AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN “AUDISIS” Servicios Orientados a la Prevención y Reducción de Riesgos, Seguridad y Auditoría de Sistemas. Calle 53 No. 27 - 33 Oficina 602 –Tels.: 2556717 – 2556757 – 2556816, PBX: 3470022 – Bogotá, D.C. Colombia
Versión 2015
SOFTWARE DE AUDITORÍA
BASADA EN RIESGOS CRITICOS
Derechos de autor reservados por AUDISIS
Contenido
QUÉ PUEDE HACER USTED CON LA POTENCIA DE AUDIRISK? ... 4
MÓDULO 1: PLANEACIÓN ANUAL DE LA AUDITORÍA “BASADA EN VALORACION DE
LA EXPOSICIÓN RIESGOS”. ... 5
MÓDULO 2: AUDITORÍAS BASADAS EN RIESGOS CRÍTICOS A PROCESOS Y
SISTEMAS DE INFORMACION. ... 7
MÓDULO 3: SEGUIMIENTO A HALLAZGOS DE AUDITORÍAS EFECTUADAS POR
TERCEROS. ... 10
MÓDULO 4: AUDITORÍAS A SISTEMAS DE GESTIÓN. ... 11
MÓDULO 5: GESTIÓN DE RESULTADOS DE LA AUDITORÍA. ... 11
MÓDULO 6: ADMINISTRACIÓN DE USUARIOS. ... 11
PARAMETRIZACIÓN DEL SOFTWARE. ... 12
MODULO 1: PLANEACION ANUAL DE LA AUDITORÍA BASADA EN VALORACIÓN DE
RIESGOS. ... 12
MODULO 2: AUDITORÍAS BASADAS EN RIESGOS CRITICOS A PROCESOS Y SISTEMAS DE
INFORMACIÓN. ... 16
MODULO 3: SEGUIMIENTO A HALLZAGOS DE AUDITORÍAS EFECTUADAS POR TERCEROS.
... 38
MODULO 4: GESTION DE RESULTADOS DE LA AUDITORÍA... 40
MODULO 5: AUDITORÍAS A SISTEMAS DE GESTION. ... 41
MODULO 6: ADMINISTRACION DE USUARIOS. ... 41
PARAMETRIZACIÓN DEL SOFTWARE. ... 42
A QUIENES SIRVE LA METODOLOGIA Y EL SOFTWARE AUDIRISK? ... 43
ELEMENTOS QUE RECIBE EL USUARIO DE AUDIRISK. ... 43
SERVICIOS DE SOPORTE TÉCNICO Y ACTUALIZACION. ... 43
REQUERIMIENTOS DE HARDWARE Y SOFTWARE PARA INSTALAR EL SOFTWARE
AUDIRISK. ... 44
AUDIRISK
QUÉ PUEDE HACER USTED CON LA POTENCIA DE AUDIRISK?
AUDIRISK es un software en tecnología Web (Cloud Computing) para asistir a los auditores en el desarrollo de las siguientes actividades: a) Elaboración y Seguimiento del Plan Anual de la Auditoría; este plan se elabora con base en los resultados de la “valoración de la exposición a riesgos de los procesos del modelo de operación y los sistemas de información de la empresa”;
b) Planeación y desarrollo de auditorías con enfoque “Basadas en Riesgos Críticos” (comprende la planeación detallada basada en riesgos, evaluación de la efectividad del control interno existente, diseño y ejecución pruebas de cumplimiento y sustantivas, comunicación de resultados de la auditoría y seguimiento a los hallazgos de la auditoría); c) Seguimiento a los hallazgos de Auditorías efectuadas por terceros (elaboración del plan de mejoramiento y su seguimiento); d) Gestionar los Resultados de la Auditoría por periodos anuales; y e) Programación y ejecución de Auditorías de Sistemas de Gestión (de calidad, de seguridad de la información, ambiental, Seguridad y salud ocupacional, gestión de continuidad del negocio).
El software AUDIRISK puede ser instalado en ambientes WEB (Cloud Computing), en una red interna o en computadores stand alone.
Figura 1: Módulos del software AUDIRISK
El software AUDIRISK consta de seis (6) módulos interrelacionados: a) Planeación Anual de la Auditoría; b) Auditorías basadas en Riesgos Críticos; c) Gestión de resultados de la auditoría; d)
Seguimiento a informes de auditorías efectuadas por terceros; e) Auditorías de Sistemas de Gestión (de calidad, de seguridad de la información, ambiental y de salud ocupacional) y f) Administración de Usuarios.
La Auditoría Basada en Riesgos Críticos es una forma de conducir las auditorías de diferentes tipos (de procesos, de sistemas de información, operativa, de estados financieros, etc), basando su planeación y desarrollo en los riesgos que pudieran causar el mayor impacto negativo en la organización (empresa), para confirmar si el manejo de las operaciones y de la información se realizan de conformidad con las buenas y mejores prácticas de control interno y seguridad, las reglas del negocio y lo establecido en las leyes y regulaciones aplicables.
Como punto de partida y apoyo para planear y desarrollar las auditorías, AUDIRISK provee una base de datos de conocimientos que contiene numerosas “mejores y buenas prácticas” sobre clases de riesgos (por ejemplo, fraude interno, fallas tecnológicas, etc.), definiciones de eventos de riesgo negativos ó amenazas (para las clases de riesgo de SARO, SARLAFT, MECI y AUDIRISK), vulnerabilidades, agentes generadores de riesgo, controles aplicables a los eventos de riesgo negativos, factores de exposición a riesgos y objetivos de control, las cuales están disponibles permanentemente para ser utilizadas por los auditores.
El software AUDIRISK, estandariza el desarrollo de las auditorías, utilizando funcionalidades que están alineadas con las normas y procedimientos de auditoría generalmente aceptados, con las normas de auditoría interna emitidas por el IIA, las normas de auditoría de sistemas emitidas por ISACA y con estándares nacionales e internacionales de Control Interno Organizacional (COSO, COBIT, MECI, ISO 27001, ISO 22301) y de Gestión de Riesgos Empresariales (ISO 31000, ERM, AS/NZ 4361).
MÓDULO 1: PLANEACIÓN ANUAL DE LA AUDITORÍA “BASADA EN VALORACION DE
LA EXPOSICIÓN RIESGOS”.
La base para la planificación y desarrollo de las Auditorías es la importancia relativa o materialidad del impacto que podrían causar las clases de riesgos a las que se expone cada proceso del modelo de operación o sistema de información de la organización. Por ejemplo, en un proceso de compras pueden presentarse las siete (7) clases de riesgo del SARO y de estas solo tres (3) son CRITICAS porque podrían producir las mayores pérdidas a la organización, estimadas en el horizonte de un año (pérdida anual estimada, PAE).
Las Auditorías se planean y desarrollan para revisar las actividades, procedimientos, controles e información que pudieran ser impactados por las clases de riesgos críticas del proceso. Por ejemplo, para un proceso de cartera las clases de riesgos críticos pueden ser: Fraude Interno, Fraude Externo y fallas tecnológicas.
AUDIRISK asiste en las actividades de elaboración de Planes de Trabajo Anuales de las auditorías internas y externas, con base en resultados de la”valoración de la exposición a riesgos” efectuada por los auditores a cada uno de los trabajos candidatos a ser auditados.
Elaboración del Plan anual de la Auditoría Interna.
Para las Auditorías Internas y de Sistemas de Información, el software satisface las exigencias de los estándares de auditoría del Instituto de Auditores Internos de los Estados Unidos (IIA) e ISACA (la asociación de Control y Auditoría de Sistemas de Información), los cuales establecen que el plan anual de la auditoría debe realizarse con un enfoque “basado en valoración de riesgos”.
Por cada grupo de trabajos candidatos a ser auditados, el software ofrece funcionalidades y el apoyo de la base de conocimientos de AUDIRISK para diseñar, contestar y procesar cuestionarios con factores de riesgo, estimar la exposición a riesgos (necesidades de seguridad) de cada una de trabajos candidatos a ser auditados y elaborar un “panorama de riesgos” de la Empresa con la estimación de la exposición a las clases o categorías de riesgo del modelo de riesgos aplicable a la Empresa (SARO, SARLAFT, MECI, AUDISIS o combinación de las anteriores).
Para las auditorías internas, AUDIRISK asiste la asignación de prioridades según la exposición a riesgos y la programación anual de trabajos para tres tipos de auditoría: los procesos del modelo de operación de la empresa, los procesos de tecnología de información y las aplicaciones de computador en producción. Como resultado, por cada grupo de trabajos candidatos a ser auditados, el software produce la matriz de planeación anual de la auditoría con dos alternativas para decidir las actividades a auditar: a) por el nivel de exposición a riesgos de los procesos y aplicaciones de computador candidatas a ser auditadas, y b) por el nivel de exposición de los procesos y aplicaciones de computador a cada una de las clases o categorías de riesgo.
También permite incluir en la planeación anual de la Auditoría Interna, la programación de auditorías a sistemas de gestión (calidad, ISO 27001 y otras), auditorias de seguimiento a informes de auditorías realizadas y otros trabajos que sean asignados a la Auditoría Interna. Elabora cronograma anual y asiste en el seguimiento a la ejecución del plan anual de la Auditoría Interna.
Elaboración del Plan anual de Auditorías Externas.
Para las auditorías externas, AUDIRISK asiste las actividades de valoración de riesgos de las empresas según el sector de la economía al que correspondan, priorizar las entidades o empresas que serán auditadas en el año por sectores, la programación de las auditorías y asignación de recursos de tiempo, personal y financieros. Elabora cronograma anual y asiste en el seguimiento a la ejecución del plan anual de auditorías externas.
MÓDULO 2: AUDITORÍAS BASADAS EN RIESGOS CRÍTICOS A PROCESOS Y
SISTEMAS DE INFORMACION.
Este módulo de AUDIRISK ofrece funcionalidades para desarrollar cuatro (4) tipos de auditorías “basadas en riesgos críticos”:
1) A los procesos del modelo de operación de la Empresa (procesos estratégicos, misionales, de soporte y de supervisión y control);
2) A los procesos de Tecnología de Información y Comunicaciones (por ejemplo, los procesos COBIT e ITIL);
3) A las aplicaciones de computador en producción (ó módulos de ERPs), y 4) A los componentes clave de la Infraestructura de Tecnología de Información.
Por cada auditoría basada en riesgos, el software ofrece funcionalidades con procedimientos, guías y formatos para desarrollar las (4) cuatro fases del proceso de auditoría: 1) Planeación, 2) Ejecución, 3) Comunicación de resultados y 4) Seguimiento a los hallazgos de auditoría y planes de mejoramiento. La figura 2, ilustra el enfoque de las auditorías realizadas con AUDIRISK.
Figura 2: Las 4 Fases de la Auditoría
En la fase I, Planeación detallada de la Auditoría, por cada proceso o sistema AUDIRISK construye un Cubo de Riesgos Críticos como base para ejecutar la auditoría. El cubo incluye el mapeo de los riesgos potenciales (amenazas) que podrían presentarse en tres (3) dimensiones: a) las actividades del proceso o sistema (escenarios de riesgo); b) las áreas organizacionales y terceros que intervienen en el proceso; y c) las categorías o clases de riesgos críticos. La suma de los
cubos de riesgo de los procesos auditados es una aproximación a la auditoria del cubo de Control Interno de COSO y ERM (Enterprise Risk Management).
En la fase 2, Ejecución de la Auditoría, por cada proceso o sistema sujeto a auditoría, este módulo de AUDIRISK asiste a los auditores en la consecución de dos grandes objetivos: el primero es evaluar la efectividad del control interno establecido como “estándar” del proceso o sistema en toda la empresa, es decir, la capacidad de los controles establecidos para reducir los riesgos potenciales críticos a niveles aceptables de riesgo residual; esta evaluación es la base para determinar la naturaleza y extensión de las pruebas de auditoría necesarias. Esta evaluación se realiza por cada una de las actividades del proceso o sistema. El segundo objetivo es ejecutar pruebas de cumplimiento para los controles asociados a riesgos que tienen controles apropiados y pruebas sustantivas a la información que pudiera ser impactada por los riesgos que presentan debilidades de control. Estas pruebas se realizan por cada una de las áreas organizacionales y terceros que intervengan en el proceso o sistema objeto de la auditoría y que requieran pruebas.
Etapas de la Metodología para el desarrollo de las Auditorías “Basadas en Riesgos Críticos”.
Por cada auditoría, el software AUDIRISK ofrece funcionalidades para asistir el desarrollo de procedimientos de auditoría de aceptación general, organizadas en un menú de ocho (8) etapas
que se muestran a continuación y en el menú de la figura 3.
Figura 3: Etapas del proceso de Auditoría Basada en Riesgos críticos
Etapa 1: Pre – auditoría. Definición de objetivos, alcance, recursos a emplear y programa de trabajo de la Auditoría.
Etapa 2: Comprensión del proceso o sistema (Familiarización). Elaboración de archivo permanente o expediente contínuo de la auditoría y caracterización del proceso o sistema sujeto a auditoría.
Etapa 3: Identificar y analizar los Riesgos Inherentes Críticos (Eventos de riesgo Negativos). Identificar las 3 ó 4 categorías de riesgos críticos para el proceso o sistema sujeto a auditoría; identificar, analizar y documentar las amenazas ó eventos negativos que podrían generar las categorías de riesgo críticas; generar mapa de riesgos inherentes (amenazas) que serán considerados para el desarrollo de la auditoría; generación de papeles de trabajo corrientes. El análisis de los riesgos inherentes se realiza para las amenazas ó eventos negativos que pueden generar la materialización de las clases
de riesgo críticos, en el ambiente real de las operaciones del proceso. Por ejemplo, en el proceso de cartera se identifican y analizan diez (10) amenazas por cada una de las tres (3) clases de riesgos críticos: Fraude Interno, Fraude Externo y fallas tecnológicas. Por cada amenaza, la exposición al riesgo se mide con una de las siguientes cuatro (4) calificaciones: E: Extremo (Color rojo); A: Alto (color naranja); M: Moderado (color amarillo) y B: Bajo o dentro del apetito de riesgos de la Gerencia (color verde). Las amenazas calificadas se ubican en el Mapa de Riesgos Inherentes (una matriz de 5x5) y se despliegan organizadamente para las tres (3) dimensiones del Cubo de Riesgos del proceso que se está auditando: a) por categorías de riesgo críticas, b) por Dependencias (áreas de la estructura de organización o terceros) y c) por actividades del proceso. Etapa 4: Definir Contexto de Riesgos de la Auditoría. Desplegar o desdoblar el Cubo de riesgos de la auditoría, generar matrices de riesgo y definir objetivos de control que debería satisfacer el proceso o sistema sujeto a auditoría.
Etapa 5: Evaluar Efectividad del Control Interno Existente. Por cada amenaza la auditoría evalúa la efectividad o capacidad de los controles para reducir la exposición de las amenazas a un nivel de riesgo residual aceptable. La efectividad de los controles se mide con una escala de 5 calificaciones: 1- apropiada (color verde); 2- mejorable (color amarillo); 3- Insuficiente (color naranja); 4: Deficiente (color rojo) y 5- Muy Deficiente (color rojo). Los resultados obtenidos por amenaza, se articulan y presentan en las tres dimensiones del cubo de riesgos en las cuales podría materializarse: en las clases de riesgo críticas, en las actividades del proceso y en las dependencias (áreas de la organización y terceros) que intervienen en el proceso. Con los resultados de la evaluación de la efectividad de los controles establecidos, el software produce el primer informe con los resultados de la Auditoría, el que mayor valor agregado genera para los auditados y la administración.
Etapa 6: Pruebas de Cumplimiento. Diseño de las pruebas requeridas a los controles según los resultados de la evaluación de los controles establecidos, generación de checklists de controles a verificar por sitio de prueba, procesamiento de respuestas de los checklists, generación y análisis de hallazgos de auditoría, generación de informes (ejecutivo y detallado) con los resultados de las pruebas de cumplimiento. Las pruebas de cumplimiento de los controles se realizan en las dependencias que intervienen en el proceso, para las amenazas que presentan significativa exposición al riesgo inherente (E: Extremo; A: Alto o M: Moderado) y los controles establecidos, que según la evaluación de la auditoría, son eficaces y eficientes (con efectividad 1- apropiada ó 2 - Mejorable). Los resultados de estas pruebas se miden con una escala de cinco calificaciones, dependiendo del porcentaje de cumplimiento de los controles establecidos, así: 1- Apropiada (cumplimiento superior al 80%); 2- Mejorable (cumplimiento entre el 60% y 80%), 3- Insuficiente (cumplimiento entre 40% y 60%): 4: Deficiente (cumplimiento entre 20% y 40%); y 5- Muy deficiente (cumplimiento entre 0% y 20%). Estos resultados se comparan con los de la evaluación de control interno para mostrar las diferencias entre los controles formalmente establecidos y los que realmente se cumplen. Con los resultados de estas pruebas, el software genera el segundo informe con los resultados de la auditoría.
Etapa 7: Pruebas Sustantivas. Diseño de las pruebas requeridas a la información según los resultados de la evaluación de controles existentes y de las pruebas de cumplimiento,
generación de checklists de datos (cifras) a verificar por sitio de prueba, procesamiento de respuestas de los checklists, generación y procesamiento de checklists para evaluar la satisfacción de los siete (7) criterios o elementos de la información de negocios; generación y análisis de hallazgos de auditoría, generación de informes (ejecutivo y detallado) con los resultados de las pruebas de auditoría. Las Pruebas Sustantivas o pruebas a la Exactitud de la Información que procesa y produce el proceso, se realizan en las dependencias que intervienen en el proceso, para las amenazas que presentan debilidades de control interno (efectividad 3- insuficiente, 4- Deficiente y 5- muy deficiente) y presentan significativa exposición al riesgo inherente (E: Extremo; A: Alto o M: Moderado) . Su propósito es verificar el impacto que pudieran tener esas debilidades de control en la integridad de la información de la empresa. Los resultados de estas pruebas se miden con una escala de cinco calificaciones, dependiendo del porcentaje de exactitud de los datos verificados por la auditoría, así: 1- Apropiada (exactitud superior al 80%); 2- Mejorable (exactitud entre el 60% y 80%), 3- Insuficiente (exactitud entre 40% y 60%): 4: Deficiente (exactitud entre 20% y 40%); y Muy deficiente (exactitud en entre 0% y 20%). Con los resultados de las pruebas sustantivas, el software produce el tercer informe con los resultados de la auditoría.
Etapa 8: Seguimiento a Hallazgos y Recomendaciones de la Auditoría. Como paso final, por cada auditoría basada en riesgos AUDIRISK ofrece opciones para planear y ejecutar seguimiento a los acciones de mejoramiento que se diseñen en la empresa para atender los hallazgos de control interno, pruebas de cumplimiento y pruebas sustantivas. El software tiene funcionalidades para generar y enviar recordatorios por correo electrónico a los responsables de implantar y supervisar la implantación de las acciones de mejora y a los auditores asignados a su seguimiento.
Este módulo también ofrece funcionalidades para iniciar auditorias nuevas, a partir de los papeles de trabajo electrónicos de auditorías anteriores realizadas con AUDIRISK. Esta facilidad genera ahorros de tiempo y productividad en las auditorias.
MÓDULO 3: SEGUIMIENTO A HALLAZGOS DE AUDITORÍAS EFECTUADAS POR
TERCEROS.
AUDIRISK ofrece funcionalidades para asistir el registro (ingreso) de hallazgos, planeación y ejecución del seguimiento a las acciones de mejoramiento institucional que resultan de los hallazgos e informes de auditorías realizadas por terceros (Auditores Externos, Revisores Fiscales, Organismos de Control y Supervisión del Estado). Para este fin, el software ofrece opciones para el mantenimiento de las entidades auditoras y por cada auditoría de terceros ingresar los hallazgos de auditoría, ingresar información sobre las metas definidas para implantar las acciones de mejora por hallazgo (fechas de compromiso, responsables de implantar, supervisar implantación y hacer seguimiento), planear fechas del seguimiento y ejecutar el seguimiento. El software ofrece funcionalidades para generar recordatorios por correo electrónico a los responsables de implantar y supervisar las acciones de mejora y a los auditores asignados para su seguimiento.
MÓDULO 4: AUDITORÍAS A SISTEMAS DE GESTIÓN.
AUDIRISK asiste a los auditores internos en las actividades de programación, planeación, ejecución, informe y seguimiento de auditorías internas de gestión (Por ejemplo: de calidad, de gestión de seguridad de la información - ISO 27001-, gestión ambiental y seguridad y salud ocupacional). Estas auditorías se ejecutan de conformidad con la norma ISO 19011.
MÓDULO 5: GESTIÓN DE RESULTADOS DE LA AUDITORÍA.
Este módulo genera informes con estadísticas y gráficos sobre los resultados de las auditorías desarrolladas con AUDIRISK durante un periodo de tiempo, dentro del año fiscal. El software ofrece funcionalidades para generar entre otros los siguientes informes de Gestión:
• Estadísticas sobre auditorías desarrolladas en el periodo, programadas y no programadas.
• Estado de ejecución de Auditorías Programadas en el periodo.
• Estadísticas por tipos de hallazgos emitidos (de control interno, pruebas de cumplimiento y pruebas sustantivas), para las auditorías realizadas en el periodo. • Estadísticas de tipos de hallazgos de auditoría emitidos (de control interno, pruebas
de cumplimiento y pruebas sustantivas), clasificados por tipos de auditoría (a procesos del modelo de operación, a procesos de TI, sistemas de información).
• Estadísticas por tipos de hallazgos (de control interno, pruebas de cumplimiento y pruebas sustantivas) sobre el estado de implementación de las acciones de mejora definidas por cada auditoría.
• Estadísticas sobre el estado de implementación de las acciones de mejora (pendientes, en proceso, implantadas, etc) definidas para atender los hallazgos de la auditoría. Se produce por tipos de auditorías realizadas y por dependencias (áreas organizacionales de la Empresa) encargadas de implantarlas.
• Comparación horas programadas y ejecutadas por los auditores asignados, por auditoría y tipos de auditoría.
• Comparación de Costos de personal y otros gastos en la Auditoría, por Auditoría y Tipos de Auditoría.
MÓDULO 6: ADMINISTRACIÓN DE USUARIOS.
Este módulo ofrece las funcionalidades necesarias para administrar los usuarios con derechos de acceso a los diferentes módulos. Permite adicionar, modificar e inactivar usuarios y establecer el perfil y los privilegios de acceso a cada uno de los módulos de AUDIRISK. El software maneja los siguientes perfiles:
• Gerente de Auditoría. • Administrador de Usuarios. • Supervisor de Auditoría.
• Analista de Auditoría (Auditor de Procesos o de aplicaciones). • Auditor Regional.
• Solo Consulta.
PARAMETRIZACIÓN DEL SOFTWARE.
AUDIRISK presenta funcionalidades para parametrizar los estándares de auditoría basadas en riesgos, en las actividades de evaluación de riesgos, evaluación de la efectividad de los controles, generación de checklist de pruebas de cumplimiento y sustantivas, evaluación de resultados de las pruebas de auditoría y evaluación de los siete (7) criterios que debe satisfacer la información de negocios (eficacia, eficiencia, integridad, disponibilidad, confidencialidad, confiabilidad y cumplimiento). También ofrece ayudas para poblar la base de conocimientos de AUDIRISK y obtener copias de respaldo de esta base y de los papeles de trabajo electrónicos de las auditorías realizadas.
MODULO 1: PLANEACION ANUAL DE LA AUDITORÍA BASADA EN
VALORACIÓN DE RIESGOS.
La base para la planificación y desarrollo de las Auditorías es la importancia relativa o materialidad de las clases de riesgos a las que se expone cada proceso del modelo de operación o sistema de información de la organización. Por ejemplo, en un proceso de compras pueden presentarse las siete (7) clases de riesgo del SARO y de estas solo tres (3) son CRITICAS porque podrían producir las mayores pérdidas a la organización, estimadas en el horizonte de un año (pérdida anual estimada, PAE).
Las Auditorías se planean y desarrollan para revisar actividades, procedimientos, controles e información que pudieran ser impactados por las clases de riesgos críticas del proceso. Por ejemplo, para un proceso de cartera las clases de riesgos críticos pueden ser: Fraude Interno, Fraude Externo y fallas tecnológicas.
Este módulo del software asiste la elaboración del Plan Anual de las auditorías internas y externas, de acuerdo con el nivel de exposición a riesgos. Para las Auditorías Internas y de Sistemas satisface las exigencias de los estándares de auditoría del Instituto de Auditores de los Estados Unidos (IIA) e ISACA (la asociación de Control y Auditoría de Sistemas de Información), los cuales establecen que el plan anual de la auditoría debe realizarse con un enfoque “basado en valoración de riesgos”.
PLANEACION ANUAL – AUDITORIAS INTERNAS.
AUDIRISK ofrece funcionalidades para asistir la elaboración del plan anual de auditorías, basado en la valoración de la exposición a riesgos para tres tipos de auditoria: los procesos del modelo de operación de la Empresa (Mapa de Procesos), los procesos de Tecnología de Información (por ejemplo los de COBIT e ITIL) y las Aplicaciones de Computador (módulos de ERPs) que soportan la operación de los procesos.
Por cada grupo de trabajos de auditoría, el software ofrece funcionalidades y apoyo de la base de conocimientos para diseñar, contestar y procesar cuestionarios con factores de riesgo, estimar las necesidades de seguridad de cada uno de los trabajos candidatos a ser auditadas y estimar la exposición a las clases o categorías de riesgo del modelo adoptado por la Empresa (SARO, SARLAFT, AUDISIS o combinación de las anteriores).
Como resultado, por cada grupo de trabajos, el software produce la matriz de planeación anual de la auditoría con dos alternativas para decidir las actividades a auditar: a) por el nivel de exposición a riesgos de los procesos y aplicaciones de computador candidatas a ser auditadas, y b) por el nivel de exposición a cada una de las clases o categorías de riesgo.
Figura 2: Priorización de procesos para el Plan Anual de Auditoría
Después de priorizar los trabajos candidatos a ser auditados por cada tipo de auditoría, el software ofrece funcionalidades para elaborar la programación anual de las auditorías; por cada auditoría ayuda a definir objetivos, alcance y asignar recursos requeridos, generar el cronograma anual (grafico de barras), y efectuar el seguimiento a la ejecución de las auditorías programadas.
PLANEACION ANUAL – AUDITORIAS EXTERNAS.
Para entidades de control del Estado (Contraloría y Superintendencias) y Firmas de Auditoria.
AUDIRISK ofrece funcionalidades para elaborar el plan anual de auditoría basado en valoración de riesgos y controlar su ejecución a través de los siguientes pasos:
1. Priorizar por su nivel de exposición a riesgos, las empresas candidatas a ser auditadas en los diferentes sectores a los que correspondan las entidades vigiladas (comercial, industrial, servicios, financiero y otros). Por cada sector, el software ofrece funcionalidades para diseñar y procesar cuestionarios con factores de riesgo, estimar las necesidades de seguridad de cada una de las empresas candidatas a ser auditadas y estimar la exposición a las clases o categorías de riesgo del modelo adoptado por la Empresa auditora (SARO, SARLAFT, AUDIRISK o combinación de las anteriores).
2. Como resultado, por cada empresa candidata a ser auditada, el software produce la matriz de planeación anual de la auditoría con dos alternativas para decidir las actividades a auditar: a) por el nivel de exposición a riesgos de las empresas candidatas a ser auditadas, y b) por el nivel de exposición a cada una de las clases o categorías de riesgo.
Figura 2: Priorización de Empresas candidatas para el Plan Anual de Auditoría.
3. Elaborar la programación de visitas de las empresas candidatas a ser auditadas a realizar durante el año, de acuerdo con las prioridades asignadas por sector o por clases de riesgo. Genera un cronograma (grafico de barras) con la planeación anual.
4. Efectuar seguimiento al plan anual de la auditoría / Evaluar la gestión de la auditoría de acuerdo al cumplimiento del plan anual.
5. Generar reportes de planeación, seguimiento y control del plan anual de auditoría
MODULO 2: AUDITORÍAS BASADAS EN RIESGOS CRITICOS A PROCESOS
Y SISTEMAS DE INFORMACIÓN.
AUDIRISK ofrece funcionalidades para ejecutar auditorías “basadas en riesgos críticos” a los procesos del modelo de operación de la empresa, los procesos de tecnología de información (por
ejemplo, de los modelos COBIT e ITIL) y los sistemas de información (aplicaciones de computador) de la Empresa, programados en el plan anual de auditoría con el módulo 1 de AUDIRISK. También ofrece opciones para crear y ejecutar auditorías que no están en el Plan Anual y para iniciar auditorías a partir de los papeles de trabajo electrónicos de auditorías anteriores ejecutadas con AUDIRISK (por ejemplo, efectuar auditoria al proceso Gestión de Talento Humano 2014, a partir de los papeles de trabajo de la auditoría al mismo proceso en el año 2013).
Por cada auditoría basada en riesgos, el software ofrece funcionalidades con procedimientos, guías y formatos para desarrollar las (4) cuatro fases del proceso de auditoría: 1) Planeación, 2) Ejecución, 3) Comunicación de resultados y 4) Seguimiento a los hallazgos de auditoría y planes de mejoramiento. La figura 3, ilustra el enfoque de las auditorías realizadas con AUDIRISK.
Figura 3: Las 4 Fases de la Auditoría
FUNCIONALIDADES DE AUDIRISK PARA EL DESARROLLO DE LAS AUDITORÍAS BASADAS EN RIESGOS.
Por cada auditoría, el software AUDIRISK ofrece funcionalidades para aplicar procedimientos de auditoría de aceptación general, organizadas en OCHO (8) etapas que se muestran a continuación y en el menú de la figura 4.
Figura 4: Etapas del proceso de Auditoría Basada en Riesgos críticos
Etapa 1: Pre – auditoría. Definición de objetivos, alcance, recursos a emplear y programa de trabajo de la Auditoría.
Etapa 2: Comprensión del proceso o sistema (Familiarización). Elaboración de archivo permanente de la auditoría y caracterización del proceso o sistema sujeto a auditoría.
Etapa 3: Identificar y analizar los Riesgos Inherentes Críticos (Eventos de riesgo Negativos). Identificar las 3 ó 4 categorías de riesgos críticos para el proceso o sistema sujeto a auditoría; identificar, analizar y documentar las amenazas ó eventos negativos que podrían generar las categorías de riesgo críticas; generar mapa de riesgos inherentes (amenazas) que serán considerados para el desarrollo de la auditoría; generación de papeles de trabajo corrientes. El análisis de los riesgos inherentes se realiza para las amenazas ó eventos negativos que pueden generar la materialización de las clases de riesgo críticos, en el ambiente real de las operaciones del proceso. Por ejemplo, en el proceso de cartera se identifican y analizan diez (10) amenazas por cada una de las tres (3) clases de riesgos críticos: Fraude Interno, Fraude Externo y fallas tecnológicas. Por cada amenaza, la exposición al riesgo se mide con una de las siguientes cuatro (4) calificaciones: E: Extremo (Color rojo); A: Alto (color naranja); M: Moderado (color amarillo) y B: Bajo o dentro del apetito de riesgos de la Gerencia (color verde). Las amenazas calificadas se ubican en el Mapa de Riesgos Inherentes (una matriz de 5x5) y se despliegan organizadamente para las tres (3) dimensiones del Cubo de Riesgos del proceso que se está auditando: a) por categorías de riesgo críticas, b) por Dependencias (áreas de la estructura de organización o terceros) y c) por actividades del proceso. Etapa 4: Definir Contexto de Riesgos de la Auditoría. Desplegar o desdoblar el Cubo de riesgos de la auditoría, generar matrices de riesgo y definir objetivos de control que debería satisfacer el proceso o sistema sujeto a auditoría.
Etapa 5: Evaluar Efectividad del Control Interno Existente. Por cada amenaza la auditoría evalúa la efectividad o capacidad de los controles para reducir la exposición de las amenazas a un nivel de riesgo residual aceptable. La efectividad de los controles se mide con una escala de 5 calificaciones: 1- apropiada (color verde); 2- mejorable (color amarillo); 3- Insuficiente (color naranja); 4: Deficiente (color rojo) y 5- Muy Deficiente (color rojo). Los resultados de la evaluación obtenidos por amenaza, se articulan y presentan en las tres dimensiones del cubo de riesgos en las cuales podría materializarse: en las clases de riesgo críticas, en las actividades del proceso y en las dependencias (áreas de la organización y terceros) que intervienen en el proceso. Con los resultados de la evaluación de la efectividad de los controles establecidos, el software produce el primer informe con los resultados de la Auditoría, el que mayor valor agregado genera para los auditados y la administración.
Etapa 6: Pruebas de Cumplimiento. Diseño de las pruebas requeridas a los controles según los resultados de la evaluación de los controles establecidos, generación de checklists de controles a verificar por sitio de prueba, procesamiento de respuestas de los checklists, generación y análisis de hallazgos de auditoría, generación de informes (ejecutivo y detallado) con los resultados de las pruebas de cumplimiento. Las pruebas de cumplimiento de los controles se realizan en las dependencias que intervienen en el proceso, para las amenazas que presentan significativa exposición al riesgo inherente (E: Extremo; A: Alto o M: Moderado) y los controles establecidos, que según la evaluación de la auditoría, son eficaces y eficientes (con efectividad 1- apropiada ó 2 - Mejorable). Los resultados de estas pruebas se miden con una escala de cinco calificaciones, dependiendo del porcentaje de cumplimiento de los controles establecidos, así: 1- Apropiada (cumplimiento superior al 80%); 2- Mejorable (cumplimiento entre el 60% y 80%), 3- Insuficiente (cumplimiento entre 40% y 60%): 4: Deficiente (cumplimiento entre 20% y 40%); y 5- Muy deficiente (cumplimiento entre 0% y 20%). Estos resultados se comparan con los de la evaluación de control interno para mostrar las diferencias entre los controles formalmente establecidos y los que realmente se cumplen. Con los resultados de estas pruebas, el software genera el segundo informe con los resultados de la auditoría.
Etapa 7: Pruebas Sustantivas. Diseño de las pruebas requeridas a la información según los resultados de la evaluación de controles existentes y de las pruebas de cumplimiento, generación de checklists de datos (cifras) a verificar por sitio de prueba, procesamiento de respuestas de los checklists, generación y procesamiento de checklists para evaluar la satisfacción de los siete (7) criterios o elementos de la información de negocios; generación y análisis de hallazgos de auditoría, generación de informes (ejecutivo y detallado) con los resultados de las pruebas de auditoría. Las Pruebas Sustantivas o pruebas a la Exactitud de la Información que procesa y produce el proceso, se realizan en las dependencias que intervienen en el proceso, para las amenazas que presentan debilidades de control interno (efectividad 3- insuficiente, 4- Deficiente y 5- muy deficiente) y presentan significativa exposición al riesgo inherente (E: Extremo; A: Alto o M: Moderado) . Su propósito es verificar el impacto que pudieran tener esas debilidades de control en la integridad de la información de la empresa. Los resultados de estas pruebas se miden con una escala de cinco calificaciones, dependiendo del porcentaje de exactitud de los datos verificados por la auditoría, así: 1- Apropiada (exactitud superior al 80%); 2- Mejorable (exactitud entre el 60% y 80%), 3- Insuficiente (exactitud entre 40% y 60%): 4: Deficiente (exactitud entre 20% y 40%); y Muy deficiente (exactitud en entre 0% y 20%). Con los resultados de las pruebas sustantivas, el software produce el tercer informe con los resultados de la auditoría.
Etapa 8: Seguimiento a Hallazgos y Recomendaciones de la Auditoría. Como paso final, por cada auditoría basada en riesgos AUDIRISK ofrece opciones para planear y ejecutar seguimiento a los acciones de mejoramiento que se diseñen en la empresa para atender los hallazgos de control interno, pruebas de cumplimiento y pruebas sustantivas. El software tiene funcionalidades para generar y enviar recordatorios por correo electrónico a los responsables de implantar, supervisar y ejecutar acciones de mejora.
Este módulo también ofrece funcionalidades para iniciar auditorías nuevas, a partir de los papeles de trabajo electrónicos de auditorías anteriores realizadas con AUDIRISK. Esta facilidad genera ahorros de tiempo y productividad en las auditorías.
FASE I: PLANEACIÓN DE LA AUDITORÍA BASADA EN RIESGOS
Esta fase de la auditoría comprende la ejecución de las cuatro primeras etapas de la metodología. Etapa 1: Pre-auditoría.
Figura 5: Opciones Menu Etapa 1- Preauditoría
1. AUDIRISK asiste la elaboración del memorando de planeación de la auditoría, el programa de trabajo y la definición de los recursos requeridos de tiempo, personal y financieros. Las figuras 5 y 6 muestran las ayudas ofrecidas por el software.
Figura 6: Memorando de Planeación de la Auditoría
2. AUDIRISK asiste al Auditor en la definición del cronograma para el desarrollo de la auditoría (para las primeras siete etapas y por auditor), conformación del equipo de trabajo y la asignación de otros recursos requeridos.
Figura 7: Asignación de Recursos para la Auditoría
3. Ofrece opciones para visualizar los Papeles de Trabajo de la etapa y generar “TO DOs” (aspectos por hacer) por el supervisor de la auditoría, como se muestra en la figura 8. Al final de cada etapa, AUDIRISK muestra la lista de Papeles de Trabajo (los archivos de papeles corrientes que se pueden listar, imprimir y exportar a formato PDF (para que sean entregados a los entes reguladores que lo requieran) y muestra el reporte de los TO DOs (Notas para el asistente de Auditoría realizadas por el supervisor) ingresados durante el desarrollo de la etapa.
4. Estado Avance de la Auditoría (figura 7). Al final de cada etapa, AUDIRISK muestra información gráfica y numérica con el comparativo entre los tiempos planeados y realmente gastados, por etapa y por auditor. De igual manera compara los acumulados de tiempos requerido y gastado hasta la última etapa ejecutada.
Figura 8: Control avance de la Auditoría Etapa 1
Etapa 2: Comprensión del Proceso o Sistema sujeto a auditoría.
Por cada tipo de trabajo de auditoría basada en riesgos críticos (procesos del modelo de operación de la empresa, procesos de tecnología de información, aplicaciones de computador y otros), el software presenta funcionalidades para asistir la obtención y registro en el archivo permanente o Expediente Continuo de la Auditoría, de la información vital para comprender las características y el ambiente administrativo, operativo y técnico del proceso o sistema sujeto a auditoría (figura 9).
5. Caracterización. Para organizar la información que describe al proceso, sistema o actividad sujeta a auditoría, AUDIRISK ofrece formatos y listas de datos para ingresar los objetivos que satisface en la organización, actividades que comprende, entradas, salidas y otros datos importantes, como se muestra en la figura 10.
Figura 10: Caracterización del proceso o sistema
Etapa 3: Identificación, Análisis y Priorización de Riesgos Potenciales.
En esta etapa el software ofrece funcionalidades para identificar, analizar y priorizar los riesgos inherentes al proceso o sistema sujeto a auditoría (amenazas o eventos negativos potenciales asociados con las Categorías de Riesgo Críticas). Si la auditoría a realizar proviene del Plan Anual de Auditoría, se omiten las actividades de identificación y priorización de las categorías de riesgo aplicables al proceso o sistema objeto de la auditoría y se utilizan las 3 categorías de riesgo críticas obtenidas en el “panorama de riesgos del proceso o sistema” elaborado en la planeación anual de la auditoría.
El software ofrece la posibilidad de utilizar las clases o categorías de eventos de riesgo1 consideradas por los modelos SARO, SARLAFT, MECI y AUDIRISK o una combinación de los anteriores. Las clases de riesgo aplicables al proceso o sistema sujeto a auditoría se priorizan,
1
Clases o Categorías de Eventos de Riesgo: Son nombres genéricos bajo los cuales se agrupan las
amenazas o eventos accidentales o intencionales que pueden causar daños o pérdidas a los activos de la organización Por ejemplo, bajo la denominación de FRAUDE INTERNO se incluyen entre otras, las siguientes amenazas: robo por suplantación electrónica de usuarios, omitir registro de transacciones de ingreso.
para seleccionar las que pueden causar el mayor impacto financiero y operacional a la organización. Estas se denominan categorías de riesgo críticas. Para priorizarlas se aplican los principios de Pareto y del “Poder del 3”.
Figura 11: Pasos de la Etapa 3 - Identificar y evaluar riesgos potenciales
6. La priorización de las categorías de riesgos el software ofrece dos métodos: Delphy (Delphos) y clasificación por el sistema de Puntajes (Scoring o Churman Ackoff)- La figura 12, muestra la ayuda que ofrece el software para aplicar la técnica Delphy en la priorización de las clases de riesgo según su impacto y seleccionar las tres (3) más importantes.
Figura 12: Priorización de las categorías de riesgo aplicables
7. Por cada una de las clases de riesgo críticas, AUDIRISK ayuda a identificar y documentar las amenazas2 que podrían originarse en el desarrollo de la operación del proceso o sistema sujeto
2
Amenaza: corresponde al concepto de “eventos de riesgo” negativos, considerado por el componente “identificación de eventos” del modelo COSO ERM. Equivale al concepto de riesgo potencial utilizado por los estándares ISO 31000, AS/NZ 4360 y el MECI. Se refiere a cualquier evento accidental o intencional que en
a auditoría. Como apoyo para identificar las amenazas, AUDIRISK ofrece una lista de más de una centena de amenazas típicas aplicables a procesos del modelo de operación y tecnología de información en la mayoría de las organizaciones, asociadas a las categorías de riesgo de los modelos SARO, SARLAFT, MECI y AUDISIS.
8. Por cada amenaza, AUDIRISK ofrece funcionalidades para documentar los siete (7) elementos del riesgo: activos impactados; agentes generadores de riesgo (factores de riesgo), vulnerabilidades, frecuencia de ocurrencia, impacto (rangos de valor de las pérdidas estimadas por ocurrencia y otros tipos de impacto operacional), actividades del proceso en las que puede originarse, Dependencias de la empresa y de terceros en las cuales puede generarse.
Los valores de medición cualitativa del riesgo inherente utilizada por AUDIRISK se muestran a continuación en la figura 13
.
Riesgo Inherente Significado 1: Bajo (Tolerable)El riesgo es TOLERABLE para la organización, es decir, su ocurrencia puede causar pérdidas no significativas. Estos riesgos pueden aceptarse (asumirse) o tratarse con acciones de control para reducirlo (disminuir probabilidad de ocurrencia o su impacto).
2: Moderado
El riesgo es MODERADO para la organización. Su ocurrencia podría causar pérdidas de alguna consideración. Requiere acciones de respuesta para reducirlo.
3: Alto (Importante)
El riesgo es SIGNIFICATIVO para la organización, requiere de acciones de respuesta para reducirlo y transferirlo. Su ocurrencia podría causar pérdidas severas a la organización. 4: Extremo
(Inaceptable)
El riesgo es INACEPTABLE o CATASTROFICO para la organización, es decir, en caso de ocurrir sus consecuencias desestabilizarían a la entidad. Requiere de acciones de respuesta para evitarlo o reducirlo y transferirlo.
Figura 13: Escala de medición del Riesgo Inherente
9. AUDIRISK, con base en los valores de frecuencia anual de ocurrencia y de impacto, ingresados en el paso anterior, evalúa la exposición al riesgo inherente por cada amenaza (E: Extremo; A: Alto; M: Moderado y B: Baja). La figura 14 muestra la imagen de la evaluación de amenazas antes de controles, que realiza el software AUDIRISK.
caso de presentarse genera daños a uno o más activos y pérdidas a la organización. Una categoría de Riesgo agrupa a varias amenazas.
Figura 14: Evaluación de Amenazas antes de controles, por Área Organizacional
Etapa 4: Definición del Cubo de Riesgos de la Auditoría (figura 15)
En esta etapa AUDIRISK ofrece funcionalidades para elaborar el cubo de riesgos de la auditoría, seleccionar objetivos de control aplicables y relacionar estos objetivos con las amenazas o eventos de riesgo identificados para el proceso o sistema sujeto a auditoría. En la
figura 15 se muestran los pasos que deben ejecutarse en esta etapa.
Figura 15: Definición del Cubo de Riesgos de la Auditoría
10. Para elaborar el Cubo de Riesgos de la Auditoría AUDIRISK utiliza tres variables: a) las actividades del proceso (subprocesos o escenarios de riesgo); b) las dependencias o áreas organizacionales de la empresa y terceros que intervienen en el manejo del proceso y c) las categorías o clases de riesgos críticos del proceso.
Figura 16: Matriz de Escenarios Vs. Areas Organizacionales
11. AUDIRISK genera tres matrices de riesgo (desdoblamiento del cubo) en las que muestran las amenazas que pueden presentarse en los escenarios de riesgo y las áreas organizacionales que intervienen en el proceso o sistema sujeto a auditoría. Estas matrices definen el contexto de riesgos para cada auditoría.
12. AUDIRISK ofrece funcionalidades para asignar objetivos de control aplicables a los escenarios de riesgo y relacionarlos con las amenazas del proceso o sistema objeto de la auditoría.
FASE II: EJECUCION DE LA AUDITORIA Y COMUNICACIÓN DE RESULTADOS.
Etapa 5: Evaluar Efectividad del Sistema de Control Interno Existente
En esta etapa AUDIRISK ayuda a identificar y documentar los controles establecidos en todo el proceso o sistema bajo auditoría y evalúa su efectividad (capacidad de los controles para reducir el riesgo inherente a niveles aceptables de riesgo residual), es decir, genera mediciones de la protección que ofrecen y del riesgo después de controles (riesgo residual). Esta evaluación se realiza asumiendo que los controles establecidos en el proceso o sistema, son estándares que se aplican en todos los puntos de operación de la empresa, es decir, en todas las oficinas, localizaciones y regionales. Los pasos que se ejecutan en esta etapa se muestran en la figura 17.
Figura 17: Pasos de la Etapa 5, Evaluación del sistema de Control Interno
13.Identificar Controles Establecidos en la Organización. El software y la base de conocimientos de AUDIRISK asisten a los auditores en la construcción de cuestionarios de control con las “best practices” universales de control aplicables para mitigar las amenazas o eventos de riesgo del proceso o sistema sujeto a auditoría. El cuestionario se construye a la medida de las necesidades de la empresa apoyándose en la base de conocimientos de AUDIRISK y se utiliza como herramienta para identificar los controles establecidos, en entrevistas con los responsables del proceso o sistema.
15.Evaluar la Efectividad de los Controles Establecidos. AUDIRISK ofrece ayudas para informar al sistema los controles del cuestionario que están implantados por cada amenaza y aplica tres criterios para evaluar la efectividad (eficacia + eficiencia) de tales controles: a) Que se utilice al menos una vez los tres anillos o niveles de control (preventivo, detectivo y correctivo); b) Que el promedio del nivel de automatización y discrecionalidad de los controles sea aceptable (promedio mayor que 3.5) y c) que el costo / beneficio de los controles se razonable (no mayor del 5% de los activos impactados por la amenaza). Con base en los controles informados, AUDIRISK evalúa la efectividad de los controles (la protección existente - PE) y el riesgo residual (RR) por cada amenaza, escenario de riesgo (subproceso), área organizacional y categoría de riesgo, como se muestra en la Figura 18.
16.Con los resultados de la evaluación del control interno existente, AUDIRISK genera Mapas de Riesgo Residual en los que se indica la Situación Actual de Protección Existente
(figura 19), localizando los códigos de las amenazas en celdas de colores amarillo, naranja y rojo cuando tienen protección 2-mejorable, 3-insuficiente, 4- deficiente y 5-muy deficiente, respectivamente. En color verde se localizan las amenazas que tienen protección
1-apropiada. Estos mapas se generan por categorías de riesgo, actividades del proceso
(escenarios de riesgo) y áreas organizacionales.
Figura 19: Situación actual de protección existente por Escenario de Riesgo
16.Análisis de Hallazgos e Informe de Auditoría con los resultados de la Evaluación del Control Interno (figura 20). AUDIRISK ofrece funcionalidades y ayudas para analizar las deficiencias y debilidades de control interno identificadas para amenazas con efectividad diferente de APROPIADA y generar el informe de auditoría con los resultados de la evaluación de control interno existente y acciones de mejora requeridas (texto y gráficos).
Figura 20: Desarrollo de Hallazgos de Control Interno
17. AUDIRISK genera el informe de la auditoría con los resultados de la evaluación de control interno existente. Este informe contiene objetivos y alcance de evaluación y la evaluación por cada escenario de riesgo (actividad) del proceso, indicando por cada amenaza: nombre de la amenaza, calificación del riesgo inherente, calificación de la protección existente, calificación del riesgo residual y el código de los hallazgos que describen la debilidad o deficiencia identificada por la auditoría.
18.El informe también se presenta en tres columnas, los hallazgos de auditoría y sus causas, la descripción y calificación del impacto que podrían tener las debilidades de control y las acciones de mejora que los criterios de evaluación señalen para conducir la efectividad de los controles al nivel 1-APROPIADA. Se producen dos informes (detallado y ejecutivo) y la carta de envío a la Administración. Estos informes son exportables a Word, PDF y otros formatos. En la figura 21 se visualiza la pantalla de cómo el software genera el informe detallado con los resultados de la evaluación del control interno existente.
Etapa 6: Pruebas de Cumplimiento a los Controles Establecidos.
El software AUDIRISK ofrece funcionalidades para diseñar, planear y asistir la ejecución de pruebas de cumplimiento a los controles claves de las amenazas que tienen protección 1-APROPIADA, para las dependencias o áreas organizacionales que intervienen en el proceso o sistema sujeto a auditoría. La figura 22 muestra el menú del software para realizar las pruebas de cumplimiento.
Figura 22: Menú Etapa 6 - Pruebas de Cumplimiento
18.AUDIRISK ofrece ayudas y criterios para seleccionar los controles clave que serán verificados, las técnicas de prueba a emplear y los sitios de prueba (áreas organizacionales y oficinas que dependan de éstas). La figura 23 muestra la pantalla de selección de los controles a verificar.
Figura 23: Selección de controles a verificar
19. Generación y procesamiento de listas de Comprobación. Con los controles seleccionados, AUDIRISK genera checklists de controles por sitios de prueba y ofrece funcionalidades para ingresar y procesar las respuestas. Como resultado, el software mide porcentualmente el cumplimiento de los controles establecidos por cada amenaza y los compara contra la protección existente obtenida en la evaluación del control interno (etapa 5); la figura 24 muestra estos resultados.
Figura 24: Resultados de pruebas de cumplimiento por Dependencias
20.Análisis de Hallazgos y Generación de informes de Auditoría con los resultados de las Pruebas de Cumplimiento. Para las amenazas con cumplimiento de los controles inferior al
80%, el software ofrece formatos y ayudas para registrar y analizar los hallazgos de la auditoría y generar el informe de auditoría con los resultados de estas pruebas. Para los controles con respuestas en el checklist diferentes de SIEMPRE, el software solicita ingresar los motivos del incumplimiento y generar estadísticas por sitio de prueba, área organizacional y consolidadas del proceso. En la figura 25 se muestra el formulario que ofrece el software para analizar los hallazgos de las pruebas de cumplimiento y generar el correspondiente informe de auditoría.
Figura 25: Desarrollo de los Hallazgos de Pruebas de Cumplimiento
AUDIRISK genera el informe de la auditoría con los resultados de las pruebas de cumplimiento realizadas por sitio de prueba. Por cada amenaza cuyos controles se verificaron, el software muestra: descripción de la amenaza, protección existente en evaluación de control interno (antes de pruebas), % de cumplimiento, protección existente después de pruebas, riesgo residual después de pruebas y los códigos de hallazgos que describen y analizan la NO CONFORMIDAD cuando el cumplimiento los controles es inferior al 80%.
Etapa 7: Pruebas Sustantivas (pruebas a la exactitud de la información)
El software AUDIRISK ofrece funcionalidades para diseñar, planear y asistir la ejecución de Pruebas Sustantivas a la información del proceso que pudiera ser impactada por amenazas que en la evaluación de control interno (etapa 5) tienen protección 3-INSUFICIENTE, 4-DEFICIENTE y 5-MUY DEFICIENTE en las dependencias o áreas organizacionales que intervienen en el proceso o sistema sujeto a auditoría. Estas pruebas también se aplican sobre amenazas que en las pruebas de cumplimiento presentan porcentaje de cumplimiento inferior al 80%. La figura 26, muestra el menú de opciones para realizar pruebas sustantivas.
Figura 26: Etapa 7 – Pruebas sustantivas
21. El software AUDIRISK ayuda a seleccionar los datos que podrían ser impactados por las amenazas que presentaron protección diferente de Apropiada y Mejorable en la evaluación de control interno (etapa 5) o que las pruebas de cumplimiento presentan porcentaje (%) de cumplimiento de controles inferior al 80%. La figura 27, muestra el formato de pantalla para seleccionar las cifras sobre los que se realizan pruebas sustantivas.
Figura 27: Identificación de Cifras Críticas a Verificar
22.Por cada uno de los datos seleccionados para pruebas sustantivas, AUDIRISK ofrece formatos y ayudas para asignar técnicas de verificación a emplear, elaborar el plan y programar su ejecución en los sitios de prueba.
23.Generación y procesamiento de listas de Comprobación. Con los datos seleccionados que podrían ser impactados por cada amenaza, AUDIRISK genera checklists de Exactitud de la Información por sitios de prueba y ofrece funcionalidades para ingresar y procesar las respuestas. Como resultado, el software mide porcentualmente la exactitud de la información verificada por cada amenaza y los compara contra la protección existente obtenida en la evaluación del control interno (etapa 5); la figura 28 muestra los checklist de pruebas sustantivas.
Figura 28: Ingreso de resultados a los datos
24.Análisis de Hallazgos y Generación de informes de Auditoría con los resultados de las Pruebas Sustantivas. El software presenta un formato similar al descrito en evaluación del control interno y las pruebas de cumplimiento, para registrar y analizar los hallazgos o no conformidades identificadas y generar el correspondiente informe de auditoría.
25.Evaluación de Satisfacción de Criterios de Información de Negocios. El software ofrece funcionalidades para evaluar la satisfacción de los siete (7) criterios COBIT que debe cumplir la información de negocios generada por el proceso o sistema auditado, figura 28.
Figura 28: Funcionalidades para evaluar satisfacción de los 7 criterios COBIT
FASE IV: SEGUIMIENTO AL INFORME CON LOS RESULTADOS DE LA AUDITORÍA. Etapa 8: Seguimiento a Informes con los Resultados de la Auditoría
El software ofrece funcionalidades para planear, ejecutar, analizar e informar los resultados del seguimiento a los hallazgos y recomendaciones de la auditoría. Producidos en la evaluación del control interno (etapa 5), pruebas de cumplimiento (Etapa 6) y pruebas sustantivas (Etapa 7), utilizando el menú de la figura 29.
Figura 29: Menú de la Etapa 8: Seguimiento
26. Planeación del Seguimiento. El software ofrece ayudas para planear el seguimiento a los hallazgos y recomendaciones incluidas en el informe con los resultados de la auditoría. Por cada recomendación se define la prioridad, responsable de implantar las acciones de mejoramiento, fechas de compromiso y fechas de seguimiento. Incluye opciones para generar
“recordatorios” por correo electrónico dirigidos a los auditados (figura 30).
Figura 30: Planeación del seguimiento a recomendaciones
28. Ejecución y Resultados del Seguimiento. El software asiste el ingreso de los resultados del seguimiento y la generación de reportes con los resultados del seguimiento efectuado por la auditoría, como los que se muestran en las figura 31.
Figura 31: Estado de Atención de las recomendaciones de la auditoría
MODULO 3: SEGUIMIENTO A HALLZAGOS DE AUDITORÍAS EFECTUADAS
POR TERCEROS.
AUDIRISK ofrece funcionalidades para asistir el registro (ingreso), planeación y ejecución del seguimiento a las acciones de mejoramiento institucional que resultan de los hallazgos e informes de auditorías realizadas por terceros (Auditores Externos, Revisores Fiscales, Organismos de Control y Supervisión del Estado). Para este fin, el software ofrece opciones para el mantenimiento de las entidades auditoras y por cada auditoría de terceros ingresar los hallazgos de auditoría, diseñar el plan de mejoramiento, planear y ejecutar el seguimiento.
El software ofrece funcionalidades para generar recordatorios por correo electrónico a los responsables de implantar y supervisar las acciones de mejora y a los auditores asignados para su seguimiento.
Figura 32: Ambiente de trabajo para seguimientos a Auditorías no realizadas con AUDIRISK.
AUDIRISK ofrece opciones para ingresar los hallazgos de auditoría y las metas para atender los hallazgos, planear el seguimiento, generar correos electrónicos de recordatorios a los responsables de implantar, supervisar la implantación y a los auditores que realizan el seguimiento. También produce informes del seguimiento, como se muestra en el menú de la figura 33.
Figura 33: Menú para realizar seguimiento a auditorías no realizadas con AUDIRISK
AUDIRISK genera estadísticas del estado de las acciones de mejora de acuerdo al estado de implantación de las mismas, como se muestra en la figura 34. Estas estadísticas también se pueden producir por áreas organizacionales encargadas de la ejecución de la acción de mejora.
Figura 34: Estadísticas de recomendaciones por estado de auditorías no realizadas con AUDIRISK
MODULO 4: GESTION DE RESULTADOS DE LA AUDITORÍA
Este módulo genera informes y gráficos sobre los resultados de trabajos de auditoría desarrolladas con AUDIRISK durante un periodo de tiempo, dentro del año fiscal actual. También genera información respecto al cumplimiento del Plan Anual de Auditoría y los trabajos ejecutados en el periodo y que no estaban incluidos en el plan anual.
El software ofrece funcionalidades para generar entre otros los siguientes informes de Gestión: • Estadísticas sobre el estado de las Auditorías Programadas para el periodo - Figura 35. • Estadísticas con el estado de Implementación de las Acciones de Mejora definidas para
atender los hallazgos de auditoría, por auditoría y por tipos de auditoría – Figura 36.
Figura 36: Estadísticas de recomendaciones y sus estados por Auditoría
MODULO 5: AUDITORÍAS A SISTEMAS DE GESTION.
AUDIRISK asiste a los auditores internos en las actividades de programación, planeación, ejecución, informe y seguimiento de auditorías internas de gestión (Por ejemplo: de calidad, de gestión de seguridad de la información - ISO 27001-, gestión ambiental y seguridad y salud ocupacional). Estas auditorías se ejecutan de conformidad con la norma ISO 19011.
MODULO 6: ADMINISTRACION DE USUARIOS.
Este módulo ofrece todas las funcionalidades necesarias para administrar los usuarios con derechos de acceso a los diferentes módulos de AUDIRISK.
Figura 37: Menú principal del Módulo de Seguridad
La opción Administrar Usuarios permite adicionar, modificar y retirar usuarios y establecer el perfil y los privilegios de acceso de cada uno.
Figura 3: Mantenimiento de Usuarios del Módulo de Seguridad
PARAMETRIZACIÓN DEL SOFTWARE.
AUDIRISK presenta funcionalidades para parametrizar los estándares de auditoría basadas en riesgos, en las actividades de evaluación de riesgos, evaluación de la efectividad de los controles, generación de checklist de pruebas de cumplimiento y sustantivas, evaluación de resultados de las pruebas de auditoría y evaluación de los siete (7) criterios que debe satisfacer la información de negocios (eficacia, eficiencia, integridad, disponibilidad, confidencialidad, confiabilidad y cumplimiento.
También ofrece ayudas para poblar la base de conocimientos de AUDIRISK y obtener copias de respaldo de esta base y de los papeles de trabajo electrónicos de las auditorías realizadas.
A QUIENES SIRVE LA METODOLOGIA Y EL SOFTWARE AUDIRISK?
El software AUDIRISK está diseñado para apoyar el trabajo diferentes grupos de auditores que tienen la responsabilidad de evaluar y verificar el funcionamiento, las operaciones, eficacia, eficiencia y confiabilidad de los procesos y sistemas de las empresas:
• Auditores Internos. • Auditores Externos. • Auditores de Sistemas • Auditores Operativos. • Auditores Financieros. • Revisores Fiscales.
• Oficinas de Control Interno Organizacional.
ELEMENTOS QUE RECIBE EL USUARIO DE AUDIRISK.
El licenciamiento del software es a perpetuidad, por servidor y cantidad de usuarios.
Por cada licencia monousuario o en red, el usuario de AUDIRISK recibe los siguientes elementos: Un CD-ROM que contiene:
• El software ejecutable AUDIRISK. • El manual del Usuario.
• Las bases de datos de conocimientos estándar.
• Dos ejemplos de auditorías realizadas con AUDIRISK para la Empresa “Morraos de Colombia” (módulo de prueba y entrenamiento encajado en la estructura de AUDIRISK). La licencia de uso de la metodología por tiempo indefinido.
Servicio de Soporte y actualización del software durante el primer año.
SERVICIOS DE SOPORTE TÉCNICO Y ACTUALIZACION.
AUDISIS, ofrece el servicio anual de soporte técnico, mantenimiento y actualización, el cual incluye soporte telefónico o vía internet al usuario para resolver inquietudes relacionadas con la operación y funcionamiento de la metodología AUDIRISK.
Los desarrolladores de AUDIRISK se encuentran en constante interacción con los usuarios, generando nuevas versiones que pueden ser suministradas a los usuarios vía Internet en su página www.audisis.com o suministradas en formato CD ROM directamente.
El contrato anual de soporte técnico y actualización incluye:
