría Externa. Ministerio de Hacienda y Crédito Público. Oficina de Control Interno Banco Popular. Contraloría Secretaría de Hacienda de Bogotá. Oficina de Control Interno Superintendencia De Notariado Y Registro. Oficina de Control Interno. Universidad Católica De Colombia. Facultad de Ingeniería de Sistemas... Universidad Jorge Tadeo Lozano. Auditoría de Sistemas AUDIRISK

37 En Ibagué CorUniversitaria. Facultad de Contaduría Publica Comfenalco Tolima Auditoría Interna En Bucaramanga Universidad Santo Tomás de Bucaramanga. Carrera de Contaduría Pública. ESSA. Empresa Electrificadora de Santander S.A. oficina de Control Interno. FMMB. Fundación Mundial de la Mujer. Auditoría Interna En Manizales Comfamiliares Caldas. Auditoría General. Nexia Montes y Asociados. Firma de Auditoría Externa En Pasto. Centrales Eléctricas De Nariño. Oficina de Control Interno. En Cali Universidad Autónoma. Dirección de Sistemas. En Barranquilla. Monómeros Colombo Venezolanos. Auditoría Interna. En República Dominicana Banco Central Auditoría Interna En Costa Rica Cervecería de Costa Rica. Contraloría. En Guatemala Superintendencia de Bancos (Guatemala) En Bolivia AUDIRISK

38 Banco Santacruz Bolivia- Auditoría En Honduras Banco Centroamericano de Integración Económica (BCIE). Tegucigalpa. Contraloría y Auditoría Interna. AUDIRISK