Presentación AUDIRISK 2012 [Modo de compatibilidad] · AUDIRISK 2011: Software de Auditoria Basada...
Transcript of Presentación AUDIRISK 2012 [Modo de compatibilidad] · AUDIRISK 2011: Software de Auditoria Basada...
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 1
AUDIRISKSoftware de Auditoría Basada en
Riesgos para Procesos y Sistemas de Información.
Versión 2.012
AUDIRISKSoftware de Auditoría Basada en
Riesgos para Procesos y Sistemas de Información.
Versión 2.012
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 2
ContenidoContenido
Características Generales y Técnicas deAUDIRISKMódulo 1: Planeación Anual de la AuditoríaBasada en Valoración de Riesgos.Módulo 2: Desarrollo de Auditorías Basadas enRiesgos.Módulo 3: Informes de Gestión de la Auditoría.Módulo 4: Seguimiento de Hallazgos deAuditorías Efectuadas por Terceros.Módulo 5: Administración de UsuariosBeneficios de Utilizar AUDIRISK.Usuarios del software AUDIRISK,
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 3
¿Qué es AUDIRISK ?¿Qué es AUDIRISK ?
El software AUDIRISK es una aplicación Web para:
Planeación Anual de las Auditorías, basándose en la“Valoración de riesgos potenciales de los procesos ysistemas de la organización”.Desarrollar las Auditorías con enfoque “Basadas enRiesgos Críticos“ que podrían presentarse en lasoperaciones auditadas.Evaluar la Gestión de la Auditoría y,Efectuar seguimiento a los planes de mejoramientoinstitucional que surgen de auditorías internas y externasrealizadas por terceros en la organización.
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 4
¿Qué es AUDIRISK ?¿Qué es AUDIRISK ?
El software AUDIRISK es una aplicación Web pararealizar "Auditorías Basadas en Riesgos", a:
Procesos del modelo de operación de la Empresa(estratégicos, misionales, de apoyo y de evaluación),Procesos de tecnología de información (modelos COBIT, ITILe ISO 27001),La Infraestructura de Tecnología de Información.Sistemas de Información Automatizados (Aplicaciones deComputador en desarrollo o en producción o módulos deERPs) y,
AUDIRISK 2011: Software de Auditoria Basada en Riesgos para Procesos y Sistemas de Información 5
Qué significa Basada en Riesgos ?Qué significa Basada en Riesgos ?
Las Auditorías se planean y desarrollan para revisar procedimientos,controles e información relacionada con los riesgosriesgos inherentesinherentes críticoscríticos(E: Extremo; A: Alto, M: Moderado) de los procesos del modelo deoperación de la empresa, los procesos de TI o las aplicaciones decomputador.El examen de la Auditoría tiene un enfoque más “proactivo y preventivo”, que“reactivo o a posteriori”.La revisión de la auditoría considera siete (7) elementos del riesgo:activos impactados, amenazas (eventos negativos), vulnerabilidades,agentes generadores, exposición, consecuencias y controlesestablecidos.
El software AUDIRISKEl software AUDIRISK
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 6
Los 7 Elementos del Riesgo2. Amenazas
Explotan
4. Vulnerabilidades
Que resultan en ?
5. Exposiciones
Que es ?6. Riesgo
Que es mitigado por ?
7. Salvaguardas(Controles)
Que protegen ?
Que son dañados por ?
1. Activos
3. AgentesGeneradores
Medición del Riesgo Inherente - Estándares ISO 31000 - AS/ NZ 4360 - NTC 5254
Medición del Riesgo Inherente - Estándares ISO 31000 - AS/ NZ 4360 - NTC 5254
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información
Evaluación de la Exposición a Riesgos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles 8
Mapa de Riesgos Inherentes- Estándares ISO 31000 y AS/ NZ 4360 (NTC 5254)
Mapa de Riesgos Inherentes- Estándares ISO 31000 y AS/ NZ 4360 (NTC 5254)
Niveles de Riesgo
(Inherente o Residual )
Consecuencias en caso de Presentarse
1: BajoLa ocurrencia del evento (amenaza) tendría consecuencias leves, tolerables por laorganización. Se puede gestionar mediante procedimiento de rutina. En caso depresentarse no desestabiliza a la organización.
2: ModeradoEn caso de presentarse ocasionaría consecuencias que superan el nivel de toleranciade la organización. Requiere atención de la Gerencia. Debe ser gestionado concontroles para disminuir su impacto o la frecuencia de ocurrencia.
3: AltoEn caso de presentarse ocasionaría consecuencias financieras y operacionales deimpacto severo o significativo para la organización. Es necesaria la atención inmediatade la Gerencia. Debe gestionarse con acciones para transferir el riesgo a terceros,dispersar el riesgo y reducir su impacto o la frecuencia de ocurrencia.
4: ExtremoSu ocurrencia ocasionaría consecuencias financieras y operacionales de impactocatastrófico para la organización. Es necesaria la atención inmediata de la Gerencia.Debe gestionarse con mecanismos para evitar su ocurrencia o transferir el riesgo aterceros, dispersar el riesgo y reducir su impacto o la frecuencia de ocurrencia.
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 9
Auditoría Basada en Riesgos Críticos
Auditoría Basada en Riesgos Críticos
Riesgo Potencial (Inherente): Riesgo asociado con lanaturaleza de los procesos u operaciones de negocio. En suestimación no se tienen en cuenta los controles establecidos.Punto de partida de la Auditoría: Su identificación yevaluación son el punto de referencia para evaluar laefectividad de los controles establecidos y diseñar las pruebasde auditoría.
Riesgo Residual: Riesgo no protegido por los controlesestablecidos.Punto de llegada de la Auditoría: su medición es el punto dereferencia para identificar los hallazgos y diseñar lasrecomendaciones de la auditoria.
Considera Dos (2) Estados de los Riesgos
Ries
go In
here
nte 4: Extremo Bajo Moderado. Alto. Extremo Extremo
3: Alto Bajo Moderado. Alto. Alto. Alto.
2: Moderado Bajo Moderado. Moderado. Moderado. Moderado.
1: Bajo Bajo Bajo Bajo Bajo Bajo
1: Apropiada 2: Mejorable 3: Insuficiente 4: Deficiente 5: Muy
Deficiente
Efectividad de los Controles (Protección Existente)
Medición de Riesgos Residuales, después de evaluar y verificar los Controles Establecidos - MODELO "AUDISIS“
Auditoría Basada en Riesgos Críticos
Auditoría Basada en Riesgos Críticos
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información
Evaluación Efectividad de los Controles
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles 11
Evaluación del Control InternoEvaluación del Control Interno
Efectividad de los Controles
Significado de la Efectividad de los Controles Establecidos por cada Amenaza (riesgo potencial)
1: ApropiadaLos controles establecidos son efectivos (eficaces y eficientes) para reducir losriesgos potenciales a nivel aceptable o tolerable de riesgo residual.Satisfacen los 3 anillos de seguridad y el nivel de automatización es aceptableo el costo beneficio es razonable.
2: MejorableLos controles satisfacen los 3 anillos de seguridad (preventivo, detectivo ycorrectivo), pero no son eficientes o tienen bajo nivel de automatización
3:Insuficiente
Los controles utilizados no satisfacen los tres anillos de seguridad. Senecesitan controles adicionales.
4: DeficienteLos controles utilizados no satisfacen los tres anillos de seguridad y no soneficientes o tienen bajo nivel de automatización. Se necesitan controlesadicionales
5: MuyDeficiente
No existen controles o los que se utilizan no sirven para controlar los riesgospotenciales.
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 12
Estándares que utiliza AUDIRISK
Estándares que utiliza AUDIRISK
AUDIRISKAUDIRISK estáestá alineadoalineado yy eses compatiblecompatible conconestándaresestándares internacionalesinternacionales yy nacionalesnacionales vigentesvigentes dedeauditoría,auditoría, gestióngestión dede riesgos,riesgos, controlcontrol internointerno yyseguridadseguridad..
Normas de Auditoría de Aceptación General – IIA e ISACA. Modelos de Control Interno COSO ERM, COBIT Y MECI. Normas ISO 27002, ISO 27001, ISO 9126, ISO 12207. Normas ISO 9001, ISO 14000 e ISO 18000. Modelos de Gestión de Riesgos ISO 31000, SARO,
SARLAFT, MECI, AUDIRISK. Circulares Externas 052 de 2007, 014 de 2009 y 038 de 2009
de la SFC y CE 023 de 2010 de la SSF.
UtilizaUtiliza modelosmodelos conocidosconocidos dede “clases“clases oo categoríascategoríasdede riesgo”,riesgo”, comocomo basebase parapara planearplanear yy desarrollardesarrollarlaslas AuditoríasAuditorías.. Sistema de Administración de Riesgo Operativo- SARO . Sistema de Administración de Riesgos de Lavado de Activos y
Financiación del Terrorismo - SARLAFT. MECI (Modelo Estándar de Control Interno para las Entidades
del Estado Colombiano). Riesgos en el Sector Salud - Res 1740 de 2008 MPS AUDIRISK Otros Modelos
El Software AUDIRISK
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información
Clases de Eventos Clases de Eventos de Riesgo Operativode Riesgo OperativoSAROSARO
1. Fraude Interno.2. Fraude Externo.3. Fallas en la Atención a los Clientes.4. Daños a Activos Físicos.5. Fallas en Relaciones Laborales.6. Fallas Tecnológicas.7. Errores en Administración y
Ejecución de Procesos.
Clases de RiesgosDe LA / FTSARLAFT
1. Riesgo Reputacional.2. Riesgo Legal.3. Riesgo Operativo.4. Riesgo de Contagio
Modelos de Clases o Categorías de Riesgo
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información
Clases de Riesgo Modelo MECI: 1. Estratégico2. Operativo3. Financiero.
4. De cumplimiento.5. De Tecnología.
1. Hurto / Fraude.2. Sanciones Legales3. Pérdida de Credibilidad
Pública4. Desventaja Competitiva.5. Costos Excesivos
6. Pérdida de Ingresos.7. Daño / Destrucción de
Activos8. Decisiones Erróneas
Clases de Riesgo Modelo AUDIRISK
Modelos de Clases o Categorías de Riesgo
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información
Administración de Riesgos en Salud: 1. De concentración de riesgos y hechos catastróficos.2 De incrementos inesperados en los índices de Morbilidad y
de costos de atención.3. De cambios permanentes en las condiciones de salud o
cambios tecnológicos.4. De Insuficiencia de reservas técnicas.5. De comportamiento.
Administración de Riesgo Operativo• Riesgo Operativo• Riesgo Legal y Regulatorio.• Riesgo Reputacional
Riesgos en el Sector Salud - Res 1740 de 2008 MPS
Modelos de Clases o Categorías de Riesgo
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información
Administración de Riesgos Generales del Negocio1. Riesgo Estratégico.2. Riesgo de Crédito.3. Riesgo de Mercado.4. Riesgo de Liquidez.
Otros Requerimientos • Planes de continuidad del negocio.• Registro de Eventos de Riesgo Ocurridos
Riesgos en el Sector Salud - Res 1740 de 2008 PMS
Modelos de Clases o Categorías de Riesgo
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información
Clasificación de los Riesgos Financieros
Riesgo de Mercado. Riesgo de Crédito. Riesgo de Liquidez. Riesgo Legal. Riesgo Operativo. Riesgo de Reputación.
Modelos de Clases o Categorías de Riesgo
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 19
Provee y genera Bases de Conocimientos quecontienen “best practices” universales sobre clases deriesgos, amenazas, objetivos de control, controles, ytécnicas de auditoría.
1. Base de Conocimientos Estándar suministrada por AUDISIS, conBest Practices Universales. Punto de partida para poblar base deempresa.
2. Base de Conocimientos de Empresa: Best practices de baseestándar, incrementadas con las practicas especificas de la Empresa,identificadas en las auditorías realizadas con AUDIRISK.
3. Base de Conocimientos de Trabajo con los resultados de cadaauditoría.
El software AUDIRISK
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 20
Suministrada por AUDISIS
Bases de Conocimiento Estándar
AUDIRISK
• Categorías Riesgos: SARO,SARLAFT, MECI, AUDIRISK.
• Amenazas de Riesgo
* Controles
* Escenarios de riesgo: de TI,aplicaciones y a la medida
* Técnicas de auditoria.
* Objetivos de Control
• Modelos de evaluación deriesgos y Controles
Best Practices sobre
* Riesgos – Amenazas de Riesgo
* Amenazas de Riesgo - Controles
• Escenarios - Objetivos de Control
Articulaciones entre
Base de Conocimientos Estándar
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 21
Bases de Conocimientos con Resultados de las Auditorias
Base de la Empresa- Antes de la Auditoria
Proceso de Negocio
Base de Datos de la Empresaincrementada con Riesgos,Amenazas, Controles,técnicas de auditoria y otraspracticas utilizadas.
BC de la Empresa
Base de Trabajo
Cubo de Riesgos para la Auditoria
Guías de Control personalizadas
Evaluación de Controles Existentes.
Diseño de Pruebas deCumplimiento y Sustantivas.
Hallazgos de Auditoría
Informe de la Auditoría
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 22
Otras CaracterísticasOtras Características Lo que no se mide, no se puede administrar /
Controlar. Mide la Efectividad del Control Interno existente, por
Amenazas, categorías de riesgo, actividades, áreasorganizacionales y objetivos de control.
Mide el % de Cumplimiento de los Controles Establecidos,por amenazas, categorías de riesgo, actividades, áreasorganizacionales.
Mide el % de Confiabilidad de las Cifras verificadas(Pruebas Sustantivas), por amenazas, categorías deriesgo, actividades, áreas organizacionales .
Otras CaracterísticasOtras Características Lo que no se mide, no se puede administrar /
Controlar. Mide la Efectividad del Control Interno existente, por
Amenazas, categorías de riesgo, actividades, áreasorganizacionales y objetivos de control.
Mide el % de Cumplimiento de los Controles Establecidos,por amenazas, categorías de riesgo, actividades, áreasorganizacionales.
Mide el % de Confiabilidad de las Cifras verificadas(Pruebas Sustantivas), por amenazas, categorías deriesgo, actividades, áreas organizacionales .
El software AUDIRISKEl software AUDIRISKEl software AUDIRISKEl software AUDIRISK
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 23
Otras CaracterísticasOtras Características Ayuda a elaborar cuestionarios de factores de
riesgo, controles internos y listas de comprobación. Factores de riesgo para evaluar exposición a riesgos por tipo de
auditoria. Guías para identificar controles que “deberían existir” para mitigar
las amenazas de riesgo. Listas de comprobación de controles para efectuar pruebas de
cumplimiento, para amenazas de riesgo con controles queofrecen protección apropiada..
Listas de comprobación de la exactitud de la información paraefectuar pruebas sustantivas a datos impactados por amenazasde riesgo con debilidades de control.
Listas de criterios para evaluar la satisfacción de las siete (7)características de las información de negocios.
Otras CaracterísticasOtras Características Ayuda a elaborar cuestionarios de factores de
riesgo, controles internos y listas de comprobación. Factores de riesgo para evaluar exposición a riesgos por tipo de
auditoria. Guías para identificar controles que “deberían existir” para mitigar
las amenazas de riesgo. Listas de comprobación de controles para efectuar pruebas de
cumplimiento, para amenazas de riesgo con controles queofrecen protección apropiada..
Listas de comprobación de la exactitud de la información paraefectuar pruebas sustantivas a datos impactados por amenazasde riesgo con debilidades de control.
Listas de criterios para evaluar la satisfacción de las siete (7)características de las información de negocios.
El software AUDIRISKEl software AUDIRISKEl software AUDIRISKEl software AUDIRISK
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 24
Otras CaracterísticasOtras Características Es una aplicación WEB que se puede instalar en la Nube (Cloud
Computing) Produce Papeles de Trabajo en formato electrónico Ofrece ayudas de Supervisión de los Auditores (TO DOs o
pendientes por hacer) Por cada auditoria genera 5 tipos informes de Auditoria:
Evaluación de control interno, pruebas de cumplimiento,pruebas sustantivas, satisfacción de las siete (7) característicasde la información de negocios y del seguimiento a los hallazgosde auditoría.
Software Multicompañías. Deja Rastros de las actividades ejecutadas por los Auditores.
Otras CaracterísticasOtras Características Es una aplicación WEB que se puede instalar en la Nube (Cloud
Computing) Produce Papeles de Trabajo en formato electrónico Ofrece ayudas de Supervisión de los Auditores (TO DOs o
pendientes por hacer) Por cada auditoria genera 5 tipos informes de Auditoria:
Evaluación de control interno, pruebas de cumplimiento,pruebas sustantivas, satisfacción de las siete (7) característicasde la información de negocios y del seguimiento a los hallazgosde auditoría.
Software Multicompañías. Deja Rastros de las actividades ejecutadas por los Auditores.
El software AUDIRISKEl software AUDIRISKEl software AUDIRISKEl software AUDIRISK
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 25
Satisface necesidades de diferentes Satisface necesidades de diferentes modalidades de Auditoría.modalidades de Auditoría. Auditores de Sistemas. Auditores Operativos. Auditores de Procesos. Auditorías Integrales. Revisores Fiscales.
Satisface necesidades de diferentes Satisface necesidades de diferentes modalidades de Auditoría.modalidades de Auditoría. Auditores de Sistemas. Auditores Operativos. Auditores de Procesos. Auditorías Integrales. Revisores Fiscales.
El software AUDIRISKEl software AUDIRISKEl software AUDIRISKEl software AUDIRISK
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 26
Módulos de AUDIRISK Módulos de AUDIRISK El software AUDIRISK consta de 5 módulos:
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 27
Módulos Componentes del SoftwareMódulos Componentes del Software
El software AUDIRISKEl software AUDIRISK
1. Planeación Anual de la Auditoría Basada enValoración de Riesgos.
2. Desarrollo de Auditorías Basadas en Riesgos.3. Informes de Gestión de la Auditoría.4. Seguimiento a Hallazgos y recomendaciones de
auditorías efectuadas por terceros.5. Administración de Usuarios.
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 28
Especificaciones Técnicas para ejecutar el Software AUDIRISK
Especificaciones Técnicas para ejecutar el Software AUDIRISK
• Motores de Bases de datos: SQL Server y Oracle.• Sistema Operacional: Windows Server 2003 y 2005,
Windows XP, NT, Vista y 7. Excepto las versionesHome.
• Memoria RAM: 2GB en servidor.• Disco Duro: 8 GB• Internet Explorer 6.0 o superiores• Llave de autenticación (Hardware Key): Puerto USB.
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 29
PorPor lala compracompra deldel SoftwareSoftware
Manual del Usuario del Software (E-book) Software ejecutable (CD) Bases de datos de conocimientos estándar. Licencia de uso por tiempo indefinido. Una Llave de control de acceso físico -
Hardware Key. Derecho a recibir soporte técnico y actualizaciones
del software y la metodología durante un año.
Productos que recibe el Productos que recibe el Usuario de AUDIRISKUsuario de AUDIRISK
Productos que recibe el Productos que recibe el Usuario de AUDIRISKUsuario de AUDIRISK
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 30
Módulo 1:Módulo 1:Planeación Anual de la Auditoría, Basada Planeación Anual de la Auditoría, Basada
en Valoración de Riesgosen Valoración de Riesgos
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 31
Planeación Anual de las AuditoríasPlaneación Anual de las AuditoríasPlaneación Anual de las AuditoríasPlaneación Anual de las Auditorías
De acuerdo con Pronunciamientos del Instituto de Auditores Internosde USA (IIA) y de la Asociación de Control y Auditoría de Sistemas deInformación (ISACA).
Para Auditorías Internas. Elabora y controla ejecución del Plan Anualde Auditoria, según su nivel de exposición a riesgos. Provee Cuestionarios con Factores de Riesgo, por tipos de auditoría
(Procesos de negocio, procesos de TI, infraestructura de TI y aplicacionesde computador).
Estima la Exposición a Riegos de los trabajos de auditoría, por Categoríasde Riesgo y por tipos de auditoría.
Prioriza los trabajos de auditoria por tipos de auditoria. Elaborar cronograma anual de la auditoria . Permite realizar seguimiento al plan
DesarrollaDesarrolla elel enfoqueenfoque dede PlaneaciónPlaneación AnualAnual dede lalaAuditoríaAuditoría BasadaBasada enen ValoraciónValoración dede RiesgosRiesgos..
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 32
Planeación Anual de las AuditoríasPlaneación Anual de las AuditoríasPlaneación Anual de las AuditoríasPlaneación Anual de las Auditorías
Para Auditorías Externas y Organismos de Control delEstado Elabora y controla el plan anual de auditoria por sector y
empresas, según su nivel de exposición a riesgos :
Provee Cuestionarios con Factores de Riesgo, por sectores Estima Exposición a Riesgos de las Empresas dentro de
cada sector, por empresa y categorías de riesgo. Elaborar cronograma anual de la auditoria por Sector. Define trabajos a realizar por empresa
Permite hacer seguimiento al Plan Anual
DesarrollaDesarrolla elel enfoqueenfoque dede PlaneaciónPlaneación AnualAnual dede lalaAuditoríaAuditoría BasadaBasada enen ValoraciónValoración dede RiesgosRiesgos..
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 33
Planeación Anual de la Auditoría Basada en Valoración de Riesgos
Ofrece funcionalidades para elaborar el plan anual de auditoría ycontrolar su ejecución, a través de los siguientes pasos:
1. Por cada tipo de auditoría (revisiones), permite priorizar lostrabajos candidatos a ser auditados, de acuerdo con el nivel deExposición a Riesgos :Tipos de Auditorías A Procesos del modelo de operación de la empresa. A Procesos de tecnología de información, A Aplicaciones de computador, Seguimientos a auditorías efectuadas por terceros Otros tipos de revisiones.
Planeación Anual de la Auditoría Interna.
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 34
Módulo 1: Planeación Anual de la Auditoría Basada en Riesgos
Ofrece funcionalidades para elaborar el plan anual de auditoría ycontrolar su ejecución, a través de los siguientes pasos:
2. Por cada tipo de auditoría (revisiones), permite generarpanoramas de riesgo a nivel Corporativo:
Por Tipos de Auditorías Panorama por Categorías de Riesgo. Panorama de Riesgos en los procesos del modelo de operación de
la empresa. Panorama de Riesgos en los procesos de tecnología de información, Panorama de Riesgos en las Aplicaciones de computador,
Planeación Anual de la Auditoría Interna.
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 35
Módulo 1: Planeación Anual de la Módulo 1: Planeación Anual de la Auditoría Basada en Riesgos Auditoría Basada en Riesgos
Ofrece funcionalidades para elaborar el plan anual de auditoría ycontrolar su ejecución, a través de los siguientes pasos:
3. Elaborar la programación de auditorías a realizar durante el año,de acuerdo con las prioridades asignadas por tipos de actividadeso por clases de riesgo.
4. Efectuar seguimiento al plan anual de la auditoria / Evaluar lagestión de la auditoria de acuerdo al cumplimiento del plan anual.
5. Generar reportes de planeación, seguimiento y control del plananual de auditoria
Planeación Anual de la Auditoría Interna.
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 36
Módulo 1: Planeación Anual de la Módulo 1: Planeación Anual de la Auditoría Basada en Riesgos Auditoría Basada en Riesgos
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 37
Módulo 2:Módulo 2:Desarrollo de Auditorías Basadas en Desarrollo de Auditorías Basadas en
Riesgos a procesos y sistemas de Riesgos a procesos y sistemas de informacióninformación
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 38
Desarrollo de Auditorías Basadas Desarrollo de Auditorías Basadas en Riesgos en Riesgos
1. A procesos del Modelo de Operación de laEmpresa (estratégicos, misionales y de apoyo).
2. A procesos de Tecnología de Información (COBIT,ITIL, ISO 27001).
3. A actividades clave de la InfraestructuraInformática de la Empresa.
4. A sistemas de información automatizados(Aplicaciones de Computador ó módulos deERPs).
Tipos de Auditorías que soporta AUDIRISK
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 39
Desarrollo de AuditoríasDesarrollo de AuditoríasBasadas en Riesgos Basadas en Riesgos
• Pre-auditoría
• Comprensión
• Identificación y Evaluación
de Riesgos
• Mapa de Riesgos
• Evaluar Control Interno
• Pruebas de Cumplimiento
• Pruebas Sustantivas
• Evaluar Satisfacción de criterios
de información de negocios
Seguimiento a Hallazgos y
Recomendaciones
Planeación
Ejecución
Informe
• Informe Preliminar de la Auditoría
• Informe Definitivo
Auditoría a Procesos y Sistemas:
PLANEACIÓN
Procesos NegocioProcesos TI
Aplicaciones Computador
SGSI
Base Conc. de Empresa:•Categorías de Riesgo,•Amenazas,•Controles,•Objetivos de Control.•Vulnerabilidades•Activos
EJECUCIÓN
COMUNICACIÓN RESULTADOSSEGUIMIENTO
DESARROLLO DE EAUDITORÍAS BASADAS EN RIESGOS
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 41
Preauditoria
Comprensión
Cubo de la Auditoria
Id., y Medición de Riesgos
12
3
4Memorando Planeación
Caracterización
Riesgos Inherentes
Críticos
Contexto de Riesgos de la
AuditoriaArchivo
PermanentePrograma de
Trabajo
Mapas de Riesgos Pot.
Fases y Etapas de las Auditorías con AUDIRISKFases y Etapas de las Auditorías con AUDIRISKFASE 1: PLANEACIÓN BASADA EN RIESGOS
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 42
Evaluar Controles Establecidos Pruebas de
Cumplimiento
Informe de la Auditoria
Pruebas Sustantivas
56
7
8Medir
Protección Existente
Hallazgos de Auditoria
A Exactitud Datos Claves
SeguimientoA Controles ClavesMedir / evaluar
Riesgo Residual
Hallazgos de Auditoria
Hallazgos de Auditoria
Fases y Etapas de las Auditorías con AUDIRISKFases y Etapas de las Auditorías con AUDIRISKFASES 2 Y 3 : EJECUCION E INFORME DE LA AUDITORIA
Informe de AuditoríaInforme de Auditoría
Informes de Auditoría
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 43
ElEl SoftwareSoftware AUDIRISKAUDIRISK ayudaayuda aa definirdefinir objetivosobjetivos yy alcancealcancedede lala auditoría,auditoría, estimarestimar yy asignarasignar loslos recursosrecursos requeridosrequeridos..
Memorando de Planeación. Objetivos y alcance de la auditoría. Tiempo Asignado a la auditoria (Horas por etapa). Asignar Auditores.
Cronogramas por auditor y por etapa de la metodología. Costos estimados de personal y otros conceptos. Papeles de Trabajo de la Etapa Estado avance de la Auditoría (Hrs planeadas vs Hrs reales) Programa de Trabajo
Etapa 1: Pre- auditoria
Desarrollo de AuditoríasDesarrollo de AuditoríasBasadas en Riesgos Basadas en Riesgos
44
Caracterización del proceso o sistema. Archivo permanente o expediente continuo de la
auditoría Datos Críticos para la Auditoria. Componentes de Soporte tecnológico utilizados Papeles de Trabajo de la etapa Estado de Avance de la Auditoria (hasta esta etapa)
Etapa 2: Comprensión del Proceso Objeto dela Auditoría.
Desarrollo de AuditoríasDesarrollo de AuditoríasBasadas en Riesgos Basadas en Riesgos
El software ofrece ayudas para comprender y documentar:
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información
45
Etapa 3: Identificar, documentar, priorizar yMedir Riesgos Potenciales.
Esta etapa tiene como propósito identificar y valorar losriesgos inherentes (potenciales ) sobre los queenfatizará el trabajo de la auditoria.
Riesgos Inherentes: Eventos perjudiciales que podríanpresentarse, de acuerdo con la naturaleza del negocio(servicio) y la forma como se llevan a cabo las operacionesdel proceso o sistema objeto de auditoria
Desarrollo de AuditoríasDesarrollo de AuditoríasBasadas en Riesgos Basadas en Riesgos
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 46
Relación entre Clases de Riesgo y AmenazasCosto ó Valor de las Pérdidas
Originadas por Eventos no deseables denominados Riesgos / Amenazas
• Sanciones Legales• Pérdida de Ingresos• Costos Excesivos • Pérdida de Credibilidad Pública• Desventaja ante laCompetencia
• Daño - Destrucción deActivos
• Decisiones Erróneas• Fraude - Robo
Agentes Generadores de Amenazas.
• Personas, Fallas de los Equipos ( Energía, Aire Acondicionado), Actos mal intencionados, Desastres Naturales o provocados
RIESGO
CLASES DE RIESGOS
UNIDAD MINIMA DE ANALISIS
AMB
* Frecuencia (Probabilidad) de Ocurrencia
* Impacto ( Estimación de las Pérdidas por cada ocurrencia)
AMENAZAS DE RIESGO(Eventos que generan las Clases de Riesgo) Vulnerabilidades – Debilidades de seguridad
SAROSAROSARLAFTSARLAFTMECIMECIAUDIRISKAUDIRISK
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 47
Los 7 Elementos del Riesgo2. Amenazas
Explotan
4. Vulnerabilidades
Que resultan en ?
5. Exposiciones
Que es ?6. Riesgo
Que es mitigado por ?
7. Salvaguardas(Controles)
Que protegen ?
Que son dañados por ?
1. Activos
3. AgentesGeneradores
Medición del Riesgo Inherente - Estándares ISO 31000 - AS/ NZ 4360 - NTC 5254
Medición del Riesgo Inherente - Estándares ISO 31000 - AS/ NZ 4360 - NTC 5254
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información
49
Alternativas de Manejo de Riesgos
5: Casi Cierto Zona de Riesgo
Moderada. 5 puntos. Mitigar
Zona de riesgo Alta.10 puntos . Mitigar, transferir, distribuir
Zona de Riesgo Extremo 15 puntos. Evitar,
transferir, mitigar
Zona de Riesgo Extremo 20 puntos. Evitar,
Mitigar, tranferir
Zona de Riesgo Extremo 25 puntos. Evitar,
Prevenir, Transferir
4: Probable Zona de Riesgo
Moderada. 4 puntos. Mitigar
Zona de riesgo Alta.8 puntos . Prevenir,
transferir
Zona de riesgo Alta.12 puntos .
Prevenir, transferir
Zona de Riesgo Extremo 16 Puntos. Evitar,
Mitigar, tranferir
Zona de Riesgo Extremo 20 puntos. Evitar
Mitigar, Transferir
3: Posible Zona de Riesgo Baja.
3 puntos. Aceptar, mitigar el
Riesgo
Zona de Riesgo Moderada. 6 puntos.
Mitigar
Zona de riesgo Alta.9 puntos . Prevenir,
transferir
Zona de Riesgo Extremo 12 Puntos. Evitar,
Mitigar, tranferir
Zona de Riesgo Extremo 15 puntos. Evitar,
Mitigar, transferir
2: Poco Probable
Zona de Riesgo Baja. 2 puntos.
Aceptar el Riesgo
Zona de Riesgo Baja. 4 puntos.
Aceptar, mitigar el Riesgo
Zona de Riesgo Moderada. 4 puntos.
Mitigar
Zona de riesgo Alta.8 puntos . Prevenir,
transferir
Zona de Riesgo Extremo 10 puntos. Evitar ,
Mitigar, transferir
1: Raro Zona de Riesgo Baja.
1 puntos. Aceptar el Riesgo
Zona de Riesgo Baja. 2 puntos.
Aceptar el Riesgo
Zona de Riesgo Moderada. 3 puntos.
Mitigar
Zona de riesgo Alta.4 puntos . Prevenir,
transferir
Zona de riesgo Alta.5 puntos . Prevenir,
transferir
1: Insignificante 2: Menor 3: Moderado 4: Severo 5: Catastrófico
Matriz de Respuesta a Riesgos
Impacto
PROBABILIDAD
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información
Semáforos de Riesgo Inherente – Estándar MECI
PORB
ABI
LID
AD
(F
recu
enci
a) 3: Alta M: Moderado A: Alto
E: Extremo (Inaceptable)
2: ModeradaBajo (Tolerable)
M: ModeradoAlto
B: baja Bajo (Tolerable) Bajo (Tolerable) M: Moderado
5: Leve 10: Moderado 20: Catastrófico
Homologado a Estándares AS/NZ 4360e ISO 31000
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información
51
Etapa 3: Entregables de la evaluación de RiesgosInherentes.
Priorización de las categorías de riesgo aplicables. Identificación de clases o categorías de riesgo críticas. Identificación y documentación de amenazas por categoría de riesgo
crítica. Evaluación del riesgo inherente por amenazas de riesgo. Mapas de Riesgo Inherente por categoría de riesgo, actividad del
proceso y áreas organizacionales. Definición de acciones de respuesta a riesgos requeridas para
administrar los riesgos. Perfiles de riesgo por categoría de riesgo, escenarios de riesgo y área
organizacional.
Desarrollo de AuditoríasDesarrollo de AuditoríasBasadas en Riesgos Basadas en Riesgos
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 52
Las evaluaciones (mediciones) del riesgo inherente,protección existente y riesgo residual, se realizan para los 3componentes del Cubo de la Auditoría de cada proceso osistema sujeto a auditoría:
Las Categorías de Riesgo Críticas identificadas para elproceso o sistema sujeto a auditoría.
Las actividades ó subprocesos que constituyen o componenel proceso o sistema sujeto a auditoría.
Las Areas Organizacionales (dependencias ) y terceros queintervienen en el manejo del proceso o sistema sujeto aauditoría.
Desarrollo de AuditoríasDesarrollo de AuditoríasBasadas en Riesgos Basadas en Riesgos
Etapa 4: El Cubo de Riesgos de la Auditoría.
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 53
Recursos Humanos
Sistemas
Contabilidad
Escenarios de Riesgo(Actividades)
Ingr
eso
deD
atos
Act
ualiz
ació
n B
ase
de D
ato
Rep
orte
s de
A
ctua
lizac
ión
Amenazas de Riesgo
Cos
tos
Exce
sivo
s
Frau
de
Sanc
ione
s Le
gale
s
Cubo de la Auditoria del Proceso o Sistema de Información
Cubo de la Auditoria del Proceso o Sistema de Información
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 54
La evaluación se hace de manera “Centralizada” para todo elproceso o sistema que se está auditando, por escenarios de riesgo.
Evalúa la Efectividad de los Controles por amenaza, utilizadosen el proceso o sistema para reducir los riesgos inherentes aniveles aceptables de riesgo residual:
Por cada actividad del proceso (escenario de riesgo). Por Areas organizacionales que intervienen en las operaciones del
proceso. Por Categoría de Riesgo Crítica. Por Actividades del proceso y objetivos de Control.
Genera mapas de Riesgo Residual, reportes y gráficos de barras.
Desarrollo de AuditoríasDesarrollo de AuditoríasBasadas en Riesgos Basadas en Riesgos
Etapa 5: Evaluación del Control Interno Existente
Criterios para evaluar Efectividad de losControles Establecidos en el proceso osistema.
Efectividad de los Controles. Eficacia de los Controles Aplicar Enfoque de los 3 niveles o anillos de control. Grado de Discrecionalidad y Automatización de los
Controles. Eficiencia de los Controles: Costo / Beneficio.
Desarrollo de AuditoríasDesarrollo de AuditoríasBasadas en Riesgos Basadas en Riesgos
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 56
Enfoque de las Tres Anillos (Barreras o Niveles) de Control para Amenazas contra la
Seguridad
Enfoque de las Tres Anillos (Barreras o Niveles) de Control para Amenazas contra la
SeguridadAMENAZAS DE
RIESGO
BARRERA
DETECTIVA
A1
A2
A3
BARRERA PREVENTIVA
BARRERA
CORRECTIVA
ORGANIZACIÓN
INSTALA-
CIONESA2
A3
A3
PERSONAS
HW - SW
FINANCIEROS
DATOS
FEEDBACK
Los tres (3) Anillos de Seguridad.
Los controles actúan sobre las amenazas de riesgo detres maneras, interdependientes: Como control Preventivo. Condicionan los actos de la organización
para asegurar que ocurran de manera preestablecida – Sonestándares de actuación.
Como control Detectivo. Para detectar, registrar e informar laocurrencia de la amenaza (son alarmas que se disparan cuando sedetecta que está presentándose la amenaza). Refuerzan y validanel control preventivo. Hacen pareja con el control preventivo
Como control Correctivo. Obligan a tomar acción correctiva pararesolver el problema detectado por los controles detectivos. Hacenpareja con los controles detectivos.
Evaluación del Control Interno Existente
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 58
El enfoque de los 3 Anillos de Seguridad
El enfoque de los 3 Anillos de Seguridad
Clases de Controles CalificaciónAutomáticos no discrecionales (Clase A). Los
controles son automatizados y se aplican sin excepciones a
todo el universo.
5.0 puntos
Automáticos discrecionales (Clase B). Los controles
son automáticos y aplican solo a una parte del Universo.
4.5 puntos
Manuales no discrecionales(Clase C). Los controles
son manuales y se aplican sin excepciones a todo el universo.
4.0 puntos
Manuales discrecionales(Clase D). Los controles son
manuales y aplican solo a una parte del Universo.
3.5 puntos
Grado de Automatización / Discrecionalidad de los Controles
Criterio de Aceptación:La calificación promedio de los controles por clase, por cada amenaza, deberá ser mayor que 3.5
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información
Eficiencia de los controles por Amenaza:Según el costo / beneficio del conjunto de controles que actúan sobre cadaamenaza.
Eficiencia
Bene
ficio
s
Alto 5: Muy Alta 4: Alta3:
Moderada
Moderado 4: Alta3:
Moderada 2: Baja
Bajo 3: Moderada 2: Baja 1: Muy Baja
Bajo Moderado AltoCostos
RAZONABLE (R )NO RAZONABLE (NR)
Criterio de Aceptación:La calificación promedio de la eficiencia de los controles, por cadaamenaza, deberá ser mayor o igual a 4.0 (Razonable)
Desarrollo de AuditoríasDesarrollo de AuditoríasBasadas en Riesgos Basadas en Riesgos
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información
Ries
go In
here
nte 4: Extremo Bajo Moderado. Alto. Extremo Extremo
3: Alto Bajo Moderado. Alto. Alto. Alto.
2: Moderado Bajo Moderado. Moderado. Moderado. Moderado.
1: Bajo Bajo Bajo Bajo Bajo Bajo
1: Apropiada 2: Mejorable 3: Insuficiente 4: Deficiente 5: Muy
Deficiente
Efectividad de los Controles (Protección Existente)
Riesgo Residual, después de Evaluar los Controles Establecidos - MODELO "AUDISIS"
Desarrollo de AuditoríasDesarrollo de AuditoríasBasadas en Riesgos Basadas en Riesgos
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información
62
Efectividad / Protección que ofrecen los Controles, por Amenaza
Desarrollo de Auditorías Desarrollo de Auditorías Basadas en Riesgos Basadas en Riesgos
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información
Protección existente (PE) -Método AUDISIS
Satisfacción de los Criterios de Evaluación Efectividad
RI - Antes de Controles Estandar AS/NZ e ISO 31000
RR - Despues de Controles
1: APROPIADA
Se satisfacen los 3 anillos de control y por lo menos uno de los otros dos criterios (C/B = Razonable y/o Calificación promedio de los controles superior a 3.5 puntos)
4: Extremo 1: Tolerable3: Alto 1: Tolerable2: Moderado 1: Tolerable1: Bajo (Tolerable) 1: Tolerable
2: MEJORABLE Se satisfacen los 3 anillos de control, únicamente
4: Extremo 2: Moderado3: Alto 2: Moderado2: Moderado 2: Moderado1: Bajo (Tolerable) 1: Bajo
4: INSUFICIENTEÚnicamente se satisfacen los dos criterios diferentes de los 3 anillos (C/B = Razonable y/o Calificación promedio de los controles superior a 3.5 puntos)
4: Extremo 3: Alto3: Alto 3: Alto2: Moderado 2: Moderado1: Bajo (Tolerable) 1: Tolerable
4: DEFICIENTE
Se satisface únicamente uno de los dos criterios diferentes de los 3 anillos (C/B = Razonable y/o Calificación promedio de los controles superior a 3.5 puntos)
4: Extremo 4: Extremo3: Alto 3: Alto2: Moderado 2: Moderado1: Bajo (Tolerable) 1: Bajo (Tolerable)
5: MUY DEFICIENTE No existen controles
4: Extremo 4: Extremo3: Alto 3: Alto2: Moderado 2: Moderado1: Bajo (Tolerable) 1: Bajo (Tolerable)
63
Etapa 5: Entregables de la Evaluación deControles Existentes.
Identificación y documentación de los controles establecidos en elproceso o sistema que se está auditando, por amenazas.
Evaluación de la protección existente y el riesgo residual poramenazas de riesgo.
Mapas de Riesgo Residual por categoría de riesgo, actividad delproceso y áreas organizacionales.
Hallazgos de Auditoría para amenazas de riesgo con debilidades deprotección.
Recomendaciones de auditoria para subsanar las debilidades decontrol identificadas.
Informe de Auditoría con los resultados de la Evaluación de ControlInterno.
Desarrollo de AuditoríasDesarrollo de AuditoríasBasadas en Riesgos Basadas en Riesgos
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 64
Las Pruebas de Cumplimiento y Sustantivas se realizan poramenazas, con base en los resultados de la evaluación del controlinterno:
Pruebas de Cumplimiento:Para amenazas que tienen riesgo inherente EXTREMO, ALTO OMODERADO y protección existente APROPIADA ó MEJORABLE
Pruebas Sustantivas: Para amenazas que:a) Tienen riesgo inherente EXTREMO, ALTO O MODERADO y en
evaluación de control interno presentan debilidades de control.b) En Pruebas de Cumplimiento presentan cumplimiento inferior al
80% de los controles y procedimientos establecidos
Desarrollo de AuditoríasDesarrollo de AuditoríasBasadas en Riesgos Basadas en Riesgos
Etapas 6 y 7: Aplicar Pruebas de Auditoria
65
Estructura de Checklists de Pruebas de Auditoría El producen por Sitios de Prueba, técnicas de auditoria y
amenazas El software genera Checklist con Opciones de Respuesta y
Puntajes Asociados.5: Siempre (Satisfactorio)4: Casi Siempre (Con algunas excepciones).3: Algunas Veces.0: Nunca (No satisfactorio).
Espacios para: Ref a PT, Fecha ejecución y Comentarios delauditor.
Desarrollo de AuditoríasDesarrollo de AuditoríasBasadas en Riesgos Basadas en Riesgos
Aplicar Pruebas de Auditoría
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información
66
Resultados de las Pruebas de Resultados de las Pruebas de AuditoríaAuditoría
Criterios para Evaluar Riesgo Residualdespués de Pruebas de Auditoría.
Rangos % de Puntaje Obtenido
(PO)
Protección Existente (PE)
Según Cumplimiento
Riesgo Residual – RR-(después de Pruebas a los Controles)
1 Mayor del 80 % 1: Apropiado 1: Aceptable
2 Entre 60 y 80% 2: Mejorable 2: Moderado
3 Entre 40 y 60% 3: Insuficiente 3: Alto
4 Entre 20 y 40% 4: Deficiente 4: Extremo
5 Menor del 20% 5: Muy deficiente 5: Extremo
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información
67
Cuestionarios para evaluar satisfacción de los 7 criteriosde la información de negocios, para el proceso o sistemasujeto a auditoría:
1. Efectividad.2. Eficiencia.3. Confidencialidad.4. Integridad.5. Disponibilidad.6. Cumplimiento con leyes y regulaciones.7. Confiabilidad.
Aplicar Pruebas Sustantivas
Desarrollo de AuditoríasDesarrollo de AuditoríasBasadas en Riesgos Basadas en Riesgos
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 68
Se producen cinco (5) informes:
1. Informe con los Resultados de la Evaluación de Control Interno:Protección Existente y Riesgo Residual para amenazas que tienen riesgoinherente EXTREMO, ALTO O MODERADO
• Detallado :Preliminar y definitivo.• Ejecutivo.• Cartas de Entrega.• Por amenazas.• Por Escenarios de Riesgo y Amenazas.• Por Categorías de Riesgo y Amenazas.• Por Areas Organizacionales y Amenazas.• Por Objetivos de Control.
Desarrollo de AuditoríasDesarrollo de AuditoríasBasadas en Riesgos Basadas en Riesgos
Informes con los Resultados de la Auditoria.
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 69
Se producen cuatro (4) informes:
2. Informe con los Resultados de Pruebas de Cumplimiento: El % decumplimiento de controles establecidos para amenazas que en evaluaciónde control Interno presentaron Riesgo Residual BAJO
• Detallado :Preliminar y definitivo.• Ejecutivo.• Cartas de Entrega.• Por amenazas.• Por Sitios de Prueba y Amenazas.• Por Area Organizacional y Sitios de Prueba.• Consolidado por Areas organizacionales
Desarrollo de AuditoríasDesarrollo de AuditoríasBasadas en Riesgos Basadas en Riesgos
Informes con los Resultados de la Auditoria.
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 70
Se producen cuatro (4) informes:
3. Informe con los Resultados de Pruebas Sustantivas: El % deConfiabilidad de los datos verificados, para amenazas que en evaluaciónde control Interno y en pruebas de cumplimiento presentaron Debilidadesde Control
• Detallado :Preliminar y definitivo.• Ejecutivo.• Cartas de Entrega.• Por amenazas.• Por Sitios de Prueba y Amenazas.• Por Area Organizacional y Sitios de Prueba.• Consolidado por Areas organizacionales
Desarrollo de AuditoríasDesarrollo de AuditoríasBasadas en Riesgos Basadas en Riesgos
Informes con los Resultados de la Auditoria.
AUDIRISK 2012: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 71
Se producen cinco (5) informes:
4. Informe sobre Nivel de Satisfacción de siete (7) criterios dela Información de Negocios.• % de Satisfacción.• Conclusiones por Criterio.
5. Informe sobre Seguimiento a los Hallazgos yrecomendaciones de la Auditoria.• De hallazgos de Control Interno.• De Hallazgos de Pruebas de Cumplimiento• De hallazgos a pruebas Sustantivas
Desarrollo de AuditoríasDesarrollo de AuditoríasBasadas en Riesgos Basadas en Riesgos
Informes con los Resultados de la Auditoria.
72
Satisfacción de criterios de la Información de Negocios
Desarrollo de AuditoríasDesarrollo de AuditoríasBasadas en Riesgos Basadas en Riesgos
Informes con los Resultados de la Auditoria.
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 73
El seguimiento a los hallazgos de Auditoría se realiza porEscenarios de Riesgo para las amenazas condebilidades de Control Interno y por Sitios de Pruebapara resultados no satisfactorios en las pruebas deAuditoría:
Planeación del Seguimiento. Ejecución del Seguimiento. Informe de la Auditoria con los resultados del seguimiento.
Desarrollo de AuditoríasDesarrollo de AuditoríasBasadas en Riesgos Basadas en Riesgos
Etapa 8: Seguimiento a los Hallazgos de la Auditoria.
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 74
Planear Seguimiento / Elaborar Plan deMejoramiento concertado.
Por sitios de prueba. Asignación de responsables de implantar y supervisar la
implantación de las acciones de mejora y fechas de compromiso. Asignar auditores responsables de ejecutar seguimiento a la
implantación de acciones de mejora y fechas de compromiso. Generación de reportes de recomendaciones próximas a vencerse. Generación y envío automático de mensajes por correos
electrónicos con “Recordatorios” a los responsables de lasacciones de mejora.
Desarrollo de AuditoríasDesarrollo de AuditoríasBasadas en Riesgos Basadas en Riesgos
Etapa 8: Seguimiento a los Hallazgos de Auditoria.
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 75
Ejecución de Seguimientos por fecha de corte.
Genera Reporte de recomendaciones con fecha deimplantación vencida.
Permite ejecutar “N” seguimientos en diferentes fechas decorte.
Genera informes por sitios de prueba y consolidado, porestado de las recomendaciones: Implantada, en proceso, poriniciar, aplazadas y anuladas.
Genera estadísticas por estado de las recomendaciones ymotivos de incumplimiento, en cada fecha de corte.
Desarrollo de AuditoríasDesarrollo de AuditoríasBasadas en Riesgos Basadas en Riesgos
Etapa 8: Seguimiento a los Hallazgos de Auditoria.
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 76
Cómo Iniciar en AUDIRISK una Cómo Iniciar en AUDIRISK una Auditoria Basada en RiesgosAuditoria Basada en RiesgosCómo Iniciar en AUDIRISK una Cómo Iniciar en AUDIRISK una Auditoria Basada en RiesgosAuditoria Basada en Riesgos
Crear Ambiente de Trabajo.
Crear Base de Conocimientos de la Empresa. Parametrizar software con estándares de auditoria a
emplear en la Empresa1. Para Medición de riesgos.2. Para Evaluación del Control Interno Existente.3. Para Medición del cumplimiento de controles.4. Estados de Auditoria.5. Estado de las Recomendaciones.
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 77
Cómo iniciar o Continuar una Cómo iniciar o Continuar una Auditoría con el Software AUDIRISK Auditoría con el Software AUDIRISK
Cómo iniciar o Continuar una Cómo iniciar o Continuar una Auditoría con el Software AUDIRISK Auditoría con el Software AUDIRISK
Para Iniciar una Auditoría. Crear en AUDIRISK el proceso o sistema que será
auditado. Crear en AUDIRISK la Base de Conocimientos de Trabajo
que retendrá los resultados de la auditoría del proceso denegocio o sistema.
Para Continuar una Auditoría ya Iniciada. Seleccionar Empresa. Seleccionar proceso o sistema sujeto a Auditoría. Ingresar a tablero de control “Etapas de la Metodología de
la Auditoría”. Continuar con la primera etapa donde el menú se
visualice “ Activo”
78
Etapas 1 a 5: Pre-auditoría, comprensión, identificación ymedición de riesgos críticos, cubo de la auditoria y Evaluacióndel Control Interno Existente.• Se asume que el funcionamiento del proceso o sistema está o debería estar
estandarizado en toda la organización,• Ejecución centralizada, generalmente en la Dirección General.• Se ejecutan solo una vez, por cada auditoría.• El software genera resultados de la auditoria detallados por amenaza y
consolidados para Categorías de Riesgo, Areas Organizacionales, Escenariosde riesgo y objetivos de control.
• Los soportes o papeles de trabajo se generan por cada uno de losescenarios de riesgo (actividades del proceso o sistema).
Logística para el Desarrollo.
Desarrollo de AuditoríasDesarrollo de AuditoríasBasadas en Riesgos Basadas en Riesgos
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información
79
Etapas 6 y 7 : Pruebas de Cumplimiento y Sustantivas.
• Se ejecutan para una muestra de Sitios de Prueba (AreasOrganizacionales que intervienen en el proceso o sistema auditado).
• Diseño centralizado por amenazas, único para todas los sitios de prueba• Ejecución descentralizada. Las pruebas se aplican individualmente en los
sitios de prueba• El software genera resultados de las pruebas (informes de auditoría),
detallados por sitios de prueba y consolidados por Area Organizacional• Los soportes o papeles de trabajo se generan por cada uno de los sitios
de prueba
Logística para el Desarrollo .
Desarrollo de AuditoríasDesarrollo de AuditoríasBasadas en Riesgos Basadas en Riesgos
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información
80
Etapas 8: Seguimiento a los Informes de Hallazgos de la Auditoria.• Se planean y ejecutan para cada uno de los Sitios de Prueba (Areas
Organizacionales que intervienen en el proceso o sistema auditado).• El software genera correos electrónicos con Recordatorios para los
responsables de implantarlas acciones de mejora, supervisarlas yhacerles seguimiento.
• En cada fecha de corte, el software genera resultados del seguimientopor sitios de prueba y consolidados por Area Organizacional
• Los soportes o papeles de trabajo se generan por cada uno de los sitiosde prueba
Logística para el Desarrollo .
Desarrollo de AuditoríasDesarrollo de AuditoríasBasadas en Riesgos Basadas en Riesgos
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 81
Módulo 3:Módulo 3:Informes de Gestión de la Informes de Gestión de la
Auditoría Auditoría
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 82
Genera estadísticas y gráficos sobre las auditorías desarrolladascon AUDIRISK durante un periodo de tiempo.
Auditorias Planeadas Vs Auditorias Ejecutadas.
Estadísticas de Hallazgos informados en el periodo, por auditorías ytipos de Auditorias (Procesos del Modelo de Operación, Procesos de TI,Aplicaciones de Computador).
• Cantidad y Porcentaje de Hallazgos de Auditoria sobre Diseño deControles Internos.
• Cantidad y Porcentajes de Hallazgos de Auditoria sobre Pruebasde Cumplimiento.
• Cantidad y Porcentajes de Hallazgos de Auditoria sobre PruebasSustantivas.
Módulo 3:Módulo 3:Informes de Gestión de la AuditoríaInformes de Gestión de la Auditoría
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 83
Genera estadísticas y gráficos sobre las auditorías desarrolladascon AUDIRISK durante un periodo de tiempo.
Estadísticas sobre cantidad y porcentaje de recomendacionesemitidas en el periodo, por auditoría, tipos de auditorías ySitios de Prueba.
• Recomendaciones sobre Efectividad (Diseño) de ControlesInternos.
• Recomendaciones sobre Pruebas de Cumplimiento.• Recomendaciones sobre Pruebas Sustantivas.
Módulo 3:Módulo 3:Informes de Gestión de la AuditoríaInformes de Gestión de la Auditoría
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 84
Genera estadísticas y gráficos sobre las auditorías desarrolladascon AUDIRISK durante un periodo de tiempo.
Estadísticas sobre el Estado de Atención de lasrecomendaciones emitidas en el periodo, por auditoría, tiposde auditorías y Sitios de Prueba.
• Recomendaciones de Auditoria sobre Efectividad (Diseño) deControles Internos.
• Recomendaciones de Auditoria sobre Pruebas de Cumplimiento.• Recomendaciones de Auditoria sobre Pruebas de Cumplimiento.
Módulo 3:Módulo 3:Informes de Gestión de la AuditoríaInformes de Gestión de la Auditoría
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 85
Genera estadísticas y gráficos sobre las auditorías desarrolladascon AUDIRISK durante un periodo de tiempo.
Estados de Atención de las recomendaciones emitidas porla Auditoría, en el periodo.
• Implantada.• En Proceso.• Pendiente (por iniciar implantación),• Anulada.
Módulo 3:Módulo 3:Informes de Gestión de la AuditoríaInformes de Gestión de la Auditoría
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 86
Módulo 3:Módulo 3:Informes de Gestión de la AuditoríaInformes de Gestión de la Auditoría
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 87
Módulo 3:Módulo 3:Informes de Gestión de la AuditoríaInformes de Gestión de la Auditoría
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 88
Estado de Implementación de las recomendaciones de auditoría, por tipos deauditoria.
Módulo 3:Módulo 3:Informes de Gestión de la AuditoríaInformes de Gestión de la Auditoría
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 89
Módulo 4:Módulo 4:Seguimiento a Hallazgos de Auditorías Seguimiento a Hallazgos de Auditorías
Efectuadas por TercerosEfectuadas por Terceros
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 90
El software AUDIRISK consta de 5 módulos:
¿Qué es AUDIRISK ?¿Qué es AUDIRISK ?
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 91
Este módulo permite planear, ejecutar e informarresultados del seguimiento a los hallazgos deauditorías realizadas por terceros o de auditoríasno realizadas con AUDIRISK.
Módulo 4: Seguimiento a Hallazgos Módulo 4: Seguimiento a Hallazgos de Auditorías Efectuadas por de Auditorías Efectuadas por
TercerosTerceros
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 92
AUDIRISKAUDIRISK proveeprovee funcionalidadesfuncionalidades parapara efectuarefectuarSeguimientoSeguimiento aa HallazgosHallazgos yy RecomendacionesRecomendaciones dedeAuditoriaAuditoria emitidosemitidos porpor:: RevisoríasRevisorías FiscalesFiscales.. AuditoríasAuditorías FinancierasFinancieras ExternasExternas efectuadasefectuadas porpor
FirmasFirmas dede ContadoresContadores PúblicosPúblicos.. OtrasOtras AuditoriasAuditorias ExternasExternas EspecializadasEspecializadas (de(de
Sistemas,Sistemas, dede Seguridad,Seguridad, dede calidad,calidad, etcetc,),) AuditoriasAuditorias efectuadasefectuadas porpor organismosorganismos dede controlcontrol
deldel EstadoEstado (Contralorías,(Contralorías, Superintendencias,Superintendencias, etcetc))..
Seguimiento a hallazgos de Seguimiento a hallazgos de Auditorías Efectuadas por TercerosAuditorías Efectuadas por Terceros
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 93
FuncionalidadesFuncionalidades ofrecidasofrecidas porpor AUDIRISKAUDIRISK.. MantenimientoMantenimiento DatosDatos BásicosBásicos dede loslos tercerosterceros queque
efectúanefectúan laslas AuditoriasAuditorias.. MantenimientoMantenimiento DatosDatos básicosbásicos dede laslas AuditoríasAuditorías
RealizadasRealizadas porpor tercerosterceros.. IngresoIngreso dede HallazgosHallazgos.. IngresoIngreso dede RecomendacionesRecomendaciones.. PlaneaciónPlaneación deldel seguimientoseguimiento.. EjecuciónEjecución deldel SeguimientoSeguimiento.. InformesInformes concon loslos resultadosresultados deldel SeguimientoSeguimiento..
Seguimiento a Hallazgos de Seguimiento a Hallazgos de Auditorías Efectuadas por TercerosAuditorías Efectuadas por Terceros
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 94
PorPor cadacada recomendaciónrecomendación manejamaneja ::
MetasMetas.. FechaFecha dede CompromisoCompromiso parapara implantarimplantar acciónacción dede
mejoramientomejoramiento.. FechaFecha dede SeguimientoSeguimiento.. CargosCargos responsablesresponsables dede implantarimplantar recomendación,recomendación,
supervisarsupervisar implantaciónimplantación yy dede efectuarefectuar seguimientoseguimiento.. DiseñoDiseño dede RecordatoriosRecordatorios enen fechasfechas determinadasdeterminadas porpor elel
auditorauditor.. EmisiónEmisión automáticaautomática dede RecordatoriosRecordatorios porpor correocorreo electrónicoelectrónico.. InformesInformes dede seguimientosseguimientos efectuadosefectuados..
Seguimiento a Hallazgos de Seguimiento a Hallazgos de Auditorías Efectuadas por TercerosAuditorías Efectuadas por Terceros
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 95
Menú Administrador
Seguimiento a hallazgos de Seguimiento a hallazgos de Auditorías Efectuadas por TercerosAuditorías Efectuadas por Terceros
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 96
Seguimiento a Hallazgos de Seguimiento a Hallazgos de Auditorías Efectuadas por TercerosAuditorías Efectuadas por Terceros
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 97
Seguimiento a Hallazgos de Seguimiento a Hallazgos de Auditorías Efectuadas por TercerosAuditorías Efectuadas por Terceros
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 98
Seguimiento a Hallazgos de Seguimiento a Hallazgos de Auditorías Efectuadas por TercerosAuditorías Efectuadas por Terceros
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 99
Módulo 5:Módulo 5:Seguridad y Administración de UsuariosSeguridad y Administración de Usuarios
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 100
Permite asignar perfiles de acceso de losAuditores: Por Módulo. Por Empresa. Por Auditorias. Por actividades de la Auditoria.
Deja Rastros de las actividades ejecutadas porlos Auditores.
Ofrece ayudas de Supervisión de los Auditores(TO DOs o pendientes por hacer)
Permite asignar perfiles de acceso de losAuditores: Por Módulo. Por Empresa. Por Auditorias. Por actividades de la Auditoria.
Deja Rastros de las actividades ejecutadas porlos Auditores.
Ofrece ayudas de Supervisión de los Auditores(TO DOs o pendientes por hacer)
El software AUDIRISKEl software AUDIRISKEl software AUDIRISKEl software AUDIRISK
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 101
Perfiles de Acceso establecidos en software. Administrador General. Gerente de Auditoría. Supervisor. Analista. Auditor Regional. Solo Consulta.
Uso de Password Fuertes. Cambios de Password Obligatorios.
Perfiles de Acceso establecidos en software. Administrador General. Gerente de Auditoría. Supervisor. Analista. Auditor Regional. Solo Consulta.
Uso de Password Fuertes. Cambios de Password Obligatorios.
El software AUDIRISKEl software AUDIRISKEl software AUDIRISKEl software AUDIRISK
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 102
Beneficios de Utilizar Beneficios de Utilizar AUDIRISK? AUDIRISK?
Beneficios de Utilizar Beneficios de Utilizar AUDIRISK? AUDIRISK?
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 103
Beneficios CorporativosBeneficios CorporativosBeneficios CorporativosBeneficios Corporativos
ConCon elel usouso dede AUDIRISKAUDIRISK::
Se incrementa la calidad, confiabilidad y eficiencia delos servicios de auditoría.
La auditoría ofrece mayor valor agregado a la empresa.
Promueve el mejoramiento de la cultura de mediciónmedición yymonitoreomonitoreo de los riesgos potenciales, de la protecciónexistente y del riesgo residual.
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 104
Beneficios para las Dependencias Beneficios para las Dependencias que manejan las Operacionesque manejan las Operaciones
Beneficios para las Dependencias Beneficios para las Dependencias que manejan las Operacionesque manejan las Operaciones
Con el uso de AUDIRISK:Con el uso de AUDIRISK: Recibirán informes de auditoría más proactivos y
asesores. Recibirán mayor valor agregado de la Auditoría
en asuntos de prevención y mitigación deriesgos.
Los resultados de la auditoría servirán comoapoyo para promover la eficiencia y efectividaddel monitoreo de los controles que debenrealizar los propietarios de la información denegocios.
Con el uso de AUDIRISK:Con el uso de AUDIRISK: Recibirán informes de auditoría más proactivos y
asesores. Recibirán mayor valor agregado de la Auditoría
en asuntos de prevención y mitigación deriesgos.
Los resultados de la auditoría servirán comoapoyo para promover la eficiencia y efectividaddel monitoreo de los controles que debenrealizar los propietarios de la información denegocios.
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 105
Beneficios para el Departamento Beneficios para el Departamento de Auditoríade Auditoría
Beneficios para el Departamento Beneficios para el Departamento de Auditoríade Auditoría
AUDIRISKAUDIRISK::Facilita un cambio real en la imagen del departamentodentro de la organización, basado en: Auditorías más proactivas y preventivas que
reactivas y a posteriori. Imagen del auditor “asesor-consultor” de la
Organización. Incrementa productividad, eficiencia y
efectividad de la auditoría.
AUDIRISKAUDIRISK::Facilita un cambio real en la imagen del departamentodentro de la organización, basado en: Auditorías más proactivas y preventivas que
reactivas y a posteriori. Imagen del auditor “asesor-consultor” de la
Organización. Incrementa productividad, eficiencia y
efectividad de la auditoría.
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 106
AUDIRISKAUDIRISK:: AutomatizaAutomatiza los procedimientos y prácticas de auditoría
para valoración de riesgos potenciales y residualesasociados con los procesos de negocio o sistemas deinformación sujetos a auditoría.
AutomatizaAutomatiza loslos procedimientos y prácticas de auditoríapara evaluación y verificación de controles yseguridades existentes.
Beneficios para el Beneficios para el Departamento de AuditoríaDepartamento de Auditoría
Beneficios para el Beneficios para el Departamento de AuditoríaDepartamento de Auditoría
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 107
Beneficios para el Departamento Beneficios para el Departamento de Auditoríade Auditoría
Beneficios para el Departamento Beneficios para el Departamento de Auditoríade Auditoría
AUDIRISKAUDIRISK::
Automatiza la actualización y consulta debases de conocimientos que contienen las“best practices” de administración de riesgos,control interno y auditoría utilizadas por laempresa en sus procesos de negocio y detecnología de información.
AUDIRISKAUDIRISK::
Automatiza la actualización y consulta debases de conocimientos que contienen las“best practices” de administración de riesgos,control interno y auditoría utilizadas por laempresa en sus procesos de negocio y detecnología de información.
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 108
Beneficios para el AuditorBeneficios para el AuditorBeneficios para el AuditorBeneficios para el Auditor
AUDIRISKAUDIRISK::Motiva cambios importantes que permiten alauditor
Mejorar su imagen, efectividad ycredibilidad dentro de la organización.
Obtener mayor credibilidad y aceptación enla comunidad profesional.
AUDIRISKAUDIRISK::Motiva cambios importantes que permiten alauditor
Mejorar su imagen, efectividad ycredibilidad dentro de la organización.
Obtener mayor credibilidad y aceptación enla comunidad profesional.
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 109
Beneficios para el AuditorBeneficios para el AuditorBeneficios para el AuditorBeneficios para el AuditorConCon AUDIRISKAUDIRISK::
Los auditores crecen profesionalmente con latransferencia tecnológica que reciben.
Los auditores actúan más como asesores quecomo investigadores.
ConCon AUDIRISKAUDIRISK::
Los auditores crecen profesionalmente con latransferencia tecnológica que reciben.
Los auditores actúan más como asesores quecomo investigadores.
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 110
En Colombia.• Lafayette S.A.• Comfenalco Tolima.• G y J Ferreterías.• Alambres y Mallas.• Consorcio Metalúrgico Nacional Colmena Ltda• Comisión Nacional de TV.• Instituto Agustín Codazzi.• AVESCO (grupo Kokorico).• Empresa Electrificadora de Santander - ESSA.• Financiera Andina - Finandina S. A.• Contraloría General de la República
Usuarios de AUDIRISK en Usuarios de AUDIRISK en Colombia y el ExteriorColombia y el Exterior
Usuarios de AUDIRISK en Usuarios de AUDIRISK en Colombia y el ExteriorColombia y el Exterior
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 111
En Colombia.• Caja de Compensación Comfamiliares Caldas.• Caracol TV.• Oleoducto Central de Colombia- OCENSA.• Fundación Mundial de la Mujer – Bucaramanga.• Monómeros Colombo Venezolanos.• Armada Nacional.• FINAGRO .• Instituto Nacional de Vías – INVIAS.• Compensar - Caja de Compensación Familiar
Usuarios de AUDIRISK en Usuarios de AUDIRISK en Colombia y el ExteriorColombia y el Exterior
Usuarios de AUDIRISK en Usuarios de AUDIRISK en Colombia y el ExteriorColombia y el Exterior
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 112
En Colombia.
• Universidad Militar Nueva Granada.• Universidad La Gran Colombia – Bogotá.• Universidad de Ibagué – Coruniversitaria.• Universidad Autónoma de Cali.• Universidad Jorge Tadeo Lozano.• Universidad EAFIT.• Universidad Santo Tomás de Bucaramanga• Universidad Católica de Colombia.
Usuarios de AUDIRISK en Usuarios de AUDIRISK en Colombia y el ExteriorColombia y el Exterior
Usuarios de AUDIRISK en Usuarios de AUDIRISK en Colombia y el ExteriorColombia y el Exterior
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 113
Firmas de Auditores.
• MGI Paez y Asociados Auditores y Consultores.• Cañón y Cañón – Auditores - Asesores Tributarios.• Nexia Montes y Asociados.• Colombian Consulting Group.• Datos y Procesos (Pasto).
Usuarios de AUDIRISK en Usuarios de AUDIRISK en Colombia y el ExteriorColombia y el Exterior
Usuarios de AUDIRISK en Usuarios de AUDIRISK en Colombia y el ExteriorColombia y el Exterior
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 114
En el Exterior.• Banco Central de la República Dominicana.• Banco Central del Ecuador.• Banco Centroamericano de Integración
Económica (BCIE) - Honduras.• Banco Santacruz - Bolivia• Cervecería de Costa Rica• Instituto Nacional de Seguros (Costa Rica)
Usuarios de AUDIRISK en Colombia Usuarios de AUDIRISK en Colombia y el Exterior (cont.)y el Exterior (cont.)
Usuarios de AUDIRISK en Colombia Usuarios de AUDIRISK en Colombia y el Exterior (cont.)y el Exterior (cont.)
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 115
En el Exterior.• Auditoría General de Bancos (Costa Rica)• Banco Nacional de Costa Rica• Cía. Nal. de Fuerza y Luz (Costa Rica)
Usuarios de AUDIRISK en Usuarios de AUDIRISK en Colombia y el Exterior (cont.)Colombia y el Exterior (cont.)
Usuarios de AUDIRISK en Usuarios de AUDIRISK en Colombia y el Exterior (cont.)Colombia y el Exterior (cont.)
AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 116
Gracias por visitarnos
Hasta Pronto !
Para conocer el software ingrese a www.softwareaudisis.com